Menu
- Aktualności
- Mój startup Nowy odcinek
- Blogi ekspertów
- Projektowanie WWW
- Planowanie
- Hosting i domeny
- Organizacja i nawigacja
- Webdesign i grafika
- Warsztat - programy
- Tutoriale Photoshop
- Programowanie i tworzenie
- XHTML, HTML i CSS
- JavaScript, DOM i AJAX
- jQuery
- PHP i SQL
- Flash i ActionScript
- Dostępność i WAI
- Promowanie stron
- Pozycjonowanie
- Reklama i marketing
- Monitoring i statystyki
- Publicystyka
- Artykuły ogólne
- Społeczności
- Praca i zarabianie
- Wywiady
- Standardy sieciowe
- Zasoby
- Kursy
- Recenzje książek
- Linki
Dla webmastera
.PL Lock Service - usługa dla wymagających
Andrzej Bartosiewicz, 2009-11-12 14:44:33

Za pomysłem nowego serwisu kryje się obawa niektórych Rejestratorów i Abonentów o to, że ktoś np. może włamać się na system Partnera (Registrara) i dokonać nieautoryzowanych zmian na domenach – transferu domeny, zmiany serwerów nazw, zmiany abonenta itd. Ponieważ wszystko dokonywane jest automatycznie, nie ma możliwości ręcznej weryfikacji takich transakcji.
Rozwiązaniem jest wprowadzenie mechanizmów ustawiania w systemie Registry NASK statusu „server Update Prohibited” na żądanie Partnera. Przy tak ustawionym statusie na domenie, nie jest możliwe automatyczne wykonanie jakiejkolwiek operacji poprzez EPP (protokół komunikacyjny automatycznej wymiany danych między NASK a Partnerem, odbywający się bez udziału człowieka). W przypadku kiedy Partner będzie jednak chciał dokonać zmian dla swojego klienta, zwróci się do NASK telefonicznie lub mailowo w celu „odblokowania” możliwości zmian. NASK potwierdzi tożsamość osoby reprezentującej Partnera za pomoca np. niezależnego hasła (niewykorzystywanego w systemach automatycznych), oddzwoni na ustalony wcześniej numer bądź wykorzysta mechanizm „one-time passwords”. Po przeprowadzonej w ten sposób bezpiecznej autentykacji NASK zdejmie blokadę z domeny (lub domen), Partner dokona zmian poprzez EPP (automatycznie) a następnie NASK przywróci status serverUpdateProhibited.
Opisana procedura oczywiście dodatkowo zabezpiecza klienta, niemniej jednak powoduje, że zmiany nie mogą być dokonywane automatycznie i będą wymagały trochę czasu na ich dokonanie. Tak jak w przypadku każdego zabezpieczenia gdzie musimy wybrać inny kanał autentykacji, należy z czegoś zrezygnować (pełna automatyzacja, zmiana w ciągu kilku sekund) na rzecz nieco bardziej skomplikowanej procedury (zmiana danych może trwać nawet kilkanaście minut).
Podobne rozwiązanie zaproponował niedawno VeriSign i nazywa się to „Registry Lock Service - com/net”. Opis tego serwisu można znaleźć na stronie VeriSign.
Podobnie jak VeriSign, NASK zaproponowałby też cennik na zasadzie „tiered pricing” gdzie cena za usługę byłaby uzależniona od ilości domen w ten sposób dodatkowo zabezpieczonych. Oczywiście ceny nie byłyby tak kosmiczne jak w przypadku VeriSign (100 USD za rok za domenę), niemniej jednak usługa powinna mieć status „VIP” i chociażby ze względu na jej charakter, wymaga wysiłku zarówno po stronie Partnera jak i NASK.
Czekam na Państwa opinie zarówno jako Partnerow NASK jak i Abonentów domen. Bez zainteresowania Abonentów nie ma oczywiście sensu dalsza dyskusja nad taką usługą... Ja ze swojej strony podchodzę całkowicie neutralnie do tego pomysłu i jestem gotowy wdrożyć go o ile będzie faktyczne zainteresowanie rynku.
Komentarze:
- cool
Dodał: guest#01 data: 2009-11-12ile bedzie to kosztowało w PL?
20$, 30$? dla takich firm jak WP, Interia, gazeta czy onet to zapewne kwota nawet 500$ za blokadę domeny wp.pl, interia.pl, gazeta.pl czy onet.pl nie bedzie za wysoka
Dodał: Rafał Pietrzyk data: 2009-11-12Prywatnie, jako abonent nie skorzystałbym z takiej opcji. Wszystkie operacje na domenie są rejestrowane co poniekąd zabezpiecza klienta.
