Hlavní navigace

Názor ke zprávičce Podvodný e-mail napodobuje Českou poštu od Filip Jirsák - Má, ale oboustranně. Na jedné straně nesmíte podvádět...

  • 19. 10. 2020 18:13

    Filip Jirsák

    Má, ale oboustranně. Na jedné straně nesmíte podvádět a jste za to trestán. Na druhé straně musíte taky pečlivě vybírat, s kým obchodujete, protože v případě problému Vás nechrání úřady, ale víceméně jedině soud.
    Tedy přesně to, o čem jsem psal.

    Internet není připravený na to, aby dokázal dobře bezpečně zpracovávat tak důležité informace, jaké dnes požadujeme. Buďto musíme přidat (ale to musí někdo zaplatit), nebo je taky možné uvažovat i o tom, že všechno se holt na internet hodí.
    Jenže my přes internet ty důležité informace už dávno posíláme. Takže reálná už je jenom ta první varianta, že tam tu bezpečnost musíme přidat. No a vzhledem k decentralizované povaze internetu je jediná možnost – každý bude zodpovědný za svou část sítě.

    Bohužel, jsme svědky spíš toho, že se od zabezpečení ustupuje - viz např. ověřování pomocí SMS, které je mnohem děravější (ale levnější) než např. původní SIM toolkit (který umřel na úbytě).
    To je ale výsledek toho dvoustranného vztahu, kdy si banky vyhodnotily, že se jim to riziko vyplatí. Navíc ty SMS byly dočasné řešení, dnes banky přecházejí na mobilní aplikace jako druhý faktor.

    Samozřejmě lze, jak píšete, tu dobu řídit uměle
    Jsem velmi silně přesvědčen o tom, že to, co je v tomto případě „umělé“ a co „přirozené“ je vaše arbitrární rozhodnutí. Že nedokážete popsat žádné pravidlo, které by umělé ve vašem pojetí rozlišovalo od přirozeného.

    Pokud je to takto ostře položené, pak by měla znít i druhé, stejně legitimní myšlenky:
    Ony to jsou spíš otázky než myšlenky. Pokud jste si ty otázky ještě nepoložil a hledáte na ně odpověď, tak si je klidně pokládejte. Já už jsem si na ně odpověděl a ta odpověď je dost jednoznačná.

    do technického zabezpečení bezpečnosti začneme pumpovat obrovské náklady
    Ono právě vůbec není potřeba pumpovat do bezpečnosti obrovské náklady. Ty obrovské náklady způsobuje pár škodičů. Stačí je vytlačit na okraj, čímž se ty náklady dramaticky sníží.

    Chránit svoje práva by měl především každý sám.
    To je neefektivní.

    To není o implementaci, ale o ústavním imperativu.
    Ale vůbec ne. Je to úplně obyčejné delegování odpovědnosti. Když se smluvně zavážete, že něco uděláte, můžete pak celou tu smlouvu postoupit někomu dalšímu. Ale celou, nemůžete postoupit jen část smlouvy a zbytek by se prostě vypařil.

    Bohužel, u nás se zavedly nesmyslné parkovací zóny. Lidé, kteří platí daně z pořízení auta, ze mzdy, za kterou ho kupují, z paliv, která vyčerpají, nesmí na spoustě míst uvažovat o zaparkování na ulicích, které byly vybudovány a jsou udržovány z jejich daní. Ti, co zaplatí za parkovací kartu, se pak právem cítí ukřivdění, že přestupci jim berou "jejich" místa.
    Jenže ty daně platí i všichni ostatní. Takže není důvod, proč by to místo mělo být vyhrazené zrovna pro majitele aut. Že se ti, co zaplatili parkovací kartu, cítí ukřivděni, je sice pochopitelné – ale rozhodně to není právem. Právem by to bylo, kdyby platili tržní nájemné.

    S tou bezpečností na internetu je to podobné. Snažíme se vymyslet doktrínu ze stavu, který je už nyní nepřirozený.
    Zajímalo by mne, jaký význam má podle vás slovo „přirozený“.

    Zjednodušeně, pokud dojde ke zpracování TLS vrstvy, tak stejně prohlížeč musí dál s HTTP protokolem pracovat. S tím tolik starostí nebylo a není.
    Zkuste si nejdřív přečíst celý text, a až pak reagovat na jeho význam. Tady bylo zřejmé, že jde o práci s HTTP vzhledem k uživateli. Že musí uživateli signalizovat věc, která je v roce 2020 nepochopitelná – totiž že komunikace není šifrovaná.

    To jsou tři stavy (nezabezpečeno => zabezpečeno, ale nevím s kým mluvím => zabezpečeno a vím s kým mluvím).
    Takže musely. Protože ty tři stavy jsou pro uživatele naprosto nesrozumitelné. O čemž svědčí i to, jste ten třetí stav popsal špatně. „Vím s kým mluvím“ je totiž součástí zabezpečení, bez toho nejde zabezpečení udělat. Třetí stav ve skutečnosti byl „znám nejen doménu, ale také název firmy/subjektu“.