Itt a DÁP weboldal, de nem biztos, hogy ez az, amire vártál

HUP cikkturkáló

Applikáció után már weboldaluk is van a Digitális Állampolgároknak, ahol egyelőre semmit nem lehet elintézni.

Forrás: https://www.hwsw.hu/daralo/69390/dmu-dap-digitalis-allampolgar-program-…

Pedig adná magát, hogy az applikációban elérhető alapvető funkciókat, például az adatok lekérését, a hitelesített adatmegosztást, a digitális aláírást vagy az ügyfélkapu tárhelyet a DÁP webes felületén keresztül is elérhessék a Digitális Állampolgárok, erről azonban egyelőre szó sincs.

Kár. Pedig, ha lenne lehetőség pl webes felületen is ügyet intézni, digitálisan aláírni még le is tölteném az applikációt. Ami igazán szomorú az ez:

Sőt, az "életesemény-alapú" tájékoztatás mellett egészen más irányba mennek majd a webes felület funkciói, hiszen a DMÜ közleménye alapján lesz például TB-jogviszony igazolás lekérési lehetőség valamint családi állapot igazolás - jelenleg ezek egyike sem érhető el az applikációban és nincs is a tervezett funkciók között.

Most megint a szokásos magyar megoldás lesz? Két felület sokféle UI a különféle ügyintézésekhez? Természetesen az állampolgárok érdekében. És akinek nem tetszik/nem érti/nem tudja használni az lesz a hibás?

Nem akarok előre károgni, meg huhogni, de ez nekem megint nem az egyszerű, felhasználó- és ügyfélbarát ügyintézés felé mutat... De ne legyen igazam. Azt kívánom, hogy integráljanak minden funkciót egy világos átlátható applikációba, és mindezek a funkciók teljeskörűen elérhetőek legyenek a webes felületen is. A mai modern API-vezérelt alkalmazások világában talán nem is olyan nagy kérés ez...

  • 1806 megtekintés

Ez most nekem is működik. Megnéztem, szerintem nincs probléma.

Ügyintézés: DÁP mobilappon, vagy SZÜF portálon (magyarorszag.hu)
Teendőlista konkrét események kapcsán: ezen a portálon

Random belenéztem pár témába, amiről kevés infóm volt. Szerintem korrektül tájékoztat a teendőkről. A SZÜF-re már nem aggattam volna még egy feladatot, mert így is kezelhetetlenül bonyolult tud lenni (btw az infó ott is megvan mindenről, ez csak az egyszerűsített változat), a mobilapp pedig nem jó erre, mert annak a tartalmát pl. nem indexeli a Google/ChatGPT.

A weboldal működik. De melyik DÁP funkciót tudod ott intézni? Ha egyiket sem, hanem csak egy linkgyüjtemény ami elvisz a megfelelő oldalhoz az miért DÁP?

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

De melyik DÁP funkciót tudod ott intézni?

Mármint hol? :) Én ezt írtam: "Ügyintézés: DÁP mobilappon, vagy SZÜF portálon (magyarorszag.hu)"

Ha egyiket sem, hanem csak egy linkgyüjtemény ami elvisz a megfelelő oldalhoz az miért DÁP?

Mi van, ha ez egy v0.1, és később a SZÜF-ből a gyakran használt funkciók itt is megjelennek? A SZÜF kezeléséhez lassan pilótavizsga kell már, szerintem tök jó koncepció, hogy így next-next-finish össze van szedve minden teendőd pl. gyerekszületéskor.

Innen már csak egy lépés berakni egy gombot, ami megnyitja a mobilapp megfelelő felületét.

Én leszek a legboldogabb, ha megvalósulnak a mi van HA utáni mondataid. HA ez tényleg így lesz mindenképp DÁP felhasználó leszek.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Legyen mondjuk egyszerűen a tárhelyre érkezett dokumentumok megnyitása. Jelenleg ez a weben elérhető a tarhely.gov.hu oldalon. Az applikáció a webes felületre irányít ahol be kell jelentkezned az aplikációval. A digitális aláírás tök jól müködik a mobilapplikációban, de nincs webes felület hozzá. Ilyesmire gondolok, hogy ezek például javulhatnának. 

