IT

Vaša komunikacija nije bezbedna vol 2.0

uros_vozdovac RSS / 24.11.2016. u 12:52
UPDATE: na dnu teksta - važno! nastavak priče odavde
Kako je dragi kolega Šabić u svom blogu jasno napomenuo - problem sa eUprava portalom je svojevremeno bio kako je u linku opisano, i prosto vapi za rešenjem, u pitanju je ipak servis od javnog značaja koji osim baratanja sa podacima koji svakako zaslužuju zaštitu, da stvar bude još gora - bavi se novčanim transakcijama. I nije da nije urodilo plodom - stvar je danas dramatično drugačija od one opisane u blogu.
Za početak da se odbavimo malo genezom, nije da u samom početku nije bilo sertifikata na sajtu, ukoliko se korisnik odluči da uredno ukuca https - dobio bi konekciju, doduše sa lošim sertifikatom i na to bi ga rođeni pregledač upozorio, vrištao bi. Doduše to nije toliko pitanje za administratore eUprave, više je pitanje za nadležne iz firme Pošta CA , kako su oni dozvolili da njih rođeni sertifikat nije prepoznat, iako je po svemu sudeći korektno implementiran. Znam, znam, draga Pošta CA, znam da je muka, i da ume da košta i sve to stoji, ali ukoliko ne želiš da se baviš tim poslom - nemoj ga preuzimati...
Pošta CA uzgred pati i od još jednog problema, a on glasi tačno ovako: koristi SHA1 sertifikat koji je izbačen iz upotrebe već davne 2015. godine, i eto otud - još veći problem nego što jeste.
Izgleda da je pisanje kolege Šabića urodilo plodom, kao i gomila napisa na internetu o stanju koje je nedopustivo - oglase su se kolege iz Netokracije, i prenele razgovor sa izvesnim Dušanom Stojanovićem, direktorom portala eUprava. Iz tog razgovora smo saznali da je:
"
da je izdata naredba o direktnoj nabavci novog sertifikata i njegovoj momentalnoj implementaciji u cilju dodatnog osiguravanja podataka na relaciji korisnika (građana Srbije) i samog portala.
"
Državna uprava ne bi bila državna uprava da se naređenja direktora ne poštuju, a kako mi građani imamo internet i pristup portalu, gotovo odmah smo ustanovili sledeće:
1. neispravni sertifikat Pošta CA je sa sajta nestao
2. Nestao je bilo kakav sertifikat
3. u adress bar se umesto http pojavlje www.
Dakle posledica je ukidanje kakvog takvog sertifikata - ceo portal je ostao na plain http protokolu, što je nezapamćena sigurnosna rupčaga, zaslužna da je zapamtimo, i spominjemo kao lovačku priču loše prakse. Kako implementirati https i đe ba zapelo...
Sam sertifikat ne predstavlja naročiti problem, implementacija je rutinska, svodi se na nekoliko redova u Terminalu i prosečan system administrator to rutinski rešava. Sertifikata ima plaćenih i besplatnih, mada nikad besplatni ne bih savetovao za državni servis, ima primera da rade dobro godinama, i to nije neka naročita muka. Kod plaćenih ima nekoliko kompanija od poverenja, na primer:  VeriSign, Thawte, GeoTrust, Comodo...
Sve u svemu - ne čini mi se da nije problem u plaćanja za sertifikat, više mi se čini da je javašluk u pitanju što je takođe nedopustivo.
Za sam kraj - jedan zabavan link, doprinos zajednice. Kolega Ivan Marković je napravio monitor koji prati stanje sertifikata javnih web servisa Srbije i nalazi se upravo >>>ovde<<<
 
upravo sam očistio cashe browsera, poteran Ivanovim monitorom, i eUprava je sinoć implementirala Comodo sertifikat, a ja to nisam pokupio usput, otud ovaj screen odozgo. Izgleda da je, ipak, sve u redu, trenutno, ali pratimo stanje. Suštinski tekst stoji, pogotovo imajući u vidu protok vremena potrebnog za implementaciju sertifikata, a najpre na ideju da se servis pusti sa lošim sertifikatom. Hvala kolegama iz eUprava, a monitor je tu da vrišti kad treba :)

 

Atačmenti

Tagovi



Komentari (21)

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

predatortz predatortz 13:03 24.11.2016

Sreća u nesreći

Pa da se bitne životne stvari, a vezane za kupoprodaju imovine, nasleđa, deobe..., rešavaju na starinski način - plajvazom i ličnim prisustvom onoga na koga se pravna stvar odnosi, ili prisustvom njegovog zastupnika.

