• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    XCHAOSPiráti.cz (unofficial) vs. hloupí a zlí trollové, co proti nim vystupují
    NIEKT0
    NIEKT0 --- ---
    -1
    MAIMONIDES: Neda sa s tebou nez suhlasit, ze pri "chain of trust" staci aby sa pokazil jeden clanok. Ano, samotne karty su "najmenej" (i ked vymenit desiatky milionov OP, ako sa teraz muselo, predstavuje organizacne aj reputacne dost netrivialny krok). To ze nemas spatnu vazbu od karty pri podpisovani requestu nie je technikalia. Presne nieco podobne by mal standard vyzadovat, podobne ako vyzaduje, ze kluc neopusti kartu. Od toho standard je, a toto je ta cast ktora sa da zlym standardom pokazit.

    Navyse sa dostavas do logickej vidlicky: Bud sa s chipovym OP nebude dat nic zaujimave aktivne vykonat (a to by sme snad obaja nechceli), alebo to bude pri sucasnom navrhu z definicie nebezpecne

    (ona tam teda existuje halda dalsich problemov, od kvality implementacie, cez pluginy do prehliadacov, az po autorske prava k pomocnym kuskom sw, ale to su veci, ktore su v principe jednoducho zmenitelne (alebo by aspon mohli byt, ale to uz narazame na medziludske problemy))


    MAKROUSEK: Dakujem za dobru investorsku radu. Bavime sa ale o systeme, ktory bude z titulu statnej moci musiet povinne pouzivat cez 500 milionov ludi, tak sa bojim ze rady typu chod a sprav sa hodia skor do inych auditiek, napr. do bitcoinoveho:) Toto nie je volny "bussiness".
    MAIMONIDES
    MAIMONIDES --- ---
    1 odpověď+3
    NIEKT0: zaklad je celkove dobre navrzenej system, aktualni crypto standardy/hw, detailni podminene anonymni audit trail a bezpecny koncovy body a predevsim promyslena sprava klicu z centra. A duvera v ten system jako celek, kdo to organizuje. Ty koncovy karty jsou ta nejsnazsi a dost nepodstatna cast a lidi co si jen mysli, ze rozumi pki pak jen skodi povesti podobnych systemu komentarema o katastrofach. Jeste muzes zacit s blockchainem.
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    +1
    Štěstí je, ze piráti nebudou mít příležitost, aby dokázali prijits něčím lepším. To už zkoušel xchaos....
    MAKROUSEK
    MAKROUSEK --- ---
    1 odpověď+1
    NIEKT0: A co teprve takove "bankovky" - takovych penezokazcu uz za staleti bylo a stejne nic lepsiho nikdo nevymyslel. To je mi argument, ze neco nefunguje a proto nebude fungovat neco uplne jinyho. Nu co uz, navrhni lepsi system, vzdyt ti nic nebrani. Elon Musk taky zacinal s Paypalem. Jdi do toho, budes nejbohatsi Slovak.
    NIEKT0
    NIEKT0 --- ---
    2 odpovědi
    MAIMONIDES: Ano, zly navrh je katastrova, pretoze sa to neda jednoducho opravit. Co je podla teba zakladom dovery v elektronicky podpis/prihlasovanie cez OP ked nie technicke riesenie?

