Vlákno názorů k článku Ondřej Filip: Nečekejme, že při útoku přiběhnou chlapíci z CSIRTu a vše vyřeší od Koucr - Když už padla zmínka o nutnosti chránit především...

Ja samozrejme chapu, ze jsou ruzni lide, kteri maji k cinnosti CZ.NICu vyhrady.

Jedna z veci, kterou by CZ.NIC fakt delat NEMEL, je neco "pro stat". CZ.NIC vnimam jako komunitni subjekt a jako takovy by mel slouzit komunite (tj. nikoliv statu). CZ.NIC by si mel uchovat svuj neutralni status.

Pokud by spravu domeny .cz melo nejake ministerstvo, je to uplne jiny pribeh.

jeste jsem zapomel napsat, ze CZ.NIC by nemel delat konkurenci svym clenum.

Existují i vyšší zájmy než je konkurence. A zrovna v trojúhelníku privátní sektor (členové CZ.NIC a klienti), veřejná služba (CZ.NIC) a stát to s tou konkurencí či nekonkurencí bude vždy složité. Provoz CSIRTu také může konkurovat členům, ale zrovna nedávné útoky ukázaly, že někdy je důležitější spolupracovat než si konkurovat – a to „nadstranický“ CZ.NIC dokáže zabezpečit lépe.

Nicmene v tomto konkretnim pripade (zminene gov.cz) nespatruju zadny prinos. Ani uzivatelsky (lidi uz si na neco zvykli, tak proc to najednou menit a proc adresy zeslozitovat), ani technicky - naopak, shovanim vseho pod jednu domenu se utoky spise trosku zjednodusi (za predpokladu, ze by gov.cz vylozene nekopiroval infrastrukturu .cz se vsemy anycasty).

Nemyslím si, že by lidé znali zpaměti adresy několika ministerstev nebo dalších státních institucí, spíš neznají žádnou. Případně nějakou adresu zkusí, dostanou se někam úplně jinam – a pak ještě pokud možno píšou na danou instituci stížnosti, jak to že má na svém webu porno. Pro znalé lidi by naopak bylo fajn, kdyby věděli, že když zkusí zkratku státní instituce + .gov.cz, nejspíš se dostanou na správný web, a určitě neskončí u nějakého podvodníka. Kdyby nic jiného, aspoň by .gov.cz zabránilo šílenostem typu mojedatovaschran­ka.cz.

Pokud by .gov.cz mělo ten význam jakési jistoty, dávalo by podle mne smysl provozovat ho na stejné infrastruktuře, jako .cz. Myslím, že už se na internet nedá dívat jen jako na takový doplněk, který když nebude, nic se nestane. V současné době už v době nějaké krize internet rozhodně funguje jako informační kanál (a doplňuje tak televizi a rozhlas), pomalu nastává doba, aby takovou funkci začal plnit i v opačném směru (než se pokoušet přečíst operátorovi na 150 číslo přejezdu, může být jednodušší ho vyfotit a poslat přes internet). A pro takové případy je vhodné mít nějaká privilegovaná jména (jako ta stovková telefonní čísla).

Pokud neznaji tech nekolik adres ministerstev a statnich instituci, tak ty jejich zkratky magicky znat budou? ;-) Ehm, asi ne, coz... zvlast v prostredi, kde pani na dverich ma desaty stitek s jinym napisem a pritom dela stale stejnou praci.

Pocit jistoty rozhodne domenove jmeno typu "gov.cz" samo o sobe neda. Treba uz proto, ze DNSSEC ve statni sprave zrovna moc nefrci a podvrhnout neco na urovni DNS take az tak tezke neni. Naopak by vedlo jeste k vetsimu otupeni a jeste vic bezmyslenkovitemu klikani - je to preci z gov...

Podle me dost dobre nejde aplikovat ty "telefonni" koncepty i na internetu - jednoduse proto, ze ty koncepty v telefonii vznikaly v dobe, kdy rizika byla v zasade minimalni. Dnes ale s IP telefonem ani neni jiste, zda kdyz vytocite 158, zda skutecne volate policajtum ;-)

Vytvořit z Český statistický úřad zkratku ČSÚ nebo z Ministerstvo obrany MO se děti naučí někdy na prvním stupni ZŠ. Zkratky tedy není potřeba znát. Mapování ČSÚ -> czso.cz nebo MO -> army.cz už nijak dovodit nelze, tu adresu musíte buď znát nebo ji někde zjistit.

Koncept, že v krizové situaci nemusím nic složitě hledat a použiju jednoduché a snadno zapamatovatelné postupy a čísla/adresy/sym­boly, je univerzální, rozhodně neplatí jen pro telefony a internet.

