Sunday 14 March 2010

Problemy z kodami AuthInfo

Opis problemu
W związku z pojawiającymi się doniesieniami od naszych klientów (abonentów domen), iż pojawiają się problemy z otrzymywaniem kodu AuthInfo[1] od obsługujących ich Partnerów NASK, zastanawiam się, czy nie wprowadzić dodatkowej możliwości otrzymania kodu AuthInfo bezpośrednio z NASK.

Sposób dostarczenia AuthInfo
Do wyboru jest praktycznie tylko e-mail oraz poczta tradycyjna. E-mail niesie za sobą zagrożenie ujawnienia treści korepondencji osobom niepowołanym, chociaż jest stosowaną praktyką w niektórych rejestrach. Rejestry .EU .SE czy .CZ przesyłają kod AuthInfo właśnie poprzez niezabezpieczony e-mail, co wiąże się z ryzykiem ujawnienia treści maila "po drodze" od Rejestru do Abonenta. Z kolei inne rejestry, jak chociażby .DE (DENIC), stosują metodę, gdzie AuthInfo jest wysyłane przez Rejestr listem poleconym za odpowiednią opłatą.

Będę wdzięczny za Państwa uwagi i opinie w tej sprawie. 

Post ten ma jedynie charakter sondażowy i nie oznacza, że NASK wprowadzi opisany pomysł w życie. Cóż, kto nie pyta, nie dostaje odpowiedzi ;)

Przypisy
[1] Kod AuthInfo to specjalny unikalny kod (hasło) przypisane domenie Internetowej w systemie NASK. Kod AuthInfo umożliwia m.in. dokonanie transferu domeny pomiędzy dwoma Partnerami NASK. Brak kodu AuthInfo pozbawia abonenta domeny możliwości zarządzania tą domenę, w szczególności przeniesienia się do Partnera oferującego np. tańsze usłgi. 

32 comments:

  1. Rozumiem ze automatycznie promocje 1zł musiałyby się zakończyc poniewaz rejestrator niejako niemoglby bronic sie brakiem wydania kodu authinfo bez ówczesnej oplaty np. za przedluzenie ? W momencie wprowadzenia czegos takiego takie praktyki musialyby sie skonczyc - dobrze rozumiem ?;-)

    ReplyDelete
  2. Biorąc pod uwagę zapisy umowy, to już dzisiaj Partner MUSI wydać AuthInfo abonentowi bezzwłocznie, nie może uzasadniać tego brakiem opłaty. To nie znaczy, że nie może Partner dochodzić swoich należności za wydanie AuthInfo w terminie późniejszym (już po wydaniu AuthInfo).

    Co do promocji za 1 zł. Ta praktyka może się dalej utrzymać - i zapewne się utrzyma niezależnie od cen NASK. Zakładając hipotetycznie, że wydanie AuthInfo będzie kosztowało 20 zł + VAT, to oznacza, że Abonent musi sobie przeliczyć czy mu się to opłaca. Bo jeśli np. Renew u jego Partnera będzie kosztowało 60 zł to gdzie tu biznes dla Abonenta? Zapłaci 20 zł i przeniesie się tam gdzie renew będzie kosztowało powiedzmy 50 zł, co będzie oznaczało, że total cost renew wyniesie w efekcie 70 zł...

    Raczej to spowoduje obniżkę ceny renew na rynku niż migracje pomiędzy Partnerami lub koniec promocji domen za 1zł.

    ReplyDelete
  3. Andrzeju z Twojej wypowiedzi wynika ze kupujac domene w promocji (akceptujac wew. regulamin) partner jednoczesnie lamie zasady NASK nakazujac pozniejsza oplate za wydanie kodu authinfo ? W momencie wprowadzenia takiej opcji o ktorej pisales na blogu jezeli kupilbym domene w super promocji aka domeny*pl to moglbym napisac do NASK o udostepnienie kodu authinfo i przeniesc domene do innego rejestratora ?

    PS. Poza tym dopiero teraz napisales ze taka usluga mialaby byc platna ;-)

    ReplyDelete
  4. Jestem jak najbardziej za pójście w ślady innych rejestrów, które udostępniają kody AuthInfo do domen.

    Takie wydanie kodu powinno być jednak bezpłatne, a kody przesyłane na email podany w WHOIS dla domeny.