    MAKROUSEK: Pri vsetkej ucte, myslim ze kolko bolo realnych zneuziti netusis, snad az na to ze ich nebolo tolko aby sa to dostalo do medii. Inak pre ilustraciu toho kam az moze vies zly navrh odporucam platobne karty. Myslienka platit na internete samotnym cislom karty je zjavne debilna, ale za zaciatku tych fraudov zas tolko nebolo, rozhodne ich bolo menej, nez aby sa to "oplatilo" riesit sofistikovaniejsie. No a pozri sa na ten system dnes, fraudy astronimocke, zufalo sa snazia rozne platobny proces ad-hoc zaplatavat, ale cely system narastol tak moc, ze ho v horizonte jednotiek rokov technicky nevedia zmenit.
    MAKROUSEK
    MAKROUSEK --- ---
    1 odpověď
    NIEKT0: Ja teda nevim, skoly nemam, ale mam ten estonsky podpis uz nejaky patek. A kdyz se objevila jen moznost kompromitovani, zmenili hash a vsem klice znovu vydali. A to tam tech sluzeb na to maji navazano stovky. Vcetne internetovyho bankovnictvi. A kolik bylo pripadu zneuziti? Napovim, nula.
    MAIMONIDES
    MAIMONIDES --- ---
    1 odpověď
    NIEKT0: Tohle je ta tvoje katastrofa? Roztomilé. Myslíš, že základ důvěry v ten systém je samotná karta a klíč? Možná bys měl jít dělat něco jiného:)
    NIEKT0
    NIEKT0 --- ---
    1 odpověď
    MARKOUSEK: nejde o to co dokazem ja teraz vymysliet, ale na co vsetko sa bude dat OP s podpisom pouzit. Vzhladom k tomu ze prakticky vsetky novo vznikajuce statne systemy musia povinne podporovat prihlasovanie cez OP, tak tie zaujimave moznosti zneuzitia este len pridu. Standard ale (snad) nevytvaras na rok alebo dva.
    MAKROUSEK
    MAKROUSEK --- ---
    NIEKT0: Aha, takze jediny problem, ktery dokazes vymyslet, jsou podvrzena danova priznani. A proc by proboha nekdo chtel podvrhavat danova priznani? Co by z toho mel?
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    MAKROUSEK: musis si polozit otazku, jestli ses tak dulezitej, aby ti nekdo do tvyho pocitace instaloval hax0rskou appku.
    VYHULENY_UFO
    VYHULENY_UFO --- ---
    -1
    NIEKT0: uz mas dovrtanej bug v trezoru, vrtaku? :D
    NIEKT0
    NIEKT0 --- ---
    1 odpověď
    MAKROUSEK: Za predpokladu ze utocnik nema ziadny pristup k tvojmu pocitacu, tak to problem nie je. Musis si ale uvedomit, ze znacne mnozstvo uzivatelskych pocitacov je dlhodobo kompromitovanych (presne mnozstvo tazko urcit, takych 10% nemusi byt uplne mimo, ale aj keby sme brali aj konzervativne odhady v jednotkach percent, stale je to na celu republiku (alebo EU) velmi vela.

    V momente ked budes moct elektronicky podpisat napr. zmenu v katastri, alebo nieco podobne zasadne, tak si pri sucasnom navrhu nabiehas na fakt velky problem, na urovni statu. Napr. na slovensku tym musis(!) podavat danove priznania, a uz len podvrhovanie blbych danovych priznani by sposobilo kolaps tejto oblasti. S pribudajucim casom a dalsimi systemami integrovanymi do EIDAS-u bude pocet moznych zneuziti rast.

    Technicky to zas taky problem spravit nie je, proste sa hooknes na udalost ked ide chip v OP nieco podpisat, pohodis mu tam svoj dokument, ale uzivatelovi sa stale zobrazuje "spravny" obsah.
    MAKROUSEK
    MAKROUSEK --- ---
    2 odpovědi
    NIEKT0: Jako ze by nekdo naprogramoval appku, ktera by vypadala uplne stejne, jako ta vladni, ale delala by neco jinyho? A pak by ji dostal do tveho pocitace a nahradil tu vladni? A co treba, to by me fakt zajimalo, co bych mohl elektronicky podepsat tak, aby me to poskodilo (a aby to tomu clovekovi vratilo naklady na vyvoj neceho takhle slozityho)?
    NIEKT0
    NIEKT0 --- ---
    2 odpovědi+1
    MAIMONIDES: Zakladny a jednoducho neopravitelny problem je ten, ze obcianske preukazy nemaju display. Tym padom nevies co podpisujes, musis verit pocitacu, ku ktoremu mas preukaz pripojeny. Paradoxne, na cim viac veci bude OP pouzitelny, tym budu mozne dopady horsie. A kedze je snaha aby sa OP pouzival na pokial mozno vsetku komunikaciu s statnou spravou, prihlasovanie do aplikaci, atd, tak sa podla mna casom dostaneme do dost neprijemnej situacie.
    MAIMONIDES
    MAIMONIDES --- ---
    1 odpověď
    NIEKT0: Tak katastrofa a vrtal jsi se v tom. Můžeš jen stručně vypsat seznam děr, na základě kterých to pki řešení považuješ za katastrofu? Rád si to přečtu a poučím se.
    NIEKT0
    NIEKT0 --- ---
    2 odpovědi+1
    ZVIRATKO: zlahka som sa v tom vrtal, ale s tvojimi otazkami ti moc nepomozem. Osobne dufam ze bude eIDAS v sucasnej podobne zavrhnuty a nikde sa nechyti, lebo z bezpecnostneho hladiska to je katastrofa.
    ZVIRATKO
    ZVIRATKO --- ---
    +1
    nevim kde jinde se zeptat, tak to zkusim tady :-)

