Google 近日推出了 8 个全新的顶级域名后缀,包括.dad, .phd, .prof, .esq, .foo, .zip, .mov, 以及 .nexus。这几个后缀目前还是广受争议,尤其是 .zip 和 .mov,很多安全专家表示了担忧。
一、新顶级域名后缀注册地址
目前看到的比较便宜的注册地址应该就是 Google domains:
不过上述地址无法访问,那么我们可以前往 NameCheap 注册,也是很便宜的。
NameCheap 的价格如下:
二、部分担忧转载
来自:
网络安全研究人员和 IT 管理员对谷歌新的 ZIP 和 MOV 互联网域名提出了担忧,警告说攻击者可能利用它们进行网络钓鱼攻击和恶意软件传输。
本月早些时候,谷歌推出了8个新的高级域名(TLD),可以购买用于托管网站或电子邮件地址。
这些新域名包括 .dad、.esq、.prof、.phd、.nexus、.foo,以及我们本篇提到的 .zip 和 .mov 域名。
虽然 ZIP 和 MOV 高级域名自 2014 年以来一直可用,但直到本月才开始普遍可用,允许任何人购买域名,如 bleepingcomputer.zip,用于建立网站。
然而,这些域名被认为是有风险的,因为这些域名也是论坛帖子、信息和在线讨论中经常分享的文件扩展名。
担忧
网上常见的两种文件类型分别是 ZIP 压缩文件和 MPEG 4 视频,其文件名以 .zip (压缩文件)或 .mov(视频文件)结尾。
因此,人们发布含有以 .zip 和 .mov 为扩展名的文件名是非常常见的。
然而,现在它们变成了域名,一些消息平台和社交媒体网站会自动将带有 .zip 和 .mov 扩展名的文件名转换成 URL。
例如,在 Twitter 上,如果你向某人发送 zip 文件和访问 MOV 文件的说明,这些无害的文件名会被自动转换成 URL,如下图所示。
当人们看到指示中的 URL 时,他们通常认为该 URL 可以用来下载相关文件,并可能点击该链接。例如,在 BleepingComputer 的文章、教程和讨论区中,我们通常是将文件名与下载链接起来,提供说明。
但是,如果攻击者拥有一个与链接文件名相同的 .zip 域名,那么人们可能会错误地访问该网站,并上当受骗或下载恶意软件。
虽然攻击者不太可能为了几个受害者而注册成千上万的域名,但只需要一个企业员工错误地安装恶意软件,整个网络都会受到影响。
滥用这些域名并不是理论上的,网络情报公司 Silent Push Labs 已经在 microsoft-office[.zip 上发现了一个类似钓鱼的页面,试图窃取微软账户的凭证。
网络安全研究人员也开始玩起了域名,Bobby Rauch 发表了关于利用 Unicode 字符和 URL 中的 userinfo 分隔符(@)开发的钓鱼链接的研究。
Rauch 的研究表明,攻击者先制作钓鱼网址,该网址看起来像 GitHub 上的合法文件下载网址,但实际上点击后会把你跳转到 v1.27.1[.]zip 的网站,如下图所示。
矛盾的观点
这些发现在开发者、安全研究人员和IT管理员中引发了一场争论,一些人认为这种担心是没有必要的,另一些人则认为ZIP和MOV域名给已经有风险的网络环境增加了不必要的风险。
人们已经开始注册与常见的ZIP压缩文件相关的 .zip 域名,如 update.zip、financialstatement.zip、setup.zip、attachment.zip、officeupdate.zip 和 backup.zip,以显示有关 ZIP 域名风险的信息。
开源开发者 Matt Holt 还要求将 ZIP 域名从 Mozilla 的公共后缀列表中删除。
然而,PSL 社区很快解释说,虽然这些域名可能有一点风险,但它们仍然有效,不应该从 PSL 中删除,因为这将影响合法网站的运作。
与此同时,其他安全研究人员和开发人员,如微软 Edge 开发人员 Eric,也表示他们认为关于这些新域名的担心是过度的。
当 BleepingComputer 就这些问题联系谷歌时,他们表示,文件和域名之间的混淆风险是长期存在的,浏览器的保护措施已经部署,以保护用户免受干扰。
域名和文件名之间的混淆风险并不是一个新问题。 例如,3M 公司的 Command 产品使用域名 command.com,这也是 MS DOS 和早期版本的 Windows 上的一个重要程序。应用程序对此有保护措施(如谷歌安全浏览),这些保护措施对 .zip 等域名也将适用。
同时,新的命名空间为命名提供了更多机会,如 community.zip 和 url.zip。谷歌非常重视网络钓鱼和恶意软件,谷歌注册处有一套机制来禁止或删除我们所有的恶意域名,包括 .zip。我们将继续监测 .zip 和其他域名的使用情况,如果出现新的威胁,我们将采取适当的行动来保护用户。” -——谷歌。
如何避免
证所周知,点击别人的链接或从你不信任的网站下载文件永远是不安全的。
像其他任何链接一样,如果你在信息中看到一个 .zip 或 .mov 链接,在点击它之前先研究一下。如果你仍然不确定该链接是否安全,请不要点击它。通过遵循这些简单的步骤,将新域名的影响降至最小。
然而,随着越来越多的应用程序自动将 ZIP 和 MOV 文件名变成链接,因此在上网时要时刻保持警惕。