» »

FURS in Telemach priporočata uporabo starih luknjičastih brskalnikov

1
2
»

Invictus ::

Nimam Linuxa gor ;).

Sem že zdavnaj prenehal biti mazohist ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

MrNighthawk ::

Mavrik je izjavil:

Tule je potrebno omeniti da je Google prvi objavil ukinitev NPAPI vmesnika leta 2013(!!!!), kar pomeni da ti dve strani nista bili sposobni naredi nič v treh letih!


Oni so se zanašali na 5 let staro statistiko, da ima Firefox v Sloveniji 50 odstotni delež ;)

techfreak :) ::

Mavrik je izjavil:

- eDavki pa uporabljajo Java vtičnik da podpiše dokument. V HTML standardu podpore za kaj takega ni, tako da niti nimajo druge alternative kot pa sčasoma preseliti podpisovanje na njihove strežnike.

HTML sicer tega zaenkrat ne podpira, lahko pa se razvije native komponenta, ki z brskalnikom komunicira preko Native Messaging (vsaj za Chrome/FF, IE ima zaenkrat se podporo za ActiveX, Opera verjetno? tako podpira isto kot Chrome, Edge pa je pred kratkim dodal podporo za njihovo varianto native messaginga v preview verzijo).

Vsaj Estonci so Native Messaging uporabili pri svoji resitvi za avtorizacijo/podpisovanje https://hwcrypto.github.io/.

Native knjiznica je pod LGPL, javascript knjiznica za komunikacijo pa pod MIT licenco, kar pomeni da jo lahko tudi pri nas uporabimo za eDavke in ostale portale.

Zgodovina sprememb…

jype ::

techfreak :)> Native knjiznica je pod LGPL, javascript knjiznica za komunikacijo pa pod MIT licenco, kar pomeni da jo lahko tudi pri nas uporabimo za eDavke in ostale portale.

To je odsvetovano že nekaj časa. Zdaj je treba te reči početi v okviru "WebExtensions" standarda, ki naj bi bil združljiv med vsemi brskalniki.

LeQuack ::

Kakor vem governments po svetu itak hočejo, da se uporaba enkripcije preneha in da bi komunicirali med seboj nešifrirano. Razen seveda oni med seboj, ker plebs ne sme špegat kaj se tak dogaja.
Quack !

Zgodovina sprememb…

  • spremenil: LeQuack ()

techfreak :) ::

jype je izjavil:

To je odsvetovano že nekaj časa. Zdaj je treba te reči početi v okviru "WebExtensions" standarda, ki naj bi bil združljiv med vsemi brskalniki.
Tudi na tem se dela: https://github.com/hwcrypto/hwcrypto-ex...

Se vseeno pa poleg extensiona za brskalnik rabis se native program, ki skrbi za podpisovanje.

mm&r ::

Če sem prav razumel naj bi implementacija eIDAS uredbe reševala tudi podpisovanje na vseh različnih brskalnikih na različnih napravah.

Trenutno poleg državne storitve obstaja tudi storitev Subscribo, ki jo OSI ponuja preko pošte.

https://postarca.posta.si/subscribo/

ender ::

sandi203 je izjavil:

Ta stavek se lahko razume, da je Internet Explorer imel NPAPI? Nikoli.
Je imel v časih Windows 9x (če se prav spomnim od IE 3.0 do 5.0, 5.5 je pa ukinil podporo).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

PaX_MaN ::

jype je izjavil:

PaX_MaN> Še dobro, da NOBEN DRUG VELIK POSODABLJAN ODPRTOKODEN BRSKALNIK NE PODPIRA NPAPI.

Še dobro, da si nepismen.

Št. zaprtokodnih brskalnikov, ki podpirajo NPAPI: 1
Št. odprtokodnih brskalnikov, ki podpirajo NPAPI: 0, nič, nula, zero, niente
Ena je pa vedno in povsod in več od nič.

Mavrik ::

PaX_MaN je izjavil:

jype je izjavil:

PaX_MaN> Še dobro, da NOBEN DRUG VELIK POSODABLJAN ODPRTOKODEN BRSKALNIK NE PODPIRA NPAPI.

Še dobro, da si nepismen.

Št. zaprtokodnih brskalnikov, ki podpirajo NPAPI: 1
Št. odprtokodnih brskalnikov, ki podpirajo NPAPI: 0, nič, nula, zero, niente
Ena je pa vedno in povsod in več od nič.


