Vlákno názorů k článku
Falešné domény mohou zmást žadatele o sociální dávky, CZ.NIC je ve velkém blokuje
od Uncaught ReferenceError: - Dnes by stačilo, kdyby aspoň existoval seznam všech...
-
Dnes by stačilo, kdyby aspoň existoval seznam všech vládních, státních a ministerských domén. Není občas ani snadné pro nás, kteří se o nějakou infrastrukturu starají rozlišit, co je podvodný web a který je legitimní. S tím je pak spojená i pomalejší reakce na případné zablokování.
Nekonečné bloudění přes google, hledání v whois, koukání na stáří/historii u cz.nic, hledání rozdílů v obsahu je skvělé pro využití volného času, ale na efektivitě to nepřidává.
Odpovědi úřadů na otázku, kde je v zákonech zakotvena adresa jejich webu typu "máte to napsané v patičce, že web patří tomu a tomu ministerstvu" moc přehlednosti nepomáhají.
-
A kdo by na ten seznam podle vas koukal? A kolik beznych uzivatelu vubec tusi, ze treba existuje nejaky whois? Natoz, aby v nem neco overovali? :D To jsou takove ty predstavy IT geeku naprosto odtrzene od reality.
Uzivatele proste klikaji na odkazy, ktere na ne nekde vypadnou... a rozhodne nezkoumaji, co je v adresnim radku doopravdy (a malokdy to tam pisou rucne). Taky proto vsechny ty phisingy funguji. A neni to jen o statni sprave, to mate banky... a muzeme pokracovat.
Ne, tohle ani vse nastrkane pod ".gov.cz" skutecne nespasi. Trklo by je to leda ve chvili, kdyby to URL fakt psali rucne - ale u vysledku ktere na ne vypadnou z vyhledavacu nebo z emailu normalni lidi vubec nebudou zkoumat, na co doopravdy klikaji.
-
Lidí, kteří si zkontrolují webovou aspoň když se přihlašují k bance, zadávají údaje o platební kartě a přihlašují se ke státním službám, není zas tak málo. Kdyby to tak nebylo, těch úspěšných podvodů by bylo daleko víc. A je jedno, že to tak nedělají všichni – důležité je, že to pomůže alespoň těm, kteří se o bezpečnost chtějí starat. Když někdo nechce, nepomůže mu vůbec nic.
Vaše argumentace je jako kdybyste tvrdil, že se mají přestat do aut montovat bezpečnostní pásy, protože jsou stejně lidé, kteří se nepoutají. Ano, jsou, ale to je jejich problém. Podstatné je těm lidem, kteří se o svou bezpečnost chtějí starat, dát tu možnost.
-
...jo, ale co takova dzungle kolem NIA? :-) Tam je to z pohledu beznych uzivatelu slozite uz tak nejak... by design. A prihlasovaci udaje - jen tak mimochodem - rozhodne nedavate do stranky, kterou otevirate. Jinymi slovy i kdyz se budu prihlasovat treba k danove informacni schrance, ktera bude mit na krasne url "adisspr.mfcr.gov.cz" (tedy obecneURL koncoveho systemu, kam chcete vlezt), vzapeti to presmeruje na "nia.identitaobcana.cz" (coz jeste jde upravit treba na tvar "nia.identitaobcana.gov.cz")... a co dal? Statni indentitni prostredky jeste na .gov.cz nejak udrzite... ale ty provozovane soukromymi subjekty uz nikoliv. A samozrejme, i tam je to co kus, to original...
Kazdopadne vysledkem je, ze ten kdo chce kontroluje 2-3 URL, jestli delaji to, co skutecne ocekavame... nehlede na to, ze i techniky utoku se neustale vylepsuji. Aneb aby to bylo "hezky", schovame i ten adresni radek... no jo, a on vam to nekdo neprekvapive zneuzije zpusobem, ktery se jiste nedal cekat.
A neni to tak davno, co do toho URL radku slo javascriptem vepsat vlastne cokoliv - AFAIK to prestalo "jit" az nedavno, ale nezkousel jsem v posledni dobe.
