Ogni indirizzo IP di produzione ha un nome host univoco, che è prevedibile, coerente, deterministico e completamente inutile per tutti tranne alcuni ingegneri che sospetto possano leggere questi indirizzi come una mappa. Questi nomi sono molto importanti per quelle persone; ma per il resto di noi ci interessa solo che non crei nuovi problemi.
È qui che entra in gioco l'XSS, perché i nomi di dominio sono molto importanti per la sicurezza. Sul web, un nome di dominio è un limite di sicurezza. I cookie, gli oggetti del browser e altre risorse sono condivisi liberamente all'interno di un dominio ma non possono attraversare quel confine senza alcune disposizioni. Pertanto, se ciascun indirizzo aveva un nome host che termina con "google.com" o "youtube.com" o qualsiasi altro dominio che ha associato risorse web, in teoria un utente malintenzionato potrebbe richiedere una risorsa che normalmente sarebbe all'esterno del dominio trusted, ma che è accessibile anche tramite il nome host assegnato dall'IP.
Piuttosto che trovare e risolvere tutti questi potenziali problemi, una soluzione più sicura è mettere gli hostname sul loro dominio unico che non viene mai utilizzato per altri scopi e quindi non può riservare sorprese indesiderate.
È anche interessante notare che non tutti gli tutti degli IP di Google utilizzano 1e100.net. Gli indirizzi sotto il controllo dell'utente come quelli assegnati alle istanze di Google Compute risolvono il problema con un nome che termina in googleusercontent.com.
Disclaimer: I work for Google.
Reclaimer: This is not an official Google response. I don't speak for Google. These thoughts and opinions are my own, and don't reflect those of my employer, my congressman, or the 80's rock band, Toto.