Názory k článku
Identita občana se přesunula na doménu gov.cz, bojuje tím proti podvodným webům

Samozřejmě to nevyřeší všechny problémy světa a naprosto zásadní pak bude osvěta. Ale už teď vám to pomůže, protože když uvidíte dotace-mpsv.gov.cz, tak budete vědět, že je to legitimní doména a ne pokus o podvod.

Já se trochu obávám, že na ty lidi, na které tyto podvody cílí, bude stejně důvěryhodně působit třeba doména dotace-mpsv.cz. Vidím to sám v práci, kdy vysokoškolsky vzdělaní lidé, sice IT nepolíbení, klikají na phishingové weby a snaží se tam vyplnit své přihlašovací údaje k firemnímu e-mailu. A jelikož jim to nejde, zavolají mne, ať jim poradím, jak to tam mají vlastně vložit. Fakt se to stalo. A rovnou dvakrát u dvou vysoce postavených vysokoškoláků, kteří zcela nezávisle na sobě uvěřili, že dosáhli na maximum poštovní kvóty a aby jim nebyla zrušena schránka, měli někam kliknout a zadat své přihlašovací údaje. A phishing to nebyl věru moc povedený, spíše taková patlanina. Člověk nechápe...

2. 12. 2024, 15:08 editováno autorem komentáře

Bohužel se často stává, že phisingový web je často uživatelsky přívětivější, než web který se snaží napodobit.

To se třeba přihlašujute Microsoft účtem, a musíte projít přes X obrazovek a odkliknout několik checboxů, následně je vám ještě cosi nabízí, jako nějaké nové MFA a podobně. Zatímco na phisingovém webu zadáte jméno a heslo, a je hotovo.

Jedna vec je, ze jsem schopny si pohlidat jestli pristupuji na domenu s preklepem nebo bez. Druha vec je, pokud stat pouziva tolik nahodnych domen, ze vlastne nemuzu vedet jestli je domena statni nebo ne. takto se snad dostanem do stavu, ze budu moct spolehlive rict, ze pokud domena neni gov.cz tak neni statni a jde o podvod. ale jeste to potrva...

"takto se snad dostanem"

Nedostanem. Neni to prvni diskuse tady, zato se tu opakovane resi, ze kazda nova vopicarna je zase na nejake uplne random domene. Pricemz nejdriv si vzdycky vsechny rozumnejsi varianty regnou vsemozni srandysti a pak prijde mohutne stat, ze to ponovu bude kockopesosodo­menavazneofici­elni.cz

Ostatne, toto je !presne! totez ...

Jmenuje se to "identia obcana" a proto je to na domene ... identita. To da prece rozum, to kazdy pochopi ze to je totez ... lol.

Me se to takhle otevrit, du trasovat napetovy urovne na tom kustratu po kterym mi to priteklo.

Přesně tak, a navíc taková stat-cr.cz je daleko srozumitelnější pro neanglicky mluvicí, než jakési cizí gov

gov.cz je kdekoliv jinde než v anglicky mluvící zemi paskvil a totální prachsprostá ignorace vlastního jazyka.

A cz není paskvil a totíální prachsprostá ignorace vlastního jazyka? ;-)

Klidne muzeme mit ČR. ostatne cina ma taky ty svy obrazky, jenze to by to nesmel spravovat prave NIC.

Tak! A místo .cz mít .če!

Spíš .čr. Ale výstižnější by blo .skanzen.

Řeknu vám malé tajemství: .CZ je zkratka anglického názvu státu Czech Republic. A ve většině států světa se pro státní doménou používá gov.xx, i když v lokálním jazyku by byla možná zkratka jiná – stát totiž nekomunikuje jen se svými občany, ale i lidmi ze zahraničí (typicky turisté, zahraniční investoři či zájemci o práci v Česku) nebo zahraničními partnery – gov.xx je mezinárodně pochopitelné v každé zemi světa.

Hlavní argument proč gov.cz byl ale jiný – ta doména se jako státní doména na dobrovolné bázi už využívala – změnilo se jen to, že se přechod na tuto doménu nařídil.

2. 12. 2024, 19:16 editováno autorem komentáře

Celé to .gov.cz má jednu zásadní chybu... nikdo o tom neví, že to je jediná zablokovaná doména státem a už vůbec nikdo nedělá osvětu o tom.
Osobně já vyřizoval online soc a i zdravotní... hustá chuťovka se prohrabovat webem...

