[iostream]

digitalunit och jag upptäckte detta för en tid sedan. Slängde iväg ett mail till Loopia, och tydligen har de skaffat säkerhetshålet eftersom det är "smidigt".

Då ett mail säger mer än tusen ord;

Citat:

Hej Loopia,

Har hittat något som möjligen kan vara ett allvarligt säkerhetshål på
blankett-sidan för överlåtelse av domännamn;
https://www.loopia.se/blanketter/overlatelse/

För att en person ska kunna överlåta en domän till en annan måste den
förste ha den andres kund- och organisationsnummer, vilket kan vara
ganska logiskt.

Dock, när denna person nu känner till den andres kund- och orgnummer,
kan han/hon fylla i den andra personens uppgifter i "Ditt kundnummer",
samt sina egna i "Ny innehavare" och på så sätt sno domännamn av andra.

Generiska toppdomäner överlåts direkt, medan .se kräver en (analog)
signatur från ägaren, vilket säger sig självt är mycket osäkert.

Varför är systemet utformat på detta vis? Kan jag ha missat någon liten
detalj som omöjliggör detta?


Två förslag på lösningar; Varför inte ange sitt egna kund- och
organisationsnummer, men endast kundnumret från den nya innehavaren?
Långt ifrån säkert, men betydligt bättre.

Bäst av allt, tillåt endast överlåtelse när man är inloggad på sitt konto?


Med vänliga hälsningar,
Timmy, en orolig domänkund

Citat:

Hej Timmy,

Tack för dina synpunkter. Vi kommer att ta dessa med oss till framtida
diskussion.

Systemet är utformat på detta vis för att en överlåtelse ska gå till så
smidigt som möjligt för alla parter. Underskriften för .se domäner är något
som IIS kräver.

För att undvika att ett kundnummer hamnar i fel händer, kan den avlämnande
parten fylla i formuläret och då ange att det skapas ett nytt konto till den
blivande ägaren. På så vis behöver varken den avlämnande eller mottagande
parten avslöja sina kundnummer.

Återkom gärna om du har ytterligare frågor eller funderingar.

Mvh,
Kirsi Brenner, Registry

Bara en varning liksom; se upp!

[tartareandesire]

Ytterligare ett i raden av korkade supportsvar från Loopia. De räknar kallt med att alla som skriver till dom knappt vet var strömkabeln till datorn sitter.

Visst har de rätt i att man bör skapa ett nytt konto innan eventuellt överlåtelse men hur många kunder tänker på det? Kundnumrena är dessutom varken särskilt hemliga eller komplicerade. Deras nuvarande lösning är minst sagt urusel.

[Ara]

Vet inte om det ska klassas som "allvarligt säkerhetshål". Vid köp av domäner borde det finnas kvitton (digitala/analoga) som bevisar köpet och som man kan hänvisa till vid ev tvist. Tycker inte att det är speciellt mycket säkrare med en analoga underskrifter (som också kan förfalskas) vid köp/försäljning av domäner.

[iostream]

Citat:

Ursprungligen postat av tartareandesire

Ytterligare ett i raden av korkade supportsvar från Loopia. De räknar kallt med att alla som skriver till dom knappt vet var strömkabeln till datorn sitter.

Ibland vet de nog själva inte var strömkabeln sitter..

Citat:

Ursprungligen postat av tartareandesire

Visst har de rätt i att man bör skapa ett nytt konto innan eventuellt överlåtelse men hur många kunder tänker på det? Kundnumrena är dessutom varken särskilt hemliga eller komplicerade. Deras nuvarande lösning är minst sagt urusel.

Håller med, dessutom vill jag inte ha ett konto för varje domän (visserligen går det att sedan överlåta till sig själv, men det är onödigt krångel).

Citat:

Ursprungligen postat av Ara

Vet inte om det ska klassas som "allvarligt säkerhetshål". Vid köp av domäner borde det finnas kvitton (digitala/analoga) som bevisar köpet och som man kan hänvisa till vid ev tvist.

Javisst går det säkert att få tillbaka eventuella stulna domännamn, men då kan sidan redan ha varit nere några veckor, kanske månader.

Citat:

Ursprungligen postat av Ara

Tycker inte att det är speciellt mycket säkrare med en analoga underskrifter (som också kan förfalskas) vid köp/försäljning av domäner.

Beklagar syftningsfelet i mitt mail, menade såklart att en analog signatur är osäker.

[robertsson]

Jag förstår inte, vad är säkerhetshålet, att man kan begå urkundsförfalskning?
Kräver inte överlåtelser av .se domäner en verifikationskod?

[Jonas]

Citat:

Ursprungligen postat av robertsson

Jag förstår inte, vad är säkerhetshålet, att man kan begå urkundsförfalskning?
Kräver inte överlåtelser av .se domäner en verifikationskod?

Inte inom samma registrar har jag för mig.

Jag överlät en domän inom Binero för ett tag sedan, bara att fylla i blanketten skriva under och vips så var det klart.

[ztream]

Innan nya systemet trädde ikraft kunde man bara fejka en överlåtelse med underskrift. Detta är ju en klar förbättring

[tartareandesire]

Citat:

Ursprungligen postat av Ara

Vet inte om det ska klassas som "allvarligt säkerhetshål". Vid köp av domäner borde det finnas kvitton (digitala/analoga) som bevisar köpet och som man kan hänvisa till vid ev tvist. Tycker inte att det är speciellt mycket säkrare med en analoga underskrifter (som också kan förfalskas) vid köp/försäljning av domäner.

Som Ztream antyder så är det betydligt enklare nu. Antalet bedrägerier har knappast minskat sedan internet dök upp.

[robertsson]

Jag har nu läst tråden 7 gånger, kollat Loopias hemsida, och jag förstår fortfarande inte vad säkerhetshålet går ut på, men jag kanske är dum?

//En som hade hoppats ta över newyork.se idag

[RickardP]

Jag förstår problemet men hur får man tag på en persons kundnummer hos Loopia?