<div><font class="Apple-style-span" face="georgia, serif">Martin,</font></div><div><font class="Apple-style-span" face="georgia, serif"><br></font></div><div><font class="Apple-style-span" face="georgia, serif">According to all of the information I have from our security people:<br>
</font><div><font class="Apple-style-span" face="georgia, serif"><br></font></div></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><span class="Apple-style-span" style="font-family:georgia,serif">IDNA spoofing is </span><i style="font-family:georgia,serif">far</i><span class="Apple-style-span" style="font-family:georgia,serif"> down on the list of importance compared to other ways to spoof. Average people are more swayed by the appearance of the page they land on than on the appearance of the url in the address bar. The average person doesn't distinguish:</span></div>
</div><div><div><font class="Apple-style-span" face="georgia, serif"><br></font></div></div><div><div><font class="Apple-style-span" face="georgia, serif"><a href="https://www.bankofamerica.com/deposits/index.action?body=check_overview&state=CA">https://www.bankofamerica.com/deposits/index.action?body=check_overview&state=CA</a> // a valid target</font></div>
</div><div><div><font class="Apple-style-span" face="georgia, serif"><a href="https://www.bankofamerica.com.deposits.index-action.me?body=check_overview&state=CA">https://www.bankofamerica.com.deposits.index-action.me?body=check_overview&state=CA</a> // bogus site</font></div>
</div><div><div><font class="Apple-style-span" face="georgia, serif"><br></font></div></div><div><div><span class="Apple-style-span" style="font-family:georgia,serif">The warnings that really grab people's attention are where (for example) a warning screen comes up before the contents appears, telling people that the content page is dangerous, and asking if they want to continue. Simply changing the appearance in the address bar is often overlooked.</span></div>
</div></blockquote><div><font class="Apple-style-span" face="georgia, serif"><br></font></div><div><font class="Apple-style-span" face="georgia, serif">That says to me that much it would be better to always show the Unicode characters (thus giving a uniform UI across browsers), but then provide a more obvious UI signal to users that the page is suspect (and for what reason). So from your example, the user should see <a href="http://www.xn--viagnie-eya.com/" target="_blank" style>http://www.viagénie.com</a> and <a href="http://xn--80abvnkf0a.xn--p1ai/" target="_blank" style>http://биатлон.рф</a> in all of the browsers.</font></div>
<div><font class="Apple-style-span" face="georgia, serif"><br></font></div><div><font class="Apple-style-span" face="georgia, serif">The Unicode vs Punycode UI is a blunt tool anyway; a separate UI signal out from that for gradations in the levels of warnings given to users. Thus the following could get different levels of warnings (depending on the user's language settings)—some being of the "you can't go farther without confirmation" sort:</font></div>
<div><ul><li><span class="Apple-style-span" style="font-family:georgia,serif">ѕех.рф (the 'sex' are all Cyrillic characters)</span></li><li><span class="Apple-style-span" style="font-family:georgia,serif"><a href="http://xn--e1a6a7b.com">ѕех.com</a> (the 'sex' are all Cyrillic characters)</span></li>
<li><span class="Apple-style-span" style="font-family:georgia,serif">pа<a href="http://ypal.com">ypal.com</a> (with just one Cyrillic а).</span></li><li><span class="Apple-style-span" style="font-family:georgia,serif">&c.</span></li>
</ul><div><font class="Apple-style-span" face="georgia, serif">User's could also get settings to turn off classes of errors, if they find that those get in the way based on their environment.</font></div></div><div><font class="Apple-style-span" face="georgia, serif"><br>
</font></div><div><font class="Apple-style-span" face="georgia, serif">On determining which pages are suspect because of their URL: </font><span class="Apple-style-span" style="font-family:georgia,serif">If we were in a world where we could depend on registries to police domain name labels, that would be simple for browsers and other clients. Such a Kumbaya planet bears little resemblance to our reality, though. And as far as I know, ICANN neither has the authority to require that every domain name label (at every level, such as the label 'foobar' in <a href="http://foobar.blogspot.co.uk">foobar.blogspot.co.uk</a>) meets some particular set of requirements, nor would it would be willing to certify (subject to legal damage claims?) that such is the case, even for those domain name labels that it can control.</span></div>
<div><font class="Apple-style-span" face="georgia, serif"><br></font></div><div><font class="Apple-style-span" face="georgia, serif">That says to me that whatever level of signaling that is required is largely up to the browsers; depending on the registries is just wishful thinking. Given that, I think some refinements of A look promising. There are a variety of different possibilities; it would probably be useful for interested parties to brainstorm on the most effective ones in practice.</font></div>
<div><ul><li><font class="Apple-style-span" face="georgia, serif">warn on mixed-script labels (allowing certain exceptions, essentially where there are no confusable characters between the scripts, like Latin + Hangul)</font></li>
<li><font class="Apple-style-span" face="georgia, serif">warn on mixed-script domain names.</font></li><li><font class="Apple-style-span" face="georgia, serif">warn on confusable characters outside of my languages</font></li>
<li><font class="Apple-style-span" face="georgia, serif">&c.</font></li></ul><div><font class="Apple-style-span" face="georgia, serif">Mark</font></div></div>