Názory k článku V datových schránkách je nepříliš bezpečná novinka. DIA ji ale zdůvodňuje „zvýšením bezpečnosti“

Jen takový šťouravý doraz: neprogramovali to zase právníci a metodici za použití AI? ;-D

Nesmysl je učit uživatele rozpoznávat phishing podle aktivních odkazů v e-mailu. Když budou všichni posílat e-maily s textovými odkazy, které budou uživatelé kopírovat, podvodníci se přizpůsobí a budou phishingové odkazy posílat stejným způsobem. Výsledkem je akorát snížení komfortu pro uživatele.

Aktivní odkaz v notifikačním e-mailu je jen pro pohodlí uživatelů – ale těm, kteří se chovají bezpečně, nijak neuškodí. A uživatelům, kteří se nechovají bezpečně, nepomůže ani kdyby byl neaktivní, ani kdyby tam nebyl vůbec. Pro větší komfort by odkaz ještě mohl vést přímo na konkrétní datovou zprávu – ovšem problém je, že ze zákona se považují přihlášením za doručené všechny, protože se předpokládá, že uživatel po přihlášení viděl seznam nedoručených zpráv.

Bez odkazů v e-mailech se obecně neobejdeme, protože e-maily se považují za hlavní identifikátor osob na internetu. Každý web, který používá e-mail, musí umět ověřit, že dotyčný je opravdu vlastník dané e-mailové schránky. Což jde rozumně udělat akorát odkazem. A nemá smysl to uživatelům komplikovat neaktivním odkazem.

Ale hlavně, co se týká obrany před phishingem – je nesmysl učit uživatele, že mají kontrolovat adresu u zdroje. To nefunguje. Uživatel musí kontrolovat adresu v okamžiku, kdy má zobrazenou cílovou stránku v prohlížeči – tu stránku, která je bezpečnostně citlivá, třeba taková, kde se uživatel přihlašuje. Je to nepohodlné, ale funguje to – na rozdíl od kontroly odkazu u zdroje, která nefunguje.

Dále je obranou proti phishingu používání správce hesel, který vyplní heslo jen do správné cílové stránky. Tj. musí být integrován v prohlížeči, žádné kopírování hesla přes schránku.

A pak samozřejmě pomáhají jiné autentizační mechanismy, než je jen jméno a heslo. Je nepochopitelné, že před lety ISDS zrušil možnost používání druhého faktoru TOTP, když zůstala možnost přihlášení jen jménem a heslem. Navíc TOTP dnes podporuje kdejaký web, někde je to dokonce už vyžadováno (nebo nějaký jiný alespoň stejně bezpečný způsob přihlášení). Pro spoustu uživatelů je pořád TOTP ten nejjednodušší způsob, jak výrazně zvýšit zabezpečení.

Na školení o bezpečnosti nám vysvětlovali, že odkaz je potřeba ručně napsat do adresního (nikoliv vyhledávacího!) řádku v prohlížeči, a to včetně (!) https://.
Pak se školitel zeptal, kdo z nás to poctivě dělá... Byl jsem jediný!

Na tom je jediné správné to https. Nebo už prohlížeče defaultně doplňují https a ne http? Ale jinak je to úplný nesmysl. Pokud nějaký web navštěvuji opakovaně a je tam důležitá bezpečnost, je potřeba ho mít v záložkách (oblíbené) v prohlížeči a chodit na něj přes ně (což může být i přes našeptávání v adresním řádku prohlížeče). To zabrání překlepům.

Většina prohlížečů má adresní a vyhledávací řádek sdružený, takže radit psát něco do adresního a ne vyhledávacího řádku je hraběcí rada.

Ale hlavně – všechny tyhle rady, jako používat oblíbené, psát adresy ručně, psát https apod., zvyšují bezpečnost v rozmezí někde tak 0–10 bodů, zatímco použití správce hesel integrovaného do prohlížeče ji zvýší o 100 bodů. školení o bezpečnosti by se mělo věnovat hlavně tomu.

Ony ani ty Oblíbené nejsou kdovíjak bezpečné - v práci jsme řešili problém se zlovolným scriptem, který je vcelku úspěšně generoval/pře­pisoval.
Takže osobně doporučuji mít nějakou statickou stránku s rozcestníkem právě na ony často navštěvované weby. Žel, problém s odkazy na ty nenavštěvované to neřeší.
Sloučení adresního a vyhledávacího řádku považuji za téměř zločinné. Já to v prohlížeči udržuji rozdělené, ale třeba v práci nám tohle blokuje firemní politika. ;-( Takže otevírám odkazy zásadně z příkazového řádku: chrome "https://lupa­.cz/". Výhodou je, že to pak najdu v historii - k opakovanému použití nebo k analýze.