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Legyen mondjuk egyszerűen a tárhelyre érkezett dokumentumok megnyitása.

Egyetértek, hogy van hova fejlődnie, de ez pl. pont működik

A digitális aláírás tök jól müködik a mobilapplikációban, de nincs webes felület hozzá.

Ez nem inkább technikai korlátozás? Most hol van az aláíró cert? Laikusként azt gondolnám, hogy a telefonban, de hogy lehetne ezt relatív biztonságosan megoldani egy webes felületen?

Ja. Van hová fejlődnie. Tedd át a tartós tárba a tarhely.gov.hu oldalon. Azért ez vicces így.

Én is azt hiszem, h a cert a telefonon van, de ugye a megfelelő hitelesítés után át lehet adni a weboldalnak és ott aláírni. Ahogy pl megoldották más e-aláírást árusító cégek.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Életemben nem helyeztem oda semmit. A beérkező dokumentumok 80% olvasás után kuka, ami valóban fontos, az megy a gépemen a helyére a fontos dolgok közé, amiről nyilván többszörös és offline backup is van.

Eszembe nem lenne sokéves, ki tudja hány fontos dokumentumból kikeresni amit akarok egy ömlesztett "tartós tárból".

A digitális aláírás tök jól müködik a mobilapplikációban

Hát, ezt azért vitatnám. Kb. csak a "Print to pdf" fájlokhoz használható. Generált pdf-ek esetén, főleg ha van valami extra bennük (mondjuk egy csatolt csv vagy xml) többnyire hápog, hogy ez nem biztonságos pdf, és az ÉN ÉRDEKEMBEN (!!!) nem írja alá.

Az is szép, hogy saját CA-t használnak, ami miatt az Adobe azonnal ordít, hogy nem érvényes aláírás.

Persze e-mellet még ráadásul megy a bohóckodás, hogy töltsd fel a doksit a telefonra, töltsd le az aláírtat vissza a gépedre...

Generált pdf-ek esetén, főleg ha van valami extra bennük (mondjuk egy csatolt csv vagy xml) többnyire hápog, hogy ez nem biztonságos pdf, és az ÉN ÉRDEKEMBEN (!!!) nem írja alá.

Én ilyenbe nem futottam még bele, de elhiszem.

Az is szép, hogy saját CA-t használnak, ami miatt az Adobe azonnal ordít, hogy nem érvényes aláírás.

Ez csak kényelmi probléma, amíg a szolgáltató oldalán 50M-ig terjed a felelősségvállalás, az Adobe bekaphatja.

megy a bohóckodás, hogy töltsd fel a doksit a telefonra, töltsd le az aláírtat vissza a gépedre...

Én ezt nem érzem akkora problémának. A laptopomon elmentem a fájlt az asztalra, kezembe veszem a telefont, DÁP, tallózás, a legelső megjelenő képernyő legelső fájlja lesz az, amit alá akarok írni.

Androidon lehet, máshogy van, YMMV.

Én már futottam bele. Az üfsz nagyon segítőkész volt és kedves, és csak 25 percig kellett várni a kapcsolásra. A megoldás pedig egy egyszerű mentés másként. 😀

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Hello,

Ez az adobe irje, hogy nem valid, csak a legeslegelején volt, mikor a chaint nem csomagolták mellé. Azóta fasza, mert a root ca az hiteles, benne van.

Be van pippantva neked, hogy frissitse automatán az eidas root ca-kat? (bár ez már korábban is benne volt).

Web, Domain, Tárhely

Az is szép, hogy saját CA-t használnak, ami miatt az Adobe azonnal ordít, hogy nem érvényes aláírás.

