Jak to zatem jest, że niektórzy rejestratorzy do zmiany abonenta domeny czy do wydania kodu autoryzacyjnego authinfo wymagają przesłania wniosku i kompletu innych dokumentów, a inni pozwalają na zrobienie tego bezpośrednio po zalogowaniu się do panelu zarządzania domeną?

Odpowiedź nie jest wcale prosta i pozwolę sobie wcześniej na małą dygresję.

Kilka lat temu, gdy rynek domen nie był tak rozwinięty jak obecnie (wysokie ceny rejestracji, mała liczba firm mających podpisane porozumienia o współpracy z rejestrami typu NASK, ogólnie mała świadomość internetowa użytkowników końcowych), sprawa była prosta. Ktoś, kto kupił domenę bardzo rzadko się jej „pozbywał”, rynek wtórny domen praktycznie nie istniał, zatem nie było potrzeby częstej zmiany abonenta i/lub pobierania kodu authinfo służącego do przeniesienia domeny do innej firmy rejestrującej (np. ze względu na niższą cenę odnowienia danej domeny).

Obecnie sytuacja wygląda inaczej: domeny polskie (.pl) można rejestrować u 75 bezpośrednich Partnerów NASK (stan na 4 kwietnia 2008 roku), liczba zarejestrowanych domen polskich niedługo dobije do miliona, a sam rynek wtórny domen dzięki obecności platform takich jak SEDO, NameDrive, Bodis.com, czy nawet Allegro rośnie w siłę i staje się coraz bardziej znaczącym źródłem przychodów w branży elektronicznej. Wiadomo, że nie ma sensu porównywać obrotów związanych z handlem domenami do obrotów branży reklamowej, niemniej jednak coraz częstsze spektakularne przypadki sprzedaży domen za dziesiątki tysięcy Euro dają do myślenia i rozbudzają nadzieję wielu na szybki i ogromny zarobek na handlu domenami.

I tu dochodzimy do sedna sprawy. Domena to wirtualny twór obecny w Internecie. Domenę „kupuje się” (celowo upraszczam i unikam prawniczego języka ) na określony czas (abonament) u rejestratora. Przez ten czas właścicielem jest ta osoba, której dane zostały podane w formularzu rejestracyjnym domeny i zostały przesłane do NASK. Dane te można sprawdzić w bazie WHOIS (w przypadku domen rejestrowanych na osobę fizyczną tylko wtedy, gdy nie została włączona przez rejestrującego blokada wyświetlania tych danych).

Co jednak w sytuacji, gdy właściciel sprzeda domenę? Dane trzeba zmienić. A co, jeśli zachodzi potrzeba przeniesienia domeny? Trzeba mieć authinfo, czyli kod autoryzacyjny umożliwiający zlecenie u „nowego” rejestratora przeniesienia domeny. Teoretycznie wystarczyłoby zalogować się do panelu zarządzania domeną, zmienić dane i pobrać kod authinfo. I przenieść do nowego rejestratora. I wielu rejestratorów na to pozwala!

W czym zatem problem? W tym, że wszystko ładnie, pięknie, prosto, ale skąd pewność, że zmiany dokonał, albo kod pobrał i domenę przetransferował rzeczywisty właściciel domeny, a nie ktoś, kto uzyskał „nieautoryzowany dostęp” do panelu zarządzania, czyli ukradł/odgadł hasło?

Co więcej (i niestety wiem to z „mojego podwórka„): ciągle „świadomość Internetu” wśród jego użytkowników jest stosunkowo niewielka – mam tu na myśli bardziej techniczną część sieci. Wiele osób/firm posiada/chce posiadać swoje „wizytówki” w internecie, bo wiedzą, że to niemały kanał reklamowy, albo że tak wypada.

