Whois adatbázis elérhetetlen lehet egy ideig a GDPR miatt

 ( garaboncias | 2018. május 18., péntek - 9:19 )

WHOIS adatbázis publikus elérhetősége valószínűleg meg fog szűnni egy időre május 25-én, amíg kitalállják hogyan legyenek GRPR kompatibilisek. A szervezet igencsak későn ébredt rá, hogy rá is vonatkozni fog a törvény.

A probléma hogy a rekordok tartalmazhatnak személyes információkat is.

A megoldási javaslat több is van, de a legegyszerübbet (webes contact formot, vagy anonimizalt email címet) is 4 hónapig tartana megvalósítani a szervezet szerint. A tényleges megoldás még függ attól is, hogy a kapnak-e ideiglenes felmentést a törvény alól.

A svéd adatvédelmi hatóság szerint a WHOIS adatbázis már 6 éve nem felel meg az europai adatvédelmi törvényeknek, GDPR-től függetlenül.

Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Volt rá pár évük felkészülni, kitalálni :(

A WHOIS-nak a GDPR-ra vagy a GDPR-nak a WHOIS-ra? Elvileg biztos jó dolog a GDPR, de nem biztos, hogy a normális életre találták ki.

De a büntit tőled fogják behajtani, pedig egyetértesz vele. Miközben te ugyanúgy fogsz használni mindent, ami röhög a GDPR-on. (Te = mindenki)

+1, és az OP-ban levőkhöz hasonlók miatt _SZERENCSÉS_, hogy van GDPR. Most mindenki a (szerintem kicsit túltolt) hype miatt pánikol össze-vissza és sorban fognak az ehhez hasonlók borulni. Blogban linkelte valaki, hogy a Razer is GDPR-ra hivatkozva régi szoftververziókat használhatatlanná tesz... feltehetően azért, mert gyűjtöttek valamit, amit innentől kezdve nem fognak.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Meg az is szerencsés volna, ha 25-től megszűnne az EU-ban a gravitáció. Mert ha leesik valaki, akkor fáj neki. Sajnos az EU-n kívül nem tudják jogszabállyal korlátozni a tömegvonzást, ott továbbra is fájni fog az esés. A lehetséges mellékhatásokkal szerencsére nem kell számolni (pl. gyereket beszögezni a járókába, hogy ne repüljön el), mert azt nem gondolták végig.
Ne érts félre, egyetértek és igaza van a GDPR-nak. De sokkal többet érne, ha a felhasználókat oktatnák, hogy van súlya az adatainak. Vagy küzdenének a szabad internetért és oktatnák, hogy hogy tudja magát elrejteni.
Mert a felhasználók ugyanúgy meg fognak osztani mindent, csak már az EU-n kívülre. Az adatkezelők ugyanúgy fogják "kezelni" az adatainkat, csak az EU-n kívül. Miközben mi meg süllyedünk a bürokráciában, a kényelmesség miatt inkább lekapcsolunk szolgáltatásokat és még jó kis büntiket is fizethetünk...

Idézet:
ha a felhasználókat oktatnák

Hogyan? Ha nem kötelező (valami online izé pl.), akkor semmit nem érnek vele. Ha meg megpróbálnák azt mondani, hogy akkor felmenő rendszerben legalább a mostani iskolásoknál/egyetemistáknál/... ez legyen kötelező tananyag, jönne azonnal legalább két ország, hogy "dehátmitszólnakbelehogymitoktatunk" (tudjuk, melyik az a legalább kettő)

Ráadásul hiába oktatják a felhasználókat, hogy jogod van megkérdezni, hogy "mégis mi a lóért kell neked X adat rólam?", ha arra törvényi szabályozás híjján lehet az a válasz, hogy "mert csak, ha nem tetszik el lehet menni" (mert még EU-s országokban is lehet ilyen, itthon feltűnően kemény volt az info tv, csak nem volt betartatva).

Idézet:
csak már az EU-n kívülre.

