[simo5555]

Tere!

Vabandan ette ära, kui teema vales kohas, aga äkki saab keegi mind aidata. Minul on mõte juba otsas:

Installisin hiljuti omale täiesti 0-ist windows 10-ne. Ehk siis täiesti uuele ja tühjale kettale. Peale seda sai tehtud tavalised toimingud: Emaplaadi, graafika, võrgukaardi, helikaardi jne driverid. Lisaks siis id kaardi tarkvara ja flash player. Probleem on selles, et ID kaardiga ei saa mitte kuhugi sisse logida. Id kaardi tarkvara iseenesest töötab - saan faile avada, lugeda, allkirjastada. Ainult mitte ühegi brauseriga ei tööta. Kasutan ise põhiliselt Operat, aga olen proovinud firefox-i, chrome-i ja IE-ga. Kõikidel sama probleem. Kui proovida kuhugi sisse logida, viskab ette sellise pildi. Ei ole vahet mis lehele. Täpselt sama teade on panga, maanteeameti, eesti.ee jms lehtedel:


Täpselt sama pilt on ka Internet exploreril:


Mis mul puudu on või mida üldse teha? Ma isegi ei oska kusagilt uurimist alustada. Eelmisel (mitte nii legaalsel) windows 7-l töötas ID-kaart laitmatult nii opera kui ka teiste brauseritega.

Windows on originaal. Antiviirusena kasutan legaalset Eset Nod32 v.9

[Tanel]

simo5555, saaksid äkki suurema pildi panna?

[target]

Id kaardi haldustarkvara näitab et kaart sees?
Installisid installer.id.ee lehelt?

[simo5555]

Proovin suuremad pildid panna:

Spoiler

Id kaardi haldustarkvara töötab ilusti. Näitab, et kaart sees, näen oma sertifikaate, kehtivust, oma pilti jms. Tarkvaraga krüpteeritud faile avab ja lubab allkirjastada. Lihtsalt üheski brauseris ei tööta sisselogimine. Tarkvara laadisin installer.id.ee lehelt.

[Porno Parm]

browseri settingutes serte näitab?

Spoiler

[Tanel]

simo5555, proovi korra antiviirus või tulemüür välja lülitada.

[simo5555]

jah. Opera vähemalt näitas. Firefox ja chrome olen uninstallinud.

Spoiler

[Porno Parm]

seal 2 erinevat serti, lase see maha mida ei kasuta, see P tähega nt prooviks

[Dogbert]

Kontrolli avatud veebilehe enda sertifikaati igaks juhuks.

Kui ESET (või mõni muu kobedam) antiviirus liiga kurjaks keerata, st sisse lülitada ka https liikluse filtreerimine, siis võtab AV serveriga suhtlemisel üle brauseri funktsioonid ja ise brauserile serverina esinedes esitab ESET-i sertifikaadi. Parooli ja mobiil-id-ga selline MITM-tüüpi susserdamine brauseri liiklust ei mõjuta, aga ID-kaardiga see põhimõtteliselt ei tööta. ID-kaart "ei salli" vahendajaid, ükskõik kui palju sa neid vahemehi siis ka ise ei usalda.
Sama skeemi kasutavad ka nutikamad pahalased muidugi.

[simo5555]

[Dogbert]

Öeldakse, et pikk jutt - sitt jutt, aga ma ei osanud kõike olulist lühemalt kirja panna.

No mingi lisarisk on olemas, kui brauseri kaudu süsteemi nakatav viirus on https-protokolli kasutavale veebilehele torgatud. Varemalt kasutasid https-i suhteliselt vähesed veebilehed, peamiselt suuremat turvalisust nõudvad kohad, kus ka serveri enda turvalisusele kõrgemat tähelepanu pööratakse. Aga tänapäeval muutub https-i rakendamine järjest populaarsemaks ka täitsa tavalistel lehtedel, eriti sellistel, mis tahavad näidata, et nad hoolivad kasutajate andmete ja andmevahetuse turvalisusest. Samas aga on server või lehe haldamise tarkvara ikka sama auklik ja lappimata ning script-kiddied süstivad sinna viiruseid samasuguse sagedusega nagu https-i mittekasutavatele lehtedele.