Czy były już w Polsce przypadki, gdzie takie rozwiązanie znalazłoby zastosowanie?- Joso
Dodał: Gość data: 2009-11-12no wreszcie porządny wpis. Ale brak jednej informacji - czy cena nie odstraszy użytkowników, bo o monopol z megapanelu się nie martwię...
Dodał: GB data: 2009-11-13Czy taka usluga zabezpieczy przed zmianami ktore nastapia na skutek bledu w aplikacji NASK lub wlamania do systemu informatycznego NASK ?- a nie mowilem !
Dodał: Gość data: 2009-11-13Mowilem o tym 2 lata temu ze jest taka koniecznosc i potrzeba ale zostalem jak zawsze olany przez NASK ! Coz lepiej pozno niz wcale !Nareszcie jakiesa pomysl godny narodowego rejestratora a nie ruch pozorowany .Jednak to nie moze byc drozsze jak 5 zl od domeny/rocznie !
Dodał: Gość data: 2009-11-135 /zl rocznie od domeny?
Kolego pomieniales sie na glowy chyba jak Verisign chce ponad 400 zl to w PL napewno nie bedize tansze jak 100 zl. To jest koniecznosc wdrozenia po stronie partnera jak i NASK telefony itp to wszystko kosztuje ktos sie nie bedzie bawil w takie 5 złotowe sprawy dla takeigo zabezpieczenia domeny. A dla porownania SSL dla domeny mozesz kupic za 5 zl?? Ty niewiesz co gadasz psujesz przez to w PL rynek takim zanizaniem uslug, jak dla kogos domena jest wazna to zaplaci tyle co roczny abonement za domene! aby spac spokojnie.
Szkoda slow na takich co chca najtaniej albo uwazaja ze im sie to nalezy za prawie free za 5 zł to mozesz kupić sobie numer w Play Fresh :)- ceny
Dodał: Andrzej Bartosiewicz data: 2009-11-13Rafał, to zabezpiecza przed czymś innym: że ktoś na pewien czas może wyłączyć domenę (1) albo co gorsza przekierować (2) ruch www w inne miejsce i tym samym wygenerować duże straty dla firmy (1,2) której sprzedaż czy realizacja usług zależy od domeny. W przypadku (2) dochodzi też utrata zaufania i czarny PR.
Mając logi będzie można oczywiście przywrócić stan do wersji sprzed ataku, ale kosztów utraconych pożytków albo utraty zaufania może nie uda się wyrównać.
Czy przypadki takie były - nie mam takiej wiedzy jakoby ktoś w sposób nieautoryzowany włamał się do systemu Partnera. Na świecie były, ale też nasz system jest ZNACZNIE lepiej zabezpieczony przez próbami nieautoryzowanego dostępu i ewentualne nieautoryzowane działanie przez kogoś w
"imieniu" Partnera wymaga nie tylko poznania hasła Partnera, ale też... (sam wiesz co NASK wymaga)
Były jednak liczne przypadki w Polsce nieautoryzowanego działania Pracowników abonentów, które później trzeba było odkręcać. Byc może gdyby były lepsze zabepzieczenia w niektórych przypadkach pomiędzy Partnerem a Abonentem, tego by nie było. Czy ta usługa pomoże w tym? Nie wiem, być może można ją rozwinąć...
Joso, Nie wiem jak powinna zostać ukształtowana cena, to zależy od wyników konsultacji na rynku.
Moja wizja zakłada dwa poziomy cenowe: jeden kiedy można zdejmować status serverUpdateProhibited tylko w godzinach roboczych (wtedy NASK ma niższy koszt) i druga cena kiedy będzie to można robić 24/7.
W jednym i drugim przypadku mówimy jednak o cenach powyżej 100 zł za domenę (lub pakiet kilku domen), bo musi to mieć uzasadnienie ekonomiczne. Oczywiście przy większej ilości domen w ten sposób zabezpieczonych można ceny obniżyć, ale jak obniżyć to zależy od zainteresowania usługą po stronie Partnerów.
Należy to jednak traktować jako usługę VIP i tutaj jej koszt dla klienta końcowego widzę w okolicach 500 zł - 1000 zł za domenę lub pakiet domen.
Ale może się mylę, i ceny będą zupełnie inne... - Czemu VIP?
Dodał: Puchatek data: 2009-11-13A dlaczego zastanawia się Pan nad tym, żeby była to usługa VIP?
Jeśli ustawicie Państwo cenę usługi na niskim poziomie (niech to będzie 5-10PLN/dom, to daję głowę, że na masowym kliencie zarobicie więcej niż na kilku VIP'ach. Proszę pamiętać, że rejestratorzy dorzucą do tych cen swoje 3 grosze tak czy inaczej, więc summa summarum może się nie znaleźć na nią zbyt wielu chętnych w przypadku zaporowych cen.
