To, co je v ISDS implementováno, bych nazval spíš AntiCAPTCHA. Vyplnit to robotem je nesrovnatelně jednodušší, než když to vyplňuje člověk.
Pouze to ilustruje, jak asi celý systém ISDS vzniká a vyvíjí se. Někdo se zamyslí a řekne, že je potřeba udělat něco pro větší bezpečnost. Tak někoho napadne třeba CAPTCHA (a hlavně už se nezkoumá, zda to opravdu zvýší bezpečnost). Aby to bylo jednoduché a přístupné, vygenerují se čísla přímo do HTML (a nikdo už nezkoumá, zda je to ještě vůbec Turingův test). Aby to nevypadalo tak složitě, řekne se, že se nebude zadávat všech 12 číslic, ale jen vybrané (a nikoho už nenapadne, že zadat 12 číslic v řadě je pro člověka jednodušší, než vybírat číslice podle jejich pořadí).
Ne všichni a ne všude, ale v tomhle případě bohužel očividně hráli svoji roli spolu s "politickým zájmem", který stojí nad jakýmikoliv jinými principy (logikou, teorií, praxí...).
Ono by ostatně stačilo, kdyby se strčily dva tři miliony nějaký firmě, která by na zabezpečení vytvořila projekt a realizovala by ho. Firmám se ostatně platí nehorázný prachy za podstatně debilnější projekty, který by kolikrát byli schopni zvládnout i informatici příslušného úřadu. Jenže to se vám tady taky nelíbí - účast TO2 a SW602, takže se to asi těžko vyřeší.
Nebo můžete apelovat na lidi ve svém okolí, aby tolik netrvali na snižování platů státním zaměstnancům...
Je potřeba vnést mezi uživatele chaos. Přesvědčit je že kliknutí na odkaz je nebezpečné, ale současně že to platí jen pro datové schránky -- všude jinde se klikat smí. Zakořenit v nich přesvědčení, že certifikáty se ověřovat nemusí, a nebo by měly, a nebo možná vlastně ne. Atd.
A jakmile v tom konečně začne mít většina lidí zmatek, tak bude mít Česká pošta vyhráno, protože pak už bude každému šumafuk jestli je něco bezpečné nebo ne. Stačí potom už jen vyvolávat iluzi bezpečnosti tím že se na stránky doplní captcha a uživatelé se budou buzerovat nutností změny hesla jednou za 5 dní, a je vymalováno :-).
Tak jestli se captcha test provádí až po přihlášení, je to buzerace na nejvyšší úrovni. Těžko se zdůvodní "bezpečnost" - pokud nějaký robot opakovaným generování zjištuje vstupní údaje, tím že narazil na známou stránku s captchou ví že jeho práce úspěšně skončila..
Druhá věc je, že neustálým měněním adres a nedostatečných bezpečnostních postupů , lidi spíše zmatou. Btw hádám že díky tomu draze zaplacené kurzy na obsluhu DS, co se konaly v létě, už z velké části pozbyly své informační hodnoty, skoro všechno je jinak....
IT ochrana, která počívá v tom, že klient si musí nejen sám odsouhlasit pravost certifikátu, ale dokonce ručně přepisovat adresu www.mojedatovaschranka.cz, podle textu na webové stránce datoveschranky.info, opravdu odpovídá úrovni draze zaplacených expertů a odborníků v tomto projektu, a vlastně úrovni celé státní správy v tomto státu.
Zdravim, vidim ze jste z oksystem, ktery je podepsany pod aplikaci na formulare.mpsv.cz - coz je funkcni, multiplatformni reseni na vyplnovani, podepisovani a odesilani formularu pres webove rozhrani.
Vse je reseno na serveru a neni treba orgii s polofunkcnimi bastly typu 602XML Filleru.
Vite nekdo, proc datove schranky nebyly navrzeny stejne? Proc musi uzivatele instalovat 602 nedodelek? Proc nebylo pouzito server-side reseni ve stylu formularu na mpsv.cz?
