Opinie o nazwa.pl

[theqkash]

26 minut temu, itomek napisał(a):

Procedura weryfikacji nie sprowadza się od odebrania maila czy listu z wnioskiem.

A do czego się jeszcze może sprowadzać skoro taki wniosek może wydrukować i wysłać absolutnie każdy w dokładnie takiej samej formie? 

[ra8]

49 minut temu, theqkash napisał(a):

A do czego się jeszcze może sprowadzać skoro taki wniosek może wydrukować i wysłać absolutnie każdy w dokładnie takiej samej formie? 

Voodoo i takie tam. Zaraz będzie napisane „po rzecznikowemu”, ze maja wypracowane metody weryfikacji będące tajemnica firmy. Mydlić oczy mogą tym, którzy w

temaxie nie siedzą. Tutaj łatwo nie idzie, ale przyznać trzeba, ze itomek ma gadane Tylko dla mnie jest tak samo prawdomówny jak rzecznik rzadu

[sempre]

Przeprowadziłem jakiś czas temu dłuższą rozmowę z pracownikiem wyższego szczebla jeżeli chodzi o same domeny i ich ochronę, dostałem za i przeciw jak to piszecie i rozumiem obie strony. 

Pierwsza kwestia to zatrzymywanie przez nazwę klientów domenowych skomplikowaną dla laików procedurą pozykania authinfo, bo taka jest rzeczywiść, klientom nazwy nie chce przechodzić tego żmudnego procesu, ale jednak jest to kolejna warstwa zabezpieczeń, w przypadku, gdy, zakładam, że jeżeli domena jest naprawdę sporo warta po prostu musi tam być jak największa ilość weryfikacji, do tego dochodzi efekt skali tym samym odciągają leniwych klientów i utrzymują domeny, po drugie w jakimś tam stopniu trochę bardziej dbają o bezpieczeństwo.

 

Drugie dno to właśnie utrudnianie klientom detalicznym łatwego i prostego za pomocą 2 klinięć pozyskania kodu authinfo 2FA.

 

Teoretycznie jeżeli jakaś grupa scammerów uwzięłaby się na poważniejsze konta gdzie jest dużo domen, zastosowaliby simswap, MITM, podmiana pakietów przez proxy, to ani papierek ani authinfo w panelu nie uchroniłoby providera przed przejęciem domeny, zakładam, że stempel, czy podpis nie byłby dla nich żadnym problemem.

 

Mimo wszystko wg. mnie nazwa powinna iść z duchem czasu i przestać utrudniać klientom pozyskiwanie kodu authinfo tym papierkiem, zwłaszcza, przy tak dużej skali. Jestem w stanie zrozumieć wszystkie obawy Tomka ale patrze na to z perspektywy osoby, która nie za bardzo to ogarnia a chce się uwolnić od domeny w  nazwie, a nie robi tego z lenistwa, opłaca faktury i koło się toczy dalej.

 

Zaznaczam też, że moje informacje mogą być trochę nie na bieżąco, bo w nazwie mam tylko jednego klienta i zajmuje się wyłącznie jego stroną od backendu, panelu nazwy, ich aktualnych zasad nie ruszam.

Edytowane 26 Maja przez sempre

[Tom X]

9 godzin temu, itomek napisał(a):

Formą tego typu separacji jest prośba o przesłanie wniosku, po podpisaniu go przez osobę uprawnioną. Podpis może być złożony albo na dokumencie PDF, albo na wniosku wydrukowanym, a sam wniosek generowany jest automatycznie. 

Zgoda. Inną formą separacji jest utrzymywanie domen u zewnętrznego operatora (oferującego 2FA i automatyczną obsługę wniosków AuthInfo) + wydelegowanie ich do operatora/operatorów hostingu. Wygodnie, bezpiecznie, tanio.

[kafi]

11 godzin temu, ra8 napisał(a):

Swoją droga, to który prezes zajmuje się takimi bzdurami?

Zasadniczo, to formalnie... prawie każdy. I są jeszcze większe pierdoły którymi on się musi formalnie zajmować.

