[lazat]

Jag kommer ihåg gamla tiden när alla com net org var via netsol och man använde ett mailformulär för att göra ändringar... Det var dålig säkerhet det. Man begärde en ändring av en domän man ägde. Fick tillbaka ett epost med ett formulär som man skulle svara på ifrån rätt avsändare på eposten.... nu var det bara att anväda detta svar och byta ut domänen man ville ändra till valfri och systemet uppdaterade utan att blinka. Under några år på 90-talet så kunde man ta kontrollen på vilken domän som hellst, helt automatiskt.

Vi får hoppas att IIS anar ugglor i mossen när det kommer ägarändringar eller uppdateringar av epostadress som ser suspekta ut. Det är nog allt vi kan göra i dagsläget. IIs har ju iaf en person som går igenom dessa vilket borde göra att dessa kontrolleras lite mer.

[robertsson]

Innan IIS lanserade domänhanteraren i feb kunde man faktiskt ringa in till IIS och spärra/låsa sin domän för överlåtelse. Vet inte riktigt hur den spärren fungerade men det var nån slags säkerhet mot överlåtelser.

Den 2:a feb 2007 fick jag detta mail från IIS.

"Ni är innehavare av ett domännamn som ni låtit spärra för uppdateringar med engångslösenord via .SE:s självbetjäningssystem. Spärren har till syfte att försvåra för andra än innehavaren att komma över sådan information som krävs för att ändra adressuppgifter eller på annat sätt manipulera uppgifter som hör till domännamnet.

Med detta brev vill vi göra er uppmärksam på att spärren mot uppdatering med engångslösenord kommer att tas bort i samband med att .SE den 12 februari 2007 går över till ett nytt, kontobaserat administrativt system för domännamnsregistret - Domänhanteraren. Från och med detta datum kommer vi istället att utnyttja användarnamn och lösenord som identifieringsmetod för den som loggar in i Domänhanteraren och gör ändringar.

...

Senare i år kommer .SE att erbjuda inloggning i Domänhanteraren med hjälp av certifikat, vilket ytterligare försvårar för utomstående att ta sig in på ert konto. Vi återkommer med mer information när den tekniken är på plats, för att ge er möjlighet att ytterligare höja säkerheten för ert domännamn."

[Timofey]

Citat:

Originally posted by robertsson@Sep 10 2007, 09:53
...
Senare i år kommer .SE att erbjuda inloggning i Domänhanteraren med hjälp av certifikat, vilket ytterligare försvårar för utomstående att ta sig in på ert konto. Vi återkommer med mer information när den tekniken är på plats, för att ge er möjlighet att ytterligare höja säkerheten för ert domännamn.

Jag förstår inte hur IIS tänker! Vad spelar det för roll om det blir svårare (på vilket sätt?) att logga in till domänhanteraren, om man inte behöver göra det för att överlåta en domän.

[design.se]

Citat:

Originally posted by alltinggratis@Sep 10 2007, 13:42
Jag förstår inte hur IIS tänker! Vad spelar det för roll om det blir svårare (på vilket sätt?) att logga in till domänhanteraren, om man inte behöver göra det för att överlåta en domän.

Precis, fattar dom inte något så grundläggande så är ju hoppet ute. Visste dom inte att sveriges oskuld är borta – brott sker även här.

[Marcus]

Nu är tråden rensad.

Läs igenom hela tråden och tänk både en och två gånger innan en kommentar skrivs här så slipper vi låsa tråden.

[Timofey]

Tack. Nu kan mn fortsätta med en seriös diskussion.

Saken är den att Ombudsföreningen fortfarande inte har uttalat sig i frågan och IIS svarar inte på mail - varken angående detta eller andra problem med deras tjänster. Hur ska man gå tillväga?

[Internet Sweden]

Citat:

Originally posted by alltinggratis@Sep 20 2007, 01:19
..IIS svarar inte på mail - varken angående detta eller andra problem med deras tjänster..

Det kan ju ha att göra med att de behöver prioritera en del saker fn.

De står ju inför det största "tappet" i IIS´s historia där dom uppskattningsvis kommer att tappa 70-80K domäner (IDN)- kanske mer. Samtidigt som dessa domäner då inte är sökbara i domänhanteraren. Det "kan" ju bli svårt att förklara för en VD som har siktet inställt på 800 000 .se-domäner om ca 1 år.

Samtidigt som synkningen mellan domänhanteraren och deras faktura utskrifter verkar fungera riktigt dåligt. Själv fick jag igår brevfakturor på de domäner jag betalade online för en vecka sedan...

Och sedan ett par dagar har de ytterligare tekniska problem då tjänsten DNSCHECK slutat fungera.

Så vi får väl vara glada om de svarar i telefonen efter nyår..
"Välkommen till punkt-ess-e, viket hörn av internet kan vi paxa för dig ?"

[jonathanfranze]

Citat:

Originally posted by alltinggratis@Sep 20 2007, 01:19
Saken är den att Ombudsföreningen fortfarande inte har uttalat sig i frågan och IIS svarar inte på mail - varken angående detta eller andra problem med deras tjänster. Hur ska man gå tillväga?

Denna fråga har varit uppe till diskussion i styrelsen för Ombudsföreningen och denna fråga har framförts till .SE ifrån Ombudsföreningens sida. Jag tror att alla medlemmar kan förvänta sig ett första svar på hur .SE och Ombudsföreningen ställer sig till frågan inom kort. Det tar lite längre tid att behandla frågor som dessa i Ombudsföreningen då man bara har möten varannan vecka för att besluta och sedan exekvera beslut. Det är dock inte bortglömt eller bortprioriterat.

[Timofey]

Har det hänt något nytt förutom att .SE har kastat ut sina pengar på dessa värdelösa "reklamkampanjer"?
Har .SE uttalat sig i frågan? Ska de någon gång göra överlåtelsen säkrare och enklare?

Eller krävs det att några större företag ska bli av med sina domäner för att de ska inse hur allvarligt det är, precis som med alla dessa webbsidor som blivit hackade?

Skriver detta på grund av att en av mina kollegor fått en blankett returnerad där hans signatur har förfalskats av någon som försökte ta över domänen i fråga. Tursamt nog var det en dålig förfalskning och nu ska polisanmälan troligen ske, men det går knappast att bevisa något, vilket jag även påpekade tidigare i tråden.

På måndag ska jag ringa IIS. Berättar sedan hur det har gått, men jag tänker ställa dem mot väggen! Otroligt att de inte bryr sig om säkerheten alls!

[Timofey]

Nu har jag ringt dem, gav inte så mycket, ett år till skulle det dröja innan ett nytt system var igång.
De såg däremot mitt förslag om att både den nya och gamla ägaren skulle informeras om att en överlåtelse har ägt rum via e-post direkt som en bra idé och skulle troligen läga in den rutinen inom ett par veckor.