uraz

Tylko po co sobie robić kłopoty? Nie mówiąc już o tym, że jak przetransferujesz domenę do "odpowiedniego" rejestratora to uda Ci się zrobić cesję. Rozgryzłeś mnie, jestem pod wrażeniem Przyznaje się, że w życiu bym nie kupił hostingu od ludzi którzy hasła wysyłają nieszyfrowanym mailem bo aż strach pomyśleć do czego jeszcze są zdolni. Podsumowując było by fajnie gdyby prędzej czy później MasterNET jednak zdecydował się na umożliwienie przeprowadzenia transferu domeny z wyższym poziomem bezpieczeństwa niż obecnie. Koszty są minimalne i nie ma co się upierać ani zasłaniać home.pl Pozdrawiam

Chcesz zasugerować, że AuthInfo nie należy chronić przed dostępem osób trzecich? RFC 5731 / rozdział 7. Security Consideration To powinno rozwiać twoje wątpliwości. Zdobycie kodu AuthInfo jest pierwszym i zarazem najważniejszym krokiem na drodze do przechwycenia cudzej domeny. Chyba każdy się z tym zgodzi. Skoro sam sobie wyjaśniłeś jak bardzo niebezpieczne jest przesyłanie poufnych danych w niezaszyfrowanym mailu nie będę już nic od siebie dodawał

Jeśli to do mnie, proszę o sprecyzowanie pytania. Nie rozumiem co dokładnie chcesz wiedzieć. Nie? Nie wiem czy to żart z Twojej strony ale od kiedy to niezaszyfrowane maile są przesyłane jako zaszyfrowane? Jeśli wysyłasz mail tak po prostu, czy to z programu pocztowego czy webmaila to cała jego zawartość idzie jako "plain text" od nadawcy do adresata, czyli administrator dowolnego z serwerów uczestniczących w przesyłaniu owego maila bez problemu jest w stanie przeczytać AuthInfo w nim umieszczony. Dla zilustrowania całej sytuacji powiem że wysłanie kartki pocztowej (bez koperty) z napisanym kodem AuthInfo i nazwą domeny można porównać do wysłania tego kodu w niezaszyfrowanym mailu a wysłanie listu z kodem zakrytym dodatkowo np czarnym kwadratem można porównać do wysłania maila zaszyfrowanego. Nigdzie nie napisałem, że wysyłanie listów pocztą konwencjonalną jest lepsze. Po prostu chciałem zaszyfrować mail o który prosili mnie ludzie z MasterNET a do tego potrzebny mi był klucz publiczny konta pocztowego na które miałem wysłać wiadomość. Koniec kropka. Jako firma działająca w branży internetowej nie powinna robić w tej sytuacji najmniejszego problemu tylko udostępnić mi możliwość bezpiecznego wysłania poufnych informacji do swojej siedziby (nawet jeśli uważają, że nie ma takiej potrzeby).

Nikt nie twierdzi inaczej. Chodzi tylko o to, że czy to człowiek czy maszyna nie powinien na siłę udowadniać czegoś o czym nie ma zielonego pojęcia, wtrącając przy okazji irytujące banały typu "Klient ma zawsze racje". Są też tacy, którzy przesyłają kody tak jak się powinno kody przesyłać. Jeśli home.pl przesyła authInfo mailem to popełnia błąd i nie jest wzorem do naśladowania w tej kwestii. Pozatym zamiast ironizować i kazać wysyłać listy "na specjalnej chronionej kartce" moglibyście po prostu wprowadzić małą poprawkę w panelu administracyjnym, wygenerować klucze umożliwiające wymianę szyfrowanej korespondencji i wyprzedzić konkurencję? Mielibyście kolejny slogan marketingowy do wrzucenia na główną stroną a na dodatek tacy wścibscy ludzie jak ja nie mieli by się do czego przyczepić.

