Toon posts:

Domein offline laten halen

Pagina: 1
Acties:

Vraag

dinsdag 16 januari 2018 17:57

Acties:
  • 0 Henk 'm!
  • HenkEisDS
  • Registratie: Maart 2004
  • Laatst online: 08-10 14:13

HenkEisDS

Topicstarter
Een potentieel beveiligingslek in het product dat ik verkoop leunt op het aanbieden van een fake website die op onze (klant zijn) website lijkt. De kans dat dit gebeurt is erg klein, maar de impact kan gigantisch zijn. Ik vraag me daarom af wat er voor nodig is om zonder tussenkomst van een domeineigenaar een bepaald domein offline te halen.

Onze vriend Arnoud (@Arnoud Engelfriet ) zegt: 'Als de rechter het beslag gerechtvaardigd vindt, dan kan de eisende partij een deurwaarder naar SIDN sturen. Die bevriest dan de domeinnaam, zodat verkoop, overdracht of opheffing niet meer mogelijk is totdat het beslag wordt opgeheven of totdat het vervalt omdat er niet op tijd een rechtszaak is gestart. Verhuizen van de domeinnaam naar een andere registrar mag nog wel.'
https://ictrecht.nl/jurid...beslag-op-een-domeinnaam/

SIDN zegt:
'Hoe leg je beslag op een domeinnaam?
Schakel een advocaat in.
Je advocaat vraagt de rechter toestemming om beslag te leggen op de domeinnaam.
Je advocaat schakelt een deurwaarder in.
Die regelt de beslaglegging. Hij geeft een brief aan de houder waarin de beslaglegging staat. Die brief heet betekening.
De deurwaarder neemt contact op met ons.
Hij laat ons weten dat er op de domeinnaam beslag is gelegd. Dat kan op 2 manieren:
Hij mailt ons een kopie van de betekening aan de houder. Of hij betekent een kopie, van de betekening aan de houder, aan ons. Dat noemen we een overbetekening. Een overbetekening is niet verplicht.
Wij heffen de domeinnaam niet op en veranderen de houder niet.
De domeinnaam is dan bevroren. We werken wel mee als jij als beslaglegger schriftelijk toestemming geeft.'


Zoals ik het begrijp is er, logischerwijs, altijd een tussenkomst van een rechter nodig. Een paar vragen hierover.
- Hoe snel zou dit in de praktijk duren? Dus vanaf het moment dat ik een malafide domein vind, onze advocaat bel, tot het daadwerkelijk offline halen van dit domein.

- SIDN heeft het over bevroren, ICANN gebruikt vergelijkbare termen. Wat is bevroren precies? Werkt de malafide website dan nog?

- Hoe werkt dit met vage domeinen zoals .tk, .yt, .sj of nog erger: .kp? (voor de afkortingnerds zoals ik: Tokelau, Mayotte, Svalbard and Jan Mayen islands, Democratic People's Republic of Korea) Dit zijn buitenlandse domeinen. Heb ik dan contact nodig met een buitenlandse rechter?!

- Kan dit proces sneller? Onderhinderd door enige kennis van zaken kan ik me bedenken dat ik de hoster ook kan benaderen. Hoe zou dit in zijn werk gaan? Cease and desist sturen oid?


@modjes: Ik twijfelde tussen dit forum en het beveiligingsforum. Ik denk dat hij hier op zijn plaats is. :)

[ Voor 3% gewijzigd door HenkEisDS op 16-01-2018 18:04 . Reden: t > d, stukje hosting offline halen toegevoegd ]

Beste antwoord (via HenkEisDS op 17-01-2018 21:40)

dinsdag 16 januari 2018 20:48

  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

.Maarten schreef op dinsdag 16 januari 2018 @ 20:27:
Waarom registreer je niet gewoon alle domeinen die erop lijken en nog vrij zijn? Dat is een stuk goedkoper dan advocaten ed.
Ik denk niet dat dat veel zin heeft.
QR codes scan je in de regel met je mobieltje, en dan zie je het grootste gedeelte van de URL niet.

Stel dat ik een eigen domein, example.com heb en ik zet in de DNS een subdomein 'kaartjesboer.nl.example.com', dan ziet de gebruiker dat laatste stuk (example.com) niet.
Desnoods vul ik het nog even aan met 'kaartcontrole.kaartjesboer.nl.example.com' om zeker te zijn dat de URL niet volledig zichtbaar is in de adresbalk van een mobiele browser.

