Firefox
 現在、各ブラウザの脆弱性で問題となっているのが、URLの偽造問題ですが、この件に関して、Firefoxでは設定変更で対策ができるそうですので、Firefoxユーザーはセキュリティを高めるためにも今すぐ設定変更をおすすめします。

 ブラウザの脆弱性をついたURL偽造というのは次の通りです。
 
 まずはあのiPhoneでおなじみの「Apple」のサイトのリンクは下記になります。

クリックすると、きちんと「Apple」のサイトが出てきます。

APPWEB

URLバーも「https://www.apple.com」となっています。

APPURL

次に、同じように下記リンクをクリックしてみてください。


すると、下記の画面になります。
APPWEB2
 別の画面になります。しかしURLバーを見てみると、
AppURL2
 やはりhttps://www.аррӏе.com/になっています。
 試しに、次のURLをクリックしてみてください。

 すると、上の画面と同じになり、アドレスも上の同じになります。
 この現象は「ホモグラフ攻撃」と呼ばれ、「https://www.xn--(文字列)」のURLを使って、「Punycode」という方式で文字変換しているものです。この方式は「https://日本語.com」などを変換すると「https://xn--wgv71a119e.com」となるのを応用したものです。
 公式AppleのURLと偽URLは一見同じように見えますが、このURLをワードパットに貼り付けてみると、
URLTIGAI
上が本物、下が偽物です。しかしブラウザのURL上では同じに見えます。
これが「ホモグラフ攻撃」です。詳しいことはESETセキュリティで詳しく説明しています。


 この問題を回避するには、先ほどの偽サイトのURLをきちんと「https://xn--wgv71a119e.com」と表示させれば良いわけですが、現在この対策を出来るのは「Firefox」だけです。残念ながら他のブラウザは対策となっていないようです。
 「Firefox」のユーザーは次のように設定変更します。
 URLバーに「about:config」と」入力します。すると「動作保証外となります」と表示されますので「危険性を承知の上操作する」をクリックします。
 「検索バー」に「Punycode」と入力すると、設定名に「network.IDN_show_punycode」という項目が出ます。
CONF001

 値が「false」(いいえ)となっていますのでダブルクリックします。すると値が「true」に変化します。
 あとは「about:config」タブを閉じて、再び先ほどの偽URLをクリックしてURLが「https://www.xn--80ak6aa92e.com/」となればOKです。