Sommige nieuwe domeinen van Google zien eruit als bestandsextensies, wat voor meer problemen voor gebruikers zou kunnen zorgen.
Het internet wordt gecontroleerd door een zeer strikte reeks regels, die grotendeels worden beheerst door de Internet Corporation for Assigned Names and Numbers (ICANN). Alleen de ICANN heeft autoriteit over topniveaudomeinen (TLD), zoals .com, .org, .net en elke andere URL-uitgang die je maar kunt bedenken. Het delegeert de verantwoordelijkheid voor deze TLD's echter aan een aantal goedgekeurde organisaties. Eén zo'n organisatie is Google, en Google heeft zojuist .dad, .phd, .prof, .esq, .foo, .nexus, .zip en .mov gelanceerd.
De implicaties van het hebben van een .zip- en .mov-TLD zijn bijzonder zorgwekkend omdat dit veelgebruikte bestandsextensies zijn. Stel je voor dat je een phishing-site exploiteert op een .zip-domein en die naar iemand stuurt die misschien niet zo technisch onderlegd is als jij. Er bestaat al een website genaamd financieel overzicht.zip dat laat precies zien hoe dat eruit zou zien, en dat kan eng zijn. Maar het gaat alleen om het potentieel, en ik betwijfel of het zo'n groot probleem zal worden als het lijkt.
Waarom .zip-domeinen een probleem kunnen zijn
Een aanzienlijke hoeveelheid software converteert links die op URL's lijken automatisch naar iets klikbaars, en met goede reden. Een string die eindigt op .com zal bijna altijd een website zijn, en hetzelfde geldt voor vrijwel alle TLD's. Software doet dit nog niet met .zip-domeinen omdat programma's moeten worden bijgewerkt, maar naarmate ze updates krijgen met bijgewerkte TLD-lijsten, is het waarschijnlijk dat .zip wordt opgenomen in sommige. Als iemand nu iets zegt in de trant van: 'Zoek financialstatement.zip als bijlage', tenminste sommige programma's zullen dit automatisch omzetten in een daadwerkelijke klikbare link. Aangezien de persoon die de e-mail ontvangt een zip-bestand verwacht, kan een aanvaller een zip-bestand naar deze website uploaden, wat betekent dat voor de eindgebruiker niets misplaatst lijkt.
Deze zorgen zijn allemaal ook van toepassing op de bestandsextensie .mov, een videobestandsindeling.
Het instellen van een TLD op een algemene bestandsextensie is nogal kortzichtig, vooral omdat het phishers en andere kwaadwillende actoren alleen maar kan helpen bij hun pogingen om potentiële slachtoffers te verwarren en te misleiden. We zien nu al software die .zip-TLD's omzet in klikbare URL's. Als iemand een .zip-bestand op Twitter in een oudere tweet, op die bestandsnaam kan nu worden geklikt en wordt iemand naar een .zip-bestand geleid website. Hoewel dit altijd is gebeurd, was .zip tot nu toe geen geldige TLD.
Het komt vrij vaak voor dat iemand ergens een zip-bestandsnaam schrijft, maar het is niet langer duidelijk of het een bestandsnaam of een website is. Natuurlijk kun je contextaanwijzingen gebruiken, maar die zullen in de loop van de tijd waarschijnlijk vervagen en mensen in verwarring brengen die er niet noodzakelijkerwijs van op de hoogte zijn.
Het is technisch gezien niet de eerste keer dat een TLD een naam met een bestandsextensie deelt sinds de bestandsextensie .com werd gebruikt op MS-DOS-machines. Toch zijn de tijden sterk veranderd en gebruiken we niet langer de .com-bestandsextensie voor uitvoerbare bestanden. En dat zal waarschijnlijk niet veranderen met .zip.
De risico's kunnen worden overschat
Gelukkig ben ik er niet helemaal zeker van dat .zip en .mov toevoegingen op het doemscenario zijn aan de lijst met TLD's. Veel TLD's zijn niet automatisch geconverteerd door programma's, en u moet vaak https:// aan het begin van uw URL toevoegen als het een niet-standaard TLD is om deze klikbaar te maken. In het geval van sites als Twitter worden ze inderdaad klikbaar, maar de meeste websites en programma's zullen deze waarschijnlijk niet toevoegen aan hun lijst met automatisch gekoppelde TLD's omdat van de ophef over veiligheidskwesties.
De andere domeinen die Google heeft toegevoegd zijn ook niet zo problematisch, waarbij TLD's zoals .dad- en .phd-domeinen een leuke manier zijn om een meer gepersonaliseerde website te maken. Het is waarschijnlijk niet zo'n groot probleem als velen beweren. Het is niet geweldig, maar het is niet het einde van de .zip- of .mov-formaten zoals we die kennen.