Příspěvky

2086

Odkladiště / Re:Firemní certifikát vs. certifikát pro elektronickou pečeť

« kdy: 13. 12. 2019, 09:45:39 »

Dobrý den to je zajímavé, pro jistotu jsem se podíval do specifikace služby, ke které přistupujeme (nechci ji jmenovat)
a píše se v ní : "Preferovaná forma identifikace uživatelů partnerů bude pomocí osobních důvěryhodných klientských
certifikátů, které budou sloužit jako jediný identifikační údaj."

Záleží na tom, jak je ta identifikace přesně udělaná – pokud tak, že vám dají něco k podpisu a vy vidíte, co podepisujete, pak je to v pořádku.

Navíc ale v té specifikaci není napsáno nic o kvalifikovaném certifikátu pro elektronický podpis. Je tam napsáno „osobní důvěryhodný klientský certifikát“, což komerční certifikáty v pohodě splňují.

Mě je u toho elektronicky podepsaného dokumentu jen připadá takové podivné, že na první pohled u podepsaného dokumentu se vyskytuje jen jméno "Adam Koulel" a identifikace, že je z firmy "Kdoule a.s." se zjistí až teprve v detailech
certifikátu. Očekával bych že identifikátor organizace se objeví i na el. podpisu...

Tohle záleží na konkrétní softwaru, který používáte pro zobrazení dokumentu a podpisu. Elektronický podpis jsou technicky jenom binární data – zakódovaný otisk dokumentu, což jsou zase jen binární data. Všechny údaje zobrazované u podpisu (jméno, datum a čas) apod. jsou údaje, které jsou ve skutečnosti (technicky) uložené vedle toho podpisu, např. zobrazované jméno se bere z certifikátu. Jinými slovy, to, co popisujete, je dané jenom tím, že autoři vašeho programu se rozhodli zobrazovat jméno rovnou, ale pro údaje o organizaci musíte jít do detailu podpisu. Částečně je to dané i tím, že jméno je u certifikátů uváděné prakticky vždy (nevím teď z hlavy, zda je povinné nebo nepovinné), zatímco další údaje se používají různě, i jejich interpretace je různá. V rámci EU pro to jsou nějaká pravidla a zvyklosti, ale příslušný software je pravděpodobně univerzální a musí umět zobrazit i certifikáty vydané v USA, v Jižní Korei, v Japonsku…

2087

Odkladiště / Re:Firemní certifikát vs. certifikát pro elektronickou pečeť

« kdy: 13. 12. 2019, 07:57:27 »

Předpokládá se tedy, že odběratel si zjistí že el.p podpis je platný a nyní by si tedy měl sám zjistit zda se jedná o osobu, která je v obchodním rejstříku s právem jednat za firmu a podepisovat dokumenty ?

Přesně tak. Je to úplně stejné, jako kdyby dotyčný podepsal papírovou objednávku vlastnoručním podpisem. Rozdíl je jen v tom, že u elektronického podpisu máte alespoň ten podpis svázaný se jménem (u vlastnoručního podpisu ani nevíte, zda ty klikyháky namaloval Adam Koudel nebo někdo jiný), navíc v tom certifikátu máte uvedené i IČO, takže víte, že je to Adam Koudel, který má něco společného s tou firmou. Ale jestli je to jednatel nebo vrátný si musíte zjistit jinde, např. z toho obchodního rejstříku. V budoucnosti k tomu snad bude sloužit registr práv a povinností, jeden ze základních registrů – pokud ovšem bude přístupný veřejnosti.

Zákazníkovi přijde podepsaný "Adama Kouleho" dokument o např. změně smluvních podmínek nějaké služby. Může tyto dokumenty podepisovat běžný zaměstnanec firmy k tomu určený (nebo musí tyto dokumenty také podepisovat statutár v obchodním rejstříku s právem podpisu).

Tohle je opět úplně stejné, jako kdyby ten dokument podepsal na papíře. Může to podepisovat běžný zaměstnanec k tomu určený. Je na té druhé firmě, jak moc bude ověřovat, zda dotyčný má právo danou věc podepsat nebo nemá.

V současné době používáme Osobní kvalifikovaný certifikát pro zaměstnance od firmy Postignum - ten umožňuje jak autentizaci (kterou využíváme) tak podpis (který plánujeme).

