Novice » Brskalniki » FURS in Telemach priporočata uporabo starih luknjičastih brskalnikov
Invictus ::
Nimam Linuxa gor .
Sem že zdavnaj prenehal biti mazohist .
Sem že zdavnaj prenehal biti mazohist .
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
MrNighthawk ::
techfreak :) ::
- eDavki pa uporabljajo Java vtičnik da podpiše dokument. V HTML standardu podpore za kaj takega ni, tako da niti nimajo druge alternative kot pa sčasoma preseliti podpisovanje na njihove strežnike.
HTML sicer tega zaenkrat ne podpira, lahko pa se razvije native komponenta, ki z brskalnikom komunicira preko Native Messaging (vsaj za Chrome/FF, IE ima zaenkrat se podporo za ActiveX, Opera verjetno? tako podpira isto kot Chrome, Edge pa je pred kratkim dodal podporo za njihovo varianto native messaginga v preview verzijo).
Vsaj Estonci so Native Messaging uporabili pri svoji resitvi za avtorizacijo/podpisovanje https://hwcrypto.github.io/.
Native knjiznica je pod LGPL, javascript knjiznica za komunikacijo pa pod MIT licenco, kar pomeni da jo lahko tudi pri nas uporabimo za eDavke in ostale portale.
Zgodovina sprememb…
- spremenil: techfreak :) ()
jype ::
techfreak :)> Native knjiznica je pod LGPL, javascript knjiznica za komunikacijo pa pod MIT licenco, kar pomeni da jo lahko tudi pri nas uporabimo za eDavke in ostale portale.
To je odsvetovano že nekaj časa. Zdaj je treba te reči početi v okviru "WebExtensions" standarda, ki naj bi bil združljiv med vsemi brskalniki.
To je odsvetovano že nekaj časa. Zdaj je treba te reči početi v okviru "WebExtensions" standarda, ki naj bi bil združljiv med vsemi brskalniki.
LeQuack ::
Kakor vem governments po svetu itak hočejo, da se uporaba enkripcije preneha in da bi komunicirali med seboj nešifrirano. Razen seveda oni med seboj, ker plebs ne sme špegat kaj se tak dogaja.
Quack !
Zgodovina sprememb…
- spremenil: LeQuack ()
techfreak :) ::
To je odsvetovano že nekaj časa. Zdaj je treba te reči početi v okviru "WebExtensions" standarda, ki naj bi bil združljiv med vsemi brskalniki.Tudi na tem se dela: https://github.com/hwcrypto/hwcrypto-ex...
Se vseeno pa poleg extensiona za brskalnik rabis se native program, ki skrbi za podpisovanje.
mm&r ::
Če sem prav razumel naj bi implementacija eIDAS uredbe reševala tudi podpisovanje na vseh različnih brskalnikih na različnih napravah.
Trenutno poleg državne storitve obstaja tudi storitev Subscribo, ki jo OSI ponuja preko pošte.
https://postarca.posta.si/subscribo/
Trenutno poleg državne storitve obstaja tudi storitev Subscribo, ki jo OSI ponuja preko pošte.
https://postarca.posta.si/subscribo/
ender ::
Ta stavek se lahko razume, da je Internet Explorer imel NPAPI? Nikoli.Je imel v časih Windows 9x (če se prav spomnim od IE 3.0 do 5.0, 5.5 je pa ukinil podporo).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
PaX_MaN ::
PaX_MaN> Še dobro, da NOBEN DRUG VELIK POSODABLJAN ODPRTOKODEN BRSKALNIK NE PODPIRA NPAPI.
Še dobro, da si nepismen.
Št. zaprtokodnih brskalnikov, ki podpirajo NPAPI: 1
Št. odprtokodnih brskalnikov, ki podpirajo NPAPI: 0, nič, nula, zero, niente
Ena je pa vedno in povsod in več od nič.
Mavrik ::
PaX_MaN> Še dobro, da NOBEN DRUG VELIK POSODABLJAN ODPRTOKODEN BRSKALNIK NE PODPIRA NPAPI.
Še dobro, da si nepismen.
