WHOIS e rischi

Griffini Giorgio grunz a TIN.IT
Ven 24 Gen 2003 01:18:56 CET


Rispondo a V.Bertola

> On Thu, 23 Jan 2003 03:34:45 +0100, you wrote:
>
> >Una piccola premessa e quindi commento alcuni passaggi di V.Bertola.
> >
> >Il problema della visibilita' dei contatti nel WHOIS e' un problema ricorrente e
> >diffuso a livello mondiale  perche' - dal punto di vista dell'universo privato
> >'internet' - ci sono solamente dei 'best-pratice'  e raccomandazioni e non dei
> >'requirement' stringenti.
>
> Fino a un certo punto... ad esempio il contratto ICANN-registrar per i
> gTLD (.com eccetera) prevede che i registrant debbano essere obbligati
> a fornire dati validi da inserire nel WHOIS, pena la cancellazione del
> dominio, e prevede addirittura procedure di contestazione e pronta
> rettifica. In altre parole, chiunque puo' contestare la correttezza
> dei dati del registrant di un dominio .com, e se il registrant non
> risponde provandone la correttezza entro 15 giorni (anche solo perche'
> e' al mare o non ha mai ricevuto l'avviso della contestazione) perde
> immediatamente il dominio. (Quanti in lista ne sono coscienti?)
>

Mi riferivo a requirement che impongano che la lista debba essere pubblica,
privata o ad accesso controllato e non ai requirement, che invece sono
doverosi, relativi alla correttezza dei dati dell'assegnatario.
Poi si puo' certo discutere o meno su quali possano essere le idiosincrasie
che favoreggiano la pratica del 'reverse domain name hijacking' che e'
altrettanto deprecabile quanto il 'cybersquatting' ma e' tutt'altro discorso.

> In altre parole la soluzione ragionevole mi sembra: dati sicuri e
> certificati, ma opzionalmente privati tranne che per le autorita'
> investigative.
> E sottolineo anche che, in un paese civile, sono le
> autorita' investigative ad effettuare indagini sulle attivita' delle
> persone, incluse quelle online, e non il primo che passa.

Sul fatto che le agenzie investigative abbiano comunque accesso ai dati non
ci piove. Il problema nasce invece nel momento in cui anche solo per capire
chi sta occupando in malafede un nome, ed in tal caso, il costringere il
'terzo' danneggiato a rivolgersi alla magistratura via denuncia significa
vanificare gli sforzi messi in campo per attivare un sistema alternativo di
risoluzione delle dispute potenziando di fatto lo strumento della 'lungaggine
giudiziaria' che e' cio' su cui fanno conto gli squatters.

> In UK l'anno scorso Nominet ha tentato di adeguarsi allo standard
> pubblicando gli indirizzi postali (a pubblicare i numeri di telefono e
> fax non ci hanno neanche provato). Il risultato e' stata una violenta
> campagna di opinione (http://www.nominet-no.co.uk/) che ha costretto
> Nominet a concedere la possibilita' di opt-out dal WHOIS a tutti gli
> individui (mentre non e' concessa alle aziende; anche questo puo'
> essere un buon compromesso).
>

Infatti, personalmente differenzierei tra individui e aziende nella stessa
misura in cui viene regolata la comunicazione commerciale a distanza .... e
quindi per i privati il default e' riservato salvo espressa richiesta contraria
mentre per le aziende o professionisti pubblico senza possibilita' di renderlo
riservato.

La soluzione olandese mi piace meno perche' si presta ad essere utilizzata
da maintainer scorretti che registrano a loro nome i nomi dei clienti senza
che questi ultimi abbiano possibilita' di semplice verifica...

> >Il DNS system  (e quindi anche il namespace del .it) rientra
prevalentemente
> >nella categoria 'diffusione' (con alcune varianti in forma di 'comunicazione' se
> >si vuole pignolare sui zone-transfer) e quando si richiede l'assegnazione di un
> >nome lo si fa proprio perche' sia 'reso visibile'.
>
> Si', ma si vuole rendere visibile il nome, non il proprio numero di
> telefono di casa :-)
>

Certo, ma nel caso specifico ipotizzo che se uno ha questo scrupolo ha
anche chiesto la non pubblicazione sugli elenchi telefonici del proprio
numero. Chiaro che se poi, avendone coscienza, fornisce il numero
telefonico riservato per l'inserimento in un database che e' di dominio
pubblico....

> >Anche qua,... dipende... ci sono casi in cui non e' richiesto il consenso, altri
> >in cui deve essere data comunicazione al soggetto a valle della raccolta altri
> >in cui e' il garante a decidere se e' il caso o meno... Se si vuole si puo'
> >invece discutere sul fatto se la pubblicazione nel WHOIS sia funzionale alla
> >gestione del DNS system o meno. (Tenendo presente che bisogna
> >combattere il cybersquatting privilegiando, ove possibile forme di risoluzione
> >delle dispute alternative alla giurisdizione ordinaria etc.etc.)
>
> Attenzione: il fatto che i dati non siano accessibili a tutti tramite
> una semplice query non vuol dire che diventino del tutto segreti.
> Ovviamente il registro deve conoscere l'intestatario del dominio, e
> altrettanto ovviamente si possono prevedere una serie di casi in cui
> la privacy puo' venire violata per varie ragioni (la legge, se non
> erro, gia' prevede che lo possano fare gli organi investigativi dello
> Stato, e troverei sensato che questa possibilita' venga estesa ad
> esempio ai saggi delle MAP). Basta predisporre accessi autenticati e
> riservati per chi ha reale necessita' di accedere ai dati completi.

Beh, non parlerei di 'legittimare violazioni di privacy'  perche' e' una
contraddizione di termini. Parlando con la terminologia della 675 si tratta di
stabilire le finalita' dei dati che vengono raccolti, indiduare i soggetti incaricati
del trattamento e i terzi cui questi dati hanno accesso e per quali
finalita'...per intenderci quando un rivenditore attiva una SIM per un cellulare
conosce il tuo numero telefonico ma non sta certo 'violando la tua privacy' ...

Cordiali saluti
Giorgio Griffini



Maggiori informazioni sulla lista ita-pe