A co do liczenia na zgłaszanie się wielkich podmiotów, posiadających zarejestrowane znaki towarowe, to nie ma co na nich liczyć, bo Sąd Arbitrażowy będzie po ich stronie. - Token
Dodał: ADIPS.PL/WW data: 2009-11-13Możliwość dodatkowego zabezpieczenia operacji na domenach jest pożądana. Skoro wartość wybranych domen potrafi być znaczna, to należałoby użyć systemu autentykacji w stylu, jak stosowany przez banki - np. token, w który zostanie wyposażony każdy registrar. Użycie tokena (łącznie z każdorazowo wprowadzanym hasłem) będzie warunkiem koniecznym do realizacji jakichkolwiek zmian na chronionych domenach (domena nie będzie więc blokowana, otrzyma jedynie status "chroniona"). Raz wydany token wyeliminuje konieczność prowadzenia (i ew. rejestracji) rozmów telefonicznych z NASK, wymiany maili itp.. W takim przypadku NASK stworzyłby jedynie warunki techniczne oraz zarządzał tokenami, całą resztę załatwi registrar (łącznie z ustaleniem ceny usługi dodatkowego zabezpieczenia domeny dla użytkownika końcowego). Oczywiście banki stosują też innego rodzaju zabezpieczenia... - moze sms?
Dodał: ams data: 2009-11-13Po co ma to robić to żywy człowiek w nask? Wystarczyłoby moim zdaniem wysyłać na telefon administracyjny smsem token do wpisania aby potwierdzić zmianę. Wtedy można to zautomatyzować i cenę ustalić na niskim poziomie. Obsługę abonentów przez człowieka z NASK znamy z czasów przedpartnerskich (faksy, podpisy, itp.) i nie chcemy do tego wracać. - Token
Dodał: ADIPS.PL/WW data: 2009-11-13Możliwość dodatkowego zabezpieczenia operacji na domenach jest pożądana. Skoro wartość wybranych domen potrafi być znaczna, to należałoby użyć systemu autentykacji w stylu, jak stosowany przez banki - np. token, w który zostanie wyposażony każdy registrar. Użycie tokena (łącznie z każdorazowo wprowadzanym hasłem) będzie warunkiem koniecznym do realizacji jakichkolwiek zmian na chronionych domenach (domena nie będzie więc blokowana, otrzyma jedynie status "chroniona"). Raz wydany token wyeliminuje konieczność prowadzenia (i ew. rejestracji) rozmów telefonicznych z NASK, wymiany maili itp.. W takim przypadku NASK stworzyłby jedynie warunki techniczne oraz zarządzał tokenami, całą resztę załatwi registrar (łącznie z ustaleniem ceny usługi dodatkowego zabezpieczenia domeny dla użytkownika końcowego). Oczywiście banki stosują też innego rodzaju zabezpieczenia... - odp
Dodał: Andrzej Bartosiewicz data: 2009-11-13@Puchatek: ale koszt obsługi będzie (znacznie) wyższy niż 5-10 zł, bo zakłada wykorzystanie innych mechanizmów autentykacji niż dostępne przez EPP.
@ADIPS: do przemyślenia z tokenami... co do ceny dla klienta końcowego to zawsze ustala to Partner. NASK ustala cene hurtową dla Partnerów, w tym przypadku za taką usługę... wtedy mogłaby się składać z części stałej (ryczałtowej) za obsługę tej usługi dla Partnera oraz opłaty od domeny/rok bądź opłaty jednostkowej od operacji.
@AMS: właśnie o to chodzi, żeby był to sposób autentykacji wymagający akcji człowieka; być może wystarczy właśnie rozwiązanie z tokenami - wtedy eliminujemy człowieka po stronie NASK ale z drugiej strony nie mamy gwarancji, że ktoś się nie włamał do siedziby Partnera i nie przejął takiego tokena, a pin poznaje bo jest zapisany w systemie Partnera... tak hipotetycznie
Niezależnie od wszystkiego gdzieś człowiek MUSI być po to, aby ta usługa miała sens, czy będzie po stronie NASK i Partnera czy tylko Partnera to do przemyślenia.
VeriSign chce człowieka po stronie zarówno Registrara jak i VeriSign... a token jest tylko mechanizmem autentykacji... jeśli oni (VeriSign) tak chcą zrobić, to mam wątpliwosci czy eleiminacja człowieka po stornie NASK jest jednak zasadna... - uzupelnienie
Dodał: Andrzej Bartosiewicz data: 2009-11-13To dodam jeszcze, że obecnie poziom zabezpieczeń systemu Registry, komunikacji oraz autentykacji Partnera jest bardzo wysoki. Wprowadzanie dodatkowego elementu uzupełniajacego automatyczną autentykację nie ma sensu.
