Формально, согласно закону ФЗ-63 — да, ответственность владельца. По факту, мало кто, даже из сферы ИТ понимает что такое токен и почему его необходимо использовать.
Риски использования и хранения ключей ЭП нигде не объясняют и не учат им противостоять. А из тех, кто знает что такое токен, многие ли знают, что есть варианты с криптоядром и без оного. Отличие в том, что из токена без криптоядра ключи всё равно можно извлечь, если подсмотреть PIN-код владельца. Ну или перехватить ключи в памяти ПК, куда они передаются для подписания документов.
А как вы думаете, все ли web-сервисы поддерживают работу с токенами с криптоядром?
А теперь сравните с европейским законодательством, где квалифицированной электронной подписью (КЭП) может считаться только та, что вычислена на аппаратном криптографическом устройстве (токене, смарт-карте или HSM). Наше законодательство дает большую свободу, но если что — все шишки валятся на владельца ключей.
Интересно, что обсуждается только незаконная выдача ключей ЭП, а ведь незаконное копирование (фактически кража) ключей не менее опасно. Если незаконно выдали, то хоть какие-то «хвосты» остаются, а вот если со флэшки скопировали — то не будет никаких доказательств, что сомнительные заявления подписал не владелец, а злоумышленник.
Учитывая, что многие хранят ЭП не на защищенных токенах, вероятность такого развития событий мягко говоря «не нулевая».
Работал когда-то давно ИТ-инструктором. Во время лабораторных работ поднимается рука, подхожу. Студент говорит, что у него окно ошибки появилось, что делать? «Где оно?» — спрашиваю. «Закрыл» — говорит. «А что там было написано?». «Да я не посмотрел...»
Кнопка, говорите…
Нет. В случае с Google это FIDO U2F. Google брендирует токены и продает их под маркой Titan. Для 2ФА в операционных систтемах и веб-приложениях стоит использовать криптографические токены. А что TOTP, что HOTP постепенно отмирают…
Ну так я в конце и написал — только токены, только хардкор.
Я думаю, что Гугл исходит из предположения, что большинство пользователей токены покупать не станут. А тут хоть какая-то защита.
А вообще да, двухэтапная (даже не двухфакторная) аутентификация по SMS — прошлый век.
Франция обращала взор в более давние времена, когда Наполеон Первый разбил прусские войска. А так да — многие хотели реванша за прошлые обиды, еще больше хотело территориального передела.
Одна из причин той бойни была в том, что каждая из стран считала себя той самой молодой и конкурирующей сверхдержавой. У многих стран в прошлом были громкие победы и все они считали, что «можем повторить».
И кстати, так ли сильно развилась наука и техника именно в процессе той войны? В процессе подготовки к ней да, развивалась быстро.
На мой взгляд, России в этой истории нужно вести себя достаточно аккуратно. Да, с одной стороны есть недоказанные обвинения США и огульные запреты для Huawei.
Но с другой стороны есть великий китайский файрвол, есть запрет деятельности Google в Китае.
Не хочу обсуждать чьи претензии более справедливы, а в чьих обвинениях больше правды — но уверен, что России стоит действовать в своих собственных интересах. И может быть я проглядел — но помогал ли Китай Лаборатории Касперского, которую также несправедливо обвинили? Многие ли в Китае говорили — «сегодня Касперский, завтра Huawei»?
Повторюсь, России нужно думать о своих интересах. Развивать собственную элементную базу, собственную мобильную систему Аврора, активно поддерживать тех производителей аппаратных решений, которые производят их в России, а не ввозят из-за рубежа.
Токен статическим электричеством так просто не убить. Но допустим, что он у вас упал под асфальтоукладочный каток и погиб смертью храбрых. Что делать?
Если почта рабочая, то пойти к администратору и он выдаст вам новый токен и выпишет новый сертификат.
Если почта типа Gmail, то воспользоваться механизмом восстановления и пересоздать ключи и сертификат заново на новом токене.
