Vlákno názorů k článku
Falešné domény mohou zmást žadatele o sociální dávky, CZ.NIC je ve velkém blokuje od jinejmuf - Vám přijde normální, aby stát v rámci informační...

Vám přijde normální, aby stát v rámci informační kampaně sděloval adresy ve tvaru https://t.co/iAPoMYoc87? Já na ten odkaz neklikl, považuji ho za na první pohled nedůvěryhodný. Chvíli mi trvalo, než jsem pochopil, že to byla citace z ministerstva a ne z phishingového mailu.

Je diletantismus, že stát tohle vypustí, obzvlášť, když jde o cílovou skupinu s průměrně nízkou vzdělaností a finančními problémy. To si o útok přímo říká. V zemi, kde kvete obchod s chudobou a exekucemi...

Nikdo nepovažuje název domény za škodlivý kód.

Problém je v tom, že uživatel neví, jestli to je správná doména nebo ne. A pak může zadávat třeba přihlašovací údaje do webu útočníka, protože si myslí, že je na oficiální doméně.

Odpověděl jste si sám...
Twitter ji v odkazu automaticky nahrazuje za svou t.co – s tím autor tweetu nemůže nic udělat.
Řešení je tedy jednoduché - nepoužívat z pozice státního úřadu pro komunikaci s veřejností nedůvěryhodnou zahraniční platformu, která neplní potřebné bezpečnostní požadavky.

I kdybych na to "klikl", nic by se nestalo, protože doméně "t.co" rozhodně nevěřím natolik, abych jí dovolil spouštět scripty. ;oD

To je nějaká mánie úředníků (ne-li úřadů) informovat zásadně přes Twitter, WhatsApp, Facebook, případně trvat na vyplnění formuláře na Google Docs, vše nejlépe za reCAPTCHA, abych se tam náhodou nedostal.
A "bezpečná" komunikace je zásadně "do datové schránky, ZIPem šifrovaným rodným číslem, obsahujícím DOCX k vytištění a podepsání modrou propiskou, nascanování, zazipování s heslem "číslo jednací" a poslání zpět do datové schránky". V případě nouze místo datové použijí běžnou e-mailovou schránku.

Jenže on má pravdu: stát ve své kampani odkazuje ("sděluje") na tyhle zkrácené adresy, které jsou beztak nezapamatovatelné a "nesdělitelné", "neopsatelné" - jediné co lze, je kliknout na odkaz. Jenže pak tam je zbytečné ukazovat tu hnusnou adresu a stačilo by ji schovat za popis odkazu.
Netuším, nakolik jsou ty odkazy na Twitter trvanlivé, ale mám neblahý pocit, že se nakonec budou v archivních materiálech vyskytovat dávno po platnosti.
Čili: tohle IMHO není zrovna příklad dobré komunikace.

jinejmuf: Jasně, nejlepší bude vyvěsit to na nástěnce ve sklepě jednoho nejmenovaného stavebního úřadu na Alfa Centauri. Protože když chcete oslovit uživatele internetu, rozhodně nesmíte publikovat obsah na sociálních sítích – ještě by si to mohl někdo přečíst!

Nic proti kampani na sociálních sítích, ale pokud to probíhá cestou tady máte Twitterový odkaz, tam je informace a na ní je zveřejněna platná adresa webu na který se máte přihlašovat, tak to asi zcela dobře nebude. Tedy - pokud to není na oné gov.cz doméně.
Všude se snažíme naučit uživatele, aby nevěřili odkazům na sociálních sítích, protože mohou být podvržené, ale pak přesně přes sociální síť ty odkazy budeme propagovat?
Pokud přijde informace do "datové schránky", je odesílatel ověřitelný, pokud přijde podepsaná ("orazítkovaná") do e-mailu, tak také, dokonce i na webu (HTTPS) lze zkontrolovat certifikát (což nemusí stačit, ale...). Jenže na Twitteru v podstatě jen věřím, že ten účet patří tomu, kdo je tam nadepsaný.
A to, že lidé sociální sítě běžně používají rozhodně neznamená, že všichni. Myslím, že jasně definovaný web (ideálně na gov.cz doméně) by byl pro zveřejňování informací mnohem lepší (než nástěnka ve sklepě jednoho nejmenovaného stavebního úřadu na Alfa Centauri ;oD ).

Ideálně: nepoužívat pro sdělení veřejnosti.
Ta adresa je napsaná až v tom tweetu. Ale už i já jsem se setkal se smazaným/zruše­ným/nedostupným tweetem - a to je opravdu výjimka, že věnuji úsilí zprovoznění scriptů, bez kterých se nezobrazí nic (podstatného).
Opravdu věříte, že ten twitterový zkrácený odkaz v kampaních někdo přečte a opíše?
(Poznámka: na sociální sítě máme omezený přístup v práci i na home-office, což je zajisté odlišnost od většiny uživatelů.)