Eddig is legalább részben az EU-n kívülre (FB, Google, ...) osztották meg. Mostantól törvényileg nincs "külföld", ha EU-s polgár adatát kezeled, akár üzemelhetnek a szervereid nemzetközi vizeken (tehát technikailag azt csinálsz, amit akarsz), az EU akkor is odamehet és elveheti a 4%-ot.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Szerintem maradjunk annyiban, hogy a GDPR-ban vannak értelmes célok, és vannak borzasztóan átgondolatlan kitételek is.
Teljes mértékben egyetértek azzal, hogy ne kérjenek be KÖTELEZŐEN(!) tőlem olyan személyes adatokat, amik nem feltétlenül szükségesek az adott szolgáltatáshoz.
Azzal is, ha nem adok rá engedélyt, akkor töröljék őket a használat után. Azzal is, hogy ezt ne adják ki harmadik félnek, és ne használják olyanra, amire nem adtam engedélyt. Azzal is, hogy kérésre adják ki a begyűjtött adatokat. Ez a részre rendben van.

De az, hogy az IP cím, az email cím már önmagában is személyes adatnak minősül, a felejtés joga, a más szolgáltatóhoz való átvitel, ezek teljesen agyrém dolgok. Nem világos a fényképek, fórum posztok jogállása. Az is nonszensz, hogy ezek után tényleg egy céges emailt sem forwardolhatok, telefonszámot nem oszthatok meg, stb. Ne akarja nekem senki megmagyarázni, hogy ez normális.

A GDPR által nyújtott hamis biztonságérzetnél szerintem jobb a józan ész: ha nem akarom hogy nyoma legyen, akkor nem írom le.

Idézet:
a más szolgáltatóhoz való átvitel

Pedig ennek két pozitív hozadéka is van:
* vendor lock-in csökkentése (már ha tényleg kialakulnak korrekt csereformátumok, kvázi szabványok)
* megszűnő szolgáltatásoknál a felhasználó lehetőséget kap az adatai exportálásra. Értelmes szolgáltató eddig is adott ilyet legalább a bezárás bejelentése és a tényleges bezárás között, de nagyon sok nem. Nézz meg egy-két Jason Scott előadást abból az időből, amikor az Archive Teamet építették, van egy-két sztorija, hogy mit sikerült megmenteniük és mit nem...

Szerk.: a másik részével, hogy kicsit túl van tolva... szerintem ez továbbra is inkább az elrettentésről és arról szól, hogy nagyon erős szabályozást hoznak, hogy ne tudják kijogászkodni belőle magukat a "nagyok" (akik ipari méretekben csinálják pl. a profilépítést)...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Az átvitel elméletben jól hangzik, de a gyakorlatban kivitelezhetetlen. Annyi az inkompatibilis rendszer, főleg a mai fejlesztői hozzáállás mellett.
Amúgy nekem személyes véleményem, hogy a facebook akkor fog megszűnni, ha lesznek nyilvános "közösségi oldal" apik. Ahogyan email címed is lehet rengeteg szolgáltónál, majd egyszer talán közösségi oldalad is lehet. És akkor ott, együtt tudod majd kezelni minden profilodat, és lehet majd szolgáltatót választani, talán adatokat is átvinni.
De ez nem most lesz egyelőre, még itt nem tartunk.

Az ilyen szigorúságú törvényekkel pedig az a baj, ha a magyar gyakorlatot nézzük, akkor majd pont a kicsiket fogják sz*rrá büntetni (bár ez mintha azért változóban lenne az utóbbi években).
De nekem akkor sem tetszik, hogy a hatóságok jóindulatára alapozzunk. Ez nagyon ellentétes a jogállami elvekkel.

Idézet:
Az átvitel elméletben jól hangzik, de a gyakorlatban kivitelezhetetlen.

