Roma – Dal primo febbraio 2004 la Registration Authority italiana (RA) accentra in sé il potere di fare le regole sui nomi a dominio e quello di applicarle . Venendo meno così a uno schema internazionalmente condiviso, nel quale le due funzioni sono nettamente separate e interrompendo i rapporti con la comunità degli utenti che, tramite la Naming Authority (NA) cooperava – gratuitamente – a “mandare avanti la baracca”.
Da molto tempo, infatti, la RA e, in particolare il suo responsabile, il Prof. Franco Denoth, direttore dell’Istituto di Informatica e Telematica del CNR, aveva manifestato una certa riottosità nell’accettare le decisioni della NA (della quale, pure, la RA è componente). Questo è stato evidente, per esempio, quando la RA – pur vincolata dalle regole di Naming – mise in discussione l’obbligo di eseguire le decisioni degli “enti conduttori”, cioè di quegli organismi commerciali o professionali che, a pagamento, fungevano da “tribunali privati” per i casi di accaparramento di nomi a dominio.
Tutto questo è accaduto per via dei rapporti sempre più tesi fra i due organismi, che hanno fatto crescere la situazione di disagio fino a livelli intollerabili.
Sembrava che l’intervento del Ministero delle comunicazioni, culminato nella creazione del “tavolo dei domini”, dovesse rimettere in ordine le cose. Tant’è che la convocazione dell’assemblea della NA veniva rinviata a tempo indeterminato in attesa della costituzione della “Fondazione Meucci”, annunciata dal Ministero per lo scorso maggio 2003 e mai, tuttavia, attuata.
Ma con la scusa del prossimo arrivo di questo nuovo organismo, di fatto la NA è stata relegata in soffitta e il risultato pratico di tutto questo è stato la paralisi.
A questo punto, su esplicita richiesta del prof. Denoth, venne siglato (meglio sarebbe dire forzato) un Memorandum of Understanding fra RA e NA che avrebbe dovuto “transitare” la situazione verso un assetto più stabile, ridefinendo i termini di collaborazione fra l’istituto del CNR (organizzato, dotato di strutture e fondi consistenti, per via delle somme percepite dai maintainer) e l’organizzazione no-profit (basata sul lavoro volontario dei soci, non finanziata, priva di potere contrattuale).
Gli “accordi” stabiliti nel MoU – che in realtà vincolavano solo la NA – prevedevano appunto che, pur formalmente ancora in piedi, quest’ultima “congelasse” i propri organi direttivi e trasferisse i poteri di regolamentazione a un Policy Board (PB) formalmente eletto dall’assemblea, ma sostanzialmente espressione di vari gruppi di interesse (provider, maintainer, ecc.). Il PB sarebbe dovuto essere un organismo svincolato dalla NA e quindi avrebbe dovuto intrattenere rapporti autonomi con la RA.
Tutto questo – insieme alla clausola che la RA si riservava il diritto di riconoscere o meno il PB a seconda dei componenti nominati – si sarebbe dovuto concludere entro e non oltre il 31 gennaio 2004 con la convocazione formale del PB da parte della RA che, decorsa quella data, si sarebbe ritenuta svincolata dagli accordi presi.
La consacrazione formale di questo accordo è avvenuta lo scorso 9 dicembre 2003 a Pisa, dove si è tenuta l’ultima vera (e sofferta) assemblea della NA. Che però non è stato l’ultimo atto della vicenda, considerato che nei giorni successivi è stato sempre più evidente che la RA non aveva intenzione di convocare il PB nel termine pattuito.
E infatti, dopo numerose richieste formulate pubblicamente (e invano) nella lista ITA-PE frequentata dai membri della NA, tutto quello che si otteneva era un messaggio interlocutorio del prof. Denoth, che annunciava una prossima convocazione del PB senza indicare una data precisa, adducendo a spiegazione del ritardo le difficoltà di individuare i componenti ministeriali del PB (cosa, peraltro, non prevista nel MoU).
Ovviamente, non essendo stato convocato in tempo, il PB non ha più né potere, né riconoscimento. È solo un gruppo di persone che la RA potrà decidere di ascoltare o meno. Ma che non può avere alcun titolo né potere per decidere sulla sorte dei nomi a dominio italiani.
