Google wprowadził niebezpieczną domenę: .zip
Google stworzyło nową top-domenę (TLD) pozwalającą na rejestrowanie adresów kończących się na ".zip". Taka nazwa to spory potencjał do nadużyć, dzięki któremu przestępcy mogą rejestrować mylące adresy, udające linki do plików.
17.05.2023 07:47
Domena o takim samym sufiksie, co plik skompresowany wprowadza więcej problemów niż tylko "nie wiadomo, czy to URL czy nazwa pliku". Adresy kończące się na .zip można wykorzystywać do stworzenia URL-i udających prowadzenie do wiarygodnej domeny (np. outlook.com), prowadzących tak naprawdę pod (złośliwy) adres w top-domenie TLD. Choć sztuczka, która na to pozwala, jest możliwa do zastosowania w dowolnej domenie, .zip jest dodatkowo mylące.
Nazwy użytkowników w URL
W jaki sposób? Stosując w URL-u znak małpy (@), da się stworzyć link, który nie tylko prowadzi pod dany adres, ale także stosuje wstępnie podaną nazwę użytkownika, jeżeli strona poprosi o logowanie. HTTP obsługuje logowanie wewnątrz własnego standardu, jest ono po prostu niewystarczająco elastyczne do codziennego użytku, przez co stosowane rzadko i zapomniane. URL-e stosujące małpy są dziś na tyle rzadkie, że wiele osób nie wie, że symbol "@" ma specjalne przeznaczenie nie tylko w adresach mailowych, ale w ogóle we wszystkich adresach URL.
Przykładowe łącze http:// forum.adres.pl∕regulaminy∕pliki∕@regulamin-20230516.zip wcale nie prowadziłoby do pliku "regulamin-20230516.zip" w katalogu "regulaminy/pliki" na serwerze "adres.pl". Zamiast tego, usiłuje on zalogować użytkownika o nazwie "forum.adres.pl∕regulaminy∕pliki∕" do strony głównej pod adresem "regulamin-20230516.zip". Adres ten może być, potencjalnie złośliwy i nikogo nigdzie nie logować, zamiast tego podrzucając wirusy.
Dalsza część artykułu pod materiałem wideo
A po linku wcale tego nie widać. Na pierwszy rzut oka istotnie prowadzi on na "forum.adres.pl". Niestety, zastosowanie znaku małpy czyni całą część adresu przed nią - nazwą użytkownika, którą należy w głowie "wykreślić" patrząc na taki URL. Małpy działają tak z każdym URL-em, ale dotychczas nie dało się zarejestrować domeny pod adresem tak łatwo udającym link do pliku.
Unicode
Druga pomocna sztuczka, która może jeszcze bardziej zaciemnić obraz w kwestii adresu, to nazwa użytkownika zawierająca ukośniki. Czynią one URL wizualnie wiarygodniejszym (jak powyżej). Problem w tym, że na naszym przykładzie, ukośniki w nazwie pliku nie są prawdziwe. To nie "slash", tylko symbol U+2215 DIVISION SLASH, z jakiegoś powodu funkcjonujący jako dedykowany symbol Unicode już od wersji 1.1. Symbol ten jest oczywiście zakazany w domenach... ale w nazwach użytkownika już nie.
Jest duża szansa na to, że w top-domenie .zip nie będą zarejestrowane żadne "uczciwe" adresy. Zamiast tego będą się tam znajdować albo domeny zakupione dla żartu - albo przez przestępców. Jest jednak szansa na to, że reputacja domeny .zip będzie tak niska, że maile z linkami do niej z automatu wylądują w spamie. Niemniej, Google dorzucił swoim pomysłem sporo pracy administratorom.
Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl