Comment traiter les redirections de domaines malveillants?
Il est possible pour quiconque d’acheter un nom de domaine contenant des termes négatifs et de le diriger vers le site Web d’une personne afin de nuire à sa réputation. Par exemple, quelqu'un pourrait acheter le domaine child-pornography.com et le diriger vers l'adresse 64.34.119.12 qui est l'adresse derrière stackoverflow.com et les personnes accédant au domaine en question finiraient par visualiser le contenu de StackExchange qui nuirait à l'image de StackExchange. Pour illustrer cela, j'ai ajouté l'entrée 64.34.119.12 child-pornography.com à mon fichier /etc/hosts et l'a testé. Voici ce que j'ai obtenu:
J'ai personnellement trouvé cette expérience utilisateur terrible car quelqu'un pourrait penser que Stack Exchange est en faveur de la pornographie enfantine et attend le soutien de la communauté pour créer un site de questions-réponses à ce sujet.
J'ai testé avec d'autres sites Web et expérimenté d'autres comportements que je classerais comme suit:
1 - Page utile 404 (se passe avec stackoverflow.com):
Pour moi, le pire moyen de gérer cela est que l'image du site Web ciblé est directement associée au domaine incriminé. Plus la page 404 est utile, plus l'impression que le site Web ciblé est disposé à contribuer à la lutte contre la pédopornographie est grande.
2 - Redirection (se produit avec Microsoft.com):
Par exemple, lorsque vous accédez à child-pornography.com, vous êtes redirigé vers www.Microsoft.com. Ce n'est pas aussi grave que ci-dessus, car le nom de domaine incriminé ne figure jamais à côté du contenu du site Web ciblé, mais il est quand même mauvais à mon avis, car il donne l'impression que le site Web ciblé a acheté le domaine incriminé et l'a redirigé vers son site Web pour obtenir davantage de trafic.
- Erreur de serveur (se produit avec lemonde.fr):
Le serveur Web affiche une erreur indiquant que la page ne contient aucun contenu pouvant être associé au site Web ciblé (par exemple, la page Apache 404 par défaut, une page entièrement vierge). Je pense que c'est une bonne chose car l'identité du site Web ciblé n'est pas révélée.
Ci-dessus sont les différents comportements que j'ai expérimentés, mais j'ai aussi réfléchi à une quatrième façon de gérer cela décrite ci-dessous.
4 - Page de non-responsabilité (aucun site Web utilisant cette technique n'a été trouvé):
Afficher un message tel que:
"Vous avez terminé ici parce que quelqu'un a acheté et lié le domaine
child-pornography.comà notre site Web. Nous ne possédons pas ce domaine et ne nous y sommes pas associés. Cette demande a été enregistrée par nos serveurs et nous allons aborder ce problème avec le autorités compétentes pour que ce domaine soit supprimé. Si vous souhaitez accéder à notre site Web, veuillez cliquer ici. "
La bonne chose à propos de cette méthode est qu’elle peut être implémentée au niveau application (utile si vous n’avez pas le contrôle du serveur Web comme cela se produit avec certaines solutions d’hébergement), vous permet de vous protéger de toute responsabilité et d’offrir au visiteur redirigé vers votre propre site web.
Laquelle des options ci-dessus implémenteriez-vous pour traiter les liens de domaine malveillants (seules les options 3 et 4 d’OMI valent la peine d’être envisagées)?
Oui, c'est possible, voyez Googlebomb et Googlewashing et vous ne pouvez vraiment rien faire pour l'arrêter au-delà des mécanismes d'atténuation que vous avez identifiés ci-dessus.
Pour ce qui est plus efficace, je dirais que non. Dans tous les cas ci-dessus, vous avez déjà montré que chaque site ne possède pas le contenu que vous recherchez et n'est pas associé à cela!
Avec la quatrième méthode, il serait difficile de décider par programme quel contenu manquant est réellement et qui est une attaque malveillante. Si vous savez que quelqu'un le fait délibérément avec un domaine spécifique, ce serait utile, mais un 404 fait le même travail dans tous les cas.
Bien plus efficace pour un attaquant d'utiliser d'autres sites Web pour faire le mal, comme dans le cas du néologisme "santorum" , car vous n'avez aucun contrôle sur eux.
Il est possible que quelqu'un le fasse et l'effet ne pourrait être négatif que s'il était laissé à l'abandon.
J'aurais pensé qu'une directive simple FilesMatch (dans Apache .HTACCESS) était le meilleur moyen de gérer cela, rejetant toute tentative d'accès au serveur Web, même avec une page d'erreur vide comme le faisait lemonde.fr.
Je crois qu'un lien vers l'adresse de votre site Web en 404 constituerait une mauvaise réponse, de même que la page Clause de non-responsabilité, la redirection de Microsoft est peut-être une bonne solution, comme vous le dites.
J'aime bien la possibilité d'afficher une page 404 très ciblée sans aucune marque. J'utilise un qui ressemble à ceci:
404 introuvable
Ce serveur Web n'est pas configuré pour child-pornography.com
Ceci est distinct de la page 404 que j'utilise pour mon site Web normal, ce qui est plus utile et porte une marque.
D'un point de vue technique, je l'implémente en utilisant l'hôte virtuel Apache par défaut. Le premier hôte virtuel du fichier de configuration Apache est celui de tous les noms de domaine non reconnus. Le mien n'a pas de index.html, mais juste un fichier .htaccess qui spécifie une page 404 personnalisée.