Владельцы доменов в whois теперь могут указывать данные, отличные от указанных в договоре. То есть вообще любые. Никто проверять не станет. Сначала, напомним, в обязательном порядке следовало указывать личные данные, в том числе — контактные, и при этом они всегда отображались по запросу любого пользователя. Очевидно, это в определенном смысле нарушало privacy, поэтому появилась возможность указать вместо имени владельца «private person». Это было, несомненно, удачным компромиссом между доступностью информации и privacy. С одной стороны, у тех, кто не желал разглашать данные о том, что ему принадлежит тот или иной домен, не возникало никаких затруднений. С другой — информации во whois, если таковая все же имелась, все-таки можно было доверять. Теперь, в принципе, нельзя.
В сервисах WHOIS многих регистраторов существует уязвимость, известная как WHOIS XSS. Суть ее своидтся к следующему. Если разместить в информации о каком-то домене JavаScript или еще что-нибудь, то при выводе данных этот код будет обрабатываться и выполняться. С помощью данного приема можно перенаправлять посетителей на другие сайты, показывать им рекламу и т.д. Подробнее об этом далее.
