Vlákno názorů k článku Stále mám přístup k dalším CA, tvrdí útočník na DigiNotar od cz3dtc - Už je na čase přejít na jiný systém...
-
100% Lenin (neregistrovaný)
Jednoduše. :-)
Předpokládejme, že si platím certifikát, který má něco garantovat.
Ten kdo mi vydává certifikát se odvolává:
- na výše stojící autoritu a platí za to
- sám na sebe (tedy svoji autoritu) a to je v ceně
Pak se domnívám, že není od věci chtít po někom, kdo mi garantuje něco certifikátem, chtít vymáhat odpovědnost za to co mi poskytuje. A to včetně úhrady vzniklých škod.
Podíváme-li se na věc tak trochu ze strany, pak vidíme, že model "být odpovědný za to co poskytuji" ve smyslu zdola hore má něco do sebe.
Argumenty ohledně cen a vymlouvání se na něco dnes již beru jako mlžení a maskování odpovědnosti vydavatelů, potažmo provozovatelů něčeho s vydanými certifikáty.Shrnuto - není důležité, jak si systém představuji či představujeme.
Důležité je, co mi systém garantuje a jaká je odpovědnost toho kterého článku v systému.Proto mírně souhlasím s tím co říkáte o občankách, ale pozor. Pokud systém jako celek staví na předpokladu garance poskytování (občanem) pravdivých informací o své entitě. Pak opravdu občanky nepotřebujeme.
Pokud poskytnuté údaje nejsou pravdivé, musí jejich poskytovtel nést plnou odpovědnost.Jak jednoduché.
-
To je přece jednoduchý. Stejně jako u SSH. Při prvním připojení zkontrolujete otisk nezávislým kanálem, u banky ve smlouvě, kterou jste osobně dostal. U připojení na firemni webmail vám otisk dá admin. Otisky vládních webů mohou např. občas vyjít v novinách nebo být na stránkách v teletextu. A pak už si to prohlížeč pamatuje.
A ty méně důležité, jako nějaký freemail nebo paypal? Tam vám stačí, že je otisk klíč stejný při připojení z různých míst, a je stejný, jako když jste tam šel poprvé.
Obojí je bezpečnější, naž když prohlížeč považuje za důvěryhodný kterýkoliv site s certifikátem od celého dlouhý seznam CA z podivných zemí. Doména cpoj.cz podepsaná čínskou autoritou tak projde bez povšimnutí.
-
To už je možné dělat teď a reálná zkušenost je taková, že uživatel bez mrknutí oka kliká na "souhlasím a už mě neotravuj", protože se tam chce dostat. Bohužel není možné lidi donutit, aby něco ověřovali, když to není bezpodmínečně nutné k fungování té věci. Tady je třeba být proaktivní a myslet za uživatele.
Netvrdím, že aktuální systém je dokonalý, právě naopak. Ale navrhovaná úprava na "každý si ověří sám" je nepoužitelná a v důsledku mnohem nebezpečnější.
-
Lael Ophir (neregistrovaný)
Plus je tu velký problém s distribucí certifikátů. Klíč v teletextu i novinách lze velmi snadno podvrhnout. Navíc těžko vyřešit přenos těch informací do počítače. Chcete je ručně přepisovat, mít u každého počítače scanner, nebo dokonce TV tuner?
PayPal není méně důležitý. Naopak je velmi důležitý, protože se jím realizují každý den transakce za více než 200M USD (3.4mld Kč). Řada z nich (nejspíš většina) pomocí kreditních karet.
-
Buď je uživatel poučený a dělá co má. Pak může (pokaždé) kontrolovat modrost a zelenost zámečků stejně tak jako ověřit (jednou, při prvním připojení) fingerprint proti bankovní smlouvě. Co je jednodušší?
Nebo poučený není a pak vám odkliká všechno, i to červené upozornění, že certifikát nesedí. Navíc jeho počítač může být zatrojanovaný a pak vám pomůže jen ten nezávislý kanál.
ČLÁNKY DO MAILU