Hlavní navigace

Názor ke zprávičce Podvodný e-mail napodobuje Českou poštu od Miroslav Šilhavý - Mně nezajímá, že rozesílacího robota spustil Franta Vopršálek,...

  • 19. 10. 2020 14:02

    Miroslav Šilhavý

    Mně nezajímá, že rozesílacího robota spustil Franta Vopršálek, toho času správce IT čtvrté kategorie. Mně zajímá, že ten robot opravdu rozesílá e-maily z domény cpost.cz. Že je to opravdu Česká pošta můžu řešit někdy potom, ale ve většině případů mi to bude úplně jedno.

    Tady máte zcela chybnou úvahu, která je možná technikovi blízká, ale není šťastná v souladu s právem (a ani s praxí). Právnická osoba je vázána jednáním svého zaměstnance (plus samozřejmě jednáním zmocněnců a mandatářů (příkazníků)). Doména nevyjadřuje tento vztah. Na doméně @seznam.cz mají e-maily lidé, kteří naprosto nemají nic společného s firmou.

    Odpovědnost musí jít za vlastníkem domény, to je jediná entita, která dává na internetu smysl. No a vlastník domény bude buď schopen ukázat na konkrétní osobu, čímž se odpovědnosti zbaví a odpovědnost jde za tou osobou.

    To je nereálné. Když si nezaložíte e-mail na doméně v Česku / EU, tak si kliknete registraci někde jinde, kde podobný zákon neplatí, nebo je jeho uplatnění nepředstavitelné. Už vidím, jak se budete pídit za odesilatelem spamu na druhý konec světa.

    Pak je taky dost běžná situace, že vlastník se liší od provozovatele. Někdy je v tom úmysl zakrýt provozovatele, jindy jsou v tom zcela prozaické a ne-nelegální důvody.

    Tohle je řešení, které bude fungovat celosvětově, dá se k němu doiterovat postupně a postupné kroky budou znamenat zlepšení oproti předcházejícímu stavu.

    K tomu se ani neblížíme. Založit si doménu lze během pár minut, aniž by kdokoliv požadoval ověření. Registrátorů je takové množství, že i kdyby to měli za povinnost, bude to v praxi děravé. Taky ne každá země si chce nechat do svého internetu mluvit.

    Drobný zárodek už je v podobě DKIM, akorát je potřeba si vzpomenout, jak má fungovat e-mail, a podle toho upřesnit pravidla.

    Pomiňme, že doména je víceméně anonymní (není dostatečně zajištěno, aby byl znám vlastník a skutečný provozovatel). DKIM by část problémů řešil, kdyby mailové programy zobrazovaly neověřené e-maily aspoň stejně vehementně, jako nešifrované stránky - a tedy motivovaly provozovatele to doplnit. Stále však nevím, k čemu mi bude dkim na mailu odeslaném @seznam.cz nebo @gmail.com.

    A pak už se jenom musí velcí hráči dohodnout, že ta pravidla začnou postupně vynucovat – což se vám zase vůbec nebude líbit.

    Pochopitelně. Velcí hráči nemají co vynucovat, na to mají příliš velký vliv. V případě HTTP TLS se to projevilo, všechny kroky vedly jen k tomu, aby JIM nikdo neviděl do toho, co dělají, ale přínos pro společnost byl jen okrajový. Samozřejmě to zabalili do frází, jak je šifrování v zájmu všech; jen zapomněli dodat, že udělali devět kroků vpřed pro sebe, jeden vpřed pro uživatele (šifrujeme) a dva zpět (ověřujeme ještě méně).

    Jaké dva kroky od ověřování jsme udělali?

    Zcela jsme zničili EV certifikáty, které jako jediné mířily k tomu, že uživatel internetu neviděl jen doménu, ale i jméno (název) osoby, která se pod obsah podepsala.