a asertivně to zkusil znovu.Portál AbcLinuxu, 1. května 2025 01:31
Na serveru Podnikatel.cz proběhl chat s Petrem Stieglerem. Utvrdil mě v názoru, že neví, která bije.
(záznam chatu zde)
První dotaz položil Luk, a to asi 5 sekund po začátku rozhovoru. Zeptal se na zde již probíraný problém s certifikátem. Pan Stiegler mu odpověděl úplně offtopic, že je certifikát vydaný kvalifikovanou CA.
Dobrý den, proč radíte "odkliknutí" certifikátu, který je prohlížečem označen za nedůvěryhodný (je to velmi nebezpečné - člověk se může stát obětí man-in-the middle útoku)? Proč tam raději místo toho není doporučení, jak zkontrolovat fingerprint certifikátu a tento fingerprint není například zasílán současně s přihlašovacími údaji? Děkuji.
Dobrý den, Informační systém datových schránek používá certifikát vydaný kvalifikovanou certifikační autoritou České pošty, je tedy zcela bezpečný. Bohužel, prohlížeče mají svoji vlastní politiku, kterým certifikátům důvěřují a proto jej označují za nebezpečný. Ale opravdu není potřeba mít žádných obav
Luk se nedal vyvést z míry a asertivně to zkusil znovu.
Bohužel jste vůbec neodpověděl na moji otázku. Mohl bych citovat z Vašeho webu, kde doporučujete okliknout certifikát, který by klidně mohl být podvržen, protože kořenový certifikát prohlížeč nezná a uživatel neví, jak může certifikát ověřit.
Pan Stiegler na to opáčil, že si uživatel certifikát může "rozkliknout" a ověřit si, že je tam jako fakt napsáno PostSignum. Pokusil jsem se mu opatrně připomenout, že do kolonky "vydavatel" si při vší úctě může každý napsat, co chce, ovšem redakce Podnikatele se rozhodla tento dotaz nevydat.
Toto své stanovisko ještě několikrát zopakoval a na můj druhý pokus naznačit mu alespoň zhruba vo co go radši neodpověděl.
Dobrý den, reaguji na vaši odpověď z 15:52. Problém je v tom, že uživatel si nemůže ověřit, že je to skutečně certifikát vydaný Postsignem, protože nemá jeho kořenový certifikát. Správný postup by byl naimportovat kořenový certifikát Postsigna a ověřit jeho pravost např. tím, že by byl v dopise s přístupovými údaji k DS jeho otisk. Děkuji.
Přišlo mi, že prožívám déja vu. Podobnou situaci jsem zažil, když se jeden admin rozhodl zavést SSL přístup uživ self-signed certifikátu, a když jsem mu ukázal papír s asi 20 zdánlivě nesmyslnými znaky požaduje ověření otisku, koukal na mě co to je nevěda.
OMG, mám nějakou přechodníkovou náladu
Další série otázek byla o softwaru potřebném k používání DS. Nejdřív padlo několik obecných otázek a pak pan Radan Běhoun prohodil poznámku, jestli mu někdo zaplatí nákup počítače s x86 procesorem.
Na koho se má naše firma obrátit ve věci požadavku na finanční kompenzaci počítače s Intel procesorem, který nám kromě připojení k datové schránce už na nic jiného nebude? Kdo je zodpovědný za volbu hardware omezení na CPU Intel?Odpověď:
Omezení Intel procesoru je pouze pro MACy...
Vypadá to tedy, že například na Linuxu na ARMu by to mělo jet v pohodě. Nebo že by si pan ředitel nebyl vědom toho, že existují taky jiné počítače než x86 PC a x86 a ppc MACy?
Celý chat, předchozí dva články a moje vlastní investigatívní pátrání ve mně vzbuzují pocit, že datové schránky dělá banda pašáků.
UPDATE: Pokračování
Tiskni
Sdílej:
2.7.2009 17:46
Jendа | skóre: 78
| blog: Jenda
| JO70FB
2.7.2009 18:02
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ale přiznejme si - kdo to bude kontrolovat?Já, a tím pádem to bude mít ověřeno i jedno s.r.o.čko, kde spravuji přístroj. Asi by to kontroloval nenulovější :) počet lidí, kdyby oficiální webová prezentace nevybízela k ignoraci. Nedokážu si představit, jak vůbec může nějaký člověk, který tomu rozumí, tohle napsat. Osobně bych se bál postihu, a to ne jenom srážky prémií, ale regulérnímu stíhání po prvním větším prů*eru. IMHO by byl autor toho textu spoluviník s člověkem-ve-prostřed.
A kdyby to chtěl zkontrolovat, nemá podle čeho.Asi nezbývá, než jít na nejbližší poštu/čekpoint/ouřad a prudit. Snad někde bude alespoň jeden trochu uvědomělý člověk. Nebo - má už někdo ten oficiální dopis? - to bude natištěné v něm.
