Διένεξη vhost σε πλατφόρμα hosting

[geomagas]

Διαχειρίζεσαι/αναπτύσσεις πλατφόρμα hosting και σου κάθεται το παρακάτω:

1. Ο χρήστης Α προσθέτει το example.com, το οποίο δεν είναι ακόμα καταχωρημένο σε registrar. Ρυθμίζει hosting, emails... όλα τα καλούδια εκτός ssl
2. Ο χρήστης Β καταχωρεί το example.com, ρυθμίζει σωστά nameservers και προσπαθεί να το προσθέσει στην πλατφόρμα, όπου και φυσικά τρώει πόρτα...
3. Ο Α καταλήγει να κοντρολάρει όλες τις υπηρεσίες που σχετίζονται με το example.com, παρόλο που δεν του ανήκει!

Φυσικά, ο Β μπορεί να πάει σε άλλο μαγαζί, και να ρυθμίσει τους nameservers του αναλόγως. Αλλά ποιος θέλει να χάνει πελάτες, ειδικά παλιούς και αξιόπιστους;

Ψάχνω για λύση που δεν θα χρειάζεται ανθρώπινη παρέμβαση, για προφανείς λόγους.

Σκέψεις;

[kostaspatra]

Δηλαδή δυο χρηστες που τσακωνονται για το ιδιο domain το σεταρουν στο δικο σου hosting?

Δηλαδή δυο "γάιδαροι" μαλώνουν σε ξένο αχυρώνα? Τεχνικη αυτοματη λύση δεν μου έρχεται, κόβεις τον παράνομο, και δίνεις πρόσβαση στον νόμιμο ιδιοκτήτη του domain,που είναι προφανώς ο Β.

Επεξ/σία 18 Σεπτεμβρίου από kostaspatra

[geomagas]

2 λεπτά πριν, kostaspatra είπε

κόβεις τον παράνομο, και δίνεις πρόσβαση στον νόμιμο ιδιοκτήτη του domain,που είναι προφανώς ο Β.

Ναι, αυτός είναι ο στόχος.

Το θέμα είναι πως αποφασίζεις ποιος είναι ο "παράνομος", και μάλιστα χωρίς να χρειαστεί να ξυπνήσεις τον admin στις 3 τη νύχτα να κάνει το δικαστή.

Αυτό ρωτάω...

[kormos]

1 ώρα πριν, geomagas είπε

Ναι, αυτός είναι ο στόχος.

Το θέμα είναι πως αποφασίζεις ποιος είναι ο "παράνομος", και μάλιστα χωρίς να χρειαστεί να ξυπνήσεις τον admin στις 3 τη νύχτα να κάνει το δικαστή.

Αυτό ρωτάω...

Την "ακατάλληλη" ώρα ένα who is δεν βοηθάει?

[geomagas]

9 λεπτά πριν, kormos είπε

Την "ακατάλληλη" ώρα ένα who is δεν βοηθάει?

Πως δηλαδή να βοηθήσει; Δίνει κάποια έγκυρη, πάντα διαθέσιμη πληροφορία που μπορείς να χρησιμοποιήσεις για authentication;

[gsarig]

Όταν δημιουργείται ένα νέο domain στον server, δεν μπορείς να ελέγξεις εάν χρησιμοποιείται ήδη από κάποιον άλλο, και να μην επιτρέψεις να προχωρήσει; Στο τέλος πάλι θα χρειαστεί να παρέμβεις για να δεις ποιος είναι ο πραγματικός ιδιοκτήτης, αλλά τουλάχιστον θα αποτραπεί το ενδεχόμενο να ελέγξει κάποιος άσχετος το site/email τρίτου, που θα μπορούσε δυνητικά να έχει χοντρές συνέπειες.

Εναλλακτικά, μήπως θα μπορούσες να ζητήσεις να καταχωρήσει κάποιο DNS record και βάσει αυτού να πιστοποιήσεις αυτόματα ότι είναι ο πραγματικός κάτοχος, χωρίς να παρέμβεις καθόλου; 

[kormos]

12 λεπτά πριν, gsarig είπε

Όταν δημιουργείται ένα νέο domain στον server, δεν μπορείς να ελέγξεις εάν χρησιμοποιείται ήδη από κάποιον άλλο, και να μην επιτρέψεις να προχωρήσει; Στο τέλος πάλι θα χρειαστεί να παρέμβεις για να δεις ποιος είναι ο πραγματικός ιδιοκτήτης, αλλά τουλάχιστον θα αποτραπεί το ενδεχόμενο να ελέγξει κάποιος άσχετος το site/email τρίτου, που θα μπορούσε δυνητικά να έχει χοντρές συνέπειες.

