Hlavní navigace

Názor ke zprávičce Podvodný e-mail napodobuje Českou poštu od Miroslav Šilhavý - Podle mne má individuální odpovědnost v USA mnohem...

  • 19. 10. 2020 16:23

    Miroslav Šilhavý

    Podle mne má individuální odpovědnost v USA mnohem větší váhu, než v Evropě.

    Má, ale oboustranně. Na jedné straně nesmíte podvádět a jste za to trestán. Na druhé straně musíte taky pečlivě vybírat, s kým obchodujete, protože v případě problému Vás nechrání úřady, ale víceméně jedině soud.

    nemůžete bezpečnost dimenzovat ani podle nejméně cenné věci, ani podle průměru, ale podle nejcennější věci

    Ne každé místo je vhodné pro uložení zlatých cihel. Internet není připravený na to, aby dokázal dobře bezpečně zpracovávat tak důležité informace, jaké dnes požadujeme. Buďto musíme přidat (ale to musí někdo zaplatit), nebo je taky možné uvažovat i o tom, že všechno se holt na internet hodí.

    Pak jsme taky u toho, kdo by to měl platit. Část agendy potřebuje stát, ale např. služby bankovnictví, pošty, e-shopů, ..., jsou v zájmu oněch provozovatelů. V tomto bodě by měla nastoupit ta oboustranná individuální odpovědnost. Je na vztahu banky a jejího klienta, pošty a jejího klienta, aby oboustranně trvali na dostatečném zabezpečení. Bohužel, jsme svědky spíš toho, že se od zabezpečení ustupuje - viz např. ověřování pomocí SMS, které je mnohem děravější (ale levnější) než např. původní SIM toolkit (který umřel na úbytě).

    Pokud velkou většinu e-mailů tvoří spam, není řešením výrazné označování, ale blokace nežádoucího provozu. Samozřejmě ne hned na začátku, ale musí to k ní velmi rychle směřovat. To je totiž jediná okamžitá výhoda pro provozovatele – že se snadno zbaví velkého množství spamu.

    Byl bych opatrný. Hmotný svět nedokázal zavádět absolutní a drakonická opatření. Každá změna měla svůj náběh, ustalování, setrvačnost. Doba se řídila skutečnými možnostmi, ne názorem "jednotlivce" s prstem na vypínači. Samozřejmě lze, jak píšete, tu dobu řídit uměle - jenže na to neexistují zatím žádné mechanismy, které by chránily před unáhleností a před tím, aby nepřevládly nízké zájmy.

    Umíme vyrábět zařízení, která chceme dát do rukou spoustě lidí včetně dětí, přičemž ta zařízení mohou ohrožovat desítky lidí (auta) nebo dokonce tisíce lidí (zařízení připojené k internetu).

    Pokud je to takto ostře položené, pak by měla znít i druhé, stejně legitimní myšlenky: 1) nebude to ve výsledku dražší, než oželet tyto technologie? (ujaly se jen díky jejich široké a laciné dostupnosti, čímž se to možná popře), 2) nepřejeme si možná víc regulovat tyto možnosti? Sám na to jasný názor nemám, ale určitě bych tyto otázky nevylučoval z úvah. A pojďme dál: pokud se internet ujal jako rychlé a levné medium komunikace, pak poté, co do technického zabezpečení bezpečnosti začneme pumpovat obrovské náklady, nebylo by opravdu lepší, aby ty náklady v nejvyšší možné míře nesli ti, kteří je konkrétně využívají? Ono by se možná ukázalo, že "zadarmo" je poměrně drahé.

    Lidé vždycky nakonec přišli na to, že je lepší, když platí zákony, než když se každý musí starat o svou bezpečnost sám.

    To se podle mě vůbec nevylučuje. Zákony Vám dávají vodítko a oporu v tom, co chcete. Chránit svoje práva by měl především každý sám. Lidé, zejména v Evropě, si to trochu odvykli. Výsledkem je, že výrobci potravin nám pak říkají, že preferencí spotřebitele je co nejmenší obsah masa, nebo že ekonomický pokles v době pandemie může jen vláda.

