Debatmøde om domæneskik

Men hvorfor blande typosquatting ind i det?

Fordi man, som ved enhver grænsedragning, skal tage stilling til hvad der skal være på den ene og den anden side af grænsen.

Er et reelt problem ud over at Mads Bryde Andersen og Per Kølle reelt aldrig har forklaret hvorfor deres håndtering midst en gang er blevet underkendt af domæneklagenævnet?

Næh, det synes jeg ikke er et reelt problem. Det er jo kun en enkelt gang. Det er i øvrigt svært at kende domæneklagenævnets afgørelsespolitik omkring typosquatting hvis der ikke kommer sager til deres vurdering.

Hvis der kom en mand, der vil låne mig min egen bil, vil jeg først anmode manden om at dokumentere, at han ejer bilen, inden jeg begynder at klage over hans lånevilkår.

Hvis manden siger, at han har fået retten til min bil fra en tredjemand, som jeg tilfældigvis vidste hverken har juridiske kompetencer til at overdrage min bil eller har overdraget min bil til manden foran mig, så ved jeg hvad samtalen med manden foran mig skal dreje sig om. Den bliver i hvert fald ikke om hans lånevilkår.

DIFO’s juridiske rettigheder og kompetencer i forhold til registranternes domænenavne.

1. juni 2000 skrev DIFO’s klagenævn til DMS med påstand om at ville tage stilling til DMS’ rettigheder til et domænenavn. DMS anmodede Klagenævnet (højesteretsdommer Lene Pagter Kristensen) om at redegøre for DIFO’s juridiske hjemmel til at kunne disponere over DMS’ rettigheder. Herefter hørt DMS ikke mere fra Klagenævnet.
   Senere kom det frem i bl.a. Computerworld, at Klagenævnet ikke fandt, at DIFO havde juridiske kompetencer til at behandle sager om domænenavne registreret før DIFO’s indtræden på domænemarkedet.

Co.dk og domæneloven

DIFO mente at have fået eneret til udbyde domænenavne under .dk topdomænet, og at ICANN i USA havde tildelt DIFO juridiske rettigheder og kompetencer til at styre det danske navnerum på Internet. DIFO ville derfor inddrage co.dk til fremtidig brug i eget regi, ligesom man f. eks. gøre i UK. DIFO mente at DMS’ udbud at domænenavne under .co.dk var i strid med DIFO’s påståede eneret fra ICANN i USA og derfor var i strid med god markedsføringsskik. Der blev ført retssag i byretten, og DMS taber. Der blev ført retssag i Landsretten, og DMS vinder. Landsretten slog fast, at DIFO ikke har dokumenteret at have fået de påståede rettigheder og kompetencer fra ICANN i USA.

Via lobbyarbejde og skræmmekampagne om domænekaos uden DIFO’s påståede rettigheder og kompetencer fra ICANN, fik Mads Bryde Andersen og hans daværende advokat – nu højesteretsdommer – Jon Stokholm overtalt Helge Sander om, at DIFO, uagtet Østre Landsrets dom, har fået sine påståede juridiske rettigheder og kompetencer fra ICANN i USA til at styre .dk topdomænet og det danske navnerum på Internettet.

Helger Sander udsendte herefter en pressemeddelelse om, at der ved retssager er sat spørgsmålstegn ved DIFO’s rettigheder og kompetencer, og at regeringen ville fjerne usikkerheden.
Helge Sander nedsatte et domæneudvalg under Jon Stokholm og Mads Bryde Andersens ledelse til at affatte domæneloven. DIFO overdrog sine påståede rettigheder og kompetencer fra ICANN til den danske stat, og registranternes ejendomsret til deres domænenavne blev ligeledes overdraget til den danske stat.
DIFO’s kompetencer og mulighed for at kunne inddrage domænenavne blev lovfæstet.

Som sædvanlig anlagde DMS retssager mod såvel Videnskabsministeriet som mod DIFO, med bl.a. påstande om at anerkende, at deres påståede tildeling og overdragelse af rettigheder fra ICANN til DIFO og til den danske stat, ikke er reelt.