    Obecnie procedury, które narzucają niektórzy rejestratorzy, specjalnie utrudniają tylko zmianę rejestratora domen. Przeciętna osoba "zginie" w gąszczu dokumentów, które ma dostarczyć. Często zwykłe lenistwo sprawia, że machamy ręką i kolejny rok przepłacamy za domenę, chociaż moglibyśmy ją taniej odnowić u konkurencyjnego Partnera NASK.

    ReplyDelete
  5. Andrzeju..
    Kiedys chcialem podsunac takie rozwiazanie, ale sam nie wierzylem ze NASK moze je wprowadzic. Dla mnie to fantastyczna wiadomosc otrzymywanie kodu authinfo na maile, poczta badz premium SMS na telefon ktory jest podany w danych do rejestracji (o ile to komorka). Fajnie by bylo gdyby byla taka mozliwosc.

    Dobrze by bylo aby NASK mial u siebie rowniez panel do obslugi domen - taki jak .eu albo np: CIRA dla domen .ca

    POPIERAM W 100% wydawanie kodu autoinfo przez NASK i nie moge sie doczekac!!

    ReplyDelete
  6. Rozumiem, że authinfo wydawane bezpośrednio w NASK będzie płatne 20 zł. Czyli NASK znalazł sobie kolejne źródło finansowania i bardzo go boli, że partnerzy aż 60 zł zarabiają na odnowieniu domen i bardzo pragnie ubić ten zarobek do 20 zł. Gratuluję, pomysł naprawdę świetny!

    ReplyDelete
  7. Partner może żądać opłaty za wydanie AuthInfo, nie może jednak uzależniać wydania AuthInfo od DOKONANIA opłaty. Innymi słowy, może (musi) np. wydać AuthInfo i później dochodzić należności.

    Mam wielkie obawy co do bezpieczeństwa przesyłania kodów AuthInfo mailem. To otwarty tekst, który KAŻDY może podłuchać. Dlatego też np. banki nie stosują maila do przesyłania np. hasła. Te rejestry które wykorzystując kanał e-mail do przesyłania AUTHINFO dużo ryzykują. Mam wątpliwości, czy to uzasadnione ryzyko, chociaż wiem doskonale, że to najlepsza i najtańsza metoda. List polecony ma natomiast tą wadę, że obsługa wysyłania kosztuje - koszt przygotowania korespondencji i koszt przesłania. Do tego dochodzi opóźnienie wynikające z charakteru samej poczty.

    Co do ewentualnych kosztów usługi to nie liczyłem ile to może kosztować. 20 zł to przykład, ale biorąc pod uwagę nakład pracy + koszt wysyłki, to całkiem realna wartość.

    Co do tego co boli NASK, to nie boli NASK, że Partnerzy zarabiają 60 zł na renew. Mogą zarabiać nawet 600 zł (a tak się składa, że jest taki Partner...). Boli mnie to, że ograniczają możliwość przenoszenia się od Partnera do Partnera. Rozumiem że można konkurować jakością i ceną, ale nie powinno się konkurować poprzez OGRANICZANIE możliwości przenoszenia się.

    ReplyDelete
  8. Możliwość pozyskania authinfo z pominięciem problematycznego rejestratora byłaby (mam nadzieję że: będzie) bardzo dobrą funkcjonalnością. Myślę że znalazłoby się wielu chętnych nawet do pobrania authinfo za dopłatą, ale chyba jednak lepszym wyjściem będzie udostępnienie tej funkcji bezpłatnie, przy pełnej automatyzacji (wysyłka mail/sms). Warto jednak dobrze przemyśleć sposób autoryzacji, np. co w przypadku gdy firma ma 10 domen, mail wykorzystany przy rejestracji jest w jednej z nich i ona wygasa? Ktoś kto ją przejmie mógłby "spróbować szczęścia" i pozyskać authinfo pozostałych dziewięciu? Przy autoryzacji mail+sms ryzyko znacznie spada, ale nie wszyscy podają telefon, tym bardziej komórkę. Zasadniczo myślę że potrzeba by tu było dodatkowego zabezpieczenia na etapie rejestracji (np. tworzenie panelu klienta w dns.pl i wysłanie danych do logowania przez automat dns.pl od razu przy tworzeniu kontaktu - potem z tego panelu dostęp np. do authinfo wszystkich domen właśnie), zanim jeszcze będzie wprowadzona funkcja o której mowa w tym poście.

    ReplyDelete
  9. Jak już ten email taki straszny to zawsze jest SMS. Mniej straszny?

