Názory k článku
Jak funguje MojeID?

„Pokud nekam dal blbo adresu je to ciste moje blbost ne ?“

Ne za předpokladu, že se ti na ni e-shop pokusí poslat dobírku. To pro něj znamená ztrátu přibližně 100 Kč.

„Navic neexistuje ani jediny duvod, proc bych se mel kamkoli jakkoli overovat a jeste jako bonus umoznovat nekomu smirovani identity idealne kdekoli a kdykoli.“

Může se stát, že to budou e-shopy nebo i jiné služby vyžadovat. Nebo ti dají na výběr - buď použiješ ověřený účet mojeID, nebo budeš muset zaplatit poštovné a balné předem. Obdobně internetové diskuze, pokud budou chtít, aby si nikdo nemohl zaregistrovat spoustu účtů.

To s tou postou je pravda a je to ciste vase blbost, ze jste si to na poste nezakazal - zvlast kdyz o te vlastnosti posty vite.

Jako obchodník rád zvýhodním na ceně za dopravné dobírkou právě uživatele, který poskytne regulérní identitu.

Výdaje za vrácené dobírky jsou skutečně problém a tohle může být účinná preventivní ochrana.
Už i možnost párování účtů přes Facebook je zlepšení.

Nemám ani nikdy nebudu mít profil na stupidbooku, protože nechci být uložen v cizí databázi u neznámých lidí. Tohle je něco podobného, jen se to netají tím, že to bude centralizovat a ukládat, co jsem kdy kde a jak udělal a výhody? minimální, jestli vůbec nějaké...

tak a ted jeste tu o tom jak bezpecnosti kamery snizuji kriminalitu. holt komu neni rady ...

A odfiltruje to i zbytecne prispevky jako ten Vas?

souhlas.. diskuzní servery sou jedna velká žumpa, hlavně ty anonymní

Nelibí se mi, jak IT komunita jednohlasně opěvuje mojeID, aniž by se kriticky zeptala A) Kolik to stálo? B) K čemu je to dobré.

Ad A) Stálo to přebytek rozpočtu CZ.NIC. Neziskovka z definice nesmí vytvořit zisk, přičemž CZ.NIC s tím má odjakživa problém. Nic proti této snaze, ovšem nemohu za tím nevidět základní účel - utratit za něco rozpočtový přebytek.

Ad B) CZ.NIC tímto naráží na uzavřený kruh jakékoliv sociální sítě: Pokud nemám uživatele, nemám ani podporu. Mám-li se jako provozovatel rozhodnout implementovat podporu nějakého přihlašování, použiju dnes Facebook connect, případně možná ještě Google ID. Nic jiného mi za tu podporu prostě nestojí a skutečně si nemyslím, že mojeID bude mít sílu to jakkoliv změnit.

B) Účtů na Facebooku nebo na Google si může každý vytvořit, kolik chce. Navíc tam není ověřená adresa (fyzická).

A kolik najdete aplikací, kde ji potřebujete? E-shopy? Co když chci zboží zaslat jinam?

Mimochodem účtů na mojeId si můžete vytvořit také kolik chcete. Jenom k tomu narozdíl od Google potřebujete navíc novou sim kartu.

S tím se mimochodem pojí také desítky problémů (změna čísla, převod čísla na někoho jiného /firemní mobily/, cizí státní příslušníci), které pochybuji, že mojeID vůbec řeší..

> Neziskovka z definice nesmí vytvořit zisk

Neziskovka klidne muze vytvorit zisk, pouze nevznikla za ucelem tvorby zisku a nesmi zisk rozdelit mezi sve cleny.

Nesmi zisk rozdelit, a tak ho prenecha servisni organizaci vlastnene kymsi na Bahamach, ktera na dodani implementace ciste nahodou najme ... :-)))

Proč dinosaurus? Třeba požívá VoIP a nemá bránu do PSTN. Kdyby to jenom šlo, tak bych mobil taky zahodil (už jenom z důvodu hlasování peněženkou, velmi se mi nelíbí chování našich oligopolních operátorů). Bohužel není použitelné připojení k Internetu všude tam, kde potřebuji volat.

