با استفاده از نمادهای کاراکترهای نمایشی برای دور زدن HSTS و کلید عمومی با دزدی DNS از طریق حمله MITM
تغییر مسیر: facebook.com -> faceḃook.com
–
من SSLStrip را با استفاده از تکنیک اضافه کردن یکی دیگر از "w" به دامنه {www.facebook.com -> wwww.facebook.com} برای دور زدن HSTS و پین کردن کلید عمومی. با این حال، این به وضوح آدرس اصلاح شده را نشان می دهد. من احساس می کنم که بیشتر به استفاده از شخصیت های خیره کننده برای انجام عمل جاسوسی DNS می پردازیم.
در ایده مفهوم کامل من، هر حرف یک مجموعه قابل تعویض از شخصیت های دنباله دار را دارد:
بنابراین، www.facebook.com -> {www .facebook.com، www.faceḃook.com، www.facebooκ.com}
هر یک از موارد فوق باید HSTS را دور بزند.
من می توانم مقادیر کمتری را با داشتن پیش بارگذاری HSTS با HSTS no_redirect ببینم، این ایده از no_redirect باعث می شود که مرورگر HTTP را برای وب سایت های شناخته شده HSTS جلوگیری کند.
سوال من این است که چگونه این مدل از شخصیت های دودویی برای دور زدن HSTS تقویت می شود برای ماهیت مخفیانه بیشتر. همانطور که Google Chrome مدرن برای صفحات وب HTTP "Not Secure" را نشان می دهد که یک پرچم بزرگ قرمز است
