Комментарий В начале мая Google Domains добавила поддержку восьми новых доменов верхнего уровня, два из которых — .zip и .mov — вызвали раздражение сообщества безопасности.
Причина, конечно же, в том, что .zip и .mov являются расширениями файлов. Таким образом, есть опасения, что злоумышленник может использовать эти TLD, чтобы запутать людей, посетив вредоносный веб-сайт, а не открыв файл, среди других сценариев угроз.
Исследователь безопасности по имени «bobyr» привел пример проблемы с шаг Googleв Сообщение блога во вторник. Они указали, что, злоупотребляя известное поведение Chrome — один Google решил не исправлять — можно создать URL-адрес с символом Unicode, который отображается как косая черта — U+2215 (∕) — но не обрабатывается как косая черта, когда браузер извлекает URL-адрес.
И добавив оператор @ в URL-адрес, используемый для разграничения информации о пользователе (RFC 3986) частью схемы URL и игнорируется в большинстве современных браузеров, поскольку встроенная аутентификация несколько небезопасно – эта ссылка …
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
… рассматривается как …
v1271.zip
…потому что все, что находится перед разделителем @, рассматривается как информация о пользователе.
Полученный домен v1271.zip может быть зарегистрирован и использован для размещения, скажем, приложения Flask, которое отвечает на любой запрос вредоносным файлом .exe.
Такое поведение при синтаксическом анализе URL становится очевидным, если указанный выше URL вставлен в омнибокс Chrome. Chrome покажет сокращенный фактический адрес (все, что находится справа от знака @) поверх URL-адреса в качестве поискового запроса.
«bobbyr» утверждает, что этот метод может быть еще более эффективным в почтовом клиенте, таком как веб-версия Gmail, где знак @ может быть установлен на невидимый размер шрифта, чтобы URL-адрес выглядел еще более убедительно.
Однако другие почтовые клиенты отличаются. Apple Mail, например, просто использует гиперссылку на часть URL-адреса github.com в качестве ссылки и останавливается на U+2215 (∕), что непреднамеренно предотвращает создание небезопасной ссылки на домен v1271.zip.
Хотя существует некоторый риск путаницы, на самом деле это не намного больше, чем статус-кво, который допускает довольно много проблем, связанных с перекрывающимися именами, гомоглифы, и связанные с этим проблемы. Как отмечали другие, .com когда-то был распространенным расширением файлов Windows, а CC-TLD для Польши (.pl) остается расширением файла для Perl. CC-TLD острова Святой Елены (.sh) также является расширением файла для сценариев оболочки, а Республика Сербия использует общий CC-TLD (.rs) с расширением файла Rust.
«Неплохо, на самом деле»
Эрик Лоуренс, главный инженер-программист Microsoft и опытный специалист по браузерным спорам, недавно охарактеризовал появление .zip и .mov как «на самом деле неплохое».
В своем собственном Сообщение блога, Лоуренс допускает, что, возможно, есть некоторый риск из-за автоматических механизмов гиперссылок в приложениях — например, почтовых клиентах, которые превращают «VacationPhotos.zip» в связанный текст, указывающий на соответствующий домен .zip. Тем не менее, он утверждает, что это не особенно захватывающий или вероятный вектор атаки, и предполагает, что было бы неплохо исключить эти конкретные домены из процедур гиперссылок приложений.
Лоуренс также выразил скептицизм по поводу того, что URL-адреса, которые и без того сбивают с толку, станут гораздо более запутанными с помощью .zip и .mov. “URL-адреса уже невероятно тонкийи полагаться на то, что пользователи правильно разберут их в уме, — проигрышное предложение во многих измерениях», — заявил он.
Наконец, он считает, что потенциальные преимущества новых TLD заключаются в том, что новые домены могут развертываться с более строгими настройками безопасности по умолчанию для регистраторов. Он отмечает, что .zip и .mov входят в число 40 доменов верхнего уровня, включенных в Список предварительной загрузки HTTPS Strict Transport Security (HSTS)который указывает браузерам автоматически использовать безопасный TLS по умолчанию.
Google выразил аналогичное мнение в электронном письме Регистрдопуская, что злоупотребление возможно, но настаивая на том, что риск знаком и управляем.
«Риск путаницы между доменными именами и именами файлов не нов, — сказал представитель. Например, продукты 3M Command используют доменное имя command.comкоторая также является важной программой для MS-DOS и ранних версий Windows».
«В приложениях есть средства для устранения этого (например, Google Safe Browsing), и эти средства будут справедливы для TLD, таких как .zip. В то же время новые пространства имен предоставляют расширенные возможности для именования, такие как сообщество.zip и URL.zip.
«Google серьезно относится к фишингу и вредоносным программам, и в реестре Google есть существующие механизмы для приостановки или удаления вредоносных доменов во всех наших TLD, включая .zip. Мы будем продолжать отслеживать использование .zip и других TLD, и в случае появления новых угроз мы примем меры. соответствующие действия для защиты пользователей». ®
2023-05-17 09:22:00
1684320467
#Не #паникуйте #Google #предлагает #страшные #домены #.zip #.mov #это #не #конец #света #Register