Št. zaprtokodnih brskalnikov, ki podpirajo NPAPI: 1
Št. odprtokodnih brskalnikov, ki podpirajo NPAPI: 0, nič, nula, zero, niente
Ena je pa vedno in povsod in več od nič.
Čak o čem ti govoriš? Noben zaprtokodni brskalnik ne podpira NPAPI. Niti nimam pojma kaj bi mela odprtost kode veze?
The truth is rarely pure and never simple.
jype ::
techfreak :)> Se vseeno pa poleg extensiona za brskalnik rabis se native program, ki skrbi za podpisovanje.
V resnici ne, ker imaš znotraj APIjev za WebExtension že dostop do vsega, kar potrebuješ (vsaj v Firefox in Chrome, kjer obstaja tudi web crypto API, s katerim lahko podpišeš dokument in generiraš vse potrebne elektronske žige).
V resnici ne, ker imaš znotraj APIjev za WebExtension že dostop do vsega, kar potrebuješ (vsaj v Firefox in Chrome, kjer obstaja tudi web crypto API, s katerim lahko podpišeš dokument in generiraš vse potrebne elektronske žige).
Mavrik ::
techfreak :) je izjavil:
Safari ima NPAPI podporo in je zaprtokodni brskalnik.
Res je, je pa Safari tudi zelo na poti odstranjevanja te podpore (Safari 10 se bo obnašal kot da plugini niso nameščeni a se jih bo dalo vklopiti, upstream pa ima podporo že odstranjeno samo še ni znano kdaj bo Apple dejansko porinil update s tisto posodobitvijo).
Občutek imam sicer da je PaX_Man hotel govoriti o IE, ki od 5.5 dalje ni imel NPAPI podpore :)
The truth is rarely pure and never simple.
mitjan ::
Tako, olajšal sem si dušo Če ima pa kdo na seznamu literature kakšno knjigo (spletno stran), ki bi imela bolj top-down approach za spletne tehnologije (ali kakšno drugo IT temo), se priporočam. Pri čemer, pazi zdaj, top-down ne pomeni "površno".
Toplo priporočam branje ene izmed poletnih prilog revije Življenje in tehnika, na temo šifriranja. Žal vem samo, da je izšla enkrat med 2012 in 2015, in v dveh minutah brskanja je žal nisem našel. Avtorja pa se tudi ne spomnim.
konspirator ::
Ie10-11 & edge so brez npapi podpore ?
--
Zgodovina sprememb…
- spremenilo: konspirator ()
Mavrik ::
konspirator je izjavil:
Ie10-11 & edge so brez npapi podpore ?
Ne mešati ActiveX in NPAPI. Za IE so vtičniki uporabljali podoben ActiveX vmesnik (ki ga v Edge tudi več ni s podobnih razlogov).
The truth is rarely pure and never simple.
Saul Goodman ::
PaX_MaN> Še dobro, da NOBEN DRUG VELIK POSODABLJAN ODPRTOKODEN BRSKALNIK NE PODPIRA NPAPI.
Še dobro, da si nepismen.
Št. zaprtokodnih brskalnikov, ki podpirajo NPAPI: 1
Št. odprtokodnih brskalnikov, ki podpirajo NPAPI: 0, nič, nula, zero, niente
Ena je pa vedno in povsod in več od nič.
pa kaj je s tabo, model?
NPAPI se ukinja, ker je postajal pereč vektor napadov. Zakaj za vraga je to slabo?
Kot je bilo že omenjeno - Chrome, ki ima trenutno največji tržni delež, je podporo za NPAPI ukinil leta gospodovega 2013. HALO, veš kje je 2013?
Kaj folku v glavi špila?
konspirator ::
Na Chrome je delal npapi do v45 (09/2015).
https://allinlearning.zendesk.com/hc/en...
Google Chrome version history @ Wikipedia
Saul Goodman
Vzemi persen ali podobno pomirjevalo.
https://allinlearning.zendesk.com/hc/en...
Google Chrome version history @ Wikipedia
Saul Goodman
Vzemi persen ali podobno pomirjevalo.
