Vlákno názorů k článku CZ.NIC pod veřejnou kontrolou? od Lukas Horalek - Dobry den, jiz delsi dobu jsem se, byv zamestnan...

Dobry den,

jiz delsi dobu jsem se, byv zamestnan do krajnosti jinymi vecmi, ku sepsani nejake reakce na Lupe nedostal, ale tez jiz delsi dobu jsem mel pocit, ze k "domenove problematice" bych neco rici chtel; vyuzivam tedy obsirne diskuse k clanku "CZ.NIC pod verejnou kontrolou" a sve pismo tez pripojuji; treba se najde nekdo, kdo muj nasledny monolog docte az do konce ;).

Zkraje bych chtel podekovat p. Drotarovi za vecne informace o fungovani domenovych registraci na Slovensku (zda se mi dle reakci, ze zdaleka nejsem sam, kdo o fungovani tychz zalezitosti u nasich sousedu doposud mnoho nevedel, nebot ho nenapadlo se po nich patricne pidit), nektere uvedene skutecnosti mi prijdou jako vcelku inspirativni, k cemuz se dostanu dale.

Uvodem bych se dotkl castky, jez byla v clanku i diskusich nekolikrat zminena, a ktera se otira o hranici 100 milionu Kc (coz je castka, ve zdejsich luzich a hajich, vskutku nezanedbatelna). Myslim, ze se tato castka pojmenovava obrat, a myslim tez, ze ziskem se mini to, co zbyde po odecteni nakladu, vynalozenych na zajisteni uskutecneneho obratu - pokud je ma definice (velmi zjednodusena) nepresna, zavadejici, nebo uplne dementni, nemejte mi to prosim za zle, jsem programator, nikoliv ekonom.

Nicmenez, byt nejsem ekonomem, pravnikem ci personalistou, a tim mene vestirnou ci spionem, dovolil jsem si zkusit _velmi zhruba_ odhadnout, kolik asi takova sprava domeny muze zatizit ruznych profesi - sekretarkami pocinaje, pravniky konce. Ponekud presneji jsem si jiz dokazal vycislit naklady na technicke a komunikacni prostredky, k cinnosti spravcovstvi domen nezbytne nutne (a snazil jsem se i neprilis zohlednovat skutecnost, ze jsem-li firma vetsiho rozmeru, ktera se IT zalezitostmi/komunikacemi zivi, muze byt pro mne dalsi cinnost v podobe spravy domeny vyhodou, nebot pri zdrave racionalite, mohou byt me dalsi investice do HW/telco vybaveni velice nizke, pri racionalite nezdrave pak prakticky nulove). A myslim, ze vzhledem ku sve profesi zcela nejpresneji, jsem pak aproximoval naklady na vlastni spravu domen (zajistovani chodu prislusnych serveru, vyroba a udrzovani obsluznych programu/scriptu, sprava a kontrola databaze domen). Klonim se v tomto smeru zcela jednoznacne k nazoru Mirka Zemana, tedy k domnence, ze cena za udrzbu domen, neroste linearne s jejich poctem. Jsem dokonce presvedcen, ze pri dobre zvolene pocatecni strategii (kvalitni zalohovane servery, robustni scripty) je nasledna nakladnost provozu temer konstantni, bez ohledu na pocet domen. Samozrejme, hovoril jsem zde o vecech "ryze nulojednickovych", s poctem domen se zajiste zvysuje pocet nutne okolni personalni agendy, narusta komunikace s zadateli/majiteli, pocet odeslanych dopisu, pocet sporu a zalob -- presto prese vsechno, IMHO, je k linearite stale daleko.

Sectu-li a podtrhnu vsechny vydedukovane skutecnosti (opetovne zduraznuji, ze si rozhodne ve svych odhadech nekladu narok na neomylnost), vychazeji mi vskutku naklady nizsi (a to zrejme nizsi vyrazne), nezli je kalkulovany obrat, z cehoz mi plyne (koneckoncu zrejme vseobecne predpokladana) skutecnost, ze provoz spravy TLD domeny .cz generuje zisk, a to zrejme i zisk solidni. Cilem me dedukce nicmene neni smutne ladeny (a pro ceskou kotlinu tolik typicky) povzdech "tady se nekdo ma, tady nekdo vydelava", pouhe a cire konstatovani, ze je zde (zrejme) generovan zisk, a nasledna uvaha, k jakym vylepsenim a svetlym zitrkum by se tento zisk dal vyuzit.