Na pewno jest lepiej niż poprzednio ale z tą pięknością nie przesadzajmy. Tak czy inaczej nie o wyglądzie chciałem napisać. Otóż od 2 dni prowadzę mailową rozmowę z Panem Tomaszem pracującym w BOK na temat dwu etapowego transferu domen jaki obowiązuje w firmie masterNET. Punkt pierwszy czyli dodawanie nowego profilu klienta przebiegł w sumie w miarę bezproblemowo. Zamiast wpisywać ręcznie dane do formularza zacząłem je przekopiowywać ze strony obecnego rejestratora i w kilku polach wkleiłem tekst ze spacją na końcu (nie wiedząc o tym bo przecież spacji nie widać) co spowodowało że dostałem szereg powiadomień informujących mnie o niepoprawnie wprowadzonych danych. Po chwili zorientowałem się o co chodzi, pokasowałem ręcznie spacje i wszystko się ładnie wysłało. Następnie dostałem wiadomość, że teraz należy wysłać kod AuthInfo na adres info@masternet.pl. Jak wiadomo AuthInfo jest kodem poufnym i nie powinno się a wręcz nie wolno wysyłać go niezaszyfrowanym mailem bo może się dostać w ręce osób trzecich. Każdy szanujący swoich klientów rejestrator domen zapewnia bezpiczny sposób przekazywania takich danych jak AuthInfo albo pocztą konwencjonalną albo poprzez szyfrowane połączenia internetowe uniemożliwiające jego kradzież. ... postanowiłem więc skontaktować się z BOK Napisałem o problemie jaki występuje podczas wypełniania formularzy na stronie masternet.pl (dołączyłem nawet opis prostego rozwiązania) oraz że chciałbym wysłać authinfo w bezpieczny sposób i czy jest to możliwe. Pan Tomasz z BOK widocznie uznał że nie wiem o czym mówię i przysłał mi jednozdaniową odpowiedź : "Kod AuthInfo należy wysłać na adres info@masternet.pl". Postanowiłem spróbować jeszcze raz (ostatecznie skończyło się chyba na 6 mailach). Napisałem ponownie że nie chce wysyłać authinfo zwykłym mailem i poprosiłem o udostępnienie klucza publicznego masternet tak żebym korespondencję mógł zaszyfrować. W odpowiedzi dostałem link do strony microsoftu z opisem szyfrowania wiadomości w programie MS Outlook wraz z dopiską autorstwa Pana Tomasza, że mam zaszyfrować wiadomość i wysłać ją wraz z kodem potrzebnym do deszyfracji (uśmiałem się porządnie) a odnośnie formularzy dowiedziałem się, że spacji nie można usuwać bo klienci nie będą mogli wpisać np swojego adresu który bądź co bądź spacje zawiera (nie muszę chyba mówić że chodziło mi o spacje na początku i końcu wpisywanego/wklejanego ciągu znaków a nie te ze środka). Jako, że nadal nie wiedziałem czy jest możliwy bezpieczny sposób na przesłanie authinfo do masternet napisałem jeszcze raz ... Pan Tomasz odpisał w końcu cały podenerwowany, że żadnego klucza publicznego mi nie udostępnią bo takiego nie używają i że przecież banki wysyłają zaszyfrowane wiadomości do swoich klientów a nie mają ich kluczy publicznych (de facto wysyłają wiadomości podpisane cyfrowo a nie zaszyfrowane ale mniejsza z tym). Taka mi się przytrafiła historia z BOK masternet-u Podsumowując... 1. MasterNET powinien udostępnić (a jeśli nie posiada to najpierw wygenerować) swój klucz publiczny dla adresu info@masternet.pl oraz poinformować klientów o zagrożeniach płynących z wysyłania danych typu kod authinfo niezaszyfrowanym mailem, a nie usilnie ich do tego namawiać. 2. MasterNET powinien udostępnić możliwość podania kodu authinfo w panelu administracyjnym podczas zgłaszania chęci przetransferowania domeny bo co ciekawe połączenie z panelem jest szyfrowane i podpisane przez Equifax (ktoś tam jednak trochę dba o bezpieczeństwo). 3. Pan Tomek powinien się udać na szkolenie z podstaw bezpieczeństwa komputerowego lub maile których nie jest w stanie w całości zrozumieć, kierować do swoich przełożonych i nie udowadniać na siłę swoim rozmówcom że nie wiedzą o czym piszą. 4. Opcjonalnie dane z formularzy przed sprawdzeniem ich poprawności powinny być pozbawiane białych znaków (whitespace) z początku i końca wpisanego tekstu. Poza wyżej opisaną sytuacją jestem zadowolony ze współpracy z MasterNET Pozdrawiam.