    rozumi tu nekdo alespon trochu eIDAS? mam nekolik dotazu a strycek google nepomohl
    1) chapu-li to spravne, nemusim cekat na prichod nejakeho ceskeho e-ID, ale muzu pouzit napriklad estonske (splnuje eIDAS a je to kvalifikovany prostredek). Je to tak?
    2) vsechny sluzby, napr. ruzne statni portaly, by mely tedy takove ID akceptovat? (pominu to, ze tomu tak urcite technicky nebude, ale mely by, ze?)
    3) jaka je platnost podpisu (kvalifikovaneho podle eIDAS) pokud na nem neni casove razitko? Nikde jsem se nedocetl, ze by bylo povinne...
    XCHAOS
    XCHAOS --- ---
    REDGUY: heh, ve smlouvě to nemá. Klient se tím mimosmluvně vytahoval (nebo jak to nazvat)- takže pracuju s informacema, které jsme po něm nechtěli a které sdělil nad rámec smlouvy.

    Fajn, takže na jednu stranu, je před chvíli zlehčováno to, že soukromí klientů je třeba chránit a na druhou stranu - drby jsou zakázané, i když jsou anonymizované?
    REDGUY
    REDGUY --- ---
    1 odpověď-1
    XCHAOS:

    Spoje.NET Privacy policy

    1) Zalezi nam na vasem soukromi a vsechna data a informace, ktera v souvislosti s praci pro vas ziskame, zpracovavame s maximalni opatrnosti a peci. Dusledne dodrzujeme vsechny platne predpisy a narizeni. Ochrana vsich dat a vase spokojenost je nase priorita!

    2) Pokud ale pri praci pro vas zjistime nejake kompromitujici, lechtive nebo jinak vyuzitelne informace a pokud nas nejak naserete, treba tim, ze jste clenem konkurencni polititicke strany, vyhrazujeme si pravo tyto kompromitujici, lechtive nebo jine informace dale sirit formou drbu, narazek nebo neurcitych pomluv. Protoze fuck you, kdyz nereknu jmeno a jen reknu ze je to clen SPD, tak to poruseni ochrany dat vubec, ale vubec neni, lol.

    3) A vlastne kdyz tak o tom premejslime, mozna o vas ty drby, narazky a neuricte pomluvy budeme sirit i kdyz vlastne nic nezjistime, protoze proc nelhat, kdyz je potreba odvest rec od pruseru naseho vlastniho politika.

    Kliknutim zde vyjadrite souhlas, na kterem ale vubec nezalezi, protoze ty drby budeme sirit stejne

    V Praze, 25.5.2018
    Za Spoje.NET: XChaos
    XCHAOS
    XCHAOS --- ---
    1 odpověď+1
    REDGUY: Ano, je to poslanec za SPD, ale nemůžu říct jméno. Nemyslím, že to dělá strana jako celek, dělá to konkrétní osoba, které to přijde tak skvělý nápad, že o tom mluví.
    Kliknutím sem můžete změnit nastavení reklam