Pro autentizaci se používají komerční certifikáty, ne kvalifikované. Použitím kvalifikovaných certifikátů pro autentizaci porušujete nařízení EU eIDAS, certifikační politiku a hlavně se vystavujete riziku, že podepíšete něco, co jste podepsat nechtěl.

Pokud potřebujete certifikáty pro autentizaci i podpis, doporučuju certifikáty Twins od I.CA – za cenu kvalifikovaného certifikátu získáte oba dva, jak kvalifikovaný pro podpis tak komerční pro autentizaci.

2088

Odkladiště / Re:Firemní certifikát - dotaz

« kdy: 12. 12. 2019, 21:40:30 »

Nikoli, pro podepisování slouží právě (osobní) certifikáty. Elektronická pečeť vzniká strojově – pečetí se dokumenty, které nejsou projevem vůle osoby, ale které vznikají nějakým automatickým mechanismem (např. výpis z nějakého rejstříku).

Podpisové certifikáty se ale nemůžou používat pro autentizaci. Při použití podpisového certifikátu vždy musíte vědět, co podepisujete. To při autentizaci není splněno, tam podepisujete obvykle nějaká náhodná data – ale klidně by vám útočník mohl při autentizaci podstrčit k podpisu dokument, kterým třeba převedete svůj barák na někoho cizího.

2089

/dev/null / Re:Jsem hacker?

« kdy: 11. 12. 2019, 08:19:35 »

Když říkáte, že tu otázku myslíte vážně…

Hacker nejste. Porušujete zákon (neoprávněně nakládáte s cizím IT zařízením).

Upozornit byste měl majitele zařízení, a to tak, aby pochopil, v čem je problém a jak ho má napravit – tj. vysvětlit mu to buď osobně nebo písemně (např. e-mailem). Změnou DNS serveru toho rozhodně nedosáhnete – pokud by dotyčný z toho, že mu přestane fungovat internet, odvodil, že mu možná někdo změnil nastavení DNS serveru, bude mít takové znalosti, že snad nenechá takovéhle nastavení routeru.

V principu mi jde o to, že když by někdo měl takové zařízení ve stejné síti a někdo pro mne nedobrý by jej napadl tak je pro mne takové zařízení bezpečnostním rizikem.

Pak ale máte špatně zabezpečená svá zařízení. Protože ve stejné síti mohou být lépe zabezpečená zařízení, které ovládá útočník, dokonce v té síti může být legitimní uživatel, který zároveň bude útočníkem. Pokud vám tedy jde o vaši bezpečnost, starejte se o svá zařízení, ne o cizí.

2090

Server / Re:Postfix - povolit doručování jen na konkrétní uživatele

« kdy: 10. 12. 2019, 20:55:57 »

http://www.postfix.org/LOCAL_RECIPIENT_README.html

2091

Odkladiště / Re:Jak zablokovat wp-admin/admin-ajax.php (jen konkrétní)

« kdy: 09. 12. 2019, 19:56:15 »

Začněte tím, že napíšete, jestli to chcete blokovat jako uživatel ve webovém prohlížeči, jako správce webu na serveru nebo  kde jinde. Jako druhou věc by bylo rozumné napsat, co je cílem vašeho snažení. Možná se k němu dá dostat mnohem snáz jinou cestou, než si vy představujete.

2092

Sítě / Re:Lokální adresy v síti ISP

« kdy: 05. 12. 2019, 23:28:22 »

Zas mi neco podsouvas? Radeji si nech prelozit toto: An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above.

Proč bych vám něco podsouval? Vy se znemožňujete úplně sám. Pořád dokola sem kopírujete jednu větu, kterou jste pořád ještě nepochopil. zett_cz požaduje IP adresu pro externí konektivitu, a dostal jí. Jiní klienti toho ISP nepožadují IP adresu pro externí konektivitu, a nedostali ji. Žádný problém v tom není, ISP nejedná v rozporu s RFC, jenom vy pořád melete nesmysly a kopírujete sem pořád dokola jednu větu, o které víte, že žádné vaše tvrzení nedokazuje.

