+1<br /><br />Thanks,<br />Harish Chowdhary,<br /><strong>ISOC IETF FELLOW<br />inSIG 2017 FELLOW</strong><br /><a href="http://nixi.in">www.nixi.in</a> | <a href="http://indiaig.in">www.indiaig.in</a><br /> <br /><br /><br />From: ua-discuss-request@icann.org<br />Sent: Wed, 21 Feb 2018 17:30:13 GMT+0530<br />To: ua-discuss@icann.org<br />Subject: UA-discuss Digest, Vol 38, Issue 11<br /><br />Send UA-discuss mailing list submissions to<br />   ua-discuss@icann.org<br /><br />To subscribe or unsubscribe via the World Wide Web, visit<br />   <a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=https%3A%2F%2Fmm%2Eicann%2Eorg%2Fmailman%2Flistinfo%2Fua%2Ddiscuss&rediffng=0" rel="external" target="_blank">https://mm.icann.org/mailman/listinfo/ua-discuss</a><br />or, via email, send a message with subject or body 'help' to<br />   ua-discuss-request@icann.org<br /><br />You can reach the person managing the list at<br />   ua-discuss-owner@icann.org<br /><br />When replying, please edit your Subject line so it is more specific<br />than "Re: Contents of UA-discuss digest..."<br /><br /><br />Today's Topics:<br /><br />  1. Re: Another difficulty to overcome ... (Asmus Freytag)<br />  2. Re: Another difficulty to overcome ... (Mark Svancarek)<br />  3. Re: Another difficulty to overcome ... (Andrew Sullivan)<br />  4. Re: Another difficulty to overcome ... (Andrew Sullivan)<br /><br /><br />----------------------------------------------------------------------<br /><br />Message: 1<br />Date: Tue, 20 Feb 2018 10:05:08 -0800<br />From: Asmus Freytag <asmusf@ix.netcom.com><br />To: ua-discuss@icann.org<br />Subject: Re: [UA-discuss] Another difficulty to overcome ...<br />Message-ID: <441b9b4f-3546-6acf-6d6e-e369286b3040@ix.netcom.com><br />Content-Type: text/plain; charset="utf-8"; Format="flowed"<br /><br />On 2/20/2018 12:54 AM, Jim DeLaHunt wrote:<br />><br />> Multiple people have made the argument that having a browser show<br />> A-labels ("punycode") instead of U-labels ("regular IDN") is desirable<br />> as a way of fighting phishing.<br />><br />> My rebuttal has three parts:<br />><br />>  1. The underlying problem is that the registry (here, .com) permitted<br />>     registration of a domain name which was confusable with another<br />>     one. The right place to fight this kind of phishing with<br />>     confusable characters is at the domain registry level.<br />>  2. Even if you could magically prevent all confusable 2nd-level<br />>     domain name registrations, phishing would still be a problem.<br />>     Fraudsters have many tools, confusable 2nd-level names is only one<br />>     of them. There are also confusable names at the 4th or 5th levels<br />>     (e.g. <a href='http://microsoft.com.innocuous.deceptive.com'>microsoft.com.innocuous.deceptive.com</a>), and misleading links<br />>     in message bodies, and so on.<br />>  3. The people for whom A-labels instead of U-labels [are more<br />>     readable] are a privileged set of latin-script reading Internet<br />>     users. The second billion internet users will predominantly be<br />>     people who read a different script than latin. U-labels are a<br />>     requirement for them to have legible domain names for legitimate<br />>     sites. A-labels mean they don't get domain names which they can<br />>     read. And they deserve to be able to read their domain names and<br />>     email addresses.<br />><br />> This is an excellent audience for me to test my rebuttal. Is it<br />> solid?? Can I improve it?<br />><br />One edit above in []<br /><br />There's a fallacy that A-labels are less confusable. Even for users of<br />the Latin script. In fact, they obscure the intended destination almost<br />as badly as URL shortening does... Otherwise we could all just use<br />hashes like those used in URL shortening - and I'm not sure I'd call the<br />latter a win for security.<br /><br />Finally, there are some nice spoofing methods specific to a-labels.<br /><br />A./<br />><br />> Cheers,<br />> ???? ?Jim DeLaHunt, Vancouver, Canada<br />><br />> On 2018-02-19 23:36, Ronald Geens wrote:<br />>> All,<br />>><br />>> ? ?I am aware of the good work going on in the UASG to get IDN at all<br />>> levels natively supported in web-adresses and email and I fully<br />>> support that.<br />>><br />>> On the other hand there is darker side of the web that people want to<br />>> be protected from.