    ReplyDelete
  10. PPD - pomysł z panelem sprowadza się do tego, że NASK zastąpiłby Partnera, a tego chyba chcemy uniknąć. Opcja z SMS wydaje się prostsza i chyba bezpieczniejsza.Ma tą wadę, że Partnerzy nie muszą podawać numeru komórkowego abonenta.

    ReplyDelete
  11. Jeśli piszę bzdury to możecie ten komentarz usunąć.
    Rozumiem, że kod AuthInfo nadawany i generowany jest przez rejestratora. Kody, które byłyby dostępne w NASK musiałyby być jakimiś nad-kodami (kodami najwyższego rzędu, poziomu), czyli duplikowanie pewnych danych. Moja propozycja jest następująca:
    1. Partner - rejestrator nie ma wglądu do kodów, nie musi ich generować, zmieniać, "utrzymywać" bazy takich kodów - to wszystko byłoby w bazie NASK.
    2. NASK zobowiązuje (wdraża u) partnerów do udostępnienia (poprzez komendę w EPP) możliwość uzyskania kodu AuthInfo dla klienta w panelu danego rejestratora - podobnie jak możliwość rejestracji, testowania czy rezerwacji domeny.
    3. NASK rozlicza się z Partnerem a Partner z Klientem ewentualnymi kosztami za udostępnienie kodu - to opcja w przypadku tych rejestratorów, którzy każą sobie płacić za taką usługę.
    Wnioski:
    1. Jest jeden, jedyny kod AuthInfo dostępny w NASK.
    2. Dystrybucja kodów odbywa się li tylko w panelu klienckim u rejestratora - brak przesyłek mailowych czy SMS-owych.
    3. Klient/abonent domeny nie jest odsyłany od partnera do NASK, nie musi "błądzić" po sieci celem uzyskania kodu.
    4. Wzrasta świadomość abonentów o możliwości "przenoszenia" domen - podobnie jak z przenoszeniem numerów komórek.
    5. Nie ma konieczności implementacji panelu płatności - partnerzy już takowe mają. Kwestię rozliczeń pozostawiam otwartą - z naciskiem na "bezpłatną".

    ReplyDelete
  12. 2) ee, o to chodzi by się z partnerem w ogóle nie musieć spotykać w celu uzyskania authinfo (ale jak ktoś chce to może i przez partnera)
    3) nie byłby wtedy odsyłany - mógłby nadal przez partnera
    5) to detal

    ReplyDelete
  13. Fakt jest taki, że najwięksi gracze nawet łamią zapisu z umowy z NASK która ich wiąże. Przykładowo home.pl nie wyda kodu bez przedłużenia domeny zakupionej w promocji. Nie wiem dlaczego NASK nie interweniuje w tej sytuacji - największy partner który JAWNIE łamie prawa Abonenta. Nazwa.pl przykładowo już tego nie robi i kody wydaje jednocześnie informując o konieczności przedłużenia usługi. Az.pl jeśli nie dopłacisz do kodu również go nie wyda, więc znów JAWNE łamanie zasad NASK.

    Rozwiązanie proponowane przez Andrzeja. Wszystko OK ale Partnerzy musieliby mieć zablokowaną możliwość edycji kodu (bo co z tego że NASK wyda kod jak partner może go zmienić). Druga kwestia kluczowa dla tematu to wysyłka. E-mail moim zdaniem absolutnie odpada ze względów bezpieczeństwa (pamiętajcie o catch-all'ach oraz możliwościach podsłuchu wiadomości). Wysyłka pocztą to byłoby dla NASK ogromne obciążenie czasowe i personalne w związku z tym opłaty są praktycznie konieczne i pytanie czy te właśnie opłaty nie uśmiercą tematu i sensu całej akcji.

    @DomeNBrokeR.pl - rozwiązania abstrakcyjne. Weź pod uwagę, że część partnerów to fikcyjne konta na własne potrzeby lub do łapania domen, które mają jedynie strone informacyjną z zaślepką. Chcesz na nich wymusić interfejs do pobierania kodów zgodnych z kodami NASK? Życzę szczerze powodzenia.

    Kolejna kwestia - kody na SMS - absolutnie odpada ze względów wymienionych powyżej.

    Panel dla "end-usera" ma już EurID i powiem Wam, że to może i dobre rozwiązanie ale trochę nie fair wobec Partnerów. Po to jest Partner żeby całkowita obsługa odbywała się u niego. Tymczasem obecnie Abonent domeny .eu może namieszać przez "End-user extranet", a w razie czego EurID umywa ręce i zaleca kontakt z Partnerem. Wóz albo przewóz Panowie, a nie takie rozdrabnianie.

