Public DENIC mailinglist

[Peter Koch <pk AT TechFak.Uni-Bielefeld.DE>]

Peter Backes <rtc AT helen.PLASMA.Xg8.DE> schrieb:

> Interessant... Aber was ist denn mit info.de, biz.de, coop.de, 
> museum.de, etc? Besteht das gleiche Problem dort nicht auch? Sollte 

im Prinzip ja, aber erstens gibt's hier auch Bestandsschutz und zweitens
reicht die Registrierung allein ja nicht aus, um ein Problem zu produzieren.

> eine Bank mit überwiegend Kunden aus .de-Bereich z.B. vermeiden, 
> unter einer Domain unterhalb von info, biz, coop, museum, etc. 
> Webseiten verfügbar zu machen, also konkret unterhalb einer TLD-
> Zeichenfolge, die auch unterhalb .de registriert ist? 

Zumindest wuerde ich ohne genauere Untersuchung nicht die Unbedenklichkeit
bescheinigen. Bei der Bankanwendung unterstelle ich zwar zusaetzlich die
Verwendung von SSL und Zertifikaten, aber genauso natuerlich auch, dass
der durchschnittliche Anwender eine etwaige Warnung schlicht "wegklickt".

> Wie konkret ist das Problem denn heute noch, d.h. wie reagieren zur 
> Zeit generell im Einsatz befindliche Namensauflösungbibliotheken bzw. 
> Nameserver auf eine solche Situation?

Neuere Resolver (BIND, Redmond, ...) konstruieren den Suchpfad nicht mehr
automatisch aus dem "lokalen" Domainnamen und waehlen prinzipiell einen
konservativeren Ansatz (der zwar zu mehr Schmutztraffic fuehrt, aber die
Zahl falscher Treffer reduziert), indem Namen mit mindestens einem
Labeltrenner (".") zuerst als FQDN versucht werden (sofern, wie gesagt,
ueberhaupt ein Suchpfad zum Einsatz kommt). Leider ist die Verteilung
der Resolver nur schwer zu beziffern, da sie weniger leicht zu finden
und zu identifizieren sind. Bei den Servern sieht das definitiv anders
aus. Die Zahl "alter" Resolver ist aber ganz deutlich von der Nachweis-
grenze verschieden.  Ansonsten ist das Thema Gegenstand aktueller
Untersuchungen (weil die Information auch z.B. fuer IPv6, DNSSEC o.ae. von
Interesse ist).

Was die "neuen" gTLDs angeht, halte ich den Vorschlag fuer sehr gut, das
naeher zu untersuchen, auch wenn diese Domains aufgrund geringerer
Verbreitung nur ein unvollstaendiges Bild geben werden.

Es wurden aber schon Gruende genannt, warum selbst im Falle einer "Entwarnung"
die Zwei-Zeichen SLDs nicht "einfach so" zur Registrierung freigegeben
werden koennen.

-Peter Koch