Hlavní navigace

Názor ke zprávičce Podvodný e-mail napodobuje Českou poštu od Filip Jirsák - Tady máte zcela chybnou úvahu Nikoli. Pouze vy se...

  • 19. 10. 2020 14:41

    Filip Jirsák

    Tady máte zcela chybnou úvahu
    Nikoli. Pouze vy se zarytě držíte své představy a odmítáte se zabývat čímkoli, co se do ní nevejde.

    Já jsem totiž nikde netvrdil, že v nějaké doméně mohou mít e-maily jen lidé, kteří mají něco společného s firmou. Mimochodem, existuje spousta domén, která nemá s firmou nic společného – vlastníkem je třeba fyzická osoba. Pro to, o čem píšu já, je ale podstatné jenom to, že doména má nějakého vlastníka – a ten za ni má být zodpovědný. Takže za doménu seznam.cz má být zodpovědný Seznam a. s. jakožto její vlastník. Že na té doméně jsou e-maily lidí, kteří nejsou jeho zaměstnanci, to je úplně jedno. Buď bude seznam schopen u konkrétní e-mailové adresy věrohodně ukázat na konkrétní osobu, pak se své zodpovědnosti zbaví. A nebo toho schopen nebude, zodpovědnost pak zůstane na něm – to je jeho problém.

    Podobně dnes platí třeba odpovědnost provozovatele vozidla.

    To je nereálné. Když si nezaložíte e-mail na doméně v Česku / EU, tak si kliknete registraci někde jinde, kde podobný zákon neplatí, nebo je jeho uplatnění nepředstavitelné. Už vidím, jak se budete pídit za odesilatelem spamu na druhý konec světa.
    Ve skutečnosti je to jediná reálná možnost. TLD jsou pořád jenom nízké stovky, takže nebude problém rozdělit TLD na ty, které se řídí nějakým standardem a ověřují vlastníky domén, a ty, které to nedělají. Pak už se jenom denylisty nakrmí seznamem těch nespolupracujících TLD. On už si každý rozmyslí, jestli si pořizovat doménu, ze které neodešle žádný e-mail.

    Pak je taky dost běžná situace, že vlastník se liší od provozovatele.
    Pokud se vlastníkovi bude chtít platit pokuty místo provozovatele, ať si je klidně platí…

    K tomu se ani neblížíme. Založit si doménu lze během pár minut, aniž by kdokoliv požadoval ověření. Registrátorů je takové množství, že i kdyby to měli za povinnost, bude to v praxi děravé. Taky ne každá země si chce nechat do svého internetu mluvit.
    Ono se to rychle vytřídí, když to bude rozhodovat o tom, jestli doručíte nebo nedoručíte e-mail. Bude to podstatně předvídatelnější, když se podívám na seznam ověřených domén, než současná situace, kdy o doručení či nedoručení e-mailu rozhoduje postavení hvězd a nálada administrátorovy kočky.

    Stále však nevím, k čemu mi bude dkim na mailu odeslaném @seznam.cz nebo @gmail.com.
    K tomu, že když vám z takové adresy přijde spam, máte v ruce důkaz o tom, že je za to zodpovědný Seznam nebo Google, a můžete je hnát k odpovědnosti a požadovat po nich náhradu škody. Oni si to brzy rozmyslí, jestli budou krýt spamery a platit za ně pokuty, nebo jestli je identifikují.

    Pochopitelně. Velcí hráči nemají co vynucovat, na to mají příliš velký vliv.
    Jenže to je princip vlivu. Aby se na internetu něco prosadilo, musí to podporovat významná část trhu. Vy si klidně můžete své soukromé e-maily podepisovat a ověřovat, jak chcete, ale trh tím nijak nezměníte.

    přínos pro společnost byl jen okrajový. Samozřejmě to zabalili do frází, jak je šifrování v zájmu všech; jen zapomněli dodat, že udělali devět kroků vpřed pro sebe, jeden vpřed pro uživatele (šifrujeme) a dva zpět (ověřujeme ještě méně).
    Ale houbeles.

    Zcela jsme zničili EV certifikáty, které jako jediné mířily k tomu, že uživatel internetu neviděl jen doménu, ale i jméno (název) osoby, která se pod obsah podepsala.
    EV certifikáty byly nesmysl – byly to „OV certifikáty, ale tentokrát už to bereme vážně“. OV certifikáty existují dál a prohlížečům nic nebrání jméno subjektu z certifikátu zobrazovat v adresním řádku prohlížeče. A nejspíš se zobrazování názvu subjektu v adresním řádku zase dočkáme, až se prohlížeče konečně zbaví zátěže HTTP a budou moci signalizovat v adresním řádku rozumnější věci než tak základní věc jako jestli byl vůbec obsah přenášen šifrovaně.