    Może gdyby NASK wyciągał stanowczo konsekwencje wobec Partnerów to tematu by w ogóle nie było?

    Pozdrawiam,
    amfre

    ReplyDelete
  14. Popieram aby Abonent mógł pobrać AuthInfo do swoich domen bezpośrednio z NASK bez pomocy partnera u
    którego jest domena. Najlepiej by było, gdyby na stronie dns.pl Abonent wypełniał formularz, podając np.
    1. nazwę domeny
    2. email zgodny z tym w rejestrze
    3. captcha
    I wtedy system automatycznie po kilku minutach na ten email wysyłałby
    link do systemu NASK, pod którym będzie dostępna strona, która pokaże kod AuthInfo (w logu zostanie IP komputera, który pobrał kod AuthInfo - to w razie ewentualnych reklamacji).

    lub

    1. domena
    2. numer telefonu
    3. captcha

    System wysyła smsem kod AuthInfo na podany numer (zgodny z administracyjnym w rejestrze).

    Wysyłanie papierowe to przeżytek, podobnie jak rejestracja domen faxem, jestem przeciw.

    Popieram natomiast propozycję obniżenia cen odnowień w 2011 roku, do 20zł netto za domenę .pl. Proponuję też aby NASK zapytał w ankiecie jaka cena byłaby według partnerów oczekiwana, 5, 10, 15, 20, 30, 40
    zł/domena/rok.

    Ams

    ReplyDelete
  15. Częściowym rozwiązaniem problemu byłoby wysyłanie abonentowi mailem samego kodu, bez nazwy domeny. Wtedy w razie podsłuchania i tak ryzyko wykorzystania informacji byłoby dużo mniejsze. No chyba że adres mail byłaby już wtedy w innych rękach i ta sama osoba zleciłaby wydanie authinfo (vide mój wcześniejszy komentarz).

    Innym sposobem byłoby wysyłanie w chwili rejestracji domeny, z automatu DNS, specjalnego kodu, którego można by potem użyć na stronie dns.pl do wyświetlenia aktualnego authinfo - również bez podawania nazwy domeny, dla bezpieczeństwa. Wtedy przy wydawaniu kodu całkowicie eliminuje się kanał mail/sms, ale problemem pozostanie kwestia przechowywania kodów dostępu przez samych użytkowników. Jak znam życie: jeden zgubi, drugi zepsuje, a trzeci niechcący roześle wszystkim znajomym...

    @AB: nie chodziło mi o tworzenie na dns.pl panelu do zarządzania domeną, a jedynie mikropanelu do pobierania authinfo. Myślę że taka polityka dobrze wpisałaby się w trend dbałości o bezpieczeństwo domen – w razie gdy rejestrator nie daje znaku życia lub zaczyna kombinować, trzeba działać szybko by nie stracić domeny, a pobranie authinfo bezpośrednio z rejestru takie działanie by umożliwiło.

    PS. Bardzo mnie cieszy że odnowienia od 2011 będą po 20 zł netto.

    ReplyDelete
  16. No te odnowienia za 20 zł netto to w końcu dobry krok! Brawo P. Andrzeju!

    ReplyDelete
  17. @DomeNBrokeR.pl: Tak, raczej byłby to niezależny kod AUTHINFO tylko do transferu. Inaczej NASK wysyłałby list polecony a w tym czasie Partner zmienić kilka razy AUTHINFO w bazie NASK (efekt wiadomy). Co do zobowiązania Partnera do udostępniania AUTHINFO przez JEGO panel to nie ma to sensu według mnie. Umowa JUŻ obecnie zobowiązuje Partnera do udostępniania kodu AUTHINFO i co? Nie zawsze funkcjonuje w praktyce. Gdyby funkcjonowała to cała ta dyskusja nie miałaby sensu.

    @amfre: zgadzam się w całej rozciągłości... problem jaki mamy to taki, że Abonenci się nie skarżą na piśmie - jak mam wyciągnąć konsekwencję wobec Partnera jeśli Abonent nie chce (boi się?) napisać reklamacji na PAPIERZE. Przecież nie rozwiążę z Partnerem który ma np. 300.000 domen umowy, albo nie nałożę kary, jeśli nie mam dowodów na łamanie umowy.

    PISZCIE REKLAMACJE NA PIŚMIE DO NASK - INACZEJ NIE BĘDZIECIE MOGLI DOCHODZIĆ SKUTECZNIE SWOICH PRAW!