Čak o čem ti govoriš? Noben zaprtokodni brskalnik ne podpira NPAPI. Niti nimam pojma kaj bi mela odprtost kode veze?
The truth is rarely pure and never simple.

techfreak :) ::

Safari ima NPAPI podporo in je zaprtokodni brskalnik.

jype ::

techfreak :)> Se vseeno pa poleg extensiona za brskalnik rabis se native program, ki skrbi za podpisovanje.

V resnici ne, ker imaš znotraj APIjev za WebExtension že dostop do vsega, kar potrebuješ (vsaj v Firefox in Chrome, kjer obstaja tudi web crypto API, s katerim lahko podpišeš dokument in generiraš vse potrebne elektronske žige).

Mavrik ::

techfreak :) je izjavil:

Safari ima NPAPI podporo in je zaprtokodni brskalnik.


Res je, je pa Safari tudi zelo na poti odstranjevanja te podpore (Safari 10 se bo obnašal kot da plugini niso nameščeni a se jih bo dalo vklopiti, upstream pa ima podporo že odstranjeno samo še ni znano kdaj bo Apple dejansko porinil update s tisto posodobitvijo).

Občutek imam sicer da je PaX_Man hotel govoriti o IE, ki od 5.5 dalje ni imel NPAPI podpore :)
The truth is rarely pure and never simple.

mitjan ::

imagodei je izjavil:


Tako, olajšal sem si dušo :) Če ima pa kdo na seznamu literature kakšno knjigo (spletno stran), ki bi imela bolj top-down approach za spletne tehnologije (ali kakšno drugo IT temo), se priporočam. Pri čemer, pazi zdaj, top-down ne pomeni "površno".


Toplo priporočam branje ene izmed poletnih prilog revije Življenje in tehnika, na temo šifriranja. Žal vem samo, da je izšla enkrat med 2012 in 2015, in v dveh minutah brskanja je žal nisem našel. Avtorja pa se tudi ne spomnim.

konspirator ::

Ie10-11 & edge so brez npapi podpore ?
--

Zgodovina sprememb…

Mavrik ::

konspirator je izjavil:

Ie10-11 & edge so brez npapi podpore ?


Ne mešati ActiveX in NPAPI. Za IE so vtičniki uporabljali podoben ActiveX vmesnik (ki ga v Edge tudi več ni s podobnih razlogov).
The truth is rarely pure and never simple.

Saul Goodman ::

PaX_MaN je izjavil:

jype je izjavil:

PaX_MaN> Še dobro, da NOBEN DRUG VELIK POSODABLJAN ODPRTOKODEN BRSKALNIK NE PODPIRA NPAPI.

Še dobro, da si nepismen.

Št. zaprtokodnih brskalnikov, ki podpirajo NPAPI: 1
Št. odprtokodnih brskalnikov, ki podpirajo NPAPI: 0, nič, nula, zero, niente
Ena je pa vedno in povsod in več od nič.


pa kaj je s tabo, model?

NPAPI se ukinja, ker je postajal pereč vektor napadov. Zakaj za vraga je to slabo?

Kot je bilo že omenjeno - Chrome, ki ima trenutno največji tržni delež, je podporo za NPAPI ukinil leta gospodovega 2013. HALO, veš kje je 2013?

Kaj folku v glavi špila?

konspirator ::

Na Chrome je delal npapi do v45 (09/2015).
https://allinlearning.zendesk.com/hc/en...
Google Chrome version history @ Wikipedia

Saul Goodman
Vzemi persen ali podobno pomirjevalo.
--

Zgodovina sprememb…

techfreak :) ::

09/2014 je Google rekel da bo letel npapi ven cez 1 leto, tako da so imeli 2 leti in pol casa za izdelavo resitve, preden je se Firefox ukinil zadevo.

Mavrik ::

konspirator je izjavil:

Na Chrome je delal npapi do v45 (09/2015).
https://allinlearning.zendesk.com/hc/en...
Google Chrome version history @ Wikipedia


Delal ja, odstranitev je pa bila napovedana dve leti prej - septembra 2013.
The truth is rarely pure and never simple.

Saul Goodman ::

letnico 2013 sem vzel iz posta višje in se posipam s pepelom. pač, razlika med napovedjo ukinitvije in dejansko ukinitvijo. navkljub temu, da je deloval do 09/2015, časovno obdobje v katerem bi se lahko pripravili na ta scenarij ostaja brutalno dolgo in ne opravičuje njihovih workaround-ov.

konspirator: ? še bolje: neumestne predloge zadrži zase.

Zgodovina sprememb…

nikolahodin ::

Izi je izjavil:

čuhalev je izjavil:

Na čemu bo pa potem Flash obratoval v Firefoxu?

Pri Flashu so naredili izjemo. Če sem prav zasledil bo Flash deloval do verzije 60, ki pride predvidoma maja 2018.


Jst bi raje videl do verzije 54

MrNighthawk je izjavil:

Mavrik je izjavil:

Tule je potrebno omeniti da je Google prvi objavil ukinitev NPAPI vmesnika leta 2013(!!!!), kar pomeni da ti dve strani nista bili sposobni naredi nič v treh letih!


Oni so se zanašali na 5 let staro statistiko, da ima Firefox v Sloveniji 50 odstotni delež ;)


Danes ima ff v slo 19,2% delež na svetovni ravni pa 6,2%

Zgodovina sprememb…

WarpedGone ::

Imam občutek, da v IT/Računalništvu na splošno primanjkuje takšnih "hi-level" pregledov; ampak načeloma nas stvari zanimajo, pa dejansko prežvečimo tehnikalije in si "from bottom-up" ustvarjamo sliko. Sploh pri programiranju je po navadi tako - običajen nasvet začetniku je: začni programirat in ne sprašuj preveč, boš že razumel. Zdaj, včasih je to res upravičeno reči, nisem pa prepričan, da je takšen pristop dober kot načelo.

Na splošno primanjkuje zdrave kmečke pameti in obvladovanje celote.
Kup mozoljavih fah idiotov, po študentskih napotnicah, drkajo svojo lastno melodijo, katero so prvič videli 2 leti nazaj.

Manjka iskren odgovor na zelo enostavno vprašanje: je splošno stanje web tehnologij doraslo problemu?
Ne v akademiji ampak v praksi.
Imho ni. In če ni, ne bo noben parfum iz dreka naredu vijolice.
Sicer bo mladila jokala 100 na uro, kako so zastareli in okorni ker ne omogočajo elektronskega poslovanja ampak elektronsko poslovanje v praksi zgleda točno takole.

Zakaj ne zgleda bolje? Ker ne more, tehnika ni dorasla problemu.
Zbogom in hvala za vse ribe

techfreak :) ::

WarpedGone je izjavil:

Manjka iskren odgovor na zelo enostavno vprašanje: je splošno stanje web tehnologij doraslo problemu?
Ne v akademiji ampak v praksi.
Imho ni. In če ni, ne bo noben parfum iz dreka naredu vijolice.
Glede video DRMja imamo resitve, ki ze dlje casa delujejo v praksi (npr. na Netflixu). Verimatrix, ki ponuja plugin za Telemachov D3Go, ima tudi resitve, ki delujejo preko HTML5 + EME. Zakaj se Telemach ni menjal ne vemo, verjetno pa bi tak prehod bil precej drag.

Menjava NPAPI komponente za podpisovanje, s tisto, ki uporablja NativeMessaging in komunicira z native aplikacijo, vsaj s stalisca uporabnika ne prinasa dodatne varnosti. V obeh primerih imamo na racunalniku programsko opremo, ki ima dostop z enakimi pravicami kot sam uporabnik.

WebCrypto bi naj zamenjal native aplikacije v primeru avtorizacije/podpisovanja, nisem pa se spuscal v podrobnosti, kaj vse ze podpira, in kaj se manjka, da bi kaj taksnega lahko ze zdaj uporabljali.

Spura ::

Mavrik je izjavil:


pa sčasoma preseliti podpisovanje na njihove strežnike.

Mavrik je izjavil:


Tvoj privatni ključ ostane v tvoji lasti (in ni nikoli prenešen preko linije) in se potem komot uporabi za verifikacijo tega podpisa.

A si ti na glavo padu? Holy shit!

To je povsem narobe. Podpis, ki ga lahko verificira samo imetnik privatnega kljuca je povsem neuporaben. In kar je se hujse, ce je tak podpis veljaven, potem ga lahko ponaredi vsak imetnik tvojega javnega kljuca, ki je javen! Kaj ti pomaga, da tvoj privatni kljuc ni prenesen preko linije, ko pa lahko vsak podpise v tvojem imenu karkoli hoce?!?!?

