Гоогле-ови нови .зип и .мов домени су безбедносни инцидент који чека да се догоди

Неки од Гоогле-ових нових домена изгледају као екстензије датотека, што би могло узроковати више проблема корисницима.

Интернет је под контролом веома стриктног скупа правила, којима управља углавном Интернет корпорација за додељена имена и бројеве (ИЦАНН). Само ИЦАНН има надлежност над доменима највишег нивоа (ТЛД), као што су .цом, .орг, .нет и сваки други завршетак УРЛ-а којих се можете сетити. Међутим, он делегира одговорност ових ТЛД-ова на један број одобрених организација. Једна таква организација је Гугл, а Гугл је управо лансирао .дад, .пхд, .проф, .еск, .фоо, .некус, .зип и .мов.

Импликације поседовања .зип и .мов ТЛД-а су посебно забрињавајуће јер су то најчешће коришћене екстензије датотека. Замислите да управљате сајтом за крађу идентитета на .зип домену и пошаљете га особи која можда није толико упућена у технологију као ви. Већ постоји веб локација под називом финанциалстатемент.зип то тачно показује како би то изгледало, а то има потенцијал да буде застрашујуће. Али то је само потенцијал, и сумњам да ће то постати толико велики проблем као што се чини.

Зашто .зип домени могу бити проблем

Значајна количина софтвера аутоматски претвара везе које изгледају као УРЛ адресе у нешто на које се може кликнути и то са добрим разлогом. Низ који се завршава са .цом ће скоро увек бити веб локација, а исто важи и за скоро све ТЛД-ове. Софтвер то још увек неће учинити са .зип доменима пошто програми морају да се ажурирају, али пошто добијају ажурирања са ажурираним ТЛД листама, вероватно ће .зип бити укључен у неки. Сада, када неко каже нешто попут „Молимо да нађете приложену финанциалстатемент.зип“, барем неки програми ће то аутоматски претворити у стварну везу на коју се може кликнути. С обзиром на то да особа која прима е-пошту очекује да добије зип датотеку, нападач би могао да отпреми зип датотеку на ову веб локацију, што значи да крајњем кориснику ништа не изгледа као да је на месту.

Сви ови проблеми се односе и на екстензију датотеке .мов, која је формат видео датотеке.

Подешавање ТЛД-а на уобичајену екстензију датотеке је прилично кратковидо, посебно зато што може само помоћи пхисхерс и другим злонамерним актерима у покушају да збуне и доведу потенцијалне жртве у заблуду. Већ видимо софтвер који претвара .зип ТЛД-ове у УРЛ адресе на које се може кликнути. Ако је неко поменуо а .зип датотеку на Твиттер-у у старијем твиту, на име тог фајла се сада може кликнути и неко ће довести до веб сајт. Иако се ово увек дешавало, .зип до сада није био важећи ТЛД.

Сасвим је уобичајено да неко негде напише назив зип датотеке, али више неће бити јасно да ли је то назив датотеке или веб локација. Наравно, можете користити контекстне трагове, али они ће временом постати замагљени и збунити људе који можда нису нужно упознати.

Технички није први пут да ТЛД дели име са екстензијом датотеке од када се екстензија датотеке .цом користи на МС-ДОС машинама. Ипак, времена су се много променила и више не користимо екстензију датотеке .цом за извршне датотеке. А то се вероватно неће променити са .зип-ом.

Ризици су можда прецењени

Срећом, нисам сасвим сигуран да су .зип и .мов додаци на нивоу судњег дана на листи ТЛД-ова. Доста ТЛД-ова нису програми аутоматски конвертују и често морате да додате хттпс:// на почетак УРЛ-а ако је то нестандардни ТЛД да бисте га могли кликнути. У случају сајтова као што је Твиттер, да, на њих се може кликнути, али већина веб локација и програма га вероватно неће додати на своју листу аутоматских повезивања ТЛД-ова јер узбуне у вези са безбедносним бригама.

Ни други домени које је Гоогле додао нису толико проблематични, јер су ТЛД домени као што су .дад и .пхд домени забаван начин да се направи персонализованија веб локација. То вероватно није тако велики проблем као што многи мисле да јесте. Није сјајно, али није крај .зип или .мов форматима какве познајемо.