Na osvětu je brzo. Nejdřív se musí všechny ostatní státní služby přesunout. Postupně. Postupně.

Uživatel, který nerozlišuje gov.cz a gov.cz.xyz je nevzdělaný hlupák a není sebemenší důvod takové jedince řešit.

Dává smysl vytvářet přiměřeně náročná opatření k ochraně uživatelů přiměřeně vzdělaných a přiměřeně ochotných se vzdělávat.

Univerzální obrana proti lidské hlouposti neexistuje. Přesun pod jednu hlídanou hlavní doménu smysl dává, co smysl nedává je, že takové domény, jako je NIA, tam nebyly od samotného začátku...

Nám teda řekli že původní doména pojede jen 7 let.

Sliby jsou jedna vec, realita druha, v mnoha pripadech zmizela puvodni domena naprosto instatne, a v mnoha pripadech se menila opakovane (a opakovane mizela).

A uz se tesim, az se nekdo pochlubi hvezdickovym certifikatem na gov.cz ... stazenym po pouziti tajneho hesla nbusr.

Na vnitru certifikát pro *.gov.cz zjevně ze setrvačnosti obnovují: https://crt.sh/?id=15079567014

Vlastník domény gov.cz je Ministerstvo vnitra, certifikáty *.gov.cz a gov.cz má vnitro, ale reálně se používají certifikáty vydané pro DIA, kde jsou vyjmenované domény gov.cz a další, hvězdička tam není.

Snad si to časem sedne.

Problemem je, ze ackoliv se o tom problemu "vi", tak presto si urady (na urovni ministerstev) spokojene stejnym stylem registruji nove domeny i v roce 2024. Treba MPSV a jejich pojdmesitorict.cz z cervence tohoto roku...

Takze ono se v tom vyrabeni bordelu spokojene i dnes pokracuje - a to navzdory usneseni z pulky roku 2023.

Což je samozřejmě naprosto špatně a nezbývá než si ťukat na čelo. Zároveň to ale neznamená, že celá aktivita gov.cz je proto špatná a nedává smysl.

Cela ta aktivita nedava a nikdy zadny smysl davat nebude, protoze se na tom nikdy nic nezmeni. Naopak, si na tom tak maximalne prislusni dodavatele prisati na statni cecek opet nahrabou, protoze kvuli tomu je zcela zarucene treba celou aplikaci minimalne 5x prepsat. Protoze normalni dodavatel webu zasadne nepocita s tim, ze by nekdo chtel zmenit domenu.

pojdmesitorict.cz je čistě marketingový web a kdyby byl na gov.cz, nebyl by to žádný přínos. Naopak by se to hůř propagovalo.

A to je presne zpusob, jak cely ten bordel vznika. S podobnou vymluvou se nikdy nedopracujeme do stavu, kdy stat bude mit prehled o svych domenach, webech a aplikacich, co ty weby pohani... protoze marketing ci jine blablablabla.

A ne, problem nejsou ty zakladni (kmenove) domeny jednotlivych instituci, ty uz se za ty roky ustalili a neni problem je kocirovat. Aneb kazdy vi, kde mu bezi zakladni web, kde ma sve maily... problem je prave tenhle balast okovo, tyhle PR "vykriky", kde se po case na ne pozapomene - vypadnou z hledacku, protoze se po case spusti jiny PR "vykrik"... ale domena / software zustane bezet dal... casem se prestane aktualizovat a pak ejhle, bezpecnostni pruser je na svete....

Presne to, ze stat poradne nevi, co mu kde vlastne bezi melo sjednoceni pod gov.cz resit... no, nebude, protoze se v Cesku vzdycky najde chytrak, co si najde sve jine specificke reseni a samozrejme si ten bullshit nejak "obhaji". Cesko coby zeme vyjimek...

Na doménu gov.cz se nepřichází kvůli evidenci domén. Která ostatně u gov.cz teoreticky nemusí být žádná, zatímco u běžných domén musí být evidence minimálně v tom, že je úřad platí a někdo ty platby schvaluje. Takže je to přesně opačně – běžná doména za rok nebo za několik let expiruje, zatímco doménu pod .gov.cz musí někdo aktivně zrušit.

