• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    ALEFČeská pirátská strana - Pirátský přístav na Nyxu
    Piráti.czprosíme účastníky debaty, aby se zdrželi osobních útoků (alespoň na úrovni slušnějších klubů tady na NYXu)
    Veškerý gaychat patří do druhého klubu [ Piráti.cz (unofficial) ] zde bude smazán.
    homepage - www.pirati.cz | twitter - 
    @PiratskaStrana | toto je polooficiální odborný klub pro nyx-aktivní členy, kandidáty, příznivce a potenciální voliče - ne [ oficiální fórum ] | pokud hledáte na NYXu spíše obecnou diskuzi o autorském právu, zkuste [ Piráti nebo novodobí misionáři kultury? ] | pokud chcete obecně tlachat o nově vznikajících politických stranách a hnutích, zkuste [ Politické alternativy a jejich příznivci ] | pokud chcete Piráty obecně nemoderovaně poloodborně zdrbnout, jsou tu pro vás [ Piráti.cz (unofficial) ] | povolební priority [ 20 nejdůležitějších bodů pirátského programu ]
     
    Automaticky detekované klikatelné hashtagy pro lepší organizaci obsahu jsou v tomto klubu vítány - příklady: #praha #volby #koalice #privacy #media apod.
    rozbalit záhlaví
    HONCKA
    HONCKA --- ---
    DANYSEK: ty s toho zase delas vedu, o zadny utajovani nejde, vsem jde o to, ze zaklad Piratu je zalozeny na dobrovolnicich a tohle odmitaji podepast i nekteri krajsti funkcionari natoz funkcionari MS. Je to jednoduchy RP vymyslelo kokotinu a CF jim to shodi a vzhledem k tomu ze CF>RP tudis to rozhodovani ze zdola funguje.
    DANYSEK
    DANYSEK --- ---
    HONCKA: par clenu neni nadseno z toho, ze udajne transparetni strana az tak transparentni neni... a boji se vynaseni informaci stejne, jako ti politicti dinosauri, ktere by radi vystridali :-) Vtipny je, ze CSSD ani ODS, ba ani firma ANO zadne podobne NDA formalne nema ;-) Jaky to je, byt prvni? :D
    Prece kdyz neco delam poctive, tak se nemam ceho bat, ne? Nerikali to Pirati? Argumentace budoucim hlasovanim je obzvlast kuriozni - jaky ma smysl tajit to, jak budu hlasovat? Navic kdyz se clenum naslibovalo, jak to budou moct ovlivnovat i odspodu :) No a nakonec ta argumentace skrze GDPR (oblibene zaklinadlo) - to bys ve vysledku mohl zrusit celou evidenci lobistickych kontaktu (i kdyz hadam, ze to by treba Hrib uvital)...
    Kdyz Bartos nema v planu rozdavat pokuty, tak proc ten nesmyslnej papir vubec podporuje? Potrebuje mit v supliku do budoucna nachystany bic na eventuelne revoltujici cleny? ;-)

    Ale ta debata je dobra... Pirati nalakali lidi na to, jak jsou jini a vyvolali v nich pocit, ze maji nejakou moc neco ovlivnit i odzdola. Ale z vedeni Piratu se postupne stava uzavirajici se elita, co se skrze "duverne informace" chce od radovych clenu postupne odriznout a fungovat tradicnim stylem "jste si nas zvolili, tak nam verte a nechte nas v klidu makat". Zacina bejt videt, ze pro nektery piratsky poslance ta "debata s luzou" moc komfortni neni ;-)

    A to ted neni pred zadnejma volbama. Medialni kanonada na zaklade dlouhodobe reserse podobnejch kroku a tvrda konfrontace slibu s touto praxi teprv prijde... :-) Transparentnost a utajeni holt dohromady nejde.
    HONCKA
    HONCKA --- ---
    Michálek se asi nepolepší
    Nejvíc lol je Tomáš Marný člen strany :)
    Piráti se mezi sebou hádají o zavedení desetitisícových pokut za úniky informací ze schůzí strany | Hospodářské noviny (IHNED.cz)
    https://archiv.ihned.cz/...59c0?fbclid=IwAR3Njiiu0ZsBjsQ-YH2B32x3tOkiu6nkvLCQR1Yg6QBIQNrw-nnVqjEu9ns
    DANYSEK
    DANYSEK --- ---
    NECROMAN: OK - takze se jenom spekuluje a vlastne nikdo nema realne podchycene, jaky cert tam vlastne byl. No nic, to tady nevyresime...
    A spis bych se venoval ty aktualni asi cinknuty zakazce na magistratu - k tomu mas nejaky info? ;-)
    NECROMAN
    NECROMAN --- ---
    Nasazení certifikátu z jiného rootu proběhelo na produkci 10. 6., nyní je na produkci opět starý certifikát č. 431015727, serial number 06db0aea5a1ec8a213b240b08973bb31 co vyprší za pár dnů, od
    C=US, O=DigiCert Inc, OU=www.digicert.com, CN=GeoTrust TLS RSA CA G1

    Na testu je již nový od stejného rootu vydaný 11. 6., č. 1565541100, serial number 0b37af63a5878a71c21ee43da8527ca3 od
    C=US, O=DigiCert Inc, OU=www.digicert.com, CN=GeoTrust TLS RSA CA G1
    Tento předpokládám hodí za pár dnů i na produkci.

