[LUGOS] Re: firefox edavki game over
Andraz Tori
Andraz.tori1 at guest.arnes.si
Mon Apr 10 00:55:07 CEST 2006
On pon, 2006-04-10 at 00:17 +0200, Matej Spiller-Muys wrote:
> > ... tule se že zatakne... torej, četudi si na https:// in torej bi moral
> > biti zdaj že v 'varnem' območju. Ima man-in-the-middle napadalec
> > možnost, da ko ti hočeš na sunov page (ker želiš namestit Javo), ti
> > servira svoj EXE, ki ga boš seveda namestil, ker hočeš uporabljat
> > e-davke!
> To pomeni da bi mogli isto narediti za IE. Sem probal pretocit latest IE pa
> nisem nasel SSL linka.
> Celo windows update ne laufa pod HTTPS. A lahko rece drzava tudi MSju? Da
> nej postavi ze enkrat SSL za
> windowsupdate. Pa Mozilli tudi. Recimo MSXML ni podpisan (vsaj ni bil par
> verzij nazaj) pa se tudi uporablja v IEju.
Se strinjam. Moj scenarij je preprost. Če imam delujoč računalnik, z
delujočim brskalnikom, ki sem ga do sedaj varno nameščal (npr.
distributor operacijskega sistema je podpisal vse softwarske pakete),
potem pričakujem od države (in kateregakoli drugega s katerim želim
e-poslovati) zgolj to, da me e-poslovanje z njim ne bo izpostavilo NOVIM
rizikom.
... to pa za rešitev e-davki ne drži. Kot sem pokazal e-davki človeka
izpostavijo kar veliko rizikom. Če bi bili implementirani 'bolj
primitivno' bi bilo teh rizikov veliko manj.
Torej rešitev je hkrati zapletenejša in hkrati riskantejša. To je tisto
kar se mi nekako ne zdi v redu.
> > Funny thing je, da bi lahko tam bili https:// linki pa niso... še bolje
> > bi bilo, da bi se dejansko dogovorili s sunom, da bi lahko sami
> > servirali ustrezne datoteke in tako uporanbiku ne bi bilo treba
> > zapuščati drusovih strani.
> Sam zakaj potem ne bi se OS. Pa vse driverje, ker lahko recimo spremenijo
> sliko predno se izrise.
Predpostavka je, da ima človek, ko hoče uporabljat e-davke čist
računalnik, saj je za vsako stvar pred tem seveda odgovoren uproabnik.
Tisto kar e-davki storijo je uporabnika _prisilijo_ v nevarnost. To se
mi zdi sporno.
> Se zadevam na kaksne stvari opozarjas. Ampak kriviti samo eDavke za taksne
> tezave je nesmiselno.
Ja banko težko krivim, ker mi teh problemov ne dela, temveč mirno
posluje z mano brez nameščanja novega (rizičnega) softwara...
> To je bolj globalni problem. Vsaj dokler ne pride evil evil evil DRM v OS.
> Pol pa taksnih problemov ne bo.
> No pa tut nasih pravic vec ne bo vec toliko. Ampak bo pa varno, a ne?
Problem varnosti je globalen, problem tega, da me pa lastna država sili
v dodatno nevarnost je pa njen.
Varna rešitev, ki ne bi zahtevala odpovedovanja svojim pravicam, bi bil
eksterni display + gumb.
Prav tako bi lahko država, v kolikor bi se kaj brigala za svoboščine
svojih državljanov zakonsko uveljavila pravico do "user overrides"...
Na žalost verjetno oba slutiva, da bo v manj kot desetletju zaradi
TC/DRM e-poslovanje iz Linuxa s komerkoli nemogoče.
> > Prav tako mislim, da tehnična navodila kot so ta, sploh ne bi smela biti
> > prisotna na http:// ... saj uporabnik zaupa navodilom, ki jih je našel
> > na spletni strani edavkov, pa jim sploh ne bi smel, ker so lahko tudi ta
> > plod sofisticiranega man-in-the-middle napada.
> Sama stran je dostopna tudi preko https:// ne vem pa kaksen je link na
> navodila, ko si enkrat logiran notri.
> Tako da lahko zaupas, ce ne drugemu tistim hash-em.
ko si notri so navodila na https in tudi .so na https.. a link na javo
je še vedno navaden.
Če si na http seveda tudi tistim hashem ne moreš zaupat, ker so lahko
podtaknjeni...
> > Še več... celi e-davki bi moral biti zgolj in samo na httpsju, z vsemi
> > navodili skupaj.
> Se strinjam. Samo ce bi to veljajo za eDavke bi moglo isto veljati za vse
> vladne vsebine na
> spletu. Zakone, sporocila za jasnost, itd itd ... Ok, politicnih strankah ne
> bi blo treba,
> k itak bl lazejo kokr ne ;)
Da, za vse uradne vsebine.
Drugače imam pa z državno upravo hujši problem - ena od institucij je
brez kakršnegakoli zapisa zamenjala že objavljeno datoteko. Vsebino neke
raziskave je, po tem, ko sem v njej našel hude metodološke napake,
popravila za nazaj !
Torej način kako država trenutno objavlja dokumente na internetu ji
omogoča popolno zatajljivost.
čao
andraž
More information about the lugos-list
mailing list