Wierzę, że korzystając z usług hostingowych zasługujesz na wysokie poczucie bezpieczeństwa i psychicznego komfortu. Jeśli także uważasz , że firmy hostingowe powinny ułatwiać użytkownikom przyswajanie wiedzy o zagrożeniach i sposobach ochrony – zapraszam, przeczytaj to teraz, na spokojnie. Poznaj zagrożenia dla Twojej domeny i metody przeciwdziałania, zanim będzie za późno.

Z tego wpisu dowiesz się:

  • Jakie zagrożenia czyhają na nazwy domenowe
  • Co to jest cybersquatting i typosquatting?
  • W jakim stopniu grozi Ci atak homograficzny?

Jak chronić domenę – typologia zagrożeń

Jako firma hostingowa często spotykamy się z szeroką skalą problemów z domenami. Z tego punktu widzenia podzieliłbym zagrożenia dla domen na kilka kategorii, które postaram się omówić dla Ciebie w poniższym artykule. Są to zagadnienia:

  • prawne
  • finansowe
  • techniczne
  • własnego postępowania
  • niewygodnego towarzystwa
  • techniczne
  • cybersquatting
  • typosquatting
  • homograficzne
  • „ataki z flanki”

Sporo? Tym bardziej nie ma na co czekać, zaczynajmy!

Zagadnienia prawne

Być może czytając ten akapit dziwisz się, że poruszam taki temat, jednak w praktyce co rusz zwracają się do nas osoby, które miały domenę i „przestała działać” – a okazuje się, że wcale nie były jej abonentem! Niedawno rozmawiałem na privie z panią, która zaczęła rozmowę o pytania, jak sprawdzić, kto jest abonentem domeny, a wkrótce okazało się, że straciła kontrolę nad domeną, a w danych WHOIS jako abonent wpisana jest inna osoba, która… robiła stronę www!

Dlatego zlecając stronę lub sklep – ZAWSZE upewnij się najpierw, że z prawnego punktu widzenia to Ty jesteś abonentem domeny oraz jest to odzwierciedlone w rejestrze WHOIS. W przeciwnym wypadku, w razie sporu, pozostanie Ci tylko długa batalia prawna z podmiotem lub osobą, która figuruje we WHOIS.

W dniu 2018-10-26, podczas trzeciego dnia konferencji I love marketing, Tomasz Palak wygłosił świetne wystąpienie, w którym także wskazał, że z prawnego punktu widzenia znacznie łatwiej jest od razu zarezerwować sobie prawo do danej domeny, niż później „odkręcać” sytuację, w której to ktoś inny jest jej abonentem. (Tomek gratuluję – to było świetne wystąpienie!) Dlatego zaczynając biznes pamiętaj, aby ta sprawa od początku była w pełni jasna – to Ty chcesz być wpisany jako abonent.

Zwróć uwagę, że nie „właściciel”, choć tak zwykło się mówić potocznie. Sam początkowo wpadłem w tę językową rutynę pisząc pierwotny tekst tego wpisu. Jest to dobre miejsce, aby przypomnieć, że domena internetowa nie jest Twoją własnością w rozumieniu prawnym. Rejestrując domenę zapewniasz sobie po prostu prawo do jej używania przez określony czas. Stąd też prawidłowo mówimy o abonencie domeny, podobnie jak o abonencie numeru telefonu – po zwolnieniu operator może go przecież przydzielić innej osobie – tak samo, jak nazwa domenowa może być później używana przez kogoś innego.

Zagadnienia finansowe

Druga przyczyna problemów to po prostu przegapienie terminu odnowienia domeny. Niemal każda firma hostingowa wysyła kilka przypomnień, jeśli jednak jesteś akurat na urlopie i postanowiłeś odciąć się od cywilizacji na dwa, trzy tygodnie – możesz to przegapić.

Aby uniknąć takich sytuacji przez dłuższymi wyjazdami pamiętaj, aby sprawdzić, czy domena w tym czasie nie ulegnie wygaśnięciu.

Klub Przyjaciół Pieczywa i Sera. KPPIS.

źródło: kppis.pl, 2018-11-13

Wspomniany już Tomasz Palak w swojej prezentacji ponownie wskazuje na świetny przykład. Niedopilnowana domena kppis.pl – Klubu Parlamentarnego Prawa i Sprawiedliwości – przeszła w ten sposób w ręce Klubu Przyjaciół Pieczywa i Sera… który to – co ciekawe- wciąż aktywnie prowadzi stronę o pieczywie i serze!

Aby uniknąć tego rodzaju problemów – porozmawiaj ze swoim dostawcą hostingu o rejestracji domeny od razu na dłuższy okres, a także zadbaj o wcześniejsze regulowanie opłat za kolejne okresy rozliczeniowe usług hostingowych. Serio, hosting czy domena to nie to samo, co prąd czy gaz. Jeśli nie zapłacisz w terminie rachunku za prąd i zostanie on odcięty, to po uregulowaniu sprawy otrzymasz ponownie taki sam prąd. Z domeną czy hostingiem to tak nie działa. Utracona domena może przejść w ręce kogoś trzeciego, a dane z nieopłaconego na czas konta mogą zostać skasowane bezpowrotnie.