Nødtvunget har DIFO efter bevisførelse i Sø- og Handelsretten tilstået, at DIFO slet ikke havde fået de tidligere påståede juridiske rettigheder og kompetencer fra ICANN.
DIFO v/Mads Bryde Andersen har således tilstået, at hele hans cirkus omkring de påståede juridiske rettigheder og kompetencer fra ICANN var rent fup.

Men det var jo de samme fup-rettigheder fra ICANN, som domæneloven bygger på. Loven var oprindeligt rettet mod DMS og co.dk, men rammer nu uskyldige ”civile”, som ikke er part i sagerne mellem DMS og DIFO.
Domæneloven er vedtaget på falsk grundlag, og Mads Bryde Andersen og Jon Stokholm er nu meldt til politiet. Men en lov er en lov, indtil den bliver ophævet.

Debatten om eof.dk og orango.dk bør efter min mening, i hvert fald i første omgang, ikke handle om domæneskik men snarere om registranternes ejendomsret til deres domænenavne, om hvordan registranternes rettigheder til deres domænenavne er havnet hos den danske stat, om overdragelsen til den danske stat er sket i henhold til grundlovens bestemmelser, og om hvorfor registranterne kun skal have deres domænenavne til låns.

IT-Factory symptomer:
Efter at have tilstået at hans tidligere påståede juridiske rettigheder og kompetencer fra ICANN var et fup-nummer, har Mads Bryde Andersen reelt aldrig forklaret, hvorfra hans organisation havde fået sine påståede juridiske rettigheder og kompetencer.
Mads Bryde Andersen har heller ikke forklaret DIFO’s retsgrundlag efter tilståelsen vedr. de påståede rettigheder fra ICANN, når domæneloven er bygget på en overdragelse af rettigheder fra ICANN, som ikke har fundet sted.

Mads Bryde Andersen tager decideret pis på registranterne og ISP’erne, når han end ikke engang har villet ulejlige sig til at forklare retsgrundlaget for hans virksomhed - både før og efter domæneloven – men hellere vil debattere domæneskik. Er det DIFO’s domæneskik, der skal debatteres?

I ti år har DMS via domstolene forsøgt at få Mads Bryde Andersen til at oplyse retsgrundlaget for hans foreningens kompetencer. I ti år har DMS fået bunkevis af løgne.

IT-factory kunne ikke dokumentere sit kundegrundlag men fik sine indtægter via karrusellignende transaktioner med ikke-eksisterende varer.
Ligesom IT-Factory, kunne DIFO heller ikke dokumentere sit juridiske grundlag, men i stedet fik rettigheder ved at overdrage sine ikke-eksisterende juridiske rettigheder og kompetencer fra ICANN til den danske stat, og derefter fået disse samme ikke-eksisterende rettigheder fra ICANN tilbageleveret i hvidvasket stand.

Er det kun Dorte Toft, der har sans for kritisk journalistik? Det er ufatteligt med de sædvanlige rygklappere, som bliver ved, selvom manden i 10 år har bedraget dem med fup rettigheder fra ICANN. Der er meget, der tyder på, at virksomheden har været baseret på et stort svindelnummer.

Man forundres over, at IT-journalisterne og debattørerne, som burde være uafhængige og vilde efter gode historier, ikke har taget sig tid til for alvor at stille sig de kritiske spørgsmål.

Hellere sent end aldrig.
En diskussion er sat i gang, og vi glæder os til at læse om Mads Bryde Andersens redegørelse for retsgrundlaget for DIFO’s juridiske rettigheder før og efter domæneloven, og om retsgrundlaget for den overdragelse til den danske stat, der har fundet sted, og baggrunden for, hvorfor domæneregistranterne kun har deres domænenavne til låns.

Dvs:
Hvem var det, der har overdraget registranternes rettigheder til deres domænenavne til den danske stat? Havde den pågældende juridiske kompetencer til at kunne disponere over registranternes rettigheder til deres domænenavne? Hvorfor skal registranterne kun have deres domænenavne til låns? Hvordan og hvorfra har den danske stat fået den i domæneloven § 2 påståede eneret på .dk-topdomænet?

