[Spindel]

Ja, helt mystiskt har det registrerats en domän på mitt namn och e-mailadress. Har inte betalat ett öre men likt förbannat fick jag inloggningsuppgifter som mycket riktigt fungerade i Domänhanteraren.

Hur kommer detta sig? Domänen är ishockeykanalen.se och inget jag har någon nytta för!?

[autosvar]

Citat:

Originally posted by Spindel@May 26 2007, 12:15
Ja, helt mystiskt har det registrerats en domän på mitt namn och e-mailadress. Har inte betalat ett öre men likt förbannat fick jag inloggningsuppgifter som mycket riktigt fungerade i Domänhanteraren.
Hur kommer detta sig? Domänen är ishockeykanalen.se och inget jag har någon nytta för?

Förklaringen är mycket enkel och beror på ett förbiseende i kravspecifikationen för domänhanteringen hos IIS. Eftersom vissa registrarer inte medger eller ens frågar efter ditt befintliga Kontakt-ID så tilldelas ett nytt automatiskt. Samtidigt så begär IIS att användarna ska slå samman sina konton så att endast ett Kontakt-ID är i bruk. Fint så långt men i samma ögonblick som du raderar ett Kontakt-ID så blir det tillgängligt för någon annan med samma namnuppbyggnad. Alltså är det någon som har samma tre första samma bokstäver i förnamn och efternamn som reggat domänen.

Anders Andersson får till exempel (obs bara påhittade siffror och namn) andand0709-00001 när han reggar en ny domän men har redan andand0701-00001 så han raderar andand0709-00001. andand0709-00001 tilldelas sedan automatiskt Andreas Anderberg. Men om Anders råkar av misstag återanvända (alt skriva fel eller att ombudet tror att de är det Kontakt-ID som ska användas) andand0709-00001 så tillfaller domänen såklart Andreas. Detta kommer att korrigeras av IIS när felet påtalas men varken Andreas, Anders eller inblandade registrarer kommer troligtvis att få någon information.

Lösningen borde vara att inte direkt låta äldre "förbrukade" Kontakt-ID direkt bli lediga. Lås dem tre månader så att eventuella fel och misstag hinner upptäckas, t.ex. att ett ombud sitter med ett inaktuellt Kontakt-ID.

Som det ser ut nu kan jag hos vissa ombud enkelt betala och registrera en domän men uppge någon annans Kontakt-ID. Visserligen kommer jag att avslöjas men nog skulle det gå att göra en del ganska fräcka saker under t.ex. valtider.

(Edit: syftningsfel)

[Westman]

Det där låter som ett ordentligt säkerhetshål. Inte alls trevligt.

[autosvar]

Citat:

Originally posted by Westman@May 26 2007, 13:49
Det där låter som ett ordentligt säkerhetshål. Inte alls trevligt.

Jag vet inte direkt om det är ett ordentligt säkerhetshål så länge det går att spåra den som beställer och den som ofrivilligt fått sig domänen tilldelad. Däremot är det alldeles för lätt att göra fel så därför borde alla Kontakt-ID ligga i karantän när de raderats. Sedan undrar jag varför ett unikt person/orgnummer skall tilldelas ett nytt Kontakt-ID. Det borde snarare vara ett tillval att använda flera Kontakt-ID. Jag kan förstå att de som innehar några tusen domäner och har flera personer som administrerar dem vill ha separata Kontakt-ID men vi vanliga Svenssons borde ju per default ha ett id och inget annat.

Edit: syftningsfel

[Westman]

Jo men hur lång tid tar inte det och under tiden kan ju domänen pekas var som helst.