Morale: buttati fuori gli utenti dalla gestione dei nomi a dominio, il tutto rimane nelle mani di un unico organismo che fa le regole e le applica, senza alcuna forma di controllo.
Non c’è che dire. Un bell’esempio di gestione “internet-style”, anche da parte del governo.
Per chi fosse interessato ad approfondire il tema, questi sono alcuni link
Direzione dell’istituto di informatica e telematica
Regitration Authority
Naming Authority
Update ultim’ora: A seguito delle numerose proteste della lista ITA-PE contro il comportamento della Registration Authority, il prof. Denoth ha ufficiosamente comunicato – tramite il Presidente della NA – che entro il prossimo martedì verrà convocata la riunione che convocherà il Policy Board, specificando di non considerare la data del 31 gennaio come scadenza degli accordi in vigore. Una interpretazione, questa, condivisa peraltro dal solo Registro.
-
Well done !
...l'articolo di Andrea e Marco (dopo aver seguito su una ML di diritto il vivace dibattito seguito alla notizia originaria) mi appare alquanto convincente...:)Bravi !Maurizio Bucc.ZizioAutenticazione in Uscita (Smtp)
Le mail "In uscita" non necessitano di autenticazione (se fatte su un server smtp) con "US/PW". Sono quindi da considerare con firma leggera o no?AnonimoRe: Autenticazione in Uscita (Smtp)
IMHObBene o male, anche se non c'è U/P diretta, l'SMTP autentica nel 99.99% dei casi un pool di IP tra i quali quello del mittente, che viene assegnato dall'ISP o dal network administrator dietro autenticazioneGli open relay sono l'0.01% per colpa di sistemisti sprovveduti, ed in ogni caso (sempre nel caso di mail non alterata) riportano comunque l'IP mittente (assegnato da altro provider o netadm dietro autenticazione).EGAnonimoRe: Autenticazione in Uscita (Smtp)
- Scritto da: Anonimo> IMHOb> > Bene o male, anche se non c'è U/P> diretta, l'SMTP autentica nel 99.99% dei> casi un pool di IP tra i quali quello del> mittente, che viene assegnato dall'ISP o dal> network administrator dietro autenticazione> > Gli open relay sono l'0.01% per colpa di> sistemisti sprovveduti, ed in ogni caso> (sempre nel caso di mail non alterata)> riportano comunque l'IP mittente (assegnato> da altro provider o netadm dietro> autenticazione).Appunto in caso di mail non alterata.Ma il problema non è tanto l'autenticazione del server SMTP, quanto la possibilità di creare dal nulla e con estrema facilità una mail finta che io in realtà non ho mai ricevuto, magari copiando dall'header di un'altra mail che effettivamente ho ricevuto da quel destinatario. E comunque il contenuto dell'e-mail è falsificabile senza che nessuno possa in alcun modo provare, partire dal file su cui è memorizzata, che è stata falsificata!APAnonimoRe: Autenticazione in Uscita (Smtp)
- Scritto da: Anonimo> > - Scritto da: Anonimo> > IMHOb> > > > Bene o male, anche se non c'è U/P> > diretta, l'SMTP autentica nel 99.99% dei> > casi un pool di IP tra i quali quello> del> > mittente, che viene assegnato dall'ISP> o dal> > network administrator dietro> autenticazione> > > > Gli open relay sono l'0.01% per colpa di> > sistemisti sprovveduti, ed in ogni caso> > (sempre nel caso di mail non alterata)> > riportano comunque l'IP mittente> (assegnato> > da altro provider o netadm dietro> > autenticazione).> > Appunto in caso di mail non alterata.> Ma il problema non è tanto> l'autenticazione del server SMTP, quanto la> possibilità di creare dal nulla e con> estrema facilità una mail finta che> io in realtà non ho mai ricevuto,> magari copiando dall'header di un'altra mail> che effettivamente ho ricevuto da quel> destinatario. > E comunque il contenuto dell'e-mail è> falsificabile senza che nessuno possa in> alcun modo provare, partire dal file su cui> è memorizzata, che è stata> falsificata!***guarda che non stiamo mica parlanmdo della copia cartacea dell'e-mail! Al Giudice si porta tutto quello che identifica l'email elettronicamente su un CDrom! Guarda cosa ha prodotto l'avv. Cuniberti nel ricorso! tutto quello che è facile fare nella realtà è facile farlo su Internet...perchèp dobbiamo prevdere differenze normative??Anonimoma stiamo scherzando??
