Názory k článku ePortál ČSSZ ukáže data z důchodového účtu, ale jen držitelům datových schránek
-
Pavel3 (neregistrovaný)
Zkusil jsem se přihlásit jako pověřená osoba (administrátor) schránky PO a výsledek je očekávaný - nepustí mě to nikam. Já myslím, že pověřené osoby jsou při svém zakládání méně přísně kontrolovány a ověřovány, tedy že nejsou z hlediska autentizace rovnocenné oprávněným osobám. Proto takové omezení.
-
Omlouvám se za použití přesného výrazu, ale mě prostě vždycky málem jebne, když čtu články pana Peterky o tom, jak nám funguje IT ve státní správě. To je něco tak příšerného, tak amatérského, tak nedomyšleného a nedodělaného, tak sto-let-za-opicemi, tak nepoužitelného, že si neustále říkám, jestli mám tohle zapotřebí platit ze svých daní.
Proč dopr..le neexistuje zpětná vazba, že by si někdo zodpovědný, když už to neumí analyzovat dopředu, aspoň přečetl tenhle a jemu podobné články, zastyděl se a celé to spravil? Jo aha, protože u nás není nikdo za nic vlastně zodpovědný...
Celá sociálka je kompletně zdigitalizovaná, tak proč probohy trvá sečíst pár čísel 90 dní? To si z nás jako dělají prdel? Požádat online a pak čekat 3 měsíce na výsledek??
Mám z toho srdeční arytmii, musím si dát štamprli a vydýchat to...
-
Opravdu je na tom státní správa tak špatně, že si nemůže dovolit důvěryhodný certifikát? Dají se sehnat i zadarmo. https://www.startssl.com/
-
„Prohlížeče neznají?“ Tady byla řeč o důvěryhodném certifikátu, což je přesný opak „nějak se mi to samo objevilo v prohlížeči“. Navíc bych řekl, že ten certifikát „prohlížeče znají“, protože je myslím mezi certifikáty, které distribuuje Microsoft s Windows. Když chcete komunikovat elektronicky se státní správou, stejně proti tomuhle certifikátu budete něco ověřovat každou chvíli.
-
P2010 (neregistrovaný)
Jenze certificate store Windows nevyuzivaji vsechny prohlizece a aktualizace root CA patri mezi volitelne Windows Update, ktere je treba vybrat rucne (nemluve o tom ze ne kazdy to povazuje za bezpecne).
Web datovych schranek je dukazem, ze cela tahle umela CA je zcela zbytecna.
-
Jak souvisí horší/lepší s důvěryhodností? Jinak s tímhle přístupem je vůbec nejlepší HTTP, protože tam nebude prohlížeč „otravovat“ s certifikátem zaručeně.
Mimochodem, to že prohlížeč nutí uživatele odsouhlasit certifikát, místo aby s webem s neověřeným certifikátem zacházel jako s obyčejným HTTP, je dost velká chyba prohlížečů. A ukazuje to, že skutečná bezpečnost na webu zajímá málokoho, protože opravit tuhle chybu by bylo snadné a příspěvek k bezpečnosti HTTPS by to byl větší, než všechny „vynálezy“ s certifikáty v prohlížečích za posledních několik let. (Pravda, to není zas tak těžké, když většina těch „vylepšení“ mělo na bezpečnost záporný dopad.)
-
P2010 (neregistrovaný)
Mimochodem, to že prohlížeč nutí uživatele odsouhlasit certifikát, místo aby s webem s neověřeným certifikátem zacházel jako s obyčejným HTTP, je dost velká chyba prohlížečů.
Protoze u zabezpeceneho webu na tom obycejnem HTTP portu 80 obvykle zadna sluzba nebezi. Takze jaksi neni s cim zachazet ...
-
Seti (neregistrovaný)
"Mimochodem, to že prohlížeč nutí uživatele odsouhlasit certifikát, místo aby s webem s neověřeným certifikátem zacházel jako s obyčejným HTTP..."
To si děláte srandu? Takže když někdo nabídne pro HTTPS certifikát, který není podepsaný důvěryhodnou CA, tak má být jako prohlížeč potichu, uživatele NEupozornit, a nechat ho zadat údaje a odeslat je bůhvíkam?
