WHOIS e rischi

Vittorio Bertola vb a BERTOLA.EU.ORG
Gio 23 Gen 2003 09:55:12 CET


On Thu, 23 Jan 2003 03:34:45 +0100, you wrote:

>Una piccola premessa e quindi commento alcuni passaggi di V.Bertola.
>
>Il problema della visibilita' dei contatti nel WHOIS e' un problema ricorrente e
>diffuso a livello mondiale  perche' - dal punto di vista dell'universo privato
>'internet' - ci sono solamente dei 'best-pratice'  e raccomandazioni e non dei
>'requirement' stringenti.

Fino a un certo punto... ad esempio il contratto ICANN-registrar per i
gTLD (.com eccetera) prevede che i registrant debbano essere obbligati
a fornire dati validi da inserire nel WHOIS, pena la cancellazione del
dominio, e prevede addirittura procedure di contestazione e pronta
rettifica. In altre parole, chiunque puo' contestare la correttezza
dei dati del registrant di un dominio .com, e se il registrant non
risponde provandone la correttezza entro 15 giorni (anche solo perche'
e' al mare o non ha mai ricevuto l'avviso della contestazione) perde
immediatamente il dominio. (Quanti in lista ne sono coscienti?)

La discussione in corso in ICANN attualmente e' molto accesa proprio
perche' alcuni (in particolare la lobby della proprieta'
intellettuale) spingono per mantenere il WHOIS cosi' com'e', per un
maggior controllo dell'identita' dei registrant e per una applicazione
rigida del limite dei 15 giorni, mentre altri (cioe' i rappresentanti
degli utenti) richiedono che venga pero' garantita la possibilita' di
non pubblicare i propri dati a tutto il mondo, e che vengano concessi
termini piu' ragionevoli per gli adeguamenti.

In altre parole la soluzione ragionevole mi sembra: dati sicuri e
certificati, ma opzionalmente privati tranne che per le autorita'
investigative. E sottolineo anche che, in un paese civile, sono le
autorita' investigative ad effettuare indagini sulle attivita' delle
persone, incluse quelle online, e non il primo che passa. Questo
include anche le suddette lobby del copyright che usano il WHOIS per
mandare lettere di "cease and desist" ai quindicenni che, ad esempio,
fanno un sito su un artista famoso violando (secondo loro) i loro
trademark. Se dovessero andare da un giudice magari il giudice gli
darebbe torto, quindi in questo modo possono adottare tattiche di
pressione legale per spaventare le persone identificate grazie al
WHOIS.

In Olanda, a quanto mi e' stato detto, in seguito a un recentissimo
cambio di regole i registrant possono optare per la segretezza della
propria identita', e in questo caso le query WHOIS restituiscono i
contatti del maintainer. In questo modo l'unico uso positivo del
WHOIS, ossia contattare i responsabili tecnici di un dominio in caso
di problemi tecnici, e' garantito lo stesso, anzi ancora di piu' visto
che nel 99% dei casi (e a differenza di quanto accadeva molti anni fa
quando il WHOIS fu concepito) il titolare non capisce un bel niente di
DNS, e si aspetta che sia il suo ISP a gestire tutto.

(D'altra parte, se un dominio ha problemi di DNS e quindi non
funziona, non riceve posta, eccetera, ci sono solo due casi: o il
dominio e' effettivamente usato e in questo caso e' probabile che il
titolare si sia gia' accorto da solo che non funziona, o il dominio
non e' usato e in questo caso e' probabile che le segnalazioni altrui
vengano accolte con un bel "grazie" e poi ignorate.)

In UK l'anno scorso Nominet ha tentato di adeguarsi allo standard
pubblicando gli indirizzi postali (a pubblicare i numeri di telefono e
fax non ci hanno neanche provato). Il risultato e' stata una violenta
campagna di opinione (http://www.nominet-no.co.uk/) che ha costretto
Nominet a concedere la possibilita' di opt-out dal WHOIS a tutti gli
individui (mentre non e' concessa alle aziende; anche questo puo'
essere un buon compromesso).

>Il DNS system  (e quindi anche il namespace del .it) rientra prevalentemente
>nella categoria 'diffusione' (con alcune varianti in forma di 'comunicazione' se
>si vuole pignolare sui zone-transfer) e quando si richiede l'assegnazione di un
>nome lo si fa proprio perche' sia 'reso visibile'.

Si', ma si vuole rendere visibile il nome, non il proprio numero di
telefono di casa :-)

>Anche qua,... dipende... ci sono casi in cui non e' richiesto il consenso, altri
>in cui deve essere data comunicazione al soggetto a valle della raccolta altri
>in cui e' il garante a decidere se e' il caso o meno... Se si vuole si puo'
>invece discutere sul fatto se la pubblicazione nel WHOIS sia funzionale alla
>gestione del DNS system o meno. (Tenendo presente che bisogna
>combattere il cybersquatting privilegiando, ove possibile forme di risoluzione
>delle dispute alternative alla giurisdizione ordinaria etc.etc.)

Attenzione: il fatto che i dati non siano accessibili a tutti tramite
una semplice query non vuol dire che diventino del tutto segreti.
Ovviamente il registro deve conoscere l'intestatario del dominio, e
altrettanto ovviamente si possono prevedere una serie di casi in cui
la privacy puo' venire violata per varie ragioni (la legge, se non
erro, gia' prevede che lo possano fare gli organi investigativi dello
Stato, e troverei sensato che questa possibilita' venga estesa ad
esempio ai saggi delle MAP). Basta predisporre accessi autenticati e
riservati per chi ha reale necessita' di accedere ai dati completi.
--
vb.                  [Vittorio Bertola - vb [at] bertola.eu.org]<---
-------------------> http://bertola.eu.org/ <-----------------------



Maggiori informazioni sulla lista ita-pe