Vlákno názorů k článku Správa základních registrů nedbá základních bezpečnostních pouček od rr - Výchozí stav na kartách naštěstí neumožňuje export privátního...

Netvrdím, že je XSS schopno samo o sobě jakékoliv cetifikáty vykrást z počítače uživatele. Rozhodně však umožňuje jejich získání s výpomocí uživatele, na kterého je útočeno.

Pokud by se jednalo o "certifikát v souboru", zde zřejmě není co řešit, protože je jeho získání skrz XSS velice snadné (jednoduchý přihlašovací formurmulář). Pokud se jedná o nainstalované certifikáty, pak už by to bylo skutečně o mnoho složitější, ale i tak by to mohlo jít. Představte si situaci, kdy se skrz certifikát pokusíte přihlásit k aplikaci a ta na vás (díky XSS) začne řvát, že je nějaký problém s certifikátem a ať se tedy autentizujete pomocí jeho privátní části, kterou vložíte do formuláře. Vedle může být klidně i nápověda, jak klíče vyexportovat z úložiště. Pokud uživatel narazí na podobnou hlášku na důvěryhodné doméně, pak je opravdu schopen svou privátní část uploadovat.

Pochopitelně záleží na jeho uživatelských právech a dalších okolnostech, o kterých se zmiňoval pan Trnka. Rozhodně bych ovšem možnost získání certifikátů skrz XSS nepovažoval za nereálnou.

To me vic vadi jejich diletantsky navod na odklinuti neduveryhodneho certifikatu. At si stat klidne zavadi vlastni CA, ale pak at vyda jeji fingerprint ve sbirce zakonu a zajisti, ze certifikaty budou mit urednici v pocitacich.

Uznávám, že jsem se nevyjádřil dostatečně přesně: Přístupový certifikát (tzn. podepsaný veřejný klíč) se teoreticky může uživateli někde povalovat a méně podezíravý uživatel ho tudíž klidně nahraje kamkoli. Jak již název napovídá, jeho získání nikomu nijak nepomůže, protože je už sám o sobě v principu veřejný (viz například běžně používané seznamy databáze veřejných klíčů na bázi LDAP pro X.509 PKI nebo PGP keyservery).

Útočníka by zajímal privátní klíč, jenže 99 % uživatelů systému vůbec netuší, co to je, natož jak ho z příslušného úložiště vyexportovat (s trochou štěstí k tomu vůbec nemají lokální práva, či je dokonce uložen na kartě - detaily implementace neznám). Zbylé 1 % sice export privátního klíče zvládne, ale buďto nebude tento dosti netriviální proces podstupovat bez pádného důvodu, nebo chápe význam slova "privátní" a spustí poplach.

Pro uzivatele cipove karty a nebo treba i standarniho windows uloziste certifikatu bude celkem makacka ten certfiikat (resp. samozrejme spise jeho privatni klic) poslat. Ale nevim jak je to udelane, nicmene po zkusenostech s datovymi schrankami to prece jen takove diletantsvi jako prevadi CSOB s prihlasovanim kvalifikovanym certifikatem nebude.

Vážený pane redaktore, než příště budete na Lupě odkazovat nějaký blábol* z oblasti bezpečnosti, něco si o dané problematice nastudujte, ať můžete sám dané dílo kriticky posoudit.

Cesta "security through obscurity" nikdy nevedla k ničemu dobrému a to platí i pro ISZR. Bezpečnostní zranitelnosti (XSS, upload souborů) zmíněné v odkazovaném článku jsou to zajímavé, na co jste měl upozornit místo bezpečnostně zcela irelevantní dokumentace architektury.

Navíc dle mého skromného názoru u systému jako ISZR, tedy centrálního úložiště určeného pro široké spektrum aplikací napříč státní správou, je co nejlepší dostupnost detailní dokumentace pro dobro věci; otevřenost je to, co naší elektronizaci státní správy hodně chybí.

* O úrovni odkazovaného článku svědčí i domněnka autora, že se pomocí XSS dají ukrást klientské přístupové certifikáty.