Ony ani ty Oblíbené nejsou kdovíjak bezpečné - v práci jsme řešili problém se zlovolným scriptem, který je vcelku úspěšně generoval/pře­pisoval.
To ovšem nebyl skript ve webové stránce, ale buď nějaké napadené rozšíření prohlížeče nebo vir v operačním systému.

Tak na ty věci, kam chodím, mám uložené v PM. A to mi nedovolí vyplnit heslo, pokud je URL jiná než uložená....

Coz typicky zacne narazet v momente, kdy tvurci webove aplikace jebne v lebce a rozhodne se menit hostname. Bohuzel to se deje take vcelku casto - a samozrejme ostrazitost beznych frantu uzivatelu to muze otupit. Treba takovy oracle umi mit hostname stylem idcs-bc771da0a20c4­9gcb6cf695bbc7d0c85­.identity.ora­clecloud.com.­... asi jim to prijde vic sekjur! :D

No až na to, že teraz adresné a vyhľadávacie pole výrobcovia prehliadačov obvykle zlúčili do jedného políčka, ktoré niekedy otvorí internetovú adresu a niekedy vyhľadávač s danou frázou, niekedy háda, čo to má byť.
Že to https zabráni nejakému nesprávnemu "pochopeniu" prehliadačom by som sa veľmi nespoliehal.

Já to neriskuji a obvykle otevírám stránky jako parametr podaný prohlížeči: chrome "https://lupa.cz/. ;-D

mě vždy děsí, že tady nám někteří vlastně říkají, že IT bezpečnost je založena na tom, že neotevřu špatný odkaz. Útočník má přitom miliony cest, jak mě dostat na špatný web, ať už to jsou všude přítomné reklamy, na které se někdy prostě nedá nekliknout, ať už to jsou skripty třetích stran a běžných "bezpečných" webech nebo to mohou být úspěšné útoky na existující weby a pozměnění obsahu.

Dokud tady všichni budou akceptovat bezpečnost, že nic špatného neotevřu, neposuneme se dál. Systémy musí být dostatečně bezpečné a zvládnout otevření čehokoliv. Přenášet takhle vinu na uživatele, který vlastně není schopný z odkazu nic posoudit je dost šílené, alibistické a špatné.

Ukazuje to, že IT bezpečnost už je mainstream. Takže jako u jiných oborů se mainstreamem šíří „zaručené“ informace, které částečně platily kdysi dávno, ale dnes už dávno neplatí. A je spousta „odborníků“, kteří tyhle velmi zastaralé informace šíří jako nejnovější pokrok vědy.

Říkáte "Král je nahý!" a já já dodávám, že navíc i smrdí.

Už na úrovni základních koncepčních návrhů fungování browserů a www ekosystému je hodně věcí "špatně", protože od dob Mosaicu sira Tima se jejich funkčnost a význam posunuly výrazně jinam. Jsou "operačním systémem" webových aplikací a služeb, ale v mnoha aspektech ustrnuly principy a fungováním někde na konci devadesátek.

Nejde pořád házet bezpečnost na stranu znalostí uživatelů. Je třeba to stavět bezpečně už od základů a měla by se prosazovat promyšlená řešení, která bezpečnost efektivně podpoří na nižších úrovních. (brainstormingový nástřel) Například v rámci browseru udělat významnou hranici mezi běžným prohlížením stránek a přístupem k službám, které potřebují vyšší úroveň ochrany. A nemyslím tím vynucený dvoufaktor, ani malou ikonku někde v rohu, ale spíš panel/rozcestník pro přístup k ověřeným službám, do kterého půjde přidávat jen zabezpečeným způsobem.

Za velký problém považuji, že zde není oficiální, otevřená platforma, na které by se takové koncepční otázky řešily a tak, když vás nějaký "nachytřalý rychlokvašný" bezpečák z vaší oblíbené banky bude přesvědčovat, že je nutné, aby vás po 5 minutách nečinnosti jejich aplikace odhlásila, protože to ultimátně zvyšuje bezpečnost a navíc jim to prý nařizuje zákon, nemáte moc možností tenhle tupý postoj postavit pod světlo odborné diskuze, po které by přišla i náprava.

Maskotem tragického stavu je cookies lišta, která se vám denodenně směje do xichtu a při jejímž zobrazení pokaždé někde na světě zemře nejméně jedno koťátko.

