Come proteggersi dallo sfruttamento utilizzando un dominio scaduto

10

Considera un dominio che è stato in uso attivo per un po 'di tempo ma non è più desiderato - forse la società è fallita o si è verificato un cambio di nome anni fa, o qualsiasi altra cosa. La registrazione del dominio verrà lasciata scadere.

Immagino che ci siano potenziali vettori di attacco da parte di "dumpster diving" un dominio scaduto di seconda mano.

Una cosa che posso pensare sono gli account utente registrati usando gli indirizzi e-mail dal dominio scaduto. Immagino che il nuovo proprietario del dominio scaduto possa inviare indirizzi email a moduli "password dimenticate" su qualsiasi sito e ottenere gli accessi agli account dormienti.

Alcuni accessi critici come gli account bancari, di hosting o DNS richiedono persino un indirizzo email secondario per aiutare gli utenti nel caso in cui perdano l'accesso al proprio indirizzo email principale. In realtà, sono spesso questi indirizzi secondari che vengono dimenticati di essere stati registrati una volta da qualche parte. Questo potrebbe lasciarli sfruttabili se quell'e-mail secondaria dormiente finisse nelle mani di qualcun altro un giorno.

Ci sono altri exploit conosciuti che si preoccupano dei domini scaduti?

Quando si pianifica di liberare un dominio, quali passi si possono fare per proteggere gli utenti originali del dominio?

    
posta Andrew Vit 23.11.2011 - 11:49
fonte

2 risposte

19

Questo è un nobiluomo. Non lasciare che il dominio decada. I domini sono economici, gli incidenti di sicurezza sono costosi.

    
risposta data 23.11.2011 - 12:32
fonte
2

Contatta tutti i tuoi utenti e informa che stai lasciando libero il tuo dominio. Dite loro i rischi per la sicurezza se non aggiornano gli indirizzi e-mail, ecc. Quindi date loro un ragionevole lasso di tempo per apportare le modifiche.

Un'altra via d'attacco sarebbe che un utente malintenzionato può clonare il sito Web, quindi rimetterlo in backup e attendere che le persone provino ad accedere. Di nuovo, notificare agli utenti di correggerlo, ma concedere loro un sacco di tempo. Inoltre, alcuni mesi / anni prima di liberare il dominio, sostituire il sito Web con una pagina statica che riporta le stesse informazioni di avviso.

    
risposta data 23.11.2011 - 18:47
fonte

Leggi altre domande sui tag