Názory k článku
Vláda schválila nový pokus o migraci státní správy na jednotnou doménu .gov.cz do roku 2025

Kdo věří tomu, že se to stihne v navrženém harmonogramu a rozpočtu nechť dá like Jak by řekl klasik "To bude pruuser"

17. 8. 2023, 11:33 editováno autorem komentáře

Usneseni vlady c. 727 z cervna 2009 neni naplneno dodnes :-)

Legracni je ovsem vladni argumentace phisingem apod, co pry *.gov.cz vyresi. Uz ted se moc tesim na utoky zneuzivajici *-gov.cz. Zamenit tecku a pomlcku... to se jiste lidem nemuze stat ;-)

Trapne je, ze ani to digitalnicesko na ctrnact let stare usneseni kasle. The Country for the Future. Presneji tedy spise The Museum for the Future :-)

; <<>> DiG 9.18.16-1-Debian <<>> digitalnicesko.gov.cz @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56122
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;digitalnicesko.gov.cz.     IN  A

;; ANSWER SECTION:
digitalnicesko.gov.cz.  3600    IN  A   5.180.201.62

;; Query time: 21 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)

Aha ted vidim tu hvezdicku... no tak cesky bych problem vyresil pouze frazi "to je blby".

17. 8. 2023, 12:53 editováno autorem komentáře

Kde přesně tam vidíte slovo „vyřeší“?

Každopádně dneska je ten problém prakticky neřešitelný (nikdo si nemůže pamatovat desítky domén institucí veřejné správy). Používáním domény gov.cz se dá uživatelům do ruky jednoduchý nástroj, jak to vyřešit. Protože pak už bude stačit pamatovat si tu jednu doménu .gov.cz. To, jestli si uživatel dá pozor i na tu tečku, je už na něm – ale není to tak pracné, a – na rozdíl od zapamatování si desítek domén – je to možné.

Jasne, zeleny zamecky v prohlizecic fungovaly a EV certifikaty obdobne skvele... tak skvele, ze se od toho nakonec upustilo :-) S gov.cz to bude podobne, navic zamenit prave pomlcku a tecku jde pomerne snadno, ostatne to bylo videt i na tech phisingach MPSV - tam se zkratka mpsv vhodne obalena pomlckami realne objevovala...

A kde to pisou? Treba borci z DIA na Twitteru/X explicitne rikaji, ze phisingove utoky budou mit diky gov.cz utrum. Coz je samozrejme nesmysl.

Tak ono by bylo skoro nejlepší mít top level doménu "." ale ono i to je pro některé jedince snadno zaměnitelné. Problém tedy asi řešení nemá.

Jasne, zeleny zamecky v prohlizecic fungovaly a EV certifikaty obdobne skvele...
Pokud chcete s mými komentáři polemizovat, polemizujte s tím, co je v nich napsáno. Polemizovat s něčím, co jsem nenapsal, je poněkud hloupé.

S gov.cz to bude podobne
Jistý drobný rozdíl tu je. Zatímco zelený zámeček si může pořídit každý útočník, doménu pod .gov.cz by si neměl umět pořídit žádný útočník.

zamenit prave pomlcku a tecku jde pomerne snadno
Jak jsem psal v komentáři výše, phishing nejde zastavit na straně poskytovatele služeb, zastavit ho může pouze uživatel. Poskytovatel služeb ovšem rozhoduje o tom, zda to zastavení bude prakticky nereálné (pokud by si měl uživatel pamatovat desítky domén), nebo velmi jednoduché (rozlišit tečku a pomlčku). Že to spousta lidí nebude kontrolovat? Ano, to je pravda – těm ale není pomoci. Jde o ty, kterým se pomoci dá.

ostatne to bylo videt i na tech phisingach MPSV - tam se zkratka mpsv vhodne obalena pomlckami realne objevovala...
Ano, ale k odhalení tohoto phishingu by bylo nutné vědět, že oficiální doména MPSV je mpsv.cz. V tomto případě to ještě není tak těžké, ale máme také weby ministerstev justice.cz, army.cz, měli jsme datoveschranky­.info…

A kde to pisou? Treba borci z DIA na Twitteru/X explicitne rikaji, ze phisingove utoky budou mit diky gov.cz utrum. Coz je samozrejme nesmysl.
Příště zkuste dát správný odkaz hned na první pokus. Tweety mají obvykle omezený počet znaků, takže jsou to často spíš taková marketingová hesla a každý chápe, že tam může být nadsázka či zjednodušení. Ostatně zrovna vy upřednostňujete údernost vyjádření před faktickou správností neustále, tak byste mírnou nadsázku mohl tolerovat i u jiných.

ale přece ochrana před phishingem není jen o tom, že uživatel si dává pozor, ale že i za něj někdo dává pozor.

Dneska ověřování webu, na který míří nějaké odkazy s výzvou je velká pátračka po tom, jestli to je legitimní web nebo nikoliv. To jsou hodiny času než se rozhodne o blokování provozu.

*.gov.cz to poměrně snadno řeší a minimalizuje míru pochybností. Stejně tak by posloužil i někde umístěný aktualizovaný seznam. Je utrpení, když člověk narazí na web, který se tváří jako oficiální, registrovaný je na FO, běží na nějakém veřejném hostingu a člověk se musí zeptat dané instituce, jestli jim web opravdu patří aby po několika dnech odpověděli, že ano, že je jejich (např. počátky novazelenauspo­ram.cz, kdy posílali odkazy všude možně).

Je naivní si myslet, že bezpečnost visí pouze na uživateli a jeho bezchybnosti v kontrole domény. Řada systémů dneska už ani tu doménu řádně nezobrazují (web view v mobilních aplikacích, samoobslužné kiosky nebo i mobilní prohlížeč to pěkně schovává).

Ale tomu může zabránit CZ.NIC aby nepovolil domény končící na gov.cz.

mpsv-dotace-gov.eu

Tohle ale je ale úplně jiná doména, tomu nezabráníte nikdy stejně tak to může být. gov.cz.dk. Ale přeci jenom ověřit, zda doména končí na .gov.cz je trochu snazší.

A obec Grygov se bude muset přejmenovat,...

Tak tady se přímo nabízí grygov.gov.cz . Mimochodem grygov.cz nepodporuje ani TLS 1.2, takže změna domény je to poslední co by je mělo trápit.

Tak to hypoteticky mohl uz davno a treba i pro MPSV a dalsi second-level domeny statni spravy, lec nestalo se tak. Ono "gov" samo o sobe neni neco, co by bylo exkluzivne oznacitelne jako specificky vladni/statni, ono tim muzete zkratit spoustu dalsich veci, ze? A i u nas se najdou firmy, co maji "GOV" ve svem nazvu a zadny zakon nezakazuje jmeno takove pravnicke osoby zaregistrovat. A dokonce najdete podnikajici fyzickou osobu, ktera ma ve svem jmene "Gov". A proc by si oni nemohli zaregistrovat domenu s -gov, chcete je diskriminovat? :-) Ono na prvni pohled jednoduche reseni zas tak jednoduche neni.

Nac se namahat s nejakou teckou, kdyz je tu domena G0V.CZ :-)

doufam ze patri statu

Ani nemusí. Slepým to čtečka přečte jako nulu, a vidícím, kteří si nevšimnou rozdílu mezi g0v.cz a gov.cz, nepomůže nic.