4.7.2009 09:41
xkucf03 | skóre: 49
| blog: xkucf03
Jde o to, aby si certifikát mohl zkontrolovat ten, kdo chce. Pokud na to uživatel kašle, je to už jeho chyba. Ale bezpečná práce se schránkou by měla být umožněna (což teď AFAIK není, protože si uživatel nemá jak zkontrolovat certifikát).
Bylo by samozřejmě hezké, aby i neznalý uživatel byl nucen se chovat bezpečně (a došlo k jeho povzdělání), ale to už bychom toho chtěli asi moc, neznalost neomlouvá a když to někdo napálí v autě do stromu, je to taky jeho chyba, že si sedá za volant (počítač), když to neumí.
4.7.2009 13:06
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Bylo by samozřejmě hezké, aby i neznalý uživatel byl nucen se chovat bezpečně (a došlo k jeho povzdělání), ale to už bychom toho chtěli asi moc, neznalost neomlouvá a když to někdo napálí v autě do stromu, je to taky jeho chyba, že si sedá za volant (počítač), když to neumí.Jojo, ale když přímo text na první stránce webu nabádá k nebezpečnému chování, tak je něco blbě
2.7.2009 17:45
JiK | skóre: 13
| blog: Jirkoviny
| Virginia
2.7.2009 17:47
JiK | skóre: 13
| blog: Jirkoviny
| Virginia
2.7.2009 18:29
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
2.7.2009 18:59
JiK | skóre: 13
| blog: Jirkoviny
| Virginia
Když jsem si byl nechat vyměnit řidičák, tak jsem aktivně vyplnil formulář v domnění, že svoji návštěvu urychlím. Nestalo se tak. Úředník se podivil, že se někdo obtěžoval formulář vyplnit, a pak s ním odešel do vedlejší místnosti, kde ho deset minut přepisoval do počítače. Teprve po té mě propustil.
Myšlenka o neschopnosti vyplnit formulář je ale správná, neb ani já jsem nevěděl, jak se přejmenovala skupina „malých motocyklů“, tudíž jsem tam skupiny, o které žádám, nevypsal a konverzi jsem nechal na úředníkovi.
Co mi ale na formulářích vadí, že tam bývá spousta polí, o kterých člověk neví, jestli jsou povinná a jestli je vyplňuje občan, nebo úředník. Takže je zcela normální, že na vyplněním potřebuje člověk školení, nebo živého úředníka.
Další vadou je, že i úředníci/formuláře si pletou adresu poštovní a místa nebo nejsou schopni pojmout číslo popisné/orientační/evidenční. Takže pak po člověku stejně chtějí vyplnit údaje do polí, jejichž název je úplně o něčem jiném (třeba název obce do názvu pošty).
3.7.2009 09:16
otasomil | skóre: 39
| blog: puppylinux
>>>Když jsem si byl nechat vyměnit řidičák, tak jsem aktivně vyplnil formulář v domnění, že svoji návštěvu urychlím.
Kdyz jsem si byl menit obcanku v roce 1998 tak jsem si na ni pockal asi 10 minut !!! nikde jsem nic nevyplnoval a jen pridal dve fotky a pri prevzeti dal muri nohu.
Kdyz jsem si menil obcanku loni tak jsem na ni cekal 30 dni !!! vyplnoval jsem jakysi dotaznik, ale stacila jiz jen jedna fotka a muri noha.
Zkratka pokrok nelze zastavit.............myslete si co chcete.
Kdyz jsem si menil obcanku loni tak jsem na ni cekal 30 dni !!! vyplnoval jsem jakysi dotaznik, ale stacila jiz jen jedna fotka a muri noha.Teď se všechny občanky tisknou ve Státní tiskárně cenin, kdežto ty předešlé se vyráběly přímo na tom konkrétním úřadě.
3.7.2009 12:44
otasomil | skóre: 39
| blog: puppylinux
>>>Teď se všechny občanky tisknou ve Státní tiskárně cenin, kdežto ty předešlé se vyráběly přímo na tom konkrétním úřadě.
A to je prave ono - urednici jsou nasrani ze jim uz nikdo neduveruje a ma to dopad na obyvatelstvo skrzeva to ze urednik (zenskeho pohlavi) ma mindraky ze uz neni tak dulezity a zodpovedny.
3.7.2009 13:00
stativ | skóre: 54
| blog: SlaNé roury
2.7.2009 19:42
Jendа | skóre: 78
| blog: Jenda
| JO70FB
option=credential&target=https%3A%2F%2Fwww.czebox.cz%2Fportal%2FISDS%2F&Ecom_User_ID=<mojejmeno>&Ecom_Password=<mojeheslo>&submit.x=89&submit.y=27&submit=LoginLuku, jak legálně zveřejnit detailní postup, kterým jsem k tomu došel (arpspoof+transparentní proxy, samozřejmě jsem to dělal jenom doma v labu
)? Stačí na začátek napsat, že je to jenom ke vzdělávacím účelům?
2.7.2009 20:07
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
2.7.2009 23:08
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Právě jsme každý vyhodili 90Kč za něco, co pořádně nefunguje.
