Názory k článku Jak lze podvádět s doménami

paneboze, jake jsou toto podvody? cekal jsem nejake senzacni odhaleni jak prijit o domenu, toto vse jsou veci ktere jsou vystopovatelne a zalovatelne, toto mi pripomina cisty amaterismus jak podvodniku tak lupy... takovy clanek si vycucam z prstu za 10 minut... shrnuti obecnych moznosti, jak by to mohlo jit, zadne zavery co z toho realne plyne, jak se to da zneuzit proti komu, priklady... nemyslim ze by domena blansko.net byla nejaka prestizni nebo pripadne sledovana... to mi prijde takovy linx zajimavejsi:-) no ... to jste se zase predvedli.

Uz jsem to resil, ale nijak to nedopadlo. Nasim zakaznikem byla ebanka a ja jsem upozornil na problem, ktery muze nastat pri zmene jejich nameserveru. Spravce v ebance souhlasil , tak jsem kontaktoval telefonicky i emailem pana Kozu s CZ.NICu. Bohuzel jsem nedostal zadnou odpoved. Nekolikrat jsem volal ruznym clenum CZ.NIC. Kazdy rekl , ze to je bezpecnostni problem. Samozrejme po pul roce zadna naprava. Dokazu si predstavit zmeneny nameserver u ebanky a na dobu 24 hodin nefunkcni jejich web pristup na cet.

Od sameho pocatku existence "noveho" systemu registrace domen zasnu nad jeho bezpecnosti... Je opravdu takovy problem pro tyto ukony zavest system privatnich/verejnych klicu ala PGP? Pripada vam normalni, ze k tomu abych provedl tech. zmenu v domene musim FAXOVAT nejakej PAPIR??? Kterej notabene stejne nic neresi :-(

btw: namet k zamysleni pro spravce .cz: predstavte si nameserver na kterym mate par desitek domen a potrebujete jej zmenit. V .cz odfaxujete par desitek podepsanych zadosti (to je teda rajc) V .com zmenite _jeden_ zaznam nameserveru.
Rozdil, ktery nejen vidite ale i citite :-)

Zavadet PGP, ktere je (vim, ze mnozi budou mit jiny nazor) umirajici skutecne problem je - kdyz na obzoru je zcela odlisny standard elektronickeho podpisu.

K tomu BTW - asi me obvinite z arogance, ale tohle je klasicky problem komunikace CZ.NIC s klienty. Kdyz CZ.NIC tento system navrhoval, tak mel samozrejme na mysli i tento pripad - proto pozaduje sice potvrzeni zadosti, ale nikde se nezminuje o tom, ze ma byt kazdy ticket potvrzen zvlast - takze jeden podpis staci na potvrzeni tolika zmen, kolik se jich vejde na tak dlouhou roli papiru, ktera proleze v kuse faxem (ja takhle jednim podpisem schvaloval najednou pres 200 zmen). Je pravda, ze CZ,NIC nikde nenapsal, ze zmena jde potvrdit i hromadne - ale nenapsal take nic o tom, ze je nutne potvrzovat jednotlive. Zakaznik, ktery rychleji podepisuje nez mysli posle 300 ruznych samostatnych potvrzeni. Opravdu chcete vycist CZ.NIC, ze tam tu hromadnou moznost vyslovne neuvedl ? A melo by tam byt take popsano jak se faxuje vic listu papiru soucasne (pro pripad, ze by to take nekdo znovu a znovy vytacel) ?