--
Zgodovina sprememb…
- spremenilo: konspirator ()
techfreak :) ::
09/2014 je Google rekel da bo letel npapi ven cez 1 leto, tako da so imeli 2 leti in pol casa za izdelavo resitve, preden je se Firefox ukinil zadevo.
Mavrik ::
konspirator je izjavil:
Na Chrome je delal npapi do v45 (09/2015).
https://allinlearning.zendesk.com/hc/en...
Google Chrome version history @ Wikipedia
Delal ja, odstranitev je pa bila napovedana dve leti prej - septembra 2013.
The truth is rarely pure and never simple.
Saul Goodman ::
letnico 2013 sem vzel iz posta višje in se posipam s pepelom. pač, razlika med napovedjo ukinitvije in dejansko ukinitvijo. navkljub temu, da je deloval do 09/2015, časovno obdobje v katerem bi se lahko pripravili na ta scenarij ostaja brutalno dolgo in ne opravičuje njihovih workaround-ov.
konspirator: ? še bolje: neumestne predloge zadrži zase.
konspirator: ? še bolje: neumestne predloge zadrži zase.
Zgodovina sprememb…
- spremenilo: Saul Goodman ()
nikolahodin ::
Na čemu bo pa potem Flash obratoval v Firefoxu?
Pri Flashu so naredili izjemo. Če sem prav zasledil bo Flash deloval do verzije 60, ki pride predvidoma maja 2018.
Jst bi raje videl do verzije 54
MrNighthawk je izjavil:
Tule je potrebno omeniti da je Google prvi objavil ukinitev NPAPI vmesnika leta 2013(!!!!), kar pomeni da ti dve strani nista bili sposobni naredi nič v treh letih!
Oni so se zanašali na 5 let staro statistiko, da ima Firefox v Sloveniji 50 odstotni delež ;)
Danes ima ff v slo 19,2% delež na svetovni ravni pa 6,2%
Zgodovina sprememb…
- spremenil: nikolahodin ()
WarpedGone ::
Imam občutek, da v IT/Računalništvu na splošno primanjkuje takšnih "hi-level" pregledov; ampak načeloma nas stvari zanimajo, pa dejansko prežvečimo tehnikalije in si "from bottom-up" ustvarjamo sliko. Sploh pri programiranju je po navadi tako - običajen nasvet začetniku je: začni programirat in ne sprašuj preveč, boš že razumel. Zdaj, včasih je to res upravičeno reči, nisem pa prepričan, da je takšen pristop dober kot načelo.
Na splošno primanjkuje zdrave kmečke pameti in obvladovanje celote.
Kup mozoljavih fah idiotov, po študentskih napotnicah, drkajo svojo lastno melodijo, katero so prvič videli 2 leti nazaj.
Manjka iskren odgovor na zelo enostavno vprašanje: je splošno stanje web tehnologij doraslo problemu?
Ne v akademiji ampak v praksi.
Imho ni. In če ni, ne bo noben parfum iz dreka naredu vijolice.
Sicer bo mladila jokala 100 na uro, kako so zastareli in okorni ker ne omogočajo elektronskega poslovanja ampak elektronsko poslovanje v praksi zgleda točno takole.
Zakaj ne zgleda bolje? Ker ne more, tehnika ni dorasla problemu.
Zbogom in hvala za vse ribe
techfreak :) ::
WarpedGone je izjavil:
Manjka iskren odgovor na zelo enostavno vprašanje: je splošno stanje web tehnologij doraslo problemu?Glede video DRMja imamo resitve, ki ze dlje casa delujejo v praksi (npr. na Netflixu). Verimatrix, ki ponuja plugin za Telemachov D3Go, ima tudi resitve, ki delujejo preko HTML5 + EME. Zakaj se Telemach ni menjal ne vemo, verjetno pa bi tak prehod bil precej drag.
Ne v akademiji ampak v praksi.
Imho ni. In če ni, ne bo noben parfum iz dreka naredu vijolice.
Menjava NPAPI komponente za podpisovanje, s tisto, ki uporablja NativeMessaging in komunicira z native aplikacijo, vsaj s stalisca uporabnika ne prinasa dodatne varnosti. V obeh primerih imamo na racunalniku programsko opremo, ki ima dostop z enakimi pravicami kot sam uporabnik.