Vi glæder os til offentligt at sige undskyld til Mads Bryde Andersen og hans venner fra DIFO, hvis vi har taget fejl.

Følge med på www.dansk.net. Kommende emne: Forskningsministeriets selvregulering via overenskomster/MoU og DIFO’s opgaver og juridisk retsgrundlag ifølge Forskningsministeriet.

Hej Anani,

Som det er nu, kan et domæne under co.dk sætte en cookie for hele .co.dk. Ethvert domæne under co.dk er dermed sårbart over for session fixation m.m.

Med dette i mente forstår jeg ikke, hvordan I kan tillade jer at sælge et så usikkert produkt.

Hele præmisset for at tilbyde domæner er, at browsere følger en sikkerhedsprofil, som isolerer domæner fra hinanden. Det er ikke tilfældet for .co.dk.

Er jeres kunder klar over dette sikkerhedshul?

Emner som disse ville være oplagte at behandle i foreninger for samme formål.

At "Foreningen af Danske Domæneregistranter" (vennerne med registrant.dk, som Peter Makholm lod til at blive valgt ind i suppleringsvalg i bestyrelsen i januar 2009) at dømme på deres hjemmeside ikke har så meget som rørt en finger i det seneste år. Seneste blogindlæg er fra 2008, og deres link til kommentarer er defekt - med henvisning til ht tp://registrant.dk/2008/12/15/omg-omg-omg-far-dk-hostmaster-ny-hjemmeside/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/#comments (mellemrum indsat aht. V2s autolinkfunktion).

Det kunne være godt, hvis foreningen rent faktisk ville gøre et stykke arbejde på den front, de påstod at være interesseret for. I stedet er det tydeligt, at det blot var en uhæderlig dotDK-lobbyforening, som aldrig har haft anden interesse end at dotDK skulle vinde domæneudbuddet. Registranters rettigheder har tilsyneladende raget dem en høstblomst fra dag 1.

Hvis de i det mindste havde været ærlige nok til at melde dette ud den gang, ville vi have sparet en masse tid og energi.

Der findes alternativer. Svenne Krap er stillet op af DKUUG i forbrugersegmentet. DIFO har 2 andre segmenter, de professionelle brugere og leverandørerne. Der er 3 fra/i hvert segment. Forbrugerrådet er naturligvis også i forbrugersegmentet. Den 3. i forbrugersegmentet kan jeg ikke lige huske hvem er.

Emner som disse ville være oplagte at behandle i foreninger for samme formål.

Det kan også godt behandles på debatmødet på tirsdag.

Jeg tror dog at det er ret begrænset hvad en forening, og endda også DIFO selv kan gøre ved det her alene. Domæneklagenævnet er uafhængigt, og medlemmerne udpeges af Helge Sander. Desuden så er loven lavet i folketinget.

Jeg tror at det vil være lettest hvis der opnås bred enighed under DIFO, og så går man derefter til ministeren for at få påvirket loven.

Hej Peter
Desværre har vi ikke kunnet konstatere det problem du nævner. Session fixation sårbarhed foregår – primært - på de servere, hvor registranterne hoster deres hjemmesider.
Registranterne af domænenavne under .co.dk hoster deres hjemmesider hos deres respektive webudbydere, dvs. et sted de selv har valgt.
F.eks. http://www.agf.co.dk og http://www.impact.co.dk og http://www.plum.co.dk er hostet hos tre forskellige udbydere, og DMS intet at gøre med hosting af disse hjemmesider.

Jeg mener, at vi skal holde fokus på emnet: domæneloven og registranternes rettigheder.

Vi vil meget gerne debattere domænenavne under .co.dk, og have flere til at være med til at bestemme, hvorledes domænenavne under .co.dk skal udvikles og administreres. Evt. sikkerheds sårbarheder kan drøftes og løses i fællesskab. Planen er, at administrationen af .co.dk domæner skal overgå til en forening af ISP’er, hvor alle får stemmeret.

