<p dir="ltr"><br>
Welcome to the jungle.</p>
<p dir="ltr">Y no solo lo que mencionas. También imagina los dolores de cabeza para validar emails, URLs y similares. </p>
<p dir="ltr">Ya veo algunos cientos o miles de formas fallando por no aceptar algún nuevo gTLD.</p>
<p dir="ltr">as</p>
<div class="gmail_quote">On Jan 31, 2014 6:32 AM, "Carlos P" <<a href="mailto:charly_en_el_trabajo@yahoo.com">charly_en_el_trabajo@yahoo.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div style="font-size:10pt;font-family:Courier New,courier,monaco,monospace,sans-serif">Hola tod@s:<br><br>Habiendo TLDs limitados, para evitar caer en un sitio equivocado la regla es simple:<br><br>Banco -> <a href="http://banco.com" target="_blank">banco.com</a> o banco.com.xx -> OK<br>
<br>Una vez ahí, TLS nos permite comprobar que el sitio sea legítimo por si hay DNS spoofing o MITM, siempre y cuando el usuario colabore y no acepte cualquier cosa.<br><br>Ahora bien, con la proliferación de TLDs[1], piensen en el momento en que los genios de marketing comiencen a ponerse creativos:<br>
<div><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">(1) Banco -+-> <a href="http://bcru.com" target="_blank">bcru.com</a> o <a href="http://bcru.com.uy" target="_blank">bcru.com.uy</a> -> OK<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> bcru.company -> ?</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
           +-> bcru.luxury -> ?<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> bcru.solutions -> ?<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> bcru.support -> ?<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
           +-> bcru.holiday -> ?<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> bcru.international -> ?<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> bcru.bargains -> ?<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">Es como una generalización legalizada del problema:</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">(2) Banco -+-> <a href="http://bcru.com" target="_blank">bcru.com</a> o <a href="http://bcru.com.uy" target="_blank">bcru.com.uy</a> -> OK</div>
<div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> <a href="http://mibcru.com" target="_blank">mibcru.com</a> -> FAIL<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> <a href="http://tubcru.com" target="_blank">tubcru.com</a> -> FAIL<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> <a href="http://bcrv.com" target="_blank">bcrv.com</a> -> FAIL</div>
<div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> <a href="http://bcru.net" target="_blank">bcru.net</a> -> mmh, me parece raro</div>
<div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">           +-> <a href="http://bcru.com.cz" target="_blank">bcru.com.cz</a> -> mmh, me parece
 raro</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">En (2), como que se le puede pedir a un usuario que no caiga, pero en (1) no hay manera, no tengo criterio.<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
Aclaro que estoy pensando más en términos de negocios establecidos que en lo nuevos.<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">Aclaro que conozco que hay clases de certificados (que manifiestan en los colores de la url en algunas plataformas) y que los bancos (en este caso el ficticio Banco Central de la Republica Uruguaya) deberían usar el más alto, pero tambien entiendo que en .cz bcru puede significar algo de modo tal que podría ser registrado como "verde".<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">Mis preguntas y opiniones son:</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">¿Empeora esto la situación?, me parece que si. Aunque es más de lo mismo, un cambio en la cantidad tan grande produce un cambio en la calidad del problema.<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
¿Hay mecanismos de mitigación para esto que se hayan propuesto o discutido?</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">He estado reflexionando, pero dada mi profunda inexperiencia/ignorancia, sólo se me ocurren ideas parciales como:<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
Algo parecido a spf y que un dominio XXXX.tld solo pueda ser autorizado por XXXX.com, tipo jerarquizar los TLD.<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">Quizás utilizando un plugin que se conecte a un proveedor que compruebe por otro canal, pero DNS spoofing y MITM podrian afectarlo o al menos interrumpirlo.<br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
Espero haber sido claro y no muy lamer.<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
Gracias anticipadas</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
Carlos Pantelides</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">@dev4sec</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<a href="http://seguridad-agile.blogspot.com.ar" target="_blank">seguridad-agile.blogspot.com.ar</a><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">[1]<a href="http://newgtlds.icann.org/en/program-status/delegated-strings" target="_blank">http://newgtlds.icann.org/en/program-status/delegated-strings</a><br>
</div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif"><br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">
<br></div><div style="font-style:normal;font-size:13.3333px;background-color:transparent;font-family:Courier New,courier,monaco,monospace,sans-serif">[1] <a href="http://newgtlds.icann.org/en/program-status/delegated-strings" target="_blank">http://newgtlds.icann.org/en/program-status/delegated-strings</a><br>
</div></div></div><br>_______________________________________________<br>
Seguridad mailing list<br>
<a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>
<br></blockquote></div>