    @ams: też nad tym myślałem - sprawdzanie zgodności wpisanych danych z tymi posiadanimy przez NASK i niejawnymi w WHOIS (czyli np. e-mial) i wtedy wysyłka albo MAILEM albo LISTEM POLECONYM (do wyboru). Problem w tym, że weryfikacja powyższych danych nie gwarantuje że zgłasza się po domenę faktycznie Abonent, bo np. e-mail'a można zgadnąć wybierając chociażby ten wyświatlany np. na stronie WWW Abonenta (pod daną domeną).

    @PPD - kwestia wysyłania kodu w momencie rejestracji domeny - moim zdaniem to nic nie zmieni jeśli chodzi o bezpieczeństwo - e-mail to e-mail. Co gorsza, co się stanie jak Abonent zgubi taki kod - będzie musiała istnieć "przypominajka", co sprowadza się do wysyłania kodu AUTHINFO na każde żądanie.

    @anonymous: Tak, też mnie cieszy obniżka cen odnowień od 2101 roku do 21,01 zł :D

    ReplyDelete
  18. A może taki algorytm:

    Abonent wypełnia na stronie NASK swoje dane, wpisując m.in. adres e-mail. System NASK porównuje wprowadzony e-mail z posiadanym adresem e-mail w bazie NASK. NASK wysyła na adres e-mail kod do potwierdzenia, że jest w posiadaniu tego e-mail'a. Abonent przeklepuje kod z e-mail do strony NASK.pl. Następnie Abonent dostaje możliwość wyboru sposobu dostarczenia kodu AUTHINFO do transferu albo list polecony albo SMS na posiadany w bazie NASK telefon. W przypadku opcji z listem, NASK pobiera opłatę powiedzmy 10 zł. W przypadku SMS jest to opłata np. 5 zł jak za premium SMS.

    ReplyDelete
  19. Jest też mozliwość zastosowania metody którą stosuje rejestr .NL. Polega ona na tym, że jeśli Registrar odmawia wydania kodu auth-info to Registrant składa reklamację do rejestru. Następuje ręczna weryfikacja zgłoszenia przez Rejestr i następnie Rejestr wysyła kod AUTHINFO do nowego (przejmującego) Registrara.

    ReplyDelete
  20. Jeśli nie przejdzie przesyłanie AuthInfo emailem (zrozumiałe są tutaj kwestie bezpieczeństwa i można mieć pewne obawy) to faktycznie można wprowadzić przesyłanie listem poleconym na adres z WHOIS.

    Opłata nawet niechby była te 20 zł - płatne kartą. Ale w tej cenie można byłoby zamówić np. do 100 kodów jednorazowo. Przy wysyłce jednym listem koszty dla NASK byłyby takie same (koszty tonera i dodatkowa karta papieru to raczej nie problem). Przy kilku domenach to już by się opłacało, zresztą przy jednej też.

    ReplyDelete
  21. Wprowadzenie zasad takich jak w przypadku CZ czy DE jest PILNIE POTRZEBNE i rozwiązałoby problem z nieuczciwymi praktykami ze strony rejestratorów. Ludzie są ciągle oszukiwani promocjami domena za 0 zł czy 1 zł, a potem jak przyjdzie co do czego to trzeba płacić za wydanie kodu authinfo. Dość oszukańczych praktyk ze strony rejestratorów - powinny być klarowne zasady rejestracji . Niektórzy rejestratorzy utrudniają wydanie kodu authinfo nawet dla domen niezarejestrowanych w promocji. Przykre jest to ze NASK nawet nie reaguje w takich sytuacjach (pisaliśmy kiedyś wielokrotnie - odp NASK: "proszę załatwić to z rejestratorem" ) Który z rejestratorów w cywilizowanych krajach wymaga skanu dowodu osobistego lub wymaga opłat za wydanie kodu authinfo ? Tylko w PL niestety takie rzeczy się zdarzają.
    System wysyłania kodów authinfo przez e-mail działa w innych krajach i nie ma z tym problemu. Niech NASK w końcu coś z tym zrobi. Dość oszukiwania klientów przez rejestratorów.

