[iostream]

digitalunit och jag upptäckte detta för en tid sedan. Slängde iväg ett mail till Loopia, och tydligen har de skaffat säkerhetshålet eftersom det är "smidigt".

Då ett mail säger mer än tusen ord;

Citat:

Hej Loopia,

Har hittat något som möjligen kan vara ett allvarligt säkerhetshål på
blankett-sidan för överlåtelse av domännamn;
https://www.loopia.se/blanketter/overlatelse/

För att en person ska kunna överlåta en domän till en annan måste den
förste ha den andres kund- och organisationsnummer, vilket kan vara
ganska logiskt.

Dock, när denna person nu känner till den andres kund- och orgnummer,
kan han/hon fylla i den andra personens uppgifter i "Ditt kundnummer",
samt sina egna i "Ny innehavare" och på så sätt sno domännamn av andra.

Generiska toppdomäner överlåts direkt, medan .se kräver en (analog)
signatur från ägaren, vilket säger sig självt är mycket osäkert.

Varför är systemet utformat på detta vis? Kan jag ha missat någon liten
detalj som omöjliggör detta?


Två förslag på lösningar; Varför inte ange sitt egna kund- och
organisationsnummer, men endast kundnumret från den nya innehavaren?
Långt ifrån säkert, men betydligt bättre.

Bäst av allt, tillåt endast överlåtelse när man är inloggad på sitt konto?


Med vänliga hälsningar,
Timmy, en orolig domänkund

Citat:

Hej Timmy,

Tack för dina synpunkter. Vi kommer att ta dessa med oss till framtida
diskussion.

Systemet är utformat på detta vis för att en överlåtelse ska gå till så
smidigt som möjligt för alla parter. Underskriften för .se domäner är något
som IIS kräver.

För att undvika att ett kundnummer hamnar i fel händer, kan den avlämnande
parten fylla i formuläret och då ange att det skapas ett nytt konto till den
blivande ägaren. På så vis behöver varken den avlämnande eller mottagande
parten avslöja sina kundnummer.

Återkom gärna om du har ytterligare frågor eller funderingar.

Mvh,
Kirsi Brenner, Registry

Bara en varning liksom; se upp!

[tartareandesire]

Ytterligare ett i raden av korkade supportsvar från Loopia. De räknar kallt med att alla som skriver till dom knappt vet var strömkabeln till datorn sitter.

Visst har de rätt i att man bör skapa ett nytt konto innan eventuellt överlåtelse men hur många kunder tänker på det? Kundnumrena är dessutom varken särskilt hemliga eller komplicerade. Deras nuvarande lösning är minst sagt urusel.

[Ara]

Vet inte om det ska klassas som "allvarligt säkerhetshål". Vid köp av domäner borde det finnas kvitton (digitala/analoga) som bevisar köpet och som man kan hänvisa till vid ev tvist. Tycker inte att det är speciellt mycket säkrare med en analoga underskrifter (som också kan förfalskas) vid köp/försäljning av domäner.

[iostream]

Citat:

Ursprungligen postat av tartareandesire

Ytterligare ett i raden av korkade supportsvar från Loopia. De räknar kallt med att alla som skriver till dom knappt vet var strömkabeln till datorn sitter.

Ibland vet de nog själva inte var strömkabeln sitter..

Citat:

Ursprungligen postat av tartareandesire

Visst har de rätt i att man bör skapa ett nytt konto innan eventuellt överlåtelse men hur många kunder tänker på det? Kundnumrena är dessutom varken särskilt hemliga eller komplicerade. Deras nuvarande lösning är minst sagt urusel.

Håller med, dessutom vill jag inte ha ett konto för varje domän (visserligen går det att sedan överlåta till sig själv, men det är onödigt krångel).

Citat:

Ursprungligen postat av Ara

Vet inte om det ska klassas som "allvarligt säkerhetshål". Vid köp av domäner borde det finnas kvitton (digitala/analoga) som bevisar köpet och som man kan hänvisa till vid ev tvist.

Javisst går det säkert att få tillbaka eventuella stulna domännamn, men då kan sidan redan ha varit nere några veckor, kanske månader.

Citat:

Ursprungligen postat av Ara

Tycker inte att det är speciellt mycket säkrare med en analoga underskrifter (som också kan förfalskas) vid köp/försäljning av domäner.

Beklagar syftningsfelet i mitt mail, menade såklart att en analog signatur är osäker.

[BjörnJ]

Citat:

Ursprungligen postat av iostream

Håller med, dessutom vill jag inte ha ett konto för varje domän (visserligen går det att sedan överlåta till sig själv, men det är onödigt krångel).

Jag vet inte säkert om det fortfarande är så, men åtminstone tidigare fanns det en funktion hos Loopia för att slå ihop konton på ett mycket enkelt sätt.

Jag håller med om att det borde krävas inloggning innan man kan påbörja överlåtelse av domäner, och givetvis att man då endast kan överlåta domäner som finns på det kontot man är inloggad på.

[FredrikNas]

Det här är också intressant.


Håller loopia på att göra en binero?


http://www.binero.se/whois/loopia.se

state: active
domain: loopia.se
holder: looloo8804-00001
admin-c: -
tech-c: -
billing-c: -
created: 2003-09-15
modified: 2009-03-09
expires: 2009-09-15
transferred: 2009-03-09
nserver: ns1.loopia.se 194.9.94.240
nserver: ns2.loopia.se 194.9.95.240
nserver: ns3.loopia.se 194.9.94.245
nserver: ns4.loopia.se 194.9.95.245
dnssec: unsigned delegation
status: ok
registrar: Loopia AB

[iostream]

Citat:

Ursprungligen postat av FredrikNas

Det här är också intressant.
Håller loopia på att göra en binero?

Heh, nu har de uppdaterat domänen igen!

Som många har sagt; det är urkundsförfalskning, lätt att få tillbaka domännamnen, svårt att få tag på andras kundnummer osv.

Det är dock inte hela grejen. Om någon skulle få ett domännamn stulet lär den sidan få en rejäl nedtid, i och med att DNS-datan slopas, och alla vet väl hur roliga nedtider är?

Vidare, om Loopia inte bryr sig om säkerheten här, på vilka andra punkter har de tummat på den?

[tartareandesire]

Citat:

Ursprungligen postat av BjörnJ

Jag vet inte säkert om det fortfarande är så, men åtminstone tidigare fanns det en funktion hos Loopia för att slå ihop konton på ett mycket enkelt sätt.

Jag håller med om att det borde krävas inloggning innan man kan påbörja överlåtelse av domäner, och givetvis att man då endast kan överlåta domäner som finns på det kontot man är inloggad på.

Jo, i LoopiaDNS är det snabbt gjort (den enda delen av deras kontrollpanel som är smidigt upplagd).

[tartareandesire]

Citat:

Ursprungligen postat av Ara

Vet inte om det ska klassas som "allvarligt säkerhetshål". Vid köp av domäner borde det finnas kvitton (digitala/analoga) som bevisar köpet och som man kan hänvisa till vid ev tvist. Tycker inte att det är speciellt mycket säkrare med en analoga underskrifter (som också kan förfalskas) vid köp/försäljning av domäner.

Som Ztream antyder så är det betydligt enklare nu. Antalet bedrägerier har knappast minskat sedan internet dök upp.

[robertsson]

Jag förstår inte, vad är säkerhetshålet, att man kan begå urkundsförfalskning?
Kräver inte överlåtelser av .se domäner en verifikationskod?