WebCrypto bi naj zamenjal native aplikacije v primeru avtorizacije/podpisovanja, nisem pa se spuscal v podrobnosti, kaj vse ze podpira, in kaj se manjka, da bi kaj taksnega lahko ze zdaj uporabljali.
Spura ::
pa sčasoma preseliti podpisovanje na njihove strežnike.
Tvoj privatni ključ ostane v tvoji lasti (in ni nikoli prenešen preko linije) in se potem komot uporabi za verifikacijo tega podpisa.
A si ti na glavo padu? Holy shit!
To je povsem narobe. Podpis, ki ga lahko verificira samo imetnik privatnega kljuca je povsem neuporaben. In kar je se hujse, ce je tak podpis veljaven, potem ga lahko ponaredi vsak imetnik tvojega javnega kljuca, ki je javen! Kaj ti pomaga, da tvoj privatni kljuc ni prenesen preko linije, ko pa lahko vsak podpise v tvojem imenu karkoli hoce?!?!?
Zato se tudi ne da podpisovat na serverju. Kako ti to lahko sploh na misel pade?!?! Zarad takih kot ti mamo v drzavni upravi tudi sisteme, ki kar na serverju hranijo privatni kljuc uporabnika in z njim podpisujejo.
V resnici ne, ker imaš znotraj APIjev za WebExtension že dostop do vsega, kar potrebuješ (vsaj v Firefox in Chrome, kjer obstaja tudi web crypto API, s katerim lahko podpišeš dokument in generiraš vse potrebne elektronske žige).
Oh komaj cakam naslednji javascript zmazek pristop, kjer bom spet podpisoval dokumente, ki jih ne vidim, in kjer bom pri podpisovanju prepuscen na milost in nemilost designerja webstrani, in kjer bo spet pravilnost komplet prepuscena vsakemu programerju posebi.
Invictus ::
Tukaj se nihče še ni obregnil ob dejstvo, da je lahko tudi obrazec, ki ga podjetnik izpolni, ponarejen.
Če bi AJPES svoje obrazce najprej podpisal s svojim privatnim ključem, bi potem lahko jamčil avtentičnost.
Če bi AJPES svoje obrazce najprej podpisal s svojim privatnim ključem, bi potem lahko jamčil avtentičnost.
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Mavrik ::
A si ti na glavo padu? Holy shit!
To je povsem narobe. Podpis, ki ga lahko verificira samo imetnik privatnega kljuca je povsem neuporaben. In kar je se hujse, ce je tak podpis veljaven, potem ga lahko ponaredi vsak imetnik tvojega javnega kljuca, ki je javen! Kaj ti pomaga, da tvoj privatni kljuc ni prenesen preko linije, ko pa lahko vsak podpise v tvojem imenu karkoli hoce?!?!?
Zato se tudi ne da podpisovat na serverju. Kako ti to lahko sploh na misel pade?!?! Zarad takih kot ti mamo v drzavni upravi tudi sisteme, ki kar na serverju hranijo privatni kljuc uporabnika in z njim podpisujejo.
Če bi prebral nadaljevanje debate (po možnosti pred razburjanjem) bi pogruntal da smo res ugotovili da bi bil moj pristop v tistem sporočilu neumen. In ne, "zaradi mene" ne bo nihče pri drugem hranil privatnih ključev ker takega pristopa nikakor ne bi ubral.
Ne vidim pa nekega razloga zakaj točno moraš podpisovati s svojim ključem ko je strežnik od države (kateri ti oddajaš ta obrazec in v končni fazi moraš zaupati) že ugotovil tvojo istovetnost in integriteto podatkov. Podobno kot pač uradniki na upravni enoti poklikajo stvari ko sediš pred njimi in preverijo tvojo osebno. Če je dovolj dobro za nakazovanje 50.000EUR na bankah, bo dost dobro za PODO-OPSVZ a ne? :P
The truth is rarely pure and never simple.
Modri dirkač ::
A ni dovolj, da jaz do državnega portala dostopam s svojim certifikatom, kot do spletne banke?
Everybody lies!
