Домены. Все, что нужно знать о ключевом элементе Интернета
Шрифт:
Такая особенность управления доменным пространством вместе с появлением в 2010 году многоязычных доменов верхнего уровня дала неожиданный эффект в плане безопасности, позволяя фишерам (мошенникам, выманивающим различные пользовательские конфиденциальные и персональные данные) конструировать адреса, имитирующие многоязычные домены. Подробнее об этом – в разделе, посвященном безопасности DNS.
На
В мае 2010 года технология Punycode обрела воплощение в самых верхних доменных рядах. Появились первые многоязычные «официальные» домены верхнего уровня (арабские и кириллические).
Перед этим Punycode, по заданию ICANN, тщательно испытали в лабораториях и выяснили, что нет препятствий для использования этой технологии на корневых серверах DNS. В рамках этих испытаний в 2007 году ICANN создала специальный проект, позволяющий пользователям Интернета протестировать многоязычные имена «по полной программе». Для этого в «корневой системе» DNS Интернета были зарегистрированы специальные тестовые домены верхнего уровня, записанные символами различных национальных алфавитов. Так, для кириллических имен был предназначен адрес http://пример. испытание/, под которым размещены веб-страницы, позволяющие пользователям не только проверить доступность адреса из того или иного браузера, но и оставить свои замечания, касающиеся использования технологии. Позже, после глобального распространения многоязычия DNS, тестовые домены удалили, сейчас они недоступны.
Раздвоение личности
Удобная технология работы многоязычных имен все же привела к возникновению некоторых организационных трудностей. Первая и, наверное, главная из этих трудностей связана с тем, что с формально-юридической точки зрения всякое доменное имя, включающее символы национальных алфавитов, оказывается совокупностью двух имен. Точнее, двух представлений одного имени. Одно из этих имен – собственно имя домена, записанное с использованием «многоязычия». Второе имя – соответствующая комбинация ASCII-символов, используемая на уровне DNS. Связывает эти имена между собой только стандарт преобразования символов. «Расщепление» имени домена на два имени приводит к возникновению «войны доменных терминов»: какое имя считать первичным и самым главным?
В базе данных технического центра, управляющего доменом, очевидно, более важное значение приобретает «внутренний» вариант имени, то есть записанное ASCII-символами имя с префиксом xn-. Ведь именно это имя размещено в базе данных, и именно с ним фактически работает система DNS.
С точки зрения администратора домена, зарегистрировавшего доменное имя на национальном языке, очевидно, главную роль играет представление домена символами национального алфавита. Ведь именно это имя заинтересовало пользователя, и именно это имя он планировал зарегистрировать. Абракадабра из латинских букв и арабских цифр, начинающаяся префиксом xn-, обладателя прав на домен привет. рф вряд ли интересует.
Сложностей в ситуацию добавляет и тот факт, что связь между двумя именами устанавливается не законами или юридическими процедурами, а лишь существующим алгоритмом преобразования. Если этот алгоритм изменится или кто-то предложит использовать другой алгоритм, то связь между именами в реестре доменов (внутри DNS) и именами, которые регистрировали пользователи, может прерваться.
В самом трудном положении оказываются компании-регистраторы. Дело в том, что техническая служба, осуществляющая администрирование домена, может легко избежать всех
Нужно отметить, что, по различным причинам, возможно введение технических ограничений на использование тех или иных символов и последовательностей символов в именах xn-. И для того чтобы реализовать эти ограничения, технической службе, обеспечивающей функционирование DNS домена, придется доработать свои программные системы, используемые для приема регистраций.
Для регистратора же доменов, как несложно догадаться, самым важным является представление доменного имени на национальном языке. Ведь именно возможность регистрации имен, записанных привычными для глаза пользователя символами национального алфавита, и является главной привлекательной для рядового пользователя Сети чертой введения многоязычия в системе адресации Интернета. А регистратор доменов ориентируется как раз на рядового пользователя.
В итоге регистратор попадает в зависимость от действующих стандартов преобразования символов. Более того, он вынужден лавировать между собственными интересами, интересами своих клиентов и интересами технического центра, обеспечивающего функционирование домена.
Если регистрацию доменов для конечного пользователя производит та же организация, которой подчиняется технический центр домена, ситуация с национальными алфавитами несколько упрощается. Однако на практике подобное монопольное положение регистратора встречается далеко не во всех доменах первого уровня.
«Раздвоение» имен – не единственная организационная проблема с многоязычными доменами.
Так, еще на раннем этапе обсуждения доменного многоязычия в 1990-х годах стало ясно, что расширение алфавита может сыграть на руку фишерам (злоумышленникам).
Предположим, что в каком-то домене верхнего уровня открылась ничем не ограниченная регистрация имен с символами национальных алфавитов. В таком случае умелый фишер может использовать графически похожие символы разных алфавитов для создания доменов-обманок.
Например, подлинный домен MYBANK записывается латиницей (представим, что под этим доменом размещается сайт крупного банка; и для нас не имеет значения, в каком именно домене первого уровня расположен сайт банка). Фишер может зарегистрировать домен MYBANK, в котором буква B — это не заглавная «би», а кириллическая буква «вэ». Во многих шрифтах латинская заглавная b и кириллическая заглавная «в» совпадают по начер танию.
Это означает, что при чтении пользователь не сможет отличить один домен от другого, хотя с точки зрения DNS и с точки зрения компьютера пользователя графически (то есть «на письме») похожие домены – два совершенно разных домена. Пользуясь тем, что графические представления имен доменов выглядят одинаково, фишер может заманивать пользователей на свой сайт, размещенный под ложным доменом, имитирующим известный пользователю адрес. Понятно, что на фишерском сайте от пользователя, полагающего, что он находится на официальном сайте банка, можно потребовать указать банковские реквизиты и пароли для доступа к системе управления банковским счетом.