2.7.2009 23:27
Dent | skóre: 21
| blog: Standovo
Vůbec mám takový pocit, že některé místní výkřiky na adresu datových schránek jsou, no, mimo. Já ten systém v žádném případě nechci obhajovat, pokud může člověk z vývoje tři týdny před spuštěním říct "ono je to ještě takový dost živý", pak je něco někde zatraceně špatně, a 900 mega je příšerná suma, ale jestli to bude rozumně fungovat pod náporem, který se dá očekávat, což bych viděl jako klíčové, pak bych klidně přimhouřil oko nad hláškami nějakého kravaťáka. O bezpečnost přístupu k datovým schránkám se mají starat specialisti, pro které je ověření pravosti certifikátu samozřejmá rutina.
3.7.2009 00:18
Dent | skóre: 21
| blog: Standovo
, tak spánembohem. Pořád to jsou líp investované peníze než třeba Aplikační Framework Portálu (kdo zná, ví)
Odhadem jen HW mohl stát cca 250 mil Kč (to je realita při několika lokalitách, několika prostředích a vše HW plně zálohované)
3.7.2009 12:12
Salamek | skóre: 22
| blog: salamovo
3.7.2009 15:08
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
3.7.2009 13:18
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
3.7.2009 00:09
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
2.7.2009 23:26
Fluttershy, yay! | skóre: 93
| blog:
2.7.2009 23:32
Jendа | skóre: 78
| blog: Jenda
| JO70FB
2.7.2009 23:36
Fluttershy, yay! | skóre: 93
| blog:
2.7.2009 23:43
Jendа | skóre: 78
| blog: Jenda
| JO70FB
).
3.7.2009 09:05
otasomil | skóre: 39
| blog: puppylinux
Taky jsem neodolal a zridil si zkusebni datovou schranku.
Ten xml filer tak nejak funguje na win i Ubuntu (jsem testoval)
Nechapu jak se nekdo bude prihlasovat kdekoli na svoji schranku. To bude vsude instalovan xml filer ?
Kdyby to cele bylo postavene na technologii co vyuziva Google Docs ta by to bylo lepe pouzitelne.
Co spyware a keyloggery - neni problem si ziskat pristupove udaje do schranek.
Z toho duvodu povazuji jakykoli certifikat za bezvyznamny. Kdyz se prihlasim v kavarne do schranky tak hned po mem odchodu muze prijit hostinsky a prihlasit se tam taky na zaklade zapisu co vytvori keylogger a posilat, odpovidat za mne uradum a tak.
Dokud byly maily tak v podstate nikoho nezajimala posta cizich lidi.
S datovyma schrankama to uz zajimavy bude.
Cely je to bezvyznamny bastl.
3.7.2009 11:29
Jendа | skóre: 78
| blog: Jenda
| JO70FB
K internetbankingu se taky přihlašuješ v kavárně?Kdyz potrebuji, tak ano. Kalkulacka mi prijde jako dostacujici ochrana.
3.7.2009 12:41
otasomil | skóre: 39
| blog: puppylinux
>>>Kalkulacka mi prijde jako dostacujici ochrana.
Kolik lidi asi tak vi ze existuje nejaka klavesnice na obrazovce ?
3.7.2009 12:46
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.7.2009 12:46
Jendа | skóre: 78
| blog: Jenda
| JO70FB
.
4.7.2009 09:57
xkucf03 | skóre: 49
| blog: xkucf03
Zkušenost ze dvou peněžních ústavů: zabezpečené jsou hlavně transakce (převody peněz) a jiné příkazy, které by ti mohly způsobit nějaké náklady nebo jsou jinak nebezpečné – v takových případech je potřeba použít kalkulačku (token) nebo opsat kód ze SMSky (v lepším případě šifrované). Tzn. únos relace nehrozí, resp. pokud by k němu došlo (i přes SSL), nebude útočníkovi ukradená relace k ničemu.
3.7.2009 12:47
otasomil | skóre: 39
| blog: puppylinux
>>>Jinak prý (někdy, časem) zavedou možnost, že ti při přihlášení přijde SMS a abys mohl pokračovat, budeš muset opsat kód z ní.
Jasne
Toto maji kdejake banky.
Az to budou mit DS tak uz vetsina z nas nebude na svete takze si do te doby telefon urco neporidim.
Koukám, že všichni naříkáme. Mě se DS taky takto nelíbí. Nicméně rozhraní existuje. Tak co napsat klienta pro DS??
3.7.2009 15:16
houska | skóre: 41
| blog: HW
He he. Nenašel by se někdo kdo by to dokázal udělat? Zkusil o tom například natočit video takovým stylem aby tomu rozuměli i lamy a a byli schopni sami usoudit, že tohle řešení je napič ... ehm že to není dobré řešení.
3.7.2009 15:24
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
3.7.2009 15:24
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.7.2009 15:25
Jendа | skóre: 78
| blog: Jenda
| JO70FB
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