Tudom, hogy ez kissé kevésbé intuitív, és a mindenféle erre irányuló magyarázó kommunikáció is ennek ellent szokott mondani, de valójában egyáltalán nem baj az, hogy ha olyan esetben, ahol nem igazán van szükség megbízható külső félre, ott nem vonunk be ilyet. Annak ugyanis a valódi definíciója kb az "ezt nem tudtuk megoldani technikailag, szóval itt van X, neki hiszünk, ha azt mondja jó, ha meg azt, hogy nem, akkor nem". Magyar állam - magyar állampolgár viszonylatban az első egy, ahogy gelei mondja, max kényelmi kérdés a plebsnek, mert valójában arra lesz csatorna, hogy eljuthasson hozzád a megfelelő CA, cserébe fölösleges kitettség, hogy azt tudja mondani, hogy ez szerinte nem jó...

Ez sajnos akkor lenne így, ha a felhasználók valamennyire is tudatosak lennének. De amíg az átlag felhasználó MINDEN ilyen ablakot olvasás nélkül kattint le, addig baj, hogy ezek a CA-k nincsenek ott a gépen.

Saját CA-val ugyanis én is tudok egy olyan CA-t csinálni, aminek az a subject-je ami az államinak, az issuer nyilván ugyanaz lesz - hiszen self-signed! - és soha senki nem fogja tudni megmondani, hogy az az én CA-m vagy az államé, cserébe én bármikor tudok az állam nevében aláírni valamit - az, hogy az állam ezt nem fogjadja el, az meg már a user problémája. :D

És erről szól az OpenSSL alapú trust chain, a trusted root CA-k egyfajta tanúként igazolják azt, hogy az én Kukacország.hu tanusítványom az nem megbízható, a Kukacország kormánya által kiállított meg az.

A másik meg amit felvetettem: ha valaki közbeékelődik, akkor a user szívja meg. Ezért az a jó megoldás, ha a user nem szívja meg, ezt meg - a jelenlegi technológiákkal - csak a megbízható aláíróval lehet megoldani.

Érdemes átnézned a PKI-t meg hogy a tanusítványos Chain of Trust hogy működik pontosan.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Érdemes átnézned a PKI-t meg hogy a tanusítványos Chain of Trust hogy működik pontosan.

Really? :D :D :D 

Pontosan tudom, hogy működik, és abban teljesen igazad van, hogy a tooling e körül egy tarkafos, és eszméletlen szarul van ez kezelve, ezért "muszáj", mert az emberek nem értik

Ettől még valójában ha az egy tudatos dolog, hogy márpedig ez itt a CA, ezekben a tranzakciókban ez az authoritás, akkor a közvetlen trust jobb, mint ami át van húzva valakin. És speciel ilyen állambácsi szaroknál különösen... nem jó az, ha egy külföldi állam simán azt tudja mondani, hogy szerinte nem hiteles amit a magyar állampolgár a magyar állammal beszélget.

Volt egyébként olyan állami cucc, ahol évekig köszönettel működött, hogy nem volt benne a CA a standard trust storeokban ;)

De amíg az átlag felhasználó MINDEN ilyen ablakot olvasás nélkül kattint le, addig baj, hogy ezek a CA-k nincsenek ott a gépen.

Az átlaguser egy aláírásos, pecsétes doksiról sem tudja megmondani, hogy legitim-e. Van rajta aláírásnak látszó tárgy? Akkor biztos jó.

Ugyanígy a legmegbízhatóbb, Adobe-által elismert CA-tól szerzett aláírással is aláírhatok egy dokumentumot, amibe előtte kézzel beleszerkesztettem a DÁP-logót.

a trusted root CA-k egyfajta tanúként igazolják azt, hogy az én Kukacország.hu tanusítványom az nem megbízható, a Kukacország kormánya által kiállított meg az.

Márpedig imho az állami szolgáltatásoknál ha ilyenben gondolkodunk, akkor az állami root certet kellene elfogadtatni az Adobe-bal, nem pedig az állami aláíró-feladatokat kiszervezni egy random 3rd party CA alá.

szerk: btw ilyen is van https://eidas.ec.europa.eu/efda/trust-services/browse/eidas/tls

( mraacz | 2025. 07. 23., sze – 12:19 )

Most megint a szokásos magyar megoldás lesz?

