Topic: [TUTOR] Cara Aktivasi Punycode Pada Browser (Read 111 times)

Saya sudah cek kembali di browser umum (firefox, chrome) versi baru, yang masih settingan default melalui smartphone, untuk penggunaan punycode sudah otomatis redirect ke versi kode, begitu pula untuk preview juga sudah muncul kode, dan bisa dipastikan untuk aktivasi ini hanya bisa dilakukan di versi browser lama mas.

Agak ironi sama chrome (sumber yang sama: opera, brave dan edge) padahal banyak dipakai dan paling banyak phishing tapi setting tersebut tidak ada kayak di firefox (sumber yang sama: tor browser).

kalau pengguna chrome kepengen setting Punycode maka harus install extension seperti: Punycode domain detection,dll. Karena chrome menerapkan kebijakan Internationalized Domain Names (IDN) [1]. dengan kebijakan ini, membuat url punycode akan tampil apa adanya di chrome, tanpa install extension pun sebenarnya gpp. namun orang cenderung jarang melihat url, taunya laman home sudah tampil aja, bahaya dong, kalau terinstall extension mungkin akan ada sebuah warning.

[1]. https://chromium.googlesource.com/chromium/src/+/main/docs/idn.md

Ane coba di firefox v.95 tampilannya juga sudah berubah ke "xn--", padahal masih default.


Di default edge v.96 juga sama:


Mungkin ini untuk browser yang tidak up to date ya? Yang keluaran baru tentunya sudah memperbaiki hal ini.
Baru tau juga ane bisa berubah gitu.

Saya baru tahu istilah mengenai punycode ini, terima kasih agan Masulum

Setelah saya coba-coba, ternyata ada beberapa informasi lanjutan yang saya dapatkan mengenai hal tersebut.

Untuk di browser Firefox versi 95.0, walaupun saat konfigurasi IDN_show_punycode masih belum diaktifkan, untuk tampilan preview URL-nya masih persis seperti gambar terakhir di OP. Yang membedakannya adalah ketika link tersebut sudah dikunjungi, tampilan link tersebut di URL bar berbeda.

Saat konfigurasi tersebut tidak aktif, tampilan di URL bar akan menampilkan link , tetapi ketika sudah diaktifkan, tampilan di URL bar menjadi
Kalau di browser lain saya sempat mencoba di Safari 15.1 dan Chrome 96.0, mengenai konfigurasi punycode tersebut sudah diaktifkan secara default.

Untuk domain IDN/punycode(?) lainnya saya juga sempat coba di link berikut:
Di domain tersebut juga terdapat artikel tambahan mengenai punycode: Phishing with Unicode Domains.

INTRO

Menurut Wikipedia, Punycode adalah representasi dari Unicode dengan subset karakter ASCII terbatas yang digunakan untuk nama host Internet. Menggunakan Punycode, nama host yang berisi karakter Unicode ditranskode ke subset ASCII yang terdiri dari huruf, angka, dan tanda hubung, yang disebut subset Letter-Digit-Hyphen (LDH). Misalnya, München (nama Jerman untuk Munich) dikodekan sebagai Mnchen-3ya. Nah, Punycode ini sangat sering digunakan untuk mengelabuhi pengguna website agar terjerumus ke website phising.

Metode ini sebenarnya sudah dibahas di berbagai komen di sub forum Begginer & Helps, tetapi sepertinya di SFI masih belum ada yang membahas, jadi saya putuskan untuk membagikan kepada member SFI yang mungkin tidak menemukan post tersebut.

Untuk list ASCII Extended bisa dilihat dihalaman ini: https://www.lookuptables.com/text/extended-ascii-table

TUJUAN

Tujuan pembuatan thread ini adalah untuk menginformasikan betapa bahayanya kita kalau terjebak pada web phising yang menggunakan punycode. Karena, secara tidak sadar kita akan melihat bahwa address yang kita kunjungi adalah benar, padahal address tersebut sebenarnya salah.


TOPIK

Untuk metode pertama saya akan membagikan cara aktivasi punycode di Firefox, jika ada waktu luang selanjutnya saya akan mencari cara aktivasi di browser lain. Atau bisa jadi di browser lain sudah otomatis deteksi punycode (saya belum mencoba).

AKTIVASI PUNYCODE DI FIREFOX

1. Buka tab bar
2. Ketik kode berikut pada address bar

Anda akan melihat halaman seperti ini


Langsung saja klik button biru.

3. Anda akan diarahkan ke halaman konfigurasi, kemudian masukkan kode di bawah ini pada bagian search/pencarian.

Anda akan melihat halaman seperti ini


Kemudian, klik dua kali pada menu

Jika Anda melihat pada gambar diatas, status network.IDN_show_punycode adalah false, dan ketika Anda klik 2x, maka statusnya akan menjadi true seperti gambar dibawah ini



Setelah Anda menjalankan 3 langkah di atas, langsung saja tutup browser Anda, dan coba dengan menggunakan alamat website dengan punycode. Ini adalah contohnya


jika sudah aktif, Anda akan melihat alamat seperti ini pada browser Anda



Dari yang awalnya kita melihat sebagai binance, ternyata huruf n kedua bukan n biasa. karena punycode diaktifkan, kita dapat mengetahui lebih awal karena nampak aneh pada preview seperti yang Anda bisa lihat pada bagian yang saya tandai, .

Aktivasi punycode pada firefox Anda sudah selesai.

NOTE
Ini adalah langkah pencegahan yang dapat Anda lakukan agar terhindar dari phising. Jika Anda masih menjadi korban phising website punycode, itu artinya Anda masih kurang berhati-hati.