Email v roce 2010 snad nestaci ?

E-mailových schránek si každý může založit tuny. A OpenID poskytovatelů, kde se zaregistrujete jednou z těch mnoha vytvořených schránek, je už dost. Co ale citelně chybí je to, aby si někdo nemohl zakládat jednu identitu za druhou – aby se tedy s tou jedinou identitou, kterou má, choval odpovědně. Jediná možnost, jak tohle zařídit, je svázat virtuální identitu s fyzickou – což právě do jisté míry řeší to ověření dopisem, a ještě důsledněji to pak řeší ověření fyzickou návštěvou a ověření proti občance.

Overeni identity pomoci obcanky / pasu chapu, to je stejne stale jedina smysluplna varianta. Proc ne ale skutecne fungujici email (ne freemail) na vlastni domene ? V cem je nejaky priblbly telefonek s predplacenou SIM kartou duveryhodnejsi ? V nicem.

Ten telefon je podle mne taková pojistka, aby si na MojeID kde kdo nezakládal roboticky spousty účtů. Samozřejmě to není nepřekonatelný problém, ale ale zakládat takhle tisíce účtů už by docela lezlo do peněz, kdežto s těmi e-maily by to měl robot pořád zadarmo.

Spousta lidí má jen freemail a nemají e-mail na vlastní doméně, navíc na vlastní doméně máte teoreticky neomezený počet různých e-mailů a „vytvoříte“ je daleko snáz, než na nějakém freemailu.

Jinak je to podle mne ale spíš takové demo a validace přes SMS/dopis je taková „dětská pojistka“ na tom demu, to hlavní jsou ty účty validované proti občance.

kdyz obehnete par akci nasich operatoru a projdete se po "exponovanych" ulicich v praze tak mate za odpoledne plnou igelitku simek zadarmo a muzete valit jeden ucet za druhym.

Ale je to mnohem pracnější. Na snížení počtu takových podvodů to rozhodně stačí.

Při přihlašování k předem registrovanému účtu snad certifikát funguje jen jako klíčový pár, ne? Serveru může být úplně jedno, jaký certifikát je, kdo ho vydal atd., jeho zajímá jen to, jestli znám privátní klíč k tomu veřejnému, který jsem v registraci zadal. (Dokonce by mu v principu IMHO nemusela vadit ani vypršená platnost certifikátu, jen na stejné úrovni jako dlouho nezměněné heslo.)

To, že nějaký certifikát s omezeným užitím je nabídnut i k jinému užití, by mohla být chyba klientského software (v tomto případě prohlížeče/Windows). Ale IMHO kvalifikovaný certifikát lze užívat i k přihlašování (ostatně mám dojem, že v podstatě o stejném problému autor na Lupě kdysi dávno psal).

Ten clanek je dodnes platny, stale neni mozne podesat v Outlooku zpravu certifikatem, ktery je omezen pouze na podpis. Prohlizec by samozrejme certfikat s omezenim jen na podpis nenabidl, ale takto to nema jak poznat.

Prihlasovani kvalifikovanym certifikatem vyslovne zakazuje vyhlaska ministerstva vnitra, ale je ponekud bezzuba, protoze minimalne CSOB a Ministerstvo financi ji porusuji beztrestne nekolik let. Skoro bych rekl, ze jediny kdo to ma udelane spravne je samo vnitro v datovych schrankach.

Myslel jsem to trochu jinak: Vyhláška (resp. norma, na kterou odkazuje) jen zavazuje vydavatele certifikátu, aby toto užívání certifikátu zakázal jeho majiteli (smluvně); dodržování tohoto zákazu tedy je na uživateli (přičemž tento závazek je výhradně smluvní, nikoli veřejněprávní), nikoli na provozovateli služby, které se uživatel certifikátem prokazuje. MojeID tedy nemá co uživateli znemožňovat použití nějakého certifikátu (opět: maximálně by mohl ověřit pole keyUsage, které však z oněch praktických důvodů typicky autentizaci nezakazuje).