Quikee ::
Tvoj privatni ključ ostane v tvoji lasti (in ni nikoli prenešen preko linije) in se potem komot uporabi za verifikacijo tega podpisa.
A si ti na glavo padu? Holy shit!
To je povsem narobe. Podpis, ki ga lahko verificira samo imetnik privatnega kljuca je povsem neuporaben. In kar je se hujse, ce je tak podpis veljaven, potem ga lahko ponaredi vsak imetnik tvojega javnega kljuca, ki je javen! Kaj ti pomaga, da tvoj privatni kljuc ni prenesen preko linije, ko pa lahko vsak podpise v tvojem imenu karkoli hoce?!?!?
Zato se tudi ne da podpisovat na serverju. Kako ti to lahko sploh na misel pade?!?! Zarad takih kot ti mamo v drzavni upravi tudi sisteme, ki kar na serverju hranijo privatni kljuc uporabnika in z njim podpisujejo.
Je že priznal, da se je zmotil. To nadaljno žaljenje je povsem nepotrebno. Tukaj večinoma nismo strokovnjaki za računalniško varnost tako, da takšne napake v razmišljanju niso nič nenavadnega. Nekaj čisto druga pa je, da v JU ni strokovnjakov za varnost, oziroma če so, dovolijo kaj takega.
Oh komaj cakam naslednji javascript zmazek pristop, kjer bom spet podpisoval dokumente, ki jih ne vidim, in kjer bom pri podpisovanju prepuscen na milost in nemilost designerja webstrani, in kjer bo spet pravilnost komplet prepuscena vsakemu programerju posebi.
No, potem pa povej, kako pa bi ti rešil ta problem? Podpisovanje datotek iz spletne strani, v brskalnikih (na vseh podprtih platformah) z ali brez plugin-a.
Mavrik ::
Da morda jaz razložim kaj mislim s podpisovanjem na strežniku:
Trenutno se podpisovanje dogaja na mojem računalniku z mojim privatnim ključem. To podpisovanje dela neka zaprtokodna komponenta ki mi jo porine država in vsebine, ki se podpisuje dejansko nikoli ne vidim (vsebina obrazca se najprej prepošlje preko POST pa še kaj, ne spomnim se podrobnosti). Prisiljen sem zaupati državi, da je podpisna komponenta kompetentno napisana, počne to kar pravijo da počne in da bo dejansko podpisala tisto kar vidim v brskalniku. Te komponente ne morem zamenjati.
Tako da je IMO popolnoma vseeno če namesto tega podpis v mojem imenu napravi server s svojim privatnim ključem. Strežnik itak najprej verificira mene z mojim certifikatom in vzpostavi zavarovano TLS sejo. Zatem lahko komot vzame vsebino, jo podpiše s svojim ključem (certifikat je pač edavki1.durs.si namesto SIGEN-CA Mavrik), v podpisano vsebino pa doda potrdilo da me je avtenticiral z mojim SIGEN-CA ključem (lah je tud hash in drugi podatki). S stališča zaupanja je to popolnoma identično - še vedno jaz moram državi zaupati da podpisuje to kar jaz vidim na ekranu, ampak tokrat ne rabim ene crappy komponente. Zatem mi pač pusti prenesti podpisan dokument da ga imam kot arhiv/dokaz/karkoli. Podpis zagotovi integriteto, avtentikacija pa je bila narejena že na nivoju TLSja.
--
Seveda idealneje bi bilo če bi uporabljali enega od standardov za podpisovanje (recimo XML ima vsaj enega) in bi lahko sam poljubno pri sebi izbiral implementacijo, oz. po možnosti bi bilo še boljše če bi se WebCrypto počasi standardiziral. Na žalost pa ta pristop ne zgleda da bo realističen kaj hitro.
Trenutno se podpisovanje dogaja na mojem računalniku z mojim privatnim ključem. To podpisovanje dela neka zaprtokodna komponenta ki mi jo porine država in vsebine, ki se podpisuje dejansko nikoli ne vidim (vsebina obrazca se najprej prepošlje preko POST pa še kaj, ne spomnim se podrobnosti). Prisiljen sem zaupati državi, da je podpisna komponenta kompetentno napisana, počne to kar pravijo da počne in da bo dejansko podpisala tisto kar vidim v brskalniku. Te komponente ne morem zamenjati.
