» »

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!!

1 2
3
4 5

dripac ::

hruske je izjavil:

@Pithlit, ni to, da nekomu ni v interesu tega popravit, samo noben noče biti tisti, zarad katerega se bo minister na vladi kregal z drugim ministrom.


Mislim da bo to kar držalo ja. Če bi mu kot ministru, odgovornemu za svoj resor bilo v interesu (kar bi mu vsekakor moralo bit), bi se "spičil" z drugim ministrom, da se stvari uredi. Tako so pa med seboj v dobrih odnosih, stvari pa ostanejo nenarejene.

Že videna slika, vem da sem prevelik idealist ko gre za naše institucije :D

Invictus ::

Saj smo vsi. zato mi gredo pa na bruhanje izgovori, kot tukaj @GBX, kako to ni njihova naloga.

Zato da objavijo kak oglas o nevarnih porno straneh in Nigeriji, so boljši medij Slovenske novice.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

Pithlit ::

Si predstavljaš čistilko ki gre WC pucat samo kadar je totalno oscan in posran? Dokler 'samo' smrdi je pa vse ok. Ocena tveganja...
Life is as complicated as we make it...

Zgodovina sprememb…

  • spremenila: Pithlit ()

dripac ::

Pithlit je izjavil:

Si predstavljaš čistilko ki gre WC pucat samo kadar je totalno oscan in posran? Dokler 'samo' smrdi je pa vse ok. Ocena tveganja...


Čistilka (ali njen nadrejeni) v takem primeru takoj dobi po prstih. Pa čeprav je tveganje da kdo zgubi karkoli minimalno. :D

hruske ::

BTW, ful pomaga, če se nardi kak whitepaper, pregled stanja s predlogi rešitev, predvsem pa lep executive summary.

Celoten smisel birokracije je mahanje s papirji, tak papir pa je potem lahko tud spodbuda za ukrepanje.

Je pa res, da neki tazga spisat pomeni kar nekaj truda.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

darkolord ::

Invictus je izjavil:

Saj smo vsi. zato mi gredo pa na bruhanje izgovori, kot tukaj @GBX, kako to ni njihova naloga.
Zakaj pa ti ne ukrepaš?

MgpVa ::

No, to pa je res en post.
Pljuvanje povprek.

Če že nekdo kaj takega napiše, bi bilo dobro, da se avtor podpiše. Da nekako stoji za tem, kar je napisal. Skrivanje za članki je tudi kar nekaj.
Razen če se Primož ali Matej ne upata podpisati, kar se mi zdi en malček sick.

Enako velja za 3 etične hekerje. Če so že etični, potem se nimajo bati napisat svojih imen. Razen če so samo deklarirani, dejansko pa v udnergroundu hekajo na veliko.

Tako da takšno slepomišenje zbije kredibilnost prispevku, kar se mi zdi škoda.

Drugače pa sem tudi jaz mnenja, da se v JU denar porablja na napačnih stvareh.

Invictus ::

darkolord je izjavil:

Invictus je izjavil:

Saj smo vsi. zato mi gredo pa na bruhanje izgovori, kot tukaj @GBX, kako to ni njihova naloga.
Zakaj pa ti ne ukrepaš?

Saj ukrepam.

pazim, da ne grem po pomoti na kako MITM stran...

Dvomim da bi me država hotela plačati za moje storitve, kjer bi postavil varnostno nadzorno stran za vse internetne strani... Zastonj pa tudi SI-CERT ne dela...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

darkolord ::

Saj ti tudi verjetno ne delaš zastonj, kar pač delaš. Zakaj ne ukrepaš direkt pri MJU?

Saul Goodman ::

Invictus je izjavil:

Saj smo vsi. zato mi gredo pa na bruhanje izgovori, kot tukaj @GBX, kako to ni njihova naloga.

Zato da objavijo kak oglas o nevarnih porno straneh in Nigeriji, so boljši medij Slovenske novice.


Ne vem kakšne imaš kaj ti izkušnje z delom z drugimi resorji znotraj državne uprave, vendar sam vsaj delno razumem Gorazdovo zafustriranost.

Ti jim pač poveš kako naj zrihtajo, saj ni rocket science. Ne moreš pa stopit v njihovo bajto in začet zadev šraufat sam. Al kako si ti to predstavljaš?