Jedyne niebezpieczeństwo to ewentualne włamanie do systemu Partnera (bądź NASK...).
I pomysł zakłada, że wymagamy interwencji człowieka jako elementu którego nie można "zhakować"... Pytanie czy umieszczamy człowieka tylko po stronie Partnera, czy Partnera i NASK... - odp. dla GB
Dodał: Andrzej Bartosiewicz data: 2009-11-13@GB: sorki GB że nie odpowiedziałem wcześniej, ale mi Twój post umknął...
Jeśli potraktujemy ustawianie "Server Update Prohibited" tylko ręcznie, i tylko z konsoli operatora (a nie automatycznie przez token via EPP) to można jeszcze bardziej ograniczyć możliwość ewentualnego włamania (zdalnego) lub ograniczyć skutki włamania.
Zawsze istnieje możliwość włamania na każdy system, także system NASK, natomiast zdecydowanie podział na operacje możliwe do wykonania zdalnie i te które można wykonać np. w sieci wewnętrznej sprzyja bezpieczeństwu.
Dodał: Gość data: 2009-11-13Więcej takich wpisów i dyskusji, genialnie się to czyta!- Token
Dodał: ADIPS.PL/WW data: 2009-11-13Możliwość dodatkowego zabezpieczenia operacji na domenach jest pożądana. Skoro wartość wybranych domen potrafi być znaczna, to należałoby użyć systemu autentykacji w stylu, jak stosowany przez banki - np. token, w który zostanie wyposażony każdy registrar. Użycie tokena (łącznie z każdorazowo wprowadzanym hasłem) będzie warunkiem koniecznym do realizacji jakichkolwiek zmian na chronionych domenach (domena nie będzie więc blokowana, otrzyma jedynie status "chroniona"). Raz wydany token wyeliminuje konieczność prowadzenia (i ew. rejestracji) rozmów telefonicznych z NASK, wymiany maili itp.. W takim przypadku NASK stworzyłby jedynie warunki techniczne oraz zarządzał tokenami, całą resztę załatwi registrar (łącznie z ustaleniem ceny usługi dodatkowego zabezpieczenia domeny dla użytkownika końcowego). Oczywiście banki stosują też innego rodzaju zabezpieczenia... - Jestem na nie
Dodał: Gość data: 2009-11-16100zł za drogo dla zwykłego posiadacza domeny X. Po prostu - usługa nie dla mas.
Po drugie to NASK powinien zapewnić poprawne zabezpieczenie domen w ramach haraczu jaki pobiera za rejestrację/utrzymywanie domen od nas i rejestratorów pośredniczących. - do #82
Dodał: Andrzej Bartosiewicz data: 2009-11-17Kolego/Koleżanko: nikt nie mówi że ta usługa ma byc dla "mas".
Chyba nie czytałeś/łaś postu - NASK zabezpieczył domeny poprawie w systemie Registry - tutaj mówimy o nieautoryzowanych zmianach w sytuacji np. włamania do systemu Klienta lub Partnera. Inaczej tego nie da się zrobic jak drugą, niezależną od EPP drogą.
-----
A ten "haracz" to 10 zł za rejestację i 40 za przedłużenie - skoro to jest haracz to jak nazwiesz ceny 100 i 120 zł w firmach takich jak home, netart czy AZ? Filantropia? - VERY IMPORTANT DOMAIN?
Dodał: domenki.wordpress.com data: 2009-11-23Witam
Czy NASK nie oferuje czegoś takiego dla swoich klientów pod postacią "VERY IMPORTANT DOMAIN"? - czemu nie automatyczne jak dla .com?
Dodał: Gość data: 2011-04-13czemu nie automatyczne?
Kod potwierdzenia zmian przychodzi na maila lub smsem i bez potwierdzenia tym kodem nic się nie da zrobić.
Dodaj komentarz:
Najlepiej oceniane wpisy
Najnowsze wiadomości
- Programista (nadal) pilnie poszukiwany
- Już jest nowy Firefox i pierwsze komercyjne gry sieciowe
- Aplikacja SkyCash zyskuje na popularności
- Sprawdzony hosting i domena .eu
- Stwórz aplikację w 24h i poleć do Doliny Krzemowej
- Polacy wciąż łatwym celem dla cyberprzestępców
- Inspirujący Netcamp o e-biznesie
- Nowości Heliona: książki o e-biznesie i nie tylko