Un email senza firma elettronica non può essere paragonata ad una lettera sottoscritta!!!!Le possibilità di contraffazione sono tantissime!!!Si può falsificare l'ora, l'ip, l'indirizzo del mittente il destinatario!!!! ..... il giro di percorso!!!Certo se chi la manda è in buona fede si spera che non abia usato tali accorgimenti!!!Ma pensate ad un programma (tipo virus o malaware) che in automatico invia una email di sottoscizione di un debito o di un acquisto!!Non ho letto bene gli articoli ma dalle prime righe ho intravisto una conclusione....che per un informatico è assurda!!AnonimoRe: ma stiamo scherzando??
> Un email senza firma elettronica non> può essere paragonata ad una lettera> sottoscritta!!!!> > Le possibilità di contraffazione sono> tantissime!!!Perchè, una lettera sottoscritta non può essere falsificata!? :)Anonimotutto puo essere falsificato?
I documenti cartacei possiedono in genere delle procedure burocratiche di autenticazione.In genere ci sono testimoni ci sono timbri a volte c'è l'autentica da pubblico ufficiale...non tutti sono capaci di copiare una firma...etc.Comunque anche la firma elettronica puo essere falsificata (basta modificare la copia o l'indirizzo web della firma elettronica dei certificatori presente nel computer)se la mettiamo su questi termini....ma in informatica l'automazione rende molto più facile copiare, modificare e falsificare documenti rispetto al cartaceo.Esempio.E' impossibile spedire una lettera con data anticipate se non c'è l'aiuto di un impiegato postale infedele!E' impossibile modificare una lettera una volta scritta senza lasciare tracceE' impossibile falsificare un atto notarile o commerciale ( perchè l'originale è depositato ed è diverso)!In ogni compravendita privata ci sono delle copie fisiche fornite ad entrambi i soggetti diverse ( se modifico una non posso modificare l'altra)Insomma nelle lettere esiste anche una consistenza fisica è temporale che non esiste in informatica...o almeno può essere annullata......inoltre come ripeto i mezzi di falsificazione sono estremamente più difficili da scoprire e sono molto semplici da usare!!AnonimoRe: tutto puo essere falsificato?
...e infatti gli autori non dicono che l'e-mail dovrebbe sostituire i documenti notarili o i certificati delle PA (per quelli rimane indispensabile la firma digitale...lo dicono anche loro nell'articolo...)Loro affermano intanto che la firma digitale non può essere considerata l'unico strumento (e sappiamo bene che è così..anche se ragioni economiche e politiche vorrebbero tappare la bocca a chi lo afferma...;)) e poi che, se nel commercio "reale" un pezzo di carta con una sottoscrizione (o un telefax) ha un valore giudiziale (pur se questo documento può essere altrattano facilmente contrafatto) allora perchè mai uno strumento utilizzatissimo come l'e-mail non dovrebbe avere alcun valore?Non sarà un retaggio della vecchia dottrina tanto legata alla forma scritta e che non si accorge che i tempi stanno cambiando?AnonimoRe: tutto puo essere falsificato?
