Список общедоступных суффиксов

Список общедоступных суффиксов ( PSL ) — это поддерживаемый сообществом список правил, описывающих суффиксы имен доменов в Интернете , в соответствии с которыми независимые организации могут регистрировать свои собственные сайты. Записи в списке называются эффективными доменами верхнего уровня ( eTLD ). ^[1] и содержат часто используемые суффиксы, такие как com, net и co.uk, а также частные суффиксы, такие как appspot.com и github.io.

Фонд Mozilla Foundation создал PSL для политик безопасности и конфиденциальности веб-браузера Firefox , но он широко используется во многих различных интернет-технологиях с переменным успехом под лицензией Mozilla Public License (MPL). Было показано, что в списке имеется множество проблем, связанных с конфиденциальностью и безопасностью, в основном вызванных приложениями, использующими устаревшие версии. ^[2]

Список

Копию списка сохраняют все современные браузеры, включая Firefox, Chrome. ^[3] и Опера . ^[4] Они используют его для таких функций, как разрешение регистрации файлов cookie, обнаружение доменных имен в адресной строке и группировка сайтов. Он также используется во многих других инструментах, таких как CURL . ^[5] Известно, что такие сервисы, как Let's Encrypt и Cloudflare, используют его для ограничения скорости для каждого сайта. ^[6]

По данным Мозиллы, ^[7]

«Публичный суффикс» — это тот, под которым пользователи Интернета могут напрямую регистрировать имена. Некоторые примеры общедоступных суффиксов: «.com», «.co.uk» и «pvt.k12.ma.us».

Хотя com , uk и us являются доменами верхнего уровня (TLD), пользователи Интернета не всегда могут зарегистрировать домен следующего уровня, например «co.uk» или «wy.us», поскольку они могут контролироваться регистраторами доменов . Напротив, пользователи могут регистрировать домены второго уровня в com , например example.com , поскольку регистраторы контролируют только верхний уровень. Список общедоступных суффиксов предназначен для перечисления всех суффиксов доменов, контролируемых регистраторами, а также суффиксов, контролируемых частным образом, таких как github.io . ^[8]

Интернет- сайт состоит из онлайн-ресурсов, которыми может управлять владелец доменного имени. Сюда входят ресурсы, доступные через домен и все его поддомены. Два домена связаны , если они находятся на одном сайте, т. е. имеют общий суффикс, который не включен в список общедоступных суффиксов.

Проблемы безопасности, такие как атака на том же сайте, могут возникнуть, если список общедоступных суффиксов неверен или если браузеры или сайты настроены неправильно. ^[9]^[10]

Некоторые варианты использования списка: ^[11]

Избегайте « суперкуки », HTTP-куки, устанавливаемых злоумышленниками связанных доменов для суффиксов доменных имен высокого уровня. Другими словами, страница foo.example.co.uk обычно может иметь доступ к файлам cookie на bar.example.co.uk, но сайт example.co.uk должен быть изолирован от файлов cookie на example2.co.uk, чтобы предотвратить атака на одном сайте, поскольку последние два домена могли быть зарегистрированы разными владельцами.
Поиск записей политики DMARC для поддоменов электронной почты.
Выделение наиболее важной части доменного имени в пользовательском интерфейсе .
Улучшение сортировки записей истории браузера по сайтам.

Проблемы

PSL рассматривается как инструмент для достижения различных целей, связанных с безопасностью, конфиденциальностью, удобством использования и управлением ресурсами, которые могут противоречить друг другу, что приводит к трудностям в обслуживании и эксплуатационным проблемам. ^[12]^[13]^[14] Идеи эффективных подходов, таких как dbound, токены состояния HTTP и собственные наборы, изучались без консенсуса относительно хороших альтернатив. ^[15]

В 2021 году улучшения конфиденциальности в iOS 14.5, связанные с идентификатором Apple для рекламодателей , и нечеткие указания Facebook привели к потоку неуместных запросов на добавление доменов в список общедоступных суффиксов. ^[16]^[17]