    Před ním zkoušeli(?) na produkci nasadit jeden z těch tří, co jsou vydané pod novým rootem a na tom jim to předpokládám kikslo:
    C=US, O=DigiCert Inc, OU=www.digicert.com, CN=GeoTrust EV RSA CA 2018
    DANYSEK
    DANYSEK --- ---
    NECROMAN: OK, takze jeden tweet "piratskeho" experta bez dukazu staci... fer :-) Jaktoze teda maji na testu certifikat vystaveny 11.6. ve dve rano...? Kdyz problemy na produkci s "novym" certifikatem byly az mezi 8-11 dopoledne... A ten certifikat, co (uz z te noci) na testu je prokazatelne ze stejne CA (root i intermediate certifikat ma stejny serial number 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5). Prolustrovat si to muzes sam na https://www.ssllabs.com/ssltest (pg.eet.cz i prod.eet.cz) - tam se tyhle informace zobrazi v zasade v realnem case ;-) Tady nekdo z lidi dela hodne velkyho blbce. Ten root CA certifikat pouzity na testu i produkci ma platnost do roku 2038, mezilehly do roku 2027... takze spousta casu.
    Bych teda cekal, ze nominant a "ICT expert" Piratu pres tyhle veci nasazeny mj. do Operatora ICT ma trosku lepsi analyticky mysleni :-) Ocekaval bych treba schopnost pracovat s casovou osou. Hypoteticke verze, ze nekdo "ze supliku" vytahnul certifikat od stejne CA vygenerovany jeste pred incidentem na produkci a honem ho nasadil na testovaci prostredi se dost dobre verit totiz neda.
    DANYSEK
    DANYSEK --- ---
    NECROMAN: ale to jsem psal, ze na pg.eet.cz je stejnej root jako na prod.eet.cz ... a na pg.eet.cz je ten novej certifikat (s obema alt-name, takze se sdili jak na testovacim, tak i produkcnim prostredi). Muzes ozdrojovat to sve tvrzeni o jinem CA rootu? ;-)
    Jakej racionalni duvod by mel mit pinning na urovni aplikace? Krome security through obscurity? Pripadne pominu-li zajem vyrobce pokladniho SW tahat z koncovych uzivatelu dalsi prachy za "support". Ve specifikaci pro vyvojare ten "vymysl" neni...
    NECROMAN
    NECROMAN --- ---
    DANYSEK: myslel jsem publik key pinning na úrovni aplikace.
    Jinak problém se už podařilo vysvětlit. Provozovatel EET si nechal vystavit nový certifikát sice od stejného poskytovatele, ale založený na novém rootu. A jak se zjistilo, mnohé terminály měly integrovaný jen jediný root a to ten starší. Proto muselo proběhnout vystavení dalšího certifikátu, který byl trusted od toho předchozího rootu.
    DANYSEK
    DANYSEK --- ---
    To bude zajimavy pozorovat, jak tohle dopadne :) ..."zhavym" kandidatem firma zalozena sotva pred rokem... to zavani zakazkou psanou tradicne "na miru"... jeste ani neni verejne zadani, ale uz se mluvi o konkretnim produktu :-)
    Obří centrum s kamerami. Zakázka zastarala, Praha musí vypsat nový tendr - iDNES.cz
    https://www.idnes.cz/...ka-technologie-vybaveni-krizove-centrum-dispecink.A190606_121505_domaci_lesa
    DANYSEK
    DANYSEK --- ---
    NECROMAN: to jako myslis HPKP? To poradne nepodporovaly ani browsery (a ustupuje se od toho) a s toho jak tam maj nastaveny SSL obecne bych usuzoval, ze o HPKP tvurci portalu ani nevedi ze existuje. V hlavickach na pg ani prod nic takovyho kazdopadne neni. Zadratovanej konkretni serverovy certifikat v aplikaci (tedy na urovni ty pokladny) je cunarna... a to cune neni MFCR, ale autori tech aplikaci - co jsou zase papeztejsi nez papez a delaji security through obscurity. Kdyz bude potreba z jakyhokoliv (bezpecnostniho) duvodu vymenit. tedy revokovat ten puvodni... tak se bude dit co....? Podotykam, ze rec je o serverovych certifikatech - nikoliv klientskych. Ve specifikaci zadnej konktetni otisk certifikatu rovnez neni, explicitne je zde odkazano pouze na root certifikat CA - a ten je porad stejnej.
    Jinak pisou, ze do 20.6. ten certifikat stejne nasadej... do ty doby maj podpory eet pokladen co delat... muzou hasit pruser, co si svym diletantismem zpusobili :D
    NECROMAN
    NECROMAN --- ---
    DANYSEK: jestli náhodou některé terminály nepoužívají public key pinning nebo certificate pinning, tj mají whitelistovaný jen konkrétní klíč či certifikát, proti kterému dovolí komunikaci?