Zato se tudi ne da podpisovat na serverju. Kako ti to lahko sploh na misel pade?!?! Zarad takih kot ti mamo v drzavni upravi tudi sisteme, ki kar na serverju hranijo privatni kljuc uporabnika in z njim podpisujejo.

jype je izjavil:


V resnici ne, ker imaš znotraj APIjev za WebExtension že dostop do vsega, kar potrebuješ (vsaj v Firefox in Chrome, kjer obstaja tudi web crypto API, s katerim lahko podpišeš dokument in generiraš vse potrebne elektronske žige).

Oh komaj cakam naslednji javascript zmazek pristop, kjer bom spet podpisoval dokumente, ki jih ne vidim, in kjer bom pri podpisovanju prepuscen na milost in nemilost designerja webstrani, in kjer bo spet pravilnost komplet prepuscena vsakemu programerju posebi.

Invictus ::

Tukaj se nihče še ni obregnil ob dejstvo, da je lahko tudi obrazec, ki ga podjetnik izpolni, ponarejen.

Če bi AJPES svoje obrazce najprej podpisal s svojim privatnim ključem, bi potem lahko jamčil avtentičnost.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Mavrik ::

Spura je izjavil:


A si ti na glavo padu? Holy shit!

To je povsem narobe. Podpis, ki ga lahko verificira samo imetnik privatnega kljuca je povsem neuporaben. In kar je se hujse, ce je tak podpis veljaven, potem ga lahko ponaredi vsak imetnik tvojega javnega kljuca, ki je javen! Kaj ti pomaga, da tvoj privatni kljuc ni prenesen preko linije, ko pa lahko vsak podpise v tvojem imenu karkoli hoce?!?!?

Zato se tudi ne da podpisovat na serverju. Kako ti to lahko sploh na misel pade?!?! Zarad takih kot ti mamo v drzavni upravi tudi sisteme, ki kar na serverju hranijo privatni kljuc uporabnika in z njim podpisujejo.


Če bi prebral nadaljevanje debate (po možnosti pred razburjanjem) bi pogruntal da smo res ugotovili da bi bil moj pristop v tistem sporočilu neumen. In ne, "zaradi mene" ne bo nihče pri drugem hranil privatnih ključev ker takega pristopa nikakor ne bi ubral.

Ne vidim pa nekega razloga zakaj točno moraš podpisovati s svojim ključem ko je strežnik od države (kateri ti oddajaš ta obrazec in v končni fazi moraš zaupati) že ugotovil tvojo istovetnost in integriteto podatkov. Podobno kot pač uradniki na upravni enoti poklikajo stvari ko sediš pred njimi in preverijo tvojo osebno. Če je dovolj dobro za nakazovanje 50.000EUR na bankah, bo dost dobro za PODO-OPSVZ a ne? :P
The truth is rarely pure and never simple.

Modri dirkač ::

A ni dovolj, da jaz do državnega portala dostopam s svojim certifikatom, kot do spletne banke?
Everybody lies!

Quikee ::

Spura je izjavil:


Tvoj privatni ključ ostane v tvoji lasti (in ni nikoli prenešen preko linije) in se potem komot uporabi za verifikacijo tega podpisa.
A si ti na glavo padu? Holy shit!

To je povsem narobe. Podpis, ki ga lahko verificira samo imetnik privatnega kljuca je povsem neuporaben. In kar je se hujse, ce je tak podpis veljaven, potem ga lahko ponaredi vsak imetnik tvojega javnega kljuca, ki je javen! Kaj ti pomaga, da tvoj privatni kljuc ni prenesen preko linije, ko pa lahko vsak podpise v tvojem imenu karkoli hoce?!?!?

Zato se tudi ne da podpisovat na serverju. Kako ti to lahko sploh na misel pade?!?! Zarad takih kot ti mamo v drzavni upravi tudi sisteme, ki kar na serverju hranijo privatni kljuc uporabnika in z njim podpisujejo.


Je že priznal, da se je zmotil. To nadaljno žaljenje je povsem nepotrebno. Tukaj večinoma nismo strokovnjaki za računalniško varnost tako, da takšne napake v razmišljanju niso nič nenavadnega. Nekaj čisto druga pa je, da v JU ni strokovnjakov za varnost, oziroma če so, dovolijo kaj takega.

Spura je izjavil:


Oh komaj cakam naslednji javascript zmazek pristop, kjer bom spet podpisoval dokumente, ki jih ne vidim, in kjer bom pri podpisovanju prepuscen na milost in nemilost designerja webstrani, in kjer bo spet pravilnost komplet prepuscena vsakemu programerju posebi.