Kdyz si tak ctu dalsi clanek na tema problemy certifikatu, ktere nejsou defaultne pritomny v systemu, tak me napada otazka, jestli nekdo nevi, proc se za ty roky co nase slavne cetrtifikacni autority existuji jeste do toho systemu nedostaly?
O tom jsem si nikde moc neprecet.
Jinak to co predvedla 4Safety si myslim neni nic objevneho, spis bych to videl jako praktickou demonstraci pro laickou verejnost.
Česká pošta ani ministerstvo nemá prostě odborníky, ale laiky, co někde vždycky opíšou nějakou antibezpečnostní kravinu, a někdo jim ještě za to neurazil pazoury, to je všechno. Ale je to tragédie. Přitom by skutečně stačilo něco tak primitivního, jako hashe certifikátu dodávat s přihlašovacími údaji, systémy na CzechPointech naučit při konverzi kontrolovat e-podpis i v rámci integrity, CRL, data platnosti atd. (prostě PLATNOST, ne MOŽNÁ PLATNOST). Jenomže evidentně je to systém, co to ani neumí, a možná je v tom i korupce a kamarádíčci, co navíc ani neuměj programovat, a lezou z nich jen zbastlený paskvily.
Český stát má morální povinnost zajistit svým občanům bezpečný přístup do systému datových schránek.
Jednou z částí bezpečného přístupu je ověření bezpečnostního certifikátu. Existují různé způsoby, jak toho docílit. Akceptovat pravidla společnosti Webtrust by zřejmě bylo nejjednoduší cestou. Jelikož stát nezvolil vůbec žádný způsob a ověřit pravost certifikátu nelze zřejmě nijak, tak je stát oprávněně kritizován. V některých případech je kritizován obecně, v některých případech je kritizován, že nezvolil to konkrétní (dle mínění mnohých to nejjednodušší) řešení.
>Také si myslím, že IP adresa datových stránek měla být velmi dobře zveřejněna
no hlavně to mělo být něco jako www.ds.cz nebo ještě spíše v doméně gov.cz třeba ds.gov.cz.
Čím delší tím náchylnější na překlep a tím také náchylnější na pishing ....
www.mojedatovaschranka.cz je opravdu zhovadilost nejvyššího řádu.......
Mno ono s tím slavným WebTrustem je to taky všelijaké. Tady je spíše na vině celý systém certifikátů v OS, který je postaven pouze na jedné úrovni důvěry. Ideální by bylo, kdyby v systému nebo v aplikaci, která vyhodnocuje důvěryhodnost daného certifikátu byly dvě úrovně důvěry. Jednou třeba podle Webtrustu a druhá pouze ty CA, které za důvěryhodné považuje uživatel. V aplikacích by pak mělo být jasně vidět jakou úroveň důvěry tento certifikát má.
Uvedu příklad : Dokumenty aby měly právní platnost mají být podepsané podpisy vydanými českými akreditovanými autoritami. Podpis certifikátem vystaveným např. Thawte je právně neplatný. Ovšem i když si mezi důvěryhodné CA dám naše čtyři akreditované autority, neustále budu muset podrobně a složitě kontrolovat kdože podpis vydal, protože systém bude jako důvěryhodné vyhodnocovat jak ty správné vydané českými akreditovanými autoritami tak ty ostatní vydané autoritami WebTrustu.
Taktéž pokud si zřídím doménu a nechám vydat serverový certifikát na mujedatovaschranka.cz (jeden dost pravděpodpbný překlep) tak bežný BFU nic nepozná neboť jeho prohlížeč bude z hlediska důveryhodnosti certifikátu reagovat úplně stejně a nikdo asi nebude neustále kontrolovat text certifikátu.
