.zip (nTLD)
| Top-Level-Domain .zip | |
|---|---|
| Einführung | 2. April 2023 |
| Kategorie | Neue Top-Level-Domains |
| Registry | |
| Vergabe | uneingeschränkt |
Die Top-Level-Domain (TLD) .zip wurde 2023 eingeführt und gehört zur Kategorie der neuen Top-Level-Domains. Die Registry für diese TLD ist Google und die Vergabe erfolgt uneingeschränkt.
Eine Besonderheit der .zip TLD ist, dass sie auf der HSTS-Preload-Liste steht. Das bedeutet, dass für alle HTTPS-Verbindungen und Web-Browser welche HSTS und die HSTS-Preload-Liste unterstützen und aktiviert haben, die verschlüsselte Übertragung mittels HTTPS gewählt wird.
Sicherheitsbedenken[Bearbeiten | Quelltext bearbeiten]
Die Einführung der .zip TLD hat bei Cybersecurity-Experten Bedenken ausgelöst. Zum einen wird oft angeführt, dass Nutzer eine .zip-Domain leicht mit einer einfachen Datei verwechseln könnten, da die TLD aktuell nicht weitreichend bekannt ist. So kann beispielsweise in einer E-Mail die alleinige Verwendung des Wortlauts example.zip vom E-Mail-Client des Empfängers als Link interpretiert werden und eine potentiell unbeabsichtigte oder auch böswillige Referenz zu einer Website entstehen.
Zum anderen bieten diese Domains die Möglichkeit, im Kontext von Spoofing missbraucht zu werden.[1][2] Der Grund dafür ist die Art und Weise, wie moderne Browser mit URIs umgehen. Diese können einen Authority-Teil enthalten, der die Möglichkeit eröffnet, Benutzinformationen gefolgt von einem @ und dem eigentlichen Host anzugeben. Häufig werden die Benutzerinformationen so gewählt, dass diese einer Domain ähneln, um den Anschein zu erwecken, es hielte sich hierbei um den tatsächlichen Host-Teil mit der Domain. Dazu werden die Unicode-Zeichen U+2044 (⁄) und U+2215 (∕), die in den Benutzerinformationen erlaubt sind und einem „echten“ Schrägstrich ähnlich sehen, eingebaut. Diese TLD ist besonders relevant für solche Attacken, da sie den Eindruck erweckt, es würde auf eine Zip-Datei verlinkt werden. Mit dieser Methode können auch Phishing-E-Mails erstellt werden.[3]
Dies könnte zum Beispiel so aussehen
https:⁄⁄de.wikipedia.org⁄downloads⁄@vertrauen.zip
In diesem Fall wird alles vor dem @ wie ein Nutzername bzw. Passwort behandelt und alles danach als Domain, was dazu führt, dass der vermeintlich seriöse "Wikipedia Download" jetzt eine Verbindung zu http://vertrauen.zip aufbaut. Einer Domain, welche von einem potentiellen Angreifer kontrolliert werden könnte. In diesem Beispiel nutzt der Browser alles vor dem Doppelpunkt (https) als Nutzername, und alles danach bis zum @ (de.wikipedia.org⁄downloads⁄) als Passwort.
Weblinks[Bearbeiten | Quelltext bearbeiten]
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
- ↑ Golem.de: IT-News für Profis. Abgerufen am 18. Mai 2023.
- ↑ Mark Stockley: Zip domains, a bad idea nobody asked for. 18. Mai 2023, abgerufen am 24. Mai 2023 (englisch).
- ↑ Twitterbeitrag. Abgerufen am 18. Mai 2023 (englisch).