<br />>> I just read this blog about some people that may actually find it<br />>> better to see puny-code in stead of regular IDN in order to detect<br />>> spam and phishing.<br />>> <a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=https%3A%2F%2Fma%2Ettias%2Ebe%2Fshow%2Didn%2Dpunycode%2Dfirefox%2Davoid%2Dphishing%2Durls%2F%3Fwhich&rediffng=0" rel="external" target="_blank">https://ma.ttias.be/show-idn-punycode-firefox-avoid-phishing-urls/?which</a><br />>> is an opposite view of what UASG is trying to achieve.<br />>><br />>> ? ?Does/Will the UASG have a standpoint in this matter ? Is this in<br />>> scope of UASG or will we rely on the anti-virus industry or even<br />>> registrars/registries to protect the world from abuses like this ?<br />>><br />>> Best regards,<br />>><br />>> Ron Geens<br />>> DNS Belgium<br />><br />> --<br />>      --Jim DeLaHunt,jdlh@jdlh.com      <a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=http%3A%2F%2Fblog%2Ejdlh%2Ecom%2F&rediffng=0" rel="external" target="_blank">http://blog.jdlh.com/</a>  (<a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=http%3A%2F%2Fjdlh%2Ecom%2F&rediffng=0" rel="external" target="_blank">http://jdlh.com/</a>)<br />>        multilingual websites consultant<br />><br />>        355-1027 Davie St, Vancouver BC V6E 4L2, Canada<br />>           Canada mobile +1-604-376-8953<br /><br /><br />-------------- next part --------------<br />An HTML attachment was scrubbed...<br />URL: <<a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=http%3A%2F%2Fmm%2Eicann%2Eorg%2Fpipermail%2Fua%2Ddiscuss%2Fattachments%2F20180220%2F74b05f41%2Fattachment%2D0001%2Ehtml&rediffng=0" rel="external" target="_blank">http://mm.icann.org/pipermail/ua-discuss/attachments/20180220/74b05f41/attachment-0001.html</a>><br /><br />------------------------------<br /><br />Message: 2<br />Date: Tue, 20 Feb 2018 18:08:25 +0000<br />From: Mark Svancarek <marksv@microsoft.com><br />To: Chaals McCathie Nevile <chaals@yandex.ru>, "ua-discuss@icann.org"<br />   <ua-discuss@icann.org><br />Subject: Re: [UA-discuss] Another difficulty to overcome ...<br />Message-ID:<br />   <BL0PR2101MB08838933734E2C5FA1474E96D1CF0@BL0PR2101MB0883.namprd21.prod.outlook.com><br />   <br />Content-Type: text/plain; charset="utf-8"<br /><br />I like Jim's rebuttal in entirety, but would re-order 123 --> 321 per Chaals comments.<br /><br /><br />-----Original Message-----<br />From: UA-discuss <ua-discuss-bounces@icann.org> On Behalf Of Chaals McCathie Nevile<br />Sent: Tuesday, February 20, 2018 1:41 AM<br />To: ua-discuss@icann.org<br />Subject: Re: [UA-discuss] Another difficulty to overcome ...<br /><br />The strongest argument against showing A-labels is the technical side of point 3, and IMHO it is sufficient to make the case. Point 2 is a true statement but doesn't address the problem. Point 1 is about what else should be done to address the problem, but does not directly rebut the suggestion.<br /><br />In more detail, (for anyone in this choir who wants the full sermon ;) )<br /><br />People who more naturally read a non-latin script - the primary market for non-latin script - are generally more able to read that accurately and less able to spot oddities in latin script or another script they don't read.<br /><br />This isn't a question of "deserving" to be allowed to use your own script (although it is true people do deserve that IMHO).<br /><br />It is about ensuring that people can effectively notice whether something is a meaningful URL they were looking for, or a corrupted version. It is easier for most people in their own script than noticing a corrupted version of a punycode string.<br /><br />This is also generally true for e.g. Europeans who do read Latin script.  <br />Dahlstr?m, Dahlstrom, and Dahlstr?m *are* similar, and could be used for phishing attacks (one of them is part of a friend's email address). but xn--ksjdlfn and xn--sekdrtb are actually gibberish, and spotting whether gibberish has a mistake is pretty difficult for normal people.<br /><br />A better idea might be larger fonts, to make differences clearer.<br /><br />On user demand, offering a strict non-ambiguous *transliteration* could help (whether that is from or to a script such as Latin, or doesn't involve it at all as between say Thai and Arabic). But transliteration introduces some thorny and well-known problems. I hope that is the reason it isn't widely available, rather than just because a bunch of engineers assume everything begins with Latin script anyway...<br /><br />cheers<br /><br />cheers.<br /><br />On Tue, 20 Feb 2018 09:54:40 +0100, Jim DeLaHunt <jfrom.uasg@jdlh.com><br />wrote:<br /><br />>   Multiple people have made the argument that having a browser show<br />>      A-labels ("punycode") instead of U-labels ("regular IDN") is<br />>      desirable as a way of fighting phishing.<br />><br />>   My rebuttal has three parts:<br />><br />><br />>       1. The underlying problem is that the registry (here, .com)<br />>        permitted registration of a domain name which was confusable<br />>        with another one. The right place to fight this kind of phishing<br />>        with confusable characters is at the domain registry level.<br />><br />>     2. Even if you could magically prevent all confusable 2nd-level<br />>        domain name registrations, phishing would still be a problem.<br />>        Fraudsters have many tools, confusable 2nd-level names is only<br />>        one of them. There are also confusable names at the 4th or 5th<br />>        levels (e.g. <a href='http://microsoft.com.innocuous.deceptive.com'>microsoft.com.innocuous.deceptive.com</a>), and<br />>        misleading links in message bodies, and so on.<br />><br />>         3. The people for whom A-labels instead of U-labels are a<br />>        privileged set of latin-script reading Internet users. The<br />>        second billion internet users will predominantly be people who<br />>        read a different script than latin. U-labels are a requirement<br />>        for them to have legible domain names for legitimate sites.<br />>        A-labels mean they don't get domain names which they can read.<br />>        And they deserve to be able to read their domain names and email<br />>        addresses.<br /><br /><br />>   This is an excellent audience for me to test my rebuttal. Is it<br />>      solid?  Can I improve it?   Cheers,<br />><br />>           ?Jim DeLaHunt, Vancouver, Canada<br />><br />>     On 2018-02-19 23:36, Ronald Geens<br />>      wrote:<br />><br />><br />>><br />>>          All,<br />>>               I am aware of the good work going on in the UASG<br />>>        to get IDN at all levels natively supported in web-adresses and<br />>>        email and I fully support that.<br />>>             On the other hand there is darker side of the web<br />>>        that people want to be protected from.<br />>>     I just read this blog about some people that may<br />>>        actually find it better to see puny-code in stead of regular IDN<br />>>        in order to detect spam and phishing.<br />>><br />>>    <br />>> <a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=https%3A%2F%2Fna01%2Esafelinks%2Eprotection%2Eoutlook%2Ecom%2F%3Furl%3Dhttps%253A%252F%252Fma%2Et&rediffng=0" rel="external" target="_blank">https://na01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fma.t</a><br />>> <a href='http://tias.be'>tias.be</a>%2Fshow-idn-punycode-firefox-avoid-phishing-urls%2F&data=04%7C<br />>> 01%7Cmarksv%<a href='http://40microsoft.com'>40microsoft.com</a>%7Cf1f66762f22b4b0f20b908d578460c54%7C72f9<br />>> 88bf86f141af91ab2d7cd011db47%7C1%7C1%7C636547164644768767%7CUnknown%7<br />>> CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwifQ%3<br />>> D%3D%7C-1&sdata=5EXp%2Fkh8hb8Qzm24y8yPWeKJ3lLE28FzIv7CHvX2C4E%3D&rese<br />>> rved=0<br />>> which<br />>>        is an opposite view of what UASG is trying to achieve.<br />>><br />>>               Does/Will the UASG have a standpoint in this<br />>>        matter ? Is this in scope of UASG or will we rely on the<br />>>        anti-virus industry or even registrars/registries to protect the<br />>>        world from abuses like this ?<br />>><br />>>             Best regards,<br />>><br />>>             Ron Geens<br />>><br />>>     DNS Belgium<br />>><br />>><br />><br />>     --   --Jim DeLaHunt, jdlh@jdlh.com     <a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=https%3A%2F%2Fna01%2Esafelinks%2Eprotection%2Eoutlook%2Ecom%2F%3Furl%3Dhttp%253A%252F%252Fblog%2Ejdlh%2Ecom%252F%26data%3D04%257C01%257Cmarksv%2540microsoft%2Ecom%257Cf1f66762f22b4b0f20b908d578460c54%257C72f988bf86f141af91ab2d7cd011db47%257C1%257C1%257C636547164644768767%257CUnknown%257CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwifQ%253D%253D%257C%2D1%26sdata%3DzsgXxJAX%252FvmuAS2OaK7GEtxOP2oh816zNG3d7cugGJg%253D%26reserved%3D0&rediffng=0" rel="external" target="_blank">https://na01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fblog.jdlh.com%2F&data=04%7C01%7Cmarksv%40microsoft.com%7Cf1f66762f22b4b0f20b908d578460c54%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C1%7C636547164644768767%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwifQ%3D%3D%7C-1&sdata=zsgXxJAX%2FvmuAS2OaK7GEtxOP2oh816zNG3d7cugGJg%3D&reserved=0</a>  <br />> (<a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=https%3A%2F%2Fna01%2Esafelinks%2Eprotection%2Eoutlook%2Ecom%2F%3Furl%3Dhttp%253A%252F%252Fjdlh%2Ecom%252F%26data%3D04%257C01%257Cmarksv%2540microsoft%2Ecom%257Cf1f66762f22b4b0f20b908d578460c54%257C72f988bf86f141af91ab2d7cd011db47%257C1%257C1%257C636547164644768767%257CUnknown%257CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwifQ%253D%253D%257C%2D1%26sdata%3DVQBSfH2vD4Z5snL9nZiMAQheZrszgF0%252FMHZwM%252B2tRr0%253D%26reserved%3D0&rediffng=0" rel="external" target="_blank">https://na01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fjdlh.com%2F&data=04%7C01%7Cmarksv%40microsoft.com%7Cf1f66762f22b4b0f20b908d578460c54%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C1%7C636547164644768767%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwifQ%3D%3D%7C-1&sdata=VQBSfH2vD4Z5snL9nZiMAQheZrszgF0%2FMHZwM%2B2tRr0%3D&reserved=0</a>)<br />>      multilingual websites consultant<br />><br />>      355-1027 Davie St, Vancouver BC V6E 4L2, Canada<br />>         Canada mobile +1-604-376-8953<br />><br />><br /><br /><br /><br />--<br />Chaals is Charles McCathie Nevile<br />find more at <a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=https%3A%2F%2Fna01%2Esafelinks%2Eprotection%2Eoutlook%2Ecom%2F%3Furl%3Dhttp%253A%252F%252Fyandex%2Ecom%26data%3D04%257C01%257Cmarksv%2540microsoft%2Ecom%257Cf1f66762f22b4b0f20b908d578460c54%257C72f988bf86f141af91ab2d7cd011db47%257C1%257C1%257C636547164644768767%257CUnknown%257CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwifQ%253D%253D%257C%2D1%26sdata%3DzTS4b%252Bl9vylzCpslPxZjLoInKeE1btfIJcJSouOz3CQ%253D%26reserved%3D0&rediffng=0" rel="external" target="_blank">https://na01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fyandex.com&data=04%7C01%7Cmarksv%40microsoft.com%7Cf1f66762f22b4b0f20b908d578460c54%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C1%7C636547164644768767%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwifQ%3D%3D%7C-1&sdata=zTS4b%2Bl9vylzCpslPxZjLoInKeE1btfIJcJSouOz3CQ%3D&reserved=0</a><br /><br />------------------------------<br /><br />Message: 3<br />Date: Tue, 20 Feb 2018 13:18:44 -0500<br />From: Andrew Sullivan <ajs@anvilwalrusden.com><br />To: ua-discuss@icann.org<br />Subject: Re: [UA-discuss] Another difficulty to overcome ...<br />Message-ID: <20180220181844.qamd4mz5t6fx5pgz@mx4.yitter.info><br />Content-Type: text/plain; charset=us-ascii<br /><br />Hi,<br /><br />On Tue, Feb 20, 2018 at 12:54:40AM -0800, Jim DeLaHunt wrote:<br />><br />>  1. The underlying problem is that the registry (here, .com) permitted<br />>     registration of a domain name which was confusable with another one. The<br />>     right place to fight this kind of phishing with confusable characters is at<br />>     the domain registry level.<br /><br />I sort of agree with that, but I want to note some cautions.<br /><br />   1.  It is not possible as a general matter to ensure that nothing<br />   "confusable" ever gets registered.  We have no control over the<br />   fonts people are using, or the visual acuity of people, or the<br />   context in which the label is presented.  All of those have a<br />   great deal to do with whether people get phished, quite apart from<br />   the content of the labels.<br /><br />   2.  The "no-script-mixing" rules that many of us are arguing for<br />   are also drags on innovation, and in some locales there are good<br />   reasons to mix scripts.  That tension won't go away just because<br />   we said so.<br /><br />   3.  The distinction between identifiers and branding appears to be<br />   almost totally lost on people, with even the Unicode Technical<br />   Committee, who recommend against emojis in identifiers, saying<br />   that they're ok in domain names (contrary to the IDNA2008<br />   specifications).  I don't have any idea what to do about this,<br />   because most people don't understand how context-free and<br />   locale-free identifiers could possibly work reliably.  (That<br />   includes me.)<br /><br />   4.  