Amikor a domained vadonatúj tartalmakat szolgál ki másoknak

Képzeld el, hogy egy afrikai út során gyenge a neted. Minden rendben van, amíg egyszer csak a postaládád tele lesz figyelmeztetésekkel a Google Search Console-ból. Valaki más birtokolja az egyik aldomainet a domaineden, és saját tartalmat tölt fel rá.

Pontosan ez történt egy fejlesztővel, aki egy 3D-s pontfelhő megjelenítőt futtatott GitHub Pages-en. Mialatt offline volt, valaki létrehozott egy kafka.immersivepoints.com nevű aldomaint, és azon keresztül saját oldalát tette elérhetővé. A tulajdonos csak hetekkel később értesült róla.

A kényelmes, de kockázatos beállítás

A GitHub Pages népszerű megoldás statikus oldalak gyors publikálásához. A fejlesztő egy wildcard DNS rekordot hozott létre (*.immersivepoints.com), amely minden aldomaint a GitHub szervereire irányított. Ez egyszerűnek tűnt, és működött is – legalábbis addig, amíg más is használni nem kezdte.

A probléma gyökere az, hogy a GitHub nem kér tulajdonjog-igazolást a CNAME fájloknál. Ha valaki létrehoz egy repót ezzel a fájllal, és a DNS már a GitHub felé mutat, akkor a rendszer kiszolgálja a tartalmat. Nincs ellenőrzés, nincs értesítés.

Wildcard DNS és a hiányzó védelem

A wildcard rekord kényelmes, de egyben veszélyes is. Azt jelenti, hogy bármely aldomain automatomatikusan a megadott szolgáltatásra kerül. Ha ezt egy olyan platformmal kombinálod, mint a GitHub Pages, ahol nincs domain-tulajdonos ellenőrzés, akkor valaki más is létrehozhat aldomaineket a te domaineden.

Ebben az esetben a bérlő slotgépes csaló oldalakat üzemeltetett a kafka.immersivepoints.com címen. Ezeknek nicht nur a domain jó hírnevére, hanem a keresőoptimalizálásra is negatív hatása van.

A felfedezés és a következményok

A fejlesztő csak azért szerez tudomást az visszaélésről, mert a Google Search Console-t beállította. Ez a rendszer figyelmeztet, amikor új oldalak jelennek meg a domain alatt. Ha ez hiányzik, a visszaélés hónapokig folytathatja munkáját.

A GitHubnak van ugyan domain-ellenőrzési lehetősége, de az a fiókbeállítások között rejtve van. Sok felhasználó nem is tudja, hogy létezik, or hogy azt előtte alkalmaznia kell, قبل a repókban lévő CNAME fájlok működése előtt.

Mit tehetsz a védelemért

Ha GitHub Pages-t használsz custom domainnel, akkor a következő lépéseket érdemes elvégezni:

• Ne használj wildcard DNS rekordot minden esetben. Sokkal biztonságosabb, ha pontos A vagy CNAME rekordokat állítasz be az konkrét aldomainekhez, amelyek ténylegesen használnak.
• Ellenőrizd a domain tulajdonjogot a GitHub fiókbeállításain keresztül.
• Használj DNS TXT rekordokat tulajdonjog igazolására. Ez nehezen elérhetővé teszi a visszaéléshez és az támadók számára.
• Állíts be figyelést a Google Search Console vagy hasonló eszközökben. Ha új oldalak jelennek meg a domain alatt, akkor azonnal értesülést kapsz.
• Rendszeresen ellenőrizd repóid CNAME fájljait és a ddomain konfigurációt.

A tanulság

DNS konfiguráció nem csak egy technikai lépés. A wildcard DNS rekord tulajdonképpen egy teljes aldomain-struktúra kulcsát adja át a platformnak. Ez kényelmes, لكن a security szempontjából veszélyes, amikor nem ellenőrzik a tulajdonjogot.

Akkor védheted meg a domainedet, amikor mind a DNS konfigurációban, mind a platform beállításában figyelmet adsz a biztonságra. Monitoringot és tulajdonjog ellenősítést nem lehet kihagyni – ezek a védőrétegnek áttörtek.