網路是由一系列非常嚴格的規則所控制,主要是由網際網路名稱與數位位址分配機構(ICANN)管理,同時也只有該機構對頂級域名(TLD)擁有絕對的權威,例如 .com、.org、.net 以及你能想到的所有 URL 結尾。但是,他們將這些 TLD 委任給許多經過核可的組織,Google 就是其中之一,而 Google 才剛推出了 .dad、.phd、.prof、.esq、.foo、.nexus、.zip 和 .mov 等 8 個新網域。
Today, Google Registry is launching eight new top-level domains: .dad, .phd, .prof, .esq, .foo, .zip, .mov and .nexus. Learn more ↓ https://t.co/3AffFnPhYu
— Google (@Google) May 3, 2023
Google 新推出的域名 .zip 與 .mov 可能是下一個安全隱患
在新推出的 8 個域名中,.zip 和 .mov 兩種所造成的後續影響特別令人憂心,因為這兩個域名與最常用的兩種副檔名完全一模一樣。想樣一下,如果不肖人士在 .zip 域名上運行一個網路釣魚網站,並將它發送給一個可能對科技不太了解的人,這將可能造成混淆並引發恐懼。已經有一個名為「financialstatement.zip」網站可議充分展示域名的運用,雖然現在看起來沒什麼,但卻有被惡意人士濫用的隱憂。
之所以會擔心 .zip 域名成為一個問題,這裡筆者要說明一下。大量的軟體會自動將看起來像 URL 的連結轉為可供點擊的內容是有道理的,以 .com 結尾的字串幾乎百分百可以確認就是一個網站,這同樣適用於幾乎所有的 TLD。然而隨著更新緊接而來的就是 .zip 也會被列入網域中並享有直接轉可點擊連結的待遇。以剛剛上面我們提到的例子來說,當你說請尋找 financialstatement.zip 檔案時,有些程式會自動將它轉為實際的可點擊連結。另外要注意的是,惡意人士可能會把一個 .zip 檔案傳到網站上讓你看起來好像是要去造訪一個 .zip 域名的網站,使得你一點擊連結過去就直接下載該檔案。這個問題同樣也適用於流行的影片檔格式 .mov 上。
If I attach photos to an email and say “I’ve attached https://t.co/bv9PvqPwIe”, and it automatically becomes a link, someone could think it’s a link to the photos, and if they think I intentionally linked there they will assign more trust to it than a random URL.
— Paul Butler (@paulgb) May 14, 2023
從技術上講,這不是 TLD 第一次與副檔名共用名稱,因為在 MS-DOS 上就使用了 .com 文件副檔名,儘管如此,時代推進已經發生了很大變化,我們不再對可執行檔使用 .com 副檔名。但 .zip 又是不同的狀況,這個非常主流、常用的壓縮檔格式目前還是很受歡迎,想要等它淘汰絕對不是短期就能實現。
值得慶幸的是,.zip 和 .mov 並不是是 TLD 清單中的末日級的新成員。 許多 TLD 不會由程式自動轉換,如果它是非標準 TLD,你通常需要在 URL 的開頭添加 「https://」以使其轉換為附帶連結的可點擊項目。對於像 Twitter 這樣的網站,是的,它們變得可點擊,但大多數網站和程式可能不會將其添加到自動連結 TLD清 單中,畢竟安全問題有關的騷動大家都不想遇到與處理。