Lze se presvedcit dotazem do registru, ze ke dnesnimu datu 19.8. patri soukromopravnimu subjektu

Proč?

Ve skutečnosti je potřeba naučit občany umět ověřit důvěryhodnost protistrany. Doména gov.cz to nevyřeší, možná ještě víc upevní stereotyp spoléhání se. Případné úspěšné napadení domény by pak mohlo mít nedozírné následky pro celou státní správu.

A jak by to melo fungovat? S tou podminkou ze obcan zvladne overit leda tak ze na neco klikne v browseru.

Většinou vychází z nějakých přesvědčivých pramenů. Stejně tak, jako každému psaní ve schránce nevěří (a v minulosti nevěřil). Pokud toto nedokáže, tak neohlídá ani .gov.cz.

A jak konkrétně? Poslal jsem už desítky žádostí o potvrzení vlastnictví webu na různé státní instituce. Problém to je zejména v počátku, kdy web vznikne a ještě není dostatečně zažitý, často ho doprovází řada výzev, abych na tom webu něco vyplnil, že tam jsou informace a šíří se to dost natualisticky (s covidem jsme to viděli).

Kde vezmu ty přesvědčivé parametry? Když člověk začne podle toho, kdo vlastní doménu, občas se prostě jenom diví a diví https://www.nic.cz/whois/contact/A24CONTACT-18552/, takovýhle kontakt si udělá kdokoliv, není tam zveřejněno nic, co podléhá nějaké kontrole. A pak jen člověk čeká a čeká až se odkaz na daný web objeví jako tiskovka na jiném státním webu, zpravidla pozdě a náhodně.

Aby sme neboli abstraktny. Ja som nedavno riesil takyto web:
https://www.potvrdeniaonavsteveskoly.sk/
To je oficialny web cez ktory mozete ziskat potvrdenie o navsteve skoly. Ako mam zistit ze to nie nejaky vtip?
Ano hlupak to nezisti a niekto mu nieco podhodi, problem je ze ani IT specialista to nema ako zistit.

Ale pomoze.
My sme museli s bratom niekedy pred 2 mesiacmi skumat na webe, ci "edalnice.cz" je oficialna stranka na nakup e-znamky: Ziadne statne znaky, alebo nejake oficialne loga, katastrofa. Ako mam vediet ze "Státní fond dopravní infrastruktury" nie je nejaky podvodnik/sukrom­nik? Z kade to ma vediet cudzinec? - normalne budi pocit ze to oficialne nie je. A to vobec nie sme nejake informaticke nuly.
Pekne sme to videli pocas covidu - kadejake pochybne registracne stranky.
Ked budu tioeto weby pod .gov.cz tak je tu aspon nejaka indikacia *** pre tych, co si chcu nejak overit ***, ze sa jedna o statnu instituciu.
Napr. v nemecku maju statne weby v hlavickach aspon statne znaky/vlajky -> ktorych pouzivanie je nelegalne, pokial sa nejedna o statnu instituciu - po podvodnikoch moze ist hned policia pokial take znaky pouziju.
Ja som ani na slovenskych weboch nenasiel statne znaky. Proste hroza.

V tom DE myslis treba takovy bayern.de ktery nema zadnou oficialni nemeckou vlajku/znak na sve uvodni strance? A kdyz uz nekdo pacha trestny cin podvodu a chce okrast lidi, myslis ze mu nejaka vlajecka nebo statni symbol na fake webu budou cizi? Jinak s tebou souhlasim, je v tom totalni bordel a ani statni urednici netusi jestli je nejaka domena jejich nebo nekoho ciziho. Gov.cz ma urcite smysl ale pokud to dopadne jako mit povinnost ipv6 na kterou doted statni urady hazi bobek tak to potes.

Ta doména by měla být česky, když je pro Česko, třeba vlada.cz nebo stat.cz místo gov.cz.

Protože ta doména neslouží jenom pro vládu nebo jenom pro stát. Původně vznikla TLD .gov pro veřejnou správu USA, podle toho se pak dělaly různé státní domény druhého řádu pro veřejnou správu – a je jich docela dost: https://en.wikipedia.org/wiki/.gov#International_equivalents Osvědčilo se to, mezinárodně se to používá, není důvod vymýšlet zase vlastní českou cestu.

Koukam na diskuzi, a vidim nazorovy proud ze .gov.cz nic nevyresi, jen snizi pozornost. Proti tomu stoji protiproud ze pomuze alespon necemu.

Ja jsem za .gov.cz rad. Ja si dokazu .gov.cz pohlidat. Umim .gov.cz napsat klavesnici. Bude to 100x lepsi stav nez stavajici, kdy mam problem pochopit proc je brno.cz ale prostejov.eu.
A nejhorsi vubec povazuju mojedatovaschran­ka.cz - tohle proste zni jako web nejake firmy typu microsoft.
Jestli to BFU nepomuze a snizi jeho pozornost, tak s tim uz nemohu nic delat.

Dokud nekdo nevymysli nejake BFU odolne reseni... ale s necim takovym nikdo v diskuzi neprisel.

18. 8. 2023, 08:30 editováno autorem komentáře

Ale ono se to tyka jen organu ustredni spravy :-) Komunal si muze delat, co se mu zlibi a neni diskutovanym harmonogramem vlady nikterak vazan.

Když to shrnu, vadí vám, že harmonogram je moc krátký, že harmonogram je moc dlouhý, že je to pro někoho povinné, že to pro někoho povinné není. Prostě jste proti – je jedno, proti čemu, vlastně ani nemusíte vědět, jaký je plán, vy jste prostě proti.

Pan Jirsak si opet slozil svuj vyklad obohaceny o cteni z imaginarniho textu a obratem s nim diskutuje :-)

Myslel jsem, že vám to tak vyhovuje, když to tak sám děláte.

A datova schranka neni soucasti organu ustredni spravy?

Nenarážel spíš na to brno.cz a prostejov.eu?

Jo, narazel na brno/prostejov. Ale vybral si proste jen cast meho prispevku. Kdybych tu vetu s brno/prostejov nenapsal, tak mojedatovaschran­ka.cz porad velmi dobre ilustruje dany problem.

> Jestli to BFU nepomuze a snizi jeho pozornost, tak s tim uz nemohu nic delat.

Tohle IMO není moc dobrý směr uvažování. BFU je drtivá většina, takže dopad na ně je podstatně důležitější, než dopad na nás. A _vždycky_ můžete udělat minimálně to, že zachováte současný stav, pokud to vypadá, že ta změna může dopadnout špatně.
Tím nechci zatracovat gov.cz (v tomhle si fakt nejsem ani trochu jistý). Je chci zdůraznit, že vaše úvahy mají dvě zásadní chyby :
1) BFU jsou pro bezpečnost ten nejslabší a nejdůležitější článek.
2) Neudělat nic je vždycky jedna z možných "akcí".

Ten problem ze BFU polevi v pozornosti je stejne jen nesmyslny diskuzni strasak. Jelikoz se v momentalni dzungli vladnich webu nikdo nevyzna, tak se ani neda mluvit o nejake hypoteticke pozornosti BFU, protoze na co jako ma byt pozorny?