Minek ez az aggódás? Illik előre tudni, hogy szar lesz az egész. Biztosan.

( n.balazs v | 2025. 07. 23., sze – 12:38 )

A hozzáértésükről:
1. RSA algoritmussal kérték a tanúsítványt. Halló, 2025 van! Ha nincs valami eszméletlenül nyomós oka, akkor EC-s tansit kérünk.
2. CAA rekord nincs beállítva.
3. A chaint rossz sorrendben küldi le a szerver.
4. Nincs TLS 1.3.
5. HSTS nincs beállítva.

Értem én, értem, de egy ilyen szolgáltatás domainjén ne legyen olyan dolog, ami nem https, vagy nem úgy https. Nem kell semmit elképzelni a fantáziámmal, ha valaki ilyen faszsággal jön, akkor szét lehet tenni sajnálkozva a kezed, hogy hát sajnos ezen be van kapcsolva a HSTS, uh. tenger mély tisztelettel, de húzzá' vissza, aztán csináld meg rendesen. Ha meg te baszol el valamit, akkor legalább hamarabb eljutsz odáig, hogy hát akkor ingujj feltűr, és megjavít, nem okoskodik....

Mar azert sem jo otlet, mert a tesztkornyezetekben is mas tanusitvanyok vannak, ha van egyaltalan https.

Szerintem felelotlen dontes egymassal kommunikalo, akar mas vendortol szarmazo es idonkent mas networkon levo microservice architekturara epitett webalkalmazas-monstrumhoz elso napon bekapcsolni a HSTS-t. Szertined meg nem csak hogy nem felelotlenseg, egyenesen "kotelezo".

Probalhatnalak ravezetni, hogy "valamilyen elv mindenkeppen serul", de egyszerubb, ha megallapitjuk, hogy ennel kozelebb a velemenyeink nem lesznek egymasehoz.

Butthurt much? Nézd, húsz éve ebben dolgozom, üzemeltettem már, integráltam már, fejlesztettem már, láttam én is már mindenfélét is, és tök őszintén nem igazán látom, hogy mi a fene lehet, amit a browserek irányából egy ilyen kiritikus szolgáltatásnál valaha is meg kellene engedni nem httpsen.

És igen, amikor valaki azzal jön, hogy mer többminden van odaproxyzva (és?) meg úristen microservicek (amik meg kurvára beszélgessenek hátul), meg valami tesztkörnyezetek, meg hogy nem tudom, hogy mennek projejkek... dehogynem szarul :D Megy az észosztás, aztán mikor kéne mondani egyetlen valid érvet, hogy mi lehetne ilyen, akkor jön az, hogy visszatérünk a magas lovas "Ha nem erted, hogy ez hol baj, nincs meg az ezen szakmahoz szukseges fantaziad. Pont." és nekünk van nagy pofánk :D Aha :D

Mondtam ervet. Auto-invalidate algoritmust dobtal vissza ra. Ilyenert kar a billentyuleutes.

Most te jossz: eltel at olyat, hogy a gyakorlatban tenyleg azon es csak azon mulott egy incidens, hogy nem elso nap, hanem ket het utan lett bekapcsolva szerver oldalon a HSTS? Ha nem is lattal ilyet, lehet, hogy az en fantaziam gyenge? Nezzuk, szerinted milyen bajt okozhat a gyakorlatban?

Dehogy mondtál. Össze vissza dobálgattál fel dolgokat, amiket képtelen lennél értelmesen megvédeni ebben a kontextusban. Legalábbis gondolom, ezért nem próbálod meg :)

És azóta már kiderült, hogy az az ellenérved az ellen, hogy nem bekapcsolni a HSTS balfaszság, hogy hát azért nem lehet bekapcsolni, mert vannak balfaszok :D :D :D - really.

A szalmabábodat meg megtarthatod.

A szalmababozast te kezdted. Max a szemelyeskedest kezdtem en.

De ha mar ekkora pofad volt, hol a peldad, hogy mikor okozna katasztrofat onmagaban a kesobb bekapcsolt HSTS?

