El 2004 fue un año que trajo consigo el tan esperado soporte de los IDNs en el primer browser comercial representado por Netscape 7.1 que usaba la tecnología del Mozilla 1.4 y que fue el primer browser en soportar los IDNs en el 2003. Mejoras en el navegador se incorporaron después en Mozilla 1.7 que eventualmente se convertiría en Firefox 1.0 en el 2004. Por fin tendrían los IDNers un posible atisbo a lo que podría ser el futuro y que todavía tomaría más de 4 años para llegar junto con el IE7, el soporte comercial generalizado de los dominios con la ñ.

Desafortunadamente en febrero 15 del 2005 a menos de un año después del tan esperado suceso algo cambiaría el destino de los IDNs hasta el día de hoy y con eso la manera que Firefox muestra los dominios IDN o Internationalized Domain Names. Hasta ese entonces los dominios IDNs eran mostrados con su representación en el lenguaje nativo en la barra de navegación a partir de ese momento las cosas cambiarían radicalmente, todo esto debido a Shmoo -una asociación de hackers sin fines de lucro estadounidenses que se dedica a proyectos de seguridad- que decide hacer una prueba para probar que en un hipotético caso de ataque homográfico, Firefox sería vulnerable, esto para probar una investigación realizada en el 2001 varios años antes de que ningún browser soportara la tecnología de IDNs.

Tomando PayPal com su ejemplo, la prueba básicamente consistió en mezclar caracteres latinos con cirílicos y probar como es difícil de distinguirlos en el browser. Para la fecha en que el grupo Shmoo escribe su reporte todos los browsers soportan los IDNs esto es Camino .8.5, Mozilla 1.6,  Safari 1.2.5  Opera 7.54, Omniweb 5 y no solamente Firefox, sin embargo el más afectado por una cascada de critica de los medios es precisamente Firefox, que había ganado mercado a su competidor IE6 debido precisamente a su soporte a esta tecnología.
 
Internet Explorer en ese momento necesitaba del iNav Plug-in para poder soportar los IDNs y no solo no se ve afectado por la embestida de los medios sobre Firefox si no que saldría airoso como el único browser que paradójicamente podía resistir un ataque homográfico, a pesar que era uno de los navegadores mas inseguros de su epóca por no haber sido actualizado por más de cinco años.

Muchas opciones se exploraron en la Fundación Mozilla, entre ellas mostrar a los IDNs en color rojo en la barra de navegación y con esto convertirlos en dominios de segunda clase, esto llevo a amargas discusiones entre los creadores de la tecnología IDN y el staff de Mozilla.
 
Debido a la gran presión mediática, el equipo de Mozilla anuncia en febrero 15 del 2007 que deshabilitaría la función que permite el spoofing al cambiar a false el setting 'network.enableIDN'  haciendo este setting como default y permitiéndole a los usuarios que en un futuro pudieran cambiarlo a su antojo, esto hasta la fecha, no ha ocurrido. Para entrar a la configuración de los settings de Firefox basta con escribir about:config .

Al hacer esto Firefox se convirtió junto con IE7 en los únicos browsers que muestran el punycode al escribir un Internationalized Domain Name o IDN.

Si deseas saber más sobre el tema puedes consultar estos sitios:

Internationalized Domain Names (IDN) Support in Mozilla Browsers. Mozilla Developer Center, Beta.
http://developer.mozilla.org/en/docs/Internationalized_Domain_Names_(IDN)_Support_in_Mozilla_Browsers

Implementation of Internationalized Domain Name support in Mozilla. William Tan, Research Engineer, i-DNS.net International Inc.
http://dready.org/papers/w3c_mozilla_idn/paper.html

Mozilla’s IDN Implementation. Darin Fisher. November 29, 2004.
http://www.icann.org/presentations/tan-1-idn-ct-01dec04.pdf

Shmoocon. The Shmoo Group.
http://www.shmoocon.org/
http://www.shmoo.com/idn/
https://www.paypal.com/
http://www.xn--pypal-4ve.com/
http://www.shmoo.com/idn/homograph.txt
http://www.shmoo.com/idn/homograph_old.txt

Study Urges Corporate Caution Before Downloading Firefox. Popular new browser is not immune to attacks, researchers say.
Matthew Broersma, Techworld.com.
http://www.pcworld.com/article/id,119650-page,1/article.html

Spoofing' trick affects many web browsers. NewScientist.com. Will Knight.
http://www.newscientist.com/article.ns?id=dn6985

Standard Deviations. Parand Tony Darugar’s Babblings. Anatomy of a Paypal Phishing Scam
http://www.parand.com/say/index.php/2006/07/06/anatomy-of-a-paypal-phishing-scam/

Firefox Phishing Danger. Rick Hellewell - from DigitalChoke.com
http://www.digitalchoke.com/daynotes/reports/firefox-phishing.php

Microsoft. Help and Support. Cannot view a Web site that uses an internationalized domain name by using Internet Explorer. Article ID:842848. Last Review:December 3, 2004. Revision:2.2.
http://support.microsoft.com/default.aspx?scid=kb;en-us;842848

The Mozilla Zine. Network.IDN show punycode
http://kb.mozillazine.org/Network.IDN_show_punycode

Protect against homograph attacks (spoofing using IDNs). Eric Johanson   2005-01-20
https://bugzilla.mozilla.org/show_bug.cgi?id=279099#c4

Lookit. a personal blog by Paul Hoffman. IDN spoofing solutions with balance. February 14, 2005
http://lookit.typepad.com/lookit/2005/02/idn_spoofing_so.html

Hacking for Christ. Gervase Markham. IDN Spoofing Strategy. February 15, 2005.
http://weblogs.mozillazine.org/gerv/archives/007556.html

Verisign, the value of trust. Web Addresses in your own Language.
http://www.idnnow.com/index.jsp