Takze hezky argumentujete odmontovanim bezpecnostiho pasu, ale ona ta problematika je tak nejak cela vyrazne slozitejsi. A bohuzel se to nekdo snazi zjednodusit do roviny, ze vse pod "gov.cz" nas najednou zachrani. Ne, az tak jednoduche to fakt nebude, ono ve finale to nic moc spis neovlivni. Notabene mimo jine spolehate na to, ze zna syntaxi URL jako takovou (nojo, zase uvazovani ajtaka) a nevyhodnoti treba "https://gov.site/https/mcfr.gov.cz/login" jako tu "bezpecnou" adresu. Vzdyt tam prece mam to "gov.cz", ze? A s tim, jake budou vznikaji (a budou vznikat) ruzne krypticke zkratky u agend vedenych statem je ta chyba (prehlednuti na strane v IT neprilis zdatneho uzivatele) sama o sobe celkem snadne...
-
Zrovna kolem NIA je to ve výsledku hrozně jednoduché. K přihlášení používám jednoho poskytovatele, třeba MojeID nebo svou banku. Takže si pamatuju jednu adresu MojeID nebo banky a tu kontroluju, když tam zadávám přihlašovací údaje. Kdybych chtěl, tak si můžu ověřovat i ten rozcestník NIA, ale to je jen takový bonus navíc, důležitý je ten poskytovatel identity. A ten je pro mne jeden a v budoucnosti se s ním přihlásím k celé státní správě.
Takže ty domény *.gov.cz už budou nutné „jen“ pro nepřihlášené, tedy abych věděl, že to, co se na tom webu píše, tvrdí opravdu ten úřad a ne někdo, kdo se za něj vydává.
-
Dobra strelba do vlastni nohy. Pokud je to s NIA tak jednoduche, tak zadne gov.cz vlastne nepotrebujeme. Ucty specificke a vazane pro konkretni sluzbu statu budou tak nejak obecne mizet, pokud se tak jiz davno nestalo. A samozrejme jste preskocil tu cast, kde popisuju, ze utoky dnes umi byt ponekud... sofistikovanejsi.
A s argumentem, ze to "gov.cz" muze bet zasite v jine casti URL jste se pochopitelne nevyporadal vubec. A samozrejme URL i ve tvaru. https://<dosad co chces>/https://obcan.portal.gov.cz/ bude URL... ehm, validni. Proste dojdete ke stejnemu paskvilu, jako kdyz se jeden cas tvrdilo, ze zelenej zamecek rovna se bezpeci. Tak ted si to zopakujeme s .gov.cz?
-
Jak jsem psal, doména gov.cz by sloužila k tomu, abych věděl, že to, co na webu vidím, publikovala skutečně instituce veřejné správy. Protože spousta důležitých věcí spočívá v tom, že si prostě jenom něco přečtu, nemusím se nikam přihlašovat. Třeba když se chci dozvědět (před rokem) od kdy platí jaká pravidla pro pohyb mezi okresy nebo když se chci teď podívat třeba na doporučení ohledně očkování, nemusím se nikam přihlašovat přes NIA.
A s argumentem, ze to "gov.cz" muze bet zasite v jine casti URL jste se pochopitelne nevyporadal vubec.
Já jsem vám chtěl dát šanci, že si spustíte nějaký prohlížeč, který používají běžní uživatelé, a pak se budeme tvářit, že jste to nikdy nenapsal. Ale když chcete…Vysvětlit uživateli „kontroluj tu tučnou část vlevo“ není tak těžké. Chrome a Vivaldi (desktop i mobil) zobrazují základní doménu tučně, kromě Vivaldi na desktopu bez protokolu, takže stačí začít číst zleva a přečíst to tučné. Safari na desktopu zobrazuje jenom základní doménu. Firefox na desktopu zobrazuje tučně základní doménu (jako Chrome), navíc zobrazuje i protokol.
Docela by mne zajímalo, jaký prohlížeč používáte. Nebo vás nenapadlo při psaní toho komentáře podívat se, jak vypadá adresní řádek ve vašem prohlížeči?