DIFO’s oprindelige plan fra maj 2000 var at reservere .co.dk domæner til brug i fremtiden (nu?). Det vil være godt at have et andet forum end DIFO, hvor tingene er mere åbent og kører på en anden måde end DIFO. Det kan ikke udelukkes, at .co.dk domæner kan være en del af løsningen for de kommende domænetvister, men lige nu er temaet registranternes rettigheder i forhold til DIFO og domæneloven.

Debatten om domænenavne under .co.dk kan tages op senere. Du er velkommen til at tage emnet op.

Tak for din tid.

Session fixation-problemet eksisterer, idet browsere ikke anerkender hosts under .co.dk som uafhængige.

Et domæne som vikarservice.co.dk kan sætte en cookie med domain=.co.dk sat. Det vil betyde, at den cookie også vil blive sendt til øvrige domæner under .co.dk.

Det har intet at gøre med, hvor domænet er hostet henne. Det handler slet og ret om, at der ikke er nogen som helst international anerkendelse af .co.dk - og dermed heller ingen anerkendelse i folks browsere.

Det er simpelthen et præmis for at I kan udbyde jeres produkt.

At I alligevel sælger det, og at I ikke kan "konstatere problemet" (så læs da op på teknikken), efterlader kun få muligheder tilbage: Manglende forståelse for nettets struktur (hvilket ikke taler til jeres sags fordel) eller bevidst fornægtelse af nettets struktur (hvilket heller ikke taler til jeres sags fordel).

Hej Peter

Session-fixation er IKKE et domæneproblem.
Det er en udnyttelse af svagheder i en webapplikation, dvs. noget der foregår på en webserver, enten hos domæneindehaveren selv eller på hans webhotel.

Det er IKKE noget der foregår hos domæneadministratoren.

Her er et par råd:
- Webapplikationen skal IKKE tillade, at samme bruger (samtidig) kan være logget ind på serveren fra to forskellige steder/ip-numre (f.eks. fra København og Moskva).
- Login-cookies berettiger IKKE til transaktioner, og transaktions-cookies skal først sendes til brugerens webbrowser EFTER login.
- Brugeren skal altid logges af (aktivt eller ved timeout).

Som du kan se, er det ikke en domæneadministrators opgave at konfigurere applikationer på forskellige servere på forskellige webhoteller.
Jeg kender ikke til nogen database over ”anerkendte domænenavne”, hvor domænenavne under .co.dk skal være registreret for at undgå session-fixation.
Der mange metoder en hacker kan anvende for at hacke sig adgang til en webserver. En af dem er domain cookies. Men hvis webapplikationen kræver login/logout for hvert nyt IP-nummer der forsøger at gennemføre en transaktion, og kun tildeler transaktions-cookies EFTER login, bliver evt. domain-cookies værdiløs.

Bemærk, at f.eks. bankerne kræver, at du ”underskriver/godkender” en transaktion ved at indtaste dit password før transaktionen bliver godkendt, og dette selvom du allerede er logget ind. Session-fixation via domain cookies vil derfor ikke hjælpe ret meget, og vil i øvrige forudsætte, a brugeren har fået lov til at kunne logge ind fra to forskellige steder, og dette på samme tidspunkt.

Her er par links til session-fixation:
http://www.owasp.org/index.php/Session_Fixation
http://en.wikipedia.org/wiki/Session_fixation
http://www.acros.si/papers/session_fixation.pdf

debatten her drejer sig om domæneloven og registranternes rettigheder.

Anani.

"Webapplikationen skal IKKE tillade, at samme bruger (samtidig) kan være logget ind på serveren fra to forskellige steder/ip-numre" - det er bare security by obscurity, for det er jo ret nemt for 2 personer at komme fra samme IP. Dermed er det ikke nogen løsning på noget som helst.

"Jeg kender ikke til nogen database over ”anerkendte domænenavne”, hvor domænenavne under .co.dk skal være registreret for at undgå session-fixation." - nej, men det siger nok mere om dig, ikke ;) - prøv at læse om Operas løsning, som netop får co.dk til at dumpe i testen: http://my.opera.com/yngve/blog/show.dml/267415 - "hen Opera is checking a cookie whose target domain matches certain criteriea (e.g. it is not a .com domain), we do a DNS name lookup for the target domain, to see if there is an IP address for that domain. If there is an IP address for the domain (e.g. example.no) we assume that the domain is a normal company domain, not a co.uk like domain, and therefore safe. If there is no IP address we assume that the domain is co.uk-like and therefore unsafe, and only allows the cookie to be set for the server that sent the cookie."

