Tags:
Node Thumbnail

Matthew Bryant อดีตวิศวกรความปลอดภัยของอูเบอร์ เขียนรายงานถึงความปลอดภัยของโดเมนขั้นสูงสุด (top level domain - TLD) .io ที่หลายเว็บนิยมใช้งานเพราะชื่อสั้นและสะดุดตา โดยวาดกราฟการตรวจสอบชื่อโดเมนว่าจะคิวรีไปยังเซิร์ฟเวอร์ใดบ้าง แต่เขาก็ต้องแปลกใจเมื่อโดเมนของ name server หลายตัวกลับสามารถสั่งซื้อได้

Bryant ทดลองสั่งซื้อ ns-a1.io ในราคา 95.99 ดอลลาร์ (รวมค่าปิดบังชื่อคนจดทะเบียน) สักพักหนึ่งเครื่องเซิร์ฟเวอร์ของเขาก็เริ่มได้รับ DNS query จากทั่วอินเทอร์เน็ต เมื่อยืนยันว่าเขาสามารถยึด .io ได้จริงจึงพยายามติดต่อ nic.io ผ่านทางอีเมลแต่ปรากฎว่าติดต่อไม่ได้ เขาตัดสินใจจ่ายเงินเพิ่ม ซื้อ ns-a2.io, ns-a3.io, และ ns-a4.io ป้องกันคนอื่นมาซื้อไป และโทรติดต่อทาง nic.io เพื่อแจ้งเรื่อง

เจ้าหน้าที่ของทาง nic.io ระบุว่าให้แจ้งเรื่องผ่านทาง 101domain.com แทน หลังจากผ่านไปครึ่งวัน เขาได้รับอีเมลจากฝ่ายกฎหมายของ 101domain.com ระบุว่าการซื้อโดเมนเป็นความผิดพลาดในระบบ และกำลังทำเรื่องคืนเงินให้ทั้งหมด

ตอนนี้ข้อมูล name server กลับมาเป็นปกติแล้ว และ .io ก็คงไม่พลาดแบบเดิมซ้ำอีกครั้ง

ที่มา - The Hacker Blog

alt="upic.me"

Get latest news from Blognone

Comments

By: AlninlA
ContributorAndroidUbuntu
on 12 July 2017 - 07:58 #997473
AlninlA's picture

O.O'

By: whitebigbird
Contributor
on 12 July 2017 - 08:22 #997476
whitebigbird's picture

ผมว่าเนื้อหายังสับสนอยู่นะครับ ตกลงว่าซื้อ หรือยึด ได้จ่ายเงินจริงหรือไม่ ถ้าจ่ายแล้วทำไมเรียกว่ายึด

หรือจริงๆ แล้วยังขาดข้อมูลส่วนอื่นๆ เช่น ต้องมีขั้นตอนยืนยันตัวเพื่อซื้อโดเมน เช่น .co.th ก็ต้องมีการยืนยันบัตรประชาชนทะเบียนบ้านก่อน ฯลฯ

By: mix5003
AndroidUbuntuWindows
on 12 July 2017 - 08:27 #997479 Reply to:997476

เข้าใจว่า ซื้อ 4 domain เพื่อยึกทุก domain ของ .io ครับ

By: ck4u
iPhoneWindows PhoneBlackberrySymbian
on 12 July 2017 - 08:41 #997482 Reply to:997476

name server ของโดเมน io. เป็น
ns-a1.io.
ns-a2.io.
ns-a3.io.
ns-a5.io.
a0.nic.io.
b0.nic.io.
c0.nic.io.

ซึ่งเขาจดโดเมนที่ชื่อ ns-a1.io,ns-a2.io,ns-a3.io และ ns-a4.io ได้สำเร็จ อาจจะเป็นเพราะ registry ไม่ได้ reserve คำนี้ไว้เป็น ns ของ tld และมี ns มีลักษณะเหมือนโดเมน
นายคนนี้จึงได้ทำการจดโดเมนข้างค้นทั้งหมดกับ registrar ที่ชื่อว่า 101domain.com และก็จดผ่านสำเร็จ โดเมน active

ถ้านายคนนี้ชี้ค่าของโดเมน A record ไปยัง IP ที่กำหนด ระบบ DNS ของ root-servers จะมองว่านายคนนี้เป็น registry ทันทีในทางเทคนิค ถ้า root-servers มา resolve ns ที่เขาพึ่งจดไป

By: whitebigbird
Contributor
on 12 July 2017 - 09:15 #997494 Reply to:997482
whitebigbird's picture

อ๋อ ... ยึด reserve domain name เพราะมันใช้เป็น domain name ของ name server

ขอบคุณครับ

By: panurat2000
ContributorSymbianUbuntuIn Love
on 12 July 2017 - 10:52 #997512 Reply to:997476
panurat2000's picture

อูเบอร => อูเบอร์

By: khun_panya
Windows
on 12 July 2017 - 08:27 #997478

ช่างเป็นคนดี

By: -Rookies-
ContributorAndroidWindowsIn Love
on 12 July 2017 - 08:56 #997488

พลาดแบบ.....


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: BonBon
iPhone
on 12 July 2017 - 09:07 #997491

โหด.....

ถ้ามีช่องโหว่และยึดได้จริง และตั้งใจจะยึดไว้เอง
สามารถยึด TLD ได้แบบถาวรไหมครับ ?

By: ck4u
iPhoneWindows PhoneBlackberrySymbian
on 12 July 2017 - 09:35 #997501 Reply to:997491

คงได้แค่ชั่วคราวครับ เพราะยังไงในฐานะของ registry สามารถเปลี่ยน name server ของ tld ได้ครับ เพียงแจ้งไปที่ IANA

By: lew
FounderJusci's WriterMEconomicsAndroid
on 12 July 2017 - 15:53 #997560 Reply to:997501
lew's picture

จริงๆ เป็น registrar อยู่แล้วก็ยึดโดเมนของ NS กลับมาได้อยู่แล้วครับ

แต่มันไม่ควรปล่อยไปแต่แรก


lewcpe.com, @public_lewcpe

By: supersuphot
iPhoneAndroidWindows
on 12 July 2017 - 09:17 #997495

สะเพร่ามาก คิดค่าจดก็แพงกว่าดอทอื่นๆ นะนี่