Názory k článku
Držitelé domén mohli dostat falešné e-maily o prodloužení platnosti
-
Filip JirsákStříbrný podporovatelRozšíří CZ.NIC certifikaci registrátorů také o kritérium, zda pro e-mailovou komunikaci s klienty používají elektronicky podepsané e-maily? Alespoň pro e-maily s fakturami a platebními údaji, s notifikacemi o změnách a s výzvami k potvrzení změny. A bylo by fajn, kdyby byl vyžadován český kvalifikovaný certifikát, ať ty e-maily mají nějakou právní váhu. Možná by nebylo od věci to uvádět i jako samostatnou položku v přehledu registrátorů, podobně, jako je uváděna podpora DNSSEC. Ono to s bezpečností domény také souvisí.
Je fajn, že alespoň e-maily od CZ.NIC podepsané jsou. -
aaa (neregistrovaný)
Nechci byt za skarohlida, ale z mych zkusenosti alespon jedna firma v CR bezpecnost kvalifikovaneho certifikatu podcenuje (dlouho byl dohledatelny Googlem i s privatnim klicem a heslem; po upozorneni stazen, ale stale nerevokovan).
Obavam se, ze by vynucovani certifikatu skoncilo stejne. A osobne jsem radsi, kdyz email neni podepsan, jako kdyz muze byt podepsan i utocnikem.
-
Filip JirsákStříbrný podporovatel
Pokud by bezpečnost privátní klíče podceňovala jediná firma, byly bychom superzabezpečený stát. Nicméně to, že existuje jeden uživatel, který (např.) používá slabé heslo neznamená, že mají mít slabé heslo všichni. To, že si někdo napíše PIN na platební kartu, není důvod k tomu přestat vyžadovat PIN úplně.
Nepsal jsem o vynucování podepsaných e-mailů, ale o zohlednění při certifikaci. V registraci se hodnotí např. to, zda jsou stránky registrátora dostupné přes HTTPS. Privátní klíč od HTTPS může být kompromitován úplně stejně, jako privátní klíč od podpisového certifikátu. -
Filip JirsákStříbrný podporovatel
Kvalifikované certifikační autority jsou v ČR tři. A uživatel „aaa“ psal o kvalifikovaném certifikátu, ne o kořenovém certifikátu. Počty vydaných certifikátů v ČR se pohybují v řádu stovek tisíc, tedy o něco víc, než dva.
-
Petr (neregistrovaný)
Dostali jsme email taky a pokud si někdo nedá dohromady 2+2, pravděpodobně zaplatí, protože email obsahuje obvyklé texty, správné kontakty/emaily na registrátora, v příloze je velmi věrohodně vypadající proforma fa ve formě pdf, kde sedí opět kontakty na registrátora, fakturační kontakty atd, tj. jediné falešné na té fa bude zřejmě číslo účtu.
Chyba byla v email adrese (došlo to tedy do doménového koše), prodloužení přišlo i když doména v nejbližší době neexpiruje, přišla proforma rovnou na rok, i když většinou chodí odkaz do administrace s možností prodloužit o více let, není uvedeno období od kdy do kdy se prodloužení objednává, splatnost je jen jeden týden atd, těch indicií na podvod je tam hodně, ale když to vezme do ruky někdo kdo přesně neví, těch 150 Kč prostě pošle. -
Marek (neregistrovaný)
Prisla mi naprosto identicka vyzva od FORPSI, pouze s jinym bankovnim uctem a tak jsem tech 151CZK zaplatil. Po precteni zpravicky jsem si zkontroloval domenu, zjistil, ze jsem ji mel zaplacenou az do 2016. Zavolal jsem do AirBank (moje i cilova banka), zadal reklamaci. Rikali, ze o tom uz vedi a resi to. No, pekne neprijemnej pokus. Ted aby clovek neveril ani mailum od FORPSI....
-
Filip JirsákStříbrný podporovatel
Ten e-mail byl elektronicky podepsaný? Posílat peníze na účet, který je uvedený v nepodepsaném e-mailu, který může kdokoli snadno podvrhnout, je docela riskantní, nemyslíte? Chápu to u objednávky z e-shopu, která přijde pár minut po objednání na webu a je tam zboží, které jsem opravdu objednával. To by musel být útočník docela machr, aby tohle všechno dokázal zjistit, poslat falešný e-mail a ten pravý stopit. Ale u domény, kde sou všechny potřebné údaje veřejné? Já se takhle dohadoval i s vydavatelstvím, zda by fakturu k předplatnému časopisu nemohli posílat podepsaným e-mailem (nemohli). A to by měl útočník mnohem těžší sehnat správné údaje. Zdá se, že útočník udělal jedinou chybu, že to neposlal jen k doménám, jejichž platnost v blízké době opravdu skončí.