Dostavam se tak k vyse zminovane inspirativnosti slovenskych kolegu. Prilis inspirativni mi neprijde skutecnost, ze na Slovensku se registrace deji zadarmo, a jsou omezovany poctem. Nebyl bych ani prilis zastancem drasticke redukce soucasnych cen, nebot by to vedlo k jinym notoricky tusenym problemum (vetsi prostor pro spekulace diky nadmerne laci), spise bych preferoval zvysovani kvality a "add values" v mezich stavajicich (ci lehce nizsich). Jinym primerem receno - i ja mam, v ramci teto problematiky, nejednou onen typicky pocit "za hodne penez malo muziky", radeji bych si vsak nechal zahrat cardas navic, nez abych se snazil cimbalovku rozpoustet a nechat si vracet vstupne.

Co mi prijde inspirativni (a je mi jasne, ze nekomu to naopak nevyhovuje), je slovensky model registrace. Rozhodne bych tento model nehnal do krajnosti (v podobne nutnosti pravnicke osoby, sidla v rodne maticce zemi, etc.), ale obecna registrace by, dle meho nazoru, oproti soucasne virtualizaci a anonymite, byla na miste. Byla-li by na miste (fyzickem) i registrace, dochazelo by k jednoznacne identifikaci toho ktereho subjektu, cimz by se, pri dobre fungujicim servisu, tomuto subjektu ulehcoval zivot (mensi pravdepodobnost spatnych kontaktu, spatne vystavenych faktur, etc.) naopak subjektum "spekulativnim nekalozivelnym" by se zivot - alespon castecne - ztezoval. Plne se ztotoznuji s nahledem Dana Lukese do administrativniho bordelu tohoto statu (plneho uredniku s rakouskouherskymi manyry povysene vrchnosti a nefungujici komunikace vedouci k deprimujici redundanci cehokoliv, papiru pocinaje, ztraceneho casu konce), a tim spise nemam pocit, ze by takovouto agendu mel vykonava stat. Necht ji vykonava prislusne sdruzeni, a necht ji vykonava dobre - finance by tu (viz dedukce vyse) myslim byly. Ba myslim, ze diky odhadnutemu zisku by bylo zdostatek prostredku na zbudovani pobocek, rekneme ve vsech vetsich (z.B. krajskych) mestech. Domnivam se totiz, ze jak podnikatel z Ceskeho Tesina, tak student z Benesova, cestu do Ostravy (Prahy) radi podniknou (koneckoncu, stejne tam diky urednicke masinerii povetsinou musi casteji, nez je zdravo), tim spise, bude-li jim odmenou za tuto (jednu) cestu a registraci dlouhodoba uleva, zabezpeceni a zkvalitneni jejich pozadavku na spravu domen, ktere oni sami vlastni, ci jinak s nimi kooperuji. Zcela jsem v tomto odstavci odhledl od sluzeb zprostredkovatelskych firem, jez se domenami tez zabyvaji - tuto skutecnost nicmene nikterak neprehlizim, domnivam se, ze by zminene registrace (a jista decentralizace hlavniho spravce) temto firmam prisl(a/y) rovnez k duhu.

Z dalsich temat k vylepseni, mne v tuto nevhodne pokrocilou nocni (ba spise brzce ranni) hodinu napadaji dve zasadni temata (zajiste jich je zde k diskusi a reseni vyrazne vice):

