Milleks konfida serverit, kui kasutaja võib ümber nurga minema õpetada?

Sattusin külastajate statistikat vaatama ja leidsin, et riigihangete keskkond õpetab kasutajaid brauserit konfima (lühikestest urlidest nad ilmselgelt kuulnud pole). Seda olukorras, kus ajavahemikus eelmise aasta juulist tänaseni on eesti.ee, sk.ee ja pilet.ee suutnud olukorra lahendada nii, et kasutaja ei pea täiendavaid seadistusi lehe kasutamiseks kaasaegses kasutaja turvalisuse eest muretsevas brauseris tegema.

Jääb ainult üle loota, et nad teavad, mida teevad, ehk et nende serverid kasutavad turvaauguta protokolli. Vastasel juhul võimaldab selline konfimine edukat MITM-rünnakut. Ja põhimõtteliselt, miks peavad kasutajad (kümned-sajad või palju neid riigihangete keskkonnal on) seadistama erandeid, kui endast lugupidavad lehed on suutnud olukorra ära lahendada kasutajat tülitamata. See tähendab siis kõik ID-kaardiga minu poolt kasutatavad lehed peale emt.ee. Kusjuures näiteks Swedbanki lehe puhul ei ole ma seda veateadet kunagi näinud.

Ühtlasi ma loodan, et nende kodulehel olev tekst

Kuna Rahandusministeeriumi infosüsteemidele kehtivad rangemad nõuded, on Mozilla Firefox uue versiooni 4.0 kasutajatel vajalik Riigihangete registrisse ID-kaardiga sisenemiseks oma arvutit pisut eelnevalt seadistada.

on oma tähenduses totakas kommunikatsiooniprobleemide tõttu tehniliste ja lehte administreerivate inimeste vahel. Sest praegu jätab see küll mulje nagu see konfimine oleks vajalik lehe turvalisemaks kasutamiseks. Tegelikkuses võib see potentsiaalselt lausa ohtlik olla.

“Zombidomeenidest”

Viimasel ajal on domeenireform nii popp teema, et pea iga päev võib kuskilt jälle uudisnuppu lugeda, kuidas paljud domeenid ikka veel ümber registreerimata on ja kustutamisele lähevad. Mind häirib selle juures enim see, et püütakse jätta muljet, et kustutamisele minevad domeenid on “zombid”. See, et on palju domeene, mida aktiivselt ei kasutata ja et samal ajal on palju domeene, mis kustutatakse, ei näita veel kuidagi, et nende kahe nähtuse vahel oleks suuremat seost, kui see et nad samal ajal esinevad.

Näiteks ühest 3. jaanuari Delfi artiklist võib lugeda:

Enne reformi oli eraisikute käsutuses umbes 12 500 pri.ee-lõpulist domeeni, millest on tänaseks ümber registreeritud vaid mõnisada.

Tegelikult võiks EIS täpse numbri välja öelda, aga nad kas ei teagi täpselt? või on häbi tunnistada? Sellest hoolimata on selge, et valdav enamus pri.ee domeenidest jäävad ka järgmise kuu jooksul ümber registreerimata. Mind hakkas selle juures huvitama see, kui paljud aktiivsed domeenid kustutamisele lähevad.

Tulemused sõltuvad siin sellest, mida täpselt aktiivseks domeeniks lugeda. Minu arusaama järgi on aktiivsel domeenil vähemalt 1 teenus, millele mingil pordil võrgust ligi saab. See võib olla koduleht pordil 80 või mõni muu, võib olla ka e-posti server või mõni mänguserver jne. Et porte pole rohkem ega vähem kui 65536, siis ma tõepoolest ei usu, et keegi võib kindlalt väita, milline domeen on aktiivne ja milline mitte. Selleks et seda teada saada, peaks pordid ükshaaval läbi proovima.

Seetõttu läksin kergema vastupanu teed ja täieliku nimekirja puudumisel pri.ee domeenidest tegin päris suure lihtsustuse. Lugesin aktiivses kasutuses domeenide esindusliku valimi hulka sellised, mis kajastusid Google otsingutulemustes päringuga “site:pri.ee” ja Neti otsingutulemustes otsinguga “pri ee”. Seleniumi abiga (Google tulemused pole javascriptita söödavad ja mingit normaalset apit ma lühikese ajaga ei leidnud?) sai erinevaid pri.ee domeene kokku 720. Neile saadetud HTTP-päring pordil 80 ja whois päring domeeninimele andis vähemasti minu uudishimule vastused.