MrStein ::

dripac je izjavil:


Opozarjanje Janeza/Micke na nevarnosti obiskov pornografskih strani je dovolj smiselno,

off topic, ampak kaka nevarnost je tam?
Pornhub je recimo po "SimilarWeb top 100 websites" na 22-em mestu. Sigurno je dobro raziskan.

Razen da lahko kdo vidi luleka?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

PaX_MaN ::

MrStein je izjavil:

off topic, ampak kaka nevarnost je tam?

Malware v oglasih.

MrStein ::

Sicer pa me čudi, da ne komentirajo apologisti in fatalisti.

Saj veste: Ne vidim problema... To je čisto OK. ... saj če se malo pozanimaš, malo poklikaš, malo konfiguriraš, malo poguglaš (a si funcionalno nepismen?), malo pohekaš, malo na eno oko zamižiš, stvar dela čisto v redu. Ne vidim problema. ... Sigurno si nesposoben. ipd...

PaX_MaN je izjavil:

MrStein je izjavil:

off topic, ampak kaka nevarnost je tam?

Malware v oglasih.



Status of: pornhub.com
Current status: Not dangerous

Safe Browsing has not recently seen malicious content on pornhub.com.

Vir: https://www.google.com/transparencyrepo...

Pithlit je izjavil:

Ummm... katera banka je sprejela odgovornost? Za kaj? Naša folklora je taka da noben ne prevzema odgovornosti...

Banke kar dosti odgovornosti prevzamejo. (ampak ne več, kot jim treba)
Tudi do mere, da te sredi noči pokličejo, da preverijo "ali ste pravkar v Uzbekistanu s kartico plačali 250 EUR?"

Seveda pa je še veliko prostora.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Invictus ::

Saul Goodman je izjavil:


Ne vem kakšne imaš kaj ti izkušnje z delom z drugimi resorji znotraj državne uprave, vendar sam vsaj delno razumem Gorazdovo zafustriranost.

Ti jim pač poveš kako naj zrihtajo, saj ni rocket science. Ne moreš pa stopit v njihovo bajto in začet zadev šraufat sam. Al kako si ti to predstavljaš?

Delal z njimi, zdaj pa delam še z večjimi sistemi od naše državne uprave. Tako da vem kaj je to zafrustriranost...

Ampak, to ne pomeni, da izvajaš samo storitve, za katere si zadolžen.

Google da ven cel kup free penetration testov. Koliko imajo časa ne vem, lahko bi dali pa vsaj pobudo... Saj to se pa pričakuje od njih. Tako ali tako bi šla ta pobuda v rok službe...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

PaX_MaN ::

MrStein je izjavil:

Status of: pornhub.com
Current status: Not dangerous

Če stran naloži karkoli, kar ne prihaja s spletnega naslova, ki sem ga kliknil, je ta stran privzeto malware.

Saul Goodman je izjavil:

Ti jim pač poveš kako naj zrihtajo, saj ni rocket science. Ne moreš pa stopit v njihovo bajto in začet zadev šraufat sam. Al kako si ti to predstavljaš?

To bi blo res če se neb z Vlado zmenil da bodo ... stopili v njihovo bajto in začel zadeve šraufat sami:
Javni zavod Arnes in Ministrstvo za notranje zadeve RS sta na podlagi sklepa Vlade Republike Slovenije
št. 38600-3/2009/21 z dne 8. 4. 2010 podpisala sporazum, po katerem SI-CERT opravlja naloge
vladnega centra za odzivanje na omrežne incidente in pomaga pri vzpostavitvi samostojnega centra,
ki bo skrbel za zaščito infrastrukture državne uprave.

vmes pa še malo svetoval:


To se mi zdi precej v nasprotju tudi z:
Na tem mestu lahko razložim, da smo svoje mnenje izrazili ob več priložnostih, v popolni pristojnosti MJU (ali drugih državnih organov) pa je tehnična izvedba in načrtovanje rešitev. Za to tudi odgovornost leži pri njih, namigovanje avtorja, da del odgovornosti ali krivde nosi SI-CERT pa ostro zavračam.