    Takže ta objektivní odpovědnost bude muset být zavedena – akorát samozřejmě musí být zavedena pořádně, tj. když někomu odpovědnost předávám, musím to udělat prokazatelně a předávám odpovědnost se vším všudy.

    Ve Vašem pojetí by to znamenalo, že by se to projevilo na ceně ke spotřebiteli - což konvenuje i s mým názorem. Už jsem psal, že to je hezká myšlenka, ale nepřijde mi reálná.

    To, že u aut platí objektivní odpovědnost jen v první vrstvě ale dál už ne, je samozřejmě jen hloupá implementace.

    To není o implementaci, ale o ústavním imperativu. Přestoupení zákona musí být prokázáno, a to nejde bez viníka. Představte si zaměstnavatele, který půjčí auto zaměstnanci (zcela legální), ten půjčí auto manželce (poruší tím pracovní předpis, ale ne zákon), ta se vymluví z práce (poruší pracovní předpis) a udělá se jí špatně. Zaparkuje auto (legálně, musí konat, zavolá si doktora) a odjede. Reálně tedy přestupek nebyl spáchán, ale kdyby měl ji měl její manžel naprášit, tak by se u ní v práci provalilo, že se ulila z práce. K tomu není manžel povinován, dokonce není ani povinován ji naprášit, i kdyby se o přestupek jednalo (základní právo, platící ve všech zemích). V tu ránu Vám chybí subjektivní stránka přestupku a tu nedotáhnete ani odlišnou implementací.

    Řešení je: pokud auto tvoří překážku (třeba i jen ve výhledu), lze ho odstranit na náklady provozovatele. Pokud netvoří překážku, pak není v zásadě co řešit - nic se reálně nestalo a přestoupení nebylo prokázáno.

    Bohužel, u nás se zavedly nesmyslné parkovací zóny. Lidé, kteří platí daně z pořízení auta, ze mzdy, za kterou ho kupují, z paliv, která vyčerpají, nesmí na spoustě míst uvažovat o zaparkování na ulicích, které byly vybudovány a jsou udržovány z jejich daní. Ti, co zaplatí za parkovací kartu, se pak právem cítí ukřivdění, že přestupci jim berou "jejich" místa.

    S tou bezpečností na internetu je to podobné. Snažíme se vymyslet doktrínu ze stavu, který je už nyní nepřirozený.

    Pokud si mám vybrat mezi bankovnictvím dnes a před dvaceti lety, beru jednoznačně dnešek.

    Kdybych měl dělat tolik operací, a tak rychle, jako dnes, tak bych opravdu se službami před dvaceti lety nevystačil. Jenže co je příčina, a co důsledek? Pochybuji, že je to jen reakce na potřeby, z velké části je to reakce i na možnosti.

    No jo, ale to je dané především tím, že se prohlížeče musí pořád starat o vámi tolik propagované HTTP.

    Zjednodušeně, pokud dojde ke zpracování TLS vrstvy, tak stejně prohlížeč musí dál s HTTP protokolem pracovat. S tím tolik starostí nebylo a není.

    Prohlížeče si musely vybrat, jestli uživateli indikovat rozdíl mezi HTTP/HTTPS nebo mezi OV/EV.

    Nemusely.
    Jedna indikace říká zabezpečeno / nezabezpečeno (HTTPS / HTTP). Druhá říká: vím s kým mluvím / nevím s kým mluvím. To jsou tři stavy (nezabezpečeno => zabezpečeno, ale nevím s kým mluvím => zabezpečeno a vím s kým mluvím). Zabít ten třetí, nejžádnoucnější stav byla blbost. Vzdálilo nás to od bezpečnosti víc, než nás šifrování k ní přiblížilo.