Ale wielu z nich nie ma pojęcia o technologii, zasadach działania (bo w sumie nie musi mieć) i do obsługi „strony” wybiera „znajomego znajomego, który ma znajomego co się zna„. I taki „ktoś” ma w swoim panelu (załóżmy) 10 domen należących do 10 różnych firm, które obsługuje (sytuacja, powtarzam, NIE jest teoretyczna). A właścicielem tych domen NIE jest ten „ktoś„, lecz poszczególne firmy. I teraz gdyby taka osoba miała możliwość zmiany abonenta w panelu zarządzania – JAK możliwe byłoby zagwarantowanie, że NIE zmieni danych abonenta danej domeny bez wiedzy i zgody prawowitego właściciela? Moje ulubione wyrażenie „nie da się„…

Jest jednak sposób, który pozwala zwiększyć pewność, że osoba, która zmienia dane właściciela i/lub pobiera kod authinfo jest co najmniej do tego upoważniona. Sposób prosty i stosowany przez część rejestratorów (Onet.pl, Home.pl, Nazwa.pl i wielu innych). Polega on na konieczności dostarczenia wniosku podpisanego przez właściciela wraz z ewentualnymi innymi dokumentami potwierdzającymi, że ten „ktoś” to albo właściciel, albo ma od właściciela upoważnienie. Wniosek można dostarczyć emailem (skan) , faksem, pocztą tradycyjną, kurierem, osobiście…

Można powiedzieć „Jak ktoś będzie chciał to prześle dowód kolegi albo pobawi się PhotoShopem [...]„.

Jasne, ale można odpowiedzieć krótko: to jest fałszerstwo. Część ludzi ciągle traktuje internet jako coś anonimowego, zabawkę i zakładają, że to tylko nic nie znaczące kliknięcia. Podrobienie dokumentu to już jednak nawet w świadomości dziecka przestępstwo, zatem można założyć, że jest to również coś w rodzaju straszaka na tych, którzy przez panel zmieniliby dane – tu się po prostu boją. Papier to papier. I to właśnie powoduje, że można założyć, że bardziej prawdopodobnym jest to, że przesłany dokument jest rzeczywiście autoryzowany przez właściciela, albo że co najmniej on o tym wie. O cesji online tego powiedzieć nie można.

Dalej: na każde żądanie NASK rejestrator powinien wykazać, na jakiej podstawie została wykonana cesja. W przypadku dokumentu jest to prosta sprawa i albo potwierdza się, że to właściciel dokonał zmiany abonenta, albo nie i wtedy doniesienie do prokuratury wraz z „namacalnym” dowodem fałszerstwa. W przypadku cesji online są do dyspozycji jedynie logi.

Ktoś powie, że to „próba powrotu do czasów rejestracji domen za pomocą faksu (tak było na początku w NASK)„.

Niestety nie jestem w stanie się z tym zgodzić. W pewnych sytuacjach MUSI istnieć metoda weryfikacji chroniąca tak na prawdę właściciela usługi nawet kosztem „pseudo komfortu”, a która z drugiej strony pokaże potencjalnemu złodziejowi, że sporo ryzykuje. Dostęp online na to nie pozwala: dostęp do konta, jak wykazałem wyżej, może posiadać ktoś, kto nie jest właścicielem danej domeny i tym samym nie jest uprawnionym do wykonania cesji, ale sam dostęp ma jak najbardziej legalnie. Jeśli taki ktoś zrobi cesję – dla rejestratora oferującego cesję online będzie to „właściciel”. Jeśli taki ktoś podeśle sfałszowany dokument – sprawa będzie jasna.

Jest jednak druga strona medalu (a nawet trzecia i czwarta): są tak właściwie (a przynajmniej ja w tej sprawie widzę) dwa główne punkty odniesienia: hurtownika domen (czyli kogoś, kto czynnie uczestniczy w handlu domenami na SEDO itp) i zwykłego, końcowego klienta detalicznego.

