Визуально неоднозначные символы

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Визуа́льно неоднозна́чные си́мволы (англ. Visually Confusable Characters, или VCC) — термин, используемый для обозначения проблемы компьютерной безопасности, когда две различные строки символов выглядят на экране монитора очень похоже.

Дело в том, что компьютерные программы обрабатывают изображённый на экране текст, основываясь на кодах символов. Человек же (пользователь) воспринимает смысл увиденного, основываясь на графическом изображении текста. Ошибочно полагая, что «компьютерный» смысл текста на экране совпадает с «человеческим» — пользователь может выполнить потенциально небезопасные действия.

Пример из ASCII[править | править код]

Даже при использовании простейших символьных наборов возможны ошибки. Например, вот такой адрес «inteI.com» на самом деле содержит заглавную I в конце, а не L (это можно увидеть, в частности, если представить ту же строку в другом шрифте — inteI.com). Ещё более известный пример, это мошенничество с использованием сайта «paypaI.com» (paypaI.com), когда переходя по ссылке из полученного е-мейла на этот сайт, пользователи были уверены, что работают с настоящим сайтом платёжной системы PayPal.[1]

Использование Юникода[править | править код]

Представление символа «Й» (U+0419) в виде базового символа «И» (U+0418) и модифицирующего символа « ̆» (U+0306)

Переход от ASCII не меняет суть проблемы, но кардинально меняет масштабы — последняя версия Юникода (6.0 на октябрь 2010 года) содержит порядка 110 000 символов. Дополнительные средства для введения в заблуждение представляют модифицирующие символы, когда ряд букв можно записать либо с помощью одного символа (например, простое Й), либо с помощью нескольких символов.

Способы решения проблемы[править | править код]

«Консорциум Юникода» (unicode.org) предлагает следующий подход, который может быть использован для контроля за входящей информацией:

  1. Провести «юникодную нормализацию» текста,
  2. Перекодировать его в соответствии с таблицами визуального соответствия символов,
  3. И только после этого — провести анализ текста на наличие в нём подозрительных фрагментов.

Примечания[править | править код]

  1. PayPal alert! Beware the 'Paypai' scam. ZDNet (21 июля 2000). Проверено 2 марта 2011. Архивировано 22 марта 2012 года.

Ссылки[править | править код]