Če organ, ki ga je pomagal vzpostaviti SI-CERT, ne dela tako kot je treba, je res SI-CERT odvezan vse odgovornosti?
Rekel bi da ne.
Nadalje, v pooblastilu SI-CERT je zapisano:
5. v skladu z vlogo v sistemu kibernetske varnosti v državi opravlja naloge nacionalnega odzivnega centra za omrežne incidente (SI-CERT): koordinira postopke razreševanja omrežnih incidentov, tehnično svetuje ob vdorih in zlorabah, upravitelje omrežij in javnost opozarja na trenutne grožnje na elektronskih omrežjih ter sodeluje pri programih ozaveščanja s področja varnosti omrežij in informacij;

Če Vlada, MJU, SIGOV-CERT, ..., ne delajo po najboljših praksah oz. v škodo državljanov (to je vedno trenutna grožnja) - in, kot kaže, SI-CERT pravi da so jih na to opozorili/jim o tem svetovali - ima SI-CERT zakonsko dolžnost da na to opozori javnost(ker iz tega besedila ne sledi da se SI-CERT odzove samo če je za to za/naprošen).

stb je izjavil:

Vsaj Arnes (in z njim SI-CERT) je zaenkrat vsaj približno "zunanji", ker še spada pod MIZS.

Saj ravno zunanji neodvisni so tisti, ki bi se moral prvi oglasit.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

dripac ::

MrStein je izjavil:

Status of: pornhub.com
Current status: Not dangerous

Safe Browsing has not recently seen malicious content on pornhub.com.



Lepo od tebe da deliš z nami svojo razgledanost, ampak pornhub ni edini ponudnik tovrstne vsebine. Je pa očitno eden tistih, ki ni zabasan z malware-om. Kar pa ne velja za veliko večino ostalih.

MrStein ::

Sem še drugega tudi kliknil, pa je enako.

Lepo od tebe da deliš z nami svojo razgledanost.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Invictus je izjavil:

Zakaj potem sploh rabimo vladno organizacijo za varnost, če pa niti varnosti vladnih strani ne preverja?

SI-CERT nikakor nima nekih uradnih varnostnih nalog. Sploh pa nima pristojnosti izvajanja penetracijskih testov.

Njihova vloga je v bistvu enaka kot je vloga gasilcev. Ko jih pokličejo, pridejo na požar in pomagajo gasiti. Sicer občasno tudi povedo kaj o požarni varnosti, ampak to je bolj njihova neplačana naloga.

Morda bi se SI-CERT res lahko kaj bolj oglasil o tej temi. Ampak oni v tej zgodbi niso problem. Problem je MJU in zlasti Inšpektorat RS za telekomunikacije, elektronsko podpisovanje in pošto. Če kdo, potem so oni tisti, ki bi morali na to opozoriti!
sudo poweroff

poweroff ::

Invictus je izjavil:

Denar dobijo od države in ni zasebno podjetje.

Ja, saj naša krajevna skupnost ga tudi, pa nič ne ukrene glede SI-CA. Ti grdobe, ti...

Mimogrede, če greš natančno prebrat sporazum z vlado, je povsem jasno, da SI-CERT ne sme sam šraufati po vladnih omrežjih. Lahko pa svetuje - kadar je vprašan.
sudo poweroff

njyngs ::

Saj že naziv pove, kaj SI-CERT je: Computer Emergency Response Team

Kvečjemu bi si F/DURS moral sam najeti nekoga, da jim opravi analizo/penetracijske teste ter vse kar spada zraven. Plačali bi seveda mi, ampak bi bili vsaj teoretično bolj zavarovani.

Invictus ::

poweroff je izjavil:


Mimogrede, če greš natančno prebrat sporazum z vlado, je povsem jasno, da SI-CERT ne sme sam šraufati po vladnih omrežjih. Lahko pa svetuje - kadar je vprašan.

Preverjanje ni enako šraufanju. Upam da je na tem forumu folku to jasno kaj je to black box testing...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Mavrik ::

poweroff je izjavil:


Ja, saj naša krajevna skupnost ga tudi, pa nič ne ukrene glede SI-CA. Ti grdobe, ti...

Mimogrede, če greš natančno prebrat sporazum z vlado, je povsem jasno, da SI-CERT ne sme sam šraufati po vladnih omrežjih. Lahko pa svetuje - kadar je vprašan.