Je hebt dus niet eens een domein nodig die ergens op lijkt.
Gewoon een subdomain gebruiken onder een ander, totaal ongerelateerd, domein is voldoende.

Kortom, achter domeinnamen aan gaan is vechten tegen de bierkaai.

Edit:
En ja, afhankelijk van de QR code reader kan die de URL laten zien.
Maak het lang genoeg, en dan is ook dat afgevangen.
Of, als het een slimme QR code reader is, haalt die microdata op van het betreffende adres en toont een paginatitel en een korte samenvatting. Dan mag het domein alles zijn wat je maar wil, kort of lang.
HenkEisDS schreef op dinsdag 16 januari 2018 @ 20:19:
Bedankt allemaal voor jullie valide input! _/-\o_

Wat meer achtergrond. Vergelijk het product wat ik lever met concertkaartjes en dat je met de unieke QR code op je concertkaartje kunt checken of deze geldig is. Een malafide verkoper zal het ontwerp en de code kopieren en vervolgens verkopen. Een klant zal de code controleren op mijn website, hier forwarden we hem heen als een QR code gescanned wordt. Een slimme vervalser zal de verwijzing naar mijn website veranderen en doodleuk een bericht laten zien als 'Je ticket is valide'. De reden dat ik een domeinnaam van het web wil hebben is omdat dit de malafide handelaar hard raakt. Alle concertkaartjes die hij verkocht heeft zijn dan niet controleerbaar valide en hij zal ze dus moeten herdrukken. Hiermee zal zijn businessmodel kapot gaan of hij schakelt over naar een concurrent van mijn klant die niet met ons werkt.

We bieden trouwens extra beveiliging die dit hele scenario onmogelijk maakt, maar dit is significant duurder. Ik probeer de onveilige methode veiliger te maken.


[...]


Helemaal mee eens. We maken een afweging tussen gebruikersgemak en security. Dit doen we in overleg met onze klanten waarbij er flink wat extra kosten zijn voor deze 99.9999999% security. Het minder veilige scenario zou ik echter ook zo veilig mogelijk willen hebben, vandaar mijn vraag.


[...]


Goede vraag. Ik denk dit te kunnen doen omdat de malafide website zich voordoet als iemand die ze niet zijn.
Prachtig, maar dan zal je gewoon aangifte moeten doen, en dan verder werken. Je bent een gruwelijke tijd verder.
Ookal zou het kunnen, de voorverkoop periode van de kaartjes is al voorbij op het moment dat er iets offline gehaald is.
Een slimme malafide verkoper zal pas inhaken op het moment dat de kaartjes schaars worden, hooguit enkele weken voordat het evenement van start gaat.
Hell, die trekt z'n zooi zelf wel offline voordat er ooit iets van justitie aan te pas gekomen is.
[...]


Interessant. Misschien moet ik het ook helemaal niet zoeken in domeinnamen, maar meer in hostingpartijen. Grote kans dat deze sneller aangepakt kunnen worden dan een domein in beslag nemen, nadeel is dan wel dat de malafide handelaar waarschijnlijk gewoon overstapt van hostingpartij...
Hosting partijen gaan ook niet zomaar iets offline trekken.
Die zullen eerst contact opnemen met de betreffende klant.
Misschien rekt die wel tijd, claimt dat de boel gehacked is, etc.
Ook dat traject is veeel te lang.

[ Voor 64% gewijzigd door McKaamos op 16-01-2018 20:58 ]

Iemand een Tina2 in de aanbieding?