Én is pont ezt írtam, hogy _talán_ majd kialakulnak szabványok. De én pl. soha nem szerettem azt az érvelést, hogy ha nem lehet tökéletes, akkor ne is foglalkozzunk vele, vagy ne csináljunk semmit, amíg nincs _egy_ megoldás, ami mindenkinek jó (soha nem lesz).
Ha odáig eljutunk, hogy mondjuk egy képmegosztóról (nem használok ilyet) le tudom húzni a képeimet (nem szeretek képeket csinálni) egy retkes nagy zip-ben az eredeti képformátumokkal, mellette egy xml-lel (mindhárom standard formátum és csak ennyit ír elő), ami akár a Lófaszgram namespace-be eső klingon-nyelvű tagekkel markupolva is, de tartalmazza, hogy melyiket mikor töltöttem fel, melyikhez ki, mikor és mit szólt hozzá, milyen címkéket tettek rá, milyen embereket jelöltek be rajta (akár Lófaszgram usernév, akár e-mail cím, akár személynév akármi) stb., már előrébb vagyunk: valahol lesz valaki, aki a Lófaszgramról át akar menni a Geci Photosra és ért hozzá annyira, hogy a klingon-xml markupból megcsinálja a Geci Photos csv formátumára alakító xslt-t, scriptet, programot, akármit. Mert amíg nincs kikényszerítve, hogy _valamilyen_ formátumban ki tudd szedni az adataidat, a Lófaszgram bármikor lehúzhatja a rolót 24 órás bejelentés után.

Idézet:
De nekem akkor sem tetszik, hogy a hatóságok jóindulatára alapozzunk

Az eddigi infotv-nél nem sokkal szigorúbb. De igazából négy+egy dolog miatt nem hiszem, hogy ezt is a szokásos "jogállami kereteknek megfelelően" (értsd: NAV-val vegzálásos megoldás) használnák majd ki (IANAL, de én ezzel nyugtatom magam :) ):
0) Itthon még nincs hatóság. :) És azért van egy-két "apró" feladat, ami a hatóság és a kormány feladata és május 25-ös határideje van...
1) A hatóság csak bejelentésre indít eljárást
2) A hatóság, amikor elindul, a trollok miatt marhára le lesz terhelve (szvsz. ezért tették bele, hogy ha a hatóságnak már töke tele van, akkor a kérelmekért pénzt kérhet :) [57. cikk (4)])
3) A GDPR is rögzíti, hogy adatkezelőként jogod kell, hogy legyen a hatóság döntéseit bíróságon megtámadnod (<- egyszerűbb lesz továbbra is a NAV-ot ráuszítani...)
4) És ami talán a legfontosabb: a hatóságnak lesz egy felügyeleti szerve (Európai Adatvédelmi Testület) szemben a többi "jogállami keretek közt" működő intézménnyel, akiknél ugyan közvetlenül nem jelentheted fel a hazai hatóságot, de a beszámolóikból kiugrik, ha mondjuk feltűnően sok ügyük végződik a bíróságon (feltehetően mert hivatalilag sokat éltek vissza...)

+1: és nem lehet "magyar gyakorlat", mert hasonló ügyért ugyanazt kell kapnod, mint más EU-s országban kapnál; a többi országban meg azért működik, hogy egy-egy büntetéssel nem a cég/személy anyagi ellehetetlenítése a cél, hanem a törvények betartatása (kezdve onnan, hogy a nem "10 millió adócsaló országa" típusú országokban itt-ott előfordul a jövedelemmel arányos büntetés [főleg észak, afaik], odáig, hogy nem hogy átlagfizetéssel arányosan, de abszolút értékben is alacsonyabb tételek vannak, mint itthon)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

0: NAIH-ról hallottál már?
1: hivatalból is indíhat
2: rengeteg embert vettek fel
De azért csak nyugtasd magad... :)


Nem csak az M$ számol furán... A Zinternet lenne ilyen gyors?
65% [62 Sources 1528 kB/6239 kB 24%] 3062 PB/s 0s

Még nem fogadták el az info tv módosítását, ami kijelölné a NAIH-ot erre a posztra. (majd ha a NAIH adatvédelmi tájékoztatója GDPR kompatibilis lesz, elkezdek aggódni)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

VHR nélkül nehéz lesz büntizni. :)

"De az, hogy az IP cím, az email cím már önmagában is személyes adatnak minősül, "
- önmagában, automatikusan még nem, csak ha személyhez köthető.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

sub

no comment...