-
Podnitil jste moji zvedavost - toho jsem si v pravde ani ja nevsimnul, jak to je "napadne" - takze tady mate zvyrazneni v Chromiu a pro srovnani i zvyrazneni ve Firefoxu. No to je skutecne videt a kazdeho to vylozene prasti do oka... :D No jo, zase jste se proste projevil jako typicky ajtak odtrzeny od reality prace s beznymi lidmi (nedejboze treba seniory) .
No a vzpominate si na ty zelene zamecky? :-) Nebo dokonce na EV certifikaty... kde jste mel dokonce napsane i jmeno subjektu, kteremu byl vystaven? Fakt to fungovalo....? A ze se to teda zrusilo a nahradilo touhle na prvni pohled min napadnou veci... :D Jasne, to jiste bude fungovat lip... no spis nebude.
-
Zdá se, že si to budete muset prohlédnout ještě jednou a ještě lépe, abyste si konečně všiml, že ta základní doména je úplně vlevo – před ní už je jenom „www“ (když ho web používá) a protokol (ve Firefoxu nebo když je to HTTP).
Navíc není potřeba, aby to někoho praštilo do oka, protože to uživatel sám hledá. Pokyn zní: „Podívej se na tučnou část úplně vlevo v adresním řádku a zkontroluj, že je to rb.cz / končí to na .gov.cz“.
Zelené zámečky fungovaly pro ty, kdo to chtěli používat. Lepší samozřejmě bude, až uživatel nebude muset žádné HTP a HTPS rozlišovat, protože prohlížeč HTTP vůbec podporovat nebude. Jenže to hned tak nebude, protože když to někde napíšete, hned se vyrojí spousta lidí, kteří se naprosto nutně ze svého prohlížeče potřebují připojovat ke své padesát let staré žehličce, která HTTPS neumí, takže kvůli tomu musí mít všichni v prohlížeči podporu HTTP.
EV certifikátů je škoda, resp. tak, jak se zobrazovaly, by se měly zobrazovat OV certifikáty. Zase by to výrazně usnadnilo odhalování phishingu těm, kteří chtějí mít tu možnost. A opět, bylo by daleko jednodušší vysvětlovat lidem, že když se přihlašují do svého internetového bankovnictví, musí v adresním řádku vidět napsáno „Fio banka a. s.“ a v žádném případě to nemůže být prázdné nebo tam nemůže být „Super Fio Bank Ltd.“.
Čtečky myšlenek zatím nejsou běžnou výbavou počítačů, takže prohlížeč zatím nedokáže zkontrolovat, zda je uživatel na té stránce, kde chtěl být – takže zatím je to na uživateli, aby si to zkontroloval. Kdo si to nezkontroluje, to je jeho problém, nijak ho k tomu nedonutíte. Ale správné je umožnit to zkontrolovat těm, kteří si to zkontrolovat chtějí. A ti teďka tu možnost prakticky nemají, protože málokdo si z hlavy pamatuje seznam domén byť jenom všech ministerstev, a se zrušením EV certifikátů přestalo mít smysl dávat jméno instituce do certifikátu, takže i instituce jako banky (a asi i ministerstva) používají DV certifikáty, ze kterých nepoznáte nic.
-
No hezky popisujete pohled ajtaka, co cele dny travi u internetovych diskuzi a mezi bezne (typicky co se pocitacu tyce mene pokrocile) uzivatele realne moc nechodi. Tak jen pokracujte s temi svymi teoriemi videne VR brylemi naprosto odtrzene od reality toho, co je k videni mezi obycejnymi lidmi kolem nas.
-
Danny: Chápu, argumenty žádné nemáte. Jen abych si udělal představu, jestli vůbec tušíte, o čem mluvíte – například kolik lidí, kteří neměli žádnou zkušenost s počítačem (tj. i takoví, kteří opravdu drželi poprvé v ruce počítačovou myš – a neznali ani žádný tablet nebo chytrý telefon) jste učil zacházet s počítačem?