Bezpečnostní problém prezentačního webu může spočívat maximálně v tom, že někdo napadne ten web samotný. A to by byl vážný problém, pokud by ten web běžel pod doménou gov.cz – protože pak by si tam mohl útočník vystavit phishingový web. U běžné domény napadený web bude maximálně tak ostuda, pokud ještě bude spojován s danou institucí.

Na domenu gov.cz se prechazi proto, aby obcan mohl odlisit, co je teda nejaka vec souvisejici se statem a co pripadny podvrh. Jak podle vas obcan ma rozlisit, ze domena xyz123.cz je opravdu relevantni informace od statni instituce a nikoliv nejaky podvrh? To se na celou saskarnu s gov.cz muzeme rovnou vykaslat s tim, ze kvuli marketingovym hratkam tiskovych oddeleni stejne budou vznikat veci okolo - tedy mimo gov.cz. To je proste kardinalni ptakovina.

A expirujici domeny jsou v tomhle ohledu jeste vetsi prusvih... takze to si stat spusti nejakou "marketingovou kampan", za dva roky ji opusti s tim, ze si prece uz pustil nekdo neco nekde jinde... a stane se co? No, nabehne tam vcelku rychle nejaky podvrzeny/skodlivy obsah. Ale lidi tu domenu muzou mit (legitimne) spojenou se statni instituci. A bagatelizace moznych dopadu... ne, nezijeme v roce 2000, kdy by to mozna jeste byla sranda.

Opravdu mi unika, proc udrzovani toho marastu tak uporne jeste obhajujete. Tech problemu je proste vic... a to ze vam nevypisu hned vsechny fakt neimplikuje, ze nejsou. Ti takzvani marketaci se musi naucit s tim, ze sluzby statu propaguji pod gov.cz - ono to, ze bez domeny druhe urovne by to neslo je samo o sobe blabol.

Nikoli, na doménu gov.cz se přechází proto, aby občan mohl odlišit, co jsou důvěryhodné aplikace veřejné správy.

Marketingové akce se dělají mimo, weby pro ně neprovozují IT oddělení ale marketingová oddělení. Dělají to tak firmy, není důvod, proč by to stát měl dělat jinak.

Z mého pohledu by naopak bylo špatně mít tyto weby pod doménou gov.cz, protože na to, co běží pod doménou gov.cz, by měly být větší nároky.

Jasne, takze si zaregistrujeme random domenu druhe urovne, pustime na ni verohodne vypadajici scam a to, ze pri klikani nebohy uzivatel prehledne, ze ho to posila do horoucich pekel oznacime za blbost dotycneho uzivatele... ono uzivatele bezne kontroluji kazdy svuj klik, kam presme vlastne vede - akorat ze vubec. Takze vy nam tu vlastne deklarujete, ze vam ta dnesni dzungle vyhovuje a ze nadale podporujete udrzovani stavu, kdy bezny uzivatel/obcan fakticky nema moc sanci odlisit, jestli zrovna kouka na podvrh a nebo na realnou informaci statni informace...

Rozhodne neni univerzalni pravdou, ze by marketingova oddeleni sve kampane pousteli na separatnich domenach druhe urovne nutne nekde bokem. To je jeden z moznych pristupu - ale nikoliv vsak jediny mozny. A stat by se zde mel krom jineho snazit o maximalni uzivatelskou prehlednost - a tu fakt nevyrobite tak, ze budete mit okolo rozesetych desitky "marketingovych" domen okolo jen proto, ze se nekdo nekde zrovinka zhuli a vymysli nejaky free & cool & in nazev nejake domeny a kampane.... to opravdu neni vec, bez ktere by stat "zhynul" a nemohl fungovat i ve smyslu sve sebeprezentace.

Jasne, takze si zaregistrujeme random domenu druhe urovne, pustime na ni verohodne vypadajici scam a to, ze pri klikani nebohy uzivatel prehledne, ze ho to posila do horoucich pekel oznacime za blbost dotycneho uzivatele...
Ano, přesně takhle to funguje a fungovat to tak bude, gov.cz na tom nic nezmění. Ono totiž jaksi útočníkům nelze zakázat registrovat si domény.