Například v rámci browseru udělat významnou hranici mezi běžným prohlížením stránek a přístupem k službám, které potřebují vyšší úroveň ochrany.
To nelze, ta hranice neexistuje – je to spojitá škála.

Je ale pravda, že základy, které jsou v prohlížečích dostupné pro autentizaci uživatelů, jsou tragické – přitom by bylo velmi jednoduché to udělat lépe. Za prvé, přihlášení uživatele heslem se řeší formulářem ve webové stránce, takže k heslu má stránka a všechny skripty na ní přístup. Přitom v protokolu HTTP existoval prostředek, jak to obejít – jen byl v prohlížečích implementován hrozně, a chyběla mu část pro registraci. To se dnes pomaličku nahrazuje passwordless řešeními, takže nějaký pokrok tu je. S třicetiletým zpožděním.

Další problém je autentizace už přihlášeného uživatele. Na výběr je uložení do sessison storage, což bezpečnostní odborníci nedoporučují, nebo cookies, což je taková hrůza, že se o ní bezpečnostní odborníci raději ani nevyjadřují. Přitom by to opět bylo řešitelné podobným způsobem – bezpečnostně citlivé informace by byly uložené v prohlížeči v oddělené části, stránka ani JavaScript by k nim neměl přístup, pouze by mohl dát pokyn, ať se přibalí do hlavičky požadavku. Prohlížeč by kontroloval origin a nedovolil by přibalit informace, na které nemá stráka nebo cíl nárok.

desktop umírá a web jak ho známe také.

Dnes bezpečnost prohlížení řeší a posouvají zejména mobilní OS. Prohlížeč je tam lépe integrovaný s OS, lépe se tam řeší přístupy do dalších procesů, lépe se tam řeší bariéra mezi OS a prohlížečem. Škoda, že Android je pořád v řadě věcí dost pozadu, ale aspoň jde vidět posun u každé verze.

Desktop je mrtví. Windows sandbox nikdy nefungoval a fungoval nebude dokud nezahodí podporu starých "eval" rozhraní. Linux nikdy neměl ambice dělat nějak rozumně aplikační sandbox, všechny GUI aplikace běží pod jedním uživatelem a celý linux je založen na izolaci uživatelů. Xka neřeší bezpečnost mezi aplikacemi, Wayland trochu jo, ale velmi málo, paradoxně situaci pomáhá třeba snap, protože aspoň aplikace běží pod jiným uid, ale pořád to není žádná výhra. MacOS v tom postupuje asi nejlépe, ale pořád to je slabý odvar proti možnostem mobilních OS.

Je to paradoxní, dneska nemáme možnost jak zabezpečit webovou aplikaci v desktop OS, stejně tak nemáme možnost, jak desktop OS ochránit před webovou aplikací. Chrome jak lídr vývoje browserů přidává jednu integraci za druhou, každá otevírá nepřeberné množství nových bezpečnostních problémů.

IMHO je celý sandboxing> (jedno, zda na Windows, Linuxu, či libovolném jiném OS) snahou řešit problém, který by vůbec nemusel existovat, poněkud pozdním řešením. Ono by úplně stačilo, kdyby procesy z principu neviděly jinam, než na své potomky a svého rodiče - a kdyby třebas jednotlivá okna v prohlížeči skutečně byla jako samostatný proces.
Pak by se dala nežádoucí komunikace poměrně snadno zatrhnout.
Žel, desítky let se tu buduje interoperabilita aplikací, často skoro za každou cenu - takže se nelze divit, že všichni smí všechno. Úplná aplikační anarchie.

Zrovna co se týče bezpečnosti jsou na tom mobilní prohlížeče ještě podstatně hůř než desktopové. Integrace se správci hesel problematičtější, adresní řádek věčně schovaný, takže https ani doménu nezkontrolujete. Podívat se na certifikát jsem v mobilním prohlížeči snad ani nikdy nezkoušel, přeci jen mám jakýsi pud sebezáchovy.

A že by místo toho, mobily nabízely jiné zabezpečení, to rozhodně neplatí. Maximálně udělat místo webu nativní aplikaci. Jenže Google prosazuje opačný směr, použít místo aplikací web všude kde to jde. A případně udělat z webu aplikaci pomocí PWA.

Nějaké izolace procesů a podobné věci jsou z hlediska bezpečnosti takové vychytávky pro fajnšmekry. Většina útoků na uživatele necílí na to, probourat se ven z jeho prohlížeče do systému, ale dostat se skrze prohlížeč na jeho bankovní konto, kartu nebo aspoň sociální síť.