No, potem pa povej, kako pa bi ti rešil ta problem? Podpisovanje datotek iz spletne strani, v brskalnikih (na vseh podprtih platformah) z ali brez plugin-a.

Mavrik ::

Da morda jaz razložim kaj mislim s podpisovanjem na strežniku:

Trenutno se podpisovanje dogaja na mojem računalniku z mojim privatnim ključem. To podpisovanje dela neka zaprtokodna komponenta ki mi jo porine država in vsebine, ki se podpisuje dejansko nikoli ne vidim (vsebina obrazca se najprej prepošlje preko POST pa še kaj, ne spomnim se podrobnosti). Prisiljen sem zaupati državi, da je podpisna komponenta kompetentno napisana, počne to kar pravijo da počne in da bo dejansko podpisala tisto kar vidim v brskalniku. Te komponente ne morem zamenjati.

Tako da je IMO popolnoma vseeno če namesto tega podpis v mojem imenu napravi server s svojim privatnim ključem. Strežnik itak najprej verificira mene z mojim certifikatom in vzpostavi zavarovano TLS sejo. Zatem lahko komot vzame vsebino, jo podpiše s svojim ključem (certifikat je pač edavki1.durs.si namesto SIGEN-CA Mavrik), v podpisano vsebino pa doda potrdilo da me je avtenticiral z mojim SIGEN-CA ključem (lah je tud hash in drugi podatki). S stališča zaupanja je to popolnoma identično - še vedno jaz moram državi zaupati da podpisuje to kar jaz vidim na ekranu, ampak tokrat ne rabim ene crappy komponente. Zatem mi pač pusti prenesti podpisan dokument da ga imam kot arhiv/dokaz/karkoli. Podpis zagotovi integriteto, avtentikacija pa je bila narejena že na nivoju TLSja.

--

Seveda idealneje bi bilo če bi uporabljali enega od standardov za podpisovanje (recimo XML ima vsaj enega) in bi lahko sam poljubno pri sebi izbiral implementacijo, oz. po možnosti bi bilo še boljše če bi se WebCrypto počasi standardiziral. Na žalost pa ta pristop ne zgleda da bo realističen kaj hitro.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

techfreak :) ::

Mavrik je izjavil:

Ne vidim pa nekega razloga zakaj točno moraš podpisovati s svojim ključem ko je strežnik od države (kateri ti oddajaš ta obrazec in v končni fazi moraš zaupati) že ugotovil tvojo istovetnost in integriteto podatkov. Podobno kot pač uradniki na upravni enoti poklikajo stvari ko sediš pred njimi in preverijo tvojo osebno. Če je dovolj dobro za nakazovanje 50.000EUR na bankah, bo dost dobro za PODO-OPSVZ a ne? :P
Podpisovanje dokumenta zagotavlja, da ga je res podpisal (in za podatke na njem jamcil) imetnik zasebnega kljuca, ter da ga oni ne morejo spremeniti. Ce podpisujejo samo ID dokumenta na strezniku, potem je to podpisovanje brez pomena.

Spletne banke za poslovne uporabnike tudi uporabljajo komponente za podpisovanje, enako je z varnimi elektronskimi predali.

techfreak :) ::

Mavrik je izjavil:

Tako da je IMO popolnoma vseeno če namesto tega podpis v mojem imenu napravi server s svojim privatnim ključem. Strežnik itak najprej verificira mene z mojim certifikatom in vzpostavi zavarovano TLS sejo. Zatem lahko komot vzame vsebino, jo podpiše s svojim ključem (certifikat je pač edavki1.durs.si namesto SIGEN-CA Mavrik), v podpisano vsebino pa doda potrdilo da me je avtenticiral z mojim SIGEN-CA ključem (lah je tud hash in drugi podatki). S stališča zaupanja je to popolnoma identično - še vedno jaz moram državi zaupati da podpisuje to kar jaz vidim na ekranu, ampak tokrat ne rabim ene crappy komponente. Zatem mi pač pusti prenesti podpisan dokument da ga imam kot arhiv/dokaz/karkoli. Podpis zagotovi integriteto, avtentikacija pa je bila narejena že na nivoju TLSja.
V primeru da imas pri sebi komponento, ki ji ne zaupas in ne ves kaj dela, je to res.