Własne postępowanie

To najbardziej oczywista sprawa – pamiętaj, że domena będzie mieć taką reputację, na jaką sobie zasłuży Twoim własnym postępowaniem. Przestrzegaj zatem zasad, związanych z przetwarzaniem danych osobowych oraz świadczeniem usług drogą elektroniczną, a wysyłki poczty z Twojej domeny opieraj o zgody użytkowników. Każdy incydent, kiedy roześlesz niechciane informacje, może skończyć się zaraportowaniem Twojej domeny jako rozsyłającej spam.

Twoja domena to Twoja marka w oczach wielu serwisów oraz użytkowników. W niektórych wypadkach istnieje możliwość, że wygenerujesz subdomeny, czyli domeny niższego poziomu. Na przykład dla domeny sklep.pl może to być adres typu logowanie.sklep.pl. Póki to Ty kontrolujesz wszystko, co dzieje się w tych subdomenach – to wszystko w porządku.

Jeśli jednak subdomeny „oddajesz” innym, na przykład jakimś jednostkom biznesowym Twojej Bardzo Wielkiej Międzynarodowej Korporacji albo po prostu odsprzedajesz adresy w swojej domenie – to zwróć uwagę, że wszystko to, co dzieje się w subdomenach „pracuje” na reputację domeny nadrzędnej. Może się okazać, że reputacja takiej domeny jest bardzo trudna do odzyskania – sam spotkałem się z sytuacją, w której Facebook uparcie traktuje jedną z domen jako podejrzaną, wymagając za każdym razem, kiedy próbuje się do niej linkować – dowodu, że linkujący jest człowiekiem. Jest to właśnie następstwo „złego zachowania” osób posługujących się subdomenami w tej domenie.

Dobre towarzystwo

Korzystaj ze sprawdzonych firm i usług hostingowych. Spytaj operatora hostingu, jaka jest jego polityka w zakresie adresacji IP. Idealnie, jeśli masz własny adres IP, wówczas z Twoją domeną nie będą kojarzone działania innych użytkowników, posługujących się innymi domenami, ale podpiętymi pod to samo IP.

W razie ataku spamu adres IP może zostać wpisany na tzw. RBL’e. Są to listy wskazujące na serwery o niskiej reputacji, z których rozsyłano spam. Z tego rodzaju list korzystają operatorzy poczty na całym świecie. W obecnych czasach stanowią one jedną z istotnych technik ochrony Twojej skrzynki przed zalewem spamu. Kiedy jednak to Twój adres IP dostanie się na taką listę, to w efekcie stracisz możliwość skutecznego wysłania poczty. Fizycznie zostaną ona wysłana z Twojego serwera, ale serwer odbiorcy z bardzo wysokim prawdopodobieństwem ją po prostu odrzuci. Z technologii tej korzysta większość operatorów pocztowych.

W hostingu współdzielonym może sprawdzić się także stosowanie dedykowanych pakietów hostingowych, przeznaczonych do obsługi poczty. Istnieją takie rozwiązania, które zajmują się odpowiednią obsługą i rotowaniem adresów IP tak, żeby nawet w razie dostania się Twojego adresu na listy RBL zminimalizować skutki w ten sposób, że otrzymasz od razu, automatycznie, nowy adres.

Zabezpieczenia techniczne

To bardzo szeroka kategoria, więc w tym wpisie ograniczę się to trzech, najważniejszym moim zdaniem, zagadnień, jak: hasła, bezpieczeństwo strony oraz stosowanie bezpiecznych certyfikatów SSL.

Podstawą jest stosowanie odpowiednich haseł do wszystkiego, co funkcjonuje w Twojej domenie, od konta poczty, przez FTP, na logowaniu do kokpitu Twojej strony strony kończąc. Hasła powinny być unikane, odpowiednio złożone i trudne, najlepiej jeszcze często zmieniane. Poprzednio obowiązujące przepisy o ochronie danych osobowych wskazywały na konieczność stosowania haseł min. 8-znakowych, zawierających małe, wielkie litery oraz cyfry lub znaki specjalne. Haseł nie zapisuj w formie jawnej i nigdy, przenigdy nie ujawniaj swojego hasła innej osobie, bo nie masz pewności, czy omyłkowo nie zostanie ono ujawnione nawet, jeśli taka osoba nie ma wrogich intencji. Nie podawaj haseł w publicznych, niezabezpieczonych sieciach.

Drugi obszar, o którym trzeba tu powiedzieć, to luki w skryptach na stronie. Poprzez luki w oprogramowaniu, zwłaszcza popularnych CMS’ow jak WordPress i Joomla!, możliwe jest wrogie przejęcie kontroli nad Twoją stroną i użycie jej na przykład do rozesłania spamu bez Twojej zgody i wiedzy. Zazwyczaj problem leży nie tyle w samym rdzeniu CMS’a, co w instalowanych pluginach.