Kdyz ted chci BFU vysvetlit, jak poznat vladni web, nemam nic. Po zmene mu muzu rict, at nakonec napise .gov.cz (vlada.gov.cz, mzcr.gov.cz) a mam pro nej alespon jedno voditko.

Nesmyslny? Kdyz se pri zavadeni prednosti chodcu na prechodech argumentovalo zvysenim bezpecnosti, tak to taky nakonec dopadlo jinak. Jaka byla podle vas pricina? ;-)

Lidi stejne dal budou primarne vyuzivat vyhledavace a klikat na odkazy, co tam najdou. A nebo dal budou klikat na odkazy z mailu ci esemesek. A kontrola na to, ze tam je "nekde" gov.cz je tady osemetna. Spolehate na to, ze lidi maji v hlave parser URL, co mimo jine spravne oddeli authority (host) cast a path cast. Udelat tam chybu neni tezky.

Spolehate na to, ze lidi maji v hlave parser URL, co mimo jine spravne oddeli authority (host) cast a path cast.
Zkuste se znovu podívat do adresního řádku prohlížeče. Včera jste to považoval za očividné, do dneška se vám to zjevně vykouřilo z hlavy.

Že napíšete blbost, to se dá pochopit. Že pak kličkujete jako zajíc, když vás na to upozorní, a tváříte se, že jste nic takového nenapsal – to už se tak snadno pochopit nedá, ale dobře, neumíte přiznat chybu, děláte to takhle. Ale proč tu blbost napíšete druhý den znova, to je tedy zcela mimo mé chápání. To si myslíte, že když se to jednou provalilo, že je to nesmysl, že po druhé se na to nepřijde?

nezapomeň, že to .gov je informace i pro ty vyhledávače. Nějakou dobu jsem pro jeden vyhledávač pracoval a dostat se k seznamu státních domén, aby na některé vyhledávací výrazy člověk dostal přímý odkaz je pak nějak trochu těžké. I Google ten seznam má zadávaný a udržovaný ručně.

Pořád argumentuješ BFU a návštěvníkem.

Minimálně je jasné, že je to džungle. A můžete mu třeba říct, ať si zkusí daný úřad vygooglit. Tu a tam na té vygooglené stránce visí i varování.
Pokud dostanou BFU nějaké jednoznačné vodítko a budou se jím řídit, tak se na to vodítko samozřejmě zaměří i útočníci a budou se ho snažit co nejlépe napodobit.

Je otázka, nakolik se to napodobování podaří a kolik lidí ten falešný pocit jistoty dostane. Ale nesmyslný diskuzní strašák to určitě není.

"at nakonec napise"

Tys vzivote nevidel ani jednoho uzivatele inetrnetu ze?

BFU totiz nikdy nikam nic psat nebude. Coz je jeste okoreneno o to, ze addressbar kazdyho relevantnho browseru se chova jako vyhledavac, a to casto i v pripade, ze tam celou adresu napises, jen bez protokolu.

Takze BFu VZDY ve 100% pripadu klikne na odkaz z vyhledavace. Kam vede, je mu uplne jedno. Pokud mu to vrati g0v.cz ... tak klikne presne na to.

Viz komentář od ... výše:
"nezapomeň, že to .gov je informace i pro ty vyhledávače. Nějakou dobu jsem pro jeden vyhledávač pracoval a dostat se k seznamu státních domén, aby na některé vyhledávací výrazy člověk dostal přímý odkaz je pak nějak trochu těžké. I Google ten seznam má zadávaný a udržovaný ručně."

I na googlu jde vidět, že spousta adres jsou prominentní a žádný jiný web se před ně nedostane. Jít na státní web z googlu nebo seznamu je celkem v pohodě situace.
Jde o případy odkazů z emailu nebo sms. A třeba BFU v mém okolí už jsem naučil že na tyhle klikat nemá, že musí dojít na banku vždy vlastní cestou (záložka, adressbar, vyhledávač).

Boure ve sklenici vody. Neco se schvali, vetsina statnich uradu bude na to prdet jako na spousty jinych veci a zamete se to pod vyjimku. Par domen se za volebni obdobi stihne zmigrovat a po volbach prijde nekdo kdo rekne ze ta migrace par webu stala 8miliard a ze to neni priorita. Napad dobry, realizace dopadne jako naprosta vetsina statnich IT projektu.

Za me .gov.cz urcite prinos. Ted jeste ty aplikace, pokud mozno user friendly.

Za.

• Prínos pre cudzincov.
• „Rozcestník“ na jednom mieste.
• „Zjednotenie“ s inými štátmi.

Co si máme myslet o doméně, ve které jsou bezpečnostní a ostatně i provozní "jevy" jako je třeba tento?

Když prohlížeč odešle:

GET / HTTP/1.1
Host: chcidatovku.gov.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

tak mu od webového serveru přijde redirekce:

HTTP/1.1 301 Moved Permanently
Content-Type: text/html; charset=UTF-8
Location: http://chciidentitu.gov.cz/
Server: Microsoft-IIS/10.0
Date: Thu, 24 Aug 2023 20:04:51 GMT
Connection: close
Content-Length: 150

<head><title>Do­cument Moved</title></he­ad>
<body><h1>Object Moved</h1>This document may be found here</body>

A když prohlížeč odešle (protože logicky následuje):

GET / HTTP/1.1
Host: chciidentitu.gov.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

tak mu od serveru přijde redirekce:

HTTP/1.1 301 Moved Permanently
Content-Type: text/html; charset=UTF-8
Location: http://chcidatovku.gov.cz/
Server: Microsoft-IIS/10.0
Date: Thu, 24 Aug 2023 20:04:13 GMT
Connection: close
Content-Length: 149

<head><title>Do­cument Moved</title></he­ad>
<body><h1>Object Moved</h1>This document may be found here</body>

OBČAN ASI CHCE DATOVKU I IDENTITU A STÁT NEVÍ, CO MU DÁT DŘÍV :)))))

Všechny požadavky odešly protokolem HTTP. Všechny redirekce dělá server také protokolem HTTP (viz Location plus tag <a href=...). Navíc jsou redirekce dělány cyklicky: A ----> B ----> A (ERR_TOO_MANY_RE­DIRECTS).

Máme si myslet, že v doméně gov.cz jsou umístěny bezpečné webové servery a máme si myslet, že tyto weby jsou chráněny proti phishingu? Čím? Odkdy jsou hlavičky v HTTP (bez S) nepřepisovatelné na cokoliv?

Lze souhlasit s tím, že jedna doména se lépe pamatuje než 10 domén. Lze souhlasit s tím, že ve vícerých doménách, které státní správa používá nyní, jsou beztak velmi podobné chyby (podívejte se třeba na chybné redirekce v doméně mpsv.cz). Když ale vidíme, v jakém stavu je (nazíráno reálně - platí, co vidím; ne přes ideologické řeči o doménách a různé postmodernistické disputace o bezpečnosti) bezpečnost webů, které jsou umístěny v doméně gov.cz, pak lze také souhlasit s doporučením: "Jsi-li běžný uživatel, který si s takovým bezpečnostním šlendrijánem neporadí a musí se spoléhat jen na svůj prohlížeč, pak tyto weby navštěvuj, jen když je to nezbytně nutné a vždy jen z vlastního popudu, nikdy ne na cizí výzvu." Ostatně, je to i rozumné občanské chování. Proč má občan pořád někde šmejdit a objevovat, co kde stát zase vynalezl za egovernment? Ať raději leží někde u písáku (na podzim už bude jen vzpomínat) nebo si přečte dobrou knížku.