Idealno bi bilo da bi lahko sam opravil podpisovanje s poljubnim orodjem (npr. openssl), na streznik pa poleg datoteke nalozil tudi ta podpis. Kako to zapakirati v dobro uporabnisko izkusnjo je pa drugo vprasanje.

MKrmec ::

Se isti dan sm jim napisal email "kaj se grejo ce so normalni, da priporocajo starejse brskalnike polne lukenj svojim strankam" in so mi nazaj napisal:

"Hvala za odziv in mnenje v zvezi z uporabo spletne televizije D3go. Razumemo vaše stališče glede uporabe. Radi bi poudarili, da je sprememba potrebna zaradi izboljšanja uporabniške izkušnje. V kolikor bo v prihodnje prišlo do spremembe, ki jo želite, vas bomo o tem seveda pravočasno obvestili."

Zajebavajo se idioti...

MrStein ::

Spura je izjavil:


Zato se tudi ne da podpisovat na serverju. Kako ti to lahko sploh na misel pade?!?! Zarad takih kot ti mamo v drzavni upravi tudi sisteme, ki kar na serverju hranijo privatni kljuc uporabnika in z njim podpisujejo.

No, "na serverju hraniti privatni kljuc uporabnika" je prihodnost.


Mavrikovo (zadnje) razmišljanje pa je tudi "končno malo zdrave pameti" pri zadevi. Vprašanje pa je glede dejanske prakse, ala "dokument ni digitalno podpisan s strani osebe" ipd...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

perci ::

Mavrik je izjavil:

Da morda jaz razložim kaj mislim s podpisovanjem na strežniku:

Trenutno se podpisovanje dogaja na mojem računalniku z mojim privatnim ključem. To podpisovanje dela neka zaprtokodna komponenta ki mi jo porine država in vsebine, ki se podpisuje dejansko nikoli ne vidim (vsebina obrazca se najprej prepošlje preko POST pa še kaj, ne spomnim se podrobnosti). Prisiljen sem zaupati državi, da je podpisna komponenta kompetentno napisana, počne to kar pravijo da počne in da bo dejansko podpisala tisto kar vidim v brskalniku. Te komponente ne morem zamenjati.

Tako da je IMO popolnoma vseeno če namesto tega podpis v mojem imenu napravi server s svojim privatnim ključem. Strežnik itak najprej verificira mene z mojim certifikatom in vzpostavi zavarovano TLS sejo. Zatem lahko komot vzame vsebino, jo podpiše s svojim ključem (certifikat je pač edavki1.durs.si namesto SIGEN-CA Mavrik), v podpisano vsebino pa doda potrdilo da me je avtenticiral z mojim SIGEN-CA ključem (lah je tud hash in drugi podatki). S stališča zaupanja je to popolnoma identično - še vedno jaz moram državi zaupati da podpisuje to kar jaz vidim na ekranu, ampak tokrat ne rabim ene crappy komponente. Zatem mi pač pusti prenesti podpisan dokument da ga imam kot arhiv/dokaz/karkoli. Podpis zagotovi integriteto, avtentikacija pa je bila narejena že na nivoju TLSja.

--

Seveda idealneje bi bilo če bi uporabljali enega od standardov za podpisovanje (recimo XML ima vsaj enega) in bi lahko sam poljubno pri sebi izbiral implementacijo, oz. po možnosti bi bilo še boljše če bi se WebCrypto počasi standardiziral. Na žalost pa ta pristop ne zgleda da bo realističen kaj hitro.

Sej točno to zdej pripravlja MJU - zadevi so poimenovali SICES - https://nio.gov.si/nio/asset/centralni+...

PrimozR ::

MKrmec je izjavil:

"Radi bi poudarili, da je sprememba potrebna zaradi izboljšanja uporabniške izkušnje. V kolikor bo v prihodnje prišlo do spremembe, ki jo želite, vas bomo o tem seveda pravočasno obvestili."

A to mislijo da je boljša uporabniška izkušnja, če updejtaš Firefox?

techfreak :) ::

@MrStein, @perci: sicer razumem, da je taksna resitev za veliko vecino uporabnikov bolj varna, kot pa hranjenje zasebnih kljucev na njihovih napravah, se vseeno pa mi ni vsec, da bi moral tretji osebi dopustiti dostop do teh kljucev. Nisem sicer na tekocem kako je glede pridobitve oz. prevzema digitalnega potrdila, ampak imam obcutek da se tudi tukaj zasebni kljuc (sploh pri uporabi pametnih kartic) generira pri samem ponudniku, in torej ne na uporabnikovi napravi.