Trzeci obszar to certyfikaty SSL. Ich stosowanie jest dziś w zasadzie koniecznością. Zapewniają one szyfrowanie komunikacji między przeglądarką użytkownika a serwerem, dzięki czemu dane pozostają poufne w warstwie transmisji. Ogranicza to ryzyko ich przechwycenia i podsłuchania, co mogłoby prowadzić do tragicznego spadku zaufania do Twojej domeny.

Podsumowując – myśląc o bezpieczeństwie technicznym pamiętaj o:

  1. Stosowaniu certyfikatu SSL
  2. Stałym aktualizowaniu strony i jej wszystkich komponentów.
  3. Wybieraniu wiarygodnych i dobrze opisanych pluginów.

Wiele osób sądzi, że instalacja pluginów wzmacniających bezpieczeństwo ochroni je przed atakami, ale często jest to złudne poczucie bezpieczeństwa. Istnieje mocno uargumentowany pogląd, że w większości takie wtyczki powodują dodatkowe obciążenie serwera i same stanowią potencjalne „wrota infekcji” dla strony www. Dlatego lepszym rozwiązaniem wydaje się ręcznie zastosowanie choćby kilku podstawowych kroków, albo zainwestowanie w usługę specjalisty, który może pomóc w przygotowaniu takiego zabezpieczenia.

Zabezpieczenia „kognitywne”. Co to jest typosquatting?

To wyszukane pojęcie oznacza po prostu, że ktoś inny może podszywać się skutecznie pod Twoją domenę, jeśli jej brzmienie jest bardzo podobne do Twojej domeny. Ze względu na nasze ograniczenia poznawcze, zwłaszcza w wypadku dłuższych nazw domenowych, możemy w pośpiechu nie odróżnić dwóch domen, różniących się jednym znakiem. Działania polecające na rejestracji nazwy łudząco podobnej do innej – w złej wierze, to własnie typosquatting. Przykład takiej domeny to gooogle.com – nazwa z nadmiarową literą „o”. Typosquatting wydaje się szczególnie groźny tam, gdzie w „prawidłowej” nazwie domenowej występują dwie takie same litery obok siebie.

Istnieje 900 000 domen, które wykorzystują literówki użytkowników chcących odwiedzić jedną z 3 264 najpopularniejszych stron z końcówką „.com”

https://tylermoore.ens.utulsa.edu/fc10typo.pdf

Co więcej – atakujący może mieć nawet prawidłowo działający certyfikat SSL, wydany oczywiście na swoją nazwę domenową! Jeśli nazwa jest łudząco podobna do Twojej – narażasz reputację Twojej domeny w sytuacji, kiedy atakujący spróbuje np. phisingu, czyli podszycia się pod Twoją stronę w celu wyłudzenia takich danych, jak hasła użytkowników. Tego rodzaju ataki są wymierzone głównie w banki, ale często także np. w firmy kurierskie, a zdarza się, że i hostingowe, choć w tym wypadku chodzi raczej o pobranie załącznika zawierającego złośliwe oprogramowanie instalowane w komputerze użytkownika.

Tak czy inaczej – zaufanie odbiorcy do marki może zostać nadszarpnięte.
W tym wypadku istnieją dwie linie działań, które może prowadzić, aby zredukować tego typu zagrożenia dla Twojej domeny.

  • Wykupienie podobnych nazw domenowych tak, żeby nie mogli tego zrobić atakujący. (Bonus: – możesz przekierować ruch z takich domen na swoją, aby zgarniać także tych użytkowników, którzy się po prostu pomylili wpisując nazwę domenową. Skonsultuj się z Twoimi specjalistami od SEO, żeby zrobić to w sposób, który nie zaszkodzi pozycjom strony w wyszukiwarce).
  • Mieć „włączony nasłuch” na wszelkie tego rodzaju próby w odniesieniu do Twojej marki (np. monitoring marki) i edukować klientów, wysyłając im ostrzeżenia mailowe, tworząc odpowiednie treści na swoim blogu, kanale video, w materiałach drukowanych etc. , – a nawet w SMS’ach. Jeśli roześlesz takie ostrzeżenia o próbach podszywania się pod Ciebie, Twoja marka będzie postrzegana jako troszcząca się o klienta i mimo tego rodzaju wrogich działań zaufanie do niej może pozostać na tym samym, a nawet – paradoksalnie – wyższym poziomie.

Co to jest cybersquatting?

Słowo „squatting” można rozumieć po prostu jako niepożądane, bezprawne „zamieszkanie”, czyli zajęcie określonego lokalu. Cybersquatting oznacza niepożądane zajęcie danej nazwy domenowej. Najczęściej pod tym pojęciem rozumie się sytuację, w której domena z prawidłowym „rdzeniem” zostaje zarejestrowana z inną końcówką. Tu nie ma mowy o literówkach, po prostu ktoś bierze nazwę Twojej firmy i rejestruje, np. w domenie .xxx albo .sucks… zresztą wystarczy, że zarejestruje Ci domenę .eu albo .com – to też skutecznie zepsuje Ci plany, jeśli myślałeś o rozszerzeniu biznesu poza granice Polski.