Εναλλακτικά, μήπως θα μπορούσες να ζητήσεις να καταχωρήσει κάποιο DNS record και βάσει αυτού να πιστοποιήσεις αυτόματα ότι είναι ο πραγματικός κάτοχος, χωρίς να παρέμβεις καθόλου; 

Αυτό γίνεται μέσα από το WHM (αν δεν κάνω λάθος), αν υπάρχει...

 

[geomagas]

47 λεπτά πριν, gsarig είπε

Όταν δημιουργείται ένα νέο domain στον server, δεν μπορείς να ελέγξεις εάν χρησιμοποιείται ήδη από κάποιον άλλο, και να μην επιτρέψεις να προχωρήσει;

Ε ναι, η πλατφόρμα ήδη το κάνει αυτό όπως είπα ήδη:

7 ώρες πριν, geomagas είπε

Ο χρήστης Β καταχωρεί το example.com, ρυθμίζει σωστά nameservers και προσπαθεί να το προσθέσει στην πλατφόρμα, όπου και φυσικά τρώει πόρτα...

Με άλλα λόγια, ο Β δεν μπορεί να προσθέσει κάποιο domain που έχει καταχωρήσει ήδη κάποιος άλλος. Όμως, οι χρήστες μπορούν να καταχωρούν domains χωρίς απαραίτητα να τα έχουν κατοχυρώσει (μπορούν να το κάνουν μετά). Άρα ο Α είναι legit.

47 λεπτά πριν, gsarig είπε

Εναλλακτικά, μήπως θα μπορούσες να ζητήσεις να καταχωρήσει κάποιο DNS record και βάσει αυτού να πιστοποιήσεις αυτόματα ότι είναι ο πραγματικός κάτοχος, χωρίς να παρέμβεις καθόλου; 

Αυτή τη λύση προσπάθησα να υλοποιήσω πριν φτιάξω το thread. Τη δοκίμασα στο papaki με κάποιο από τα hosted domains μου και ήταν μεγάλος πόνος... Διότι:

• Για να προσθέσει TXT records, πρέπει πρώτα υποχρεωτικά να παραδώσει τη διαχείριση του dns για το domain στο papaki (να βάλει τους nameservers του παπακίου)
• Άντε και έφτιαξε το TXT, με κάποιο hash που του έδωσες από την πλατφόρμα σου. Θα πρέπει να περιμένει Χ ώρες μέχρι να ενημερωθούν οι απανταχού nameservers και η πλατφόρμα σου να διαβάσει το record και να κάνει το authentication. Ωστόσο, το domain του ταλαίπωρου δείχνει στο papaki...
• Τον ειδοποιείς ότι έγινε το authentication, κερνάει στο καφενείο από τη χαρά του και ξαναγυρίζει τους nameservers στο δικό σου μαγαζί. Άντε πάλι να περιμένει Y ώρες μέχρι να ενημερωθούν οι απανταχού και να μπορέσει να κάνει δουλίτσα...

Δεν ξέρω για σας, αλλά εγώ σε όση ώρα χρειάστηκε για να το γράψω αυτό, θα είχα πακετάρει βαλίτσες για άλλο μαγαζί...

Επεξ/σία 18 Σεπτεμβρίου από geomagas

[gsarig]

38 λεπτά πριν, geomagas είπε

Ε ναι, η πλατφόρμα ήδη το κάνει αυτό όπως είπα ήδη:

Ναι έχεις δίκιο, δεν το πρόσεξα. 

Μήπως θα μπορούσε την στιγμή που ο χρήστης Β τρώει πόρτα, αντί να απορριφθεί εντελώς, να του ζητηθεί να καταχωρήσει το record, εξηγώντας τον λόγο; Εάν βάλει το record και πιστοποιηθεί, σημαίνει ότι αυτός είναι ο έγκυρος και ο άλλος όχι, οπότε θα πρέπει να βάλεις στον πάγο τον χρήστη Α (το τί ακριβώς θα κάνεις μαζί του είναι άλλο θέμα) και να αφήσεις τον χρήστη Β να συνεχίσει την εγκατάσταση και να του δείξεις τα υπόλοιπα records που χρειάζονται για να συνδέσουν το domain. 

Έτσι θα κατέφευγες σε αυτή τη χρονοβόρα λύση μόνο όταν προέκυπτε πρόβλημα, και όχι κάθε φορά. 

[geomagas]

2 λεπτά πριν, gsarig είπε

Μήπως θα μπορούσε την στιγμή που ο χρήστης Β τρώει πόρτα, αντί να απορριφθεί εντελώς, να του ζητηθεί να καταχωρήσει το record, εξηγώντας τον λόγο; Εάν βάλει το record και πιστοποιηθεί, σημαίνει ότι αυτός είναι ο έγκυρος και ο άλλος όχι, οπότε θα πρέπει να βάλεις στον πάγο τον χρήστη Α (το τί ακριβώς θα κάνεις μαζί του είναι άλλο θέμα). 

