Mes idées de noms de domaine risquent-elles d'être volées en vérifiant leur disponibilité?

Votre meilleur pari est de toujours enregistrer le domaine juste après l'avoir vérifié (s'il est disponible). Avec quelques milliards de personnes connectées à Internet, il n'est pas rare que quelques personnes aient la même idée de domaine en même temps. En fait, lors de ma récente recherche du domaine pour un nouveau projet, je suis tombé sur deux noms intéressants qui venaient d'être enregistrés - l'un quelques jours avant et l'autre quelques heures avant de vérifier. Maintenant, si le propriétaire actuel du domaine l'a vérifié mais ne l'a pas enregistré, je l'aurais probablement arraché.

Cela dit, il est généralement plus sûr de vérifier les domaines directement via la ligne de commande, sans utiliser aucun type d'interface Web ou d'application. Le problème est que de nombreux registres limitent le nombre de requêtes, puis bloquent votre adresse IP pendant une journée ou plus. Une façon de l'éviter est de vérifier d'abord le (s) domaine (s) avec Host et seulement s'il renvoie NXDOMAIN, vérifiez-le avec whois (la ligne de commande whois interroge toujours le registre directement, donc si personne ne est en train de flairer votre trafic, vous devriez être en sécurité) pour vérifier s'il est réellement gratuit, ou mal configuré, ou peut-être supprimé.

Retour aux interfaces Web - il devrait être sûr d'utiliser whois.ccTLD mais assurez-vous d'abord qu'il est réellement géré par le registre concerné. Vous pouvez consulter la page d'accueil de chaque registre sur cette liste , et y trouver le formulaire whois. Cependant, cette méthode n'a aucun avantage (en termes de "confidentialité") sur l'utilisation de la ligne de commande whois, donc c'est juste une question de commodité (plus pratique si vous êtes sur mobile, moins pratique sur ordinateur portable/bureau) ). Je ne recommande certainement pas d'utiliser whois.com car il est géré par une société aléatoire, pas par le registre. D'autres sites Web whois.TLD peuvent être similaires.

Je suppose que les entreprises qui revendent des domaines suivent absolument quels domaines sont contrôlés (il serait stupide de ne pas capitaliser sur ces données),

Ceci est largement partagé comme une hypothèse/hypothèse/observation mais pourtant il n'a jamais été vraiment formellement prouvé. Cela ne signifie pas que ce n'est pas vrai, mais simplement qu'il est difficile de le prouver avec 100% de certitude.

Si je me souviens bien, la seule véritable étude de ce genre a prouvé le contraire, mais cela est difficile à faire correctement et cela va à l'encontre des impressions de tant de gens, qu'ils ne peuvent pas le croire: ils se persuadent qu'ils ont mis le nom de domaine sous une forme en ligne uniquement et il a été enregistré après avoir conclu que le site Web avec ce formulaire avait volé son domaine, oubliant qu'en fait leur idée avait peut-être déjà été partagée ailleurs, qu'ils utilisaient divers outils qui fuient les données (des extensions de navigateur au cloud) outils, pour mettre en réseau des renifleurs, etc ...), et à la fin que, comme en science, il arrive à deux personnes indépendantes d'avoir la même idée approximativement en même temps.

Mais il n'est pas nécessaire de le prouver ou le contraire car il n'est pas nécessaire que l'on se soumette à ce problème.

Pour résoudre votre question sur la vérification si un domaine est disponible ou non, il n'y a qu'une seule façon infaillible de le faire (en plus de faire confiance à un registraire spécifique ) et lui demander de vérifiez pour vous car il pourra utiliser ses connexions spécifiques au registre, qui ne sont pas publiques, mais donnent des réponses de disponibilité en temps réel):

1. Accédez à https://www.iana.org/domains/root/db : il s'agit de la source faisant autorité de tous les TLD existants (publiés).
2. Sélectionnez celui qui vous intéresse, et dans sa page sur le site Web de l'IANA, vous verrez des détails sur son registre, avec un lien vers son site Web, ainsi que vers ses serveurs whois.
3. (notez au passage qu'il existe d'autres moyens, plus empiriques, de trouver les serveurs whois d'un TLD donné, j'en ai détaillé la plupart dans ma réponse ici: https://unix.stackexchange.com/a/407030/2118 )
4. Maintenant, vous pouvez soit essayer de faire un whois sur le site Web du registre, soit faire un whois sur le port 43 mais avec l'option -h (généralement, vérifiez votre client) pour contacter directement le serveur whois du registre et aucun autre (bien sûr, ce dernier cas est toujours vulnérable pour quiconque puisse flairer le chemin réseau entre vous et le serveur whois car cette communication n'est pas sécurisée dans de toute façon, chaque donnée va en clair)

Si vous faites ce qui précède, vous réduisez le nombre d'intermédiaires et de tiers inutiles. Par conséquent, vous réduisez votre risque.

Pour moi, tout le reste est "dangereux", car vos données sont transmises à un tiers. Il peut se comporter ou non comme vous le souhaitez. Puisqu'il n'y a jamais de garanties à 100%, pourquoi prendre le risque?

De plus, pour les noms que vous jugez très précieux, le conseil habituel est bien sûr de ne pas attendre: au lieu de les vérifier et de décider de les enregistrer des jours ou des semaines plus tard, vérifiez-les et inscrivez-vous immédiatement. Cela réduit également considérablement votre risque.

Pour ce qui est de

Je suppose que les entreprises qui revendent des domaines suivent absolument quels domaines sont contrôlés (il serait stupide de ne pas capitaliser sur ces données),

Il y a une sorte d'ambiguïtés parce que ce que vous mettez derrière les "sociétés de revente" n'est pas clair.

Dans le modèle classique (mais non sans exception), vous avez, par TLD:

• un registre
• un certain nombre (dans les centaines ou quelques milliers au plus) de bureaux d'enregistrement sous contrat avec le registre et le seul ayant une connexion à celui-ci pour toutes les opérations de nom de domaine
• un très grand nombre de revendeurs, c'est-à-dire tout tiers sous contrat avec un bureau d'enregistrement ou qui utilise simplement son site Web/API. Il peut s'agir de sociétés d'hébergement Web, d'agences de protection des marques, de prestataires de services intégrés, etc.

Dans le monde des gTLD, en plus de ce qui précède, le registre et les bureaux d'enregistrement sont sous contrat avec l'ICANN. Dans ce modèle, il est interdit aux bureaux d'enregistrement d'enregistrer des noms de domaine pour eux-mêmes, ils ne peuvent fonctionner qu'au nom de leur client. Ce qui a normalement pour corollaire que, même s'ils surveillent les contrôles effectués, ils ne peuvent pas enregistrer les domaines à la place de leurs clients. Bien sûr, il y avait des contre-exemples historiques de cela.

Mais l'essentiel est qu'il n'y a pas de tels contrats et règles au niveau des revendeurs. Ces entreprises peuvent faire à peu près ce qu'elles veulent: si vous leur donnez vos données via votre utilisation de leur site Web, il est déjà potentiellement trop tard. Il peut même y avoir des empreintes idiotes sur le site Web qui les exonère de tout acte répréhensible s'ils utilisent vos données parce que vous êtes réputé les avoir acceptés pour faire ce qu'ils veulent avec elles dès que vous avez utilisé leurs outils/site Web.

Donc, encore une fois, n'utilisez pas de tiers inutiles. Soit vous avez un registraire en qui vous avez entièrement confiance et vous faites tout par son intermédiaire. Ou simplement pour vérifier la disponibilité, vous utilisez uniquement le serveur ou le site Web du registre.