Nekem van ervem, es te jossz "20 ev tapasztalat" authoritasaval, mint "erv".

A szalmababozast te kezdted. Max a szemelyeskedest kezdtem en.

Hol is?

Nekem van ervem, es te jossz "20 ev tapasztalat" authoritasaval, mint "erv".

Mármint arra való reakcióként, hogy én biztos hülye vagyok, és nincs hozzá fantáziám

De ha mar ekkora pofad volt, hol a peldad, hogy mikor okozna katasztrofat onmagaban a kesobb bekapcsolt HSTS?

Nem nem, nem fordítjuk meg a bizonyítást :) Azt már magad is elismerted, hogy a HSTSnek alapvetően működni kellene, mindössze annyit mondtál, hogy "honapokkal, vagy esetleg hetekkel a release utan." lesz ciki, ha nincs, szóval légyszíves hozz értelmes indokot arra, hogy az első hetekben-hónapokban miért ér?

Megpróbálom összeszedni:

  • Nem az ido a lenyeg, hanem az, hogy onnan nincs visszaut. Nem erdemes azt elkapkodni. - ebben érv nincs, egy ténymegállapítás van, hogy aki egyszer látta, annak ezentúl httpn kell szolgáltatni
  • Ha nem futottal bele, miert baj azt elkapkodni, nehez elmagyarazni, hogy miert baj azt elkapkodni. - ez szintén semmi, csak nagypofájú magas lóról észosztás
  • ha tobbminden van odaproxy-zva es valami nem https vagy nem ugy https - miért gondolod, hogy normális, hogy nem tudja aki csinálta, hogy mi van odaproxyzva? Miért lenne bármi, ami http eleve, itt mindennek mindig httpsnek kellett volna lennie, és ez egy zöldmezős cucc. Mi az, hogy nem úgy https?
  • maris jon a szivas, hogy "ez mar igy permanens". Nincs visszaút. - ez ugyanaz, mint az első
  • Ha nem erted, hogy ez hol baj, nincs meg az ezen szakmahoz szukseges fantaziad. Pont. - ez megintcsak a nagypofájú, magas lóról észosztás
  • Microservice-ek vilagaban? Az azert egy kicsit tulzas. - miért? A microservicekről nem kell tudni, hogyan vannak? Eleve, nincs kitalálva rendesen, hogy a public facing domainre hogy van https? Nincs se egy LB, se egy ingress? És még azt se tudjuk milyen microserviceink vannak? Hogy jön ebből ki, hogy nincs kész, ha ezt nem tudod?
  • mert a tesztkornyezetekben is mas tanusitvanyok vannak, - és? ez mennyiben érinti a HSTS-t? Eleve, a tesztkörnyezet, ami nem az éles domainen fut, hogy jön ide? És majd pár hét múlva meg ez már nem lesz baj, valahogy elmúlik?
  • ha van egyaltalan https. - komolyan az volna a kifogás, hogy nem tudunk https-t tenni a tesztkörnyezetbe? És majd pár hét múlva meg ez már nem lesz baj?
  • Fogalmad sincs hogy mukodik nehany projekt a valosagban. Akar egy tucat code ownerrel, akik kulonbozo cegek, kulonbozo belso policy-kkel. - ez már megintcsak nettó semmi
  • Es ebbol hany olyan volt, hogy az osszekapcsolodo projekt egyik felen ertett hozza a csapat, a masik meg egy subpath-t se tudott rendesen tesztelni, se egy CORS-os cookie-t ugy megcsinalni, hogy ne csak a tesztszerveren mukodjon, es hetekig ult egy ilyen issue-n? - ezzel meg mint már említettem, valójában nem cáfolsz, hanem megerősítesz :)

Szóval, van valami valódi, elfogadható érv arra, hogy a dap.gov.hu-n pár hétig ne legyen HSTS, mert valaminek httpn kell menni? (Teszem hozzá, end user browser felől, mert valójában a mindenféle backend baszásoknál ez körkörösen nem játszik)

Szoval osszefoglalom.

Szerinted nem hoztam erveket.