    ReplyDelete
  22. Nie doczytałem wcześniej ze NASK znowu chce się nachapać albo dać się nachapać innym rejestratorom przy okazji nowych zmian. 20 zł , pewnie jeszcze netto? po 20 zł to powinny być domeny PL jeżeli naprawdę zależy wam na rozwoju .PL. Co do treści artykułu i ku ścisłości: DENIC wysyła kody autinfo BEZPŁATNIE i zawsze LISTEM ZWYKŁYM. Właśnie wczoraj przyszło do mnie 6 listów z Frankfurtu. Żaden rejestrator nie ma szans aby zablokować wydanie kodu authinfo. Tak jest w wielu krajach i tak powinno być w PL ale znając życie na pewno długo nie będzie.

    ReplyDelete
  23. Nie rozumiem, z jakiej racji NASK miałby pobierać dodatkową opłatę za wydanie kodu authinfo od abonenta. Abonent płaci NASKowi pośrednio 40 PLN netto rocznie za utrzymanie swojej domeny. Usługa przysyłania informacji umożliwiającej przeniesienie domeny do innego rejestratora powinna być objęta w tej cenie. Aby nie doprowadzić do nadużyć, wystarczy zrobić limit jednorazowego wydania kodu authinfo w formie listu bezpośrednio na życzenie abonenta. Każde dodatkowe zamówienie byłoby związane z kosztami.

    Jeżeli DENIC, który na przedłużeniu domeny .de zarabia ok. 2 EUR rocznie, potrafi coś takiego zrobić, to chyba NASK tym bardziej? Siła robotnicza w Polsce jest znacznie tańsza, a NASK zarabia na utrzymaniu jednej domeny ponad 5 razy więcej.

    ReplyDelete
  24. Ciekawi mnie czy ten sam sposob pozyskiwania z NASK kodów authinfo dotyczylby autinfo dla domen obslugiwanych u partnerów czy również dla tych które jeszcze pozostały w NASK i ktoś chciałby z NASK wytransferować się gdzie indziej. Póki co trzeba składać wniosek przez stronę (w odpowiednim czasie), przesyłać dokumenty itp. A co ciekawe NASK nie pozwoli na transfer jeśli klient ma jakieś niezapłacone należności, które najpierw musi uregulować. Czy to aby nie jest uzależnianie wydania kodu authinfo od takich czynników jak opłaty?

    ReplyDelete
  25. Popieram pomysł, z następującymi zastrzeżeniami:

    * Tak jak rozmawialiśmy w poniedziałek na spotkaniu, cena powinna wynosić około 10 zł :-P Połowa z tego to koszt listu poleconego, więc narzut 5 zł na ręczne prace związane z wysyłką listu można przyjąć. Narzutu 15 zł absolutnie nie :-)

    * Powinna być istotnie możliwość wysłania AuthInfo do wielu domen naraz - nie zajmą wiele miejsca na kartce, a to duża oszczędność pracy, czasu i papieru. Oczywiście cena powinna być niższa dla hurtowych zgłoszeń (np. 9 zł opłaty startowej + 1 zł za każdą domenę, wtedy dla jednej domeny mamy 10 zł, a dla stu domen 109 zł).

    * Trzeba rozważyć możliwość wysyłania AuthInfo za pomocą do nowego rejestratora tak jak dla domen obsługiwanych przez NASK. Aczkolwiek dochodzi tutaj problem uwierzytelnienia czy osoba żądająca jest faktycznie abonentem tych domen.

    ReplyDelete
  26. Jaka cena ludzie ???? Widać NASKowi zależy na zatrzymaniu rozwoju internetu w Polsce. Tak jak Wendrowski napisał, DENIC zarabia na jednej domenie 2EUR!! a NASK 5x tyle. Chcecie jeszcze opłat za to? Listy ? Ludzie mamy 21 wiek, rozwój, ekologia itp. Cały proces powinien być automatyczny, kody powinny być wysyłane na maila, inni rejestratorzy tak robią np. GDaddy wysyła kody AuthInfo na maila i nie ma z tym problemu. Jak ktoś będzie chciał się włamać na konto mail to może to nawet teraz zrobić, z ta przewaga ze maile osób prywatnych nie są pokazywane we whois dla pl dla globalnych owszem. Więcej biurokracji więcej papierków, więcej ściętych drzew. Polska to bardzo bogaty kraj - stać nas na domeny za 50 PLN oraz na listy od NASK za 20 PLN.

    ReplyDelete
  27. 1. Skoro są nieuczciwi Rejestratorzy to czemu nie ma na nich reklamacji? Bo NASK weryfikuje każdą pisemną reklamację.