-
Zajímal mne ten počet, abych si mohl porovnat, zda s tím máte větší či menší zkušenost, než já. Zase se jenom vykrucujete, takže předpokládám, že s tím nemáte zkušenost prakticky žádnou. Děkuji, to mi stačí – je mi jasné, že s výukou „počítačů“ takových lidí mám víc zkušeností, než vy, takže podle toho také budu posuzovat vaše „zkušenosti“.
-
já vůbec nemluvil o uživatelích, pro ty to nemá přímý význam. Mluvím z pozice správy několika velkých firemních sítích. Opakovaně se nám vyskytují problémy s ověřením autority dané domény, a to i při přimých dotazech na dané úřady (sami neví, které weby mají).
Nejde jen o IPS a blokování v reálném čase, pokud útok běží, ale i o případ zpětné analýzy a pomoc s řešením následků. Stát mám v doménách a aplikacích zmatek a nechová se odpovědně.
Banky mají jednotný komunikační kanál (webová stránka, aplikace, pobočka), který je ještě často ukotvený ve smlouě; uživatel si banku vybírá sám, naproti tomu stát občany pravidelně nutí používat různé náhodné a i nové weby, aby splnili svoji (často zákonnou) agendu. Těch webů vůbec není málo.
A kdo by na ten seznam koukal? Kdokoliv řeší bezpečnost. Máme tady legitimní požadavky na důvěryhodný terminál na přístup ke státní správně na obcích, knihovnách. Jsou tady požadavky na monitorování útoků na státní weby a jejich ochrany (jak chceš chránit něco, o čem nevíš, že máš chránit?). Stejně tak lze díky tomu rychleji identifikovat falešné weby.
-
To ale nebudou nikdy. Vzdycky se najde nejaka "klicka", jak oficialni procesy obejit. Zrovna co se hledani skulin v internich pravidlech tyce jsme v Cesku kabrnaci.
A tady je to v zasade jednoduchy - pustite nejaky suprcupr projekticek na samostatne domene, s vlastnim hostingem... absolutne mimo vlastni infrastrukturu. Nejake uvahy o IPS... ehm... :-) To se proste cele utopi v jedne zakazce, kde na fakture bude vysledne jmeno projektu coby nejake dilo a tim to skonci.
Se jen podivejte, kolik "novych" veci vzniklo na prazskem magistratu za poslednich par let - pod "vedenim" ajtaka Hriba za dozoru ajtaka Blahy. A pod "praha.eu" to rozhodne taky nenajdete, vsecko ma sve "nove" second-level domeny. Aneb mohli to delat uz davno - neudelali. A neptejte se me proc...
-
mám rád pořádek a přehlednost. Asi bychom se měli ptát, proč se ty oficiální procesy obcházejí, proč se vynakládá energie na to, udělat to jinak. Nejspíš budou existovat bariéry, které si zaslouží odstranit.
Dnes do státní správy nedělám, dříve při zakázce pro ČSÚ jsme nemohli použít jejich web, protože ten spravovala firma X a nebylo flexibilní jim tam něco dodávat, zároveň jsme nemohli použít subdoménu, protože DNS spravovala firma Y. Nemohli jsme si ani pro subdoménu udělat SSL certifikát, protože doména měla administrátorský kontakt na firmu Z a s ní nebyla spolupráce domluvena. To bylo před 15 lety, asi čekám, že stav je podobný i dnes.
Pokud stát chce začít digitalizaci vážně a chce posílit bezpečnost, nic jiného než udělat katalog webů a odpovědných orgánů mi nezbývá. Stejně tak sjednotit infrastrukturu, odstranit povalující se TLS certifikáty na webových serverech jednotlivých projektů atd. Nic, co bychom v komerčním světě už dávno nedělali.