> I documenti cartacei possiedono in genere> delle procedure burocratiche di> autenticazione.Come? quando tu scfrivi una lettera ad un tuo fornitore,o peggio ad un tuo amico, usi delle procedureburocratiche che ti identificano? Io no.> In genere ci sono testimoni ci sono timbri a> volte c'è l'autentica da pubblico> ufficiale...non tutti sono capaci di copiare> una firma...etc.I testimoni possono essere falsi. I timbri possono esserefalsificati, e per copiare un timbro basta aver lavorato inuna tipografia. Per copiare una firma, poi, di solito bastaun po' di pratica e l'attitudine a disegnare che hanno moltepersone.> Comunque anche la firma elettronica puo> essere falsificata (basta modificare la> copia o l'indirizzo web della firma> elettronica dei certificatori presente nel> computer)se la mettiamo su questi> termini....ma in informatica l'automazione> rende molto più facile copiare,> modificare e falsificare documenti rispetto> al cartaceo.Per costruire un documento elettronico e renderlo deltutto simile ad uno autentico, lo sforzo è piccolo.Per ricostruire una finta corrispondenza e-mail,taroccare i log dei mail server e degli access server,ritoccare gli header, invece, lo sforzo è molto piùgrande di quello necessario a falsificare una letteracon carta intestata, macchina da scrivere e firma falsa.> Esempio.> > E' impossibile spedire una lettera con data> anticipate se non c'è l'aiuto di un> impiegato postale infedele!Non occorre. Basta spedire una lettera autentica,intercettarla prima che il destinatario la riceva e poisostituirne il contenuto quando se ne ha voglia. Oppurebasta falsificare il timbro postale (tutti gli incisori cheproducano timbri, monete o medaglie sono in gradodi farlo alla perfezione).> E' impossibile modificare una lettera una> volta scritta senza lasciare tracceLa cronaca è piena di contratti falsi e firme su foglibianchi che poi vengono riempiti; poco tempo fagiravano le "petizioni" che sotto, in carta copiativa,ti facevano firmare un contratto prestampato.> E' impossibile falsificare un atto notarile> o commerciale ( perchè l'originale> è depositato ed è diverso)!Per un atto notarile sono quasi sicuro; per un contrattocommerciale, se le due copie sono diverse si va dalgiudice per stabilire quella giusta.> In ogni compravendita privata ci sono delle> copie fisiche fornite ad entrambi i soggetti> diverse ( se modifico una non posso> modificare l'altra)Vedi sopra. Inoltre, la copia fisica di un contratto puòessere rubata, distrutta o alterata - basta riuscire adentrare dove viene conservata. Perfino le carte processualisono state recentemente trafugate dai tribunali, bloccandole inchieste.> Insomma nelle lettere esiste anche una> consistenza fisica è temporale che> non esiste in informatica...o almeno> può essere annullata......inoltre> come ripeto i mezzi di falsificazione sono> estremamente più difficili da> scoprire e sono molto semplici da usare!!E' vero il contrario.Nella trasmissione di documenti informatici esistonoevidenze fisiche e temporali difficilmente manipolabili,ed i mezzi di falsificazione dei documenti cartaceisono più "artigianali" e alla portata di tutti - mentre perfalsificare un documento elettronico la cura dev'esseremaggiore: per una lettera devi falsificare solo il pezzodi carta, per l'e-mail devi taroccare l'intero sistema ditrasmissione.AnonimoRe: tutto puo essere falsificato?
- Scritto da: Anonimo> Comunque anche la firma elettronica puo> essere falsificata (basta modificare la> copia o l'indirizzo web della firma> elettronica dei certificatori presente nel> computer)hai detto poco!>se la mettiamo su questi> termini....ma in informatica l'automazione> rende molto più facile copiare,> modificare e falsificare documenti rispetto> al cartaceo.> > Esempio.> > E' impossibile spedire una lettera con data> anticipate se non c'è l'aiuto di un> impiegato postale infedele!più o meno come accedere ad un computer non connesso ad internet in una proprietà privata, protetto da giusta sicurezza e password a rubare il certificato > E' impossibile modificare una lettera una> volta scritta senza lasciare tracce> > E' impossibile falsificare un atto notarile> o commerciale ( perchè l'originale> è depositato ed è diverso)!vero :) > In ogni compravendita privata ci sono delle> copie fisiche fornite ad entrambi i soggetti> diverse ( se modifico una non posso> modificare l'altra)> > Insomma nelle lettere esiste anche una> consistenza fisica è temporale che> non esiste in informatica...o almeno> può essere annullata......inoltre> come ripeto i mezzi di falsificazione sono> estremamente più difficili da> scoprire più facili immagino volessi dire>e sono molto semplici da usare!!>AnonimoRe: ma stiamo scherzando??
Ripetiamolo ! Sembra che non si voglia capire che questo fatto fa crollare tutta l'impostazione.L'autenticazione sul server di posta in uscita non identifica l'email mittente che puo' essere semplicemente cambiata.La dottrina proprio non c'entra nulla.AnonimoRe: ma stiamo scherzando??