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

Ha esetleg regisztraltal mar domain-t UK-ban akkor tudod, hogy ez egy remek dolog...
Ha nem fizetsz azert, hogy elrejtsek a whois-ban az adataid keszulhetsz arra, hogy 5 percenkent csorog a telefonod es valami idiota indiai probal radsozni valamit ...

Teljes mertekben egyetertek azzal, hogy NE legyen by default minden adatunk publikus a whois rekordban. Legyen egy form ahol kuldhetnek levelet a kapcsolattartonak oszt jonapot.

milyen mas alternativa van helyette, esetleg van letoltheto db?

marmint hogy van adott 1.2.3.4 ip cim, es szeretnem tudni melyik ceghez tartozik, kinek kell kuldeni az abuse levelet, stb

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

domain@nic.tld?

mint foldi halando, ezt nem tudtam dekodolni... :/

mi is ez?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Arra gondolok, hogy lehetne automatikusan egy domainneved kukac ccTLD/gTLD kezelődomainjének alias, ami átírányít a tulaj email címére, így nem kell kirakni a netre, de mégis el lehetne érni.

Pl. van a weboldalam.at oldalad, akkor lenne eg yilyen alias:

jah, a domain az oke. de milyen email cimre kellene kuldeni a levelet, ha mondjuk a 1.2.3.4 ip gep spamel, es szolni akarok a szolgaltatonak, hogy tiltsak mar le a gepet, amig a gazdaja nem csinal vele valamit? honnan tudom ki a vps/server szolgaltato?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ahogy eddig, megnézed a whois és ott van abuse vagy kontakt email cím, kötelezően. Nem muszáj oda személyes címet megadni.

es hol nezem meg a whoist ha 25-en lekapcsoljak?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nincs olyan, hogy "A" whois adatbázis. A whois egy protokoll, ami alapján elérhető egy csomó infó, egy csomó adatbázisban, amiknek nincs semmi köze egymáshoz.

nem is egyetlen whois adatbázisról volt szó, hanem ahogy én értelmezem "sok whois szolgáltató"ról. és nem, a whois db nem elosztott mint a dns, az egyes TLD-ket egy-egy dedikált whois szolgáltatás publikálja. ez látható ha pl csinálsz egy strings `which whois` |grep '\.' hívást. persze ha valaki szisztematikusan gyűjtögeti a whois rekordokat, innen-onnan, és üzemeltet egy "saját" whois szervert (ie. nincs benne a címe a whois kliens parancs terjesztésekben), akkor attól megszerezhetőek az adatok.

szerk.

"hol nézem meg ha 25-én lekapcsolják" - ááá értem már, nem azt akartad mondani hogy "25-en", "nagyvennyócan", hanem hogy "máj. 25-én". oké.

ettől függetlenül igaz, hogy ha midenki lekapcsolja a whois-t, akkor tényleg nem lehet a bevett módokon lekérdezni többé.

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

Óriási égés ez és nem tudok rajta nevetni...

Elég sok domaint regeltem már különböző szolgáltatóknál, és eddig egyiktől se jött semmi infó arról, hogy mi lesz május 25 után.
Se ÁSZF változásról, se arról, hogy akkor mi lesz a domain adatokkal, egyátalán egy nyilatkozat, hogy megfelelnek a GDPR-nek.

Persze bagoly mondja, mert még én se készítettem fel rá az oldalamat (bár már dolgozok rajta, hogy addig kész legyen), viszont azért ezek a cégek egy kicsit nagyobb volumenben működnek mint én, egy személyként.
Különösen a whois nyilvántartót nem értem.