-
Ano, má se chovat úplně stejně, jako se chová u obyčejného HTTP. Není v tom totiž žádný rozdíl. Stejně si uživatel – pokud chce komunikovat přes HTTPS – musí stav HTTPS pořád kontrolovat, takže pro uživatele by se to jen začalo chovat konzistentně.
Druhá věc je, že tu kontrolu, zda používá HTTPS, kterou dnes uživatel musí dělat sám, by měl dělat prohlížeč sám (a už v základu, bez potřeby pluginů). Tj. uživatel by si zapnul, že od této chvíle chce v dané kartě používat jen HTTPS. Případně by se tento režim automaticky zapnul při ručním zadání adresy s protokolem https:// nebo při použití https:// odkazu ze záložek.
-
Ano, a dokonce by to bylo lepší než současný stav, protože by to webům umožnilo používat TLS bez placení výpalného v případě, že nepotřebují prokazovat identitu druhé strany. Ostatně by v tom nebyl žádný rozdíl na úrovni DV certifikátů, které o identitě druhé strany vlastně nic neříkají.
P.S.: V návrzích na HTTP 2 se dokonce toto již takto diskutuje.
-
Nepsal jsme o žádném konkrétním typu certifikátů. Dokonce to, o čem jsem psal, se nevztahuje jen na certifikáty. Psal jsem, že o tom, zda chce zabezpečený nebo nezabezpečený přístup, má rozhodovat uživatel. Když zvolí zabezpečený, má mu prohlížeč umožnit zkontrolovat konkrétní parametry (DNSSEC, konkrétní certifikát, certifikační autorita, DANE, verze SSL/TLS, kód třetích stran…) a postarat se o to, aby se během další práce úroveň bezpečnosti bez uživatelova souhlasu nesnížila. Pokud uživatel bezpečnost nepožaduje, nemá prohlížeč otravovat s nějakými certifikáty a už vůbec nemá nutit uživatele certifikát instalovat (což výrazně snižuje bezpečnost pro ten první případ, kdy uživatel bezpečné spojení vyžaduje).
Prostě když nevyžaduju bezpečné spojení, nezáleží na tom, zda jsem na http://www.lupa.cz, https://www.lupa.cz nebo třeba ftp://www.lupa.cz, a v druhém případě mne nezajímají certifikáty. V adresním řádku se má zobrazovat www.lupa.cz, a to je vše – přesně tak, jak je to dnes při přístupu přes HTTP. Nanejvýš pokud jsem na https://www.lupa.cz a certifikát se bez dotazování uživatele podařilo ověřit, může se prohlížeč rovnou sám přepnout do bezpečného režimu a zobrazit https://www.lupa.cz se zeleným něčím, jako to u ověřených certifikátů dělá dnes.
-
Právě jsem to vyzkoušel svojí datovou schránkou fyzické osoby, a po úspěšném přihlášení do DS a přesměrování ... výsledek je stejný, chyba autentizace a lakonický odkaz na homepage:
"Chyba autentizace Přihlášení se nezdařilo. Při přihlašování se vyskytly problémy.
Přejít na ePortál ČSSZ.
Přejít na stránky České správy sociálního zabezpečení."Teda že tam mají bordel, to jsem si zvykl, ale že tam mají anonymní, arogantní bordel, vedoucí do slepé uličky, to mne vždycky rozpálí do běla, přestože už bych si ve svém věku taky mohl zvyknout.
-
Nones (neregistrovaný)
Jaká je vlastně oficiální elektronická identita, podporovaná státem? Mohu mít elektronickou identitu založenou na certifikátu vydaném akreditovanou certifikační autoritou, mohu mít elektronickou identitu v čipu občanky, mohu mít svou datovou schránku (míněno na svou fyzickou osobu) - co ještě dál? A co vlastně stát považuje za mojí důvěryhodnou elektronickou identitu? Problém je, že nic z toho nemají všichni a zatím se nikdo nepokusil o to, aby tomu bylo jinak. Dokud to tak nebude, můžeme si o funkčních elektronických službách státní správy nechat jenom zdát.
