Názory k článku
V USA bude od příštího roku povinné značení bezpečnosti IoT zařízení

"Značení by mělo být jednoduché, zřejmě bude ve formě čárového nebo QR kódu"
Už jsem se dlouho tak nepobavil...

Představte si, že třeba v krámě nemáte cenovky, jen čárové kódy na zboží...

V Číně (resp. Asii) je úplně normální, že na zboží jsou QR kódy, pomocí kterých se můžete dozvědět nejen informace o zboží, ale i mluvit s prodejcem (resp. chatovat). Je to lepší než miniaturní písmo na nenápadném místě.

V Číně je též normální, že smartphone je defakto povinnost vynucená okolnostmi potažmo státním šmírováním. To opravdu chceme i tady? Aby člověk bez přístroje byl méněcenný?

Heleďte pane údržbář... a když máte na nějakým poživatelným produktu vypsaný Ečka, tak tam je vypsanej i elaborát o tom, co je to za sloučeninu, jaký má vliv na člověka a relevantní studie? Prdlajz. Běžný člověk by vytáhnul mobil a našel si to na wiki. Ve vašem případě musíte odejít z krámu, dojít do městské knihovny v otvírací době, najít Ottův slovník naučný a nakonec mrzutě pokrčit rameny, že tam to není a že víte prd. To mi nepřijde zrovna praktické. Ale zase máte svou svobodu, to je pravda.

Při představě, že by se všechny potřebné informace natiskly na obal / příbalový leták, tak ke každé věci v krámě bude ekvivalent zlatých stránek.

Ale když odhlédneme od malicherností - představte si, objeví se nové CVE na ten produkt, díra jak Brno. Stáhnou se všechny ty produkty z trhu a bude se s tím provádět nějaká šíleně nákladná a neekologická akce? Když to bude natištěné na obalu, že je to bezpečný, tak asi ano. Když tam bude QR kód odkazující někam, kde bude aktuální analýza bezpečnosti, tak tohle odpadá, pokud ta věc nebude opravdu smrťák.

A proč všechny? Mě by stačilo, kdyby tam bylo na jak dlouho se výrobce zavázal dodávat bezpečnostní aktualizace. Tohle by stejně měl mít rozmyšlené před uvedením na trh. Zbytek může být přes QR kód.
Nojo, ale to by byl moc velký poprask, kdyby člověk u telefonu uvedeného teprve před rokem viděl že aktualizace budou už jen rok. To by pak možná nekoupil ani ten BFU.
Jenže když tam bude jen a pouze QR kód, tak to BFU ani nebude řešit a nebude to zohledňovat.

Že ten přístroj musíte doma zapojit do elektrické zásuvky, to vám nevadí? Že je tam něco napsané latinkou a ne obrázkovým písmem, to vám nevadí?

Smartphone mít nemusíte. Informace dostáváte zakódované odkazem v QR kódu. Jestli si ten kód chcete dekódovat ručně s tužkou a papírem, nikdo vám nebrání.

Jak jinak by jsi chtěl tu informaci podat, než přes odkaz na aktuální web. Leda tak samolepky které časem vyblednou a výrobce ti pošle nové s jinými údaji.

Uvítal bych to i na routerech, switchích, tiskárnách...
Kdo to má furt hlídat, jestli tam není zranitelnost.

Autor článku zapomněl na vysavače. Oblíbený výrobek DDoS útočníků.

22. 10. 2022, 23:02 editováno autorem komentáře

Co třeba klasicky písmenkama složenýma do slov a číslic, které si může člověk rovnou přečíst?
Nedávno jsem nějaký podobný bazmek s QR kódem místo návodu, odkazujícím na bližší informace na webu výrobce, měla v ruce. Mohl být tak dva-tři roky starý a po naskenování kódu jsem dostala jen chybovou stránku 404. Osobně dávám přednost něčemu trvalejšímu než je odkaz, který může kdykoli zmizet.

Abych si to lépe představil – byla by to pouhým okem neviditelná písmenka a k jejich přečtení by byl potřeba mikroskop, nebo by k té IoT krabičce byla drátem přivázaná brožura větší, než ta krabička, aby tam ta písmenka mohla být normální velikostí?

Hlavně v případě, že se u zařízení projeví nějaká zranitelnost, tak byste musel hned všechny brožury a text přepisovat.

Stačí stejné hodnocení, jako je u energetického štítku. Ten také neříká, kolik to skutečně žere a v jakých situacích. To si pak můžeš dohledat v manuálu. Ale na místě máš okamžité relativní srovnání.

Stejně tak to může být u té bezpečnosti. Např. výrobce neposkytuje aktualizace (po předepsanou dobu, předepsaným způsobem, ...) = propadá se na nejhorší pozici. A je to jasně a rychle sdělené i úplnému neználkovi. Odborník si to pak může dohledat na tom webu, kterému by stejně ten neználek nerozuměl.

Ale hlavní přínos je určitý tlak na výrobce, aby se tím zabývali.

Cenový dopad?

Uspora.

Označením a zaplacením certifikátu se změní spotřeba zařízení? Zajímavé ...

Byt jsem v IT uz 30 let... nikdy jsem nepochopil to Energy Star logo pri bootu. Pada to do stejnych omalovanek, jako tucnaci podle jader, nebo to zhulene 80+ znaceni a jine "nalepky do poctu" (flashback do elektro kramu, kde jsou televize polepeny co nejvice symboly).

