炸我的鲶鱼。这是一个亲爱的朋友使用的令人叹为如为您的心情。怀疑。这是将IETF交给ICANN的建议,而无论组织如何跟随他们。ICANN是分配名称的人。他们是一个对自己的争议,但一系列责任协议可能会帮助他们重获他们失去的尊严。
今天,有数百万个顶级域名,最初由ICANN和指定的名称注册管理机构提供。无论是.com还是.xxx,你的名字是黄金 - 应该对别人有价值的资产。但只因为你可以注册域名,你必须对他们负责。这一事实,不负责任,需要停止。如果您不能与装载的枪负责,则需要将枪从您带走。
从你的隐喻域名枪发射了什么样的子弹?让我坐下一些例子:
怪胎和酒吧Mitvah RC4攻击
RC4攻击允许您看似安全的HTTPS:域名以将加密选择扭曲到一个非常简单的攻击和破解的东西。不知何故,您的网站仍然允许这种古老,危险,易于损坏的加密算法来破坏TLS安全性。如果您的网站可以使用它,它可以以你意想不到的方式降低安全等级,对吧?你可不想传播这个,对吧?不,像whitehouse.gov这样的地方不会这么做,对吧?
邮件托管不负责任
看看你,雅虎和Tom.com。每个域名持有人,活跃或不活跃,需要有一个滥用帐户报告安全或垃圾邮件滥用。安全或滥用必须在合理的时间内处理。
此帐户不能具有垃圾邮件过滤器,可防止转发的垃圾邮件,希望与邮件的标头一起收到。看着你,tom.com。或者也许你使用一个晦涩的rfc来授权滥用报告,没有人可以使用,从而方便地向零看你,雅虎发送邮件滥用问题。
哦,那么你必须处理它。杀死垃圾邮件帐户。是的,就是你。是现在。是的,注意他们的IP地址,禁止它们。如果它是您域中的用户,则必须关闭它们,直到清洁机器机器,以便它不能用作垃圾邮件源。看着你,康卡斯特,Btinternet,命名一些罪犯。没有主动滥用账户收件人?然后应更新您的域名,直到存在滥用帐户既有活力和工作的证明。失败了,将域从DNS中拉动并将其路由到“抱歉,伙伴”页面。
瘦安全,a / k / a没有辅助auth
它足够糟糕的是,即美联航的网站使用帖子页面使用混合纯文本和加密信息,但它应该是强制性的 - 如果您正在拿钱或存储私人信息 - 要求用户辅助认证授权。令牌,密码,生物 - 某些东西,关键设备,我不关心您使用的哪一个,但必须使用某物.会话必须超时并在15分钟的不活动后要求一个新令牌——并且没有辅助认证就没有持久会话。
嘿,银行 - 不是我们的资产吗?哟,亚马逊,怎么样?fleabay?来吧,让您的用户对辅助验证感到满意,以便您的欺诈费用下降,而您的客户的爱会上升!我的一位同事引用了一个将击败密码的应用程序每秒三亿字典攻击。虽然我对他的硬件印象深刻,但不要怀疑甚至低调的目标在以这种方式攻击时甚至是枝条。让我们盐并使其变得更加困难。
人们可以在云中使用所有的好东西,如果云不是一个肮脏的污水池,不均匀的应用安全和流氓托管网站值得踢到路边。我想信任云。谷歌虽然很奇怪,但它很乐意为员工和承包商提供并要求二级认证,通常是Yubikey。让他们也要求搜索。