Dostałeś kiedykolwiek maila od zagranicznego registrara z informacją, że ktoś jest zainteresowany rejestracją nazwy domenowej o brzmieniu takim, jak Twoja nazwa firmy? Tego typu maile mogą być zwykłymi oszustwami, mającymi Cię skłonić do rejestracji nazwy i wydania pieniędzy… ale równie dobrze ktoś może NAPRAWDĘ właśnie taką nazwę rejestrować. Co więcej – tylko w tym celu, żeby domagać się później znacznej kwoty za przekazanie jej Tobie.

[ciekawostka source=”https://www.upcounsel.com/typosquatting”]63,8% wszystkich cybersquatterów zamieszkuje Stany Zjednoczone. Apple wygrał prawa do iTunes.co.uk po 12-letniej walce.[/ciekawostka]

Cybersquatting a domeny IDN. Atak homograficzny.

Ponieważ od pewnego czasu można rejestrować nazwy domenowe ze znakami diakrytycznymi, pojawiły się także nowe zagrożenia dla nazw domenowych. Wprawdzie po raz pierwszy o tym rodzaju zagrożenia usłyszałem w 2009 roku podczas konferencji World Hosting Days, jednak to już w 2001 roku Evgeniy Gabrilovich i Alex Gontmakher z Izraela opublikowali pierwsze studium na ten temat. Sami zarejestrowali domenę microsoft.com posługując się znakami z cyrlicy, udowadniając, że tego typu „atak” jest możliwy.

Dzieje się tak, ponieważ niektóre alfabety wyglądają podobnie do łacińskiego, a jednak zawierają litery pochodzące z całkowicie innego zestawu znaków. Przykładowo to, co w cyrylicy jest literą „t” wygląda przecież jak nasze „m”, a rosyjskie „p” to dla nas „r”… można więc sobie wyobrazić, że daje się przygotować nazwę z obcego alfabetu, która wygląda bardzo podobnie do słowa w innym alfabecie i jest praktycznie nie do rozróżnienia dla osoby postronnej. Osoba postronna nie ma szansy rozróżnić nazwy domenowej, napisanej cyrylicą, podanej w linku, mimo, że techniczne będzie to całkiem inna domena! Poza cyrylicą alfabetem wykorzystywanym w tego rodzaju atakach bywa często alfabet grecki.

Innym przykładem zagrożenia homograficznego jest zagrożenie tkwiące w samym podstawowym zestawie znaków ASCII. Chodzi tu o podobieństwo znaków lub par znaków. Przykładowo cyfra 0 („zero”) jest łudząco podobna do wielkiej litery O. Stąd w wielu czcionkach zero jest wyróżnione poprzez ukośną linię, jakby „przekreślenie”, które pozwala je odróżniać od litery „O”. Przykładów takich zagrożeń jest jednak więcej, popatrz na wielką literę „I” (jak w imieniu: „Irena”), jest ona bardzo podobna do „l” (jak w słowie „ławka”).

Aktualizacja z 2021-12-02 – realny przypadek ataku homograficznego na domenę

W dniu 29. listopada 2021 zespół CSIRT Komisji Nadzoru Finansowego opublikował ostrzeżenie o podróbce strony jednego z największych polskich banków – mBank S.A.:

Ostrzeżenie przed podobioną stroną mBank na twitterze KNF
Ostrzeżenie CSIRT KNF przed próbą podróbki strony

Mimo, że od pierwszego opisania ataku homograficznego minęło 20 lat – jak widać temat wciąż jest istotny. Atakujący przygotowali perfekcyjną podróbkę strony banku, zastępując literę „a” – literą łudząco podobną, tylko z kropką pod spodem. Jest to bardzo trudne do wyłapania dla osoby postronnej, która nie spodziewa się tego rodzaju oszustwa i nie ma świadomości, że owa kropka to nie paproch na monitorze, ale realny znak.

Atakujący wykorzystali także certyfikat SSL, więc przeglądarka wyświetliła kłódkę dając ułudę bezpieczeństwa, co tym bardziej mogło zmylić użytkownika. W modelu walidacji DV certyfikat nie poświadcza w silny sposób tożsamości, a w praktyce pełni co najwyżej rolę kryptograficzną. Mimo, że wciąż skutecznie szyfruje komunikację między przeglądarką, a serwerem – to wprowadzone dane logowania wpadają na serwer przestępców, zamiast na prawdziwy serwer banku.

Aby ograniczyć ryzyko złapania się w taką pułapkę:

  • nie wchodź na stronę banku z przesłanych linków
  • adres banku najlepiej wpisz osobiście w pasek przeglądarki
  • uważnie sprawdź, czy certyfikat potwierdza tożsamość podmiotu, na którego stronie chcesz być (banki używają certyfikatów EV, gdzie sprawdzana jest tożsamość właściciela)
  • uważnie sprawdź, czy domena nie zawiera podejrzanych znaków (np. kropka nad lub pod jakąś literką, lekko nietypowy kształt jakiejś litery itp.)