Faktid on järgmised:

  • Neist 414 ehk 58% vastavad HTTP 200-ga ja aegusid eile. Mingil osal neist on ilmselt üleval teade, et nad kolisid kuhugi, aga seda on tehisintellektita märksa keerulisem tuvastada kui viisakat HTTP ümbersuunamisega kolimist. Suurem osa ilmselt kaovad reformi lõppedes.
  • 42 domeeni ehk 6% ei vasta HTTP-päringule pordil 80. Teadaolevalt ühel juhul vastab HTTP pordil 8080, ja tundub, et osadel juhtudel vastatakse HTTP-päringule mõne alamdomeeni (nt www) korral.
  • 124 ehk 17% vastavad HTTP-päringule mõne muu koodiga kui 200 ja aegusid eile. Neist omakorda 95 saadavad Location päise ehk suunavad kuhugi ümber. 42 juhul ehk 6% toimub suunamine netpointi või zone domeenile ning tegemist on tõesti zombidega. Ilmselgeid kolijaid, kellel on ümbersuunamine väljaspoole pri.ee-d ja mitte majutaja lehele, on 32 ehk 4%.
  • HTTP-päringule vastavaid domeene, mis ei aegunud eile, on 140 ehk 19%.

Minu järeldused: Kolijaid ja kadujaid on kokku =~4+58=62%. Zombisid on 6%. Vähemalt mõnda aega pri.ee all jätkajaid on 19%. Osa neist liitub ilmselt kolijatega aasta jooksul. Zombide protsent kogu pri.ee all on ilmselt 6+6=12% suurem ja kolijate-kadujate protsent 62% väiksem, aga mõistlikuma hinnaga teenusega oleks ilmselt nii mõndagi teenida andnud. Vähemasti minu meelest ei tundu aeguvate ja zombidomeenide vahel mingit olulist põhjuslikku seost olevat. Kinni pannakse täiesti toimivad aadressid nagu kommentaariumitestki lugeda võib. Eks seda oli ka arvata, aga faktidega on selgem.

Uus aadress

Ajendatult .pri.ee domeeni kallinemisest seniselt 0kr aastas üle 285kr aastas sõltuvalt registripidaja juurdehindlusest ja muudest vanemas postituses ära toodud põhjustest kolisin aadressile tricky-bits.eu. Kuni 5. jaanuarini peaksid kõik http redirectist aru saavad rakendused uue lehe ka ise üles leidma. Hiljem lõpetab pri.ee aadress toimimise või kui keegi teine selle registreerib, siis viitab kellegi teise veebilehele :P.

ID-kaart Firefox 4 beeta 2-ga

SSLi turvavea tõttu on Firefoxi arendajad ära keelanud sellise funktsionaalsuse nagu renegotiation. Seni kaua, kui enamlevinud SSL implementatsioonides pole parandusi tehtud ja serverite haldajad neid kasutusele võtnud, ei ole veebilehitsejal võimalik tuvastada, kas suheldakse haavatava SSL-seadistusega või mitte. Sestap ongi kasutajate kaitseks vastav funktsionaalsus ära keelatud.

Keelu tõttu ei õnnestu mitmetesse rakendustesse ID-kaardiga sisse logida. Vastav veateade on järgmine:

Veakood: ssl_error_renegotiation_not_allowed

Esialgse seisuga on endiselt töökorras näiteks Swedbanka sisse logimine, samas on puudutatud näiteks pilet.ee ja ka eesti.ee. Kui siiski on tahtmine ka neisse sisse logida, siis on võimalik Firefoxile öelda, et konkreetsete lehekülgede puhul tuleb võimalikku ohtu ignoreeerida.

Selleks:

  1. Ava about:config
  2. Trüki filtrisse renego
  3. Leia tulemuste hulgast security.ssl.renego_unrestricted_hosts
  4. Lisa selle vaikimisi tühjale väärtusele sisene.www.eesti.ee ja/või www.pilet.ee
  5. Mitme aadressi eraldajana kasuta koma

Samal teemal loe veel siit.