Έτσι θα κατέφευγες σε αυτή τη χρονοβόρα λύση μόνο όταν προέκυπτε πρόβλημα, και όχι κάθε φορά. 

Εννοείται ότι θα καταφεύγω σε ανάλογη λύση μόνο όταν υπάρχει θέμα. Θα ήταν εξωφρενικό να περνάω κάθε domain από κάθε χρήστη από δικαστήριο... Είπαμε, Ελληνική γραφειοκρατία, αλλά όχι κι έτσι! 😆

Όπως δουλεύει το σύστημα τώρα, αν συμβεί η διένεξη, και οι δύο καταχωρήσεις τίθενται υπό dispute. Δεν απορρίπτεται κανείς. Ενημερώνονται και οι δύο χρήστες. Όποιος "κερδίσει" κρατάει το domain, και ο άλλος το χάνει τελείως, δεν τίθεται θέμα συζήτησης.

Το όλο θέμα εξ αρχής είναι ο αλγόριθμος (flow?) που θα οδηγήσει στην απόφαση του ποιος "κερδίζει" το dispute.

Όπως είπα πριν, η λύση σου είναι το plan B μου. Αλλά δεν μου κάθεται καλά ρε bro... πολλή ταλαιπωρία... 😒

[gsarig]

Δεν βλέπω πώς αλλιώς θα μπορούσες να πιστοποιήσεις τον κάτοχο του domain πάντως. Βέβαια, να διευκρινίσω πως σε 1-2 σέρβερ που έχω φιλοξενώ μόνο δικά μου μικροσάιτ, οπότε δεν έχει χρειαστεί να προβληματιστώ ποτέ με τέτοια ζητήματα και η γνώμη μου δεν έχει και τρομερή βαρύτητα. 

Ίσως ο @CyberCr33p να μπορεί να προτείνει κάτι καλό. 

CyberCr33p

CyberCr33p

[geomagas]

4 λεπτά πριν, gsarig είπε

Ίσως ο @CyberCr33p να μπορεί να προτείνει κάτι καλό. 

 Ναι, αυτόν είχα κι εγώ κατά νου, αλλά δίσταζα να του χτυπήσω την πόρτα... 😁

[gsarig]

9 λεπτά πριν, geomagas είπε

 Ναι, αυτόν είχα κι εγώ κατά νου, αλλά δίσταζα να του χτυπήσω την πόρτα... 😁

To έκανα εγώ για σένα, που δεν έχω τέτοιες αναστολές

[CyberCr33p]

Για να εξασφαλίσεις ότι μόνο εξουσιοδοτημένα domains προστίθενται στην υπηρεσία σου, μπορείς να ζητάς από τους χρήστες να προσθέσουν μια εγγραφή TXT στο DNS του domain τους. Αυτή η εγγραφή θα λειτουργεί ως επιβεβαίωση ότι έχουν τον έλεγχο του domain. Μέχρι να ολοκληρωθεί αυτή η διαδικασία επιβεβαίωσης, δεν θα δημιουργείς το vhost για το συγκεκριμένο domain παρά μόνο θα παρέχεις προσωρινά π.χ. για 2 ημέρες υπηρεσία DNS. Εάν περάσουν οι δύο ημέρες χωρίς το verification τότε θα ακυρώνεται η προσθήκη του domain στην υπηρεσία. Αυτό εξάλλου δεν κάνει και η Google όταν θέλεις να ενεργοποιήσεις Workspace ή να προσθέσεις ένα domain στο Google Search;

[geomagas]

2 ώρες πριν, CyberCr33p είπε

Αυτό εξάλλου δεν κάνει και η Google όταν θέλεις να ενεργοποιήσεις Workspace ή να προσθέσεις ένα domain στο Google Search;

Ναι, και όχι μόνο (το mailgun μου έρχεται στο μυαλό). Όπως είπα πριν, αυτό σκέφτηκα να κάνω κι εγώ εξ αρχής, απλά θέλω να αποφύγω την ταλαιπωρία που περιέγραψα παραπάνω...

2 ώρες πριν, CyberCr33p είπε

Μέχρι να ολοκληρωθεί αυτή η διαδικασία επιβεβαίωσης, δεν θα δημιουργείς το vhost για το συγκεκριμένο domain παρά μόνο θα παρέχεις προσωρινά π.χ. για 2 ημέρες υπηρεσία DNS.

Αυτό με μπέρδεψε λίγο. Πως θα του παρέχω dns αν οι nameservers του δείχνουν στον registrar; Διότι, εκεί θα πρέπει να προσθέσει το authentication record, αλλιώς δεν έχει νόημα. Χάνω κάτι;