Pokud jsem správně pochopil limity dané legislativou, kvalifikovaný certifikát nemá být používán k šifrování! Podepsat s ním mail v Outlooku (Thunderbirdu) nejenom že mohu, ale to běžná dělám! Pouze nešifruju.
Pokud jde o použití k přihlašování, tak si nejsem jistý. Asi spíše ne. Ovšem v aplikaci MojeID se přece nejedná o pravidelné používání k přihlašování, ale o víceméně jednorázové použití k ověření identity pro validaci.
Michal Š.

ee v pripade mojeid jde skutecne o prihlasovani
kdyz sem to skousel tak mi ani neprislo ze by to vyuzili k overeni me identity (ty policka v profilu jsou prazdne i kdyz ty udaje na certifikatu jsou)

csob to neporusuje, dava podepsat text ktery uzivatel vidi
pri prihlaseni a mojeid tomu tak ale neni

Při přihlašování k předem registrovanému účtu snad certifikát funguje jen jako klíčový pár, ne?

Teoreticky ano. Prakticky ale při HTTPS autentizaci klientským certifikátem posílá server seznam autorit, které pro přihlášení podporuje, a prohlížeč vám normálně dá na výběr jenom z certifikátů vydaných touto autoritou. Nikdy jsem nezkoumal, jak by to vypadalo, kdyby tenhle seznam byl prázdný – zda to povoluje standard, jak by se na to tvářil server a jak klienti. Původní představa u HTTPS zřejmě byla taková, že se budete přihlašovat certifikátem vydaným autoritou nějak svázanou se serverem (např. máte univerzitní CA, ta podepíše certifikáty jednotlivých serverů a zároveň certifikáty uživatelů, kteří se k serverům budou přihlašovat). Teoreticky by samozřejmě stačila dvojice veřejného a soukromého klíče, jako je to u SSH, ale takhle to holt v HTTPS není.

Kvalifikovany certifikat by se NIKDY nemel pouzivat k prihlasovani.

Technicky to samozrejme mozne je, ale je tu nebezpeci zneuziti:

Behem prihlasovani certifikatem klient sifruje nahodny retezec generovany serverem.
Pokud by na strane serveru byl utocnik, mohl by misto nahodneho retezce vzit hash nejakeho dokumentu, ktery vam chce podstrcit.
Vy mu ten hash behem ssl handshaku zasifrujete svym soukromym klicem (=podepisete) a utocnik ma svuj podvrzeny dokument opatreny vasim elektronickym podpisem...

Jistě, ale to je ta ETSI norma, o které píšu výše. Mně šlo o to, že tohle všechno jsou povinnosti držitele certifikátu, ne služby, která certifikáty konzumuje. Prostě nesouhlasím, že MojeID (či ČSOB) cokoli porušuje, když „umožňuje“ (či přesněji: nezakazuje) uživatelům používat nějaké specifické certifikáty (on se řídí standardem X.509, nesleduje zákony a vyhlášky z celého světa); jediný, kdo něco porušuje, jsou ti klienti. (OBTW v SSL/TLS se IIANM nepodepisuje „náhodný řetězec“, ale celý handshake, asi by bylo zajímavým cvičením vymyslet, zda se dá podstrčit nějaký „užitečný“ obsah k podpisu.)

Tak bohužel z komerčních CA jsou podporované jen tyto:
Česká pošta, s. p., První certifikační autorita, a. s. a eIdentity, a. s.

Škoda, ve spojení se StartSSL by to byla dobrá služba.

