Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties

De Internet Engineering Task Force heeft .onion aangewezen als special-use domain name. Onder andere is hiermee voorkomen dat .onion op termijn als generic top-level domain ingezet wordt. Ook opent het de weg naar het verstrekken van ssl-certificaten voor onion-sites.

De IETF heeft de draft voor de special-use domain name-registratie van .onion goedgekeurd. Daarmee is de domeinnaam opgenomen in IANA's lijst van domeinnamen voor speciaal gebruik. Ook .example, .localhost en .test staan bijvoorbeeld op deze lijst.

De stap betekent dat verzekerd is dat .onion gebruikt blijft worden voor het Tor-netwerk en niet op termijn als gtld in de root zone opgenomen wordt, waarna registrars domeinnamen eindigend op .onion zouden kunnen uitgeven. De Icann heeft het aantal gtld's in de afgelopen jaren enorm uitgebreid, met .amsterdam en .frl als Nederlandse voorbeelden. Daarnaast beschrijft de draft aanbevelingen voor ontwikkelaars van dns-software over hoe om te gaan met .onion-adressen.

Niet alleen het Tor Project wilde graag de status van special-use domain name voor .onion, maar ook Facebook. De sociale netwerksite is via het Tor-netwerk direct benaderbaar via https://www.facebookcorewwwi.onion/ en https://m.facebookcorewwwi.onion/. Facebook gebruikt hiervoor ssl-verbindingen maar vanaf eind dit jaar mogen geen ssl-certificaten meer voor internal server names verstrekt wordenNu .onion de status van special-use domain name heeft gekregen, staat het Certificate-Authority & Browser Forum het waarschijnlijk toe om ssl-cerificaten aan de .onion-sites te verstrekken. Onder andere het open initiatief Let's Encrypt, dat gratis ssl-certificaten wil verstrekken, kan dit mogelijk gaan doen.

Overigens waren er eerder verzoeken om ook .exit, .i2p, .gnu en .zkey de speciale domeinnaamstatus te geven, maar hierover heeft het IETF nog niet beslist.

Moderatie-faq Wijzig weergave

Reacties (27)

Ik heb me even in moeten lezen op wikipedia om dit compleet te begrijpen. Ik zie echter niet in waarom het voor het tor netwerk vervelend zou zijn als .onion adressen ook gewoon resolven zonder de specifieke software. Je kunt nog steeds ervoor kiezen je .onion adres alleen via de software / proxy vindbaar te maken lijkt me? Of zit ik er compleet naast en is dit wel een issue? |:(

bron: https://en.wikipedia.org/wiki/.onion
Het hele ding van Tor is dat het een apart stukje van het internet is, waar je alleen met een Tor browser in komt. .onion domeinen zijn bedacht om makkelijk te kunnen zien of iets ook echt via Tor loopt, even plat gezegd, op het normale internet check je bijvoorbeeld of dingen https zijn, op Tor check je of het .onion sites zijn, die zijn namelijk volledig afgeschermd.

Krijg je dan op een gegeven moment 'normale' .onion sites, is het meteen voor de 'simpele Tor gebruiker' niet meer duidelijk wat een 'veilige' site is en wat niet. Dus vandaar.
Je kan met het gewone DNS systeem geen Tor .onion domein resolven, omdat een DNS record altijd naar een IP-adres verwijst, en Tor hier geen gebruik van maakt.
een DNS record altijd naar een IP-adres verwijst
Dat is natuurlijk niet waar.

Het DNS werkt met meerdere soorten "Resource Records" (aka RR).
Het "A-record" is een mapping tussen een domainname en een (ipv4) adres.
Er zitten echter nog vele andere soorten RRs in het DNS.
Bv MX-records die aangeven waar je email naar toe moet sturen.
Of PTR records, die ip-adres naar domainname mappen (reverse A dus).
Of CNAME records, die een soort bijnaam of alternatieve naam aangeven.
CNAME is geen alternatieve naam, maar een verwijzing naar een andere naam die vervolgens wordt gebruikt voor de lookup.
En dat is natuurlijk heel wat anders dan wat ik zei ??
Er is wel degelijk een verschil. Een CNAME record is niet alleen een alias voor een A record. Stel je zou een CNAME maken: test.example.com met als inhoud: test.com. In dit geval zal test.example.com een doorverwijzing zijn voor alle records op test.com. Als er dus bijvoorbeeld op test.com een MX record is zal een email naar test.example.com dus aankomen op de mailserver van test.com.

Om deze reden is het dus ook af te raden om een CNAME te maken voor je hoofddomein. Alle records van de CNAME worden namelijk gebruikt.
ja, een andere naam zou een 2e A record zijn, een CNAME is meer een 301 in DNS termen ;)
Een tweede A-record zou een tweede adres zijn.

Een IP-adres is *niet* een identifier. Het is een locator. Het geeft niet aan wie je bent, maar waar je bent. Een naam is een identifier. Een naam verwijst naar een entiteit. Niet naar de locatie van een entiteit.