Bohužel vás zradilo to, že jste dost chytrý na to, abyste si uvědomil, že nemáte pravdu, ale už ne dost na to, abyste svou chybu přiznal. Kdybyste byl přesvědčen, že máte pravdu, byl byste konkrétní, v čem přesně ISP jedná v rozporu s tou větou. Jenže vy dobře víte, že ISP s ní není v rozporu, a že kdybyste se pokusil ukázat na konkrétní porušení, musel byste tvrdit něco, co v té větě není. Takže tu jen dokola opakujete nesmysly, že si tu větu mám přečíst nebo si ji mám nechat přeložit – snažíte se argumentačními klamy vyvolat dojem, že vy tomu rozumíte a já ne. Bohužel jsou ty vaše argumentační fauly příliš průhledné a je příliš nápadné, že jste ani napopáté nedokázal napsat, co a jak ISP konkrétně porušuje.

Az na to, ze enterpise neni ISP  - je tam uvedena definice i priklady vetsich enterprise - letiste, banka...

A v čem přesně ten ISP nesplňuje onu definici?

Me na tom fascinuje, jak velky problem je proste rict "aha, sakra, to je dobra prilezitost to zacit delat lepe".

Vždyť vy ani nejste ochoten přiznat, že jste se zmýlil – což je trivialita ve srovnání s přečíslováním celé sítě.

2093

Sítě / Re:Lokální adresy v síti ISP

« kdy: 05. 12. 2019, 17:12:53 »

ISP nema co pridelovat svym klientum privatni adresy. Pokud jste se rozhodl ignorovat zjevne veci, je to vas problem, cekejte dale.

Takže jste postupně od „diletanti a podvodníci“ přes „nevzdělanci a diletanti“ a „porušují RFC“ dospěl až k tomu, že vlastně žádné RFC neporušují, pouze jednají v rozporu s něčím, co vám je zjevné. Já bych to uzavřel, že ten nevzdělanec a diletant jste tu vy.

2094

Sítě / Re:Lokální adresy v síti ISP

« kdy: 05. 12. 2019, 12:06:14 »

Jestli je tu někdo neschopný tak to určitě nebudu já. Jen jsem se zeptal jestli je u ISP "obvyklá" taková konfigurace a jestli ho mám tlačit do změny a nebo se na to vybodnout a nechat to být...

Pokud byste chtěl tlačit ISP do změny, bylo by vhodné najít to ustanovení RFC, které údajně ISP porušuje. Zatím je to „sice je vše v souladu s RFC, ale mně a ještě jednomu člověku na diskusním fóru se to velmi nelíbí“, což pro ISP asi pádný argument nebude.

A ještě než začnete na toho ISP tlačit, rozmyslete si, za to vaše „nelíbí se mi to“ vám vážně stojí za to, abyste si dobrovolně nechal zhoršit službu z routované veřejné IP adresy na NATovanou. Protože kvůli vám ISP všem vašim spolupracovníkům zdarma veřejnou IP adresu dávat nebude, NATovat tu vaši veřejnou IP adresu by pro něj bylo nejlevnější řešení. (Kdysi po internetu kolovala historka ze supportu nějakého ISP, kde si zákazník stěžoval, že má moc nízký ping a chtěl ho zvýšit – čemuž technici s radostí vyhověli.)

2095

Sítě / Re:Lokální adresy v síti ISP

« kdy: 05. 12. 2019, 11:51:07 »

Proč tohle chcete? Máte jedinečnou možnost logovat skutečnou adresu zdroje provozu, máte možnost přímého obousměrného spojení bez prostředníků. A vy byste místo toho radši, aby tam ISP strčil NAT, za který své zákazníky schová a kvalitu spojení tím poškodí a jediný argument pro to je, že se vám nelíbí zdrojové adresy na vstupu. To je dost chabý argument pro to, aby kvůli němu ISP přebudovával svou síť.

Taky si říkám, že zett_cz docela riskuje, že si to tady přečte nějaký technik od jeho ISP, a upraví konfiguraci speciálně pro něj tak, aby vyhovovala Zettovým představám. Tedy sebere mu veřejnou IP adresu z jeho WAN, přidělí mu tam privátní IP adresu a NAT z té veřejné IP adresy bude dělat někde na svém zařízení. Pokud je to nějaký menší ISP, udělat navíc jedno v pravidlo v NATu nebude problém, zett_cz bude mít přesně to, co chce, akorát bude mít ve výsledku horší službu, protože nebude mít veřejnou IP adresu routovanou ale NATovanou.

