.online डोमेन कभी मत खरीदें

Hacker News की राय

• बड़ी कंपनियों के अनंत account verification loop वाकई बहुत पीड़ादायक समस्या हैं
  जब “कृपया अपना account verify करें” वाला email आता है, तो यह हैरानी की बात है कि “यह मैं नहीं हूँ” पर click करने का विकल्प तक नहीं होता
  समझ नहीं आता कि ऐसे system डिजाइन करने वाले लोग अपना काम नहीं जानते, या फिर उनके लक्ष्य पूरी तरह उपभोक्ता के खिलाफ हैं

  • हमारी कंपनी में भी ऐसा ही हुआ था। Apple developer account संभालने वाला व्यक्ति अचानक नौकरी छोड़ गया, और उसके बाद से Apple support team के साथ email का आगे-पीछे चलना महीनों से जारी है
    वे documents मांगते हैं, फिर secure link नहीं भेजते, फिर एक हफ़्ता इंतज़ार, फिर कहते हैं document में एक वाक्य कम है और दोबारा मांगते हैं…
    उन्होंने business card मांगा, तो 20 साल बाद मुझे नया बनवाना पड़ा। इस स्तर पर तो ठग शायद इससे जल्दी निकल जाएँ
  • मैंने भी Google में ऐसा loop झेला है। Gmail ने 2FA मांगा, लेकिन phone number नहीं था इसलिए recovery email इस्तेमाल किया → उस recovery email ने भी 2FA मांगा → उस recovery की recovery email एक पुराना sbcglobal.net पता था जो अब मौजूद ही नहीं था
    आखिर समस्या यह थी कि Google ने recovery email को गलती से 2FA method की तरह इस्तेमाल किया, और इसे ठीक करने के लिए AT&T से संपर्क करना पड़ा। हालत यह थी कि 20 साल पुराने customer record को update करने की विनती करनी पड़ी
  • “यह मैं नहीं हूँ” button हो तब भी वास्तव में बहुत कम बदलता है
    ज़्यादातर मामलों में सामने वाला email verification पूरा नहीं कर पाता, इसलिए वह आगे कुछ नहीं कर सकता, और site भी कोई अतिरिक्त mail नहीं भेजती
    समस्या यह है कि उस हालत में मैं उसी email से नया account नहीं बना सकता। लेकिन “password reset” प्रक्रिया के जरिए अंततः उस account पर कब्ज़ा किया जा सकता है
  • कोई व्यक्ति मेरे Gmail address को बार-बार अपने account की backup email के रूप में जोड़ता रहता है
    Gmail से notification आते ही मैं उसे हटा देता हूँ, लेकिन चिंता रहती है कि अगर इसे यूँ ही छोड़ दूँ तो कहीं account takeover का जोखिम तो नहीं होगा
  • पहले किसी ने मेरे email को Santander UK bank account से जोड़ दिया था
    मैं संपर्क करना चाहता था, लेकिन international call या कागज़ी चिट्ठी के अलावा कोई रास्ता नहीं था, इसलिए छोड़ दिया और उन mails को अलग से फ़िल्टर कर दिया

• यह चौंकाने वाला है कि domain registrar, Google Safe Browsing के आधार पर domain suspend कर देता है
  अगर ऐसा है, तो उस TLD पर कुल मिलाकर भरोसा नहीं किया जा सकता

  • .online जैसे TLD का registration 1 dollar में होता है, लेकिन renewal 30~35 dollar तक पहुँच जाता है
    ऐसी pricing policy, serious TLD और अल्पकालिक scam वाले TLD के बीच फर्क का संकेत बनती है
  • असली समस्या registry है। मैंने tldrisk.com के domain risk explanation page पर भी यह बात लिखी है
    ICANN की निगरानी की कमी के कारण registries मनमाने ढंग से policy बदल देती हैं, और नतीजतन लोग .com, .org जैसे लंबे इतिहास वाले TLD पर ही भरोसा करने लगते हैं
    निजी तौर पर मुझे लगता है कि सिर्फ .com और .ca पर भरोसा किया जा सकता है
  • निष्कर्ष यह है कि Radix द्वारा managed domains से बचना चाहिए
  • Safe Browsing website level पर काम करता है, लेकिन Radix उसी बहाने पूरे account को suspend कर देता है
    जहाँ सिर्फ subdomain block करना काफ़ी था, वहाँ पूरे account को freeze करना बेमानी है
  • हो सकता है Radix का business model ही “serious use” के लिए न हो

• इस घटना में TLD का owner Radix था
  यह .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website आदि चलाता है
  radix.website

  • ऐसे TLD अक्सर scam sites से जुड़े होते हैं
    शायद पूरे TLD को ही block कर देना बेहतर हो
  • मैं भी कई सालों से personal email के लिए .tech domain इस्तेमाल कर रहा था, लेकिन मुझे पता नहीं था कि यह ऐसे registry के अधीन है
  • मैंने अपने home DNS में 66 TLD और सभी IDN ccTLD block किए हुए हैं, लेकिन यह छूट गया था
    अब मैं hagezi rpz threat intel feed इस्तेमाल कर रहा हूँ, जिससे ज़्यादातर अजीब domains रुक जाते हैं

