😯

Als ich heute – was selten genug vorkommt – mehr als dreißig Sekunden lang durch meine Facebook-Timeline scrollte, sprach mich – was noch seltener vorkommt – tatsächlich eine Werbeanzeige an. Sie führte zu einem Onlineshop für britisch angehauchte Retro-Mode. Als ich in das Adressfeld meines Browsers klickte, um die URL zu kopieren, entdeckte ich darin etwas, das ich noch nie zuvor gesehen hatte: ein Emoticon, genauer zwei Flammen-Emojis. So sah die URL aus (Anonymisierung durch mich, denn ich möchte unbezahlt werben):

Ich habe extra einen Screenshot gemacht, weil ich nicht wusste, was passieren würde, wenn ich die URL kopiere und in diesen Beitrag einfüge. Das werde ich jetzt versuchen:

www.______.com/collections/hot-sale🔥🔥

Wow, die Sonderzeichen wurden einfach so übernommen! Welch sinistre Magie ist hier am Werke? Wikipedia weiß es: "Damit eine Emoji-Domain funktioniert, muss diese in einen sogenannten Punycode umgewandelt werden. Punycode ist ein Zeichenkodierungsverfahren, das für IDN" (internationalized domain names, auch "Sonderzeichendomains", also Adressen mit Zeichen aus anderen als dem lateinischen Standardsatz; die gibt es seit 2010) "genutzt werden kann. Diesen Code benötigt man beim Registrieren einer solchen Domain. [...] Jedes Emoji hat einen eindeutigen Punycode, wie beispielsweise 😉 = xn--n28h. Es gibt im Internet verschiedene Generatoren, mit denen es möglich ist, Emojis in Punycode zu wandeln." Weiters ist zu erfahren, dass derzeit (Stand 2017) nur sechs Top-Level-Domains die Registrierung von Emoji-Domains erlauben, Subdomains mit Emojis immerhin "sind bei vielen beliebten TLDs möglich".

Mein Fundstück ist nun freilich kein genuines Beispiel für eine Emoji-Domain, nicht einmal für eine -Subdomain, und es ändert sich auch nichts am Seiteninhalt, wenn ich die zwei Feuer-Symbole aus der Zeile entferne, trotzdem habe ich nicht schlecht gestaunt darüber, was heute alles "geht" (mit Einschränkungen: Zum Beispiel werden Emoji-Domains nicht von allen Browsern unterstützt, in Opera funktionieren sie erst seit Februar 2022). Auf eine naheliegende Schwachstelle macht der Wiki-Eintrag zu internationalisierten Domainnamen aufmerksam: "Die Verwendung von Unicode in Domain-Namen macht es einfacher, Webseiten mittels homographischem Angriff zu spoofen, da es die visuelle Repräsentation der IDN-Zeichenfolge in einem Browser manchmal unmöglich macht, eine legitime Seite von einer gespooften zu unterscheiden, abhängig vom verwendeten Zeichensatz." Und das gilt ja dann auch für Punycode. Beispielsweise könnte man für eine Phishing-URL ein Berg-Emoji durch ein anderes ersetzen:



Also ich muss mich schon sehr anstrengen, um da einen Unterschied auszumachen. Mir fällt es zugegebenermaßen aber auch schwer, zwischen diversen Smileys zu differenzieren (womöglich bin ich on the spectrum?).