Зачем IT гиганты используют много несвязанных доменов?
Крупнейшие IT корпорации используют множество никак не связанных между собой доменов
Например, в случае Гугла это
1e100.net
googleusercontent.com
googleapis.com
куча региональных доменов вроде google.com.ua, g.cn и еще где-то сотня похожих
...
в случае MS
microsoftonline.com
azurewebservices.com
azurewebsites.net
...
Таким образом
1) Расширяются возможности фишинга (сложно понять, ссылка фишинговая, или настоящая, когда по логичности они примерно одинаковы)
2) Усложняется введение вайтлистов для компьютеров/серверов, на которых ограничен доступ для безопасности
3) Даже ответить на вопрос вроде "то, что сейчас компьютер качает что-то, является следствием вируса, или обновления" не так уж и просто.
Мой вопрос в том, почему делают именно так, а не вполне логичные домены вроде usercontent.google.com, websites.azure.microsoft.com и так далее?
Поместив HTML, XML, SVG и т.д. и т.п. файл на домене usercontent.google.com можно
манипулировать куками домена google.com и фишить. Поэтому пользовательский контент всегда отдается с отдельных sandbox-доменов.
Так же с отдельных доменов обычно отдается статический контент, это позволяет использовать CDN и упрощает управление кэшированием.
Отдельный домен обычно используется для PTR-записей (например 1e100.net). Для PTR часто нужна двойная валидация, т.е. PTR должна разрешаться в имя и имя обратно в тот же IP. При этом на одном IP может хоститься много доменов и быть установлено много сертификатов, включая вайлдкарды. И наоборот, один домен может хоститься на многих IP. Чтобы исключить прямое обращение к хосту по "неожиданному" для него имени в своем домене, обычно используются PTR записи в нейтральном домене. Кстати исторически принято использовать именно домены в .net. Google так же использует 1e100.net как нейтральный домен для подписи транзитных писем, раньше для этого использовался собственно домен google.com и это приводило к забавному багу, позволявшему подделывать подписи на письмах от google.com, я рассказывал о нем на PHDays 2014.
Географические домены исторически используют для организации региональных датацентов и ускорения доступа, например yahoo.jp физически расположен в Японии.
Спасибо за развернутый ответ! Единственное, что у меня все еще вызвало вопрос - насколько я знаю, даже при обращении к глобальным доменам гугла, по факту происходит обращение к серверу из Google Global Cache. (вроде, есть практика даже 1 ip адреса на разных географически разнесенных серверах для CDN, ну и, с домашнего компьютера в киева google.com пингуется за несколько мс, что говорит о том, что это не может быть обращением к центральному ДЦ Гугла). То есть, как я понимаю, проблема региональных ДЦ решается и при едином домене, или все же, есть нюансы?
algotrader2013, да, именно гугл построил собственную инфраструктуру, это даже не CDN а скорее наложенная сеть, где-то там CDN, где-то кэширование, а где-то просто проброс сетевого трафика, снаружи все это можно увидеть только по косвенным признакам. Он самостоятельно организует каналы и заключает договоры в точках обмена трафиком, и это скорее исключение. Часто используются сторонние CDN, например Microsoft использует Akamai и местами Verizon. Тот же Azure для разных задач может использовать и Akamai и Verizon и собственную инфраструктуру Microsoft.
Простой