Ссылки

^ «Общедоступный список суффиксов — MozillaWiki» . Wiki.mozilla.org . Проверено 18 мая 2017 г.
^ Сливи, Райан (22 января 2024 г.), sleevi/psl-problems , получено 12 марта 2024 г.
^ «364745 — Одинаково обрабатывайте сопоставление PSL на всех платформах» . bugs.chromium.org . Проверено 18 мая 2017 г.
^ «Файлы cookie и список общедоступных суффиксов» . Хероку. 11 октября 2013 года . Проверено 19 января 2014 г.
^ «PSL в керле» . Дэниел Стенберг. 10 января 2024 г. Проверено 31 января 2024 г.
^ «Подробнее о списке общедоступных суффиксов» . publicsuffix.org . Проверено 12 марта 2024 г.
^ «Общественный список суффиксов» . publicsuffix.org . Проверено 18 мая 2017 г.
^ Мюррей Кучерави (13 апреля 2015 г.). «Дополнительная справочная информация для dbound» . IETF Рабочая группа . PSL поддерживается производителем веб-браузера и поддерживается добровольцами, которые прилагают все усилия. Он содержит список точек иерархического пространства имен, в которых происходят регистрации, и используется для определения границы между так называемыми «публичными» именами (ниже которых может происходить регистрация, например «.com» или «.org.uk»). ") и частные имена (названия организаций), которые регистраторы доменов создают внутри них.
^ Добберштейн, Лаура. «Безопасность поддоменов не соответствует стандартам, говорят исследователи безопасности» . www.theregister.com . Проверено 4 июля 2021 г.
^ «Могу ли я забрать ваш поддомен? Исследование атак на один и тот же сайт в современной сети» . Могу ли я взять ваш поддомен? . Проверено 4 июля 2021 г.
^ «Подробнее о списке общедоступных суффиксов» . publicsuffix.org . Проверено 12 марта 2024 г.
^ Кумари, Уоррен; Аккерхейс, Яап; Фельтстрём, Патрик (2015 г.), «SAC070 — Рекомендации ICANN SSAC по использованию статических списков TLD/суффиксов» (PDF) , Отчеты и рекомендации Консультативного комитета по безопасности и стабильности ICANN (SSAC) , стр. 32 , получено 5 июля 2021 г.
^ «Рекомендации SSAC по использованию статических списков TLD/суффиксов | Возможности ICANN» . Features.icann.org . Проверено 5 июля 2021 г.
^ Сливи, Райан (17 июня 2021 г.), sleevi/psl-problems , получено 4 июля 2021 г.
^ Хьюстон, Джефф (10 сентября 2020 г.). «Возвращение к конфиденциальности DNS-запросов | blabs.apnic.net» . Проверено 5 июля 2021 г.
^ «Mozilla завалилась запросами после того, как изменения конфиденциальности Apple коснулись Facebook» . Мигающий компьютер . Проверено 4 июля 2021 г.
^ «Новое взаимодействие между IOS 14.5 PCM и Facebook Pixel приводит к увеличению количества запросов на включение PSL · Проблема № 1245 · publicsuffix/list» . Гитхаб . Проверено 4 июля 2021 г.

Внешние ссылки

Официальный сайт

[1] «Общедоступный список суффиксов — MozillaWiki» . Wiki.mozilla.org . Проверено 18 мая 2017 г.

[2] Сливи, Райан (22 января 2024 г.), sleevi/psl-problems , получено 12 марта 2024 г.

[3] «364745 — Одинаково обрабатывайте сопоставление PSL на всех платформах» . bugs.chromium.org . Проверено 18 мая 2017 г.

[4] «Файлы cookie и список общедоступных суффиксов» . Хероку. 11 октября 2013 года . Проверено 19 января 2014 г.

[5] «PSL в керле» . Дэниел Стенберг. 10 января 2024 г. Проверено 31 января 2024 г.

[6] «Подробнее о списке общедоступных суффиксов» . publicsuffix.org . Проверено 12 марта 2024 г.

[7] «Общественный список суффиксов» . publicsuffix.org . Проверено 18 мая 2017 г.

[8] Мюррей Кучерави (13 апреля 2015 г.). «Дополнительная справочная информация для dbound» . IETF Рабочая группа . PSL поддерживается производителем веб-браузера и поддерживается добровольцами, которые прилагают все усилия. Он содержит список точек иерархического пространства имен, в которых происходят регистрации, и используется для определения границы между так называемыми «публичными» именами (ниже которых может происходить регистрация, например «.com» или «.org.uk»). ") и частные имена (названия организаций), которые регистраторы доменов создают внутри них.

[9] Добберштейн, Лаура. «Безопасность поддоменов не соответствует стандартам, говорят исследователи безопасности» . www.theregister.com . Проверено 4 июля 2021 г.

[10] «Могу ли я забрать ваш поддомен? Исследование атак на один и тот же сайт в современной сети» . Могу ли я взять ваш поддомен? . Проверено 4 июля 2021 г.

[11] «Подробнее о списке общедоступных суффиксов» . publicsuffix.org . Проверено 12 марта 2024 г.

[12] Кумари, Уоррен; Аккерхейс, Яап; Фельтстрём, Патрик (2015 г.), «SAC070 — Рекомендации ICANN SSAC по использованию статических списков TLD/суффиксов» (PDF) , Отчеты и рекомендации Консультативного комитета по безопасности и стабильности ICANN (SSAC) , стр. 32 , получено 5 июля 2021 г.

[13] «Рекомендации SSAC по использованию статических списков TLD/суффиксов | Возможности ICANN» . Features.icann.org . Проверено 5 июля 2021 г.

[14] Сливи, Райан (17 июня 2021 г.), sleevi/psl-problems , получено 4 июля 2021 г.

[15] Хьюстон, Джефф (10 сентября 2020 г.). «Возвращение к конфиденциальности DNS-запросов | blabs.apnic.net» . Проверено 5 июля 2021 г.

[16] «Mozilla завалилась запросами после того, как изменения конфиденциальности Apple коснулись Facebook» . Мигающий компьютер . Проверено 4 июля 2021 г.

[17] «Новое взаимодействие между IOS 14.5 PCM и Facebook Pixel приводит к увеличению количества запросов на включение PSL · Проблема № 1245 · publicsuffix/list» . Гитхаб . Проверено 4 июля 2021 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]