Bezpieczeństwo naszych domen to mit?

[Guest Anubis]

Witam

 

Ostatnio poruszyliśmy kwestię bezpieczeństwa domen na forumowym czacie czego następstwem jest ten temat.

 

Trzy główne firmy w których utrzymujemy nasze domeny posiadają szereg zabezpieczeń do transferowania domen czy pobierania kodów authinfo. I tak:

- AfterMarket.pl posiada hasło drugiego poziomu, bez którego nie możemy pobrać dla niej kodu authinfo,

- Premium.pl posiada potwierdzenie pobrania kodu authinfo na maila (przychodzi link do kliknięcia),

- Az.pl dla tych operacji posiada kody SMS,

 

I tak mogłoby się wydawać że nasze domeny są bezpieczne, niezależnie od tego gdzie je tak naprawdę trzymamy bo włamanie na konto nic nie da bez znajomości hasła drugiego poziomu czy hasła do konta email. Okazuje się jednak że to mit bo zarówno w AfterMarket.pl jak i Premium.pl wystarczy (bez haseł drugiego poziomu czy linków potwierdzających) wystawić domenę na giełdę i kupić z innego konta.

 

Podobnie sprawa wygląda w AZ.pl jednak tam nie ma automatycznych płatności i transferów (przekazywanie domeny sprzedanej na giełdzie wygląda jakby miało ręczną weryfikację) toteż, póki co, wydaje się to najbezpieczniejsza firma do trzymania wartościowych domen.

 

Czy nie warto by było pomyśleć nad jakimiś zmianami w tej kwestii?

Edited November 13, 2012 by Anubis

[pb 2,626]

W premium można włączyć autoryzację mail i/lub sms dla dostępu do modułu sprzedaży.

[rok1978 68]

W premium można włączyć autoryzację mail i/lub sms dla dostępu do modułu sprzedaży.

dzięki za info zaraz to włączam

innym podaje link

https://premium.pl/preferences.html?section=security

w zaawansowanych opcjach

[Guest Anubis]

W premium można włączyć autoryzację mail i/lub sms dla dostępu do modułu sprzedaży.

 

Nieodkryte możliwości serwisu Premium mnie zadziwiają Wątek jednak polecam zostawić, bo wiele jednak osób nie wie o takowej opcji.

 

Żeby jeszcze te uproszczone strony KT były...

Edited November 13, 2012 by Anubis

[Guest]

a czy nie jest nadal tak, ze bez papierowej cesji odzyskanie domeny jest mozliwe ?

[thomaso 722]

W premium można włączyć autoryzację mail i/lub sms dla dostępu do modułu sprzedaży.

 

Właśnie to włączyłem i jest to bardzo dobra opcja.

 

Przy obecnym "szybkim transferze na giełdach" wystarczyłoby tylko złamać hasło do konta giełdy, wystawić najlepsze domeny za 1 zł i kupić je z drugiego konta na fikcyjne dane. Potem je wytransferować.

 

To zabezpieczenie w premium.pl to uniemożliwia, ale jest to jedyna giełda, która je oferuje obecnie, faktycznie jest tu jakiś problem z bezpieczeństwem.

 

Przy transferze domeny .pl (przez authinfo) przychodzą zresztą zawsze dwa maile potwierdzające (do starego i nowego abonenta), a przy kupnie domeny na giełdzie nie ma już ich (domena zmienia abonenta od razu). I to jest na wszystkich giełdach - AZ.pl, premium.pl, AM.

 

Tego nie ma na przykład przy domenach .com i .eu (zawsze przychodzą maile z rejestru). Szybkość cesji abonenta kontra bezpieczeństwo - pewnie trudno tu znaleźć złoty środek.

 

Włączyłem sobie właśnie w premium.pl na krytyczne operacje potwierdzenie na SMS i czuję się tak samo bezpiecznie jak na swoim koncie bankowym (gdzie też mam takie zabezpieczenie).

Edited November 13, 2012 by thomaso

[CzarnyElo 355]

Czasami dobre rozkminy lecą na chacie. Dobra robota, ja również włączyłem sobie potwierdzenie SMS w Premium.pl

[pshemec 100]

Faktycznie - do tej pory jakoś nikt nie zwrócił na to uwagi.

Dzięki - również włączam.