2096

Sítě / Re:Ethernet přepěťová ochrana

« kdy: 05. 12. 2019, 08:03:42 »

Nosné stožáry a podobné konstrukční prvky se zemní na vnější hromosvod, ale anténní svody a signálová vedení mají být od tohoto vnějšího hromosvodu oddělena, správně "bezpečným oddálením", zcela určitě nemají být na vnější hromosvod přizemněna.

Můžu se na tohle zeptat? Nikdy jsem nechápal, jak by se tohle mělo prakticky realizovat. Anténní stožár má být uzemněn na vnější hromosvod, anténa a anténní svod by zároveň měly být dostatečně oddálené (jak může být anténa oddálená, když je na stožáru připevněná?) a navíc ještě mají být v ochranném pásmu tvořeném anténním stožárem. Jaké jsou ty vzdálenosti bezpečného oddálení a jak by se tohle mělo prakticky provést?

2097

Sítě / Re:Lokální adresy v síti ISP

« kdy: 05. 12. 2019, 07:45:58 »

Ja to teda napisu jeste jednou naposled, chapu, ze to muze nekomu trvat dele, nez to pochopi: "An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above."

K tomu, abyste tu větu pochopil, vám ale nepomůže, když jí budete jen pořád dokola kopírovat. Musíte si ji také přečíst.

2098

Sítě / Re:Lokální adresy v síti ISP

« kdy: 04. 12. 2019, 22:07:44 »

Teda, takhle sproste lhat, to je dno, Jirsaku.

Já bych to, co předvádíte, nenazýval lhaním. Jenom se vykrucujete.

Neumet prohravat v pokrocilem veku je trapne

Na věku nezáleží. Ale když nejste schopen u osmistránkového textu ukázat na konkrétní ustanovení, ale pořád nepřiznáte, že v textu nic takového není, to už trapné je.

Cemu presne jsi nerozumel ve vete "An enterprise that requests IP addresses for its external connectivity will never be assigned addresses from the blocks defined above." ?

Potřebujete tu větu přeložit? zett_cz potřebuje adresu pro externí komunikaci a dostává veřejnou IP adresu 46.1x3.x0x.1yy. Veřejná IP adresa 46.1x3.x0x.1yy nepatří do těch třech privátních bloků vyjmenovaných v RFC.

Copak, sam jsi navrhoval adresni plan nejakeho pokripleneho ISP?

Copak? No jenom to, že jsem po vás chtěl jenom takovou maličkost, abyste v RFC ukázal na konkrétní ustanovení, které podle vás ten ISP porušuje. A vy se od té doby akorát vymlouváte a urážíte. Úplně zbytečně, protože každý, kdo čte tuhle diskusi, dávno ví, že jste konkrétní porušované ustanovení RFC neodkázal, takže akorát vypadáte jako srab, který neumí přiznat omyl.

2099

Sítě / Re:Lokální adresy v síti ISP

« kdy: 04. 12. 2019, 20:25:44 »

Evidentně tam mám public, čtu IP na WAN 46.1x3.x0x.1yy.

Psal jste o tom, co máte za WAN rozhraním, ne jakou IP adresu máte na něm.

Ale hlavně, pokud chcete dokázat, že ISP dělá něco špatně, měl byste najít to ustanovení RFC, které porušuje. Chápu, že vám vadí i to, že narušuje vaši představu, kterou jste měl o privátních IP adresách – ale to ještě neznamená, že dělá něco špatně.

2100

Vývoj / Re:WebGL a co k tomu?

« kdy: 04. 12. 2019, 20:17:13 »

Nedoporučoval bych ani čistý JavaScript ani jQuery. Pokaždé, když jsem si říkal „to je malé, na to stačí čistý JS / jQuery“, jsem si velmi brzy nadával, že jsem měl použít něco pořádného. Nemusí to být hned React, klidně něco menšího, Vue, nebo jen dojo, ale hlavně něco, co nepovede na špagetový kód.