Tako da je IMO popolnoma vseeno če namesto tega podpis v mojem imenu napravi server s svojim privatnim ključem. Strežnik itak najprej verificira mene z mojim certifikatom in vzpostavi zavarovano TLS sejo. Zatem lahko komot vzame vsebino, jo podpiše s svojim ključem (certifikat je pač edavki1.durs.si namesto SIGEN-CA Mavrik), v podpisano vsebino pa doda potrdilo da me je avtenticiral z mojim SIGEN-CA ključem (lah je tud hash in drugi podatki). S stališča zaupanja je to popolnoma identično - še vedno jaz moram državi zaupati da podpisuje to kar jaz vidim na ekranu, ampak tokrat ne rabim ene crappy komponente. Zatem mi pač pusti prenesti podpisan dokument da ga imam kot arhiv/dokaz/karkoli. Podpis zagotovi integriteto, avtentikacija pa je bila narejena že na nivoju TLSja.
--
Seveda idealneje bi bilo če bi uporabljali enega od standardov za podpisovanje (recimo XML ima vsaj enega) in bi lahko sam poljubno pri sebi izbiral implementacijo, oz. po možnosti bi bilo še boljše če bi se WebCrypto počasi standardiziral. Na žalost pa ta pristop ne zgleda da bo realističen kaj hitro.
The truth is rarely pure and never simple.
Zgodovina sprememb…
- spremenil: Mavrik ()
techfreak :) ::
Ne vidim pa nekega razloga zakaj točno moraš podpisovati s svojim ključem ko je strežnik od države (kateri ti oddajaš ta obrazec in v končni fazi moraš zaupati) že ugotovil tvojo istovetnost in integriteto podatkov. Podobno kot pač uradniki na upravni enoti poklikajo stvari ko sediš pred njimi in preverijo tvojo osebno. Če je dovolj dobro za nakazovanje 50.000EUR na bankah, bo dost dobro za PODO-OPSVZ a ne? :PPodpisovanje dokumenta zagotavlja, da ga je res podpisal (in za podatke na njem jamcil) imetnik zasebnega kljuca, ter da ga oni ne morejo spremeniti. Ce podpisujejo samo ID dokumenta na strezniku, potem je to podpisovanje brez pomena.
Spletne banke za poslovne uporabnike tudi uporabljajo komponente za podpisovanje, enako je z varnimi elektronskimi predali.
techfreak :) ::
Tako da je IMO popolnoma vseeno če namesto tega podpis v mojem imenu napravi server s svojim privatnim ključem. Strežnik itak najprej verificira mene z mojim certifikatom in vzpostavi zavarovano TLS sejo. Zatem lahko komot vzame vsebino, jo podpiše s svojim ključem (certifikat je pač edavki1.durs.si namesto SIGEN-CA Mavrik), v podpisano vsebino pa doda potrdilo da me je avtenticiral z mojim SIGEN-CA ključem (lah je tud hash in drugi podatki). S stališča zaupanja je to popolnoma identično - še vedno jaz moram državi zaupati da podpisuje to kar jaz vidim na ekranu, ampak tokrat ne rabim ene crappy komponente. Zatem mi pač pusti prenesti podpisan dokument da ga imam kot arhiv/dokaz/karkoli. Podpis zagotovi integriteto, avtentikacija pa je bila narejena že na nivoju TLSja.V primeru da imas pri sebi komponento, ki ji ne zaupas in ne ves kaj dela, je to res.
Idealno bi bilo da bi lahko sam opravil podpisovanje s poljubnim orodjem (npr. openssl), na streznik pa poleg datoteke nalozil tudi ta podpis. Kako to zapakirati v dobro uporabnisko izkusnjo je pa drugo vprasanje.