Uživatelé se musí naučit, že kontrolují doménu v okamžiku, kdy dělají nějakou bezpečnostně citlivou akci. Pokud se uživatel spoléhá na to, že třeba v e-mailu vidí napsáno identita.gov.cz, takže když na to klikne, dostane se určitě na vládní web, je špatně. Chápu, že pro uživatele to není moc pohodlné, ale jiná možnost technicky neexistuje. Nejde zařídit, aby zdrojové odkazy byly vždy v pořádku.

Ten přístup je jeden z možných, ovšem ve velkých institucích je to prakticky jediný možný přístup. A důležitá je i ta bezpečnost – v doméně gov.cz by měl být vyšší standard bezpečnosti, což podle mne není reálné zajistit u marketingových webů s omezenou životností.

To je fakt naivni predstava z hlavy asocialniho IT nerda.... ne, lidi nebudou s kazdym kliknutim kontrolovat URL :-) Nekdy je to laicky i tak trosku nemozne... aneb fakt si myslite, ze si uzivatel bezne otevira developer tools, aby videl kam odchazi POST HTTP request? A ano, odeslani formulare muze byt bezpecnostne citlivou akci...

Stat nepotrebuje mit weby s nizsimi naroky na bezpecnost aka ruzne marketingove taskarice. Takove weby jsou beztak jen zumpou na penize.

Stat takove volotrkarny dokonce mit nesmi, protoze smi penize vynakladat pouze na to, co uklada zakon. A ano, vim jaka je realita.

To, že si uživatel zkontroluje adresu webu až v okamžiku, kdy na tom webu je (tedy nebude důvěřovat odkazům), je dnes jediná možnost. Ano, není to ideální, ale je to jediná možnost, takže uživatelům nic jiného nezbývá.

Ty utoky jsou realne a proste funguji. Tim, ze "podporujete" ty takzvane marketingove weby statu na domenach mimo gov.cz na domenach s naprosto nahodnymi nazvy vybranych podle toho jak koho kde zrovna polibila radobyumelecka muza vy sam tem utocnikum akorat pomahate. Jednoduse proto, ze ty moznosti kontroly jsou z pohledu prumerneho laickeho uzivatele dost omezene.

A pokud se na nej v masmediich povali reklama, ze treba diskutovane MPSV neco spustilo nejakou kampan na pojdmesitorict.cz, podazmo kdyz tam i povedou odkazy z oficialniho webu uradu... tak v lidech proste logicky pretrva navyk, ze ta vec v tom adresnim radku se meni defacto nahodne a ze tam zadna trvala spojitost s gov.cz neni.

Aneb podle ceho to teda ten uzivatel ma kontrolovat? Predstava, ze si s kazdou domenou, ktera se "tam nahore" uzivatel udela treba whois lookup je fakt takova jakoze dost nerdska... :-) Aneb to, podle ceho si teda ma bezny uzivatel prekontrolovat, ze nejde o podvrh predpokladam zodpovedet nedokazete. Ale budete ten nesmysl tolerujici domeny vselimozne okolo obhajovat.

Ty utoky jsou realne a proste funguji.
Když jsou reálné, jistě dovedete odkázat na marketingovou doménu, která byla zneužita k útoku.

takzvane marketingove weby statu na domenach mimo gov.cz na domenach s naprosto nahodnymi nazvy vybranych podle toho jak koho kde zrovna polibila radobyumelecka muza
Pořád lepší, než kdyby ty naprosto náhodné názvy byly v bezpečné doméně gov.cz. Banka také může dělat různé marketingové akce, něco rozdávat, sponzorovat nějakou výstavu – ale nedělá to v trezorové místnosti.

Jednoduse proto, ze ty moznosti kontroly jsou z pohledu prumerneho laickeho uzivatele dost omezene.
Což je úplně jedno, protože laický ani jiný uživatel to kontrolovat nepotřebuje. Když uvidí billboard nebo reklamu v novinách, také si to nijak nekontroluje.

Aneb podle ceho to teda ten uzivatel ma kontrolovat?
Podle významu toho, co dělá. Lidé jsou schopni rozpoznat, zda si čtou reklamní leták nebo platí u pokladny. Jsou schopní rozlišit, zda si čtou informace na vývěsce nebo jestli podepisují úřední dokument. A dokážou to rozlišit i v digitálním světě.

Predstava, ze si s kazdou domenou, ktera se "tam nahore" uzivatel udela treba whois lookup je fakt takova jakoze dost nerdska... :-)
Ano, je to vaše představa.