- Scritto da: Anonimo> Ripetiamolo ! Sembra che non si voglia> capire che questo fatto fa crollare tutta> l'impostazione.> > L'autenticazione sul server di posta in> uscita non identifica l'email mittente che> puo' essere semplicemente cambiata.> > La dottrina proprio non c'entra nulla.***e in entrata invece l'autenticazione c'è...quindi in uno scambio di e.mail ciò è sufficiente! o no? :)AnonimoRe: ma stiamo scherzando??
- Scritto da: Anonimo> > - Scritto da: Anonimo> > Ripetiamolo ! Sembra che non si voglia> > capire che questo fatto fa crollare> tutta> > l'impostazione.> > > > L'autenticazione sul server di posta in> > uscita non identifica l'email mittente> che> > puo' essere semplicemente cambiata.> > > > La dottrina proprio non c'entra nulla.> > ***e in entrata invece l'autenticazione> c'è...quindi in uno scambio di e.mail> ciò è sufficiente! o no? :)NO perchè quello identifica il destinatario non il mittente!!!!Ma secondo me il problema più grave non è tanto l'autenticazione del server SMTP, quanto la possibilità di creare dal nulla e con estrema facilità una mail finta che io in realtà non ho mai ricevuto, magari copiando dall'header di un'altra mail che effettivamente ho ricevuto da quel destinatario (indirizzo IP ecc.).E comunque il contenuto dell'e-mail è falsificabile senza che nessuno possa in alcun modo provare, partire dal file su cui è memorizzata (nè tantomeno da una stampa), se sia stata falsificata o se sia autentica (cosa che invece si può fare su un documento sottoscritto)!L'unica possibilità sarebbe che gli ISP, oltre a richiedere l'autenticazione sul server SMTP, tenessero copia di tutte le e-mail spedite tramite quel server, ma questo avrebbe dei costi enormi (oltre alle questioni di privacy che ne deriverebbero)APAnonimoRe: ma stiamo scherzando??
> Un email senza firma elettronica non> può essere paragonata ad una lettera> sottoscritta!!!!In fondo hai ragione, perchè ...> Le possibilità di contraffazione sono> tantissime!!!... ma molte meno di una lettera sottoscritta.> Si può falsificare l'ora, l'ip,> l'indirizzo del mittente il destinatario!!!!> ..... il giro di percorso!!!... ma se si vuole avere successo occorre ancheritoccare i log di trasmissione dei server SMTPintermedi. In pratica, ci si lascia alle spalle unmucchio di indizi, e non basta mettere i guantiper non lasciare impronte, come per la lettera dicarta ...AnonimoRe: era ora che qualcuno dicesse queste cose
> Ma poi se un foglio di carta sottoscritto> (assolutamente modificabile e poco sicuro) o> un telefax hanno un certo valore> perchè non dovrebbe avere lo stesso> valore l'e-mail?Per la facilità e la semplicità di fare false email!! ...che abbiano poi valore giuridico!Ti mando una email in cui ti dico che l'acquisto e gratis, "clicca qui per accettare"...in reltà il link mi auto invia una email che mi fa acquistare cose non volute a persone non conosciute ne contattate!Oppure creo un e-mail in cui risulta che tu mi hai inviato insulti e io ti denuncio!Oppure modifico la e-mail che mi è stata inviata affermando cose non vereoppure mi dimentico di comunicare in tempo una informazione, cambiodata al pc, scelgo il remailer giusto e ti invio una e mail postdatata.E tutto questo senza avere tecniche complesse da falsari e in modo automatico su 1-10-100-1000 pcun telefax ha comunque l'intestazione di arrivo e destinazione e l'ora che sicuramente sono giuste.... e comprovabili tramite il gestore di telefona la firma digitale è necessaria ( anche debole va bene) altrimenti la modificabilità dei documenti informatici attuali non pone limiti alla fantasia malevola gia solo con notepad e telenet di windowsQuando arriva un e-mail non c'e nessuna certezza di chi l'ha spedita dall'altra parte...ne chi la spedisce ha certezza che arrivi al giusto destinatario ne in che data e se poi l'ha comunque potuta leggereAnonimoRe: era ora che qualcuno dicesse queste cose
- Scritto da: Anonimo> > > Ma poi se un foglio di carta> sottoscritto> > (assolutamente modificabile e poco> sicuro) o> > un telefax hanno un certo valore> > perchè non dovrebbe avere lo> stesso> > valore l'e-mail?> > > Per la facilità e la> semplicità di fare false email!!> ...che abbiano poi valore giuridico!> e pensi forse che fare carte false sia più difficile???vatti a rivedere il film di Totò sui falsari! :-)Guarda che se è facile inviare una e-mail da un indirizzo altrui è difficile poi riceverla da quell'indirizzo....e comunque sono tutte attività smascherabili (e spesso rintracciabili) da chi ha un minimo di cultura tecnico informatica... di quella sì abbiamo bisogno, di cultura dell'informatica non di firma digitale!!!Anonimosenza firma digitale nisba.