Prostě zde narazila česká byrokratická zhůvěřilost ještě navíc na samotnou problematickou podstatu praktické implementace důvěryhodnosti certifikátů v OS a aplikacích....když se k tomu přidá, že podpis certifikátem je považován za rovný podpisu klasickému (přitom je to bez časového razítka spíše jen pečeť na obálce) tak je maglajz na světě :)
> musíte certifikační autoritě doložit totožnost
No to je právě omyl. Například pro tzv. 123 certifikát THAWTE nic takového nepotřebujete. Vydává se pouze na jméno domény. Zaregistrujete doménu na vymyšlenou firmu, zaplatíte registraci a hosting (třeba ukradenou kartou, nebo z hacknutého účtu) , objednáte u THAWTE certifikát oni najdou ve whois Váš email a pošlou Vám na něj ověřovací zprávu a pak Vám tam pošlou certifikát. Celé to nebude trvat déle než několik hodin. Když to celé podniknete z internetové kavárny bez kamer, nebo připojen přes bazarový telefon s předplacenou kartou těžko Vás někdo někdy vypátrá..... a to nepochybuji o tom, že při troše snahy by se našla mezi WebTrustovými CA i nějaká ještě "povolnější" možnost. Konec konců i normální "plný" certifikát u Thawte jsem (pravda před pěti lety) tenkrát objednal, po zaplacení i obdržel jen na základě vyplněné žádosti na webu a až zpětně po 2 měsících se ozval někdo z Polska a chtěl poslat kopii výpisu z OR, ale stačila neověřená a měl malinko problém s tím, že doména nebyla napsaná přímo na sróčko ale na fyzickou osobu. Ovšem stačilo zase někam do Polska poslat podepsané "čestné" prohlášení, že osoba potvrzuje vlastnictví domény a vše bylo OK. Takže i takto by to asi šlo na nějaký čas pořešit. Než by CA zjistila, že něco habruje, už máte přihlašovací údaje od půlky republiky :):):)
Tak chapu, ze stat asi uprednostnuje jina kriteria nez WebTrust, ale kazdopadne diky za info jak je to s certifikaty ve Windows.
Kazdopadne by me zajimalo co za nesplnitelna kriteria maji.
Neb mit cert rovnou ve windows(ci jinde), to bych videl pak pro takovou CA jako jasnou konkurencni vyhodu.
Bylo by to sice dobrý, ale jako i tam jsou s některými certifikačními autoritami problémy ohledně nedostatečnýho ověřování žadatele (zda je to skutečně on). Takže plus by bylo mít autoritu jako důvěryhodnou přímo, ale vyšší bezpečí by to znamenalo právě a pouze proto, nikoliv, že WebTrust má nějaký super bezpečný podmínky.
I. CA už nějakou dobu kořenový certifikát ve Windows má.
Jiná věc je, jestli má uživatel důvěřovat certifikátům, které mu do systému předinstaloval dodavatel nebo administrátor operačního systému nebo internetového prohlížeče, který „důvěryhodné“ certifikáty vybral podle bůhvíjakého klíče.
Přinejmenším zajímavé je, že společnost 4Safety není v obchodním rejstříku. Nenalezl jsem ji ani podle IČO, ani podle zařazení do složky. A už vůbec je divné, že má u spořitelny účet číslo jedna. Divím se, že si společnost nechá ukazovat něco od firmy, která se zabývá bezpečností, a přitom je sama silně pochybná.
PS: Tímto nezpochybňuji stav věci, jen upozorňuji na další skutečnosti.
Vtipné. Vlastník domény 4safety.cz je v představenstvu firmy 4Security, na doméně 4security.cz zjevně žádný obsah není, a naopak společnost 4Safety s IČ 28991281 obchodní rejstřík nemůže najít :-o.
Jenže abyste mohl mít certifikát od Webtrustu, který by prohlížeče akceptovali, musíte certifikační autoritě doložit totožnost. A pokud tedy budete na doméně mujedatovaschranka.cz provozovat podvodný web na kterém ale budete mít tento certifikát, je to asi takové, jako kdybyste šel vyloupit banku a strážnému u dveří nejdřív ukázal občanku.
Proto je tu ta věc se schvalováním a v tom, co uvádíte problém není. Samozřejmě, nezabrání to udělat věrohodnou podvodnou schránku, ale kdo by ji dělal, když by ho hned sebrali.