Ma ne vem no, tudi če njim direkt na čelu ne piše kaj morajo početi, se pri eUpravi gre za tako grozljivo nesposobnost da bi vsaj blog post / mnenje pa lahko napisali. Če že grem z analogijo gasilcev zgoraj - tudi če noben ni gasilcev poklical bi vsak gasilec ki je vreden pol p* opozoril ljudi ko bi videl da imajo na prižganem kaloriferju prislonjen gorljiv papir. Saj veš, vsaj osnovna profesionalnost pa etika pa tko.

V končni fazi Slo-Tech (in mi ostali ITjevci) tudi nimamo na čelu napisano da smo testerji za varnost, je pa etično da opozarjamo ostale na tako resne kršitve osnov varnosti.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

Pithlit ::

Tko... mimogrede... gasilci tudi kar sami od sebe skočijo če kje kaj čudnega opazijo. Ne čakajo da jih bo nekdo klical. Čudno ane?
Life is as complicated as we make it...

PaX_MaN ::

poweroff je izjavil:

Mimogrede, če greš natančno prebrat sporazum z vlado

Ne morem ga, ker je tajen.

poweroff je izjavil:

, je povsem jasno, da SI-CERT ne sme sam šraufati po vladnih omrežjih.

Za varnost naših občutljivih podatkov je v skrajni sili to njihov moralni imperativ!

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

matijadmin ::

GBX je izjavil:

matijadmin je izjavil:

O krivdi SICERT-a ne moremo govoriti, lahko pa govorimo o njihovi nekorektnosti. Državljani si zaslužimo vsaj opozorilo (vsaj, da je raba nevarna, če ne tudi odsvetovanja uporabe) v smislu preventivne dejavnosti in ta problem sodi v kampanjo Varni na internetu. Za nigerijski nateg smo bili deležni zabavneega spota, za resen in hud problem, zaradi katerega lahko denimo marsikdo ostane brez denarja pri DH, pred lastnim pragom pa niti 2 stavkov? Strah pred političnimi posledicami, morda?


S tem, da imamo redne prijave konkretnih oškodovanj za različne nigerijske (advance-fee fraud) prevare s strani žrtev (glej naša letna poročila). Prav tako za recimo napade na podjetja preko ugrabljenih e-mail računov, pa je stvar v tehničnem smislu banalna. Zaenkrat pa še nismo prejeli nobene prijave na sum zlorabe certifikata pri plačevanju davkov. Tveganju je vedno treba dodati oceno verjetnosti dogodka.

Le težko se strinjam z vami, kajti zagovarjate gašenje požarov in ne ukrepov, ki bi zmanjšali požarno ogroženost. Verjetnost je tu zelo izmuzljiv pojem, ki se ga lahko zelo različno interpretira. Sploh pa imamo konkretizirane ranljivosti ter opredeljene nekatere možne načine zlorabe. Dokler ne bodo izginile večje vsote denarja nekomu z DH, bo zadeva nedolžna, potem pa vas bodo vlačili po oddajah in spraševali, kako je to mogoče. Kako pa veste, da sedaj zlorab ni, da denimo jaz drugim pri dacarjih ne vpogledujem tistega, čemur pravimo davčna tajna? Saj nihče tega sploh zaznal ne bi. Vaše delo precej cenim, zato še toliko težje razumem takšno slabo argumentacijo!

Dodal: sploh pa pozabljate, da ZEPEP daje takemu potrdilo n-tere možnosti za (zlo)rabo. Z njimi so podpisani izpiski javnih knjig, državni organi jih uporabljajo pri poslovanju, pa tudi mnoge pravne posle v zasebni sferi lahko z njimi sklepamo!
Vrnite nam techno!

Zgodovina sprememb…

matijadmin ::

stb je izjavil:

Pithlit je izjavil:

Invictus je izjavil:

Zakaj potem sploh rabimo vladno organizacijo za varnost, če pa niti varnosti vladnih strani ne preverja?

Zato ker države ne zanima da so tebe (po njeni krivdi) okol prinesli da si namesto njej nakazal nekim nigerijcem. Ona bo svoje dobila tako ali drugače.