Alle reacties

dinsdag 16 januari 2018 18:20

Acties:
  • +2 Henk 'm!
  • anboni
  • Registratie: Maart 2004
  • Laatst online: 05-10 05:12

anboni

Je bent nu op zoek naar symptoombestrijding. Dat is een strijd die je gaat verliezen. Je moet zorgen dat je applicatie/product inherent niet kwetsbaar is voor dergelijke sites. Je geeft zelf al aan dat de procedure voor .nl sites wel duidelijk is, maar voor allerlei andere domains niet (vergeet ook .ml niet, heb ik intussen al meerdere keren voorbij zien komen). Naast domains die nog enigszins op het echte domain lijken, heb je ook te maken met gebruikers die domweg alle links klikken die maar enigszins de suggestie wekken dat ze doen wat de gebruiker verwacht.

dinsdag 16 januari 2018 18:47

Acties:
  • +1 Henk 'm!
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 19:32

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Hoe snel denk je zelf dat onderstaande gaat?
Schakel een advocaat in.
Je advocaat vraagt de rechter toestemming om beslag te leggen op de domeinnaam.
Je advocaat schakelt een deurwaarder in.
Die regelt de beslaglegging. Hij geeft een brief aan de houder waarin de beslaglegging staat. Die brief heet betekening.
De deurwaarder neemt contact op met ons.
Hij laat ons weten dat er op de domeinnaam beslag is gelegd. Dat kan op 2 manieren:
Hij mailt ons een kopie van de betekening aan de houder. Of hij betekent een kopie, van de betekening aan de houder, aan ons. Dat noemen we een overbetekening. Een overbetekening is niet verplicht.
Wij heffen de domeinnaam niet op en veranderen de houder niet.
De domeinnaam is dan bevroren. We werken wel mee als jij als beslaglegger schriftelijk toestemming geeft.'
Hier gaat doorgaans een behoorlijke tijd overheen natuurlijk. Je dient ook met goed bewijs te komen, een domain wordt niet zo maar bevroren of offline gehaald. Dan hebben we het nog niet eens over buitenlandse websites. Daarnaast lijkt mij dit symptoombestrijding en onwerkbaar als oplossing voor een kwetsbaarheid in een product wat je verkoopt.

[ Voor 5% gewijzigd door Bor op 16-01-2018 18:55 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 16 januari 2018 18:55

Acties:
  • +1 Henk 'm!
  • 418O2
  • Registratie: November 2001
  • Laatst online: 22:19

418O2

Ik snap alleen niet op welke grond je dit dan wil laten doen? Je verkoopt een product (webapplicatie?) En mogelijk kan iemand een domein opzetten die een beveiligsgat kan exploiteren?

dinsdag 16 januari 2018 19:05

Acties:
  • 0 Henk 'm!
  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

418O2 schreef op dinsdag 16 januari 2018 @ 18:55:
Ik snap alleen niet op welke grond je dit dan wil laten doen? Je verkoopt een product (webapplicatie?) En mogelijk kan iemand een domein opzetten die een beveiligsgat kan exploiteren?
Dit. Dat jouw software een gat heeft, welke je niet wil patchen, is geen grond waarop je een domein offline kan laten halen.

Maar ookal zou het wel gezien worden als een valide reden, dan kunnen er maanden (of zelfs jaren) overheen gaan tussen wanneer jij begint met procederen en het moment waarop het domein offline gaat.
Al die tijd lopen er dus mensen risico.

En dan hebben we het nog niet eens over buitenlandse domeinen. Die zijn nog veel lastiger, in bepaalde gevallen.

Kortom, fix je software. Symptoom bestrijden is het equivalent van dweilen met de kraan open.

Edit: oh en nog iets... Stel dat jouw klant schade ondervind doordat je de software niet patched? Ik gok dat je nogal wat schade vergoedingen moet gaan betalen. Of daar over vechten in de rechtzaal.
Is dat een risico wat je wil lopen?

[ Voor 11% gewijzigd door McKaamos op 16-01-2018 19:10 ]

Iemand een Tina2 in de aanbieding?

dinsdag 16 januari 2018 19:14

Acties:
  • +2 Henk 'm!
  • Arnoud Engelfriet
  • Registratie: Augustus 2002
  • Laatst online: 01-10 11:29

Arnoud Engelfriet

ICT-jurist / Specialist internetrecht
Eerlijk gezegd zie ik geen grond voor beslag op die domeinnaam. Daarvoor moet je een recht hebben dat je op die domeinnaam kunt uitoefenen. Denk aan een merkrecht of een contractuele afspraak dat hij van jou behoort te zijn. Dat zijn redenen waarmee je beslag legt - beslag is een tijdelijke maatregel zodat je rustig een rechtszaak over het onderliggende recht kunt voeren.