-
Marek (neregistrovaný)
Tak vono se velice jednoduse kritizuje, ale pokud od forpsi vzdy chodil nepodepsany uplne identicky mail, pouze s jinym uctem, pak asi nikoho, kdo neni maximalne paranoidni, nenapadne, prohlizet kdovico (hlavicky mailu apod.).
Copak vy v pripade, ze e-maily jsou vzdy stejne, pokazde zkoumate jake servery po ceste e-mail vymetl? Nebo byste se proste bloknul a prestal platit faktury, protoze je posilaji elektoronicky nepodepsane?
Ja nastesti tak paranoidni nejsem. Ale zas to ma tu nevyhodu, ze obcas clovek na chvili pozbude 151CZK.
Ale s prominutim vase poznamka typu "na to muze skocit jenom blbec" je hloupa. Nekteri lide proste jeste pocitaji se zakladni slusnosti a nemaji potrebu neduverovat kazde fakture.
-
Filip JirsákStříbrný podporovatel
Já nekritizuju, že někdo nezkoumal hlavičky e-mailů. Ostatně kterýkoli ze zákazníků Forpsi může pravděpodobně poslat e-mail, jehož hlavičky budou vypadat dost důvěryhodně.
Já kritizuju to, že když někdo dostal první nepodepsaný e-mail s fakturou, nezeptal se Forpsi, jestli je to fakt od nich a zda to opravdu myslí vážně - a pokud by obě odpovědi zněly "ano" (jako že to vypadá, že to Forpsi opravdu běžně dělá), měl doménu převést k jinému registrátorovi a zaplatit ji až u něj. Pokud je pro ně problém poslat podepsaný e-mail, nemají v něm fakturu vůbec posílat - mají poslat jen odkaz na web (HTTPS), kde si tu fakturu můžu stáhnout. Jak už jsem psal, já jsem odmítal platit předplatné časopisu na základě faktury z nepodepsaného e-mailu, a to by bylo mnohem těžší vyrobit fakturu s věrohodnými údaji. Údaje pro ty doménové faktury si každý může najít na internetu. Navíc jde o ISP, který navíc registruje domény, tak by snad mohl tušit, jak snadné je zfalšovat e-mail.
Já jsem žádnou poznámku typu "na to může skočit jenom blbec" nenapsal. Napsal jsem, že je to "docela riskantní". A když si přečtete i mé ostatní komentáře, zjistíte, že kritizuju především registrátory domén, kteří posílají nijak nezabezpečené faktury. Je to jejich obrovská chyba, ti koncoví uživatelé se akorát chytili do pasti, kterou na ně jejich registrátor připravil. Chyba těch koncových uživatelů je akorát v tom, že od takového registrátora dávno neutekli.
Proplatit každou fakturu, která se vám dostane do ruky, to není "počítat se základní slušností", to je těžko uvěřitelná naivita. To by vás fakt netrklo ani to, kdyby to přišlo z jiné domény a v úplně jiném formátu? Tady to bohužel nebyla "každá faktura", ale byla to úplně stejná faktura, na jakou klienta registrátor léta zvyká. Takže v tomto případě pochopím, že neznalí lidé netušili, že od takového registrátora mají prchat jak nejrychleji můžou.
Snad to povede alespoň k tomu, že se mezi lidmi rozšíří povědomí o tom, že se neplatí na základě údajů z nijak nezabezpečené faktury. Bylo by fajn, kdyby tomuhle lidé přikládali větší váhu, než paranoie z ukládání dat do cloudu nebo z NSA.
Mimochodem, zajímalo by mne, kolik je těch "postižených" registrátorů. Já jsem v diskusích zaznamenal akorát Forpsi. -
Filip JirsákStříbrný podporovatel
Podepsaná faktura, podepsaný e-mail, odkaz na HTTPS. Cokoli z toho. Ideálně všechny tři.
Ono by se to podepisování nemělo týkat jen faktur, ale i notifikací o změnách apod. A ty zpravidla neobsahují PDF přílohu, ale jen tělo e-mailu. Ale máte pravdu, že ověřit podpis v PDF je obecně jednodušší, než ověřit jej v e-mailu (zvláště tom webovém). -
Jenda (neregistrovaný)
Zajímavé, já v Thunderbirdu pracuji s podepsanými maily bez nejmenších problémů. A co vím, tak třeba v Muttu nebo Apple Mailu to také funguje v pořádku.
Problém je naopak s Outlookem - http://www.piacitelli.org/oe.php. Je to neuvěřitelné, ale tato chyba je i v Live Mailu ve Windows 8.
-
Filip JirsákStříbrný podporovatel
Mne do včerejška nenapadlo, že je některý nepodepisuje. Web4u posílá elektronicky podepsané faktury. Dříve jsem dostával podepsaný i celý e-mail s fakturou, dnes ne - nevím, zda přestali e-maily podepisovat, když je podepsaná faktura, nebo zda je to proto, že jsem přešel na předplatné. U Web4u je chyba v tom, že odkaz na ověření faktury v e-mailu vede na HTTP.
