[WäntWõll]

[Sults]

Keskenduks siiski uudisele, mitte kaasfoorumlaste sõimamisele ja mõnitamisele.
Probleem on siiski selles, et väga suur osa ID-kaarte ei vasta Sertifitseerimiskeskuse süül standardile, mis võib lisaks Chromega autentimise võimaluse küsitavusele tuua kaasa probleeme ka muude standardit rangelt järgivate autentimisskeemidega. Selle eest väärib peksmist Sertifitseerimiskeskus, mitte sõnumitooja, kes uudist HinnaVaatlusesse vahendab.
Kuna tundub, et Sertifitseerimiskeskuse poolt ID-kaardi jaoks loodavaid arendusi ei auditeerita või ei tehta seda piisavalt teraselt, pole välistatud ka see, et vigaseid ID-kaarte tehakse suunatult - vihatud keskerakonna elektoraadile vigased ja reformierakonnale toimivad kaardid.

[jnt]

Sults, kusjuures siit-sealt tuleb vaikselt infot, et antud key'd genereeriti mingi kolmanda osapoole tarkvaraga, kus see viga sees oli.

Kui nii on, siis saab ainult pahane olla selle peale, et kõike "kodus" ei kirjutata või siis ei tehta kolmanda osapoole tarkvarale (läbi reverse engineeringu, kui koodi ei jagata?) audit.

...aga e-valimisi see asi ikka ei mõjuta, kuid sa bashid seda asja juba esimesest postist alates. Uudis peab olema erapooletu, konspiratsiooniteooriate uudiste pähe määrimine käib mõnes teises portaalis.

[Sults]

[jnt]

Nagu ma olen aru saanud (Väga väikese diagonaalis lugemise tulemusena), siis see viga ei avaldu iga kord ja tegemist on umbes sellise juhtumiga, et number peab olema 4 kohaline, kuid "0123" asemel on kirjas "123". ("1234" on aga alati "1234") Ehk ei ole siin turvalisusega mitte mingit pistmist.

Sults, mitmendat korda ma juba küsin sinult, et kuidas see siis e-valimisi mõjutab? Seleta ära.

[Sults]

Sama moodi, nagu see mõjutab igat muud ID-kaardiga autentimist nõudvat toimingut.
Vea iseloomust saan aru, et see mõjub kõigile standardit rangelt järgivatele lahendustele, mitte üksnes Chromele.
Kuna probleem on üsna värske, siis ma ei süüdista seda konkreetset apsu eelmiste valimiste tulemuste mõjutamises. Mõju on ikka tulevastele valimistele, kui seda viga enne ära ei parandata või siis iga e-valimiste jaoks eraldi uuesti loodava valimistarkvara autentimislahendust standardile mittevastavaks ei tehta.
Lisaks siis ka järjekordne näide e-riigi peamiste tugisüsteemide arenduste madalast kvaliteedist, mis iseenesest kompromiteerib kogu e-riigi ideed.

Käideldavus on turvalisuse üks komponent. Kui volitatud isik ei saa infosüsteemi kasutada, siis see ei ole turvaline!

[jnt]

Sults, kle, sa ikka ei saa aru, et brauseriga ei e-hääletata!?

Kui tumba selleks olema peab, et asjast mitte aru saada???

Kodune töö on sul ikka tegemata...

[Sults]

[jnt]

Sults, midagi hakkab tulema juba.

Jah, valimisrakendus sai aru nii numbrist "0123" (vastavalt standardile) kui ka numbrist "123" (pole standardne ja on tänane probleem osadel id kaartidel) ja seega toimis.
Standard aga ütleks antud näite puhul, et number peab alati olema neljakohaline. Ja tänasel päeval tuli see probleem nüüd välja, kuna Chrome hakkas rangelt (ja õigesti) standardi järgi asju lugema.

2lk oled siin igasugu jama ajanud, kuid siiani pole sa suutnud välja tuua, kuidas e-valimised kuidagigi mõjutatud on? Tegid kodutöö ära või?

[painkillah]

Kommentaariumist jäi silma selline kommentaar

[Sults]

[jnt]

[Sults]

Ära topi mulle sõnu suhu!

Mina kirjutasin esimeses postituses just, et e-valimised on turvalised!
Mina jätsin selle igaühe enda otsustada, kas ta peab seda tõsiseltvõetavaks loosungiks, irooniaks, huumoriks, kriitikaks või oma rumaluse välja näitamiseks.

[jnt]

[WäntWõll]

Teema lõpetuseks andis RIA just uudise
https://www.ria.ee/ria-valmistab-ette-id-kaardi-tarkvara-kauguuenduse-voimalust/

Lisaks õpilasele Sults, on onu Anto kenasti lahti seletanud kogu teema, mis sisaldas teema ajendiks olnud uudisvihjet
Kas ikka on turva probleemid ja kas on ikka e-valmised hämamine ning palju antud olukord on seotud selliste hirmudega.
https://blog.ria.ee/probleem-nr-532048/

Sults, plaun loe hoolikalt läbi ja lõpeta seosetu bash siin ära

[Sults]

[jnt]

[Sults]

[WäntWõll]

Sults, ei, sa ei saa ikka aru , sinule oli suunatud see veerg.

[Sults]

Vot just sama kohta ma ju kommenteerisingi! Ma muidugi panin oma sõnadega ümber, mitte ei papagoitanud valmisteksti!

Ma mäletan Anto andmeturbealaseid ettekandeid veel sellest ajast, kui Eesti ID-kaarti olemaski polnud. Toona ta küll nii pehmelt eksimustesse andmeturbevallas ei suhtunud. Aga eks praegune ametipositsioon, kus tuleb ka vastutada enda tehtu toimimise eest, sunnib vaateid ja suhtumist muutma.

[jnt]

Sults, äkki on asi lihtsalt selles, et ka Anto jutust ei saa sa väga hästi aru... poleks esimene kord.

[elukaz]

See ongi mis asja juures häirib, "ja elu läheb edasi". Ei lähe nagu absoluutse turvalisuse kuvandiga kokku. Ok seekord läks hästi, tekib lihtsalt tõrge ja turvalisus ei kannata, aga kui palju on veel vigu ja kui palju neist on üldse teada?

[Sults]

[pppd]

Sults, küsimus - kas näiteks OpenSSL on turvaline?

[Sults]

OpenSSL turvalisus ei ole selle uudise teema, miks sa seda siin küsid?
Ükski asi ei ole absoluutselt turvaline. Turvalisus on alati suhteline.
Kõiki vahendeid, meetodeid, rakendusi, teeke saab kasutusele võtta ka viisil, mis pole turvaline. Eriti, kui eiratakse standardeid, mis mingi meetme jaoks on välja töötatud.