Domænerne eof.dk, orango.dk, klonk.dk og laerkevang.dk er alle oprettet af privatpersoner i god tro, og de blev bestemt ikke oprettet for at narre penge fra andre, eller krænke andres rettigheder.

Sådan er det ikke med co.dk, og derfor er der ikke rigtigt nogen grund til at co.dk overhovedet bliver nævnt ved høringen. Dem der har interesse i den sag, må møde op i byretten.

Hej Anani,

Som du forhåbentligt ved, men for at understrege:

foo.dk kan ikke sætte en cookie, som er tilgængelig under bar.dk.

foo.co.uk kan ikke sætte en cookie, som er tilgængelig under bar.co.uk.

foo.com.au kan ikke sætte en cookie, som er tilgængelig under bar.com.au.

foo.co.dk kan godt sætte en cookie, som er tilgængelig under bar.co.dk.

Giver det slet ikke stof til eftertanke? Hvorfor skal co.dk være anderledes?

En ansvarsfuld domæneadministrator vil involvere sig i browserens implementering af cookie-håndtering, såfremt der er problemer.

Her skiller co.dk sig ud fra resten af internettet. Ingen browser-producent anerkender jeres rolle som domæneadministrator. Igen, giver det slet ikke stof til eftertanke?

Der er ved Højesteret i januar 2006 nedlagt et fogedforbud mod overdragelse af co.dk til DIFO. Mads Bryde Andersen tabte højesteretssagen i forhold til hans udokumenterede postulat om, at co.dk var registreret for at franarre folk penge og at registreringen krænker hans virksomheds rettigheder. Dette er blevet fastslået i Østre Landsret, Sø- og Handelsretten og Højesteret.

Det, Mads Bryde Andersen har fået medhold i ved Højesteret i januar 2006 var hans påstand om, at DIFO havde fået sine påståede juridiske rettigheder og kompetencer fra ICANN i USA, og at DIFO havde overtaget Foreningen af Internetleverandørers kundeportefølje.
Dommen kan hentes her: http://www.dansk.net/docs/DIFOHr23Jan2006U20061189H.pdf
Det var DMS imidlertid ikke enig i, og derfor anlagde DMS (i marts 2006) på ny sag mod DIFO, med bl.a. påstand om, at DIFO skal anerkende ikke at have fået de i højesteretsdommen påståede juridiske rettigheder og kompetencer fra ICANN i USA.

Efter bevisførelsen tilstå DIFO (den 5. maj 2008) ikke at have fået de påståede juridiske rettigheder og kompetencer fra ICANN i USA. DIFO har ligeledes tilstået ikke at have fået overdraget Foreningen af Internetleverandørers kundeportefølje.
Højesterets dom fra januar 2006 var således forkert på de afgørende punkter.

Spørgsmålet er herefter, hvorfra har DIFO så fået sine påståede juridiske rettigheder og kompetencer til at kunne disponere over registranternes rettigheder til deres domænenavne?

Til Hans Schou: Hvis du mener, at Højesteret ligeledes tog fejl i sin vurdering af, hvorvidt co.dk var ”oprettet for at narre penge fra andre, eller krænke andres rettigheder”, så burde du gøre som man gør i et retssamfund: Anlæg en retssag og føre bevis for dine synspunkter. Alternativt bør du overveje dit ordvalg, hvis du ikke kan forsvare det du skriver.

DMS er blevet bedraget af Mads Bryde Andersen med ikke-eksisterende juridiske rettigheder og kompetencer fra ICANN, og har bl.a. forsøgt at franarre DMS sine rettigheder til såvel .co.dk som rettigheder til at kunne udbyde domænenavne.

DMS har ført bevis for sine synspunkter i retten og fået manden til at tilstå, at hans organisation ikke havde fået de påståede juridiske rettigheder og kompetencer som organisationen over for DMS har gjort brug af. DMS har derefter politianmeldt manden for bedrageri.