-
No a o tom je presne rec. Ale je otazkou, kolik situaci je o tom, ze by to opravdu neslo... a kolik jen o tom, ze to je "na dyl, musi to projit pres vice lidi... ale me se nechce cekat! ja to chci hned ted!". Aneb zrovna vygenerovani pozdadavku v prikladu vyse na firmu Y stylem "zalozte mi ty a ty DNS zaznamy" predany pres zadavatele... no tak to nebudu mit za pet minut, ale treba holt za tyden... ale fakt chcete tvrdit, ze by to neslo? To je spise z kategorie trapna vymluva. Ze by firma Y odmitla pozadavek odmitla se mi nejak nezda.
-
Ono to vždy jde, jen se musí tlačit, mluvit, zkoušet a ne se zastavit u prvního odmítnutí. Někdy ani netušíš jaká to je firma, někdy nemáš jak tu firmu kontaktovat, někdy ti měsíce neodpoví, někdy požadavek se ztratí někde ve státní správě.
Dokud bude jednodušší si udělat novou doménu, bude se dělat nová doména, málokdo si dobrovolně volí složitější cestu.
Myslím si, že by domény a edge infrastruktura měla být spravována jednotně a aplikace by se měly umišťovat až za ní a ne, že každá aplikace si bude terminovat veřejné TLS a bude si řešit bránu sama. Takhle to děláme v komerčním světě, ikdyž uvnitř je spousta zvířátek, navenek je vše pod jednou střechou.
Stát má ještě jedno specifikum, u všech projektů je potřeba vyčíslit přesné náklady a ty jdou z dané kapitoly. Bývalo nepředstavitelné, abychom využívali nějakou společnou infrastrukturu a rozpočítávali náklady mezí více projektů. Stejně tak byla nutnost všechny subdodavatele specifikovat již do smlouvy, pokud se během projektu ukázalo, že potřebujeme dalšího subdodavatele (firma Y nebude nejspíš zdarma dělat změnu DNS), znamenalo to změnou smlouvy a to není jen tak.
-
Takový "seznam" by samozřejmě mohl mít podobu rozcestníku na webu gov.cz. Klikal by na to kde kdo, protože i cvičená opička by si dokázala zapamatovat, že všechny státní služby najde na gov.cz a navíc by to díky koncentraci služeb a podobných dotazů preferovaly i vyhledávače. Zkratka MPSV je hloupá - obsahuje samé souhlásky, je nevyslovitelná, není nijak spojená s ostatními službami státu, neznám nikoho, kdo dokáže říct správné pořadí písmen, aniž by si musel odvykládat "M jako ministerstvo, p jako práce...". Zato znám dost lidí, co neznají správný název toho ministerstva.
Většina lidí téhle cílové skupiny je zvyklá "chodit na ty internety" přes seznam nebo přes gůgla nebo pro ně internet je facebook a odkazy na něm. Stačilo by, aby odkaz na gov.cz měl Seznam.cz na úvodní stránce a garantuju vám, že jste pokryl velkou část cílové skupiny.
Hlavní problém je negramotnost většiny populace a rezignace státu na vzdělávání lidí. S tím souvisí také jim to usnadnit a nekomplikovat. A neakceptovat nesmysly, které v souvislosti s IT vypouští média a tím negramotnost ještě prohlubují (viz nedávná akce s doporučením neotvírat placené SMS, které přijdou po návštěvě podvodného webu).
S negramotností se nelze smiřovat a dělat věci ještě hůř, protože je to negramotná většina zvyklá takhle dělat, není v pořádku. Feťáky se taky snažíte přesvědčit, že píchat si to do žíly jehlou, kterou si půjčilo už 5 dalších lidí není dobrý nápad, i když je to pohodlný a dělají to ostatní...
-
Zkusil jste si tu adresu gov.cz otevřít? Ono tam totiž v podstatě je to, co chcete. Akorát holt veřejná správa je trochu košatější, než si představujete, takže to nejde udělat jako seznam několika položek. Ale když někdo ani neví, jak se to ministerstvo jmenuje, stejně by mu byl k ničemu seznam ministerstev a užitečnější je rozcestník životních situací. Samozřejmě také záleží na tom, jak je udělaný a zda se v něm člověk zorientuje a najde tam svůj případ.
