Читаем и прозреваем :-/ http://boingboing.net/ Shmoo Group exploit: 0wn any domain, no defense exists Pablos sez, "Shmoocon ended today. And just to prove The Shmoo Group wasn't sitting on their asses for the entire time while planning the con - A new exploit was demo'd by EricJ that left all jaws our on the floor. Want to own ANY domain? Want a trusted SSL cert for it? Check it out here. We 0wnz0rd PayPal, but left the rest for you. We have no idea how to fix this and neither do the browser developers. Official advisory here. Phishing attacks of doom coming soon." Link (Thanks, Pablos!) http://www.shmoo.com/idn/ http://www.shmoo.com/idn/homograph.txt
ну и? А ты подумай секундочку. Приходит тебе мыло с кликом на google.ca. И идет редирект на сайт alotofporno.com. А там сидит эксплоит на твой браузер. И сажает экслоит тебе дровину, гы-гы. А дровина шлет в сеть твои пароли. И это лишь самый безобидный вариант.
может я что-то не понял, но вот это (ссылка из ихнего примера): < a target=_top href='hxxp://www.pXypal.com/' ] где вместо X стоит (без пробелов): & # 1 0 7 2 ; это ведь просто визуальный спуффинг какой-то... хотя, с толку все равно сбивает
забыли указать, что ie по дефолту не уязвим. да и на линки нормальные люди не кликают. cut n paste рулит