24. 8. 2023, 22:25 editováno autorem komentáře

Nejlepší by bylo, kdybyste si o doméně myslel to, že je to doména, a nemá nic společného s tím, co dělá web na nějaká subdoméně. To je jako kdybyste doméně .cz vyčítal, co dělá webový server na adrese seznam.cz.

Máme si myslet, že v doméně gov.cz jsou umístěny bezpečné webové servery a máme si myslet, že tyto weby jsou chráněny proti phishingu? Čím?
Tím, že jsou umístěné v doméně .gov.cz, kde si nemůže zřídit subdoménu jen tak někdo. A přesně takhle funguje ochrana proti phishingu – že si uživatel může snadno ověřit, že je na té správné doméně. V tomto případě vidí, že je na doméně .gov.cz, tedy je na oficiálním webu nějaké součásti české veřejné správy.

Odkdy jsou hlavičky v HTTP (bez S) nepřepisovatelné na cokoliv?
Eh? Co tím chtěl básník říci?

Lze souhlasit s tím, že jedna doména se lépe pamatuje než 10 domén.
Česká veřejná správa ale nemá deset domén, používá jich desítky nebo spíš stovky.

podívejte se třeba na chybné redirekce v doméně mpsv.cz
Chtělo by to být trochu konkrétnější.

Jsi-li běžný uživatel, který si s takovým bezpečnostním šlendrijánem neporadí a musí se spoléhat jen na svůj prohlížeč, pak tyto weby navštěvuj, jen když je to nezbytně nutné a vždy jen z vlastního popudu, nikdy ne na cizí výzvu.
Takhle ale veřejná správa nefunguje. Tam právě musíte reagovat i na cizí výzvu. Jistě, v současné době ta výzva, aby byla právoplatná, musí přijít poštou s doručenkou nebo datovou schránkou. Zároveň ale chceme digitální transformaci státu, chceme, aby stát komunikoval moderními komunikačními kanály – takže nemůžeme spoléhat na to, že stát bude posílat jen papíry. Tak prostě moderní komunikace nevypadá.

Proč má občan pořád někde šmejdit a objevovat, co kde stát zase vynalezl za egovernment?
Protiřečíte si. V předchozí větě jste psal, že občan nemá reagovat na výzvu a má na weby veřejné správy lézt jen z vlastní iniciativy. Teď zase tvrdíte opak, že na weby veřejné správy nemá lézt z vlastí iniciativy, ale jen když jej někdo vyzve.

Jasne, ono pod .gov.cz nejsou vubec zadne cname zaznamy vedouci treba nekam k provozovatelum generickych sluzeb :-) Aneb ono se nemusi nutne utocit na subdomenu pod gov.cz, ale muze se klidne utocit vedle na dodavatelsky retezec. Treba takova DIA ma veci komplet u Microsoftu... kde maji problem uhlidat i sve privatni klice - aneb v danem pripade to nemusi byt jen o tom, ze nekdo modifikuje obsah nejakeho webu... muze pachat podstatne vetsi skody, ze?

Snažíte se trumfnout Sofista v tom, kdo napíše příspěvek, který bude víc mimo?

Rozporujeme vas zjednoduseny argument tím, že jsou umístěné v doméně .gov.cz, kde si nemůže zřídit subdoménu jen tak někdo :-) Protoze pro komplexni posouzeni je potreba se zabyvat nejen tim, jestli do te zony nekdo neco (ne)strci, ale take tim, kam dal ty zaznamy vedou a jak je ta infrastruktura, kam tyto zaznami miri (ne)zabezpecna.

Jak jsem psal, nepotrpím si na doménové ideologie a různé jiné, podobné debaty o jakési bezpečnosti an sich, která je výsledkem stěhování z domény do domény. Na takové "argumenty" neslyším. Lépe je držet se faktů. Pochopil bych, že pokud má doména A jmenné servery v jednom subnetu a doména B to má správně, že např. někdo správně řekne "z tohoto hlediska je B lepší než A". Bohužel, tohle - jak víme - o doméně gov.cz zatím neplatí. Pochopil bych, že existují i jiné parametry, které by doména gov.cz mohla mít lepší než některé jiné domény státní správy. Bohužel, i tady vidím, že je to cca 50/50. Já jsem psal o něčem jiném - o skutečném stavu bezpečnosti aplikací, které se do domény gov.cz nastěhují (což bude nakonec určující). Pokud jsou mezi nimi nejen takové, které ohrožují sebe sama, ale ohrožují i aplikace v jiných subdoménách téže domény, pak toto stěhování (prováděné tímto způsobem) celkový stav bezpečnosti spíše zhoršuje. Ale dost teoretizování. Od toho jsou zde jiní borci. Ti v tom mají jasno předem. Hledat aktuální fakta nemají zapotřebí.
Dejme si další příklad pro ty, kdo naopak fakta hledají a ctí je. Na začátku debaty byl přece phishing. Argument, se kterým to proklamovala DIA, totiž zněl "všichni do domény gov.cz a odstraní nebo alespoň silně to omezí phishing, protože si každý uživatel snadno doménu zapamatuje a zkontroluje - a to je to hlavní, oč jde".
Tak tady je další ukázka na dané téma. Mějme aplikaci v subdoméně " digitym.gov.cz". K čemu je občanům (konzumentům egovenment výdobytků) dobrá, si můžete vyzkoušet a zvážit sami. Tato aplikace nechť podporuje jak HTTP, tak i HTTPS protokol. Do volání HTTP protokolem je snadné injektovat hlavičky a hlavičky jsou vždy pod vnější kontrolou. Toho si jsou jistě všichni, kdo tak propagují a zaručují bezpečnost plynoucí z přestěhování, dobře vědomi. Pošleme protolem HTTP prohlížeč na http://digitym.gov.cz (čili po portu 80). Injektujme to požadavku hlavičku Host: digitym.g0v.cz. Odejde požadavek:

GET / HTTP/1.1
Host: digitym.g0v.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

a prohlížeč je serverem, který obsah té hlavičky přepíše do vlastní hlavičky Location odeslán do cíle:

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Thu, 31 Aug 2023 23:33:18 GMT
Content-Type: text/html
Content-Length: 162
Connection: close
Location: https://digitym.g0v.cz/

Tohle už je druhý příklad takové aplikace, která se měla stát bezpečnou (proti phishingu) už jejím přestěhováním do domény gov.cz. Kolikpak takových aplikací tam ještě je?
Platí u ukázané aplikace, že tím pádem je u ní po phishingu, protože aplikace už byla přemístěna do domény gov.cz, kde už se samo sebou phishing nekoná(?). Chci říci, nejsem proti tomu, aby se něco stěhovalo z A do B. Dokonce si myslím, že by to mohlo věci (rozumějte bezpečnosti, což je můj chleba) i prospět. Jestli se to stane, to ale nezávisí na tom, zda A je "cokoliv.cz" a B je právě a jedině "gov.cz". To závisí na tom, aby B na to byla předem připravena, aby na tom byla bezpečnostně skutečně lépe a také na tom, aby jednotlivé aplikace, které se sem mají stěhovat, tomu byly uzpůsobeny, aby byly bezpečnostně zkontrolovány, aby to bylo děláno postupně, dle rozumných pravidel, aby v tom byl prostor na to se poučit, věci zlepšovat, a ne aby se tohle všechno smázlo tím, že B je prostě bezpečnostně lepší "od Boha". Jedna z domén, která se sem má stěhovat, implementuje chatbota s upgradem na WebSocket bez kontroly Origin. Jestlipak není někde na přístupu do domény gov.cz sdílená proxy s cachí? Zase někdy příště, třeba zrovna na téma gov.cz a/versus https://www.rfc-editor.org/rfc/rfc6455.html#section-10.3.