Een CNAME-record is dus, zoals ik al zei, gewoon een andere naam. Een andere naam die verwijst naar dezelfde dingen als waar de eerste naam naar verwees.
Onwetende gebruikers kunnen hiermee gekaapt worden, zeker als er geen ssl-basis is om vertrouwen op te baseren. Ga de gemiddelde gebruiker maar uitleggen dat ondanks het juiste adres in de balk staat, hij /toch/ een ander systeem aan de lijn krijgt.
Ik zie echter niet in waarom het voor het tor netwerk vervelend zou zijn als .onion adressen ook gewoon resolven zonder de specifieke software.
Het gaat er om dat je makkelijk informatie gaat lekken.

Stel dat je normaal gesproken TOR gebruikt via een proxy, zoals de meeste gebruikers doen. Dat gaat allemaal goed tot je op zekere dag per ongeluk je proxy niet hebt ingeschakeld (of de verkeerde browser hebt, of in privacy mode zit, etc...). Dan gaat je browser proberen om die .onion link te behandelen als een gewone link.

Dat betekent dat er een verzoek naar je DNS-server gaat om het adres op te zoeken dat bij die link hoort. Oftewel, de beheerder van jouw DNS-server (en alle netwerkbeheerders daar tussen) kan zien welke URL's jij probeert te bezoeken. Als dat "https://mijn.terrorisme.onion" is dan heb je een probleem.
[...]
Dat betekent dat er een verzoek naar je DNS-server gaat om het adres op te zoeken dat bij die link hoort. Oftewel, de beheerder van jouw DNS-server (en alle netwerkbeheerders daar tussen) kan zien welke URL's jij probeert te bezoeken. Als dat "https://mijn.terrorisme.onion" is dan heb je een probleem.
Ehm, dat probleem heb je en hou je ongeacht wat IETF zegt hoor...

DNS werkt gewoon van onder naar boven zolang hij niets vind, dus als jouw computer het niet kan resolven (wat niet zal kunnen zonder patch en daar zal niemand echt haast mee hebben) dan gaat het gewoon door naar je iSP en als die het niet kan resolven gaat het weer omhoog .

IETF zal het vast bij de root-servers laten doorvoeren, waardoor het vanzelf naar beneden druppelt naar de ISP's, maar de gemiddelde consument heeft geen DNS-server staan dus die gooit alles omhoog behalve als er een patch voor is geweest.

Of jij moet echt verwachten dat MS een acute 100% hotfix gaat doorvoeren voor een IETF besluit (en dan naast MS ook Apple en alle Linux vormen etc etc) of jouw scenario blijft de 1e paar jaren nog wel bestaan hoor.
Lijkt mij dat dit gebeurt om eventuele verwarring of misbruik te voorkomen.
En juist daarin lijkt mij dat er een handige fix is. Resolved het .onion domein, dan is het geen tor. Doet het dat niet, dan is het hoogstwaarschijnlijk TOR? Of zit ik er wederom naast? :)
Wat is nou het nut van die gTLD's dan? Behalve dat er iemand vermoedelijk substantiële sommen geld aan verdient?
Zonder strenge standaarden voor TLD's zie ik slechts een wildgroei van rare domeinen en wellicht ook weer een mooi setje nieuwe invalshoeken voor phishing.
Wat is nou het nut van die gTLD's dan? Behalve dat er iemand vermoedelijk substantiële sommen geld aan verdient?
Dat is dan ook ongeveer het nut voor ICANN.
Zonder strenge standaarden voor TLD's zie ik slechts een wildgroei van rare domeinen en wellicht ook weer een mooi setje nieuwe invalshoeken voor phishing.
Die wildgroei is dan ook precies het probleem dat de meeste mensen ermee hebben. En toegenomen phishing is inderdaad ook een bron van zorg.
Die wildgroei is dan ook precies het probleem dat de meeste mensen ermee hebben. En toegenomen phishing is inderdaad ook een bron van zorg.
Een vooralsnog "tamelijk waterdichte" manier om te checken of je te maken hebt met een legitieme link in bijvoorbeeld een mail is gewoon de bron te checken in de mail.
Meestal is dat bedrijf.com, .nl of een variant waarvan je weet dat hij bestaat.
Phishing die dan bijvoorbeeld linkt naar een pagina op ing.nl.niettevertrouwen.ru is dan heel doorzichtig als je niet compleet ligt te slapen.
Als straks het volledige web-adres, inclusief het TLD, arbitrair is weet je nooit meer in één oogopslag of de link in die mail iets is waar je zorgeloos op kan klikken, niet op de laatste plaats omdat je heel creatief kan worden met die krengen door op de juiste plek even ergens een puntje neer te zetten.
Ik vind dat toch wel tamelijk serieus bezwaarlijk, persoonlijk.
Als straks het volledige web-adres, inclusief het TLD, arbitrair is weet je nooit meer in één oogopslag of de link in die mail iets is waar je zorgeloos op kan klikken, niet op de laatste plaats omdat je heel creatief kan worden met die krengen door op de juiste plek even ergens een puntje neer te zetten.
Ik vind dat toch wel tamelijk serieus bezwaarlijk, persoonlijk.
Ik snap je punt wel maar eigenlijk is het natuurlijk al van de gekken dat je zo kritisch naar een URL moet kijken. De meeste mensen kunnen dat nu overigens ook al niet dus ik weet niet hoeveel we in praktijk verliezen. Daarbij denk ik dat de meeste grote bedrijven gewoon op hun bekende domeinen blijven zitten maar daar binnen is nu al zat ruimte voor misleidende namen. Dat de ING zit op ing.nl weet je nog wel, maar is het "bakkeropdehoek.com" of "bakkeropdehoek.nl" ?
Volgens mij zijn richtlijnen omtrent de opbouw van domeinnamen vanaf het beginsel onlogisch en staan alles eerder in de weg dat dat het op een of andere manier nuttig zou zijn.
We gebruiken woorden en een punt als scheidingsteken. Het idee daarvan was toch juist dat het alles kan zijn en we niet te maken hebben met een statische hoeveelheid mogelijkheden? Een .com, .biz of .onion voegt helemaal niks toe aan een domeinnaam. (www. ervoor trouwens ook niet) Alle bestaande toegestane TLD's worden voor allerlei verschillende zaken gebruikt. Dit blijven handhaven is compleet zinloos.
Van mij mogen ze die regels compleet afschaffen en alle willekeurige domeinnamen met onbeperkt aantal punten en dus ook alle TLD's toestaan. De noodzaak van dat wel of niet toestaan op zich is al twijfelachtig en sowieso technisch helemaal overbodig.
Het probleem is niet dat de officiële bedrijven op de officiele urls blijven zitten, het probleem is juist de alternatieve urls.