Takže jsou tam jen idioti, co místo aby tedy projekt stopli, když na něj nemají prachy (i na odborný a bezpečnostní ošetření), tak do něj jdou HURÁ s bandou amatérů. Skvělý vyhlídky.
Tak jsem si jeste zbezne procet to co ma Microsoft na svych strankach jako popis "CA Root Program" pro distribuci korenovych certifikatu autorit a technicky mi prijde, ze tam maji nejake zasadne nesplnitelne veci.
Díky za odkaz...právě se mi udělalo špatně od žaludku a mám naprosto neodolatelné nutkání sednout do auta, najít někde Langera nebo jiného "odpovědného" politika a praštit ho fošnou naplocho přes hubu......no kvůli dětem to asi holt budu muset rozdejchat.....
Stejně utopený stovky milionů jako u paskvilu OpenCard v Praze.
Jde o to, kam to šlo, nikoliv jen kolik. Stejně tak se mohly zašantročit miliardy, a výsledek by byl jen o něco větší bezpečnostní lejno.
Nechapu! Otravovat vsechny uzivatele datovych schranek s instalaci certifikatu, navic takto idiotsky, a pritom se da normalni funkcni certifikat of verisignu koupit za par set dolaru. A nemusely by uzivatele prudit s instalaci, a s idiotskymi popisy toho jak to delat, a vubec ...
No a co. Jak má úředník zjistit adresu vašich datových schránek? Na rozdíl od adresy pro listinou poštu uvedenou například v obchopdním rejstříku není nikde uvedena a musí se hádat. Sranda co.
I datové schránky mají své dny. Právě teď můžete číst: "Z důvodu plánované údržby je systém momentálně nedostupný. Brzy se bude možné opět přihlásit. Děkujeme za pochopení."
Nicméně, pokud z jakýchkoliv důvodů potřebujete podepisovat zprávy v Outlooku, tak upgradovat z XPček musíte. Státní správa většinou = WinXP + Outlook + Exchange server.
Podle mě státu škodí vizionáři, kteří se snaží vnutit lidem něco nového, co ještě v praxi není zcela zavedené a ověřené. Ministerstvo informatiky mohlo mít svůj smysl, protože by sledovalo jen jediný zájem - sjednotit ITC státu (kvůli rivalitě mezi rezorty). MPSV začalo budovat svou IT říši mnohem dříve a s mnohem větším objemem peněz. Tomu také odpovídá vybavenost a existující aplikace, které většinou pocházejí z OKSystemu. Stojí za tím také nějakých 15 let jejich spolupráce. Podle mě dostupných informací je využití formulářů na portal.mpsv.cz/forms sporné. Tak vytisknout si vyplněný formulář, ale podpis s QC nebo dnes DS má málokdo. Navíc většinou stejně musíte na úřad, abyste přinesli další doklady. Každý politik chce mít pomníček. Langer si zvolil DS.
Ja osobne Datove schranky tak jak jsou pouzivam s nejvetsim sebezaprenim a odporem. Opet si nekdo namastil kapsu a nedal volnemu trhu vybrat, co je nejlepsi reseni.
Muj otec je maly zivnotik a myslite si, ze vubec tusi co jsou certifikaty, kde se spravne zalogovat a jak poznat certifikacni autoritu? Nekdo si namastil kapsu a hotovo.
Protože ty certifikáty, co jsou ve Windows ( a jiných OS ) jsou od certifikačních společností sdružených v organizaci Web Trust. Ta má svá pravidla. Podstatná informace je, že žádný ze čtyř státně schválených poskytovatelů e-podpisů pro DS NESPLNIL BEZPEČNOSTNÍ PODMÍNKY PRO VSTUP DO SDRUŽENÍ Web Trust a proto jejich root certifikáty nejsou obecně distribuovány např přes Windows update, protože jsou z principu nedůvěryhodné. To je celé, mimo jiné to hovoří o pojedí datových schránek.
Webtrust ani systém řízení certifikátů v OS rozhodně ideální nejsou. Problém je, že současná situace kolem DS má k ideálnímu stavu o několik řádů dále. Redy jdu na stránku o které vůbec nic nevím a stáhnu si z ní certifikát, kterému musím věřit. A ještě když při pokusu si telefonicky ověřit heš certifikátu uspěji i když je chybný.