@PrimozR: boljsa izkusnja je ce ga ne updejtas, ker lahko tako spremljas D3GO oz. podpisujes dokumente za FURS. :))

LeQuack ::

Zakaj ni v EU nobenega deljenja tehnologije zakaj mora vsaka država nekaj po svoje delati?
Quack !

PaX_MaN ::

Ker je Slovenija neodvisna in suverena država.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

PrimozR ::

techfreak :) je izjavil:

@PrimozR: boljsa izkusnja je ce ga ne updejtas, ker lahko tako spremljas D3GO oz. podpisujes dokumente za FURS. :))

Saj vem, sarkazem pa to ;)

Zgodovina sprememb…

  • spremenil: PrimozR ()

MrStein ::

perci je izjavil:


Sej točno to zdej pripravlja MJU - zadevi so poimenovali SICES - https://nio.gov.si/nio/asset/centralni+...

Mavrik govori o tem, da bi podpisal "urad" s svojim ključem (strežnikovim).
SiCES* pa (bo) podpisoval z uporabnikovim ključem.

* - eh, kateri način zapisa je "pravi" ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

perci ::

MrStein je izjavil:

perci je izjavil:


Sej točno to zdej pripravlja MJU - zadevi so poimenovali SICES - https://nio.gov.si/nio/asset/centralni+...

Mavrik govori o tem, da bi podpisal "urad" s svojim ključem (strežnikovim).
SiCES* pa (bo) podpisoval z uporabnikovim ključem.

* - eh, kateri način zapisa je "pravi" ?

Ja, imaš prav - sem po diagonali bral. Ampak efekt je isti. Dostopa do privatnega ključa nimaš ti kot uporabnik ampak nekdo drug. Kar pomeni, da gre za vprašanje zaupanja in nič drugega. Je pa res, da bi bilo potrebno "rahlo" spremeniti zakonodajo. ZUP in ZEPEP.

mojca ::

Mavrik je izjavil:

Trenutno se podpisovanje dogaja na mojem računalniku z mojim privatnim ključem. To podpisovanje dela neka zaprtokodna komponenta ki mi jo porine država in vsebine, ki se podpisuje dejansko nikoli ne vidim. Prisiljen sem zaupati državi, da je podpisna komponenta kompetentno napisana, počne to kar pravijo da počne in da bo dejansko podpisala tisto kar vidim v brskalniku. Te komponente ne morem zamenjati.


Ja, vse to je problem, ampak ...

Tako da je IMO popolnoma vseeno če namesto tega podpis v mojem imenu napravi server s svojim privatnim ključem. Strežnik itak najprej verificira mene z mojim certifikatom in vzpostavi zavarovano TLS sejo.


Ni. Država se lahko v nekem momentu spomni in iz svojega arhiva potegne lažen dokument, v katerem si ti spisal oporoko, da vse svoje premoženje zapuščaš državi. Dokument je podpisan, pristanete na sodišču. Kako lahko dokažeš, da tega dokumenta nisi oddal ti? Seveda ti država podoben zate neugoden dokument lahko kadarkoli podtakne tudi v trenutnem scenariju, je pa vseeno manj ugodno, kot če lahko oseba X kadarkoli podkupi admina, da podpiše praktično kakršenkoli dokument v imenu kogarkoli. In če odmislimo zlobno državo, je čisto dovolj, da se hekerji dokopljejo do strežniškega certifikata in v tvojem imenu podpišejo, da želiš, da se del tvoje dohodnine nakaže temuintemu društvu ipd.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bliža se konec za Flash

Oddelek: Novice / Brskalniki
3611638 (8007) jype
»

FURS in Telemach priporočata uporabo starih luknjičastih brskalnikov (strani: 1 2 )

Oddelek: Novice / Brskalniki
9239040 (33190) mojca
»

Telemach v masovni pošti svetuje izklop posodabljaja Firefoxa

Oddelek: Loža
153202 (1988) dope1337
»

Firefox 42 končno 64-biten tudi za Windows

Oddelek: Novice / Brskalniki
4114289 (11116) Qushaak
»

Firefox bo nehal podpirati vtičnike NPAPI razen Flasha

Oddelek: Novice / Brskalniki
2926998 (24284) Qushaak

Več podobnih tem