Z punktu widzenia hurtownika oczekiwane są maksymalnie liberalne zasady zmiany właściciela i wydawania kodu authinfo, do braku kontroli przez rejestratora włącznie. Innymi słowy taki ktoś oczekuje szybkiej i bezproblemowej cesji online i szybkiego wydawania kodu authinfo przy zerowej weryfikacji offline czy ma do tego prawo. I są rejestratorzy, którzy takie zasady mają. I zapewne dobrze (z pkt widzenia hurtownika).

Zwykły użytkownik internetu oczekuje jednego: aby jego usługa była bezpieczna i że NIE nastąpi nieautoryzowane jej przejęcie. A to może zapewnić postępowanie, jakie opisałem wyżej (wniosek –> email itp. –> cesja).

Podnoszone rzekome trudności w przesłaniu wniosku mailem, faksem, pocztą w odniesieniu do większego dzięki temu poziomu bezpieczeństwa usługi nie jest, mówiąc obiektywnie, wcale wielkim problemem. Ale powtarzam: dla zwykłego użytkownika.

Ostatnimi czasy wprowadzane są rozwiązania pośrednie – przykładowo Az.pl, po wycofaniu się jakiś czas temu z możliwości dokonywania cesji online, wraca do tej funkcjonalności: do osoby zarządzającej panelem (właściciela) wysyłana jest umowa pomiędzy nim a Az.pl, po zawarciu której cesja online ponownie jest dostępna. Dzięki temu właściciel dużej ilości domen i często handlujący zgadza się na „ryzyko” i wtedy rejestratora nie interesują sprawy utraconego dostępu do konta i konsekwencji z tym związanych. Ale jednocześnie Az.pl zastrzega, że „[...] ma prawo w każdej chwili zażądać takiego dokumentu i w przypadku jego braku oddać domenę poprzedniemu abonentowi[...]„. Być może jest to najlepsze wyjście – czas pokaże.

Ktoś wreszcie powie: „Pamiętajmy, że domena to nie samochód – nawet jak ktoś ją „ukradnie” to ona nie znika. I dopiero w takiej sytuacji brak umowy / faktury / cesji będzie dowodem na to, że zmiana właściciela nastąpiła bezpodstawnie.”

Owszem, nie znika w otchłani Internetu, ale jeśli ktoś (ten zwykły użytkownik) wejdzie do panelu i nie zobaczy tam swojej domeny, bo ktoś zmieni dane i ją „wyniesie”, to najpierw spanikuje, później oskarży rejestratora o kradzież, a dopiero jak ochłonie, to przyjmie do wiadomości, że „tak po prostu już jest jak cesję i kody można zrobić/pobrać online„.

I zacznie się odkręcanie sprawy przy udziale oczywiście rejestratora, bo zwykły użytkownik nie ma takiej świadomości, jak domenowy „geek” i sobie zapewne sam nie poradzi w odzyskaniu domeny. A ile czasu (i pieniędzy) przez to straci?

Na zakończenie tego elaboratu (ciekawe, czy ktoś doczytał do tego miejsca ) powtórzę to, co napisałem: biorąc pod uwagę to, że domena może być czasem bezcenna dla klienta, nie uważam, żeby przesłanie wniosku (zamiast umożliwienia tego przez panel administracyjny) było czymś niezrozumiałym.

Zwłaszcza dotyczy to sytuacji, kiedy właściciel domeny „upoważnia” kogoś do np. opieki nad domeną, stroną WWW itp, podając mu hasło do panelu zarządzania swoją usługą, ale NIE upoważnia go do zmiany abonenta, czy zmiany rejestratora – przedstawienie rejestratorowi dokumentu podpisanego przez właściciela pozwala nabrać pewności, że cesję (authinfo) robi sam właściciel domeny (albo osoba przez właściciela upoważniona), a nie osoba „tylko” posiadająca login i hasło do panelu zarządzania.

Klient ma pewność, że kod autoryzacyjny (i sama domena) nie wpadnie w niepowołane ręce, dzięki czemu ten nie straci kontroli nad swoją własnością. Jeśli zaś ktoś podrobi podpis – łatwiej można go ścigać za fałszerstwo.