No vidíte, pane Peterko, alespoň máte důkaz, že vás tam někdo čte a reaguje (i když nejhůř, jak mohl, ale to nikoho nepřekvapí - to, že by návod spravili je asi nad jejich chápání).
Můžete tady vytvořit celé správné zadání a prostřednictvím Lupy je k jeho realizaci dokopat.
CAPTCHA je k prdu, pokud existuje rozhraní, prostřednictvím kterého lze přistupovat k ISDS automaticky - ze spisových služeb, jen pomocí jména a hesla, bez dalšího ověření (např certifikátem uživatele..
Také nechápu. Např. do banky se přihlašuji přes zabezpečené připojení, dostanu potvrzující SMS a vše v pohodě i bez nějakých certifikátů. Přitom banka se mi zdá trochu důležitější jak nějaká poblbaná pošta od státu. Proč nepoužili již hotové a jednoduché řešení je mi tedy záhadou.
Na http://userscripts.org/scripts/show/63141 jsem nahrál skript pro Greasemonkey, který tu otravnou antiCAPTCHu vyplní – stroji to jde podstatně lépe, než člověku. Díky Václavovi Roseckému za otestování.
Naštěstí nebyl ještě zaveden elektronický spis, což by justici položilo na kolena už úplně.Na tom může vydojit peníze ta další parta co přijde po Langerovi a spol.Na základě dohody mezi soudy a státními zastupitelstvými se soudní spisy čítající několik desítek až stovek stránek posílají i nadále v papírové podobě.Pan Zajíček si neuvědomil kolik peněž a času a nákladů by to stálo, naskenovat celé soudní spisy do elektronické podoby aby je na státním zastupitelství zase hromadně vytiskly, protože každý normální člověk, který pracuje s textem, potřebuje v ruce papír, dělat poznámky a podtrhávat.Tím spíše, že soudce by měl zkoumat a pochybovat o předložených listinách.Doufám, že do 2 měsíců vytvořím u Nejvyššího správního soudu judikát, že firma má možnost DS zrušit a používat tuto blbinu na základě dobrovolnosti.Pak to vezme rychlý spád.
No já jsem se při informaci také strašně podivil, kam že ten e-blbec směřuje. On snad ani netuší, že teď bude sám buzerován svým vlastními nekoncepčními principy.
Toto přece múže udělat jen e-začátečník, a potom že pravicově uvědomělí občané jsou u nás (podle nějakých výzkumů) vzdělanější a inteligentnější. Mně připadá, že pravý opak musí být pravdou - ale jestli svou "vzdělanost" získali v Plzni, tak není co se divit. Třeba e-Zajíček navystudoval v Plzni Práva, ale Fakultu aplikovaných (pravicových) věd.
P.S.
A úlpně nejvíce se divím, jak takového e-experta někdo jako Paeterka můža považovat za e-vizionáře. To je ostuda celé MFF, kde jsem kdysi studoval, že lidi jako Peterka (který se prokazatelně nenaučil protokol http) nechali na MFF učit. To na MFF neměli dost vlastních "demokratických" hochštaplerů, kteří by se naučili komunikační protokoly a byli přitom dostatečně politicky loajální režimu? Ale už asi ani MFF není ta, kterou já jsem znal, kde se kdysi všichni s opovržením dívali na režimu loajální pseudo-odborníky.
Rád bych jen - k tématu idiocie datových schránek rozjeté na soukromé doméně soukromé firmy - připomenul známou skutečnost, že ministerstvo dokázalo všude propagovat výchozí webovou stránku pro datové schránky jako www.datoveschranky.info ( i autor ji zmínil ).
