Hadmut Danisch

Ansichten eines Informatikers

Sicherheitsprobleme durch neue DNS-Top-Level-Domains

Hadmut
14.6.2009 18:29

Ich war diese Woche auf einer Informationsveranstaltung des ECO über die neuen Top-Level-Domains, die ICANN demnächst erlauben will. Ich sehe Sicherheitsprobleme.

ICANN will in Kürze, nach strengen Prüfungen und für ein Heiden-Geld neue Top-Level-Domains erlauben, deren Namen man sich mehr oder weniger frei aussuchen kann. Beispielsweise könnte dann ebay eine eigene TLD aufmachen und die verschiedenen Shops darunter anbieten. Google wäre auch ein Kandidat dafür. Amazon wird Probleme bekommen, weil bei geographischen Bezeichnern die jeweilige Gegend Vorrang hat, die TLD also an den Amazonas gehen würde. Zweibuchstabige TLDs werden wegen Verwechlungsgefahr mit den Country-Codes nicht genommen, ansonsten alles abgewiesen, was anstößig, religiös verletztend etc. sein könnte.

Ich halte das für – im Prinzip – sehr gefährlich. Denn häufig werden in LANs einstellige relative Domainnamen verwendet. Also Hostnamen ohne was dran. An solche fügt der Rechner normalerweise die default-Domain (die man entweder manuell in /etc/hosts bzw. der Windows-Netzwerkkonfiguration einstellt, oder vom DHCP mitgeliefert bekommt) an.

Spreche ich bei mir also den printserver an, und steht meine search-Domain auf danisch.de, sucht der Rechner zunächst unter printerserver.danisch.de. Klappt das nicht, versucht er direkt, das aufzulösen.

Wenn es jetzt aber schafft, beispielsweise die TLD printserver zu belegen und einen A-Record draufzulegen, würden immer dann, wenn bei mir mit meinem eigenen DNS etwas nicht richtig funktioniert, meine Druckaufträge an den Inhaber dieser TLD geleitet.

Gut, ist etwas an den Haaren herbeigezogen. Und ich habe auch nicht so einen printserver, war nur ein Beispiel. Es heißt aber, daß man künftig genau verfolgen sollte, welche TLDs angemeldet werden und dann darauf achten, daß man keine hostnamens-Kollisionen hat.

Ob die das bedacht haben?

Ein Kommentar (RSS-Feed)

yasar
14.6.2009 20:02
Kommentarlink

Offensichtlich haben sie es nicht bedacht, denn sonst würden sie solchen Blöedsinn nicht machen.

ich erlebe es oft genug (meist bei Privatkunden oder kleine Firmen), die als tld für den lokalen Gebrauch nicht das übliche .local (auch wenn das sehr oft Probleme macht) sondern ihren Nach-/Firmennamen, wenn nicht gar einen Phantasienamen, so ist ganz sicher damit zu rechnen, daß bald alles mögliche schiefgehen wird, wenn das durchgeht.

Natürlich wäre es schön, wenn jeder seine eigene TLD hätte. Aber die Probleme die wir damit sicher bekommen werden, wiegen schwerer. Und nicht jeder hat jemanden zur Hand oder kann jemanden bezahlen, der sein lokales DNS reparieren kann.

PS: Ich selbst habe bei mir einige print- und andere Server laufen, die nach einem sicher nicht einzigartigen Namensschema benannt sind Auch da würde sich garantiert ein Fehler in der NS-Konfiguration fatal auswirken. wenn ein “böser Bube” sich passende TLD’s aneignen würde.