Een fake website is iets dat je via het merkenrecht zou kunnen aanpakken, maar bij voorkeur zit jouw (gedeponeerd) merk dan in de domeinnaam. Anders is het wel lastig betogen dat iemands website 'fake' is.

dinsdag 16 januari 2018 20:19

Acties:
  • 0 Henk 'm!
  • HenkEisDS
  • Registratie: Maart 2004
  • Laatst online: 08-10 14:13

HenkEisDS

Topicstarter
Bedankt allemaal voor jullie valide input! _/-\o_

Wat meer achtergrond. Vergelijk het product wat ik lever met concertkaartjes en dat je met de unieke QR code op je concertkaartje kunt checken of deze geldig is. Een malafide verkoper zal het ontwerp en de code kopieren en vervolgens verkopen. Een klant zal de code controleren op mijn website, hier forwarden we hem heen als een QR code gescanned wordt. Een slimme vervalser zal de verwijzing naar mijn website veranderen en doodleuk een bericht laten zien als 'Je ticket is valide'. De reden dat ik een domeinnaam van het web wil hebben is omdat dit de malafide handelaar hard raakt. Alle concertkaartjes die hij verkocht heeft zijn dan niet controleerbaar valide en hij zal ze dus moeten herdrukken. Hiermee zal zijn businessmodel kapot gaan of hij schakelt over naar een concurrent van mijn klant die niet met ons werkt.

We bieden trouwens extra beveiliging die dit hele scenario onmogelijk maakt, maar dit is significant duurder. Ik probeer de onveilige methode veiliger te maken.
anboni schreef op dinsdag 16 januari 2018 @ 18:20:
Je bent nu op zoek naar symptoombestrijding. Dat is een strijd die je gaat verliezen. Je moet zorgen dat je applicatie/product inherent niet kwetsbaar is voor dergelijke sites. Je geeft zelf al aan dat de procedure voor .nl sites wel duidelijk is, maar voor allerlei andere domains niet (vergeet ook .ml niet, heb ik intussen al meerdere keren voorbij zien komen). Naast domains die nog enigszins op het echte domain lijken, heb je ook te maken met gebruikers die domweg alle links klikken die maar enigszins de suggestie wekken dat ze doen wat de gebruiker verwacht.
Helemaal mee eens. We maken een afweging tussen gebruikersgemak en security. Dit doen we in overleg met onze klanten waarbij er flink wat extra kosten zijn voor deze 99.9999999% security. Het minder veilige scenario zou ik echter ook zo veilig mogelijk willen hebben, vandaar mijn vraag.
418O2 schreef op dinsdag 16 januari 2018 @ 18:55:
Ik snap alleen niet op welke grond je dit dan wil laten doen? Je verkoopt een product (webapplicatie?) En mogelijk kan iemand een domein opzetten die een beveiligsgat kan exploiteren?
Goede vraag. Ik denk dit te kunnen doen omdat de malafide website zich voordoet als iemand die ze niet zijn.
Arnoud Engelfriet schreef op dinsdag 16 januari 2018 @ 19:14:
Eerlijk gezegd zie ik geen grond voor beslag op die domeinnaam. Daarvoor moet je een recht hebben dat je op die domeinnaam kunt uitoefenen. Denk aan een merkrecht of een contractuele afspraak dat hij van jou behoort te zijn. Dat zijn redenen waarmee je beslag legt - beslag is een tijdelijke maatregel zodat je rustig een rechtszaak over het onderliggende recht kunt voeren.

Een fake website is iets dat je via het merkenrecht zou kunnen aanpakken, maar bij voorkeur zit jouw (gedeponeerd) merk dan in de domeinnaam. Anders is het wel lastig betogen dat iemands website 'fake' is.
Interessant. Misschien moet ik het ook helemaal niet zoeken in domeinnamen, maar meer in hostingpartijen. Grote kans dat deze sneller aangepakt kunnen worden dan een domein in beslag nemen, nadeel is dan wel dat de malafide handelaar waarschijnlijk gewoon overstapt van hostingpartij...

dinsdag 16 januari 2018 20:27

Acties:
  • 0 Henk 'm!
  • .Maarten
  • Registratie: Januari 2011
  • Laatst online: 18:29

.Maarten

Waarom registreer je niet gewoon alle domeinen die erop lijken en nog vrij zijn? Dat is een stuk goedkoper dan advocaten ed.

dinsdag 16 januari 2018 20:48

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

.Maarten schreef op dinsdag 16 januari 2018 @ 20:27:
Waarom registreer je niet gewoon alle domeinen die erop lijken en nog vrij zijn? Dat is een stuk goedkoper dan advocaten ed.
Ik denk niet dat dat veel zin heeft.
QR codes scan je in de regel met je mobieltje, en dan zie je het grootste gedeelte van de URL niet.

