1. Эксперты работаю в изоляции и боятся поделиться своими доводами с народом?
Я за открытые публичные дискуссии.
2.1. Я не оспаривал проверку.
2.2. Я лишь указываю на то, что буква закона может не покрывать всю ту проблематику, которая волнует общество и независимых экспертов.
2.3. Каковы критерии уважаемости организаций?
3. Вот это как раз «без комментариев» ))
То есть теперь по любому поводу чиновники будут отвечать: «набери 100 тыс. на РОИ, тогда поговорим, а пока выйди за дверь», так?
1. По Эстонии.
Я не предлагаю что-то применять в госмасштабах.
Речь идёт о конкретном проекте.
Если же говорить о других проектах, то пусть хотя бы один регион возьмёт на вооружение опыт Эстонии — это уже будет достижением.
Но и по сути — я не вижу принципиальных проблем в распространении опыта Эстонии на всю Россию.
Более того, внедрение э-ИД уже идёт в формате УЭК добровольно в этом году и в обязательном порядке с 1 января 2014 года.
2. Что касается проведённого аудита безопасности.
Во-первых, действительно было бы полезным опубликовать результаты такого аудита — что именно проверялось, кем проверялось, каковы выводи проверяющих.
Во-вторых, я почти уверен, что была проведена именно проверка «безопасности в соответствии с законом» в смысле а) возможных атак с целью нарушить работоспособность систему и б) сбоев системы из-за ошибок или поломки оборудования. Но вряд ли был аудит именно по смыслу и назначению системы: в) возможность «вбросов» с использованием служебного положения, г) возможность неверного или иного *отображения* итогов при верном хранении и подсчёте и т.п.
Буду рад, если такой аудит был проведён и его результаты доступны публично.
В-третьих, должна существовать процедура, при которой исполнитель не может отказать независимой организации в проведении последней аудита. То есть если аудит был проведён единожды по заказу самого исполнителя или какой-либо структуры исполнительной власти, то этого недостаточно для легитимизации сервиса в глазах граждан.
Уверен, что они читают этот пост.
Ау, РОИ! Если вам это интересно (а на самом РОИ даже инициатива такая есть), ответьте нам тут или напишите мне или другому хабраюзеру лично — мы быстро организуем инициативную группу для экспертизы.
Пусть покажут, хотя бы и вырезав персональные данные.
Даже простая независимая экспертиза исходников и самих мер безопасности (кто и как может теоретически получить доступ и внести изменения в БД) — уже даст многое.
Я недавно вернулся из Эстонии, где, как известно, давно живут с э-ИД и э-правительством.
Так вот там каждый чих всегда подписан персональным ключом.
То есть если нет автора изменения, то нет самого изменения.
Так что и в БД должно быть всегда однозначно понятно, кто является источником данных.
Даёшь институт «наблюдателей РОИ».
Давайте организуем десант Хабра к разработчикам, пусть покажут логи и БД, дадут код на экспертизу — вынесем общественный вердикт.
Android только-только подошёл к своему «совершеннолетию», впервые обеспечив (по отзывам) нормальную скорость интерфейса в версии 4.2.
А что разработчики ОС Andorid планируют сделать до конца года? Что будет в версии 5.0? А в 6.0?
Всё же, пройти период взросления, пережить детские болячки — это стоит многого.
Лучше бы они сделали форк Андроида или что-то, что будет с ним совместимо на уровне приложений.
А ещё можно работать на «виртуальных рудниках»: строить левелы для игр; работать мелкими персонажами для прокачки уровней тех игроков, которые платят; заниматься декорированием 3D-пространств — сажать там травку и раскрашивать стены; поддерживать беседу в корпоративных и игровых чатах и т.п.
Возможно, вы правы, надо изучить подробнее.
Вопрос такой: если настроить в системе интернет, то она начнёт сама стучаться по HTTP вовне? За обновлениями и прочим? То есть хотелось бы иметь белый список приложений в системе, которым разрешён доступ вовне, и этот доступ должен быть только через i2p, tor или другое решение, скрывающее адресата и состав коммуникации.
Похожее — да, но не именно такое. Пока все системы «полубезопасны», то есть обеспечивают безопасность отдельных участков системы, но не всей работы с системой в целом.
Нужна версия специального дистрибутива Линукса, которую можно грузить с зашифрованной флешки по паролю, и которая стучится в интернет ТОЛЬКО через i2p — вот тогда это будет безопасное решение.
Если что — выдернул флешку, на флешке «белый шум», а извне был просто хаотичный бессодержательный трафик.
Я за открытые публичные дискуссии.
2.1. Я не оспаривал проверку.
