Oggi mercoledì 11 luglio 2012 entra in vigore il nuovo regolamento per l’assegnazione e gestione dei nomi a dominio italiani redatto dal NIC. La novità rilevante consiste nella possibilità di registrare nomi a dominio con lettere accentate. Finalmente sarà possibile registrare domini quali unità.it e cioè.it. Prima di esultare, però, provate a distinguere questi due nomi a dominio:
Trovata la differenza?
No? Guardate bene, confrontate fi e fì. La ì accentata si confonde talmente bene che è praticamente indistinguibile dalla i senza accento.
Ora, provate ad immaginare il flusso di email fraudolente (phishing) del tipo :
“Salve, Fineco le chiede gentilmente di aggiornare i suoi dati personali. http://www.fìneco.it/aggiornadatipersonali”
Quella che sembra una ventata di aria fresca, ossia il fatto che “finalmente la peculiarità della lingua italiana ha riscontro nella definizione dei nomi a dominio”, nel concreto rischia di configurarsi come il peggior incubo per ogni responsabile della comunicazione aziendale: chiunque potrà registrare nomi declinati, ovvero nomi a dominio varianti di un dominio primario, senza grossi problemi.
Certo, nel regolamento al comma 1.2.3 è indicato:
1.2.3 La registrazione 5) il Registro ripudia l’accaparramento sistematico ed il cybersquatting; (Regolamento Assegnazione v6.2)
ma a ben guardare è l’unica barriera prevista dal NIC per arginare la potenziale orda di malintenzionati che cercheranno di registrare i nomi a dominio declinati.
Per inquadrare adeguatamente il problema, proviamo a calcolare tutte le possibili combinazioni di nomi a dominio declinati a partire da un nome primario. Come si calcola il numero delle combinazioni?
Considerato che il nuovo Regolamento ha reso ammissibili i seguenti caratteri:
- ASCII: cifre (0-9), lettere (a-z) e trattino (-)
- NON ASCII: à, â, ä, è, é, ê, ë, ì, î, ï, ò, ô, ö, ù, û, ü, æ, œ, ç, ÿ, β
per ogni carattere NON ASCII presente in un nome di dominio primario, occorre considerare le possibili sostituzioni dello stesso con le sue varianti.
Calcoliamo ad esempio tutte le declinazioni del dominio chebanca.it
chebanca.it contiene: c, e, b, a
- il carattere “c” ha 2 declinazioni
- il carattere “e” ha 5 declinazioni
- il carattere “b” ha 2 declinazioni
- il carattere “a” ha 4 declinazioni
quindi la sequenza di caratteri: c – e – b – a – c – a genera: 2 x 5 x 2 x 4 x 2 x 4 = 640 combinazioni!!
Riportiamo, a titolo di esempio, il calcolo fatto su dei nomi a dominio noti:
- telecomitalia.it genera 51.200 combinazioni
- fineco.it genera genera 160 combinazioni
- chebanca.it genera 640 combinazioni
- ilfattoquotidiano.it genera ben 262.144 combinazioni
Duecentosessantaduemilacentoquarantaquattro combinazioni e il NIC ha posto come unica barriera il controllo ex-post sui tentativi di cybersquatting.
Cosa dovrebbe fare un’azienda per prevenire tentativi di phishing? Registrare tutte le declinazioni? Se prendiamo ad esempio chebanca.it vediamo che il costo di mantenimento del nome a dominio passa da ca. 10€ a ca. 6.400€ (seimilaquattrocento euro). Oltre ad essere un costo assurdo e non giustificabile, non c’è alcuna garanzia di riuscire a registrare tutti i nomi a dominio prima di eventuali malintenzionati.
Eppure, eppure basterebbe aggiungere al regolamento un comma che reciti:
-
è vietata la registrazione di nomi a dominio declinati di nomi a dominio primari esistenti, ad eccezione di richieste inoltrate dal proprietario del nome a dominio primario
Una semplice regola per prevenire a monte il problema del phishing. Ad esempio, se esiste:
-
fineco.it NON dovrebbe esser possibile registrare fìneco.it e tutte le altre 158 combinazioni
-
telecomitalia.it NON dovrebbe esser possibile registrare telecomitalìa.it e le altre 51198 combinazioni
Nello stesso tempo il proprietario di un nome a dominio può chiedere la registrazione del nome a dominio declinato: es. l’Unità, se vuole, può registrare unità.it.
Come se ciò non bastasse, provate ad immaginare il vostro potenziale cliente, magari inglese o americano, che cerchi di digitare il vostro nome a dominio con lettere accentate: dove trova la ì o la è sulla sua tastiera?
Per far capire le dimensioni del problema per chiunque voglia “proteggere” il suo dominio, ho realizzato una piccola “calcolatrice” che ne indica le combinazioni possibili. Le accentate nei domini – così come previste dalla normativa del NIC che entra in vigore proprio oggi – sono un rischio per gli utenti ed un costo per le aziende. Usiamo Twitter per far sentire la nostra voce, scrivendo un messaggio che contenga l’hashtag #noaccentate!
la cosa più assurda è che un sito come fineco, lasci liberi domini come fineco.me – mi verrebbe voglia di fare cybersquatting…