Nie stare weba ale statne weby. Myslim tym tie, kde ked stlacis tlacidlo podpisat tak vyskoci D.Signer.
Ano myslim to tak ze ak si do pocitaca alebo zariadenia nainstaluje pouzivatel aj podpisovac ineho vyrobcu, ktory bol riadne NASESom registrovany, tak pri podpisovani vyskoci ponuka kde si pouzivatel vyberie ktorou aplikaciou chce podpisovat. Ak ak chce nou podpisovat stále tak zaskrtne aby sa tato vyzva uz nezobrazovala a rovno sa pre podpisovanie pouzila vybrata aplikacia ineho vyrobcu.
ten otvoreny kod v tomto pripade vidim skorej ako bezpecnostny problem.
Kedze v sucasnej dobe staci zobrat zdrojovy kod urobit v nom nekale zmeny a potom nahradit povodny podpisovac novym “este lepsim” podpisovacom
Ale no tak chalani, JavaScript poznate? Ideme sa naozaj hrat na obfuskaciu? Toto sme kde? v 90 rokoch?
No tak si to vyskusaj, a uvidis, ze take lahke to naozaj nie je. Este totiz ten “nekaly podpisovac” musis dostat k pouzivatelovi.
1 Like
stare … statne … sorry 
ano presne tak som to myslel, dostanem na vyber, alebo si ho ulozim a mozem ficat dalej bez nejakych natahovaciek kto je krajsi a lepsi … proste moj vyber
Otazne je ze ked si vyberiem Autogram a ten nepodporuje dany web (vid jeho manifest podporovanych webov), tak by mala byt moznost aj nejakeho fallback. To len ako prakticka moznost.
Ale vy ste si to naozaj nevyskusali, ze?
to je zacarovany kruh … ukazovat na toho druheho lebo … ak uz to vezmeme do detailov tak Ditec mal a ma podpisovac, ktory sa pouzival a pouziva a jeho integracia je podla nejakeho vyvoja v case. Ak ste to chceli zmenit a pokial ja viem tak vam nikto nebranil a mate Autogram, co je aj dobre len ten sposob je otrasny. Nie pre Ditec, ale pre pouzivatela.
Opakovane a uz naposledy … nie som tu za Ditec, ale za pouzivatela a nepaci sa mi ako ste ho hulvatsky urobili. Neriesim nejake autorske prava, a ani neviem v com je ten spor, ale ako pouzivatel som sa dostal do stavu, ze ak mam dva podspisovace, tak na stranke ktory podporuje Autogram nemam na vyber. Nejake prepinania v extension atd. … sorry ale to mi pride pre bezneho pouzivatela uplne mimo a otazne je ci je to vobec pristupne. Vam to pripada ako blbost, v poriadku, mne nie. To je vsetko co k tomu uz dodam a ukazovanim na toho druheho sa problem nevyriesi.
Prepacte ale zobrali ste si do hlavy, ze proste tam ma byt vyber pre dsigner a autogram a neviete tuto predstavu opustit.
Ten vyber sa totiz moze udiat aj tak, ze si nainstalujete extension. Sloboda.
Cau.
1 Like
to ze je to opensource mi ako bezpecne nepride. Bavime sa tu o podpisovacoch pre statnu spravu ktora vyzaduje urcite nalezitosti. V tomto pripade skor vidim vacsiu moznost na zneuzitie a kazdy truhlik si urobi svoj podpisovac, vid. Autogram a tvari sa ako letadlo. Preto by bola odbra nejaka schvalovacia procedura.
Stav aky tu bol pred prichodom Autogramu som nespochybnoval a uz niekolkokrat som napisal, ze JE TO DOBRE, ze je alternativa. Mne vadi ta realizacia, ak to stale nechapete, resp. nechcete pochopit a neustale ukazujete na D.Signer. Ten tu bol davno pred Autogramom a ak je nova situacia, tak sa prisposobi alebo nie. Ale som presvedceny, ze sa to dalo urobit inak. Nechapem co stale riesite D.Signer.
pripadne si moze vypnut na styri kliknutia podpisovanie Autogramom
toto uz ani radsej ani nekomentujem, je ocividne ze nechapete podstatu mojich postov
Vysledok: Vacsia sloboda vyberu pre koncoveho pouzivatela.
v com pre bezneho pouzivatela co ani nevie co je extension v prehliadaci? A je to vobec pristupne riesenie?
FUD o tom ako to nefunguje, nebudu korektne podpisy si strcte za klobuk.
no pani a o com je podpisovac? je urcita funkcionalita, ktoru Autogram zatial nepodporuje, inak by ste nemali ten vyber podporovanych hostov v manifeste. Naco to tam potom mate? Nechapem zmysel takeho white listu. Ale to je jedno, dopadlo zase na slovensky sposob. Vsetci okolo nas za to mozu (D.Signer) iba ja som letadlo.
