Нові домени Google .zip і .mov — це інцидент безпеки, який чекає свого розвитку

Деякі з нових доменів Google виглядають як розширення файлів, що може створити додаткові проблеми для користувачів.

Інтернет контролюється дуже суворим набором правил, якими в основному керує Інтернет-корпорація з присвоєння імен і номерів (ICANN). Лише ICANN має повноваження над доменами верхнього рівня (TLD), як-от .com, .org, .net та будь-якими іншими URL-адресами, які тільки можна придумати. Однак він делегує відповідальність за ці домени верхнього рівня низці затверджених організацій. Однією з таких організацій є Google, і Google щойно запустив .dad, .phd, .prof, .esq, .foo, .nexus, .zip і .mov.

Наслідки наявності доменів верхнього рівня .zip і .mov викликають особливе занепокоєння, оскільки це широко використовувані розширення файлів. Уявіть, що ви керуєте фішинговим сайтом у домені .zip і надсилаєте його людині, яка може бути не такою технічною підкованістю, як ви. Вже є сайт під назвою financialstatement.zip це демонструє, як саме це виглядатиме, і це може бути страшним. Але це лише потенціал, і я сумніваюся, що це стане настільки великою проблемою, як може здатися.

Чому домени .zip можуть бути проблемою

Значна кількість програмного забезпечення автоматично перетворює посилання, які виглядають як URL-адреси, у щось, що можна натиснути, і це має на те поважну причину. Рядок, який закінчується на .com, майже завжди буде веб-сайтом, і те саме стосується практично всіх доменів верхнього рівня. Програмне забезпечення поки що не зробить цього з доменами .zip, оскільки програми потребують оновлення, але оскільки вони отримують оновлення з оновленими списками TLD, імовірно, що .zip буде включено в дещо. Тепер, принаймні, коли хтось каже щось на зразок «Будь ласка, знайдіть прикріплений файл financialstatement.zip». дещо програми автоматично перетворять це на фактичне посилання, яке можна натиснути. Враховуючи, що особа, яка отримує електронний лист, очікує отримати zip-файл, зловмисник може завантажити zip-файл на цей веб-сайт, тобто для кінцевого користувача ніщо навіть не виглядає недоречним.

Усі ці проблеми також стосуються розширення файлу .mov, який є форматом відеофайлу.

Встановлення загального розширення файлу верхнього рівня є досить недалекоглядним, особливо тому, що це може лише допомогти фішерам та іншим зловмисникам у спробах заплутати й ввести в оману потенційних жертв. Ми вже бачимо програмне забезпечення, яке перетворює домени верхнього рівня .zip на URL-адреси, які можна натиснути. Якщо хтось згадав a .zip у Twitter у старішому твіті, це ім’я файлу тепер доступне для натискання та приведе когось до веб-сайт. Хоча це траплялося завжди, .zip досі не був дійсним доменом верхнього рівня.

Досить часто хтось може десь написати назву zip-файлу, але вже не буде зрозуміло, чи це ім’я файлу, чи веб-сайт. Звичайно, ви можете використовувати контекстні підказки, але вони, швидше за все, з часом розмиватимуться та заплутатимуть людей, які не обов’язково будуть в курсі.

Технічно це не перший випадок, коли домен верхнього рівня має спільну назву з розширенням файлу, оскільки розширення файлу .com використовувалося на машинах MS-DOS. Тим не менш, часи дуже змінилися, і ми більше не використовуємо розширення файлу .com для виконуваних файлів. І це, ймовірно, не зміниться з .zip.

Ризики можуть бути перебільшені

На щастя, я не зовсім впевнений, що .zip і .mov є доповненнями на рівні кінця світу до списку TLD. Багато доменів верхнього рівня не є автоматично перетворюються програмами, і вам часто потрібно додавати https:// на початку вашої URL-адреси, якщо це нестандартний TLD, щоб зробити його доступним для натискання. У випадку таких сайтів, як Twitter, так, вони стають доступними для натискання, але більшість веб-сайтів і програм, ймовірно, не додадуть його до свого списку автоматично пов’язаних TLD оскільки галасу, пов'язаного з проблемами безпеки.

Інші домени, додані Google, також не є такими проблемними, оскільки домени верхнього рівня, як-от домени .dad і .phd, є цікавим способом створення більш персоналізованого веб-сайту. Ймовірно, це не така велика проблема, як багато хто здається. Це не чудово, але це ще не кінець форматів .zip або .mov, як ми їх знаємо.