Det var jo ikke alle, der jublede over, at jorden alligevel ikke var flad...
No hard feeling – Hans Schou og andre har ret til fortsat at mene, at Mads Bryde Andersen har ret til at disponere over deres rettigheder.

Uanset hvad man måtte synes om DMS, kommer man ingen vej i forhold til domænerettigheder i Danmark, hvis man ikke vil sætte sig i hvad retssagerne mellem DMS og DIFO drejer sig om: domænerettigheder.

Havde Højesteretsdommerne i januar 2006 vidst, at DIFO hverken havde fået de påståede rettigheder fra ICANN eller havde overtaget FIL’s kundeportefølje, havde sagerne om eof.dk og orango.dk mv. slet ikke været aktuelt.

Læser man f.eks. den betænkning, som domæneloven bygger på, vil man konstatere, at den stort set ikke omhandler andet end retssagerne mellem DMS og DIFO.
Betænkningen kan hentes her: http://www.dansk.net/docs/Betaenkning1450.pdf

Læser man f.eks. Sø-og Handelsretten og Højesterets domme i sagen vedr. domænenavnene advokat.dk og agvokater.dk, som i øvrigt var ” oprettet af privatpersoner i god tro, og de blev bestemt ikke oprettet for at narre penge fra andre, eller krænke andres rettigheder ”, vil man ligeledes konstatere, sagen er blevet afgjort med henvisning til Højesterets dom af 23. januar 2006 mellem DMS og DIFO.
Dommene kan hentes her.
http://www.dansk.net/docs/SHRadvokat.pdf
http://www.dansk.net/docs/HRadvokat.pdf

Også Østre Landsrets afgørelse om spørgsmålet om domænelovens gyldighed, som nu behandles ved Højesteret, var ligeledes afgjort under henvisning til Højesterets dom af 23. januar 2006 mellem DMS og DIFO.
Østre Landsrets dom kan hentes her. http://www.dansk.net/docs/VTUOLRDom9Marts2007.pdf

Den eneste afgørelse i Danmark, hvor domstolene har anerkendt registranternes ejendomsret til deres domænenavne, er også en afgørelse mellem DMS og DK Hostmaster A/S (DIFO).

Som det kan ses, er en forkert dom ved Højesteret tilstrækkeligt til at udløse stribevis af forkerte domme over hele landet.

DMS kunne principielt være ligeglade med domæneloven og eof.dk og orango.dk mv., for DMS har jo fået nedlagt et forbud og fået anerkendt sine domænerettigheder.

Problemet er blot, at Højesterets forkerte dom af 23. januar 2006 vil til uendelighed fortsætte med at udløse massevis af forkerte domme over hele landet., og domæneloven vil blive ved med at plage uskyldige folk.
Derfor har DMS - om ikke andet - moralsk forpligtelser og interesser i, at fremtidige retssager om domænerettigheder bliver afgjort på grundlag af korrekte oplysninger.

Til Peter Brodersen:
Henvist til et sted på nettet eller et program, der kan dokumentere det du skriver, så lover jeg at kigge på sagen og vende tilbage.

Anani.

Når nu at Anani bliver ved, så må vi jo tage en snak om god og dårlig domæneskik. Også selvom at det ikke helt er tirsdag endnu.

Jeg synes det er dårlig stil at private laver uofficielle "toplevel" domæner under andre officielle toplevel domæner. Her tænker jeg på com.dk, co.dk, org.dk, ...

Hvis vi skal have den slags toplevel domæner så skal de være helt officielle, og være drevet af dk-hostmaster.

Jeg mener ikke at domæner under ku.dk, fx. life.ku.dk eller fys.ku.dk gør ku.dk til et toplevel domæne.

Jeg kan godt acceptere nogle få udvalgte, fx. ?.kommune.dk ?.skole.dk, men de skal naturligvis føres på betryggende vis.

Nogle af os overvejer at spise sammen på fisketorvet, enten Just Thai eller den helt oppe øverst, efter debatmødet på tirsdag.

ser du til af Anani stadig har fusker domænet