.zip (nTLD)

generische Top-Level-Domain

Die Top-Level-Domain (TLD) .zip wurde 2023 eingeführt und gehört zur Kategorie der neuen Top-Level-Domains. Die Registry für diese TLD ist Google und die Vergabe erfolgt uneingeschränkt.

Top-Level-Domain .zip
Einführung 2. April 2023
Kategorie Neue Top-Level-Domains
Registry Google
Vergabe uneingeschränkt

Eine Besonderheit der TLD .zip ist, dass sie auf der HSTS-Preload-Liste steht. Das bedeutet, dass für alle HTTPS-Verbindungen und Web-Browser, welche HSTS und die HSTS-Preload-Liste unterstützen und aktiviert haben, die verschlüsselte Übertragung mittels HTTPS gewählt wird.

Sicherheitsbedenken

Bearbeiten

Die Einführung der TLD .zip löste bei Cybersecurity-Experten Bedenken aus. Zum einen wird oft angeführt, dass Nutzer eine .zip-Domain leicht mit einer einfachen Datei verwechseln könnten, da die TLD aktuell nicht weitreichend bekannt ist. So kann beispielsweise in einer E-Mail die alleinige Verwendung des Wortlauts example.zip vom E-Mail-Client des Empfängers als Link interpretiert werden und eine potentiell unbeabsichtigte oder auch böswillige Referenz zu einer Website entstehen.

Zum anderen bieten diese Domains die Möglichkeit, im Kontext von Spoofing missbraucht zu werden.[1][2] Der Grund dafür ist die Art und Weise, wie moderne Browser mit URIs umgehen. Diese können einen Authority-Teil enthalten, der die Möglichkeit eröffnet, Benutzerinformationen, gefolgt von einem @ und dem eigentlichen Host, anzugeben. Häufig werden die Benutzerinformationen so gewählt, dass diese einer Domain ähneln, um den Anschein zu erwecken, es hielte sich hierbei um den tatsächlichen Host-Teil mit der Domain. Dazu werden die Unicode-Zeichen U+2044 (⁄) und U+2215 (∕), die in den Benutzerinformationen erlaubt sind und einem „echten“ Schrägstrich ähnlich sehen, eingebaut. Diese TLD ist besonders relevant für solche Attacken, da sie den Eindruck erweckt, es würde auf eine Zip-Datei verlinkt werden. Mit dieser Methode können auch Phishing-E-Mails erstellt werden.[3]

Dies könnte zum Beispiel so aussehen:

https:⁄⁄de.wikipedia.org⁄downloads⁄@vertrauen.zip

In diesem Fall wird alles vor dem @ wie ein Nutzername bzw. Passwort behandelt und alles danach als Domain, was dazu führt, dass der vermeintlich seriöse Wikipedia-Download eine Verbindung zu http://vertrauen.zip aufbaut – einer Domain, die von einem potentiellen Angreifer kontrolliert werden könnte. In diesem Beispiel nutzt der Browser alles vor dem Doppelpunkt (https) als Nutzername und alles danach bis zum @ (de.wikipedia.org⁄downloads⁄) als Passwort.

Bearbeiten

Einzelnachweise

Bearbeiten
  1. Golem.de: IT-News für Profis. Abgerufen am 18. Mai 2023.
  2. Mark Stockley: Zip domains, a bad idea nobody asked for. 18. Mai 2023, abgerufen am 24. Mai 2023 (englisch).
  3. Twitterbeitrag. Abgerufen am 18. Mai 2023 (englisch).