    2. Nieszyfrowany mail nie jest sposobem na bezpieczne dostarczanie kodów AuthInfo. To, że robi tak GoDaddy to nie znaczy, że jest to słuszne. Widocznie Zarząd i właściciele GoDaddy gotowi są wziąć na siebie odpowiedzialność za ewentualne szkody, poniesione przez Abonentów firmy.

    3. DENIC pobiera opłatę równoważną kosztom za wysłanie kodów listem poleconym ("rejestrowanym"). Taką informację uzyskałem od bezpośrednio od CEO DENIC.

    4. Jestem za procesem automatycznym pod warunkiem zachowania zasad bezpieczeństwa. Jedynym sposobem weryfikacji Abonenta byłby kwalifikowany podpis cyfrowy, bo tylko taki możemy uznać za równoważny podpisowi na papierze. Nie widzę powodów nie wysyłania kodów AUTHINFO nawet i e-mailem, o ile żądanie wysłania będzie pochodziło od osoby podpisanej kwalifikowanym podpisem. Wtedy to Abonent bierze na siebie odpowiedzialność.

    Dyskusja pokazała, że droga papierowa raczej odpada, a wysyłania przez e-mail bez szyfrowania NASK nie wdroży ze względów bezpieczeństwa. Pozostaje dotychczasowa metoda, czyli wydawanie kodów przez Partnerów.

    Oczywiście najlepiej aby to podmioty odpowiedzialne za wydawanie kodów AuthInfo czyli Partnerzy wywiązywali się z tego SWOJEGO obowiązku. Przez najbliższe miesiące będziemy weryfikowali jak proces przebiega. Jeśli okaże się, że faktycznie są problemy, będziemy wyciagali konsekwencje, w tym i rozwiązanie umowy, wobec Partnerów. Będę informował o przebiegu procesu, ile dostajemy reklamacji i czy były one zasadne. Jeśli reklamacji nie będzie wobec poszczególnych Partnerów, będziemy uznawali, że ich proces wydawania kodów AUTHINFO przebiega prawidłowo.

    ReplyDelete
  28. Ludzie, którzy maja z tym problem nie będą do was pisać żadnych reklamacji. Po pierwsze, założę się o 1000 zł ze co najmniej 95% rejestrujących domeny w nazwie, home czy az, nie wie nawet gdzie i do kogo się zgłosić z problemem (nie umieją przeczytać regulaminu rejestracji czy promocji a będą wiedzieć gdzie zgłosić reklamacje?. lol :P )
    Ci co będą wiedzieć co i jak to raczej nie zrobią , bo zakładają z góry, ze i tak nic z tym nie zrobicie (nie oszukujmy się, wiadomo jak się załatwia sprawy w Polsce: duży może zawsze więcej i nie liczy się ze zwykłym Kowalskim, poza tym za dużo z tym roboty: napisać list, iść na pocztę, odstać swoje....

    Chcecie więcej biurokracji, i "niby-zabezpieczeń" , które tylko podniosą koszty dla abonentów. Czy dla któregoś z rejestratorów gdzie kody wysyłane są mailem wyciekła kiedykolwiek jakaś domena, jeśli nawet było coś takiego to można zgłosić kradzież i po sprawie. Jeśli ktoś celowo ukradnie domenę PL i zgłosi to do nask z dokumentem tożsamości, dokumentem zakupu domeny itp itd, to co? Tylko wzruszycie ramionami? nic nie zrobicie? Serwery home czy nazwa były już nie raz kompromitowane. Tutaj nie pomogą nawet wasze cyfrowe podpisy. Jak ktoś będzie chciał ukraść domenę to i tak to zrobi, tylko ze nic z tego mieć nie będzie gdy ktoś zgłosi kradzież.

    Chodzi o to aby rejestratorzy wydawali kody od reki i za darmo, tak jak to jest w innych krajach a nie oszukiwanie klientów rejestracjami za 1 zł i opłatami za wydanie kodu authinfo oraz utrudnianiem jego wydania skanowanie dokumentów itp.

    Zróbcie coś dobrego i nie utrudniajcie życia innym. Niektórzy partnerzy NASK śmieją się z tych waszych "regulaminów NASK" czy innych ograniczeń i robią i tak to co chcą, kierując się własnymi regulaminami. :) Malujta dalej "wykresy" , zamiast wziąć się za solidną robotę. A jest jeszcze dużo do zrobienia.