Banke so (vsaj teoretično) odgovorne za zlorabe njihovih sistemov. Država pač ne.
In MJU nadzira MJU (sigov-ca, sigen-ca, furs, e-uprava).
Vsaj Arnes (in z njim SI-CERT) je zaenkrat vsaj približno "zunanji", ker še spada pod MIZS.

Jah, banke so v veliki meri odgovorne tudi za infrastrukturo uporabnika (programski vmesnik), od koder ta uporablja njihovo.

SICERT je res 'zunanji', vendar bi v okviru preventivne dejavnosti na tako reč preprosto moral reagirati, če bi želel obravnavati grožnje neselektivno, glede na njihov izvor (oz. krivca).

Pithlit je izjavil:

Ummm... katera banka je sprejela odgovornost? Za kaj? Naša folklora je taka da noben ne prevzema odgovornosti... ker so itak vedno drugi krivi (v primeru politikov in bankirjev pa menedžerjev se itak nikoli ne ve kdo je kriv... ve se samo kdo ni kriv), pa ker itak raja plača vse neumnosti. Kolikor je meni znano smo že zmetali par milijard v banke.. pa še par milijard v razne nasedle overpriced projekte...

Kdo je v tej državi še koga (vsaj kolikor toliko 'javne osebnosti') po prstih kresnil?


NLB je morala prevzeti odgovornost (ko mu je sodišče tako naložilo): https://slo-tech.com/novice/t617547

dripac je izjavil:

stb je izjavil:

Par stvari sem jim prijavil, so korektno preverili in javili naprej na MJU, potem pa je MJU (z izvajalci) pacal popravek več kot eno leto (so prenovili cel sistem, čeprav bi popravek zahteval le par vrstic kode), in SI-CERT je pri tem brez moči, ker žal nimajo neke prave pristojnosti.


E tega nisem vedel. Se posipam s pepelom.

Tega jim nihče ne očita, da niso. Problem je, da bi lahko to vključili v preventivno dejavnost ozaveščanja uporabnikov, kar bi - bodite brez skrbi - veliko bolj pritisnilo tudi na pristojno ministrstvo (ter nenazadnje politiko, če hočete). Za to je potrebno imeti jajca, biti strokovnjak je premalo.
Vrnite nam techno!

Zgodovina sprememb…

matijadmin ::

Invictus je izjavil:

hruske je izjavil:

@Invictus, SICERT ni vladni organ.

Ne mi zdaj z birokracijo in papirologijo.

Denar dobijo od države in ni zasebno podjetje.


Malo čudne besede izbiraš. Njegov prispevek je zelo na mestu, saj jasno pokaže, kakšne pristojnosti imajo.

Tvoja ugotovitev glede financiranja pa lahko pojasni selektivno prijaznost do odgovornih za rabo nevarnih tehnologij.

Invictus je izjavil:

darkolord je izjavil:

Invictus je izjavil:

Saj smo vsi. zato mi gredo pa na bruhanje izgovori, kot tukaj @GBX, kako to ni njihova naloga.
Zakaj pa ti ne ukrepaš?

Saj ukrepam.

pazim, da ne grem po pomoti na kako MITM stran...

Dvomim da bi me država hotela plačati za moje storitve, kjer bi postavil varnostno nadzorno stran za vse internetne strani... Zastonj pa tudi SI-CERT ne dela...


Tudi njih ne plača zato, da bi jim to preprečevali (obvestili, kot smo lahko izvedeli, pa so jih že). Kaj ti ni jasno?
Vrnite nam techno!

Zgodovina sprememb…

matijadmin ::

PaX_MaN, hvala za izbrskano. Kakšne možnosti so, da bi dele sporazuma, ki ne pomenijo ogrožanja varnosti, pridobili po ZDIJZ?
Vrnite nam techno!

Invictus ::

matijadmin je izjavil:


Tudi njih ne plača zato, da bi jim to preprečevali (obvestili, kot smo lahko izvedeli, pa so jih že). Kaj ti ni jasno?

Pravzaprav jim. Če bi kdo prebeal opis na linku, ki ga je podal GBX, bi našel prav to... Bom kar navedel...

SI-CERT (Slovenian Computer Emergency Response Team) je nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij. Opravlja koordinacijo razreševanja incidentov, tehnično svetovanje ob vdorih, računalniških okužbah in drugih zlorabah, ter izdaja opozorila za upravitelje omrežij in širšo javnost o trenutnih grožnjah na elektronskih omrežjih.