To by stat ale nemohl vyuzivat socialni site jako takove. Coz doufam uznate, ze by byl holy nesmysl - je to jeden z legitimnich zpusobu jak informaci k lidem dostat.

Probohoha, považovat název domény za škodlivý kód chce fakt fantazii. Neřeknu, když je to base64("/bin/sh rm -rf").cz

Očekávám kdy sse mi zákazník (jistý písničkář hrající na kytaru a ukulele) ozve, kvůli zablokované doméně mamnadupanejkom­psvetrakemjak­svine.cz

11. 10. 2022, 10:27 editováno autorem komentáře

Neucte me znat svet verejnych zakazek. A neni zde zadnym tajemstvim, ze obcas ten vodotrysk tam vpasuji sami dodavatele, o zakazkach "na miru" jsou popsane doslova stohy papiru. A ze se to alibisticky schova za rozhodnuti anonymniho urednika na vlivu dodavatelu na cele to prostedi vubec nic nemeni.

Kde sděluje takovou adresu stát? t.co je totiž adresa zkracovače, který používá a provozuje Twitter a automaticky jím nahrazuje odkazy ve tweetech.

V čem má pravdu? V tweetu je napsaná adresa info.idenitita­obcana.cz, zapamatovatelná, sdělitelná, opsatelná. Twitter ji v odkazu automaticky nahrazuje za svou t.co – s tím autor tweetu nemůže nic udělat.
Odkazy na Twitter jsou trvanlivé, ale to s tím vůbec nesouvisí. Asi jste myslel, jak jsou trvanlivé ty t.co odkazy. Vzhledem k tomu, že to provozuje přímo Twitter, lze očekávat, že to bude fungovat stejně dlouho, jako Twitter samotný.
Takže – co je na tom podle vás špatně a co by mohlo MPSV udělat s tím tweetem jinak?

Ideálně: nepoužívat pro sdělení veřejnosti.
Nepoužívat co, Twitter? Ke sdělování veřejnosti je potřeba používat ta média, která veřejnost sleduje.

Ta adresa je napsaná až v tom tweetu.
No a kde by měla být napsaná jinde, když se bavíme o tweetu?

Ale už i já jsem se setkal se smazaným/zruše­ným/nedostupným tweetem - a to je opravdu výjimka, že věnuji úsilí zprovoznění scriptů, bez kterých se nezobrazí nic (podstatného).
Ano, autor tweetu může tweet smazat, případně může být účet zablokován Twitterem. Jak to souvisí s tím, že Twitter používá zkracovač adres?

Opravdu věříte, že ten twitterový zkrácený odkaz v kampaních někdo přečte a opíše?
Proč by ho někdo četl a opisoval? Na odkazy se normálně kliká.

(Poznámka: na sociální sítě máme omezený přístup v práci i na home-office, což je zajisté odlišnost od většiny uživatelů.)
Viděl jste tedy ten tweet, který je vložený v článku a o kterém se bavíme? Nejjednodušší vysvětlení pro vaše komentáře by totiž bylo to, že jste ten tweet neviděl…

Ńojo, a Ústavní soud taky používá na svém webu bit.ly, protože ho k tomu někdo nutí, že jo.

https://www.usoud.cz/aktualne/ustavni-soud-opet-zrusil-rozhodnuti-o-odmene-soudniho-exekutora-za-vyklizeni-kliniky

Proč? Ono nejde napsat ten příspěvek bez odkazu nebo ho zapsat tak, aby nebyl klikatelný? Když selhává státní školství ve vzdělávání občanů, neměl by na vzdělávání v rizikových oblastech rezignovat i stát jako celek...

Stát ignoruje bující obchod s chudobou a pak ještě rozjede takovouhle kampaň, která je v podstatě návodem pro potenciální útočníky, jak si přivydělat. Ta kampaň je prostě špatně udělaná.

Nic proti kampani na sociálních sítích, ale pokud to probíhá cestou tady máte Twitterový odkaz, tam je informace a na ní je zveřejněna platná adresa webu na který se máte přihlašovat, tak to asi zcela dobře nebude.
Neprobíhá.

Všude se snažíme naučit uživatele, aby nevěřili odkazům na sociálních sítích, protože mohou být podvržené, ale pak přesně přes sociální síť ty odkazy budeme propagovat?
Podle vás má komunikace na sociálních sítích být: „Správná adresa je jiná, ale tady vám jí neřekneme. Najděte si jí sami“?

Pokud přijde informace do "datové schránky", je odesílatel ověřitelný, pokud přijde podepsaná ("orazítkovaná") do e-mailu, tak také, dokonce i na webu (HTTPS) lze zkontrolovat certifikát (což nemusí stačit, ale...). Jenže na Twitteru v podstatě jen věřím, že ten účet patří tomu, kdo je tam nadepsaný.
Za prvé, datové schránka a e-mail je adresná komunikace, Twitter je neadresná komunikace – každá se používá k něčemu jinému.