To, ze se neco vyucuje na zakladni skole skutecne neznamena, ze to lide umi. A popravde ted i premyslim, co bych v krizove situaci hledal na strankach CSU ;-)

Beztak v krizove situaci se narazi spis na to, ze obcan vlastne ani netusi, kde by danou potrebnou informaci vlastne hledal (u jake instituce), a i kdyz se dostane na web spravne instituce, web je tak "prehledny", ze to tam stejne nenajde... ve vysledku zacne tim, ze zkusi stesti pres nejaky obecny vyhledavac a bude verit jeho vysledkum.

Nekdy opravdu neni od veci se odpoutat od "ajtackeho" pohledu na svet a vyrazit mezi skutecne normalni lidi a idealne nekam daleko od Prahy. Normalni lidi uvazuji ponekud jinak.

To, že občan netuší, kde by danou informaci hledal, ale právě nahrává tomu, aby existovalo jedno místo, třeba www.gov.cz, kde ty nejdůležitější informace pro krizové situace najdu.

CSIRT je sluzba, ktera predava informace. CSIRT.cz je sluzba, ktera predava informace na narodni urovni.

Nikdo nebrani zadnemu ISP, aby si zalozil vlastni CSIRT, naopak - kazdy ISP je vyzyvan, aby nejake takove pracoviste vytvoril.

presne tak

Když je k tomu prohlížeč nutí, není to chyba uživatelů, ale toho prohlížeče…

Takže nejlepší webový prohlížeč je vlastně netcat a openssl.

Pokud nějaký nástroj vede své uživatele k tomu, aby jej používali špatně, je to především chyba toho nástroje. Druhá věc je, proč uživatelé takový nástroj používají -- jenže když mají na výběr ze čtyř nástrojů, kde jeden to dělá úplně blbě, jeden blbě a dva zbývající jsou někde mezi, uživatel si těžko může vybrat dobře. Chyba je především na straně autorů prohlížečů a také na IT odbornících, že na to neupozorňují. Uživatel má dostat nástroj, který ho povede ke správnému používání – je nesmysl požadovat, aby se z každého uživatele stal odborník na PKI.

Zapominate, ze uzivatel je primarne veden touhou neco videt a ta pretluce cokoliv. Moderni prohlizece na rizika upozornuji, ve vychozim nastaveni k zobrazeni nedojde - je treba explicitne vyslovit souhlas (a neni to vychozi hodnota). Dost casto je i v adresnim radku barevne odliseno, kdyz neco neni zcela v poradku. A stejne tam lidi bezelstne zadavaji cisla svych kreditek, hesla atd.

Takze je fakt hodne naivni si myslet, ze podle "textoveho obsahu adresniho radku" budou lidi neco rozlisovat :-) Kdyz neresi ani to, zda je neco cervene ci zelene... naopak, v tomto smeru prave "gov.cz" z uzivatelu udela jeste hloupejsi ovce.

Zapominate, ze uzivatel je primarne veden touhou neco videt
No právě. Tak mu to má prohlížeč zobrazit. Není vůbec žádný důvod, proč by měl předtím prohlížeč uživatele donutit naimportovat certifikát serveru.

Vy sám také neřešíte obsah adresního řádku, ani to, zda je tam něco červené nebo zelené? Nebo existují uživatelé, kteří to řeší, a tím pádem má smysl jim něčím pomoci, když ta pomoc nikomu jinému neuškodí?

Prohlizec uzivatele dotazy ohledne certifikatu zatezuje v momente, kdy s nim neni neco v poradku. Ale to samo o sobe neznamena, ze informace nema byt zobrazena. Sam tu argumentujete krizovymi situacemi - co kdyz zrovna v te krizove situaci vyprsi platnost certifikatu? To se nema radsi zobrazit vubec nic? ;-)

Procento lidi, kteri obsah adresniho radku skutecne resi je tak mizive, ze ty vynalozene naklady (za vsechny zmeny s tim spojene) za to proste nestoji. Uvedomte si, ze nejake "GOV" bude pro obycejneho cloveka pusobit stejne tak trosku... krypticky. Ne kazdy je anglicky mluvici a notabene zvykly na americke zpusoby :-)

Vždyť jsem to psal v předchozím komentáři: prohlížeč má uživateli především zobrazit požadovanou stránku. Informace o zabezpečení může zobrazovat někde bokem. Vždyť když jdu na stránku přes HTTP, prohlížeč mne (naštěstí) nijak nevaruje, přitom je to z bezpečnostního hlediska daleko horší, než když jdu na stránku s expirovaným certifikátem.

Pokud chce jít uživatel na nějakou stránku opravdu bezpečně, nemá to přece hlídat uživatel, ale prohlížeč. Od toho snad ty stroje jsou, aby dělaly rutinní práci. Aby uživatel musel pořád kontrolovat, co je v adresním řádku, to nepatří do 21. století. Uživatel by měl mít možnost zvolit si v záložkách, že na daný web chce vždy jít jen přes HTTPS, případně by měl mít možnost aktivní okno (záložku) prohlížeče zamknout pro zvolený certifikát. O hlídání zámku už se pak má postarat prohlížeč. A teprve v tomto případě, pokud narazí na nějaký problém, má uživatele upozornit.