Bo nawet taka pierdoła jak podpisanie umowy o abonament na wodę wymaga podpisania jej przez reprezentanta firmy, a szeregowy pracownik formalnie nim nie jest. No chyba, że ma ku temu pełnomocnictwo (a wtedy myślę, że i nazwa by taki wniosek z dołączonym pełnomocnictwem przyjęła).

 

Ja nie rozumiem tylko jednego. Bo o ile do polityki marketingowo-cenowo-komunikacyjnej do nazwy można mieć dużo zastrzeżeń, to polityka wydawania kodów authinfo jest znana i... po co się pakować do firmy, której ona nam nie odpowiada? A jeśli nawet padnie decyzja o rezygnacji i przenosinach - to czemu na ostatnią chwilę? 

Wydaje mi się, że w tej materii dużo jest różnych podmiotów o zróżnicowanych metodach weryfikacji tożsamości abonenta i wystarczy sobie wybrać taką, która nam pasuje. Bo dla jednych biurokracja to zbędny utrudniacz, dla innych - zwiększa ich poczucie bezpieczeństwa, że coś nie wydarzy się tak-nagle-od-tak.

 

Gdy się śpieszysz na spotkanie i chcesz po drodze coś zjeść, to nie wstępujesz do wykwintnej restauracji z pretensjami "czemu-tak-długo-muszę-czekać" tylko bardziej szukasz jakiegoś kebaba czy McDonalda, w którym dostaniesz coś szybko ale mniej wykwitnie. 

 

I tak, próby wyłudzania domen via BOK registrara zdarzają się.

[Sevos]

Godzinę temu, kafi napisał(a):

Ja nie rozumiem tylko jednego. Bo o ile do polityki marketingowo-cenowo-komunikacyjnej do nazwy można mieć dużo zastrzeżeń, to polityka wydawania kodów authinfo jest znana i... po co się pakować do firmy, której ona nam nie odpowiada?

 

Większość klientów nazwy raczej jest nieświadoma rynku hostingowego. Nazwa ma przebicie marketingowe dzięki reklamom, które są wszędzie. Wykupienie WHT też jest częścią ich strategii marketingowej. 

Podejmując decyzje nie kierują się logiką, tylko maksymalizacją zysków. Wymaganie podpisu za authinfo nie musi być logiczne, ale jeśli sprzyja ich biznesowi, pozostanie to tak jak jest. Aspekty bezpieczeństwa mogą być najwyżej "bonusem" usprawiedliwiającym tego typu podejście. Na wszystko znajdziesz dobrą wymówkę, którą ludzie kupią.

 

Nawet ta dyskusja tutaj raczej nic w tej kwestii nie zmieni, więc stąd też nie ma sensu o tym kilka stron dyskutować. 

[spex]

W dniu 26.05.2023 o 09:04, Tom X napisał(a):

Zgoda. Inną formą separacji jest utrzymywanie domen u zewnętrznego operatora (oferującego 2FA i automatyczną obsługę wniosków AuthInfo) + wydelegowanie ich do operatora/operatorów hostingu. Wygodnie, bezpiecznie, tanio.

Zawsze jeszcze można mieć kombo operator DNS + operator hostingu (na którego skierowane są tylko np. rekordy A). Tylko z tego co pamiętam albo home.pl albo nazwa.pl przy takiej kombinacji robiła dość sporo pod górę.

 

Już nie mówiąc o tym, iż takie rozwiązanie też czasem upierdliwe, gdy chcemy korzystać z darmowego SSL. Z tego co widzę u obecnego operatora hostingu Let's Encrypt SSL typu wildcard wymaga challenge DNS, który nie zadziała przy takiej kombinacji.

(choć nie jestem pewien czy przy AttHost dało się wystawic wildacarda).

[Tom X]

W dniu 25.05.2023 o 23:02, itomek napisał(a):

Formą tego typu separacji jest prośba o przesłanie wniosku, po podpisaniu go przez osobę uprawnioną. Podpis może być złożony albo na dokumencie PDF, albo na wniosku wydrukowanym, a sam wniosek generowany jest automatycznie. 

Niestety muszę cofnąć swoją wcześniejszą aprobatę powyższej formy separacji z uwagi na brak wzorów podpisu/pieczęci firmowej przy rejestracji domeny. Zgodziłbym się, gdyby rejestracji domeny towarzyszył obowiązek złożenia takich wzorów.