• “Google Safe Browsing blacklist की वजह से domain suspend हुआ” — यह वही censorship की slippery slope है जिसके बारे में मैं 10 साल से चेतावनी देता आ रहा हूँ
  Google Search Console में register न करना बड़ी गलती थी। इससे आखिरकार Google का monopolistic influence और बढ़ गया

  • यह Google नहीं, Radix की ज़िम्मेदारी है
    Google और Microsoft का malicious site list बनाए रखना ठीक है, लेकिन उसे पूर्ण मानक मानकर domain suspend करना समस्या है
    Google ने शक्ति नहीं छीनी; Radix ने स्वेच्छा से उसे सौंप दी
  • Google की अपनी राय हो सकती है, लेकिन उसे registrar के suspension action से अलग रखा जाना चाहिए
  • साफ़ तौर पर गलती Radix की है
  • यह वैसा है जैसे BBB rating कम होने पर किसी company को भंग कर दिया जाए। पूरी तरह बेतुका है
  • समझ नहीं आता कि किसी third-party blacklist के आधार पर domain क्यों suspend किया जाता है
    उल्टा, कई बार scam sites report करने पर भी उन्हें हटाया नहीं जाता

• अगर सिर्फ Google Search Console में register न करने की वजह से ऐसा हो सकता है, तो यह antitrust investigation तक पहुँचना चाहिए
  इसका मतलब Google इंटरनेट पर मौजूदगी का gatekeeper बन चुका है

• लगता है Radix ने negative feedback loop बना दिया है
  Google की नज़र में Safe Browsing में फँसने के बाद DNS का गायब होना “fraud” के रूप में गलत समझा जा सकता है

• समस्या .online का “अजीब” होना नहीं, बल्कि मुफ़्त होना है
  मुफ़्त TLD spammers और ठगों को आकर्षित करते हैं, और अंततः fraud signal के रूप में पहचाने जाने लगते हैं
  बेशक .com के अलावा भी अच्छे domains बहुत हैं

  • .online, .top, .xyz, .info, .shop scam sites के शीर्ष TLD हैं
    वे इतने सस्ते होते हैं कि अल्पकालिक phishing के लिए इस्तेमाल किए जाते हैं। नया domain बनाते समय ऐसे TLD से बचना चाहिए
  • शायद OP का domain पहले कभी दुरुपयोग हुआ हो, या low-cost TLD के दाग की वजह से अपने-आप high-risk में डाल दिया गया हो
    मुफ़्त चीज़ अच्छी लगती है, लेकिन कभी-कभी उसके साथ घातक जोखिम भी आता है

• मेरे अनुभव में vanity domains को corporate security systems अक्सर block कर देते हैं
  एक दोस्त का .homes domain 6 महीने तक quad9 और corporate security network में blocked रहा
  जब मैंने नया TLD खरीदा था, तब एक महीने तक कुछ ISP की “safe browsing” सुविधा के कारण access blocked रहा
  आखिर मैंने यही सीखा कि नए domains को default रूप से भरोसेमंद नहीं माना जाता

  • कम प्रचलित country TLD में भी यही समस्या है। मेरे .vg domain में SPF, DKIM, DMARC सब सेट हैं, फिर भी वह अक्सर spam folder में चला जाता है
  • Fortinet नए domains को default रूप से block करता है। इसलिए आजकल नई project sites को देखना भी मुश्किल हो गया है
  • ऐसी policy वास्तव में security benefit देती है
    मेरी दादी को मिलने वाले ज़्यादातर scam links .top domain के थे। DNS पर 90 दिनों के भीतर register हुई सभी sites को block करने के बाद scam click पूरी तरह बंद हो गए
    इसलिए मैं भी domain खरीदते समय 1 dollar वाले TLD पूरी तरह छोड़ देता हूँ
  • आखिरकार web security का मूल अब भी domain name पर भरोसा करने वाली संरचना ही है
    TLD आख़िर में होने के कारण लोग उसे आसानी से नज़रअंदाज़ कर देते हैं

• .online जैसे domains से भेजे गए emails के spam folder में जाने की संभावना कहीं ज़्यादा होती है
  Spamhaus के TLD-वार malicious ratio statistics में यह साफ़ दिखता है

• पहले Google ने बिना कोई वजह बताए मेरा पूरा Android app account suspend कर दिया था
  वह एक साधारण fitness app था, लेकिन न कारण पता चला, न recovery का कोई रास्ता था। उसके बाद मैंने Android development पूरी तरह छोड़ दिया

  • एक रिश्तेदार का business भी कई सालों से Google reviews में frozen state में है। appeal डालने पर भी कोई जवाब नहीं आता
    आखिरकार छोटे business Silicon Valley के मूड पर निर्भर रह जाते हैं
  • लगता है Google आगे चलकर Android app distribution भी सिर्फ अपने platform पर ही अनुमति देना चाहता है
  • मैंने भी ऐसा ही कुछ झेला। एक दिन अचानक मेरा Google account block हो गया और पूरी digital life lock हो गई
    उसके बाद मैंने पूरी तरह UnGoogled जीवन अपना लिया