Vy možná na webu pojdmesitorict.cz kontrolujete doménu, ale jste jediný. Nikdo jiný k tomu nemá důvod.

Zjevne jste tak natvrdly a od reality odtrhly nerd, ze nedokazete pochopit fakt, ze z pohledu bezneho franty uzivatele je netrivialni odlisit, co je "jenom" marketingova domena a co skutecny podvrh, zvlast pri dnesnich technickych moznostech (ktere ma potencialni utocnik k dispozici). A vas pristup stylem "a to je problem uzivatele" jen dokazuje vysokou uroven vasi asociality.

A o eidentita.cz se tu uz psalo - tam to bylo o to horsi, ze to nebyla "jen" marketingova domena. A nektere "statni" instituce se na ni odkazuji jeste dnes. To same se muze stat i u tech vasich "marketingovych" domen - zapomenuty odkaz povede na domenu, kterou instituce v mezicase opustila... a mozny prusvih je na svete.

Banky samozrejme marketing take maji - ale nevsimnul jsem si, ze by kvuli kazdemu uprdnuti musela mit/mela specializovany webik. Naopak, ty marketingove akce jsou bezne publikovane na hlavnim webu banky, nebo treba primo v bankovni aplikaci. Takze jste si vystrachal dalsi "priklad" naprosto odtrzeny od reality bezneho sveta venku... zjevne i v tech bankach maji vic rozumu a vetsi smysl pro socialni cit nez vy sam ;-)

Škoda že vy, nenatvrdlý neběžný franta uživatel, nedokáže pochopit, že od uživatele se nechce, aby odlišil běžný marketingový web od skutečného podvrhu, ale chce se po něm, aby odlišil web, kde se může dít něco nebezpečného, od webu, kde si jenom něco čte. Přičemž úplně stačí, když web, kde se může dít něco nebezpečného, pozná podle dvou věcí – buď se tam přihlašuje, nebo tam platí.

eIdentita.cz nebyl marketingový web. Chápu, že to tu uvádíte jako příklad toho, že rozdíl mezi informačním webem a aplikací nedokážete poznat ani vy. Ale že jste se na eidentita.cz přihlašoval byste mohl poznat i vy.

Banky samozřejmě vůbec žádné marketingové weby nemají, nemají, nemají a nemají. A legendární doménu mojebanka.cz taky pamatujete, ne?

Obavu o konec původních domén chápu. Není to tak dávno, co se Identita občana jmenovala eIdentita a běžela na eIdentita tečka CZ. Celkem brzy to přesunu tu doménu nechali expirovat, dnes ji už má někdo jiný. A to je prosím doména, která má sloužit k autentizaci…

To je další argument pro .gov.cz. Když nějaká subdoména vypadne ze zóny, nikdo cizí si ji nemůže pořídit.

Ano, je to jak argument pro cílový stav, tak argument pro obavu z přechodu…

Pockej, ale on ji ten emerican urcite strasne miloval a zarucene si ji veme a odstehujou se na floridu ....

Ja bych tohle policii a dalsim naopak vyslovene zakazal resit, a naopak, ty lidi bych privazoval verejne na namesti, at se na ne kazdej prijde podivat.

Apropos, nechcete mi nekdo poslat milion? Nebo 10? Vazne vas miluju ... a jestli je vam to malo, zitra poslu zpet 100nasobek, fakt, vazne, myslim to svama dobre! U me budou vase prachy v bezpeci jak u Kozenyho.

To, že to tak děláte vy, neznamená, že to tak dělá 10,5 milionu dalších lidí. A opačně, to, že jedné paní nepomůže ani když jí to rozmlouvá policista, neznamená, že to nepomůže spoustě jiných. Uživatel, který není zvyklý prohledávat internetové registry, dnes nemá šanci poznat, že jde o doménu veřejné správy. Díky gov.cz to bude moci rozpoznat celkem snadno.

Je to jako bezpečnostní pásy v autě. Když tam nejsou, málokdo si přinese něco vlastního, aby se připoutal. Když tam jsou, nedonutí to všechny, aby se připoutali. Ale u většiny lidí o tom, zda budou či nebudou připoutaní, rozhoduje právě to, zda tam pásy jsou nebo nejsou.,

Dik za pripomenuti.
IDN homograph attack je pekna zakernost.