Задам встречный вопрос — а вот вы потеряли ключи. Означает ли это, что дверь нужно держать открытой как раз на такой случай?
У большинства серьезных компаний есть политика нераскрытия внутренней кухни. Вы никогда не узнаете кто виноват в конкретном косяке. Более того, в наиболее критичных случаях, виновного сотрудника даже не уволят сразу, поскольку в этом случае будет понятен виновный.
Компания может признать вину (взрыв Galaxy Note 7), не признать вину, но загладить ее (зеленые экраны Huawei Mate 20 Pro), не признать вину, по крайней мере сразу (потеря связи iPhone 4). Но в любом случае коммуницировать с сообществом покупателей будут либо топы, либо никто (втихую поменяют устройство).
Потому что успехи и неудачи принадлежать корпорации, а не отдельному человеку.
В этом случае проблема, на мой взгляд, скорее в том, что маркетологи (цель которых — продать) рекламируют облако (не только от Яндекса) как абсолютно надежное.
А реальность, увы, гораздо сложнее…
Было бы интересно узнать, есть ли в США аналог наших санитарных норм, регулирующих время нахождения детей за экраном монитора? Потому что головная боль, слезящиеся глаза, ухудшение зрение — это не страшилки, а вполне реальные последствия для тех, чье зрение еще не сформировалось до конца. Тем более, что ноутбуки им скорее всего купили не с лучшими экранами. (Да, я понимаю, что эти дети дома не вылезают из смартфонов, но одно дело просто смотреть на ролики или фотки и другое, всматриваться, пытаясь учиться).
Странно, что не подумали о решениях на базе электронной бумаги. Они вполне поддерживают интерактив.
К сожалению, автор не описал самую интересную часть становления своего бизнеса. Вот он купил доменное имя, договорился с поставщиками лука, лажанулся с поставщиком коробок. И дальше что? Как раскручивался, какие средства привлекал, какие еще подводные камни были, как с фермером распределялись обязанности и т.п.? Безо всего этого не понять, что сделал автор помимо web-витрины и можно ли перенести опыт автора на нашу почву.
И мои 5 копеек. С американскими фермерами вообще достаточно комфортно сотрудничать, слышал о нескольких таких примерах. Видимо дело в том, что там один человек / семья обрабатывают достаточно большие участки земли, либо держат большие стада. У нас же либо хозяйства маленькие (сами справляются с продажей либо нет сил паковать и отправлять), либо гиганты-агрохолдинги со своей системой оптового сбыта. Но вообще интересны идеи, как американский опыт можно было бы перенести на нашу почву…
Изо всех пунктов готов поверить только в 4-й и то в США, а не у нас. Много ли авторов умных книг являются супер-специалистами в своем деле? Или только профессионально учат жить. Я помню по сети гуляла подборка фактов о таких людях, типа автор книг о крепком браке жену убил и т.д.
Я все хочу найти сокращенный вариант книг Чалдини, потому что размазанный тонким слоем по тарелке текст читать очень сложно. Всё время хочется крикнуть автору «да я уже понял три главы назад!!», но увы, впереди еще два варианта объяснения того же самого.
Интересно, а за порчу зрения от моргания лампы или от недостаточного освещения и за порчу нервов от постоянных щелчков, работник не может подать в суд на работодателя и отсудить те же мильоны?
Лет 20 назад я работал в конторе, которая делала программное обеспечение для документооборота. У нас был админ, дядя Коля. Один из учредителей, поэтому курил всегда на рабочем месте. Курил столько, что в его комнате нельзя было находиться больше трех минут.
Умер он лет в 45. Уж не знаю, связано это было сигаретой или нет, но на здоровье никогда не жаловался.
Знаю одну, где было еще хуже. (Тот же Теранос, где желающих рассказать правду о мошенничестве, тут же выгоняли) Но! Нигде не начинали травлю и уж точно эту травлю не возглавлял СЕО.