Izolace procesů je jen jeden dílek skládačky, byť důležitý.

V Linuxu běžně používám spouštění více profilů FF, v případě potřeby lze spouštět i pod různými uživateli.

Ale není to doladěné pro běžné použití.

Podle mého názoru je současná změna ze strany DIA způsobena potřebou monetizace těchto zpráv. Do čistého textu se marketingová sdělení a selfpromo injektuje obtížně - proto je třeba "legitimizovat" html odkazy ve zprávách.

Vyjádření DIA, že změnou formátu z "plain text" na "html" se snaží vylepšit bezpečnost je tak absurdní, že si nezasluhuje dalšího komentáře. To snad psal Josef Vyskočil...

Příjemný den všem.

Co je to za termínu s technicus " aktivní odkaz?"
To vymyslel právník, kodér, redaktor nebo AI ?
Jak se liší od od " odkazu " jenom a jaká je potom definice pasivního odkazu? "A" bez hodnoty href?

23. 9. 2025, 12:38 editováno autorem komentáře

čisté httрs://www.lu­pa.cz/clanky/v-datovych-schrankach-je-neprilis-bezpecna-novinka-dia-ji-ale-zduvodnuje-zvysenim-bezpecnosti v prostém textu.
Odkaz to evidentně je, ale aktivní nikoliv. ;-)

Aktivní odkaz je takový, na který se dá rovnou kliknout. Liší se od (prostého) odkazu, se kterým musíte ještě něco provést, abyste se dostal k cíli – zkopírovat ho, opsat ho.

Odkazy máte třeba i v papírových knihách (v obsahu, v rejstříku, v použité literatuře) – ale všechno jsou to běžné/prosté/pa­sivní odkazy – je na vás, abyste se dostal na místo, kam odkaz odkazuje. Aktivní odkaz je takový, který vás sám přenese na cílové místo.

Nemáte někdo aktivní odkaz, který by mne sám přenesl na dovolenou do Karibiku? ;-D

termín aktivní odkaz znám možná 30 let, mám ho pevně spjatý s html a <a> tagem.

A pritom by stacilo mit gov.cz rozcestnik na statni sluzby a phishing ma utrum. Davat jakekoliv odkazy do emailu je z pohledu bezpecnosti nesmysl, mit pro kazdou statni sluzbu 5 ruznych domen je taky nesmysl.

gov.cz vas presmeruje na portal.gov.cz a tam ten rozcestnik prece mate. Mozna namisto psani doporuceni naslepo si to zkuste nejdriv otevrit ;-)

Moc to nefunguje. Na stránky Úřadu práce Brno jsem se tamtudy nedostal. Možná to tam někde i bude, ale do google to stačí napsat jednou a nemusím kvůli tomu studovat jak funguje portal.gov.cz. Tady je ještě obrovský kus cesty.

A k cemu jsou potreba stranky specifickeho uradu? Jenda nestaci?

Ty jsi nikdy nic od konkretniho uradu nepotreboval? Treba jenom zjistit uredni hodinu…

Tip – pokud nehledáte věci týkající se obce nebo kraje, a znáte název úřadu i s označením místa (obce, kraje), při jakémkoli hledání to označení místa vynechte. Ty úřady jsou totiž centrální, je to jeden úřad s jedním webem. Funguje to pro Úřad práce, ČSSZ, Finanční úřad, zdravotní pojišťovny, soudy a snad pro všechny ostatní úřady.

Portál občana by si s tím také mohl poradit, ale ten nezměníte. A tahle znalost se vám bude hodit i v jiných případech.

Když chodím do DS jednou za dva měsíce, doopravdy musím pokaždé hádat která adresa je správná. Zvlášť když adresa není jen jedna, ale přihlašování přesměruje na další adresy. Doopravdy nemám tušení, jestli nia.identita.gov.cz je ta správná, nebo nai.identita.gov.cz nebo nia.identity.gov­.cz... Pokud někdo chodí do datovky denně, tak si to možná může pamatovat. Navíc my early adopteři si často zvykneme na první používanou adresu a ty další ignorujeme. Než nějaký místní troll zlatý uživatel řekne že je to můj problém - ne, tak funguje lidská hlava.

Zvlášť když adresa není jen jedna, ale přihlašování přesměruje na další adresy. Doopravdy nemám tušení, jestli nia.identita.gov.cz je ta správná, nebo nai.identita.gov.cz nebo nia.identity.gov­.cz..
To naštěstí řešit nemusíte. Proto se to stěhuje na gov.cz, protože pak vám právě stačí zkontrolovat, že název serveru končí na .gov.cz a co je před tím už řešit nemusíte. Protože všechno pod .gov.cz má pod kontrolou stát, takže tam si žádný podvodník adresu opravdu nezaregistruje.