    ReplyDelete
  29. @adammo:

    Argument, że nie wiemy o tym jakoby wyciekła informacja wysyłana mailem, nie jest niestety do przyjęcia dla NASK jako uzasanienie podjęcia ryzyka. NASK doskonale wie jaki poziom (nie)bezpieczeństwa zapewnia e-mail i doskonale też wiemy jak łatwo (1) przechwycić treść poczty elektronicznej oraz (2) jak łatwo zmienić treść e-mail dysponując dostępem do infrastruktury telekomunikacyjnej, a takim dostępem dyspionują chociażby nasi Partnerzy oferujący oprócz rejestracji domen także usługi np. kolokacji. Zdaję sobie sprawę i o tym już pisałem wczesniej, że niektóre rejestry jak chociażby rejestr .SE czy .CZ wysyłają kody AuthInfo mailem. Dużo ryzykują, ale to jest ich ryzyko i ich zarządów.

    Sam przyznajesz, że jeśli ktoś "ukradnie" domenę, to wystarczy że zgłosi się kradzież i... no właśnie, i NIC.

    Załóżmy taki scenariusz: Ktoś "kradnie" domenę dużego portalu. Ta "kradzież" następuje poprzez nielegalny transfer i cesję. Co robi więc taki Portal - zgłasza to gdzie, na Policję? I co zgłasza? Kradzież??? Oj nie. Domena to nie towar to usługa. Więc prawne pojęcie kradzieży nie istnieje. I mamy pierwszy problem... Policja i prawnicy poszkodowanego będą musieli ustalić co się właściwie stało i przekonać organa ścigania, że nastąpiło przestępstwo. To potrwa.

    Jeśli druga strona będzie dysponowała dokumentami, potwierdzi że miała AuthInfo, Partner wykaże się jakimiś dokumentami czy logami, to NASK nie będzie mógł "odzyskać" dla tego portalu domeny. Będziemy czekali na organy scigania.

    Ostatecznie zapewne sprawa zakończy się szczęśliwie, ale stracony czas to utracone pożytki dla takiego portalu. Tego już im nikt nie zwróci, bo okaże się że przestępcy, o ile zostana złapani, będą "biedni".

    NASK nie może na siebie brać tego ryzyka. Bo jesteśmy podmiotem kontrolowanym przez Państwo i nie mamy takiej swobody jak spółki, gdzie to właściciel i zarząd podejmuje ryzyko.

    Niezabezpieczonym e-mailem nie wyślemy AuthInfo bo MY nie jesteśmy samobójcami. Wygoda Abonentów nie może być stawiana wyżej niż bezpieczeństwo usługi jaką jest utrzymaniem domeny .PL.

    ReplyDelete
  30. to moze inne rozwiazanie - partner uzyskuje kod authinfo do domeny przez EPP, wiec nie bedzie problemem stworzenie dodatkowej opcji w panelu partnera aby klient mogl automatycznie pobrac kod ze strony po zalogowaniu sie na swoje konto, a samo wymuszenie takiej funkcjonalnosci byloby zagwarantowane poprzez regulamin NASK-Partner.
    Wiem ktos zaraz powie ze co w przypadku gdy jakis partner nie bedzie rejestrowal domen online a w jakiejs innej formie, choc to malo realne ze nie bedzie obslugi online, to dodac zapis regulaminowy ze jesli partner oferuje wersje rejestracji online to ma rowniez oferowac wydanie kodu.

    fakt w tym momencie nie bedzie zarobku ze strony NASK, ale moze skoncza sie niedomowienia dotyczace wydawania kodow, bo albo Partner udostepni to klientowi, ale nie bedzie Partnerem, a chyba nie bedzie chetnych ktorzy ewidentnie niezastosuja sie do regulaminu

    ReplyDelete
  31. eurodns.com - jeden klik w panelu, za 10 min kody na mailu... free... nic dodac nic ujac
    ja teraz bujam sie z haraczem 99,00 netto za wydarcie kodow do domeny *.com od "rejestratorka" domeny.pl. wiem ze tu rozmowa o NASKowych domenach. ale zasada taka sama. aha... dla jasnosci, domena nie jest na zasadach promocyjnych. dla zaciekawionych szerszy opis:
    http://forum.ks-ekspert.pl/topic/132933-opinia-o-domenypl/

    ReplyDelete
  32. Z eurodns racja.

    No cóż, nie pracuję od roku w NASK, więc Ci nie mogę pomóc z domeny.pl

    W przypadku dalszych problemów z domeny.pl, sugeruję kontakt z Dyrektorem NASK, panem mgr Chrzanowskim.

    ReplyDelete