Расставались по соглашению сторон, увольняли без соглашения, подавали в суд, если было за что, сдавали полиции, если был состав преступления. Но долгосрочной травли я не припоминаю. Джобс, Холмс и прочие не считали необходимым лично конфликтовать с людьми. Для них главным ыло обезопасить свою компанию.
А тут…
Риски использования и хранения ключей ЭП нигде не объясняют и не учат им противостоять. А из тех, кто знает что такое токен, многие ли знают, что есть варианты с криптоядром и без оного. Отличие в том, что из токена без криптоядра ключи всё равно можно извлечь, если подсмотреть PIN-код владельца. Ну или перехватить ключи в памяти ПК, куда они передаются для подписания документов.
А как вы думаете, все ли web-сервисы поддерживают работу с токенами с криптоядром?
А теперь сравните с европейским законодательством, где квалифицированной электронной подписью (КЭП) может считаться только та, что вычислена на аппаратном криптографическом устройстве (токене, смарт-карте или HSM). Наше законодательство дает большую свободу, но если что — все шишки валятся на владельца ключей.
Учитывая, что многие хранят ЭП не на защищенных токенах, вероятность такого развития событий мягко говоря «не нулевая».
Кнопка, говорите…
Я думаю, что Гугл исходит из предположения, что большинство пользователей токены покупать не станут. А тут хоть какая-то защита.
А вообще да, двухэтапная (даже не двухфакторная) аутентификация по SMS — прошлый век.
И кстати, так ли сильно развилась наука и техника именно в процессе той войны? В процессе подготовки к ней да, развивалась быстро.
Но с другой стороны есть великий китайский файрвол, есть запрет деятельности Google в Китае.
Не хочу обсуждать чьи претензии более справедливы, а в чьих обвинениях больше правды — но уверен, что России стоит действовать в своих собственных интересах. И может быть я проглядел — но помогал ли Китай Лаборатории Касперского, которую также несправедливо обвинили? Многие ли в Китае говорили — «сегодня Касперский, завтра Huawei»?
Повторюсь, России нужно думать о своих интересах. Развивать собственную элементную базу, собственную мобильную систему Аврора, активно поддерживать тех производителей аппаратных решений, которые производят их в России, а не ввозят из-за рубежа.
Если почта рабочая, то пойти к администратору и он выдаст вам новый токен и выпишет новый сертификат.
Если почта типа Gmail, то воспользоваться механизмом восстановления и пересоздать ключи и сертификат заново на новом токене.
Задам встречный вопрос — а вот вы потеряли ключи. Означает ли это, что дверь нужно держать открытой как раз на такой случай?
Компания может признать вину (взрыв Galaxy Note 7), не признать вину, но загладить ее (зеленые экраны Huawei Mate 20 Pro), не признать вину, по крайней мере сразу (потеря связи iPhone 4). Но в любом случае коммуницировать с сообществом покупателей будут либо топы, либо никто (втихую поменяют устройство).
Потому что успехи и неудачи принадлежать корпорации, а не отдельному человеку.
А реальность, увы, гораздо сложнее…
Странно, что не подумали о решениях на базе электронной бумаги. Они вполне поддерживают интерактив.
И мои 5 копеек. С американскими фермерами вообще достаточно комфортно сотрудничать, слышал о нескольких таких примерах. Видимо дело в том, что там один человек / семья обрабатывают достаточно большие участки земли, либо держат большие стада. У нас же либо хозяйства маленькие (сами справляются с продажей либо нет сил паковать и отправлять), либо гиганты-агрохолдинги со своей системой оптового сбыта. Но вообще интересны идеи, как американский опыт можно было бы перенести на нашу почву…
Умер он лет в 45. Уж не знаю, связано это было сигаретой или нет, но на здоровье никогда не жаловался.
Расставались по соглашению сторон, увольняли без соглашения, подавали в суд, если было за что, сдавали полиции, если был состав преступления. Но долгосрочной травли я не припоминаю. Джобс, Холмс и прочие не считали необходимым лично конфликтовать с людьми. Для них главным ыло обезопасить свою компанию.
А тут…