Jak jste si možná všimli, tato doména je již nefunkční ( resp. nelze se z ní do datových schránek už přihlásit. Když jsem zkoumal proč, tak jsem "objevil Ameriku - hi ", že totiž tato doména nepatří ministerstvu vnitra, ale soukromé firmě e-invent s.r.o. ( vlastněné dvěma bratry Čejpovými )
Dnes již odkazy z této domény nefungují, datové schránky se spouštějí z domény mojedatovaschranka.cz což je doména patřící ministerstvu vnitra. ( asi si všimlo výrazně víc lidí ). Tragédií je celkový přístup - tohle je ukázka ryzího amatérismu, stejně jako ostatní zvířectva napáchaná datovými schránkami ( xml filler,platnost časových razítek, placená konverze na CP, kšeft s podpisy na postsignum a vynucování více typů podpisů v rámci ještě většího kšeftu pro v budoucnu privatizovanou poštu apod. )
Můžete si ověřit
jděte na www.forpsi.cz , napravo v polovině stránky pod nadpisem "Získat doménu" vyplňte datovechranky a zvolte info
Vypadne na Vás komu tato doména patří. (e-invent s.r.o.)
následně jděte na www.justice.cz a zadejte e-invent s.r.o.
a nechte si vzpsat výpis platných údajů. Soukromá firmička s ručením max 200kKč,co ? To je "zabezpečení" datových schránek před podvržením nějaké soukromé domény, co ?
dále na www.nic.cz si můžete ověřit, že teprve doména "mojedatovaschranka.cz" patří ministerstvu vnitra.Ovšem už ten název je hloupě zvolený ( nebo už jiná doména honem nebyla volná ? )
Tak už chápu, proč stále dostáváme papírově doporučenou poštu a obálky s pruhem od všech možných úřadů, přitom sleduji asi 5 datových schránek a od 1.11. jsou stále všechny prázdné. Dokonce i pošťačka se diví, když nám tu poštu nosí :-))
Ano, ale je to problém celého statního aparátu - nemají odborníky a pak to tak samozřejmě dopadá. A pokud někdo kdo tomu rozumí se objeví tak stejně nemá šanci nic změnit, protože kamarádšoft a zametání problémů pod koberec funguje výborně.
Dodavateli operačního systému a prohlížeče nezbývá než věřit tak jako tak. Instalace podivných certifikačních autorit by ještě byla celkem snadno odhalitelná, pozměněné chování prohlížeče by už běžný uživatel neměl šanci odhalit.
Pod Pecinou nevydržel, a tak bude Zajíček dělat náměstka Kovářové (novinky.cz)
Novým náměstkem ministryně spravedlnosti Daniely Kovářové bude od počátku prosince Zdeněk Zajíček. Ten dříve působil jako náměstek ministra vnitra, ale poté, co mu ministr Martin Pecina omezil některé pravomoci, na svou funkci rezignoval. Zajíček měl na ministerstvu vnitra na starosti elektronizaci veřejné správy. Informovala o tom mluvčí ministryně Jitka Zinke.
Na resortu spravedlnosti bude mít Zajíček podobně jako na ministerstvu vnitra na starost elektronické systémy, zejména problematiku datových schránek.
„Zadání pro pana náměstka je jednoznačné: požaduji po něm, aby do měsíce provedl analýzu situace v oblasti datových schránek v justici. Jeho úkolem bude vyprofilovat hlavní problémy vznikající v souvislosti se zavedením datových schránek. Očekávám, že v návaznosti na závěry vzešlé z analýzy vypracuje návrh opatření a případných legislativních změn,“ uvedla ministryně.
V souvislosti se Zajíčkovým odchodem z resortu vnitra vyzývala ODS ministra Pecinu k rezignaci a obviňovala jej, že pracuje pod taktovkou ČSSD, která jej do kabinetu premiéra Jana Fischera nominovala.
Ten projekt stál 900 000 000. Myslím, že někoho mohli požádat, aby jim udělal kritiku ;-). Ony popisované problémy vidí každý alespoň trochu počítačově znalý člověk hned po načtení úvodní stránky :-).
Lidi pořád volají po snižování platů státním zaměstnancům, tak se nedivte, že to odborníci nechtějí dělat. Za 20 000 hrubýho se na to bezpečnostní experti vybodnou, když v nadnárodní korporaci budou mít 50+ kKč...