Še poudaril sem kaj je v tem incidentu res pomembno.

Zdaj, če nemarno izdajanje certifikatov ne spada med varnostne incidente, kar je bilo tudi v članju in potem komentarjih lepo opisano, potem pa res ne vem čemu je sploh namenjen SI-CERT ter ga lahko kar ukinemo. Gre bolj potem za "rumen" inštitut, ki porablja denarja in z parimi obvestili na leto za rajo opravičuje svoj obstoj...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

matijadmin ::

Invictus je izjavil:

matijadmin je izjavil:


Tudi njih ne plača zato, da bi jim to preprečevali (obvestili, kot smo lahko izvedeli, pa so jih že). Kaj ti ni jasno?

Pravzaprav jim. Če bi kdo prebeal opis na linku, ki ga je podal GBX, bi našel prav to... Bom kar navedel...

SI-CERT (Slovenian Computer Emergency Response Team) je nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij. Opravlja koordinacijo razreševanja incidentov, tehnično svetovanje ob vdorih, računalniških okužbah in drugih zlorabah, ter izdaja opozorila za upravitelje omrežij in širšo javnost o trenutnih grožnjah na elektronskih omrežjih.


Še poudaril sem kaj je v tem incidentu res pomembno.

Zdaj, če nemarno izdajanje certifikatov ne spada med varnostne incidente, kar je bilo tudi v članju in potem komentarjih lepo opisano, potem pa res ne vem čemu je sploh namenjen SI-CERT ter ga lahko kar ukinemo. Gre bolj potem za "rumen" inštitut, ki porablja denarja in z parimi obvestili na leto za rajo opravičuje svoj obstoj...

V poudarjenem delu se absolutno strinjam s tabo. Treba pa je v nadaljevanju razumeti, da neko tveganje še ni incident (ta zaradi tveganja lahko šele nastane). Prav slednje pa, to jim moramo priznati, zelo zgledno obravnavajo (zato je njihovo financiranje še kako pomembno in smotrno). Prav tako so - kot smo izvedeli - MJU opozorili na težave, a kako je ravnal MJU, je drug problem (svoj gnev raje nanje stresaj). Oni (SICERT) nimajo ne pooblastil kaj šele vzvoda, da bi nekemu ministrstvu ali državnemu organu kar koli preprečili (lahko svetujejo ali pa jih opozorijo - in to so storili) kot si tudi sam ugotovil. Sam pa trdim, da če bi imeli še nekoliko več poguma in bi premogli kanček več strokovne integritete, bi na ta problem javno opozarjali tudi uporabnike. A ker tega ne, nikakor ne morem zaključiti, da so pridaniči in je njihovo delo ničvredno, ker to enostavno ni res.
Vrnite nam techno!

Zgodovina sprememb…

Invictus ::

V normalnem svetu se rešujejo znana tveganja da do incidenta sploh ne pride.

Če je obvestil MJU, se o tem ne ve nič. Javna objava bi bila na mestu, saj če ne drugega, bi butasti novinarji zadevo tako napihnili, da bi bil problem rešen v precej kratkem času :D.

Sploh ker se je zadeva zgodila v času kislih kumaric...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

SeMiNeSanja ::

Samo res, zakaj eni rinete SI-Cert v to debato?

Jaz bi v tej povezavi prej pokazal s prstom na Informacijsko pooblaščenko. Ta ima v rokah vsaj nekatere vzvode, da bi lahko nekaj ukrenila, ko gre za tako evidentno grožnjo za zlorabo osebnih podatkov.

Ampak ja, stvar presega nivo čokoladnih piškotkov in nadzornih kamer v kabinah za preoblačenje, zato tudi z njihove strani ne pričakujte čudeže.

MrStein ::

Ji/mu je kdo zadevo prijavil?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

matijadmin ::

MrStein je izjavil:

Ji/mu je kdo zadevo prijavil?

Težko je imeti debato na nivoju z neotesanimi in lenimi uporabniki, ki se jim ne ljubi niti iskalnika uporabiti: https://slo-tech.com/forum/t681499/p526...

SeMiNeSanja je izjavil:

Samo res, zakaj eni rinete SI-Cert v to debato?