Až se pod gov.cz přestěhují i datové schránky, snad se konečně zbavíme toho „moje“. To je takový pozůstatek přelomu tisíciletí. Už to zrušila i Komerční banka, tak snad se dočkáme i u datovek.

Jen clovek neni stroj a ne kazdy je geek jako my, zeano :-) A treba GOV.CZ neni tezke zamenit s G0V.CZ. Dalsi problem v pripade laiku nastava v tom, ze to "gov.cz" vam klidne utocnik zasije jinam v ramci URL. Takove ty mikrodetaily, ze domena je malinko jinak zvyraznena se prehlizi stejne snadno jako se pri vhodnem zapisu zameni pismeno o za nulu. Ty utoky se deji, ty utoky jistou miru uspesnosti vykazuji. A to prechazime rizika typu otraveni DNS cache, ktere bezny franta uzivatel nepozna vubec. Ano, v idealnim svete by byl vsude pozapinany DNSSEC... ale v tom realnem jaksi neni. Naopak najdete spravce, co vam to pri prvnim problemu radsi vypnou, protoze jim to jen komplikuje zivot.

Jestli vám prohlížeč zobrazuje název serveru v adresním řádku kapitálkami, možná byste se měl zamyslet nad změnou prohlížeče.
Howgh.

No vy byste se mel predevsim zamyslet nad tim, jak teda edukovat lidi, aby nenaleteli na ruzne phisingove kampane :-) Rekl bych, ze zatim skvele mudrujete, ale ten bullet-proof recept jste nepredstavil. Zatim srsite jen dojmy geeka, ale funkcni recept nemate. A ne, neni to jen o tech kapitalkach.

Komerčka to tak úplně nezrušila - jen to člověka přehodí na novou adresu. Očekávám, že až se jim nebude chtít tu starou doménu platit, tak to okamžitě začne přesměrovávat na nějaký phishing.
Což platí i pro ty datové schránky: kdo má v paměti (v Oblíbených, v odkazech...) nějakou starou variantu, bude snadným cílem - poté, až to definitivně doputuje na gov.cz.

To je docela snadno řešitelné. Navíc ani Komerčka ani stát snad nejsou tak chudí, aby si nemohli dovolit tu doménu pár let platit. (Stát to teda nejspíš platit nebude, ne kvůli tomu, že by to bylo drahé, ale protože původní projekt skončil a v novém to není v rozpočtu, takže to není z čeho zaplatit.)

Myslim, ze na DIA zrovinka ted maji skvelou pozici, kde muzete uplatnit ty svoje moudra :-) A treba za rok nam poreferovat o sve uspesnosti...

Proti uživatelům datovek právě probíhá phishing, resp. smishing, jak informovala Česká pošta (https://info.mojedatovaschranka.cz/info/cs/2057.html). Otázkou je, kdo z příjemců notifikací to tam asi najde, že? Ten, kdo se nechá zlákat na falešný link v SMS, to určitě nebude. Začíná působit to, že kroky, které provádí DIA (jak z veřejných vystoupení a dokumentů na webech víme, tak https://www.linkedin.com/in/alžběta-randusová-8aa189a8/?originalSubdomain=cz), jsou nakonec příjemnější pro phishery než pro uživatele schránek. V hledisku tohoto vývoje působí argumenty, které k tomuhle článku jeho autorovi poslala DIA, ještě směšněji. Tak uvidíme, co bude dál. Jestli DIA nakonec prozře nebo ne. Tohle ještě asi stačit nebude. Tak přijdou další a lepší napodobeniny notifikací o nových "naléhavých" zprávách a přibude těch, kdo na to naletí. Jakmile je jednou začala DIA přivykat tomu, že mají klikat na URL v mailech a SMS, ani to nemůže jinak skončit. Pamatujme, co je zatím hlavním lákadlem. Je to bankovní identita, čili prachy. Většinou to nakonec míří na ni, jednou přes ten, jindy přes onen systém. Datovky teď DIA přidala k těm phishingově přitažlivějším systémům, protože uživatelé se nyní u jeho notifikací musí rozhodovat mám/nemám, zatímco předtím měli jasněji. Pokud už někdy nějakou notifikaci četli, viděli v ní jasně napsáno: "URL nikdy nepošleme".