1. 9. 2023, 02:12 editováno autorem komentáře

Padl zde také názor, že kromě domény je dobře pamatovat na to, kdo sedí za klávesnicí. To by hovořilo spíše pro gov.cz, ale nejenom. Některé staré triky ani moc nestárnou, viz video https://drive.proton.me/urls/QYMBREBCF4#FoPJR45m4HS2 (SHA 256: 998a1b7573d72­64d5b2eba76571cef­c2041e03c5f46b630ca95fe6­228a35479a). Prohlížeč je také jenom prohlížeč (a lze ho nastavit všelijak).

Ve svém předchozím, dnešním příspěvku jsem položil řečnickou otázku "Kolikpak takových aplikací tam ještě je?" Položil jsem ji proto, že vím o řadě dalších. Je to stále dokola: "Fakta jsou lepší než ideologie." Tak kupříkladu zde máme aplikaci https://razr.egon.gov.cz/. Zatímco předchozí aplikace, o které jsem psal, byla určena k tomu, aby si "spotřebitel egovernmentu" mohl bezpečně (rozumějte, bez rizika phishingu, tedy podvrhu) stáhnout pravou kolaborační aplikaci z https://digitym.gov.cz/ a jak jsme ukázali, stáhl by si falešnou (BTW, tamtéž je /login dialog, doporučuji vyzkoušet si jeho vlastnosti), ta aplikace, o které se zmiňuji nyní, o sobě říká: "Aplikace je určená pouze pro oprávněné osoby. Pokud nejste oprávněnou osobou, nepokoušejte se prosím o přihlášení do aplikace. Oprávněné osoby jsou ty, které mají povolený přístup v JIP (Jednotný identitní prostor). Aplikace zaznamenává pokusy o přihlášení a činnost uživatelů." To zní bezpečnostně zajímavě. JIP je odsud volán správně (https://kaas.czechpoint.cz/as/login?atsId=AIS70f122417f6e4973b1176429d03e406b), ale to platí za předpokladu, že jste na pravé, a ne na podvržené, cizí stránce. Jakpak by byl JIP volán z cizí stránky...? Správně asi ne. Tak pokračujme v seriálu na téma "v gov.cz už phishing nehrozí (pozn. jak pravil pan Bartoš), protože si každý snadno doménu zapamatuje, aby nenaletěl". Zavoláme http://razr.egon.gov.cz/ (po portu 80). Z prohlížeče odejde:

GET / HTTP/1.1
Host: razr.egon.g0v.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

Je-li po cestě někdo v man-in-the-middle, může injektovat (jsme v plaintextu) hlavičku Host (tak, jak je ukázáno výše, změnit ji třeba na ".g0v.cz"; protože jak víme, tuto "napodobeninu" si DIA prozřetelně předem nezajistila, viz http://www.g0v.cz). Server ani v tomto případě nevaliduje [CWE-20] vstupní hlavičku, o které autoři aplikace věděli, resp. měli vědět, že je vždy pod cizí kontrolou, ale přepisuje ji do vlastní hlavičky Location, kterou vrací do prohlížeče:

HTTP/1.0 302 Moved Temporarily
Location: https://razr.egon.g0v.cz/
Server: BigIP
Connection: close
Content-Length: 0

Z odezvy se dozvídáme také to, že tuto chybu zde v sobě má něčí F5-ka. Takový prohlížeč by skončil na cizí stránce, s cizím voláním do JIP. Pak už by záleželo jen na tom, jakou autentizační metodou by se návštěvník přihlašoval. Toho jsou si ti, kdo se starají o bezpečnost https://kaas.czechpoint.cz/as/login viditelně vědomi. Asi také moc nevěří na apriorní antiphishingovou odolnost aplikací v doméně gov.cz. Slouží jim to ke cti! Proto trvají na OTP nebo certifikátu.
Takže, čeho to byla ukázka? Je to ukázka (už třetí v pořadí; asi je to všechno jen náhoda...) toho, že v doméně gov.cz je už nyní vícero aplikací zranitelných v různých formách phishingem a že dobře dělají ti (jako v tomto případě bezpečáci u JIP/KASS), kdo se řídí vlastním rozumem, starají se sami o APLIKAČNÍ bezpečnost a nevěří na antiphishingové projevy aktérů všeobecného doménového stěhování do gov.cz. Kolikpak dalších takových aplikací tam ještě najdeme?

Takže, čeho to byla ukázka? Je to ukázka (už třetí v pořadí; asi je to všechno jen náhoda...) toho, že v doméně gov.cz je už nyní vícero aplikací zranitelných v různých formách phishingem
Je to ukázka toho, že vůbec netušíte, co je to phishing. Phishing není zranitelnost aplikace, je to zranitelnost uživatele.

starají se sami o APLIKAČNÍ bezpečnost
Zjevně o počítačové bezpečnosti netušíte vůbec nic. Aplikační bezpečnost je vám absolutně k ničemu, když útočník zaútočí na uživatele. A jeden z častých útoků na uživatele je právě phishing.

Bezpečnost vyžaduje bezpečnost aplikace i bezpečnost uživatele. Když je díra v jednom, to druhé to nezachrání. Přestavte si to na jednoduchých příkladech s hesly - když aplikace pustí uživatele bez hesla, je úplně jedno, že uživatel má skvělé složité heslo, nikomu ho neprozradil a vždy ho zadává bezpečně. A naopak, aplikace může být bez jediné bezpečnostní chyby, mnohokrát auditovaná - ale když uživatel prozradí heslo, útočník se do aplikace dostane.

Jinak když už vás napadlo, že u nešifrovaného protokolu může útočník změnit požadavek, škoda, že vám nedošlo, že nejspíš bude moci změnit i odpověď. Měl byste to mnohem jednodušší, nemusel byste hledat nedostatky webovou aplikací. Místo toho byste učinil kolosální objev, že HTTP protokol nezajišťuje integritu dat, tudíž ho uživatelé nemají používat. A je chyba prohlížečů, že před použitím protokolu HTTP už dávno důrazně nevarují.

Hledám lepší možnosti, ne samozřejmosti. Zatím nejinteresantněji se mně jeví ta chyba v chatbotovi na mpsv.cz. Už aby byl v gov.cz... Při sdílené cachi by z toho mohl XSS plošně. Jsem ale rád, že už vaše poznámky vypadají, jako bychom se začali shodovat v tom, že když má někdo rozházeny hromady nepořádku kolem dokola a shrne je na jednu hromadu, tak si tím moc nepomůže. Nejlépe ukáže až praxe, jak a čím se bude doména gov.cz dál plnit a co se bude dít s tím, co už tam nyní je (jako jsou ty testovací a vývojové sity apod.).