Za druhé, zjevně nejste moc zkušený uživatel webu a sociálních sítí. Za prvé, Twitter účet MPSV je Twitterem ověřený, což je vidět díky emblému, který u svého názvu má. Za druhé, pravost účtu na sociálních médiích si běžně lidé ověřují tak, že jdou na nějaký informační kanál té instituce, který mají prověřený – třeba web – a tam si najdou odkazy na sociální sítě. A zkontrolují si, zda ten odkaz vede opravdu na ten účet. Takže takhle třeba v patičce každé stránky na webu mpsv.cz najdete sekci Sociální média, kde je odkaz na twitterový účet mpsvcz. Takže tím máte ověřeno, že je to pravý účet.

A to, že lidé sociální sítě běžně používají rozhodně neznamená, že všichni.
A to nějak brání zveřejňovat tam informace pro ty, kteří ta média sledují?
Nemohl byste se třeba nejdřív zamyslet nad tím, než něco napíšete? Pokud by úřad měl zakázáno zveřejňovat informace jinak, než kanálem, který sledují všichni, nikdy by nic nemohl zveřejnit. I kdyby rozhazoval letáky z letadla, namítl byste, že ty si nepřečtou slepí a negramotní.

Myslím, že jasně definovaný web (ideálně na gov.cz doméně) by byl pro zveřejňování informací mnohem lepší
Vážně? Vy průběžně sledujete weby všech orgánů veřejné správy a samosprávy? Překvapí vás to, ale mnohem lepší je zveřejňovat informace tam, kde je lidé čtou. Proto ministerstvo ty informace zveřejňuje na své webu, na sociálních sítích, formou tiskové zprávy, takže se to objeví i v médiích, např. tady na Lupě.

Použití zkracovače v tiskové zprávě je naprosto v pořádku, naopak by bylo špatně mít tam tu původní dlouhou adresu. Za to si naopak tiskové oddělení ÚS zaslouží pochvalu, že umí odkazy na weby používat správně. Problematické je použití zrovna bit.ly, ale v tom by byla potřeba nějaká další osvěta. A samozřejmě by bylo fajn, kdyby pod doménou gov.cz fungoval i nějaký ten zkracovač adres.

Ono nejde napsat ten příspěvek bez odkazu nebo ho zapsat tak, aby nebyl klikatelný?
Napsat odkaz tak, aby nebyl klikatelný, nejde. A napsat příspěvek bez odkazu by bylo padlé na hlavu. „Jediný oficiální web je … ehm, to vám neřekneme, to si najděte sami. Třeba na Googlu. Teda tam vlastně také ne, tomu nemůžete věřit. Tak si pro oficiální adresu našeho webu musíte dojít na naší podatelnu. Tu najdete v budově na adrese … tu vám také nesmíme říct. Najděte si ji sami, ale hlavně ne na internetu.“

Stát ignoruje bující obchod s chudobou a pak ještě rozjede takovouhle kampaň, která je v podstatě návodem pro potenciální útočníky, jak si přivydělat. Ta kampaň je prostě špatně udělaná.
Mohl byste alespoň přibližně uvést, kterou kampaň myslíte? Nenazýváte jedno upozornění na webu a na sociálních sítích kampaní, že ne?

Lol Phirae: Aha, vy jenom nechápete, co je tisková zpráva. No jo, to se dalo čekat.

No a zrovna provoz URL zkracovace pod gov.cz na by byl zajimavy. Jen se obavam, ze by se na tom jako jiz tradicne hlavne napakoval nejaky subdodavatel systemem spousta penez za malo muziky.

potřebné bezpečnostní požadavky? Můžeš mi ty požadavky, na které se odvoláváš odkázat?

Znáš tedy nějakou důvěryhodnou českou platformu, kterou by měl stát používat?

Aha, já zapomněl, on na tom webu nefunguje hyperlink... #JirsakStrikes­BackOnceAgain

Myslím, že (jako je tomu v drtivé většině případů) by o tom, jaké to bude mít funkce, nerozhodoval žádný dodavatel, ale některá z institucí státní správy. Ta by si tam navymýšlela hodinky s vodotryskem – protože když už to děláme, tak by to mohlo umět tohle a tohle a tohle…

Obávám se, že dnes by to někdo pojal spíš stylem „my na našem fóru používáme tenhle zkracovač, tak ho použijeme i tady, tamhle Dušan to o víkendu nainstaluje“. Tak Dušan o víkendu nainstaluje něco v PHP 5, k čemuž už se tři roky nehlásí ani původní autor, a tím to bude považováno za hotové.

Když už tady tedy rozjímáme nad tím co by kdyby.