MKrmec ::
Se isti dan sm jim napisal email "kaj se grejo ce so normalni, da priporocajo starejse brskalnike polne lukenj svojim strankam" in so mi nazaj napisal:
"Hvala za odziv in mnenje v zvezi z uporabo spletne televizije D3go. Razumemo vaše stališče glede uporabe. Radi bi poudarili, da je sprememba potrebna zaradi izboljšanja uporabniške izkušnje. V kolikor bo v prihodnje prišlo do spremembe, ki jo želite, vas bomo o tem seveda pravočasno obvestili."
Zajebavajo se idioti...
"Hvala za odziv in mnenje v zvezi z uporabo spletne televizije D3go. Razumemo vaše stališče glede uporabe. Radi bi poudarili, da je sprememba potrebna zaradi izboljšanja uporabniške izkušnje. V kolikor bo v prihodnje prišlo do spremembe, ki jo želite, vas bomo o tem seveda pravočasno obvestili."
Zajebavajo se idioti...
MrStein ::
Zato se tudi ne da podpisovat na serverju. Kako ti to lahko sploh na misel pade?!?! Zarad takih kot ti mamo v drzavni upravi tudi sisteme, ki kar na serverju hranijo privatni kljuc uporabnika in z njim podpisujejo.
No, "na serverju hraniti privatni kljuc uporabnika" je prihodnost.
Mavrikovo (zadnje) razmišljanje pa je tudi "končno malo zdrave pameti" pri zadevi. Vprašanje pa je glede dejanske prakse, ala "dokument ni digitalno podpisan s strani osebe" ipd...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
perci ::
Da morda jaz razložim kaj mislim s podpisovanjem na strežniku:
Trenutno se podpisovanje dogaja na mojem računalniku z mojim privatnim ključem. To podpisovanje dela neka zaprtokodna komponenta ki mi jo porine država in vsebine, ki se podpisuje dejansko nikoli ne vidim (vsebina obrazca se najprej prepošlje preko POST pa še kaj, ne spomnim se podrobnosti). Prisiljen sem zaupati državi, da je podpisna komponenta kompetentno napisana, počne to kar pravijo da počne in da bo dejansko podpisala tisto kar vidim v brskalniku. Te komponente ne morem zamenjati.
Tako da je IMO popolnoma vseeno če namesto tega podpis v mojem imenu napravi server s svojim privatnim ključem. Strežnik itak najprej verificira mene z mojim certifikatom in vzpostavi zavarovano TLS sejo. Zatem lahko komot vzame vsebino, jo podpiše s svojim ključem (certifikat je pač edavki1.durs.si namesto SIGEN-CA Mavrik), v podpisano vsebino pa doda potrdilo da me je avtenticiral z mojim SIGEN-CA ključem (lah je tud hash in drugi podatki). S stališča zaupanja je to popolnoma identično - še vedno jaz moram državi zaupati da podpisuje to kar jaz vidim na ekranu, ampak tokrat ne rabim ene crappy komponente. Zatem mi pač pusti prenesti podpisan dokument da ga imam kot arhiv/dokaz/karkoli. Podpis zagotovi integriteto, avtentikacija pa je bila narejena že na nivoju TLSja.
--
Seveda idealneje bi bilo če bi uporabljali enega od standardov za podpisovanje (recimo XML ima vsaj enega) in bi lahko sam poljubno pri sebi izbiral implementacijo, oz. po možnosti bi bilo še boljše če bi se WebCrypto počasi standardiziral. Na žalost pa ta pristop ne zgleda da bo realističen kaj hitro.
Sej točno to zdej pripravlja MJU - zadevi so poimenovali SICES - https://nio.gov.si/nio/asset/centralni+...
PrimozR ::
techfreak :) ::
@MrStein, @perci: sicer razumem, da je taksna resitev za veliko vecino uporabnikov bolj varna, kot pa hranjenje zasebnih kljucev na njihovih napravah, se vseeno pa mi ni vsec, da bi moral tretji osebi dopustiti dostop do teh kljucev. Nisem sicer na tekocem kako je glede pridobitve oz. prevzema digitalnega potrdila, ampak imam obcutek da se tudi tukaj zasebni kljuc (sploh pri uporabi pametnih kartic) generira pri samem ponudniku, in torej ne na uporabnikovi napravi.