Jak zatem widzisz, atak homograficzny to realne zagrożenie, które wciąż może rzutować na bezpieczeństwo użytkowników sieci – a także reputację właścicieli domen.

Atak z flanki. Cybersmearing.

Ostatnim rodzajem zagrożenia, o którym chciałbym Ci wspomnieć, jest zagrożenie związane mniej bezpośrednio z Twoją nazwą domenową. Skoro już jednak dotarłeś do tej części artykułu – lepiej Ci o tym wspomnę. Chodzi o sytuację, w której ktoś niezadowolony – bardzo niezadowolony – z Twoich usług, towarów albo poglądów, rejestruje nazwę domenową godzącą w Ciebie, a następnie umieszcza pod tym adresem treści, mające na celu zaszkodzenie Ci.

Hipotetyczny przykład: Masz, dajmy na to, domenę fryzjerabc.kalisz.pl i prowadzisz sobie zakład fryzjerski. Pojawia się bardzo niezadowolony klient, który postanawia oddać życie za to, żeby tylko Cię maksymalnie oczernić. No dobra, nie musi oddawać całego, wystarczy mu kilka godzin życia. Może on zarejestrować domenę w rodzaju „fryzjerabc-nie-polecam.kalisz.pl”, albo „najgorszyfryzjer.kalisz.pl” – i pod tym adresem umieścić dowolne treści… Nie wiem, czy już sobie wyobrażasz, jak mogłyby one wyglądać i jak bardzo byś się wściekał, czytając takie rzeczy o sobie albo o swojej marce.

Co gorsza, treści te mogą być nasycone słowami kluczowymi zbieżnymi z profilem Twojej działalności, a sam adres linkowany z kilku miejsc… w skrajnym wypadku, jeśli sprawa trafi do mediów… nie zdziw się, jeśli strona taka pojawi się w wynikach wyszukiwania wyżej niż Twoja, albo w jej bezpośredniej bliskości. Co wówczas robić?

  1. Jeśli Twój przeciwnik naprawdę przesadza – w pierwszej kolejności proponuję Ci konsultację z prawnikiem. Zrób to jak najszybciej, bo kroki prawne po prostu potrwają i lepiej nadać im bieg od razu. Czasem wystarczy wezwanie do zaprzestania takich praktyk, czasem będzie koniecznie wytoczenie powództwa – w każdym wypadku jednak to prawnik podpowie Ci, jakie legalne kroki są możliwe w Twojej sytuacji.
  2. Jeśli tego rodzaju strona pojawia się wysoko w wynikach wyszukiwania po istotnych i generujących ruch słowach kluczowych – pewną pomocą może okazać się kampania Google Ads, która pozwoli pozyskać Ci część ruchu, który trafiłby na oczerniającą Cię stronę. Wydaje się to rozwiązaniem kosztownym, natomiast ma jedną ważną zaletę: działa od razu. Sam musisz ocenić, co kosztuje Cię więcej – reklamy czy straty wizerunkowe
  3. Działania pozycjonujące dla Twojej strony – jeśli w wynikach organicznych jesteś znacznie niżej niż strona niepożądana, to istnieje spora szansa, że pod kątem seo, zwłaszcza seo on-site, Twoja strona jest po prostu niedopracowana i istnieje tu duże pole do poprawy. W takim wypadku proponujemy Ci kontakt ze specjalistami z tej dziedziny. W wypadku większości naszych hostingów masz też możliwość bezpłatnego wykonania audytu strony, który szybko wskaże Ci najważniejsze błędy do poprawienia.
  4. Działania depozycjonujące stronę niepożądaną – istnieją firmy świadczące tego rodzaj usługi, choć wg mnie działania tego rodzaju cechuje ograniczona skuteczność. Sporo zależy jednak od wykonawcy i jego umiejętności. Zwróć jednak uwagę, że korzystanie z tego typu pomocy, jeśli zostanie ujawnione, może jeszcze bardziej zaszkodzić Twojej marce. Zastanów się dwukrotnie, zanim skorzystasz z tego rodzaju usług.
  5. Kontratak – ale nie polegający na oczernianiu strony niepożądanej, nie tędy droga. Chodzi mi o „zasypanie” niekorzystnej opinii opiniami pozytywnymi. Jeśli jesteś w stanie pozyskać opinie osób, które kochają Twoją markę, to możesz tak nagłośnić opinie pozytywne, że to one wygrają bitwę o wpływanie na decyzje Twoich potencjalnych klientów. Zagadnienie to – jakkolwiek w moim przekonaniu bardzo interesujące – wykracza jednak poza zagrożenia dla samej domeny. Należy je traktować raczej w kategorii zagrożenia dla biznesu i marki, zasługuje na pewno na szersze potraktowanie w innym artykule.

