Door Anoniem: Dat soort domeinen hadden binnen 24 een notice&takedown moeten krijgen van de security afdeling.
Dat duurt veel te lang, en bovendien is dit een monster waar meteen nieuwe poten aangroeien als je er eentje afhakt.
Het hele internet zou ondertussen doodziek zijn als je domeinnamen zoals microsoft-sso.net, zonder vragen en vertragingen, zou kunnen registreren.
En voor zo’n domeinnaam óók nog eens, van Google en van Let’s Encrypt, eveneens zonder vragen en vertragingen, https servercertificaten zou kunnen krijgen – d.w.z. gratis (https://crt.sh/?q=microsoft-sso.net).
En ook als gebruikers in webbrowsers niet in één oogopslag zouden kunnen zien dat er gebruik gemaakt wordt van een waardeloos DV (Domain Validated) https servercertificaat in plaats van een meer betrouwbaar OV (Organizational Validated) exemplaar.
En helemaal als we zo stom zouden zijn om bij de meest betrouwbare, en voor cybercriminelen het lastigst te verkrijgen, EV (Extended Validation) https servercertificaten, elk zichtbaar verschil -in de adresbalk- met de twee eerdergenoemde soorten certificaten te schrappen.
En dat het zelfs maar denkbaar zou zijn dat bedrijven zoals
“*.microsoft.com” zo hersenloos zouden zijn dat ze je zouden laten inloggen op bijvoorbeeld (domeinnaam + afsluitende slash) zoals
“login.microsoftonline.com/” (in plaats van op
“login.microsoft.com/) – of dat onze
“*.overheid.nl” je zou laten solliciteren op
“*.werkenbijdeoverheid.nl” (in plaats van
“*.werkenbij.overheid.nl“,
“*.werkenbijde.overheid.nl” of zelfs
“*.werken.bij.de.overheid.nl“).
Zó stom zijn we toch zeker niet? Mocht dat in één geval onverhoopt wél zo zijn, dan zou de rest toch wel diens verantwoordelijkheid nemen?
Bron: Security.nl