Nyni se nepochybne rozvine mnohokrat opakovana diskuse na tema "ale nas zakaznik nas pan", "za ty penize byste snad mohli", "typicka arogantni reakce monopolu". Proto predem uvadim - system registraci na CZ.NIC byl PREDEVSIM urcen osobam s primerenou odbornou erudici, nikoli pro laiky. Ocekavalo se, ze z laiku jej budou pouzivat predevsim fyzicke osoby typu "studenti" (nemaji moc penez, ale maji spoustu casu na pokusy) a z pravnickych osob predevsim dobrocinne a neziskove organizace (jednak nemaji moc penez, jednak se jim o podobne zalezitosti stara zhusta student). Pro ostatni je tady nekolik ruznych zprostredkovatelu, kteri registraci zprostredkovavaji i tem, co vubec nevedi co je to nameserver - a domenu jim zaregistruji "na klic". Pokud si laik vybere z ruznych moznych zpusobu jak ziskat registraci domeny ten zpusob, ktery vyzaduje jiste odborne znalosti, ucinil tak dobrovolne. Domeny nejsou housky na krame a k jejich ziskani a drzeni JE proste potreba mit nejake znalosti nebo si najit nekoho, kdo je ma a nechat to udelat jeho.

Tak, a ted me muzete zacit nadavat.

Je opravdu takovy problem pro tyto ukony zavest system privatnich/verejnych klicu ala PGP?

Proc zrovna PGP proc ne X.509 ?

btw: namet k zamysleni pro spravce .cz: predstavte si nameserver na kterym mate par desitek domen a potrebujete jej zmenit. V .cz odfaxujete par desitek podepsanych zadosti (to je teda rajc) V .com zmenite _jeden_ zaznam nameserveru.

Ja obvykle menim IP adresy pod DNS, na kterem mam sve domeny :-) Takova zmena staci jedna.

Zcela vyjimecne se musim pripojit ke kritice kvality clanku - poutavy nazev, uderna upoutavka (podvody se rozmahaji) - takze "ctenost" bude asi dobra, ale jinak prazdna slupka. Prvni veta hovori o rozmahajicich se podvodech, predposledni o tom, ze teoreticke nebezpeci se v praxi prilis neprojevuje - a mezitim jeden priklad z "predCZ.NIC" doby a druhy, kde je poznamka, ze formalne sice asi o podvod slo, ale ve skutecnosti to tak vlastne drzitel chtel. K tomu vlastnimi slovy opsana pravidla autorizace a dve kratke reakce pana Peterky, kde mam navic urcitou pochybnost ze i ta druha mela byt jeho. Na to jak zavazne tema to je je clanek totalnim zklamanim ...

Myslim, ze neni tak uplne pravda, ze domenu nelze ukrast. Podle toho, jak jsem studoval pravidla CZ.NIC existuje za urcitych podminek cesta, jak domenu ukrast. A potom, ackoliv budu novym majitelem domeny, nikdo mi nebude moci dokazat, ze jsem se dopustil trestneho cinu podvodu.

Tento, stejne jako kazdy jiny system, se potyka s klasickym problemem - ma se zduraznit bezpecnost (to je ale vzdy komplikace pro snadnost a hladkost obsluhy) nebo ma jit o jednoduchy a lehce pouzitelny system (coz se pro zmenu obvykle negativne podepisuje na bezpecnosti). I anketa to ukazala - vetsina hlasijicich povazuje zabezpeceni za nedostatecne - pravdepodobne nejpezpecnejsi dosazitelny zpusob zabezpeceni (krome osobniho kontaktu) - notarsky overena zadost je napadana pro "slozitost" a "zbytecne obstrukce". Jsem si naprosto jist, ze az konecne budou dopracovany vsechny dokumenty okolo zakona o el. podpisu a CZ.NIC jej zavede, objevi se mnoho hlasu zehrajicich na to, ze monopol je nuti k poplatkum za domenu jeste platit nekomu dalsimu za neco tak zbytecneho jako elektronicky podpis - vzdyt leta to slo jen mailem a pak nejakou dobu, pravda, otravnym faxem - a taky to fungovalo. Naprosto vzdycky bude existovat skupina nespokojenych - bud' s bezpecnosti nebo se slozitosti ovladani. Hybridni system je pro zmenu komplikovanejsi - coz ma take negativni dopad na bezpecnost. Ja vidim jedine definitivni reseni - zavest system vice registratoru a poskytnout jim maximalni volnost co se tyce sluzeb a pravidel komunikace se svymi klienty - kazdy necht' si pak sam vybere, jestli pozaduje (takrka) absolutni bezpecnost i za cenu (takrka) absolutniho nepohodli ci zda chce radeji maximalni pohodli (treba "jakakoliv zmena na pokyn podany jakymkoliv zpusobem bez jakekoliv verifikace") nebo zda pozaduje nejaky kompromis mezi temito dvema extremy (jedinou podminkou je, ze existuje alespon jeden registrator, ktery pozadovane naroky splnuje - ale vlastne - pokud ne, tak si ho muze zalozit).