Twoja domena lepiej ochroniona

Jeśli doczytałeś do tego momentu – to gratuluję. Prawdopodobnie stałeś się bardziej świadomym użytkownikiem usług hostingowych i przedsiębiorcą bardziej dbającym o swoją markę i domenę. Można czuć, że poziom wiedzy o możliwych zagrożeniach i jednocześnie zacząć zastanawiać się, jakie kroki podjąć już dziś, aby ochronić się przed omawianymi tu zagadnieniami. Teraz, kiedy wiesz już to wszystko – możesz spojrzeć na nowo na takie zagadnienia jak certyfikaty SSL czy też zabezpieczanie różnych końcówek. Jeśli już zaczynasz o tym myśleć – to świetnie, to znaczy, że już robisz drugi krok w stronę poprawienia bezpieczeństwa Twojego biznesu (po pierwszym, którym było przeczytanie artykułu o bezpieczeństwie strony).

Korzystając z okazji – serdecznie dziękuję Ilonie Kuźniarz, która pomogła wyszperać kilka danych, ilustrujących omawiane zagadnienia.

To, w jakim środowisku biznesowym będziemy działać – zależy od nas wszystkich. Bezpieczeństwo w sieci wynika z postaw jej użytkowników. Zostań dobrą częścią tego systemu. Daj znać w komentarzu albo w socialach, które zagadnienie tego wpisu uważasz za najciekawsze?

Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

54 odpowiedzi do "SSL jest ważny… ale domena i tak narażona!"

  1. Szymon Słowik pisze:

    To ja ze swojej strony pozwolę sobie polecić jeszcze tekst Mikołaja Lecha rozszerzający temat ochrony prawnej domen internetowych – https://znakitowarowe-blog.pl/jak-chronic-domene-internetowa/ 🙂 Mam nadzieję, że będzie przydatny. Duuużo konkretów.

    1. Artur Pajkert pisze:

      Dzięki Szymon, mega dobry materiał poleciłeś!

  2. Blog Mikołaja to generalnie super źródło wiedzy na temat ochrony własności przemysłowej – dużo treści istotnych z perspektywy marketingu (nie tylko digital).

  3. Panie Arturze dziękuję ciepłe słowa co do mojej twórczości i podlinkowanie artykułu 🙂

    1. Artur Pajkert pisze:

      Wierząc w ideę dzielenia się wiedzą wartościowe treści zawsze chętnie linkuję. Dobry merytoryczny content, gratuluję!

  4. KomandoSEO pisze:

    To prawda, że domena jest tylko Twoją własnością dokąd ją opłacasz. Jeśli o tym zapomnisz, a ktoś ją przechwyci to pozostanie Ci tylko droga prawna jeśli ta osoba nie będzie ci jej chciała odsprzedać za akceptowalną dla Ciebie cenę.

  5. pawel pisze:

    Z jednej strony ważny temat w jaki sposób zabezpieczać domenę, z drugiej – chyba czasami jeszcze ważniejszy – uświadamianie społeczeństwa działającego w nurcie digital, że coś takiego jak zabezpieczanie swojej własności jest ważne, że nie dzieje się samo i że fakt posiadania „loginu i hasła” tylko dla siebie nie zamyka tematu. Dzięki za artykuł

  6. Marek Swatek pisze:

    W jednym wpisie twmat zostal wyczerpany. To dobrze swiadczy o autorze. Temat bardzo potrzebny bo ostatnio kilku klientow mialo ataki na strony www – glownie wordpressy. Wazne jest aby serwer tworzyl automatyczne kopie bezpieczensta co tydzie z okolo 3 – 4 zakresami dat. Zdarzalo sie ze zanim doszlismy do tego ze wkradl sie wirus w backupie byly tylko wersje z wirusem i juz nic nie dalo sie zrobic.

  7. Bardzo fajny artykuł 🙂

  8. Mirela pisze:

    Kto nie opłaca ten traci własność domeny 🙂

  9. Ella pisze:

    Gratuluję! – artykuł dość szeroko omawia temat, ale czy wyczerpuje? To temat rzeka i będzie istniał nawet, gdy przeciwdziałamy omówionym tu zagrożeniom, a nawet więcej – powstaną nowe. Mnie się kiedyś zdarzył atak złych mocy mimo zastosowanych różnych zabezpieczeń (od ssl-a zaczynając), gdy strona w WP była już prawie skończona, ale jeszcze prośba o nieindeksowanie jej przez wyszukiwarki nie była odhaczona i strona nie była nigdzie jeszcze ogłaszana. Więc skąd atak? Bezpośrednio od hostingodawcy?
    Oczywiście to nie był Linuxpl.com, który wszem i wobec polecam 🙂
    I potwierdzam jak najbardziej, że „to, w jakim środowisku biznesowym będziemy działać, zależy od nas wszystkich”, my je tworzymy – ludzi dobrej woli jest węcej…

  10. Tomasz pisze:

    Ogromna lektura o ochronie w sieci. Warto trzymać ten wpis blisko siebie 🙂

  11. Kris Gomula pisze:

    Witam!