Inače, kakva su nam sertifikaciona tela, malo ko bi živeo u svom stanu ili vozio svoj automobil.
maksa83 maksa83 13:05 24.11.2016

alal vera

Za sam kraj - jedan zabavan link, doprinos zajednice. Kolega Ivan Marković je napravio monitor koji prati stanje sertifikata javnih web servisa Srbije i nalazi se upravo >>>ovde<<<

Alal vera Ivanu.

Rezultat je urnebesan i katastrofalan - u crvenom su između ostalih i ratel i direkcija za elektronsku upravu...

Božžžeekakvipajaci.
uros_vozdovac uros_vozdovac 13:07 24.11.2016

update

u tekstu nakon fotografije
...

Dont Fear The Reaper Dont Fear The Reaper 16:19 24.11.2016

Re: update

uros_vozdovac
u tekstu nakon fotografije
...



DakleM ceo tekst je "Ju, nema nikakvog sertfikata", a onda na dnu -"Ju, ja pogrešio, ima sertifikata" ☻ Ako već pišeeš o brljotini koju neko pravi na Webu, red je da ne brljaš i sam ;> A kada već brljaš, e onda makar neka pravila za notifikaciju o Updejtima (nisu baš opšta, ali nisu ni hrdjava):

Dodaš gore izvode iz Updejta, pa onda dole ceo. Npr. ovako treba na vrhu - sa sve bojom da se uoči


uros_vozdovac uros_vozdovac 17:24 24.11.2016

Re: update

Dont Fear The Reaper
uros_vozdovac
u tekstu nakon fotografije
...



DakleM ceo tekst je "Ju, nema nikakvog sertfikata", a onda na dnu -"Ju, ja pogrešio, ima sertifikata" ☻ Ako već pišeeš o brljotini koju neko pravi na Webu, red je da ne brljaš i sam ;> A kada već brljaš, e onda makar neka pravila za notifikaciju o Updejtima (nisu baš opšta, ali nisu ni hrdjava):

Dodaš gore izvode iz Updejta, pa onda dole ceo. Npr. ovako treba na vrhu - sa sve bojom da se uoči



ah, ukoliko je potrebno da čistim keš browsera, onda si ti u pravu, ali ti garantujem da postoji način i da ovde nije primenjen.
a_jovicic a_jovicic 08:43 25.11.2016

Re: update

uros_vozdovac
Dont Fear The Reaper
uros_vozdovac
u tekstu nakon fotografije
...



DakleM ceo tekst je "Ju, nema nikakvog sertfikata", a onda na dnu -"Ju, ja pogrešio, ima sertifikata" ☻ Ako već pišeeš o brljotini koju neko pravi na Webu, red je da ne brljaš i sam ;> A kada već brljaš, e onda makar neka pravila za notifikaciju o Updejtima (nisu baš opšta, ali nisu ni hrdjava):

Dodaš gore izvode iz Updejta, pa onda dole ceo. Npr. ovako treba na vrhu - sa sve bojom da se uoči



ah, ukoliko je potrebno da čistim keš browsera, onda si ti u pravu, ali ti garantujem da postoji način i da ovde nije primenjen.


Čistio ili ne ... i dalje imaju jednu bitnu brljotinu ... ne rade automatsku redirekciju sa http na https ... a to ama baš uopšte nema veze sa kešom. Nadam se da administratori eUprave prate ovaj blog ... hint ... uradite redirekciju na nivou load-balansera (ako ga uopšte koristite) ili web servera.

Dont Fear The Reaper Dont Fear The Reaper 09:39 25.11.2016

Re: update

ah, ukoliko je potrebno da čistim keš browsera, onda si ti u pravu, ali ti garantujem da postoji način i da ovde nije primenjen.


Mašiš fokus podjebavanja A on je na onoj jednoj "VAŽNO! Update na dnu".