1) Princip registrace. Krom vyse zminenych uvah, mel bych za to, ze zpruhledneni registraci a stizeni cinnosti spekulantum slo by cinit i jinak. Prijde mi napriklad zbytecne dlouha doba, po kterou je nyni umozneno komukoliv (tedy i spekulantovi) drzet zaregistrovanou domenu - 14 dni, aniz by se vubec obtezoval domenu zprovoznit v ramci svych nameserveru, cca 2 a pul mesice, aniz by domenu musel zaplatit. Z toho 2 mesice muze onen kdokoliv domenu klidne i plne provozovat, nebot tato je po tuto dobu v centralnim NS korektne ulozena.
Mam za to, ze by bylo vhodnejsi, kdyby byla domena do NS vlozena (a tedy "celosvetove zpristupnena") az pote, co dojde k jejimu zaplaceni; a dale bych onu dobu, nutnou ku zaplaceni, dramaticky zkratil. Jsem-li poctivy obcan, ktery si hodla zaregistrovat domenu s umysly veskrze cestnymi, zajiste pro mne nebude problem pripravit si prislusny obnos (ktery si musim pripravit i za stavajiciho stavu), a tento obnos pretransformovat na ucet spravce TLD v podstate paralelne s registraci domeny (presneji receno, tesne pote, co mi bude potvrzeno, ze jsem se uspesne zaregistroval, a po zaplaceni bude ma domena vuci mym inicialum stvrzena a na NS zpristupnena). I v nasich luzich a hajich (kde jsou vymozenosti typu "on-line bankovnictvi" vicemene na zacatku sve startovni drahy) povazuji celkovou dobu, rekneme 7-10 dni, za plne postacujici. Po teto dobe by mohl mit registrujici treba jeste dalsich 7 dni "dobu hajeni", ve ktere by mohl napr. dolozit, ze jiz zaplatil, ale jeho bance to zkratka bezpredmetne dlouho trva. Behem teto doby by se nicmene jiz teoreticky mohli stavet dalsi registruchtivi do virtualni fronty, aby na dalsiho mohla dojit rada tesne pote, co by se napr. ukazalo, ze prvni zadatel s udajnym pozdrzovanim platby bankou bohapuste kecal. Nakonec, "buffering zadatelu" by v podstate mohl probihat kdykoliv, nepretrzite - ale do hlubsich uvah o teto eventualite se jiz nyni neodvazim poustet.

2) Bezpecnost a formy registrace (komunikace). Tento bod povazuji, narozdil od jeho kolegy c.1), za prokazatelny, realisticky, bez ohledu na vysi zisku a obratu vcelku snadno realizovatelny, a jeho realizaci za vec veskrze uzitecnou. Hovorim zde o problematice, ktera je matadory, zabyvajicimi se domenami v TLD .cz hanlive znama jako "to straslivy faxovani", a na jejiz slabiny bylo, prikladmo i zde na Lupe, poukazovano jiz (mam dojem) pred nekolika lety; o to vetsi je mi zahadou, ze se behem techto let nic podstatneho neudalo. Sireji:

Lecktere organizace, ktere maji podobnou formu komunikace, a castecne i podobne zamereni, jako je centralni sprava domen (namatkou jmenujme napr. evropskou RIPE, zabyvajici se pridelovanim adresnich bloku), umoznuji uzivatelum ovlivnovat miru zabezpeceni komunikace - od prosteho overovani via MAIL-FROM, pres notifikaci (napr. pomoci jednorazoveho hesla zaslaneho na kontaktni adresu pro zpetne potvrzeni), az po komunikaci plne sifrovanou ci digitalne podepisovanou (mam za to, ze se obvykle pouziva PGP, pricemz mam za to, ze je to rozhodnuti stastne, nebot jde zrejme o jednu z nejucinnejsich zabezpecovacich metod, vzdor velkohubym prohlasenim z ust nejmenovanych ceskych firem, zabyvajicich se bezpecnosti). Oproti tomu je stavajici komunikace s CZ-NICem v podstate vyhradne (az na vyjimky pri prvotni registraci subjektu ci domeny, ktera probiha plne elektronicky, ci pri vybranych zmenach, kde je zapotrebi notarskeho overeni) vedena v rovine zasilani faxu. Coz ma (opet dle meho, zajiste omylneho, nazoru) hned nekolik negativnich aspektu :

(a) Technologicka anachronie. Pokud po mne dnes chce zaslat fax firma vyrabejici podprsenky ci detske plenky, dokazu to jeste pochopit a neresit, ale komunikovat se subjektem, ktery se plne zabyva, de facto, vecmi ryze elektronickymi a virtualnimi (tedy domenami), pomoci starsiho (a svym zpusobem zastaraleho) prostredku, tedy faxu, jevi se mi vskutku ponekud zvlastni.