    Nie wiedzialem, ze pomimo certyfikado SSl, domenta nadal jest narazoona na ataki.
    Bardzo dobry i wyczerpujacy artykul.

    Pozdrawiam
    Krzysztof

    1. Artur Pajkert pisze:

      Cieszę się, że mogłem pomóc, SSL jak widać – nie chroni przed wszystkim 🙂

  12. Bitec pisze:

    W imieniu paru firm prowadziłem rozmowy nt odzyskania domeny i na szczęście zawsze udało się załatwić sytuację polubownie i domena wracała do właściciela

  13. Rafał pisze:

    Dzięki, bardzo mi sie przydało i udostępniam link 🙂

    1. Artur Pajkert pisze:

      Dzięki, Rafał, mam nadzieję, że ta wiedza o bezpieczeństwie domen nie przyda Ci się zbyt często 😉

  14. Mariusz pisze:

    Dzięki za przydatne informacje. Niestety, w pędzie życia biznesowego często zapomina się o takich podstawach jak odnowienie domeny lub ochrona przed atakami.
    Pozdrawiam

  15. Seoactive pisze:

    Teraz ochrona przed atakami to podstawa jednak wielu osób nie ma o tym pojęcia…

  16. Avageo pisze:

    Solidna dawka wiedzy. Dziękujemy!

    1. Artur Pajkert pisze:

      Dzięki również!

  17. Ami pisze:

    Odkrycia komentujacych ze SSL nie chroni serwisu sa doprawdy urocze 🙂

    1. Artur Pajkert pisze:

      Jeśli specjalizujemy się np. w produkcji butów, łatwo przeoczyć, do czego tak naprawdę służy SSL, a do czego nie. Zapinamy w głowie tylko połączenie „ochrona domeny = ssl” i na tym koniec. Wiele osób, przede wszystkim – specjalistów w dziedzinach innych niż szeroko rozumiane IT czy digital marketing – nie zdaje sobie sprawy z mnogości zagrożeń, czyhających na domenę i wydaje im się, że wystarczy kupić SSL, bo przecież SSL = bezpieczeństwo. Niektórzy sądzą, że SSL chroni przed atakami na stronę, inni – że przed wykradzeniem bazy danych z serwera (co oczywiście też nie jest prawdą), jeszcze inni kojarzą, że SSL trzeba mieć, „bo Google tego wymaga”. Stąd uznałem, że warto zebrać różnego rodzaju zagrożenia i pokazać, że myślenie o bezpieczeństwie swojej domeny należy traktować wielopłaszczyznowo.

  18. Andrzej pisze:

    Ciekawy i wyczerpujący artykuł, zwłaszcza rejestrowanie domen w cyrylicy.

    1. Artur Pajkert pisze:

      Dzięki za feedback, cieszę się, że znalazałeś coś, co Cię zaciekawiło.

  19. infomiasto.eu pisze:

    Wydaje się że domena mimo ssl nie ma więcej bezpieczeństwa niż bezpieczeństwo wpisywania rzeczy w jej formularzach. Jest taki film na YT jak cyfrowa twierdza i tam w sumie mówią że nie ma takiej strony do jakiej nie da się niestety dobrać tak czy inaczej, kwestia środków, determinacji i zasobów. Ale zawsze to jakieś dodatkowe zabezpieczenia.

  20. PRO Strony pisze:

    Bardzo fajny i wyczerpujący artykuł. Co ciekawe w Polsce nie przyjęło się stosowanie certyfikatu Ssl dla normalnych stron. Stosują go głównie sklepy internetowe i Ci co kiedyś uwierzyli że ma to jakieś znaczenie przy seo. W Niemczech oraz innych krajach zachodu mają bzika na punkcie bezpieczeństwa i dlatego 99% stron firmowych ma certyfikat ssl a strony internetowe przy których pojawia się wykrzyknik w przeglądarce są szybko zamykane.

  21. Tragos pisze:

    Dzien dobry.

    Dziekuje za wyczerpujacy artykul. Od okolo roku zawsze uzywam Ssl dla kazdej z moich stron I myslalem ze dzieki temu certyfikatowi strona jest supera bezpieczna, ale widze ze sie mylilem.

    Pozdrawiam

    1. Poltax pisze:

      nie każda strona potrzebuje ssla

      1. Artur Pajkert pisze:

        Pewnie. Tak samo, jak, nie każda marka jest zainteresowana zwiększaniem liczby klientów. Dajmy na to: rezerwaty przyrody. Można sobie wyobrazić stronę, gdzie w ogóle nie ma wymiany informacji między przeglądarką a serwerem przez sieć publiczną. Dajmy na to: strona zbudowana na lokalnym serwerze,a rzecz dzieje się w sieci kablowej LAN między laptopem w kuchni a serwerem w przedpokoju. Ze strony i serwera korzysta tylko jedna, ta sama osoba. Faktycznie, certyfikat SSL przynosi wówczas mało korzyści. W wypadku „normalnych” stron natomiast trudno mi znajdować argumenty przeciwko stosowaniu SSL. Poltax, jakie konkretnie sytuacje miałeś na myśli mówiąc, że nie każda strona potrzebuje ssla?

