Datové schránky

Zběžně sem se mrknul na aktuální hitovku – datové schránky. Už na první pohled je to hooodně dobře zabezpečeno. Hýří to všema možnýma bezpečnostníma technologiema. A celý to vypadá jako velmi profesionálně udělaný fišing:

a) zkusil jsem adresu www.datoveschranky.cz a je to nějaký jiný portál. To si to nemohli koupit? Nebo to pojmenovat jinak?

b) přítel google mě zachránil a přehodil na www.datoveschranky.info. Která nemá HTTPS. Takže víte prd o tom, kde jste. Natož aby někdo měl zelený certifikát (tzv. Enhanced Validation). Zelení jsou jenom marťani.

c) přítel google mi ještě našel i stránku ministerstva vnitra, která je poněkud důvěryhodnější, protože znám adresu mvcr.cz. Taky nemají SSL.

d) když mrknete na ministerstvo vnitra, dole uvidíte nenápadný odkaz s nápisem www.datovAschranky.info (viz. obrázek). Speciálně si všimněte překlepu. Sami si to idioti dokázali. Kdyby v cíli byla nějaká svině, už by lidi zadávali loginy a hesla.

e) v návodu na stažení certifikátu autority se samozřejmě nehovoří o SSL. Naco by to někdo potřeboval, že? Natož, aby někdo doporučoval vyzvednout si certifikát osobně na poště?

f) samozřejmě PostSignum je taky super. Zřejmě pánové v životě neslyšeli o AIA (tzv. Authority Information Access). Takže z certifikátu není možno rovnou stáhnout certifikát autority. Místa pro překlepy je habakuk.

g) dokonce mi v článečku nabízí stažení nějakého programu. Opět bez SSL. Takových kombinací fišingu a trojana sem už viděl. Co když je to i tento?

h) přihlašování na www.mojedatovaschranka.cz je taky vhodně navrženo pomocí hesla, které se posílá čístě a čitelně jako POST. Kůl! Certifikát je zřejmě volba jen pro fajnšmekry.

To je jak na jiné planetě. To si snad už dneska nemůže nikdo dovolit? Ach bože.

Nic, příště přineseme zpravodajství z návštěvy pošty. Onďas se rozhod, že pořádně prověří, jak to na takové malé poště chodí.