Zajímalo by mě, jestli u této služby lze svůj účet smazat (úplně smazat-žádná deaktivace) bez jakýchkoli zbytečných písemných žádostí a přeposílání kopíí občanek, jak je tomu u mnoha jiných serverů, kde před tím vyžadovali podobná ověření jako tady.

V podstatě zadarmo a dobrovolně poskytujete svoji adresu, e-mailovou adresu a telefonní číslo! Otázkou času pak bude, kdy se vám objeví 'neznámé číslo' a slečna zahájí hovor slovy: 'Nemáte chvíli čas? Nabízíme to a to... (sex to asi nebude)' A že se do vámi uvedené e-mailové schránky začne sypat spam, o tom taky nepochybujte... On je to vlastně nenápadný pokus o šmírování a provázanost mobilu + e-mailu na nějaké jméno a adresu. Komu tohle asi tak může sloužit?

Kdyz se pokousim o vytvoreni meho uctu z registru domen, stale dostavam hlasku "vlozte platnou hodnotu". Ma nekdo stejny problem?

Docela by mne zajímalo, kdo je technickým provozovatelem tohoto systému, kolik stál jeho vývoj a kolik mu za to ročně CZ.NIX zaplatí.

Provozuje to CZ.NIC, vývoj (ne provoz) bych tipoval tak na sto až dvě stě tisíc a NIX s tím nemá nic společného. Roční provoz bude asi dražší, obzvláště pokud se začne ověřovat spousta lidí. Ale zase by se to mohlo kompenzovat tím 1000Kč poplatkem za plný přístup pro provozovatele e-shopů atd.

No me zarazi jina vec. V podminkach pro koncove uzivatele jsou nasledujici body:

7.1. Ceny za poskytování Služby Uživatelům jsou stanoveny Ceníkem.
7.2. Uživatel je povinen uhradit cenu za poskytování Služby způsobem stanoveným Ceníkem.

a na to navazuje:

12.1. CZ.NIC je oprávněn kdykoliv změnit Pravidla, Ceník, jakož i další související dokumenty. Aktuální znění těchto
dokumentů je vždy k dispozici na adrese http://www.nic.cz.

12.2. CZ.NIC je povinen zveřejnit jakoukoliv změnu dokumentů uvedených v článku 12.1 nejméně 1 měsíc přede
dnem účinnosti takové změny, a to zveřejněním změny na http://www.nic.cz.

No mozna neumim hledat, ale zadnej cenik sluzby mojeid jsem na jejich webu nenasel. A podle bodu 12.1. muze NIC kdykoliv, treba az se regne dost useru vydat cenik pro mojeid, kde bude poplatek treba 10 000 Kc/za mesic a podle tech podminek to bude ok ...

Pěkné, aneb podobná prasárna jako prasklá openkrad :-(.

A mohly jit dolu jeste rychleji, kdyby se prostredky nevenovaly na hlouposti. :-/

Cely system je provozovan spolecnosti NIC, neni to ta spol. kvuli ktere jsme za domenu cz platili 4 000Kc v dobe, kdy com stala 5$?

Neni to spis tak, ze tuto sluzbu by mel poskytovat nekdo, kdo prirozene uz ma nejakou uzivatelskou zakladnu? Jako to dela seznam?

Jako uzivatel mam problem s provozovatelem celeho projektu, ktery z financnich duvodu leta brzdil rozvoj ceskeho internetu.

Píše se rok 2010. Nějak mne nenapadá, který subjekt toho dnes pro český internet dělá víc – a dělá to dokonce tak dobře, že to hranice českého internetu překračuje. Vám to možná vadí, já jsem rád, že se CZ.NIC z toho divného subjektu, kterým byl, když se internet začal komercionalizovat, stal tím, čím je dnes.

Mé dojmy z MojeID jsem sepsal na svém blogu: http://www.jiri-kolarik.cz/clanek/jak-na-mojeid-predstaveni/

Po tomto celém článku jsem se stejně nedozvěděl na co vlastně služba je.Jen řeči kolem ,místo pár jednoduchých příkladů.