Jaz bi v tej povezavi prej pokazal s prstom na Informacijsko pooblaščenko. Ta ima v rokah vsaj nekatere vzvode, da bi lahko nekaj ukrenila, ko gre za tako evidentno grožnjo za zlorabo osebnih podatkov.

Ampak ja, stvar presega nivo čokoladnih piškotkov in nadzornih kamer v kabinah za preoblačenje, zato tudi z njihove strani ne pričakujte čudeže.

Še eden, ki čivka neumnosti, ne da bi prebral, kaj smo do sedaj natipkali. Nihče ni pričakoval čudežev. Jasno smo artikulirali pričakovanja (jaz denimo, da bi bilo prav, da bi javno posvarili uporabnike pred nevarno rabo državnih potrdil).
Vrnite nam techno!

Zgodovina sprememb…

MrStein ::

Težko je imeti debato na nivoju z neotesanimi in lenimi uporabniki

To je res. Če pa so zraven še funcionalno nepismeni, pa je "zmaga".

(kar je en neotesanec linkal, je za lanski sneg, tu pa govorimo o svežih zadevah)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

matijadmin je izjavil:


Še eden, ki čivka neumnosti, ne da bi prebral, kaj smo do sedaj natipkali. Nihče ni pričakoval čudežev. Jasno smo artikulirali pričakovanja (jaz denimo, da bi bilo prav, da bi javno posvarili uporabnike pred nevarno rabo državnih potrdil).

Ne ti meni, da čivkam neumnosti!

Seveda je legitimno pričakovati, da se zadeva odpravi in to v najkrajšem možnem roku. Popolnoma legitimno je tudi pričakovati, da bo nekdo odgovarjal za takšno evidentno malomarnost.

Skratka NI neumnost, če pričakuješ čudeže.

Neumnost pa je pričakovati, da bodo uporabniki prenehali prevzemati certifikate, ker si ti na nekem forumu napisal, da bi to bilo najbolj pametno naresti.

Looooooka ::

NLB kriv za nekaj, kar v resnici ni bila njihova krivda...tlele ga pa biksajo tko, da glava peče pa ni nobenih problemov.
Verjetno zato, ker bomo morebitno škodo takoalitako plačali mi ne pa odgovorni. Tako kot vedno...s tujim tičem po kaktusih mahajo. Carji.

darkolord ::

Tukaj se predvsem dela iz muhe slona.

Pithlit ::

U bistvu ne. Je kar legitimen slon... ki se lahko vsede na vse uporabnike teh portalov (večina itak druge izbire kot te da jih uporablja sploh nima). Če je tebi vseeno za svojo zasebnost (in premoženje) še ne pomeni da je meni tudi.
Life is as complicated as we make it...

darkolord ::

Daleč od tega, da mi je vseeno. Ampak vem, da je realen vpliv tega na varnost moje zasebnosti ali premoženja izredno majhen. Manjši kot npr. nigerijski scami ali kriptovirusi.

Nekateri tega ne veste, nekateri pa vedo, pa vseeno želijo samo narediti malo drame.

Pa da se razumemo, zadeva je nedvomno za poštimat, je pa daleč od tega, da bi na tem mestu morali razmišljati, komu sneti glavo in kdo bi bil odgovoren za morebitno škodo.

Pithlit ::

Ja no... to se vleče že tolk časa da je pa mogoče res že cajt za razmišljat o tem kdo bo sprejel odgovornost... oz. še bolje, kdaj se bo javna uprava začela vest odgovorno.
Life is as complicated as we make it...

Invictus ::

darkolord je izjavil:


Pa da se razumemo, zadeva je nedvomno za poštimat, je pa daleč od tega, da bi na tem mestu morali razmišljati, komu sneti glavo in kdo bi bil odgovoren za morebitno škodo.

Predvsem o tem bi se moralo razmišljati, kdo bo letel. Ker gre za očitno nesposobnost... Celo dokazano...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Ales ::

darkolord je izjavil:

Daleč od tega, da mi je vseeno. Ampak vem, da je realen vpliv tega na varnost moje zasebnosti ali premoženja izredno majhen. Manjši kot npr. nigerijski scami ali kriptovirusi.

