Новите .zip и .mov домейни на Google са инцидент със сигурността, който чака да се случи

Някои от новите домейни на Google изглеждат като файлови разширения, което може да причини повече проблеми на потребителите.

Интернет се контролира от много строг набор от правила, управлявани най-вече от Интернет корпорацията за присвоени имена и номера (ICANN). Само ICANN има власт над домейни от първо ниво (TLD), като .com, .org, .net и всеки друг URL адрес, за който можете да се сетите. Той обаче делегира отговорността за тези TLD на редица одобрени организации. Една такава организация е Google и Google току-що стартира .dad, .phd, .prof, .esq, .foo, .nexus, .zip и .mov.

Последствията от наличието на .zip и .mov TLD са особено тревожни, тъй като това са често използвани файлови разширения. Представете си, че работите с фишинг сайт на домейн .zip и го изпращате на човек, който може да не е толкова разбираем в технологиите, колкото сте. Вече има уебсайт, наречен financialstatement.zip което показва как точно би изглеждало това и има потенциала да бъде страшно. Но това е само потенциалът и се съмнявам, че ще стане толкова голям проблем, колкото може да изглежда.

Защо .zip домейните могат да бъдат проблем

Значително количество софтуер автоматично преобразува връзки, които изглеждат като URL адреси, в нещо, върху което може да се кликне и има основателна причина. Низ, който завършва с .com, почти винаги ще бъде уебсайт и същото важи за почти всички TLD. Софтуерът все още не може да направи това с .zip домейни, тъй като програмите трябва да бъдат актуализирани, но тъй като те получават актуализации с актуализирани TLD списъци, вероятно е .zip да бъде включен в някои. Сега, когато някой каже нещо като „Моля, намерете прикачения financialstatement.zip“, поне някои програмите автоматично ще преобразуват това в действителна връзка, върху която може да се кликне. Като се има предвид, че лицето, което получава имейла, очаква да получи zip файл, нападателят може да качи zip файл на този уебсайт, което означава, че за крайния потребител нищо дори не изглежда неуместно.

Всички тези опасения се отнасят и за файловото разширение .mov, което е видео файлов формат.

Задаването на TLD на общо файлово разширение е доста недалновидно, особено тъй като може само да помогне на фишърите и други злонамерени участници в опитите да объркат и подведат потенциалните жертви. Вече виждаме софтуер, който преобразува .zip TLD в URL адреси, върху които може да се кликне. Ако някой е споменал а .zip файл в Twitter в по-стар туит, това име на файл вече може да се кликне и ще доведе някого до уебсайт. Въпреки че това винаги се е случвало, .zip не беше валиден TLD досега.

Доста обичайно е някой да напише някъде име на zip файл, но вече няма да е ясно дали това е име на файл или уебсайт. Разбира се, можете да използвате контекстни улики, но те вероятно ще се замъглят с времето и ще объркат хората, които не е задължително да са запознати.

Технически това не е първият път, когато TLD споделя име с файлово разширение, тъй като файловото разширение .com се използва на машини с MS-DOS. Все пак времената много се промениха и ние вече не използваме файловото разширение .com за изпълними файлове. И това вероятно няма да се промени с .zip.

Рисковете може да са надценени

За щастие, не съм съвсем сигурен, че .zip и .mov са допълнения на ниво Страшния съд към списъка с TLD. Изобилие от TLD не са автоматично се преобразува от програми и често трябва да добавите https:// в началото на вашия URL адрес, ако това е нестандартен TLD, за да можете да щракнете върху него. В случай на сайтове като Twitter, да, върху тях може да се кликва, но повечето уебсайтове и програми вероятно няма да го добавят към списъка си с автоматично свързващи TLD защото на шума във връзка със сигурността.

Другите домейни, които Google добави, също не са толкова проблематични, като TLD домейните като .dad и .phd са забавен начин да направите по-персонализиран уебсайт. Вероятно не е толкова голям проблем, колкото мнозина го представят. Не е страхотно, но не е краят на познатите ни .zip или .mov формати.