A obaška mi tim mašenjem kvariš i samo podjebavanje, sada moram da ga objašnjavam, a čim ima objašnjavanja, ne mere da ima podjebavanja ☻

Elem, ja sam video to VAŽNO, otišao do dna, pročitao samo to VAŽNO ;> i dalje nisam ni hteo da skrolujem na "Početak". Znam, znam, mnogo potresno ;>, ali zato ti rekoh - zajebeš se, ili se i bez zajeba pojave Nove Činjenice, daj i neku lepu - i korisnu ;> notifikaciju o Updejtu.

No, kako rekoh, Hic Objašnjavanje - NonHic Zajebavanje
maksa83 maksa83 09:48 25.11.2016

Re: update

Elem, ja sam video to VAŽNO, otišao do dna, pročitao samo to VAŽNO ;>

Ti mora da si od onih što čitaju End User Licence Agreement pre nego što kliknu "Aj agri".
uros_vozdovac uros_vozdovac 10:11 25.11.2016

Re: update

Dont Fear The Reaper
ah, ukoliko je potrebno da čistim keš browsera, onda si ti u pravu, ali ti garantujem da postoji način i da ovde nije primenjen.


Mašiš fokus podjebavanja A on je na onoj jednoj "VAŽNO! Update na dnu".

A obaška mi tim mašenjem kvariš i samo podjebavanje, sada moram da ga objašnjavam, a čim ima objašnjavanja, ne mere da ima podjebavanja ☻

Elem, ja sam video to VAŽNO, otišao do dna, pročitao samo to VAŽNO ;> i dalje nisam ni hteo da skrolujem na "Početak". Znam, znam, mnogo potresno ;>, ali zato ti rekoh - zajebeš se, ili se i bez zajeba pojave Nove Činjenice, daj i neku lepu - i korisnu ;> notifikaciju o Updejtu.

No, kako rekoh, Hic Objašnjavanje - NonHic Zajebavanje


ajde more podjebavanju se u zube ne gleda :)
Dont Fear The Reaper Dont Fear The Reaper 11:43 25.11.2016

Re: update

maksa83
Elem, ja sam video to VAŽNO, otišao do dna, pročitao samo to VAŽNO ;>

Ti mora da si od onih što čitaju End User Licence Agreement pre nego što kliknu "Aj agri".


Čuj, čit'o! Hod...ups, ne, nije ta cedulja, nego ova...Pis'o! ☻
Dont Fear The Reaper Dont Fear The Reaper 11:44 25.11.2016

Re: update

ajde more podjebavanju se u zube ne gleda :)


Šta mogu kada sam perfekcionista (dobro, de, cepidlaka, ali to mu je to - mada se s tim da je to _isto_, ne bi složili oni kojima sam uporno vraćao zapisnike i odluke da uklone "isto";> )
bestragamuglava bestragamuglava 15:12 24.11.2016

Vaša komunikacija nije bezbedna vol 2.0

uros_vozdovac
poteran Ivanovim monitorom, i eUprava je sinoć implementirala Comodo sertifikat, a


Kao sto sam i predvidjao.

Ceo sistem e-uprave je od pocetka (za vreme Dinkica) pogresno zamisljen i pogresno postavljen upravo zbog sertifikata.

Sada su "otklonili" nedostatke tako sto su kupili Comodo sertifikat. U prevodu, sada Comodo Inc., (komercijalni "for profit" subjekat osnovan u inostranstvu) moze da "eyesdropuje" moj https saobracaj sa e-upravom.

Za podnosenje poreskih prijava, vodjenje carinskih postupaka, itd., i dalje se koristi sertifikat koji nije dobar za https kroz browser!

U prevodu, perem ruke kada ulazim u tudju kucu, ali ne perem ruke kada izadjem iz toaleta!

Svaka cast ivanu na "crnim" i "crvenim" sertifikatima, ali svi sertifikati su SHA1! Dakle, ispravno bi bilo da su svi "crveni".
rade.radumilo rade.radumilo 16:46 24.11.2016

I dalje su paceri

upravo sam očistio cashe browsera, poteran Ivanovim monitorom


Da su implementirali manifest fajl, kako teba, ne bi morao da čistiš cache. Trebalo bi sam da "potera" browser na update.
jednarecfonmoi jednarecfonmoi 19:15 24.11.2016

Re: I dalje su paceri

Jasno mi je da je blog o sertifikatima ali da li moze jedno pitanjce u vezi sa prijavom.

