登记 谷歌 最近引入了 8 个新的顶级域,将 .dad、.phd、.prof、.esq、.foo、.nexus、.zip 和 .mov 添加到其不断增长的“最受欢迎”顶级域列表中,其中还包括.app 和 .dev。 然而,.zip 和 .mov 域在专家中引发了关于它们对 Internet 和网络安全的潜在影响的争论。
自 2014 年以来,.zip 和 .mov 顶级域已在 IANA DNS 记录中可用,但由于 Google 的参与,现在已公开可用。 现在任何人都可以购买“.zip”或“.mov”域,例如“root-nation.zip”,尽管这两个后缀长期以来一直用于表示压缩的 zip 文件存档和视频剪辑文件。
一些研究人员认为,两种极其流行的文件格式(Zip 标准由 Pkware 于 1989 年创建,距今 34 年)和新注册的 Web 域的融合将对互联网生态系统的安全造成新的威胁。 用户可能会被社交媒体或邮件中共享的恶意 URL 所欺骗,从而为网络犯罪分子提供新的“创造性”工具来推广恶意软件、网络钓鱼活动和其他恶意活动。
由于 zip 和 mov 现在是两个常见的顶级域,互联网服务和移动应用程序将被迫将“test.zip”或“test.mov”等文本片段视为在 Web 浏览器中打开的有效 URL。网络犯罪分子已经开始使用新域名,特别是现已失效的网络钓鱼页面“microsoft-office.zip”旨在窃取帐户凭据 Microsoft.
安全研究人员开发的一种新的利用策略包括使用 Unicode 字符和“@”符号来识别用户的能力,这是一种分发看起来像合法 Internet 地址的恶意 URL 的创造性方法。 被谷歌设想为一种新的自我表达和商业形式的“创意”互联网似乎比以往任何时候都更加脆弱。
然而,安全专家之间的争论仍在继续,因为一些开发者对新通用顶级域名 (gTLD) 并不抱有同样的“悲观情绪”。程序员 Microsoft 埃奇·埃里克·劳伦斯写道 Twitter, 关于 .zip 和 .mov 域的恐慌程度“简直可笑”。 谷歌强调,域名和文件名混淆的风险并不新鲜,谷歌注册表提供了必要的工具来暂停或删除公司控制的所有顶级域名中的恶意域名。
另请阅读: