[Timofey]

Eftersom II-stiftelsen inte verkar bry sig och inte svarar på mail på flera dagar, så tar jag upp det här.


Jag funderar på säkerheten vid domänöverlåtelser.
När man fyller i en överlåtelseblankett så är det bara min namnteckning som stryker att jag godkänner överlåtelsen. Det finns inga lösenord/koder och dylikt till domännamn.
Hur säkert är egentligen ett sådant system? Känns väldigt bedrägeri-vänligt.
Vad händer om någon förfalskar min namnteckning (för alla andra uppgifter som fylls i på blanketten kan slås upp)? Att förfalska en namnteckning är nog egentligen inte svårt. Låt oss säga att "domännamnsrånarna" har en kopia på min namnteckning. De fyller sedan i en överlåtelse för ett domännamn som jag äger på sig själva och skickar in. Domänen förs över på dem. Jag blir inte ens informerad från IIS via e-post om en överlåtelse sker, detta är ennu en sak som är dålig med dagens system. Jag kanske upptäcker sedan att min domän nu står på en annan ägare inom rimlig tid. Jag överklagar. Vad finns det i sådana fall för bevis att jag inte har skrivit under blanketten själv? Endast det, att jag säger att det är min domän och jag aldrig fyllt i blanketten? Vad finns det för bevis mot "domännamnsrånarna" i detta fall, att de har förfalskat en namnteckning? Kanske får jag till slut mitt domännamn tillbaka i en sådan situation (räkna på förlorade pengar medans domänen inte fungerade rätt), men de blir knappast fällda i domstol.

Vad jag syftar på är att man kanske borde se över hela överlåtelseprocessen: sluta med pappersblanketterna och sköta överlåtelser via webben med t.ex. BankID samt skicka bekräftelser på överlåtelse till den gamla samt till den nya ägaren.

Upp till diskussion!

[ztream]

Kan bara instämma i ditt tänk. Har själv funderat i samma banor.

Någon borde testa hur lätt det är att sno någon annans domän.

[hnn]

Det blir stöld (iofs. polisen tar inte fall som är under 500:-. Köpvärdet på en domän är trots allt 160:- ) samt urkundsförfalskning.


Alltinggratis:

Får jag din tillåtelse att "låna" din namnteckning och testa på en "dummy" domän?

[Timofey]

Citat:

Originally posted by hnn@Sep 6 2007, 15:31
Det blir stöld (iofs. polisen tar inte fall som är under 500:-. Köpvärdet på en domän är trots allt 160:- ) samt urkundsförfalskning.

Ja, men finns det ens bevis för stöld och urkundsförfalskning? Läs mitt resonemang ovan.

Denna kommentar fick jag av Loopia:

Citat:

Vi har vid ett upprepat antal tillfällen påpekat detsamma för II-stiftelsen.
Detta är dock det enda som vi kan göra då det är dem som har det sista ordet
i detta ärende.

[Nicklas]

Prata med ombudsföreningen om detta

[Timofey]

Nu kom ett svar från .SE (Stiftelsen för Internetinfrastruktur)

Citat:

Hej,

Det inkommer ca 50 överlåtelser per dag i snitt till .SE. Det är
mycket sällan det sker en förfalskning, dvs där någon förfalskar en
namnteckning och överlåter domänen på en annan person. Vi tittar på
alternativ till ny överlåtelserutin som förmodligen kommer att finnas
tillgänglig under 2008. I början av 2008 kommer vi erbjuda
certifikatinloggning för vår kunder vilket ökar säkerheten.

Det är mycket sällan ... låter inte så säkert. Och att ha certifikatinloggning som ett alternativ och inte obligatoriskt (så som jag förstod brevet) löser ju inte problemet.

Citat:

Originally posted by Nicklas@Sep 6 2007, 16:07
Prata med ombudsföreningen om detta

Vad är ombudsföreningen?

[Nicklas]

Läs här: http://www.registrars.se/

[design.se]

Alltså iis är roliga, de ger bort flera miljoner varje år i stipendier men nedprioriterar en så viktig sak som säkerhet vid domän överlåtelse. Snacka om amatörmässigt.

[Timofey]

Citat:

Originally posted by Nicklas@Sep 6 2007, 18:27
Läs här: http://www.registrars.se/

Jag har kontaktat dem nu med hänvisning till denna tråd.

[Timofey]

Citat:

Ursprungligen postat av hnn

Det blir stöld (iofs. polisen tar inte fall som är under 500:-. Köpvärdet på en domän är trots allt 160:- ) samt urkundsförfalskning.

Alltinggratis:
Får jag din tillåtelse att låna din namnteckning och testa på en dummy domän?

Alltså en bedragare behöver inte ens vara med i bilden.
Låt oss säga att det finns 3 konkurrerande webbsidor: A, B och C.
Ägarna av dessa är a, b och c respektive.

Person a skriver under en domänöverlåtelseblankett som ser ut att komma från person b, där b överlåter domännamnet B till person c som äger sidan C.
Blanketten kan omöjligen spåras tillbaka till person a, eftersom han varken är mottagaren eller den tidigare ägaren av domännamnet. Däremot blir person b misstänkt för urkundsförfalskning.
Hur denna historia än slutar så har a vunnit på kuppen och till hans sida A vänder sig nu fler kunder, eftersom de antingen inte kunde komma in på sida B, eller har läst om misstankar mot person b som driver sidan B. Dessutom kan sida C på samma sätt överlåtas till person b, för att skapa ännu mer trubbel för båda ägarna och sidorna.

Citat:

Ursprungligen postat av design.se

Alltså iis är roliga, de ger bort flera miljoner varje år i stipendier men nedprioriterar en så viktig sak som säkerhet vid domän överlåtelse. Snacka om amatörmässigt.

Jag ska absolut ha stipendiet för att jag lyfter den här frågan!