Ma tunnistan, et mina pole viitsinud jännata NOD32 https-i filtreerimise peenhäälestamisega ja pole teda siiani lihtsalt sisse lülitanud, kui välja arvata paar katsetust - üks siis kui https-kontrolli võimalus sinna ilmus ja ID-kaart mul "müstiliselt" tegevuse lõpetas ning sellest loobuma sundis ja kord hiljem, kui siin tekkis kusagil vaidlus, et kas ID-kaart on krüptograafiliselt sama turvaline kui mobiil-ID ning ma olin endale selgeks jõudnud teha, miks ID-kaardiga tekitatav kahepoolne avaliku võtmega autentimine MITM rünnete vastu kindlam on kui ühepoolne (s.o tavalised parooliga autentimised, mille hulka kuulub ka tehniliselt keeruliseks aetud, kuid paroolidega samal tööpõhimõttel töötav mobiil-ID). Kuna NOD32 kasutab https-i kontrollimiseks sama MITM mehhanismi, mida kasutavad nutikamad pahalased, siis sai NOD32 välja toodud kui näide elust enesest, mida igaüks saab kontrollida - et kui NOD32 https kontroll sisse lülitada, siis kõik paroolipõhised autentimised jäävad korralikult tööle ja sealhulgas töötab rahulikult edasi ka mobiil-ID. Samas ID-kaart lihtsalt lõpetab tegevuse, kui keegi ennast brauseri ja serveri vahele on sokutanud.

Vaatmata sellele näitele jäi mulle mulje, et keegi mu juttu tõsiselt ei võtnud ning isegi selle uskumisega oli ilmselt raskusi, kuigi andsin lingid https sessioonide loomise tehnilist poolt väga täpselt selgitavatele lehekülgedele.
Nüüd on sinu näol olemas praktiline näide elust enesest - sa ei märganud (täpselt nagu ma siis oletasin), et brauser näitab õige serveri sertifikaadi asemel NOD32 oma. Mitte enne kui mina seda küsisin. Oleks see olnud pangakontode tühjendamiseks kasutatav MITM paharet NOD32 asemel, siis mobiil-ID kasutamisel oleks ta kenasti sinu algatatud netipanga sessiooni üle võtnud ja paralleelselt sinuga endale sealt sobiva summa sulle märkamatult kuhugi kõrvale sokutanud. Näiteks. Ja pärast tõesta, et sina ei ostnud ISISele laskemoona. Näiteks.
ID-kaardi kasutamisel aga sa pangaga üle https-i sel juhul ühendust ei saagi ja hakkad abi otsima ning uurima, milles on probleem. Ja suure tõenäosusega jõuad ühel hetkel serveri sertifikaadi kontrollimiseni. Nagu praegu juhtus.
See jutt muidugi mobiil-ID promojatele ei meeldi, kuna see mobiil-ID müügimeeste ja nende poolt palgatud "spetsialistide" ja lobistide sõnul olevat igas mõttes sama turvaline kui ID-kaart või isegi turvalisem. Mis sa ikka teed, kui turvalisem lahendus töötab tasuta, aga ebaturvalisemat on vaja müüa kuidagimoodi.
Lühidalt öeldes on mobiil-ID parooliga autentimise keeruliseks aetud lahendus, mis krüptograafiliselt sellest kuidagi ei erine. Täpselt nagu seda on paroolikaardid, PIN-kalkulaatorid, kaheastmeline autentimine Google'is või Paypalis või PIN-koodi saatmine postituviga. Security through obscurity.

Mis puutub NOD32 ja https-i kontrollimisse, siis on põhimõtteliselt viitsimise küsimus see sisse lülitada ja samas lisada selle erandite listi kõik autentimiseks ID-kaarti kasutavad veebilehed, mida sa külastada soovid. Et siis nende lehtede puhul kontroll välja lülitataks.
Selle töö teeb keeruliseks see, et sageli on sellistel lehtedel ID-kaardiga autentimiseks eraldi aadress samas domeenis ja brauser käib seal ID-kaardiga autentimist tegemas kasutajale märkamatult. Näiteks eKooli aadress on https://ee.ekool.eu, aga ID-kaardiga autentimist teeb (vähemalt praegu) auth1.ekool.eu. Põhimõtteliselt on siin kaks võimalust - kas teha erand ainult auth1.ekool.eu jaoks või tervele ekool.eu domeenile. Seda enam, et vahel selle autentimisega tegeleva serveri aadress muutub...

[estdata]

teine variant lasta lehti eranditesse , luba kogu aeg need lehed läbi siis ei ole ka probleem

[Dogbert]

Lehtede eranditesse lisamine ongi nende kogu aeg läbilaskmine. Või räägid sa kõigi https lehtede läbilaskmisest? See on sama mis https kontrolli väljalülitamine ja mõlemad variandid sai oma plusside ja miinustega välja toodud. Või räägid veel mingist kolmandast variandist? Ei saa aru ilma pikema seletuseta, sorry.

[estdata]