Nekateri tega ne veste, nekateri pa vedo, pa vseeno želijo samo narediti malo drame.

Pa da se razumemo, zadeva je nedvomno za poštimat, je pa daleč od tega, da bi na tem mestu morali razmišljati, komu sneti glavo in kdo bi bil odgovoren za morebitno škodo.

Res? In govora je le o vplivu na varnost posameznikov?

Kje vse se pa uporabljajo certifikati SIGEN-CA in SIGOV-CA?

Kakšne bi bile posledice, ko nekomu, ki do nečesa dostopa (ne nujno tebi ali meni), podtaknejo lažni korenski certifikat in potem recimo lažno vstopno mesto / programsko kodo / ... / ? To je namreč scenarij, ki je v tem primeru postal precej precej bolj trivialen, kot bi moral biti.

Ni vsak od nas Janez Nilihvažnočemiklavirpadenaglavo. Saj smo vsi posamezniki in vsi enakopravni, ampak eni so vseeno malo manj posamezni in malo manj enaki kot drugi, vrednoteno recimo po tem, koliko širok dostop do nečesa imajo. In potem ga naenkrat nimajo samo oni...

Mavrik ::

darkolord je izjavil:

Tukaj se predvsem dela iz muhe slona.


Torej, poglejmo:

* Ljudje ne morejo dostopiti do spletne strani eDavki, ker brskalniki tako nevarne strani ne odprejo.
* Navodila, ki jih prikaže Google in kakršnokoli ostalo iskanje so skrita za točno tem certifikatom in jih moderni brskalnik ne bo odprl.
* Postopek za dostop uči ljudi, da morajo igornirati varnostna opozorila v brskalniku in slepo inštalirati korenske certifikate.
* V kolikor po nekem čudežu ne pogruntaš kako točno moraš ugasniti varnostne nastavitve na svojem računalniku dobiš denarno kazen.

A ti delaš za JU da trosiš take neumnosti? Ali si eden tistih ITjevcev ki uživajo v tem da delajo sisteme ki celi državi zapravljajo ure časa z zajebavanjem z nesposobnostjo?
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

darkolord ::

Ales je izjavil:

Kakšne bi bile posledice, ko nekomu, ki do nečesa dostopa (ne nujno tebi ali meni), podtaknejo lažni korenski certifikat in potem recimo lažno vstopno mesto / programsko kodo / ... / ? To je namreč scenarij, ki je v tem primeru postal precej precej bolj trivialen, kot bi moral biti.
Glej, če nekomu podtakneš lažni korenski certifikat, mu moraš podtakniti tudi lažno stran.

Če si že pri tem, enostavno preskočiš podtikanje certifikata in mu podtakneš nezaščiteno stran. Brskalnik se ne bo nič pritožil. Če je self-signed certifikat preko HTTPS naredi celo dramo, če je stran sploh nezaščitena, je pa vse čisto OK. *čiv čiv*

To je precej večji fail z vidika usabilitija in UX kot z vidika varnosti. Je seveda fail tudi z vidika varnosti, ampak ne tako velik, kot bi nekateri želeli prikazati.

Zgodovina sprememb…

Invictus ::

Mislim, če amaterska zamenjava root certifikatov za praktično vse elektronske banke ni kritična, potem pa tudi ne vem kaj je kritično?

To, da Pahor nosi tangice?
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

darkolord ::

Kakšne banke?

Invictus ::

NLB, Delavska hranilnica, ... za začetek...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

darkolord ::

Saj nimajo SIGENCA oz. SIGOVCA?

Invictus ::

darkolord je izjavil:

Saj nimajo SIGENCA oz. SIGOVCA?

Pa kaj si se ti ravno zbudil iz kamene dobe? Že kar precej let...

Pa najbrž to niso edine banke...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x
1 2
3
4 5


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

edavki.durs.si (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Izdelava spletišč
35987367 (11913) Buggy
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181042 (63596) jukoz
»

FURS in Telemach priporočata uporabo starih luknjičastih brskalnikov (strani: 1 2 )

Oddelek: Novice / Brskalniki
9238734 (32884) mojca
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185323 (59518) MrStein
»

Vista eDavki izbor certifikata

Oddelek: Operacijski sistemi
154229 (3914) Romancek1

Več podobnih tem