-
Tomik (neregistrovaný)
, ale pokud potřebujete „Informativní osobní list důchodového pojištění“, je možné ho získat žádostí podanou podepsaným e-mailem na příslušnou podatelnu ČSSZ. Výpis pak obdržíte Českou Poštou, na papíře, podepsaný a orazítkovaný příslušnou úředníci, což mi přijde vzhledem k době, po kterou chcete tento dokument uchovávat jako lepší varianta, než nutnost každý rok přerazítkovávat binární šrot, nebo běhat na Czechpoint a platit jim kredity za A4. ...
-
To, že vy něco neznáte, nedokazuje vůbec nic. Jinak pro vaši informaci, ty plastové kotoučky vydrží mnohem déle, než papír. Jenže ono nejde o médium, nýbrž o ten záznam na něm. Dnešní spotřební laserový tisk nebo i inkousty nejsou co se týče trvanlivosti žádná sláva. Na druhé straně naopak existují média pro dlouhodobou archivaci. No a pokud stále trváte na papíře jak ona tom nejlepším médiu, nic vám nebrání ta digitální data ve vhodném kódování vytisknout na papír.
-
Seti (neregistrovaný)
Když si je vytisknete sám, nemají žádnou právní platnost. Na to potřebujete zajít na CzechPoint a zaplatit výpalné i za prázdné stránky. Nebýt tohoto výpalného, nebyl by počítám žádný problém. Kdo potřebuje, nechal by si dokumenty zdarma vytisknout, a všichni by byli spokojení.
-
Když si je vytisknu sám ve vhodném kódování (třeba base64), je to pořád ten samý digitální dokument s elektronickým podpisem. Můžu ho kdykoli naskenovat, prohnat přes OCR a dostanu zase elektronický dokument s tou samou posloupností bitů. Ověřím na něm podpis, a když bude sedět, vím, že při tisku a skenování nenastala žádná chyba.
Nemyslím si, že by tenhle postup (až na naprosto okrajové případy) dával nějaký smysl, psal jsem to jen jako příklad, jak může x uchovávat digitální dokumenty na papíru, když je to pro něj tak úžasné médium.
-
Blue Crab (neregistrovaný)
Když už jsme u této webové aplikace, její kostrbaté logiky i dalších právně nelogických "vymožeností", o kterých se zde píše, vyskytuje se v ní i několik funkcí navíc. Jednou z nich je reflektovaný cross-site scripting útok, a to hned jedna z nejtrapnějších podob, kterou si lze představit - v poli pro vyhledávání :)
Jó, kluci, když má někdo dvě verze uživatelského rozhraní, musí se, holt, starat o obě a nesanitovat jenom v jedné!
Na dalších problémech se pracuje, budou následovat. Zájemci si mohou stáhnout video pro QuickTime zde: http://www.uschovna.cz/zasilka/QIS3DUI95KT5VS56-KNL, pro opatrnější ještě separátní číslo zásilky "QIS3DUI95KT5VS56-KNL" a SHA265 hash souboru "b4d5dd6cb905c0bf9256037dbf4edf307c29d77d06ba93d08da3dff4428c6027" (samozřejmě bez uvozovek). Připomínám, že je to první aplikace státní správy, která používá nové přístupové rozhraní ISDS založené na poslední novele zákona 300/2008 Sb. a že k tomu mj. existuje věstník MV, který definuje podmínky pro provozovatele takové aplikace (a také právo jejich plnění ze strany MV kontrolovat, což jak vidět někdo jistě učinil). Když jde s těmito chybami ven pokus první (kde by člověk čekal, že si to pohlídají), jak asi budou vypadat pokusy další, až to zapadne do rutiny? Takže tam zatím raději moc nelozte a nebo změňte defaultní nastavení (máte-li ho kdo ještě) svého prohlížeče (právě na defaultu poslední verze Google Chrome je to nasnímáno). -
Blue Crab (neregistrovaný)
Je mně potěšením konstatovat, že eportal.cssz.cz už místo cizích skriptů, které dosud ochotně spouštěl, vrací agnostickou hlášku "Hledaný výraz nenalezen". Pánové z důchoďáku si zřejmě vstoupili do svědomí. Bohužel to není jediný bezpečnostní kiks, který se tam vyskytuje. Tak si říkám, že pár dnů jim ještě dám a pak začnu postupně publikovat... Třeba je to naučí, jak se mají chovat k bezpečnosti webové aplikace, obzvláště pokud sdílí identity.
ČLÁNKY DO MAILU