Ja stale cakam na ten navrh. Co konkretne teda mame spravit, aby ste boli spokojni?
Ktora? Konkretne. Na ktorom webe s cim budes mat problem s Autogramom? Pod konkretne.
whitelist je tam preto aby
- si pouzivatel vedel pozriet, ktore weby extension ovplyvnuje
- aby si jednotlive weby vedel vypnut/zapnut
- aby sa extension spustal iba na tych weboch (nie ako dbridge, ktory bezi aj na facebook.com)
- aby sme releasovali Autogram iba tam kde je otestovany (such novel approach!)
1 Like
@miromr pri bezpecnosti - nemozeme sa tvarit, ze existuje “zabezpeceny retazec” ktory porusi niekto z vonka, proste komunikacia medzi serverom a podpisovacom prebieha cez nezabezpeceny kanal a s tym aj rata - kazdy podpisovac MUSI mat zobrazovac obsahu. Podpisuje sa to co vidis v okienku podpisovaca, nie to co je vo formulari na webe.
V podstate aj keby to .asice doniesol holub je to rovnako dobre .asice ako ked to ide cez sksk.
2 Likes
prosim, toto sa ako deje?
(+ porovnavate jablka s hruskami - D.Launcher je Java aplikacia, ktora bezi nativne na pocitaci. Autogram na statnych weboch je rozsirenie v prehliadaci, obmedzene tym co poskytuje prehliadac.)
1 Like
ak si niekto so zlym umyslom upravi zdrojovy kod podpisovaca tak v okienku podpisovaca ukaze nieco ine ako to co podpises. To ze ti ukazuje este neznamena ze aj podpises to co vidis. Vidis iba transformaciu datoveho xml ale to co podpisujes (samotny datatovy xml) sa da tesne pred podpisom zmenit.
Ak upravi zdrojovy kod tak ma upraveny zdrojovy kod. Asi hovoris o tom, ze ak na pocitaci obete spusti utocnik vlastny kod - a v tom pripade Ti nepomoze vobec nic.
1 Like
Ano ale spusti si ho sam pouzivatel lebo utocnik mu ho moze ponuknut na stiahnutie ako vylepsenu verziu
Priatelia prosím poraďte mi. Práve sa mi spustila automatická aktualizácia aplikácie “D.Suite/eIDAS (x86)” - podľa názvu topicu som si myslel že o tom sa tu diskutuje.
Pri aktualizácii odo mňa vyžadujú povinne odsúhlasiť nejaké podmienky používania Nechem to robiť, lebo ja nepoužívam komerčný produkt na základe dobrovoľne akceptovanej licencie (zmluvy), ale oficiálny štátny web (a-jeho-povinné-príslušenstvo) čo je predpísaný zákonom a na jeho použitie mám zo zákona nárok. Ale budiž…
Tak som si tú “licenciu” aj otvoril. Je sťahovaná z nejakého webu mimo kontroly verejnej správy (https://doc.ditec.sk/download/kep/Licence.sk-sk.pdf), a nevidím žiadny mechanizmus chrániaci pred jeho zmenami, resp. fixujúci, aké podmienky používania som akceptoval. Nenašiel som dokonca v rámci lokálnej inštalácie ani kópiu už odsúhlasenej “licencie”.
Hlavný problém je však, že v tom dokumente sa píše:
Aplikácia mi však žiadny taký certifikát nesprístupňuje. Bez oboznámenia sa s ním však nemôžem platne uzavrieť “licenčnú zmluvu”, lebo akosi obdobie jej trvania je jej podstatná náležitosť a bez tohto certifikátu trvanie zmluvy neviem zistiť.
Fakt som hľadal, na disku, na webe, nenašiel som. Akurát na webe NBÚ je táto informácia: (https://www.nbu.gov.sk/certifikacia-produktov/)
Prosím pomôžte mi ten certifikát nájsť. Ak by totiž neexistoval, tak sa D.všeličo nedá (v zmysle ním propagovaných pravidiel) vôbec legálne použiť!
A nielen pre mňa, ale pre nikoho.
6 Likes
Toto ma zaujima, ta Java spustajuca sa 10 sekund je pristupna? Splna podmienky noveho Zakona o pristupnosti? Alebo bude vyhlasena za archivny obsah (kiezby, Java v roku 2025 na desktope je naozaj asi len archivna!). To by ma naozaj zaujimalo.
Aj autogram je v jave.
Co sa tyka pristupnosti tak sa na to “pozreli” ludia co to naozaj vedia.
Fun fact: Chodia aj na nase hackathony a ano aj toto tam riesime.
2 Likes