Zatím byste se měl učit spíš ty samozřejmosti. Že pro zajištění integrity komunikace na webu je potřeba použít HTTPS protokol. Že je potřeba rozlišovat útoky na aplikaci a útoky na uživatele. Co je phishing a jak se mu lze bránit. Lepší možnosti můžete hledat teprve po té, co budete znát základy.

Další webová aplikace v doméně gov.cz, která jistě prošla pečlivou kontrolou, než byla do této prestižní domény umístěna. Takže už by nemusela pod svým TLS certifikátem vracet cizí obsah: https://maps.alicorn.gov.cz/%6d%61%70%73%2e%61%6c%69%63%6f%72%6e%2e%67%6f%76%2e%63%7a%20%69%73%20%77%72%6f%6e%67%2e%20%55%73%65%20%74%68%65%20%6e%65%77%20%55%52%4c%20%68%74%74%70%73%3a%2f%2f%30%78%30%30%73%65%63%2e%6f%72%67%2c%20%62%65%63%61%75%73%65%20%74%68%65%20%6f%6c%64%20%6f%6e%65%20 (zrovna u této subdomény to není moc vhodné). Prostě, jen doména to bezpečnostně nevytrhne.

404 Not found.

Jestli ono by nebylo lepší, kdybyste si nejprve nastudoval ty základy – k čemu se na webu používá HTTPS, co je to phishing atd. Snad byste pak přestal psát takové hlouposti.

Ona není 404-ka jako 404-ka. Není v téhle chybové hlášce náhodou nějaký návod? Něco jako The requested URL /maps.alicorn­.gov.cz is wrong. Use the new URL https://0x00sec.org, because the old one was not found on this server. Měly by se webové aplikace z bezpečnostně prestižního klubu "gov.cz" chovat zrovna takhle? Richard Feynman: "Lidi čtou." (To nemyslíte vážně, pane Feynmane).

Ten návod drtivá většina lidí nepřečte, a když už by ho někdo přečetl, nebude vědět, co s tou adresou, na kterou se nedá kliknout.

Měly by se webové aplikace z bezpečnostně prestižního klubu "gov.cz" chovat zrovna takhle?
Ten bezpečnostně prestižní klub jste definoval vy, tak proč se na to ptáte mne?

Když už jsme u toho Alicornu. Na ap.alicorn.gov.cz je toto API:

API_URL = 'https://ap.alicorn.gov.cz';
ADMIN_URL = '/manager/api';
PUBLIC_URL = '/public/api';
PORTAL_URL = '/portal/api';
WEBCHAT_URL = 'https://webchat.teamontherun.com';
TOTRADMIN_URL = 'a.alicorn.gov.cz';

Přístup k němu je autentizován. Po zavolání API_URL následuje přesměrování na přihlašovací stránku https://ap.alicorn.gov.cz/#/dashboard/login. Po úspěšné autentizaci dojde k vydání relačního cookie. Aplikace nevaliduje vstupní hlavičku Origin, lze injektovat např.:

GET / HTTP/2
Host: ap.alicorn.gov.cz
Origin: www.cookiestealer.cn
Cookie: PHPSESSID=9bnld1f1jnb9coadddmh03vp53;
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9

Další požadavky jsou na tom stejně. V reakci na to server vrací následující konfiguraci výstupních hlaviček CORS:

HTTP/2 200 OK
Server: nginx
Date: Sun, 03 Sep 2023 21:30:53 GMT
Content-Type: text/html; charset=UTF-8
Vary: Accept-Encoding
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: www.cookiestealer.cn

To by se určitě dít nemělo. Samozřejmě, tohle není phishing. Odbočili od tématu. Je to ale další z řady ukázek toho, že když jsou takovéhle aplikace sesypávány do domény gov.cz, tak to jejich bezpečnosti přinejmenším nepomáhá (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Credentials). Namísto toho, aby byl přesun do domény gov.cz spojen s kontrolou bezpečnosti aplikací, byly sem prostě jen nahrnuty. Doufejme, že se to snad zlepší časem. Inventura by nejspíše neuškodila. Příležitost zlepšit stav bezpečnosti aplikací, které jsou sem umisťovány, je už ve vícerých případech promeškána. Zatím to vypadá spíše tak, že by se to nemuselo změnit ani v případě těch, které sem teprve budou přicházet. Naděje i tak zůstává.

Odbočili od tématu.
Nikoli, vy jste neodbočil od tématu. Vy jste tady k tématu nikdy nezačal psát.

když jsou takovéhle aplikace sesypávány do domény gov.cz, tak to jejich bezpečnosti přinejmenším nepomáhá
Zdaleka největší přínos domény gov.cz je v tom, že uživatelům umožňuje bránit se proti phishingu zaměřenému na veřejnou správu. Takže uživatelům to pomůže výrazně. Jenže na to, abyste to pochopil, byste musel chápat, co je phishing a jak se proti němu lze bránit.

Namísto toho, aby byl přesun do domény gov.cz spojen s kontrolou bezpečnosti aplikací, byly sem prostě jen nahrnuty.
Netuším, proč si myslíte, že se ta aplikace někam přesouvala. Každopádně vzhledem k tomu, že bezpečnost aplikací s doménou gov.cz prakticky nijak nesouvisí, není důvod, proč to na sebe navzájem vázat. Je to jako kdybyste zapínání bezpečnostních pásů v autě odkládal do té doby, než si syn udělá řidičák na auto. Jasně, když bude mít syn řidičák, bude to lepší, ale pásy vám pomohou i bez toho.

Příležitost zlepšit stav bezpečnosti aplikací, které jsou sem umisťovány, je už ve vícerých případech promeškána.
No, zatím jste uvedl jediný příklad, kde je taková malinká drobnost. Zbytek, co jste popisoval, je bohužel nerelevantní, protože jste dosud neobjevil existenci protokolu HTTPS.

Pokud si najdete chybu v aplikaci code.gov.cz, zjistíte, že do ní můžete odkudkoliv forwardovat požadavek, který ji zneužije k tomu, že když návštěvník v ní klikne na odkaz "Go Back", tak místo toho, aby se dostal na zamýšlenou stránku, přistane na stránce v cizí doméně. Lze si snadno vyzkoušet např. přes www.seznam.cz. Já jsem k témuž použil jinou aplikaci v doméně gov.cz, o které jsem už psal, a to alicorn.gov.cz. HTTPS je HTTPS, jak pravil znalec. Ale URL je URL a klik na odkaz je klik na odkaz. Video umístěno zde: https://drive.proton.me/urls/797Q9MVWFW#8vOb0aIhUFNR (SHA-256 7706155fa2067­3d3fdf09448c55a925545522­aaa01d6c010958­597a1068e34ad). Když chybová hláška ve webové aplikaci obsahuje link, který lze použít k tomu, aby prohlížeč přistál kdekoliv jinde, pak se tomu říká otevřená redirekce.

Scénář:

1. phisher vytvoří link směřující na vlastní stránku a cíleně ho rozešle
2. příchozí volání FW-duje do webové aplikace s history.back()
3. typicky je to na chybové stránce a její skript pošle prohlížeč phisherovi.

Těžko odhadovat, kolik lidí na něco takového reálně naletí. Mnoho asi ne, někteří možná ano. Předpokládá to, aby už znali doménu, ve které je zneužitelná aplikace. Když tam pak přistanou, uklidní je to, že jsou ve správné doméně (vše je v HTTPS se správným doménovým certifikátem). Návštěvníkovi ale stačí kliknout na "Go Back" (což se mu nabízí), aby se dostal z chybové stránky na stránku phishera namísto tam, kam to zamýšleli tvůrci aplikace. Dost by záleželo na tom, jak by phisher link prezentoval. Chce to uživatele, který si např. neudělá hovering. Kolik uživatelů ale dělá hovering? Jistě lze namítnout, že uživatel, který jen tak klikne na cizí link, může přijít k phisherovi rovnou. To je akceptovatelná námitka. Stejně tak relevantní otázkou je, zda by neměla mít zrovna taková aplikace jako code.gov.cz (ve které je otevřený kód) raději v chybové hlášce pevnou redirekci. To je zase rozumná rada.

5. 9. 2023, 02:08 editováno autorem komentáře

Myslíte si, že se někdo bude vašimi komentáři zabývat, když jste hned v několika úvodních komentářích ukázal, že nevíte, co je HTTPS, a vůbec netušíte, co je phishing, natož abyste věděl, jak se proti němu uživatel může bránit? Myslíte si, že někdo bude hledat jehlu v kupce sena a zkoumat, zda na některém z vašich komentářů náhodou něco není, když bez rozmyslu plácáte páté přes deváté?

V aplikacích běžících na gov.cz určitě budou chyby, žádná aplikace není bezchybná. Pravděpodobně tam budou i bezpečnostní chyby, i ty se dnes v aplikacích vyskytují docela často, jak je vidět z toho, jak často se vydávají opravy bezpečnostních chyb. Ale nic z toho není důvod, proč nezavést doménu gov.cz, protože to řeší jiný problém.

Další ukázka toho, co se už na startovací čáře zabydlelo v doméně gov.cz. Ne, že by konkrétně na té aplikaci nějak záleželo. Dobře to ale demonstruje, do jaké míry a komu jde o bezpečnost toho, co se v prestižní státní doméně gov.cz všechno vyskytuje:

Nmap scan report for maps.alicorn.gov.cz (85.163.2.3)
Host is up (0.0095s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   SSLv3:
|     ciphers:
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA (secp256r1) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: client
|     warnings:
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|       CBC-mode cipher in SSLv3 (CVE-2014-3566)

Případně viz také: https://www.ssllabs.com/ssltest/analyze.html?d=maps.alicorn.gov.cz a pro srovnání minimální požadavky NÚKIB na šifrovací algoritmy v jejich poslední verzi (3.0) https://www.nukib.cz/download/uredni_deska/Minimalni%20pozadavky%20na%20kryptograficke%20algoritmy.pdf. Ano, v aplikacích bývají chyby, jak pravil znalec. Některé z nich svědčí o amatérismu - k tomu dodávám. Tohle jedna z nich.

Dokument provázející harmonogram migrace do domény 'gov.cz' hovoří o "doporučení sjednotit domény držené na státní úrovni pod jednotnou doménu .gov.cz, a zařadit se tak po bok vyspělých demokratických právních států NATO a EU". (Ukážeme si, jak se k nim už řadíme.) Deklarovaným cílem je "migrovat vnější (tedy pro občany viditelné) webové a e-mailové domény". Nepočítá se s migrací domén, které mají "zanedbatelný význam z hlediska občana". Jedním z cílů přijatých pravidel je "kontinuální zajištění vysoké míry kybernetické bezpečnosti". Takovému cíli je zapotřebí ze všech sil napomáhat. "To je, oč tu běží," řečeno s Hamletem. Vícekrát jsem ukázal, co se v doméně nachází už nyní. Zde je několik dalších ukázek a námětů k přemýšlení, co s tím dál a jak přistupovat k migraci pod tento, již "zahnízděný" okap.
Existuje zde např. URL https://gov1.gov.cz/pwm/private/login. Občas má nějaké provozní potíže, ale po většinu času dosud fungovalo. Když odešlete tuto jeho "upravenou" verzi https://gov1.gov­.cz/pwm/..;/ (je zapotřebí to celé vepsat do URL řádku prohlížeče), setkáte se s výzvou, abyste povolili výjimku v prohlížeči, protože nesouhlasí doménový certifikát. Vysvětlení je prosté. Dostanete se tak na stránku Tomcatu, která vám nabídne různé další možnosti, včetně neomezovaných pokusů o přihlášení se na účet jeho administrátora. Jde o starší, ale pořád zajímavý trik s řadou vedlejších, často ještě zajímavějších účinků, který byl dobře popsán např. zde https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf. Provozovatel webu (resp. autentizačních stránek podporovaných ze strany sag.cz) v této doméně už by to měl vědět, tak doufejme, že s tím něco udělá. Samozřejmě, celkem nasnadě je i otázka, zda právě v tomto případě jde o webovou aplikaci, která má větší než "zanedbatelný význam z hlediska občana" a k čemu zde tahle "služba" občanovi coby spotřebiteli informačních systémů veřejné správy vlastně slouží. Inventura tohoto "doménového zboží" by věru neuškodila, jak i tento případ dokládá.
Jiný příklad, teď z webu 'geoportal.gov.cz'. U toho si lze celkem dobře představit, čemu slouží a proč by splnil novou politikou podložená, hodnotová kritéria pro vstup do domény gov.cz. I tak by mu ale neuškodilo, aby přitom prošel bezpečnostní kontrolou, nejlépe rukama zkušených pentesterů. Dokladem může být kupř. to, že kromě jiného odkazuje na autentizaci v doméně 'monit.cenia.cz', kterou najdete zde https://monit.cenia.cz. Provádí ji ale způsobem, při kterém dochází k evidentní chybě v CORS. Apache/2.4.41, který zde běží na Ubuntu, přijme i požadavek:

POST /matomo.php HTTP/1.1
Host: monit.cenia.cz
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.5845.141 Safari/537.36
Accept: */*
Origin: https://www.g0v.cz
Referer: https://geoportal.gov.cz/
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 486

action_name=V%C3%ADtejte%20-%20N%C3%A1rodn%C3%AD%20geoport%C3%A1l%20INSPIRE&idsite=5&rec=1&r=788270&h=1&m=7&s=59&url=https%3A%2F%2Fgeoportal.gov.cz%2Fweb%2Fguest%2Fhome&_id=7ad5a236301da0e7&_idn=0&send_image=0&_refts=0&pdf=1&qt=0&realp=0&wma=0&fla=0&java=0&ag=0&cookie=1&res=3008x1692&pv_id=QrtftK&pf_net=0&pf_srv=1949&pf_tfr=1&pf_dm1=34&uadata=%7B%22fullVersionList%22%3A%5B%5D%2C%22mobile%22%3Afalse%2C%22model%22%3A%22%22%2C%22platform%22%3A%22%22%2C%22platformVersion%22%3A%22%22%7D

na který odpoví s touto kombinací hlaviček CORS:

HTTP/1.1 204 No Response
Date: Thu, 14 Sep 2023 12:10:13 GMT
Server: Apache
Strict-Transport-Security: max-age=15552000; includeSubDomains
Access-Control-Allow-Origin: https://www.g0v.cz
Access-Control-Allow-Credentials: true
Connection: close

Jak známo, doménu 'g0v.cz' kontroluje někdo jiný než DIA. Vládní dokument hovoří rovněž o tom, že migrací se "zabrání typosquattingu domén k .gov.cz", tak uvidíme, co z toho nakonec bude. Držba domény 'g0v.cz' může být lakmusovým papírkem úspěšnosti této snahy. Ale obecně, nikomu nepovolanému není nic po obsahu odezev a po cookies z jiných domén. (Podobný problém jsem už na příkladu jiné aplikace v doméně 'gov.cz' popisoval v jednom z předchozích příspěvků.)
Jsou tady i další "weby" (v uvozovkách záměrně), bez kterých se veřejnost nejspíše už dál neobejde. Ty snad nespadají ani do kategorie microsites, jak je popisuje vládní příloha harmonogramu, když se v ní současně říká, že v případě domény 'gov.cz' se "nepočítá s migrací aktuálně užívaných „microsites“, ani zanedbatelných, nefunkčních nebo „mrtvých“ domén". Ale takové už v doméně 'gov.cz' jsou. Dobrým příkladem může být, když zavoláte URL do domény https://www.geoinfostrategie.gov.cz. Odejde požadavek:

GET / HTTP/1.1
Host: www.geoinfostrategie.gov.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

po kterém se do prohlížeče vrátí tato redirekce:

HTTP/1.1 301 Moved Permanently
Date: Thu, 14 Sep 2023 12:17:38 GMT
Server: Apache/2.4.37 (Red Hat Enterprise Linux) OpenSSL/1.1.1g
Location: https://www.dia.gov.cz/egovernment/geoinformatika/geoinfostrategie2020/

neboli, prohlížeč je přesměrovám na jediný článek z webu DIA, který, jak se dál praví v redirekci, je zde: The document has moved here. Jak jste z odezvy viděli, "po cestě" můžete získat jednu užitečnou informaci "Server: Apache/2.4.37 (Red Hat Enterprise Linux) OpenSSL/1.1.1g". Ta ale asi běžně nespadá do kategorie "určeno a užitečné pro veřejnost".
Stejná důležitá aplikace má uchystánu rovněž doménu 'geoinfostrate­gie.gov.cz'. Zkusme zjistit, co se tam nachází za obsah. Nejprve se ale podíváme, jaký je u ní nasazen certifikát:

openssl s_client -connect geoinfostrategie.gov.cz:443 </dev/null 2>/dev/null | openssl x509 -noout -text | grep DNS:
                DNS:mvcr.cz, DNS:hzscr.cz, DNS:*.hzscr.cz, DNS:*.mvcr.cz, DNS:*.policie.cz, DNS:policie.cz, DNS:www.mvcr.cz

Aha, takže už i vnitro účelně migruje své důležité "aplikace" do domény 'gov.cz'. Ale takový hostname, který by k tomu byl zapotřebí, v AltNames certifikátu nemají, takže přes HTTPS to nepůjde (museli byste zase přetlačit varování prohlížeče před podvodným webem). Skvělé: "Ať žije antiphishingová povaha bezpečnostně prestižní domény gov.cz!" Na takové přetláčení si v doméně 'gov.cz' - za toho stavu, který je tam nyní - brzy zvyknete, a pokud ano, pak k vaší škodě. Nezbývá, než zkusit http://geoinfostrategie.gov.cz. Takže odešleme nešifrovaně prostý HTTP požadavek:

GET / HTTP/1.1
Host: geoinfostrategie.gov.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

a dozvíme se, že na cílové adrese se nachází skutečně užitečný e-government obsah pro digitálně gramotného občana:

HTTP/1.1 403 Forbidden
Date: Thu, 14 Sep 2023 12:28:35 GMT
Server: Apache/2.4.37 (Red Hat Enterprise Linux) OpenSSL/1.1.1g
Last-Modified: Thu, 12 Nov 2020 16:02:45 GMT
ETag: "1181-5b3eb0ae4b340"
Accept-Ranges: bytes
Content-Length: 4481
Connection: close
Content-Type: text/html; charset=UTF-8

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
    <head>
        <title>Test Page for the HTTP Server on Red Hat Enterprise Linux</title>
...

Je to testovací stránka webového serveru na OS Redhat, obsahující pak v sobě ještě další odkazy na manuály k RHEL-u. To je celkem nezvratný hodnotový důvod pro existenci ukázané subdomény a v ní "webové aplikace" umístěné tak v prestižní a regulované doméně 'gov.cz'.
Je z toho všeho vidět, že hlavní cíl harmonogramu migrace státních webů, jehož formulace obsahuje "efektivně, hospodárně a v maximální koordinaci" už některé státní orgány začaly odpovědně plnit. A jak je z harmonogramu již známo, do tohoto chaosu mají přijít i systémy jako třeba 'identitaobcana.cz' --> 'identita.gov.cz' (NIA). Nu, čekají nás zajímavé časy a jejich dodavatele zajímavé "výzvy", což je v posledních letech eufemistický výraz pro "průšvih".
Neměla by DIA nejprve provést všechny účelné přípravné kroky (počítaje v to i kroky bezpečnostní)? Neměly by tyto kroky obsahovat i to, že DIA nejprve z domény 'gov.cz' vymete tohle smetí (!), které se tady navršilo za ta léta nikým neřízeného websquattingu domény? (Tímto se omlouvám všem pravověrným squatterům, kteří zabydlují jen to, co nikdo jiný nepoužívá.)

Nepočítá se s migrací domén, které mají "zanedbatelný význam z hlediska občana".
Vysvětlím vám to, abyste to pochopil i vy – tato věta neříká, že již existující domény v gov.cz se zanedbatelným významem z hlediska občana budou migrovány jinam. A tato věta neříká ani to, že nebudou pod doménou gov.cz vznikat nové domény se zanedbatelným významem z hlediska občana. Tato věta se týká pouze existujících domén mimo doménu gov.cz.

Aha, takže už i vnitro účelně migruje své důležité "aplikace" do domény 'gov.cz'.
Chybí tam informace, jak jste zjistil, že to MV migruje (někdy teď). Z čeho jste usoudil, že ta doména se nepoužívá třeba už deset let nebo více.

Ať žije antiphishingová povaha bezpečnostně prestižní domény gov.cz!
Když jste se poprvé zapojil do debaty o phisihingu, aniž byste tušil, co phishing je, byla to chyba. Ale už jste o tom byl několikrát poučen, a vy stále nevíte, co phishing je a odmítáte si to zjistit. To už je hloupost.

Je z toho všeho vidět, že hlavní cíl harmonogramu migrace státních webů, jehož formulace obsahuje "efektivně, hospodárně a v maximální koordinaci" už některé státní orgány začaly odpovědně plnit.
Spíš je z toho vidět, že vůbec netušíte, že doména gov.cz existuje už spoustu let.

Neměly by tyto kroky obsahovat i to, že DIA nejprve z domény 'gov.cz' vymete tohle smetí (!), které se tady navršilo za ta léta nikým neřízeného websquattingu domény?
Ne. Jak jste správně napsal, měla by DIA provést účelné přípravné kroky. Vyhovět jednomu bláznovi, který plete páté přes deváté, účelné není.