2.2. Я лишь указываю на то, что буква закона может не покрывать всю ту проблематику, которая волнует общество и независимых экспертов.
2.3. Каковы критерии уважаемости организаций?
3. Вот это как раз «без комментариев» ))
То есть теперь по любому поводу чиновники будут отвечать: «набери 100 тыс. на РОИ, тогда поговорим, а пока выйди за дверь», так?
А от кого нужно ожидать признания?
Если мы с ЭЦП соберём подписи — то это вполне юридически значимо.
Просто у малого числа граждан сегодня есть ЭЦП.
Вот с 1 января 2014 начнут принудительно выдавать УЭК с ЭЦП, тогда будет другое дело.
Было бы неплохо, чтобы такая существовала, и чтобы она не входила в структуру исполнительной власти и уж тем более не зависела от ФСБ/ФСО.
> Когда люди регистрировались на нашем сайте, они предоставляли информацию нашему фонду, и соответственно его сотрудникам
Наравне с другими юрлицами.
РОИ никак не связан с госслужбой (не должен быть связан, по крайней мере).
> Что касается независимых экспертиз, то таковые тоже проводились, вы можете ознакомится с результатами их проверок.
Можно пожалуйста прямые ссылки?
> Эксперты имеющие соответствующую лицензию
Какую именно лицензию? Кто её выдаёт?
> Что касается независимых экспертиз, то таковые тоже проводились
Какова процедура допуска к проведению экспертизы?
Что мне нужно сделать, если я хочу провести экспертизу?
Спасибо.
Я не предлагаю что-то применять в госмасштабах.
Речь идёт о конкретном проекте.
Если же говорить о других проектах, то пусть хотя бы один регион возьмёт на вооружение опыт Эстонии — это уже будет достижением.
Но и по сути — я не вижу принципиальных проблем в распространении опыта Эстонии на всю Россию.
Более того, внедрение э-ИД уже идёт в формате УЭК добровольно в этом году и в обязательном порядке с 1 января 2014 года.
2. Что касается проведённого аудита безопасности.
Во-первых, действительно было бы полезным опубликовать результаты такого аудита — что именно проверялось, кем проверялось, каковы выводи проверяющих.
Во-вторых, я почти уверен, что была проведена именно проверка «безопасности в соответствии с законом» в смысле а) возможных атак с целью нарушить работоспособность систему и б) сбоев системы из-за ошибок или поломки оборудования. Но вряд ли был аудит именно по смыслу и назначению системы: в) возможность «вбросов» с использованием служебного положения, г) возможность неверного или иного *отображения* итогов при верном хранении и подсчёте и т.п.
Буду рад, если такой аудит был проведён и его результаты доступны публично.
В-третьих, должна существовать процедура, при которой исполнитель не может отказать независимой организации в проведении последней аудита. То есть если аудит был проведён единожды по заказу самого исполнителя или какой-либо структуры исполнительной власти, то этого недостаточно для легитимизации сервиса в глазах граждан.
Спасибо за ответы.
Вопрос, нужно ли это РОИ.
Уверен, что они читают этот пост.
Ау, РОИ! Если вам это интересно (а на самом РОИ даже инициатива такая есть), ответьте нам тут или напишите мне или другому хабраюзеру лично — мы быстро организуем инициативную группу для экспертизы.
Даже простая независимая экспертиза исходников и самих мер безопасности (кто и как может теоретически получить доступ и внести изменения в БД) — уже даст многое.
Я недавно вернулся из Эстонии, где, как известно, давно живут с э-ИД и э-правительством.
Так вот там каждый чих всегда подписан персональным ключом.
То есть если нет автора изменения, то нет самого изменения.
Так что и в БД должно быть всегда однозначно понятно, кто является источником данных.
Давайте организуем десант Хабра к разработчикам, пусть покажут логи и БД, дадут код на экспертизу — вынесем общественный вердикт.
Каким образом оценивается вклад аналитика в успех?
Как формируется оплата его труда?
А что разработчики ОС Andorid планируют сделать до конца года? Что будет в версии 5.0? А в 6.0?
Всё же, пройти период взросления, пережить детские болячки — это стоит многого.
Лучше бы они сделали форк Андроида или что-то, что будет с ним совместимо на уровне приложений.
Вопрос такой: если настроить в системе интернет, то она начнёт сама стучаться по HTTP вовне? За обновлениями и прочим? То есть хотелось бы иметь белый список приложений в системе, которым разрешён доступ вовне, и этот доступ должен быть только через i2p, tor или другое решение, скрывающее адресата и состав коммуникации.
Если что — выдернул флешку, на флешке «белый шум», а извне был просто хаотичный бессодержательный трафик.