    Jinak zde je certificate transparency log. Podle všeho jim několik certifikátů vyprší asi za 10 dnů, tak jsem zvědavý, jak se s tím poperou :)
    crt.sh | prod.eet.cz
    https://crt.sh/?q=prod.eet.cz
    NECROMAN
    NECROMAN --- ---
    HONCKA: pokud vím tak v pirátském programu je ponechání EET platformy na dobrovolné bázi s tím, že je třeba ji změnit tak, aby lidé měli motivací jí používat a EET pro ně bylo přínosem, třeba díky zjednodušení účetnictví a posílání kontrolních hlášení, a ne přítěží navíc.
    DANYSEK
    DANYSEK --- ---
    NECROMAN: no oni ten certifikat na testu (pg.eet.cz) maji - a stejnej ma byt i na produkci (prod.eet.cz) - kde ho stahli a vratili puvodni. V AltName jsou obe pouzivany domeny - tedy sdili jeden certifikat na testu i produkci, to ze se vraceli zpet hadam bude mit jiny priciny - asi se ozvalo nadkriticke mnozstvi tech, co maji ten certifikat natvrdo zadratovany ve svych aplikacich... oni prece nikde nepisou, proc to vlastne rollbacknuli - o tom se nikdo nezminuje. O kvalite SW komunikujiciho s portalem bych si taky iluze nedelal. Te moji teorii nasvedcuje i text na etrzby: Vzhledem k tomu, že některá pokladní zařízení nejsou dosud na tuto změnu připravena. Z toho lze dovodit, ze autori nekterych pokladnich systemu nechapou fungovani PKI a proste do tech svych bastlu natvrdo cpou az ten koncovy certifikat... dobrej zpusob, jak tahat z lidi prachy za "podporu", zeano :D Nastesti novej certifikat je na 2 roky, ten predchozi byl jen na rok. V tomhle pripade VYHULENY_UFO vytahnul pekny bulvarek... v tomhle pripade jsou blbci jinde nez na MFCR.
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    HONCKA: to je jasny, protoze uz od zacatku sem neveril, ze sliby z vezenskeho autobusu jsou urceny ke splneni :D
    HONCKA
    HONCKA --- ---
    VYHULENY_UFO: To je tvuj problem
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    HONCKA: ja to mam zatim v kategorii odsouzeni sobotky za okd, kalouska za padaky a andyho za capak.
    HONCKA
    HONCKA --- ---
    VYHULENY_UFO: Pirati jim beze vseho pomuzou ten nesmysl zrusit :)
    NECROMAN
    NECROMAN --- ---
    VYHULENY_UFO: to je fakt facepalm. Nasazování nových TLS certifikátů musí probíhat automaticky a transparentně, a ne o tom psát článek, a ještě navíc, jak se to nepovedlo.
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    //tak nevim, ale pirati mohli trochu pomoci. vymenu certifikatu by mel zvladnout kazdy...

    Výměnu SSL certifikátu EET provázely problémy, co s nezaevidovanými tržbami? - Podnikatel.cz
    https://www.podnikatel.cz/...nu-ssl-certifikatu-eet-provazely-problemy-co-s-nezaevidovanymi-trzbami/
    Finanční správa dnes v ranních hodinách sice dle plánu nasadila nový SSL certifikát, u některých pokladních zařízení však vznikly problémy s navázáním spojení s příjmovou stranou systému EET. Finanční správa proto raději instalovala původní SSL certifikát.

    Plánovaná výměna SSL certifikátu se odkládá - Novinky 2019 | Daně elektronicky | Finanční správa
    https://www.financnisprava.cz/...nicky/novinky/2019/planovana-vymena-ssl-certifikatu-se-odklada-9808
    DANYSEK
    DANYSEK --- ---
    Lidsky podlé a nízké tvrzení, kritizovalo ministerstvo pro místní rozvoj Michálkovy výroky | Domov | Lidovky.cz
    https://www.lidovky.cz/...nisterstvo-pro-mistni-rozvoj-michalkovy-vyroky.A190610_181617_ln_domov_vlh
    ...se asi moc nepovedlo... kopnout si do maroda ;-) A v pripade tech CD... Pirati se bojej, ze to probehne stejne jako ta jejich vyberka na Magistratu, kdy se kandidati budou prezkusovat mimo jine z volebniho programu jedne z vladnoucich stran...? ;-)
    Kliknutím sem můžete změnit nastavení reklam