[pb 2,626]

Bezpieczeństwo domen było dla nas zawsze priorytetem, ta funkcja jest dostępna chyba od początku istnienia premium.pl ;-)

Faktem jest, że jeszcze wiele perełek kryje się w panelu, pewnie można by wydać wielostronicowy manual, pytanie tylko, kto by go przeczytał? Ja nigdy nie przeczytałem od deski do deski instrukcji np. do sprzętu rtv aby odkryć jego funkcje, przeglądałem tylko instrukcję jeśli szukałem czegoś konkretnego. Dlatego przede wszystkim polecam "przelecieć" po wszystkich ustawieniach (pamiętając o rozwinięciu Zaawansowanych), a może jeszcze coś się znajdzie. ;-)

[Dropped.pl 209]

Równowaga bezpieczeństwa i wygody użytkowania panelu jest trudną sztuką Mnie osobiście strasznie denerwują wszystkie blokady SMS, email na tak proste operacje jak zmiana ceny KT na giełdzie - cenię sobie mój czas bardziej, ale to zapewne wynika z tego że mam same nindże w panelu Oczywiście inni użytkownicy mogą mieć na ten temat inne zdanie i dlatego pracujemy też nad potwierdzeniami SMS / email oraz poziomami uprawnień do kont użytkowników. Natomiast nie znaczy to, że zabezpieczeń nie posiadamy, tyle tylko że nie polegają one na utrudnianiu życia sprzedawcom - na przykład, domeny kupionej na giełdzie nie można wytarnsferować poza serwis przez 24 godziny od finalizacji transakcji, w trakcie których każda podejrzana transakcja może byćanulowana.

[Andro 152]

Czy poprawiłoby bezpieczeństwo podwójne logowanie. Najpierw logowanie z pierwszym hasłem, które wystarczy do przeglądania konta i dokonywania prostszych zmian, i drugie hasło, do wszystkich czynności mających wpływ na bezpieczeństwo domeny. Zmiana poziomu bezpieczeństwa poprzez ustawianie ile razy może być wpisane błędnie drugie hasło lub ustawienie standardowo na trzy przed zablokowaniem. Także opcja, by logowanie podwójne było konieczne dla wszystkich czynności, czyli przy wejściu na konto od razu konieczność podwójnego logowania. Rozwiązanie z podwójnym hasłem powinno być raczej alternatywne, dopiero po jego włączeniu, jak ktoś chce dodatkowe zabezpieczenie, bo jak na razie nikt nie miał podobnych problemów.

Edited November 14, 2012 by Andro

[Liwiusz 123]

A jak oceniacie pod tym kątem bezpieczeństwo w OVH?

[mishel 3]

Nie rozumiem jednej rzeczy, rejestracja domen odbywa się w NASK i co jeśli komuś nawet uda mu się domenę wytransferować(czytaj ukraść) jak i tak zostanie mu odebrana po założeniu sprawy w sądzie i odpowiednim postępowaniu. Wydaje mi się, że po prostu nie opłaca się kraść...

[master17 34]

A jak oceniacie pod tym kątem bezpieczeństwo w OVH?

 

W OVH - tak mi się kojarzy, jest chyba cesja papierowa wysyłana pocztą (czytaj bezpiecznie). Takie metody stosuje CAL.PL, Linuxpl.com (cesje na papierze, lub wysyłane faksem - plus ksera dowodów osobistych, KRS działalności - nawet Authinfo, ile zachodu, biurokracji, aby wydębić). Z takich firm ja już przestałem korzystać, bo w AM, Premium, AZ domenę mogę przedłużać miesiące i lata naprzód, mam gdzieś przedłużenia domen na ostatnią chwilę.

Edited November 17, 2012 by master17

[hsqva 7]

Nareszcie ciekawy temat!

Obecnie są dobre zabezpieczenia 2 stopnia u Registrarów, wystarczy poszukać. Brakuje za to obsługi IPv6, DNSSEC czyli faktycznych narzędzi, które będą już za chwilę niezbędne jeżeli chodzi obezpieczeństwo domen!

[korneliusz.com 501]

Największe niebezpieczeństwo to punkt 26 regulaminu NASK.

 

26.

NASK może wypowiedzieć Umowę z zachowaniem trzymiesięcznego terminu wypowiedzenia oraz formy pisemnej.

[amfre 0]

Największe niebezpieczeństwo to punkt 26 regulaminu NASK.

 

Dobre... ;-)

 

Ogólnie aspekty wygody i szybkości w operowaniu domenami z reguły zagrażają ich bezpieczeństwu. Rozwiązania pośrednie i spełniające oba te wymogi znaleźć bardzo ciężko i w zdecydowanej większości rejestratorów dostanie się do Panelu zarządzania daną domeną wiąże się z ryzykiem jej utraty. Ja osobiście lepsze domeny wolę trzymać w pewniejszej firmie, mniej wartościowe w tej gdzie operacje są wygodne i szybkie, a do tego ceny niskie ;-) Za bezpieczeństwo domen, w tym również stabilność firmy i support niestety trzeba dodatkowo płacić...