@PrimozR: boljsa izkusnja je ce ga ne updejtas, ker lahko tako spremljas D3GO oz. podpisujes dokumente za FURS.
@PrimozR: boljsa izkusnja je ce ga ne updejtas, ker lahko tako spremljas D3GO oz. podpisujes dokumente za FURS.
LeQuack ::
Zakaj ni v EU nobenega deljenja tehnologije zakaj mora vsaka država nekaj po svoje delati?
Quack !
PrimozR ::
techfreak :) je izjavil:
@PrimozR: boljsa izkusnja je ce ga ne updejtas, ker lahko tako spremljas D3GO oz. podpisujes dokumente za FURS.
Saj vem, sarkazem pa to ;)
Zgodovina sprememb…
- spremenil: PrimozR ()
MrStein ::
Sej točno to zdej pripravlja MJU - zadevi so poimenovali SICES - https://nio.gov.si/nio/asset/centralni+...
Mavrik govori o tem, da bi podpisal "urad" s svojim ključem (strežnikovim).
SiCES* pa (bo) podpisoval z uporabnikovim ključem.
* - eh, kateri način zapisa je "pravi" ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
perci ::
Sej točno to zdej pripravlja MJU - zadevi so poimenovali SICES - https://nio.gov.si/nio/asset/centralni+...
Mavrik govori o tem, da bi podpisal "urad" s svojim ključem (strežnikovim).
SiCES* pa (bo) podpisoval z uporabnikovim ključem.
* - eh, kateri način zapisa je "pravi" ?
Ja, imaš prav - sem po diagonali bral. Ampak efekt je isti. Dostopa do privatnega ključa nimaš ti kot uporabnik ampak nekdo drug. Kar pomeni, da gre za vprašanje zaupanja in nič drugega. Je pa res, da bi bilo potrebno "rahlo" spremeniti zakonodajo. ZUP in ZEPEP.
mojca ::
Trenutno se podpisovanje dogaja na mojem računalniku z mojim privatnim ključem. To podpisovanje dela neka zaprtokodna komponenta ki mi jo porine država in vsebine, ki se podpisuje dejansko nikoli ne vidim. Prisiljen sem zaupati državi, da je podpisna komponenta kompetentno napisana, počne to kar pravijo da počne in da bo dejansko podpisala tisto kar vidim v brskalniku. Te komponente ne morem zamenjati.
Ja, vse to je problem, ampak ...
Tako da je IMO popolnoma vseeno če namesto tega podpis v mojem imenu napravi server s svojim privatnim ključem. Strežnik itak najprej verificira mene z mojim certifikatom in vzpostavi zavarovano TLS sejo.
Ni. Država se lahko v nekem momentu spomni in iz svojega arhiva potegne lažen dokument, v katerem si ti spisal oporoko, da vse svoje premoženje zapuščaš državi. Dokument je podpisan, pristanete na sodišču. Kako lahko dokažeš, da tega dokumenta nisi oddal ti? Seveda ti država podoben zate neugoden dokument lahko kadarkoli podtakne tudi v trenutnem scenariju, je pa vseeno manj ugodno, kot če lahko oseba X kadarkoli podkupi admina, da podpiše praktično kakršenkoli dokument v imenu kogarkoli. In če odmislimo zlobno državo, je čisto dovolj, da se hekerji dokopljejo do strežniškega certifikata in v tvojem imenu podpišejo, da želiš, da se del tvoje dohodnine nakaže temuintemu društvu ipd.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Bliža se konec za FlashOddelek: Novice / Brskalniki | 11649 (8018) | jype |
» | FURS in Telemach priporočata uporabo starih luknjičastih brskalnikov (strani: 1 2 )Oddelek: Novice / Brskalniki | 39047 (33197) | mojca |
» | Telemach v masovni pošti svetuje izklop posodabljaja FirefoxaOddelek: Loža | 3202 (1988) | dope1337 |
» | Firefox 42 končno 64-biten tudi za WindowsOddelek: Novice / Brskalniki | 14289 (11116) | Qushaak |
» | Firefox bo nehal podpirati vtičnike NPAPI razen FlashaOddelek: Novice / Brskalniki | 26999 (24285) | Qushaak |