<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 3 April 2017 at 13:04, George Kadianakis <span dir="ltr"><<a href="mailto:desnacked@riseup.net" target="_blank">desnacked@riseup.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="gmail-HOEnZb"><div class="gmail-h5"><span style="color:rgb(34,34,34)">I'm calling it weird because I'm not sure how an</span><br></div></div>
attacker can profit from being able to provide two addresses that<br>
correspond to the same key, but I can probably come up with a few<br>
scenarios if I think about it.</blockquote><div><br></div><div>Hi George!</div><div><br></div><div>I'll agree it's a weird edge case :-)</div><div><br></div><div>I think the reason my spider-sense is tingling is because years of cleaning up after intrusions has taught me that sysadmins and human beings are very bad at non-canonical address formats, especially where they combine them with either blacklisting, or else case-statements-with-default-conditions.</div><div><br></div><div>If one creates scope for saying "the address is <foo>.onion but you can actually use <foo'>.onion or <foo''>.onion which are equivalent" - then someone will somehow leverage that either a) for hackery, or b) for social engineering.</div><div><br></div><div>Compare:</div><div><br></div><div>* <a href="http://017700000001">http://017700000001</a> </div><div>* <a href="http://2130706433">http://2130706433</a> </div><div>* <a href="http://0177.0.0.1">http://0177.0.0.1</a>  <- this one tends to surprise people<br></div><div>* <a href="http://127.0.0.1">http://127.0.0.1</a> </div><div><br></div><div>…and the sort of fun shenanigans that can be done with those "equivalent forms"</div><div><br></div><div>People who've been trained not to type [X] into their browser, might be convinced to type [X']</div><div><br></div><div>It's a lot easier for people to cope with there being one-and-only-one viable form for any given hostname or address-representation.</div><div><br></div><div>    -a</div><div><br></div><div> -- </div></div><div class="gmail_signature"><a href="http://dropsafe.crypticide.com/aboutalecm" target="_blank">http://dropsafe.crypticide.com/aboutalecm</a><br></div>
</div></div>