Vlákno názorů k článku
Velká Británie bude udělovat pokuty za výchozí hesla v zařízeních
od uname-a - druhý bod je celkom zaujímavý aj keď mnohým...
-
druhý bod je celkom zaujímavý aj keď mnohým ľuďom je to asi jedno a nerozumejú tomu, ale môže to pomôcť pri rozhodovaní ktorý produkt si kúpim.
prvý bod je celkom srandovný, pokutovať výrobcou zato že dajú ľahké default heslo.
ale keď si užívateľ nastavý v novom zariadení svoje ľahké tajné heslo, ktoré používa všade tak to je už jedno. keď už štát chce ochrániť občanov / užívateľov bolo by rozumnejšie ich o tom vzdelať. -
Edukace je samozřejmě naprosto zásadní a měla by na tuhle změnu zákona určitě navazovat. Ten zákon sám řeší častá napadení systému přes výchozí hesla. Viděli jsme už u mnoha zařízení. Pořád je o kus lepší, když si uživatel nastaví hloupé unikátní heslo, než když budou mít všichni automaticky stejné, nedej bože nezměnitelné.
-
Jenomže ten zákon na to jde špatně - místo aby vynucoval zodpovědnost za zařízení připojené do sítě a jeho činnost v ní, vynucuje jeho provedení, do kterého mu nic není. To je paternalistický přístup státu jdoucí na ruku blbcům a z odpovědných lidí ty blbce dělající, znak diktatur. Co se stane, když i přes silné heslo bude moje zařízení v botnetu škodit? Bude moje odpovědnost stále 0?
Nikam jsme se neposunuli. -
Filip JirsákStříbrný podporovatelVynucovat tu podstatu by bylo velmi obtížné. Navržený způsob naopak velmi efektivně řeší ty nejčastější a nejproblematičtější případy. Vy byste chtěl 100% řešení, kterého ovšem nikdy nedosáhnem. Velká Británie volí ošetření 20 %, které ovšem stojí za 80 % průšvihů. (Ta čísla samozřejmě nejsou skutečná, odkazují na známé pravidlo 80/20).
Ponechat to na odpovědnosti firem a zákazníků evidentně nefunguje – nic nebrání firmám prodávat zařízení, která nebudou mít sdílená výchozí hesla. Nic nebrání zákazníkům hned po instalaci výchozí heslo změnit. Bohužel je ale stále spousta firem i spousta zákazníků, kteří se odpovědně nechovají.
-
1) Výchozí heslo je, že si kupíš auto, dostaneš k němu univerzální klíč musíš si sám nechat vyměnit zámky. Požadovaný stav je dodávat auta každý s jiným klíčem...
2) Jasně, takže BFU si bude sám kompilovat firmware z uzavřených zdrojáků, který nemá, aby měl podporu.
3) Bezpečnostní chyby se budou hlásit skrz úředníka, kterýho si zaplatí z daní, nerozumí tomu, polovinu nezapíše a polovinu nepochopí? Nebo to měsíc pozdrží a mezitím prodá zranitelnost na černým trhu?
Takovýhle zákon bych u nás bral všema deseti
-
Chcete to celé hodit na uživatele, ok.
A teď: Kolik z nich je vůbec schopno to opravdu správně nastavit? A to se bavíme jen o hesle. O aktualizacích pomlčím. 25% lidí má IQ do 90, ti to prostě mentálně nedají, byť by se rozkrájeli.Vám to přijde snadné, jste zřejmě z oboru. Zkuste si promítnout obdobnou situaci třeba do farmakologie. Taky prolezete všechna VŠ skripta a odborné články, než si vezmete lék? Taky si budete aktualizovat znalosti při každém jeho použití? Měl byste, je to přeci vaše zodpovědnost.
Zkuste domyslet důsledky toho, že každý, kdo připojí 'nevyhovující' zařízení k síti, je za to (trestně?) odpovědný. Dokážete domyslet sociální dopady takového zákona?
-
No dobře... Předpokládejme, že jsem zodpovědný zákazník, který chce mít zabezpečené zařízení typu router, protože mám tu zákonnou zodpovědnst, jak požaduješ:
Přijdu do obchodu (e-shopu), def. hesla mne nezajímají, nastavím si vlastní, uberbezpečné. prohlížím si štítky a popisky produktů... A chybí mi informace o aktualizacích. Tak se zodpovědně zeptám prodejce, bo bezpečnost především. Ten neví, výrobce to neuvádí... No dobře. Vyberu si tedy něco, co vyadá, jako podporované výrobcem.
Doma zařízení rozbalím a v souladu s bezpečnostními pravidly nastavím. Ale ejhle, za měsíc objevím chybu, která umožňuje vzdálený reset hesla v zařízení. Defaultní heslo je veřejně známé. Co teď? Nahlásím výrobci. Aha, není kam. Půjdu reklamovat, chci jiné zařízení nebo opravu. Ale vždyť zařízení funguje, reklamace neuznána! Co teď... Mám relativně drahé zařízení, které nesplňuje zákonné požadavky, za jejichž splnění zodpovídám já.
Takže ano, je potřeba, aby i koncový uživatel měl zodpovědnost za to, co připojuje do sítě, ale je potřeba mu přidat možnost dokázat, ze pro to udElal maximum. Aby to nebyla podobná prasárna, jako objektivní zodpovědnost provozovatele vozidla: mám zodpovědnost za něco, co nemám jak zajistit.
-
OK, já opravdu chci a pokládám za správné, aby nebyl internet zamořený botnety. Kdo to má vymáhat? Trh to nevyřešil a nevyřeší. Takže stát ve svém zájmu.
Má stát dohledávat a přísně trestat běžné lidi, co si zapomněli defaultní heslo ve své krabičce, která pak dělala lotroviny? Nebo má každého majitele routeru nějakým způsobem proškolovat a testovat, jako u dopravních předpisů? To je přece bláznivé.
Takže za mne - radši jemná prevence u výrobce, než tvrdá represe uživatele.