Algemeen ing blijft op ing.nl, maar als ik nu een mail binnenkrijg van ing.amsterdam is dat dan fishing of toch een lokale afdeling? Hetzelfde met een ing.friesland
Wat is nou het nut van die gTLD's dan? Behalve dat er iemand vermoedelijk substantiële sommen geld aan verdient?
Zonder strenge standaarden voor TLD's zie ik slechts een wildgroei van rare domeinen en wellicht ook weer een mooi setje nieuwe invalshoeken voor phishing.
Het gaat allemaal om geld aan macht. Voor sommige landen is het bijvoorbeeld geen fijne gedachte dat Amerika de baas is over veel TLDs.

Het is ook wel fijn om dat niet alle macht bij een hand vol beheerders zit. Stel dat de hele wereld alleen maar .com zou gebruiken, als jij dan ruzie krijgt met die beheerder dan heb je een groot probleem. Door de macht over een hoop kleine partijen te verdelen houden die elkaar eerlijk. (In theorie althans, in praktijk wordt de bulk van de nieuwe TLDs gerund door de usual suspects).
Op papier is dat heel tof, in de praktijk zie je inderdaad alleen maar bedrijven als Google met hun e-peen zwaaien door containerladingen TLD's te bemachtigen. Geld als drek immers.
Ik ben zoekende maar ik zie vooralsnog geen henk en ingrid die er één of meerdere gaan beheren. Kan ook niet want daarvoor moet je als simpleton met veel te veel geld op de proppen komen.
Ik vind Tor netwerken iets heel moois, door het hoge niveau van anonimiteit, maar tegelijkertijd ook weer behoorlijk gevaarlijk. Omdat ze zo slecht te controleren zijn, is hier (Nu al) een deel dat gebruikt word voor de dingen die naar mijn mening weer criminaliteit in de hand werken. Nu heb ik totaal geen probleem met drugshandel etc. Dat zijn keuzes die men uiteindelijk zelf naamt. Maar wapenhandel en kinderporno daarentegen gaan me weer een stuk te ver. Aan de andere kant is dan weer dat de overheid niet alles hoeft te weten.
Die speciale domeinen zijn best wel een probleem. Men heeft dat niet op tijd zien aan komen en er is nooit een goede procedure bedacht om hier mee om te gaan. De situtatie zit ook vol interne tegenstrijdigheden. TLD' als .onion mogen niet in DNS worden opgenomen. De enige manier om dat te doen is om ze wél in DNS op te nemen.

Er zijn ook een hoop andere domeinen die een vergelijkbare status willen. De mensen die er iets over te zeggen hebben zijn de DNS-beheerders. Dat zijn over het algemeen mensen die fan zijn van DNS en er dus niets voor voelen om een ander systeem naast DNS te hebben waar DNS dan ook nog eens rekening mee moet houden.

Dat er geen procedure is maakt het ook moeilijk. Mag iedereen zomaar z'n eigen prive TLD aanvragen en laten reserveren? Wat als iemand nu .com wil?
Het is geen onoplosbaar probleem maar op het ogenblijk spelen er een hoop belangen en emoties waardoor het moeilijk is om een procedure op te stellen waar de meerderheid het mee eens is.
Uhh, Friesland heeft niet de TLD .friesland, maar .frl ;)
Hopelijk maken ze een uitzondering voor the.onion ;-)
http://www.theonion.com/

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True