Rekli mi ljudi, pisano je o tome u prvom blogu na ovu temu, da kad ukucavas podatkr, dodje donekle i onda zabaguje.

Nisam probala, da li je i to jos uvek tako, zna li neko?
anamarkana anamarkana 23:04 24.11.2016

Re: I dalje su paceri

jednarecfonmoi
Jasno mi je da je blog o sertifikatima ali da li moze jedno pitanjce u vezi sa prijavom.

Rekli mi ljudi, pisano je o tome u prvom blogu na ovu temu, da kad ukucavas podatkr, dodje donekle i onda zabaguje.

Nisam probala, da li je i to jos uvek tako, zna li neko?



Moras licno da probas ... ja sam se registrovala bas 10.11. a tog prvog dana je takva navala bila da sam od silnog bagovanja i kliktanja na kraju imala tri validna zahteva... Naravno, uradila sam uplatu takse samo po jednom od tih zahteva i uskoro dobila odgovor da moj predmet jos nije dodeljen na obradu a da je rok obrade 60 dana!
jednarecfonmoi jednarecfonmoi 23:27 24.11.2016

Re: I dalje su paceri

Anamarkana, hvala
a_jovicic a_jovicic 08:37 25.11.2016

Re: I dalje su paceri

anamarkana
jednarecfonmoi
Jasno mi je da je blog o sertifikatima ali da li moze jedno pitanjce u vezi sa prijavom.

Rekli mi ljudi, pisano je o tome u prvom blogu na ovu temu, da kad ukucavas podatkr, dodje donekle i onda zabaguje.

Nisam probala, da li je i to jos uvek tako, zna li neko?



Moras licno da probas ... ja sam se registrovala bas 10.11. a tog prvog dana je takva navala bila da sam od silnog bagovanja i kliktanja na kraju imala tri validna zahteva... Naravno, uradila sam uplatu takse samo po jednom od tih zahteva i uskoro dobila odgovor da moj predmet jos nije dodeljen na obradu a da je rok obrade 60 dana!

Meni je takodje tog prvog dana odziv bio užasno spor ... ali sam prošao dobro ... na kraju imao samo jedan zahtev ... i ispravno je upario uplatu ... i čak je već dodeljen nekom referentu na obradu tj. dobio je status "zaveden"
jednarecfonmoi jednarecfonmoi 19:55 25.11.2016

Re: I dalje su paceri

Jovicicu, hvala i tebi, moram se naoruzam sa strpljrnjrm pa da probam.

Dok se smislim, mozda o rese ove probleme o kojima je pisao Uros
tetkino tetkino 09:58 25.11.2016

A sta je ovo

a uz to i ne radi

Nemam pojma sta su mu radili, ali sta god da je - dobro je

Posle vise od 6 meseci napokon mozemo da pristupimo portalu ePorezi (ljubav je prestala kad je u pricu usao Win10)

Privredna komora Srbije je napokon okacila par krstenih uputstava za instalaciju sertifikata, kao i Novu verziju programa za objedinjenu primenu (PKS, MUP, Vojska Srbije, RFZO), jest da i dalje, moramo da brisemo iz memorije internet eksplorera sertifikate - posto prijavljuje gresku ako nije 1 covek = 1 racunar, ali barem vise ne idemo kod komsije za PP.

Napredak, steta samo sto kartice Privredne komore za elektronsko podnosenje PP isticu za nekih 15 dana i nema produzetka, nego moraju nove, pa se bojim bice opet Jovo, nanovo, pa sve iz pocetka
milos_1 milos_1 17:23 25.11.2016

Sigurna komunikacija

Neke stvari treba da zadrze privatnost. Ne sme sve da bude javno i dostupno. Neke stvari se trebaju resavati samo licnim prisustvom.Mene licno ne zanima privatnost drugih lica, njihovi prihodi, imovina. Postoje institucije koje to treba da resavaju. A ne gradjani samo da pretpostavljaju na osnovu sirovih informacija.
a_jovicic a_jovicic 18:46 26.11.2016

Stativa ...

Mislim ... jeste da sad imaju sertifikat koji ne arlauče pri otvaranju stranice ali i dalje su "F" kategorija ...


Arhiva

   

Kategorije aktivne u poslednjih 7 dana