Czy nazwa domeny coś znaczy?
Dziennik Internautów zamieścił artykuł, że istotnym wzrostem bezpieczeństwa zapobiegającym phishingowi byłoby stworzenie specjalnych domen .safe oraz .bank.
Pytanie, czy nazwa domeny coś znaczy? Czy nadal domeny .com to tylko rzeczy komercyjne, czy .org to tylko organizacje, czemu nie powstały domeny XXX? Pytanie jest czysto retoryczne. Teoretycznie domenę .us powinny posiadać jedynie podmioty fizycznie znajdujące się na rynku amerykańskim (chyba nawet dość fizycznie) a tak naprawdę nie ma z tym większego problemu. Jeśli wprowadzimy koncesjonowanie tych domen (np. tylko dla zarejestrowanych podmiotów) to wprowadzimy dużo większe problemy - brak konkurencji.
Po pierwsze trzeba by określić międzynarodowe standardy czym taka instytucja jest i jakimi dokumentami powinna się charakteryzować. Nawet jeśli to zrobimy… to ja i tak nie wierzyłbym papierom pochodzącym chociażby z Nigerii…
Po drugie - zdobycie pożądanych dokumentów rodzi problemy natury finansowej - one zazwyczaj nie mało kosztują. Jeśli tego nie zrobimy a użytkownicy zostaną wyedukowani to przecież nikt nie będzie korzystał z usług sklepów który się nie zautoryzuje w safe, co zdecydowanie podniesie koszty obsługi (monopolizacja rynku).
Po trzecie załóżmy, że jakieś podmioty w jakimś kraju nazywają się podobnie - to kto powinien mieć domenę safe? Jeśli powiemy, że to zależy od kraju, to po co wprowadzać domeny TLD .safe a nie safe.<ISO_County_Code>?
I te trzy punkty chyba nie wyczerpują do końca tematu…
Po czwarte (dla mnie najciekawsze) - otwieramy nowy wektor ataku, który może spowodować paraliż internetu. Już teraz nie aż tak rzadkie są problemy z serwerami DNS, które wydają się najsłabszym elementem internetowej układanki. Jeśli wprowadzilibyśmy prawie automatyczne ufanie nazwie domeny, to ataki na różnego rodzaju lokalne resolvery, serwery odpowiedzialne za obsługę domen, DNS poisoning etc. wzrosną niepomiernie. A przecież wystarczy zrobić dobrego DDOSa na najpopularniejsze NSy, żeby połowa ludzi miała poważne problemy z dostępem do internetu (NSy głównych operatorów telekomunikacyjnych, TLD, główne bazy krajowe).
To wcale nie wydaje się takie niewykonalne - na razie po prostu jest to nieopłacalne (bo można taniej osiągnąć odpowiedni poziom phishingu), ale jak uczy nas ekonomia, jeśli zasoby stają się ograniczone, to wzrasta akceptowalny poziom kosztów, które dla osiągnięcia rezultatu gotowi jesteśmy ponieść. A że przypadkowymi ofiarami może być całkiem spore grono użytkowników Internetu? Cóż - collateral damage…
Comments
Comment from vermin
Time: 11/04/07, 7:25
To czego uczą w szkołach to ogólnie porażka - uczą o HTML zamiast mówią o XML, nie wspominają o wielowarstwowej logice tworzenia aplikacji… Ba, jak donosi mi kolega, to nawet niektórzy na Uniwerku Warszawskim nie do końca rozumieją co powinno się generować gdzie, że powinno sią maksymalnie separować logikę aplikacji od wyglądu a dane dostarczaą w uniwersalnych formatach…
Co do PS, to nie chce mi sią przebudowywać tego layoutu. Na razie mi sią podoba, ale muszą poszukać jednak czegoś ciekawego, bo to nie do końca to.
Comment from Ktos
Time: 09/04/07, 18:15
Nazwa domeny nic nie znaczy. Już dawno przestała, a w szkołach ciągle o tym uczą swoją drogą.
Poza tym już sobie wyobrażam piękny atak na DNS i spowodowanie, że jakaśtam strona staje się dostępna pod domeną .safe. A jakby przeglądarki automatycznie włączały dla takich domen jakieś obniżone restrykcje… mniam
PS. A co w tym polu komentarza taka mikroskopijna czcionka?