There is no way to make rules for the entire DNS, because it<br />   is a distributed datbase with distributed authority.<br /><br />More generally, however, the position, "Use the A-label form" is in<br />effect the position, "Don't use IDNA."  For the most conspicuous fact<br />about A-labels is that they're equivalently meaningless to everyone.<br />That hardly seems like a usability win.<br /><br />>  3. The people for whom A-labels instead of U-labels<br /><br />There is nobody for whom A-labels are useful.  A-labels are those<br />things that have the prefix (xn--) and a punycode-encoded string in<br />them.  '<a href='http://anvilwalrusden.com'>anvilwalrusden.com</a>' has two labels, neither of which is an<br />A-label, though they're both LDH-labels.  This is covered in painful<br />detail in RFC 5890, so I refer the gentle reader to that.<br /><br />Best regards,<br /><br />A<br /><br />--<br />Andrew Sullivan<br />ajs@anvilwalrusden.com<br /><br /><br />------------------------------<br /><br />Message: 4<br />Date: Tue, 20 Feb 2018 13:23:42 -0500<br />From: Andrew Sullivan <ajs@anvilwalrusden.com><br />To: ua-discuss@icann.org<br />Subject: Re: [UA-discuss] Another difficulty to overcome ...<br />Message-ID: <20180220182342.6z75tmq4736dd4dq@mx4.yitter.info><br />Content-Type: text/plain; charset=us-ascii<br /><br />On Tue, Feb 20, 2018 at 10:40:31AM +0100, Chaals McCathie Nevile wrote:<br />><br />> People who more naturally read a non-latin script - the primary<br />> market for non-latin script - are generally more able to read that<br />> accurately and less able to spot oddities in latin script or another<br />> script they don't read.<br /><br />This is only partly relevant, because even an ASCII label can cause<br />trouble.  If you doubt this, and you use an Apple product, I suggest<br />that you try to transcribe a string in the default font in either iOS<br />or OSX (Keychain Access) where the string contains exactly one of<br />capital I, lower-case L, capital O, or the digit zero.  There are<br />certainly similar cases with composed Latin characters, and there are<br />several well-worked-over examples in Arabic script -- the latter where<br />characters that are all but guaranteed to use the same glyph are<br />nevertheless different characters.<br /><br />> It is about ensuring that people can effectively notice whether<br />> something is a meaningful URL they were looking for, or a corrupted<br />> version. It is easier for most people in their own script than<br />> noticing a corrupted version of a punycode string.<br /><br /><br />The basic problem here is that domain names were a _lousy_ basis on<br />which to build security policies, but we did it.  (That sort of thing<br />happens all the time.  The automobile was a lousy basis around which<br />to do social planning, but every North American city of any size shows<br />that we did that, too.  We shape our tools and thereafter they shape<br />us.)<br /><br />Best regards,<br /><br />A<br />--<br />Andrew Sullivan<br />ajs@anvilwalrusden.com<br /><br /><br />------------------------------<br /><br />Subject: Digest Footer<br /><br />_______________________________________________<br />UA-discuss mailing list<br />UA-discuss@icann.org<br /><a href="//prolinks.rediffmailpro.com/cgi-bin/prored.cgi?red=https%3A%2F%2Fmm%2Eicann%2Eorg%2Fmailman%2Flistinfo%2Fua%2Ddiscuss&rediffng=0" rel="external" target="_blank">https://mm.icann.org/mailman/listinfo/ua-discuss</a><br /><br /><br />------------------------------<br /><br />End of UA-discuss Digest, Vol 38, Issue 11<br />******************************************<br><br>
-------------------------------------------------------------------------------------------------------------------------------<br>[NIXI is on Social-Media too. Kindly follow us at:<br>Facebook: https://www.facebook.com/nixiindia & Twitter: @inregistry ]<br>This e-mail is for the sole use of the intended recipient(s) and may<br>contain confidential and privileged information. If you are not the<br>intended recipient, please contact the sender by reply e-mail and destroy<br>all copies and the original message. Any unauthorized review, use,<br>disclosure, dissemination, forwarding, printing or copying of this email<br>is strictly prohibited and appropriate legal action will be taken.<br>-------------------------------------------------------------------------------------------------<br>