leggo dall'articolo proprio "Quando noi utilizziamo il nostro bancomat, la nostra carta di credito, o ci abboniamo ad un servizio a pagamento on-line, o accediamo all'area riservata di un sito web (...) abbiamo oppure o no posto in essere un'attività giuridicamente rilevante? Quei prelievi allo sportello bancomat, quei pagamenti con carta di credito, quell'abbonamento sono, o non sono, imputabili al nostro agire? Inoltre, se l'email non dovesse soddisfare il requisito della forma scritta, e non dovesse soddisfarlo neppure l'autenticazione (con pw e id) di tutti i siti web per accedere alle aree riservate, allora il consenso espresso e documentato per iscritto per il trattamento dei propri dati personali (come richiesto dal Codice della Privacy) e la sottoscrizione di clausole vessatorie non potranno mai essere richiesti elettronicamente, se non quando in tutta Italia tutti avranno firme digitali?e tutto il mondo dovrà adeguarsi?"e ricordo di aver sentito al webbit 03 un avvocato affermare proprio questo, ovvero NO, NON HANNO VALORE.Si tratta di una convenzione comunemente accettata con buon senso, ma in caso di problemi, aver semplicemente cliccato non significa nulla. Dovremmo sempre autenticarci con firma digitale, in particolare pare sia riconosciuta solo la Smart Card di infocamere.il che mi sta sul cazzo.AnonimoRe: senza firma digitale nisba.
- Scritto da: Anonimo> leggo dall'articolo proprio "Quando noi> utilizziamo il nostro bancomat, la nostra> carta di credito, o ci abboniamo ad un> servizio a pagamento on-line, o accediamo> all'area riservata di un sito web (...)> abbiamo oppure o no posto in essere> un'attività giuridicamente rilevante?> Quei prelievi allo sportello bancomat, quei> pagamenti con carta di credito,> quell'abbonamento sono, o non sono,> imputabili al nostro agire? Inoltre, se> l'email non dovesse soddisfare il requisito> della forma scritta, e non dovesse> soddisfarlo neppure l'autenticazione (con pw> e id) di tutti i siti web per accedere alle> aree riservate, allora il consenso espresso> e documentato per iscritto per il> trattamento dei propri dati personali (come> richiesto dal Codice della Privacy) e la> sottoscrizione di clausole vessatorie non> potranno mai essere richiesti> elettronicamente, se non quando in tutta> Italia tutti avranno firme digitali?e tutto> il mondo dovrà adeguarsi?"> > e ricordo di aver sentito al webbit 03 un> avvocato affermare proprio questo, ovvero> NO, NON HANNO VALORE.> Si tratta di una convenzione comunemente> accettata con buon senso, ma in caso di> problemi, aver semplicemente cliccato non> significa nulla. Dovremmo sempre> autenticarci con firma digitale, in> particolare pare sia riconosciuta solo la> Smart Card di infocamere.> > il che mi sta sul cazzo....ti posso assicurare che non è così...i contratti on line sono validi erilevanti (vedi d.lgs 70/2003)...e poi servono avvocati che dicano queste cose e che la firma digitale non serve a nulla e non la usa nessuno! ...e ci sono altri nsistemi per ottenere sicurezza e soprattutto semplicità! ;)AnonimoGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiRedazione 01 02 2004
Ti potrebbe interessare