爆料：万网【域名安全锁】不安全

doudou1

爆料：万网【域名安全锁】不安全
    我是一名做站3年的站长，2014年12月，发生了GODADDY域名被恶意转出的事件，后经历8天的时间与官方人员交涉后成功取回域名，立即转移向国内资深域名服务商——万网，原因是他们在域名安全方面比较全面，域名安全锁，一个神奇的功能，在看过万网域名管理平台后发现一个低级的安全策略性漏洞。
后台安全设置中有三大安全保护：
1、禁止域名转出万网。
    保护您的域名不被恶意转出
2、域名隐私保护服务。
    保护您的域名注册的个人信息不被公开
3、域名安全锁。
    保护您的域名注册信息不被随意篡改
    保护您的域名DNS不被恶意修改
    保护您域名的其他安全设置不被随意修改
    在第3项开启的情况下，第1、2项是无法关闭的，域名的各种注册信息，包括DNS都无法修改，那么最重要的问题来了，【域名安全锁】是可以【不经过任何验证】就可以直接关闭的，如果说它是为了安全而存在，那么解锁必须要经过手机或邮箱验证，否则谈何安全？域名安全锁的三条介绍也就不攻自破了。。。
    在域名安全锁的说明中有这样一段介绍：只有通过特定的验证流程解除域名锁定后，才能进行域名信息修改。
再说说另一个奇葩的安全设置
1、单域名控制台授权设备
    在开启这个设置后，以上三项设置是隐藏的，这回确实不能关闭域名安全锁了，但是重要问题又来了，【单域名控制台授权】也是可以【不经过任何验证】就可以直接关闭的....，写到这里，我真的对万网无语。。。
    试图找到万网联系方式，没找到.交互渠道很差..提交工单，好像他们并不在意。万网会员中心应用为阿里云后，可以与淘宝共用帐户，那么问题来了，淘宝被盗，那么万网也被盗，并且万网不支持单帐号的。
到这里，提醒大家，域名与空间的安全问题一定要重视。