Jestli nekdo chce delat nejakou certifikaci, tak to nemuze byt podminena nalepka - ale musi byt absolutni.

Tj. energy star by melo rikat: You are getting 0.5W power off / 1W idle

Nebo 80+ by melo zobrazovat graf ucinnosti a hlasku - your system has 85%/90% power delivery efficiency in idle/maxload (byt absolutni propalene waty by byly zajimavejsi pro nektere)

Lidi tomu ale nerozumi. 5 hvezdicek/carek/tuc­naku je pro blbce furt lepsi nez 3.

Právě tato nařízení s hloupými logy dělá z lidí blbce. Každý asi chápe pojem účinnost a kdo ne, tak má možnost si to zjistit. A porovnat si výrobky na základě čísla účinnosti asi zvládne taky každý. Toto nařízení jen tahá z firem peníze na nějakou certifikaci. Nedělejte z lidí větší blbce než jsou.

Naprosta vetsina americanu netusi co je to ucinnost. Netusi. Ano, tohle narizeni taha z firem penize a ve finale to samozrejme zaplati zakaznici. Typicky americky clovek ale nechce cist nejaky popis vyrobku, nechce zjistovat ktere z cisel 137,178,234,98,320 je lepsi. Typicky americky clovek se podiva na pocet hvezdicek/tuc­naku/carek a rozhodne se dle ceny.

ty tucnaci ale nejsou zadna certifikace, je to proste jen prosty pocet jader, podobne jako post zobrzuje (zobrazoval) pocet disku ;-)

Energy Star označuje skutečný přínos (úspory spotřeby elektrické energie). V současné verzi je už 8. aktualizovaná verze, ale Evropa se na to vybodla. Máme vlastní přístup - označujeme evironmentálně více zatěžující produkty nálepnou 0% emisí CO2 a říkáme tomu Green Deal.

Když úspora, tak musí být vztažena vůči něčemu. Takže vůči čemu? No a jak to vypadá v normálnách jednotkách, třeba ve wattech?

Evropa se na to nevybodla, jen se rozhodla dělat si vlastní označení A-F. Holt amíci jsou trošku slabší, jak průměrný evropan a umí jen počítat hvězdičky, průměrný evropan rozumí i abecedě myslí EU ;)

BTW. to řešení přes čárový kód je na kokos, měli to také udělat s hvězdičkami nebo pruhy, protože každý přece ví, že čím víc pruhů tím víc Adihaš.

Chci vidět ty amíky jak v obchodě tahají mobil a v něm někde u každého hejblátka luští na webu a sami si podle informací, jak dlouho a často to bude výrobce patchovat, vyhodnotí, jestli je to dost bezpečné...

Ucinnost vzhledem k cemu? Ucinik zdroje? Instrukce za sekundu? Recyklovane teplo mycky pri myti nadobi? Odpadni teplo pri nrjakem profilu zateze?

Aha, tak misto jasneho vypovidajiciho loga na prvni pohled nezjistim nic. Takze budu chodit s cteckou a cist vsechny produkty na eshopu. Vyborna vec :D a co se jednou na krabicku vytiskne, uz nemusi platit kdyz to bude v krame preci.

Jak byste všechny ty informace napsal do jednoho loga? To, na co se bude odkazovat to značení, odkazuje na principy, na politiku. Pokud výrobce garantuje 5 let bezpečnostních záplat od uvedení na trh, platí to i když ten výrobek bude za dva roky v obchodě na regálu. Navíc tam bude QR kód s odkazem na web, kde se to může aktualizovat – na rozdíl od toho, kdyby to bylo na krabici vytištěné logo.

Teoreticky ano, já se třeba nebráním qr kodu, ale mít tam jasnou stupnici, třeba jako teď značíme pneumatiky mi připadne jednodušší a je to lepší pro lidi co jdou na nákup "náhodně" a až mají v ruce třeba dva, tři výrobky oskenují si qr kody, ale mít jen qr kod, to by člověk strávil v obchodě mladí.
Kdo si vybírá v eshopu většinou čte i recenze nebo se podívá na stránky výrobce, takže je qrkod vice méně redundantní.

Jak chcete údaje jaké má zařízení garantované aktualizace, zdali používá šifrování a jestli používá opravy známých zranitelností dostat do jedné stupnice? Na e-shopu asi nebude QR kód, bude tam přímo odkaz. Podstatné je, aby ty informace na webu výrobce vůbec byly. Dneska tam v drtivé většině případů nejsou.

Třeba ve stylu EuroNCAP. Pět hvězdiček to dostane jen když má všechno 100%, za nedostatek v libovolné kategorii hvězda dolů. Když pak uvidím produkt, který má 5/5, a vedle něj produkt s 3/5 hvězdami, tak beru ten "lepší", protože mi bude ukradený jestli ten "horší" má demerit za absenci garance aktualizací na X let nebo za hesla v cleartextu.

Jak dlouho se vyrobce zavazuje dodavat aktualizace: jedno dvoucisli roku (do roku 2025 -> 25). Jestil vyrobce pouziva sifrovani: jedna zelena fajfka. Dalsi a podrobnejsi informace muzou byt odkazem pres QR kod.

Nemusi tam byt vsechno. Ale treba dobu aktualizaci bych rad videl hned, bez nacitani QR kodu.