Stel dat ik een eigen domein, example.com heb en ik zet in de DNS een subdomein 'kaartjesboer.nl.example.com', dan ziet de gebruiker dat laatste stuk (example.com) niet.
Desnoods vul ik het nog even aan met 'kaartcontrole.kaartjesboer.nl.example.com' om zeker te zijn dat de URL niet volledig zichtbaar is in de adresbalk van een mobiele browser.

Je hebt dus niet eens een domein nodig die ergens op lijkt.
Gewoon een subdomain gebruiken onder een ander, totaal ongerelateerd, domein is voldoende.

Kortom, achter domeinnamen aan gaan is vechten tegen de bierkaai.

Edit:
En ja, afhankelijk van de QR code reader kan die de URL laten zien.
Maak het lang genoeg, en dan is ook dat afgevangen.
Of, als het een slimme QR code reader is, haalt die microdata op van het betreffende adres en toont een paginatitel en een korte samenvatting. Dan mag het domein alles zijn wat je maar wil, kort of lang.
HenkEisDS schreef op dinsdag 16 januari 2018 @ 20:19:
Bedankt allemaal voor jullie valide input! _/-\o_

Wat meer achtergrond. Vergelijk het product wat ik lever met concertkaartjes en dat je met de unieke QR code op je concertkaartje kunt checken of deze geldig is. Een malafide verkoper zal het ontwerp en de code kopieren en vervolgens verkopen. Een klant zal de code controleren op mijn website, hier forwarden we hem heen als een QR code gescanned wordt. Een slimme vervalser zal de verwijzing naar mijn website veranderen en doodleuk een bericht laten zien als 'Je ticket is valide'. De reden dat ik een domeinnaam van het web wil hebben is omdat dit de malafide handelaar hard raakt. Alle concertkaartjes die hij verkocht heeft zijn dan niet controleerbaar valide en hij zal ze dus moeten herdrukken. Hiermee zal zijn businessmodel kapot gaan of hij schakelt over naar een concurrent van mijn klant die niet met ons werkt.

We bieden trouwens extra beveiliging die dit hele scenario onmogelijk maakt, maar dit is significant duurder. Ik probeer de onveilige methode veiliger te maken.


[...]


Helemaal mee eens. We maken een afweging tussen gebruikersgemak en security. Dit doen we in overleg met onze klanten waarbij er flink wat extra kosten zijn voor deze 99.9999999% security. Het minder veilige scenario zou ik echter ook zo veilig mogelijk willen hebben, vandaar mijn vraag.


[...]


Goede vraag. Ik denk dit te kunnen doen omdat de malafide website zich voordoet als iemand die ze niet zijn.
Prachtig, maar dan zal je gewoon aangifte moeten doen, en dan verder werken. Je bent een gruwelijke tijd verder.
Ookal zou het kunnen, de voorverkoop periode van de kaartjes is al voorbij op het moment dat er iets offline gehaald is.
Een slimme malafide verkoper zal pas inhaken op het moment dat de kaartjes schaars worden, hooguit enkele weken voordat het evenement van start gaat.
Hell, die trekt z'n zooi zelf wel offline voordat er ooit iets van justitie aan te pas gekomen is.
[...]


Interessant. Misschien moet ik het ook helemaal niet zoeken in domeinnamen, maar meer in hostingpartijen. Grote kans dat deze sneller aangepakt kunnen worden dan een domein in beslag nemen, nadeel is dan wel dat de malafide handelaar waarschijnlijk gewoon overstapt van hostingpartij...
Hosting partijen gaan ook niet zomaar iets offline trekken.
Die zullen eerst contact opnemen met de betreffende klant.
Misschien rekt die wel tijd, claimt dat de boel gehacked is, etc.
Ook dat traject is veeel te lang.

[ Voor 64% gewijzigd door McKaamos op 16-01-2018 20:58 ]

Iemand een Tina2 in de aanbieding?

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq