Vlákno názorů k článku
Vláda schválila nový pokus o migraci státní správy na jednotnou doménu .gov.cz do roku 2025 od Sofistes - Co si máme myslet o doméně, ve které...

Co si máme myslet o doméně, ve které jsou bezpečnostní a ostatně i provozní "jevy" jako je třeba tento?

Když prohlížeč odešle:

GET / HTTP/1.1
Host: chcidatovku.gov.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

tak mu od webového serveru přijde redirekce:

HTTP/1.1 301 Moved Permanently
Content-Type: text/html; charset=UTF-8
Location: http://chciidentitu.gov.cz/
Server: Microsoft-IIS/10.0
Date: Thu, 24 Aug 2023 20:04:51 GMT
Connection: close
Content-Length: 150

<head><title>Do­cument Moved</title></he­ad>
<body><h1>Object Moved</h1>This document may be found here</body>

A když prohlížeč odešle (protože logicky následuje):

GET / HTTP/1.1
Host: chciidentitu.gov.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

tak mu od serveru přijde redirekce:

HTTP/1.1 301 Moved Permanently
Content-Type: text/html; charset=UTF-8
Location: http://chcidatovku.gov.cz/
Server: Microsoft-IIS/10.0
Date: Thu, 24 Aug 2023 20:04:13 GMT
Connection: close
Content-Length: 149

<head><title>Do­cument Moved</title></he­ad>
<body><h1>Object Moved</h1>This document may be found here</body>

OBČAN ASI CHCE DATOVKU I IDENTITU A STÁT NEVÍ, CO MU DÁT DŘÍV :)))))

Všechny požadavky odešly protokolem HTTP. Všechny redirekce dělá server také protokolem HTTP (viz Location plus tag <a href=...). Navíc jsou redirekce dělány cyklicky: A ----> B ----> A (ERR_TOO_MANY_RE­DIRECTS).

Máme si myslet, že v doméně gov.cz jsou umístěny bezpečné webové servery a máme si myslet, že tyto weby jsou chráněny proti phishingu? Čím? Odkdy jsou hlavičky v HTTP (bez S) nepřepisovatelné na cokoliv?

Lze souhlasit s tím, že jedna doména se lépe pamatuje než 10 domén. Lze souhlasit s tím, že ve vícerých doménách, které státní správa používá nyní, jsou beztak velmi podobné chyby (podívejte se třeba na chybné redirekce v doméně mpsv.cz). Když ale vidíme, v jakém stavu je (nazíráno reálně - platí, co vidím; ne přes ideologické řeči o doménách a různé postmodernistické disputace o bezpečnosti) bezpečnost webů, které jsou umístěny v doméně gov.cz, pak lze také souhlasit s doporučením: "Jsi-li běžný uživatel, který si s takovým bezpečnostním šlendrijánem neporadí a musí se spoléhat jen na svůj prohlížeč, pak tyto weby navštěvuj, jen když je to nezbytně nutné a vždy jen z vlastního popudu, nikdy ne na cizí výzvu." Ostatně, je to i rozumné občanské chování. Proč má občan pořád někde šmejdit a objevovat, co kde stát zase vynalezl za egovernment? Ať raději leží někde u písáku (na podzim už bude jen vzpomínat) nebo si přečte dobrou knížku.

24. 8. 2023, 22:25 editováno autorem komentáře

Nejlepší by bylo, kdybyste si o doméně myslel to, že je to doména, a nemá nic společného s tím, co dělá web na nějaká subdoméně. To je jako kdybyste doméně .cz vyčítal, co dělá webový server na adrese seznam.cz.

Máme si myslet, že v doméně gov.cz jsou umístěny bezpečné webové servery a máme si myslet, že tyto weby jsou chráněny proti phishingu? Čím?
Tím, že jsou umístěné v doméně .gov.cz, kde si nemůže zřídit subdoménu jen tak někdo. A přesně takhle funguje ochrana proti phishingu – že si uživatel může snadno ověřit, že je na té správné doméně. V tomto případě vidí, že je na doméně .gov.cz, tedy je na oficiálním webu nějaké součásti české veřejné správy.

Odkdy jsou hlavičky v HTTP (bez S) nepřepisovatelné na cokoliv?
Eh? Co tím chtěl básník říci?

Lze souhlasit s tím, že jedna doména se lépe pamatuje než 10 domén.
Česká veřejná správa ale nemá deset domén, používá jich desítky nebo spíš stovky.

podívejte se třeba na chybné redirekce v doméně mpsv.cz
Chtělo by to být trochu konkrétnější.

Jsi-li běžný uživatel, který si s takovým bezpečnostním šlendrijánem neporadí a musí se spoléhat jen na svůj prohlížeč, pak tyto weby navštěvuj, jen když je to nezbytně nutné a vždy jen z vlastního popudu, nikdy ne na cizí výzvu.
Takhle ale veřejná správa nefunguje. Tam právě musíte reagovat i na cizí výzvu. Jistě, v současné době ta výzva, aby byla právoplatná, musí přijít poštou s doručenkou nebo datovou schránkou. Zároveň ale chceme digitální transformaci státu, chceme, aby stát komunikoval moderními komunikačními kanály – takže nemůžeme spoléhat na to, že stát bude posílat jen papíry. Tak prostě moderní komunikace nevypadá.

Proč má občan pořád někde šmejdit a objevovat, co kde stát zase vynalezl za egovernment?
Protiřečíte si. V předchozí větě jste psal, že občan nemá reagovat na výzvu a má na weby veřejné správy lézt jen z vlastní iniciativy. Teď zase tvrdíte opak, že na weby veřejné správy nemá lézt z vlastí iniciativy, ale jen když jej někdo vyzve.

Jasne, ono pod .gov.cz nejsou vubec zadne cname zaznamy vedouci treba nekam k provozovatelum generickych sluzeb :-) Aneb ono se nemusi nutne utocit na subdomenu pod gov.cz, ale muze se klidne utocit vedle na dodavatelsky retezec. Treba takova DIA ma veci komplet u Microsoftu... kde maji problem uhlidat i sve privatni klice - aneb v danem pripade to nemusi byt jen o tom, ze nekdo modifikuje obsah nejakeho webu... muze pachat podstatne vetsi skody, ze?

Snažíte se trumfnout Sofista v tom, kdo napíše příspěvek, který bude víc mimo?

Rozporujeme vas zjednoduseny argument tím, že jsou umístěné v doméně .gov.cz, kde si nemůže zřídit subdoménu jen tak někdo :-) Protoze pro komplexni posouzeni je potreba se zabyvat nejen tim, jestli do te zony nekdo neco (ne)strci, ale take tim, kam dal ty zaznamy vedou a jak je ta infrastruktura, kam tyto zaznami miri (ne)zabezpecna.

Jak jsem psal, nepotrpím si na doménové ideologie a různé jiné, podobné debaty o jakési bezpečnosti an sich, která je výsledkem stěhování z domény do domény. Na takové "argumenty" neslyším. Lépe je držet se faktů. Pochopil bych, že pokud má doména A jmenné servery v jednom subnetu a doména B to má správně, že např. někdo správně řekne "z tohoto hlediska je B lepší než A". Bohužel, tohle - jak víme - o doméně gov.cz zatím neplatí. Pochopil bych, že existují i jiné parametry, které by doména gov.cz mohla mít lepší než některé jiné domény státní správy. Bohužel, i tady vidím, že je to cca 50/50. Já jsem psal o něčem jiném - o skutečném stavu bezpečnosti aplikací, které se do domény gov.cz nastěhují (což bude nakonec určující). Pokud jsou mezi nimi nejen takové, které ohrožují sebe sama, ale ohrožují i aplikace v jiných subdoménách téže domény, pak toto stěhování (prováděné tímto způsobem) celkový stav bezpečnosti spíše zhoršuje. Ale dost teoretizování. Od toho jsou zde jiní borci. Ti v tom mají jasno předem. Hledat aktuální fakta nemají zapotřebí.
Dejme si další příklad pro ty, kdo naopak fakta hledají a ctí je. Na začátku debaty byl přece phishing. Argument, se kterým to proklamovala DIA, totiž zněl "všichni do domény gov.cz a odstraní nebo alespoň silně to omezí phishing, protože si každý uživatel snadno doménu zapamatuje a zkontroluje - a to je to hlavní, oč jde".
Tak tady je další ukázka na dané téma. Mějme aplikaci v subdoméně " digitym.gov.cz". K čemu je občanům (konzumentům egovenment výdobytků) dobrá, si můžete vyzkoušet a zvážit sami. Tato aplikace nechť podporuje jak HTTP, tak i HTTPS protokol. Do volání HTTP protokolem je snadné injektovat hlavičky a hlavičky jsou vždy pod vnější kontrolou. Toho si jsou jistě všichni, kdo tak propagují a zaručují bezpečnost plynoucí z přestěhování, dobře vědomi. Pošleme protolem HTTP prohlížeč na http://digitym.gov.cz (čili po portu 80). Injektujme to požadavku hlavičku Host: digitym.g0v.cz. Odejde požadavek:

GET / HTTP/1.1
Host: digitym.g0v.cz
Accept: text/html
Accept-Encoding: gzip, deflate
Accept-Language: cs-CZ,cs;q=0.9
Connection: close

a prohlížeč je serverem, který obsah té hlavičky přepíše do vlastní hlavičky Location odeslán do cíle:

HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Thu, 31 Aug 2023 23:33:18 GMT
Content-Type: text/html
Content-Length: 162
Connection: close
Location: https://digitym.g0v.cz/

Tohle už je druhý příklad takové aplikace, která se měla stát bezpečnou (proti phishingu) už jejím přestěhováním do domény gov.cz. Kolikpak takových aplikací tam ještě je?
Platí u ukázané aplikace, že tím pádem je u ní po phishingu, protože aplikace už byla přemístěna do domény gov.cz, kde už se samo sebou phishing nekoná(?). Chci říci, nejsem proti tomu, aby se něco stěhovalo z A do B. Dokonce si myslím, že by to mohlo věci (rozumějte bezpečnosti, což je můj chleba) i prospět. Jestli se to stane, to ale nezávisí na tom, zda A je "cokoliv.cz" a B je právě a jedině "gov.cz". To závisí na tom, aby B na to byla předem připravena, aby na tom byla bezpečnostně skutečně lépe a také na tom, aby jednotlivé aplikace, které se sem mají stěhovat, tomu byly uzpůsobeny, aby byly bezpečnostně zkontrolovány, aby to bylo děláno postupně, dle rozumných pravidel, aby v tom byl prostor na to se poučit, věci zlepšovat, a ne aby se tohle všechno smázlo tím, že B je prostě bezpečnostně lepší "od Boha". Jedna z domén, která se sem má stěhovat, implementuje chatbota s upgradem na WebSocket bez kontroly Origin. Jestlipak není někde na přístupu do domény gov.cz sdílená proxy s cachí? Zase někdy příště, třeba zrovna na téma gov.cz a/versus https://www.rfc-editor.org/rfc/rfc6455.html#section-10.3.

1. 9. 2023, 02:12 editováno autorem komentáře