Nevidím sebemenší souvislost ... Elektronický podpis jo,
kdo chce měl by mít možnost používat, kdo ne, může poslat dokumenty, kdo chce může přijít OSOBNĚ, nechal bych více možností. Stejně se to bude dát ukrást. Víte o něčem, co ještě nikdo nikdy neukradl??? Vždy je to jenom otázka vynaloženého úsilí a jestli to stojí pak za to...
Z okolního světa je také zřejmé, že se lépe kradou větší
částky (od miliardy výše...)

... tak by mohl znit "senzacni" titulek dalsiho clanku.
Nebo jina skandalni teorie - neblaze se projevilo stehovani, takze jste napsali nekolik "nadcasovych" clanku do zasoby a ted tyto obecne vzdelavaci studie vypoustite do volne prirody.

Odhaleni, ze lze na faxu zfalsovat podpis, je opravdu sokujici, stejne, jako je porovnani IRC a webchatu fundovane. Doufam, ze nebylo zamerem vyvolat "zajimavou diskusi" - to by pak ten titulek tohoto prispevku byl vlastne pravdivy.

Mezititulek: "Jak se muze zoufaly ctenar branit?"

Treba tak, ze na Lupe nebude zacinat zajimave diskuse. System registrace NICu ma jine z bezpecnostniho hlediska nedobre vlastnosti, mene napadne, nez moznost nacmarat neco na fax. Pokud Vas toto tema zajima, prectete si archiv konference o domene .cz forum-l@gw.nic.cz. Pokud byste chteli nejakou zajimavou debatu zacit, ucinte tak v konferenci forum-l@gw.nic.cz a ne v diskusi na Lupe.

Jeste drobna poznamka k rozdeleni Reklama - Zpravicky na uvodni strance - prijde mi, ze reklama na vas server a neci softwarovy produkt je porad jeste reklama a ne zprava:

Vyhrajte software na Slunečnici
(David Špinar - 03.04.2001 09:35)

Na serveru Slunečnice probíhá další soutěž, ve které můžete vyhrát zajímavou cenu - licenci programu FinePrint2000 od firmy Mokry Systems. Stačí jen odpovědět na pár otázek a být vylosován.

(jiste, je to prkotina, ale zhoubu jmenem pr clanky je treba vymitat od pocatku...)

Dobry podvecer,

jednou z veci, ktera se mi na internetovem psani velice libi, je zpetna vazba. V tomto pripade sice silne negativni, presto svym zpusobem dobra. Pri psani tohoto clanku jsem si sice myslel, ze se cilova skupina najde, nekolik reakci mne vsak presvedcilo o opaku. Doufam, ze si z toho vezmu dostatecne pouceni.

Clanek opravdu neprinasi nic svetoborneho, myslel jsem si vsak, ze by mozna nebylo tak uplne od veci na podle meho nazoru potencialni problem znovu poukazat.

Btw, mozna bych mohl zkusit vzdy pred PIW prestat psat, minuly rok to touto dobou bylo stejne :-(

Vyjadril se jiz nekdy nekdo z NICu k nejakemu clanku na Lupe?

Jisteze, tezko byste na Lupe nasel clanek o NICu nebo domenach, ke kteremu by se prinejmensim Dan Lukes nevyjadril, par jich dokonce sam napsal :)
Nebo byl ten dotaz myslen nejak ironicky?

... a posledni dobou uz tam ani nepise dousky, ze jeho nazory jsou soukrome ...

Protoze se stupnem unavy klesa ostrazitost a stoupa pocet chyb ... ;-)

Autor tohoto prispevku je clenem predstavenstva CZ.NIC, tento nazor je vsak ciste soukromy