Vlákno názorů k článku CZ.NIC: nový výzkum zájmu o domény s národními znaky od petr_p - Podle mne je nesmysl, ze by admini meli...
-
petr_p (neregistrovaný)Podle mne je nesmysl, ze by admini meli s necim problem. IDN je totiz problem na strane klienta. Servery prece pouzivaji punycode. Takze tam si vystacite se svym oblibenym US-ASCII.
Pokud se podivame na klientskou stranu, tak tam problem nastava pouze v pripade, ze se uzivatel snazi zadat domenove jmeno v prostredi, kde psani urcitych znaku je problematicke.
V ostatnich pripadech se jedna o problem ciste netechnicky (napr. clovek nezna cizi abecedu). A majitel webu by si mel uvedomit, zda ma zajem o zahranicni navstevniky a zda chce vyjit vstric domacimu publiku. Oba pristupy se nevylucuji. -
lojza (neregistrovaný)A taky je to jeste trochu problem bezpecnostni. Nebo uz je to nejak vyreseno ? Kdyz mate v domenovem jmene napr. pismenko a, tak v nekterych abecedach muze existovat podobny znak (trea v azbuce), ktery vypada skoro stejne a nestesi je hotovo. Pak vam nejaky podvodnik posle odkaz www.banka.cz, kde bude nejake 'a' veskutecnosti 'a' z jine abacedy, uzivatel nema sanci to poznat, klikne na to a je vymalovano. Kdo na tom ziska ? Ruzni marketingovi carodejive, par spekulantu a mraky podvodniku. Co ziska uzivatel (pro ktereho by to jako melo byt), to netusim.
www.banka.cz
www.bankа.cz (druhe a by melo byt jinak, viz zdrojak stranky) -
lojza (neregistrovaný)No nevi. Kdyz si nekdo zaridi podvodnou domenu s pouzitim opticky stejne vypadajicich znaku, tak neni problem, aby jsi pro ni koupil certifikat jaky si zamane. Prohlizec certifikat vezme a uzivatel pozna podvod pouze zkoumanim certifikau. Kdyz by se podvodnik o neco smazil DNS spoofingem, tak vytvorit nejaky verohodne vypadajici certifikat je vetsi problem. Navic DNS spoofingem lze podvadet pouze po mistne (a casove) omezenou dobu (utok smerovany na par jedincu), kdezto falesnou domenou lze "ospamovat pulku zemekoule".
Zavedeni hacku a carek usnadnuje podvodnikum zivot (= rizika se zvetsuji) -
Palo (neregistrovaný)Ty hulis hrozne veci. To ako kazdy web ktory na mna chce hovorit SSL mam overovat niekde v novinach? Lebo podsunut na webe stranku s pozmenenym fingerprintom uz asi nie je problem.
To sa na tie UTF-8 znaky mozme radsej vykaslat a spolahnem sa ze to co vidim v URL je to odkial mam aj certifikat a ak maju podpis od Verisign tak viem ze je to existujuca overena firma.
To ako cele certifikacne autority a s tym spojeny handling chces zahodit? -
petr_p (neregistrovaný)Zapominate na muj puvodni predpoklad "pokud bude zajem overit totoznost". Jestli vas nezajima totoznost protejsku, tak to prece resit nemusite.
SSL, jako protokol, pouze zarucuje, ze druha strana, vlastni soukromy klic nalezici k verejnemu klici. Overeni verejneho klice je ponechano na uzivateli.
Jina vec je, ze uzivatel je strasne liny, a tak overeni verejneho klice prenasi na certifikacni autoritu. Pak je ale otazka, jestli veri CA (napr. souhlasi s politikou CA) nebo ji ma nejak jinak overenou. Cely problem se tak presouva o patro vyse.
Vite, podle vizionaru, co navrhovali PKI, mel byt dnes svet lepsi a bezpecnejsi. Ale neni tomu tak, protoze PKI vubec nefunguje. Misto toho tu mame mnoho soubeznych malych PKI, ktere si navzajem neveri. A tak je to dobre. Vynutit duveru totiz nelze. -
Palo (neregistrovaný)Ale ako chcete overit totoznost protejsku? Bude sa vytlacat kazdy piatok fingerprint vsetkych webov v novinach? Prosim odpovedzte.
A samozrejme ze autorita ju overuje. Viem ze ked ma niekto podpis od Verisign tak na e-maile uvedom v certifikate naozaj ta firma sidli a na tej adresa sa nachadza. Naviac je to osetrene legislativne. Ako si to vy dokazete overit aspon na tej urovni ako Verisign? -
petr_p (neregistrovaný)Sam jste na to odpovedel. Budto verim autorite a pak musim resit, jestli mam pravy certifikat autority, nebo nejakym postranim kanalem overim spravnost verejneho klice.
V obou pripadech skoncim na overovani verejneho klice na vrchu hierarchie duvery pomoci jinych prostredku (noviny, telefon, osobni setkani, reputace pseudonymu).
Pouziti CA je kompromis mezi bezpecnosti (mohu verit CA?) a pohodlnosti (nemusim overovat vsechny listove klice, staci koren kazde PKI). -
Palo (neregistrovaný)To ale jasne nahrava tomu aby som to robil cez CA. Deje sa to automaticky. Existuju revokacne listy a nemusim zakazdym ked vleziem na nejaky SSL hned ho niekde overovat. Iste to ten Verisign robi lepsie nez by som si to aj pri maximalnej snahe urobil ja. A dovere vo Verisign je u mna vyssia ako dovera v hociktoreho zamestnanca slovenskej banky.
-
PEPP (neregistrovaný)Podle me se tohle da vyresit celkem snadno tak, ze CZ.NIC povoli pouze ceske znaky, tudiz www.bankа.cz (druhe a by melo byt jinak) nebude v domene mozne, a banka.cz a www.bankа.ru uz jsou dve naprosto viditelne rozdilne adresy.
Nicmene ja bych IDN tez nezavadel, komu soucasny stav vadi? -
lojza (neregistrovaný)A co kdyz si zde bude chti zalozit pobocku ruska banka pro Rusy z Karlovych Varu? Nebo (obecny problem narodnich abeced) co s Ruskem ? To tam zakazete azbuku ? Nebo tam naopak zakazete latinku ? Nemluve o domenach .com .org a pod.
Boj proti podonmym podvodum bude znamenat, ze majitele domen si budou muset zaregistrovat domeny s hacky i bez hacku, pripadne ruzne mezistavy. Bylo by fajn kdyby je NIC daval zadarmo, ale to by pak cela vec ztratila smysl :-)
Nezbyva doufat, ze NIC si vezme tento vyzkum k srdci a diakritiku do domen nezavede. Nebo to dopadne "poevropsku", tj. tak ze se hlasovat (a masirovat) se bude tak dlouho, dokud nevyjde to co je naplanovane.