Amúgy a magyar ISZT-től se jött még semmi, hogy akkor ők hogy is kezelik a személyes adatokat (pl szig szám).

Beraktam a domain reg szerződésbe két pontot:

-engedélyezem személyes adataimnak a nyilvántartásban történő kezelését és hogy ezen engedély megadása a rám vonatkozó nemzeti jog alapján jogszerű;
-rendelkezem a kapcsolattartóként megjelölt természetes személy(ek) engedélyével a személyes adatainak a nyilvántartásban történő kezelésére vonatkozóan;

Amennyiben az engedelyezes nem opcionalis addig ez miert lenne elegendo? (nem azt ertem opcio alatt, ha nem akarja engedelyezni akkor ne valassza a szolgaltatast)
Nem neztem at alaposan a gdpr-t, meg nem is vagyok jogasz, de ha ilyen egyszeru lenne akkor az osszes nagy ceg letudna egy aszf modositassal a gondok nagy reszet es nem rohangalnanak fejvesztett csirke modjara.

Bocsanat rosszul fogalmaztam, nem én raktam be, hanem az ISZT rakta ezt be. Ők láthatóan ezzel letudták.

De amúgy igen, ha nem akarod, hogy kezeljék a személyes adataidat nem regisztrálsz .hu domaint. Ahogy ha nem akarod, hogy hírlevelet küldjön valaki, nem iratkozol fel rá. (sajnos?) a domain név nem közszolgáltatás.

A domain.hu-nak ezzel kapcsolatban mi az álláspontja mellesleg?

Teljesen egyetertek a dologgal, eddig is zavart az, hogy ha maganszemelykent regisztralok egy domaint, akkor minden szemelyes adatomat megosztjak nyilvanosan. Sokaig eppen ezert nem is volt.

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

Pedig így magánszemélyként is utána lehetett járni pár oldal összefüggéseinek, azaz nem volt feltétlenül hasztalan.
Innentől majd lehet venni kemény pénzért adatbázisokat.
Talán a fekete gazdaságot majd jól fellendíti a GDPR, biztosan felértélkelődik majd minden ellopott adatunk.


Nem csak az M$ számol furán... A Zinternet lenne ilyen gyors?
65% [62 Sources 1528 kB/6239 kB 24%] 3062 PB/s 0s

Sub for tomorrow reading

BTW, az IANA-t mikor fogják felnyomni mondjuk a PEN adatbázis (~52.000 cégnév kontakt személlyel és az ő e-mail címükkel) miatt? :) Hasonlóan az IETF-et elég sok RFC-ben a végükön levő szerzői adatok (név, cím, telefon, email) miatt? :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Heti poén: 05.26-án(!) kaptam az NN Biztosító Zrt.-től egy emailt a GDPR kapcsán.
Nem vagyok és tudomásom szerint soha nem voltam ügyfelük.

A levél láblécében ott a Hírlevélről történő leiratkozás lehetősége, amely oldalon az ÖSSZES személyes adatom megadása után tudok leiratkozni.

Elmosolyodtam igen szélesen... Baromira félreértek valamit vagy ez így tökéletes?

Heti poén: 05.26-án(!) kaptam az NN Biztosító Zrt.-től egy emailt a GDPR kapcsán.
Nem vagyok és tudomásom szerint soha nem voltam ügyfelük.

A levél láblécében ott a Hírlevélről történő leiratkozás lehetősége, amely oldalon az ÖSSZES személyes adatom megadása után tudok leiratkozni.

Elmosolyodtam igen szélesen... Baromira félreértek valamit vagy ez így tökéletes?

wow, egy hete csörgetnek brit számról (+44 7400 ******) , azt hiszem felkerültem valami nemzetközi telemarketinges listára. Ma sikerült felvenni és beszélni vele, hogy wtf. Az email+telszám kombó alapján a domain whois-ból szedhették...
Azóta már nem elérhető publikusan az adatlap, külön díjfizetés nélkül is anonimizálták a törvény miatt.