      2. Krzysztof pisze:

        Ale chyba każdy sklep internetowy powinien mieć SSl aby chronić dane podczas dokonywania zapłaty online? A może się mylę?

  22. Marcin pisze:

    Warto byłoby wspomnieć tzn o dsnsec – to może pomóc w przypadku ataków na infrastrukture sprzętową (np. router)

  23. Rafał pisze:

    Mega artykuł, udostępniam dalej 🙂

  24. Artur pisze:

    Hej. Świetny artykuł. Właśnie kłócę się ze znajomym, który ma sklep internetowy i mówi że jest w 100% chroniony właśnie ze względu na SSL. A ja mu mówie, że pomimo tego, że posiada SSL to strona i może być atakowana w sieci.

    Pozdrawiam.
    Artur

    1. Artur Pajkert pisze:

      Dziękuję. No właśnie. Wiele osób tkwi w przekonaniu, że SSL załatwia sprawę. W rzeczywistości certyfikat SSL to element konieczny, ale nie wystarczający, aby prowadzić biznes bezpiecznie.

  25. Marek pisze:

    Dzieki za info Artur.
    Dotychczas myslalem że wystarczy mieć https z „s”. A tutaj okazuja sie że jest tego więcej.

  26. Projektant pisze:

    Dziekuje panu za te informacje.
    Mam pytanie, jak sie uchronić przed plagiaryzmem w internecie?

  27. Kamil pisze:

    Dzień dobry.

    Ciekawy artykuł, a ja myślałem, że SSL załatwia wszystko i nie trzeba się już martwić o bezpieczeństwo. Ale z tego co tutaj piszecie to widzę, że nie jest tak różowo jak myślałem.

    1. Artur Pajkert pisze:

      Dziękuję. Absolutnie, SSL to tylko podstawa ochrony, a zagrożeń – tylko w odniesieniu do tematu nazwy domenowej, bo przecież w tym artykule nie poruszamy zagrożeń dla samych danych czy zagadnienia infekcji czy włamań – jest bardzo dużo. Na szczęście im większy poziom świadomości użytkowników i właścicieli stron – tym te zagrożenie stają się mniej groźne, bo postępując świadomie możemy je znacznie zredukować.

  28. Sanczo pisze:

    Uważam, że strony z SSL powinny być w usłudze bezpłatne.
    Niektóre firmy oferują bezpłatne, inne za dodatkową opłatą.

  29. Filip pisze:

    Zagrożeń jest mnóstwo szczególnie kiedy konkurencja jest silna. Kiedyś nie mogłem poradzić sobie z atakami ddos. Kasowaniem blogów z serwera. Tak na marginesie jestem ciekaw jak będzie wyglądała walka dużych sklepów jak amazon zacznie rozpychać się w serpach?

  30. Dobrze chroniona domena to rzadkość niestety

  31. Tomasz pisze:

    No no… kawał dobrej roboty. Niestety, ale mało spotykane jest to, że ktoś odpowiednio dobrze chroni swoją domenę 🙁

    1. Artur Pajkert pisze:

      Dzięki za słowa uznania, Tomek! Pozdrowienia!

  32. westom pisze:

    widziałem duże sklepy, które stały na lets encrypt, zastanawiam się czy płatne ale tanie są równoznaczne z damrmowym ssl

  33. Krzysztof pisze:

    Dzięki za mega wyczerpujący artykuł. Tego ostatnio właśnie szukaliśmy i brakowało tej wiedzy.

  34. Janusz pisze:

    Bardzo dużo, wartościowej treści. Zabieram link i udostępniam dalej bo na prawdę warto!

    1. Artur Pajkert pisze:

      Dzięki za dobre słowo, cieszę się, że tak oceniasz nasze treści.

  35. Marcin pisze:

    Świetnie napisany artykuł !
    Temat został przez ciebie wyczerpany i wszystko zostało dokładnie i przejrzyście opisane !

  36. Michał pisze:

    Fajny artykuł. Minęły 3 lata i już większość stron śmiga z certyfikatem.

  37. SEOwiec pisze:

    Fajnie i przystępnie dla każdego 🙂 Opisywanie na przykładach zdecydowanie pomaga i ułatwia zrozumienie niektórych kwestii. Dzięki i polecam dalej.

  38. Bartosz pisze:

    Na swojej stronie używam certyfikatu lets encrypt. Czy powinienem wykupić jakiś silniejszy? Czy jest jakaś różnica między lets encrpyt a takim kupnym?

  39. Tomek pisze:

    Większość przeglądarek już informuje, że strona nie jest bezpieczna. Więc samo to już powinno skłonić firmę do instalacji SSL.

  40. Andrzej pisze:

    Dzięki wielkie za artykuł. Tego właśnie szukałem będąc totalnym laikiem w tym wszystkim 🙂

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Szukasz dalej?