(b) Delka procesu. Vzhledem k tomu, ze navazat na vystup faxoveho spojeni plnou automatizaci je obtizne, ba az nemozne, vstupuje do hry lidsky faktor (cisi ruka, jezto faxovy papir z pristroje odtrhne, zkontroluje a na jeho zaklade provede dalsi ukony), ktery cely proces prodluzuje - a to nekdy az neumerne. Jde-li nekdy o zmenu, jez nesnese odkladu (zmena nameserveru, napriklad), pak je "cekaci lhuta" na vyrizeni procesu, ktera se pohybuje od nekolika hodin az do tri dnu (zalezi, kdy k faxovani dojde), skutecne dramaticka. Oproti tomu prikladmo komunikaci s sifrovanim ci digitalnim podpisem lze jednoduse a plne automatizovat - a odpovedi (spolu s provedenim vsech potrebnych zmen) se tak zadatel muze dockat behem par minut, a to dokonce lhostejno, zda je utery odpoledne, nebo sobota hluboko v noci (pocitace, nastesti, dosud svatky a vikendy prilis neuznavaji :) ). Typickym zastupcem tohoto postupu budiz opet jmenovano RIPE (nemylim-li se, i zde jsou nektere veci verifikovany lidskym faktorem, ale vetsina veci je skutecne plne automatizovana, a tudiz treskute rychla).

(c) Bezpecnost procesu. Odhlednu-li od obou vyse zminenych bodu (anachronie a zbytecna delka procesu), uz jen tento bod (zrejme nejzavaznejsi) by si myslim, zaslouzil pozornost (a hlavne nejake positivni zmeny). Zatimco postup, kdy zadatel pri fyzicke registraci (viz me uvahy vyrazne vyse) obdrzi zaroven vygenerovany soukromy klic (a na web registratora, ktery tak muze zaroven slouzit coby certifikacni autorita, je vyvesen verejne dostupny klic verejny), jevi se byti skutecne velmi sofistikovanym a bezpecnym, soucasna metoda faxovani v podstate jakykoliv prvek bezpecnosti ci mechanizmus verifikace zcela postrada. Fax je nutne podepsat, ale tento podpis muze byt de facto _libovolny_ a vytvoren _kymkoliv_. Paklize se zodpovedne ruce, na druhe strane z pristroje fax odtrhavajici, cirou nahodou (velmi pregnantni metoda) nebude zdat onen podpis "nakej divnej" (coz vzhledem k neexistenci alespon neceho takoveho, jako je databaze vzorovych podpisu, neni prilis pravdepodobne) a nedojde k dalsi snaze o overeni odesilatele, bude zadosti ve faxu vyhoveno. A to i v pripade, ze se nebude jednat o pravoplatneho uzivatele (nebo osobu pravoplatnym uzivatelem poverenou a jim se podepisujici - coz samozrejme take funguje), ale o zhuverileho zaskodnika. Modifikovat tedy domenu (pomoci zameny NS a naslednych odkazu v nich) je tedy zalezitost kromobycejne jednoducha. A pravoplatnemu majiteli muze trvat peknou radku hodin (zejmena, zjisti-li podvrzeni v nocnich hodinach, kdy skutecne k naprave stavu nikoho nepostve), nezli vse uvede do puvodniho stavu - s vedomim, ze onen sprym ci zamerny utok, jej stal spoustu casu, nervu a v nekterych pripadech i nezanedbatelneho usleho zisku. A hlavne s vedomim, ze se cela tato krajne neprijemna situace muze opakovat znovu. Do doby, nez budou zabezpecovaci mechanismy celeho procesu, konecne "vetsi nez male"...


Nu, to je pro tuto chvili skutecne jiz zcela vse, cim jsem schopen k dane problematice prispet. Na zacatku meho prispevku jsem s jistym humorem hovoril o 'naslednem monologu', na konci s hruzou zjistuji, ze jsem se nemylil, nebot je onen monolog delsi, nez jsem chtel a predpokladal. Myslim, ze bych mel doporucit editorum Lupy, aby krom pripadne korekce clanku, zavadeli i omezeni na reakce pod nim, aby tak bylo zabraneno nepoucitelnym grafomanum obtezovat svymi dlouhymi vytvory slusne obcany :). Uplnym zaverem dekuji vsem slusnym obcanum, kteri skutecne nahodou docetli az sem, jednak za odvahu, dvojak za dalsi komentare a reakce (nejen na muj monolog), at uz budou tyto (slusne) reakce jakekoliv...

Preji hezky den,
Lukas Horalek.

Klokane, nechces prosim prejit s diskusi do konferencec forum-l (presna adresa je nekde na www.nic.cz)? Myslim, ze k tomu mas co rici a e-mail komunikace je mnoheme lepsi. Pokud bys to tam neposlal, dovol mi, abych to tam poslal.