Aztan bemasolod 10 ervemet, csak hogy elmondd, hogy szerinted "miert nem (jo) erv".

Ekozben szerinted egyetlen egyenes kerdessel, amit basztal megvalaszolni, en "szabalytalanul haritottam rad a bizonyitasi kenyszert".

Te onmagad parodiaja vagy!

(Egyebkent honnan tudod, hogy mi mindent hostolnak a *.dap.gov.hu-n, amit nem biztos, hogy amugy ott kellene?)

Aztan bemasolod 10 ervemet, csak hogy elmondd, hogy szerinted "miert nem (jo) erv".

Mármint úgy érted, hogy megcáfoltam az érveid? 

Te onmagad parodiaja vagy!

Te meg kurva nagyot akartál mondani, aztán nem sikerült, ezért a másik lett a bunkó. Az ácsot hívhatnád, hogy hova lett a bagoly.

(Egyebkent honnan tudod, hogy mi mindent hostolnak a *.dap.gov.hu-n, amit nem biztos, hogy amugy ott kellene?)

Sehonnan. Nem nekem kell, neki. De, ha nem ott kellene, akkor az van, hogy balfaszok. :)  És még akkor is nyugodtan lehetne a hsts header include subdomains nélkül. ;)

De hogy ne legyél ennyire butthurt:

Nem, közvetlenül nem láttam olyat*, de ettől még a HSTS megléte nem időfüggő, ráadásul mióta van cert transparency azóta kifejezetten fontos lett, hogy a TLSt azonnal jól üzemeld, mert malloryéknak van egy szép listája az új -- és az ilyen nem akkora baj, ha az első héten még nem jó hozzáállás miatt -- gyakran szarul konfigurált, támadási felületeket még tartalmazó siteokról. A *.gov.hu domain erősen rajta lenne a notificationt kérek listámon, ha gonoszkodni akarnék. A HSTS nem megléte miatt meg könnyebb támadni a klienseket. Aki várhatóan az elején ilyennek eleve sokan lesznek, és még helyismeretük sem lesz, szóval kifejezetten fontos volna ekkor a megléte.

*igazából de, de az gyakorlat volt

fontos lett, hogy a TLSt azonnal jól üzemeld

Ebben amugy alapvetoen egyetertek.

A HSTS nem megléte miatt meg könnyebb támadni a klienseket.

Ebben vagyok szkeptikus. Nagyon sok pontos es nagyon celzott es nagyon gyorsan szervezett tamadast tudok csak elkepzelni ennek a hianya miatt celbaerni. De mondhatsz peldat, ami ennek nem felel meg.

Ebben vagyok szkeptikus. Nagyon sok pontos es nagyon celzott es nagyon gyorsan szervezett tamadast tudok csak elkepzelni ennek a hianya miatt celbaerni. De mondhatsz peldat, ami ennek nem felel meg.

Nem kell ehhez annyira nagy dolog. A HSTS alapvetően man-in-the middle és spoofing elleni védelem, szóval nyilván nem ezen keresztül lehet elkapni mindenkit is egyszerre, viszont klienseknek pl dnsben hazudni azért messze nem olyan nehéz jelenleg (összehasonlítva mondjuk egy valid TLS cert kerítésével). Aminek egyenes következménye, hogy a httpn azt szolgál ki, amit akar, nem lesz villogó piros anyámkínja, és a jó domain lesz a browser barban.

És pont abban az esetben, amikor még a userek jelentős részének nem ismerős a mi vár rájuk, és jön a sok új user, akkor pont emelkedik a kockázat.

De nyilván, a HSTS nem véd minden ellen. Ellenben arra még mindig nem hallottunk akár csak egy épképzláb indokot is, hogy miért ér egy darabig ignorálni, és miért csak hetek-hónapok múlva lesz ciki. Szóval most akkor már te jössz. (Olyan példa is jó lesz, ahol a valami elbaszásnak az a jó megoldása, hogy akkor egy kicsit menjen http-n)

Olyan példa is jó lesz, ahol a valami elbaszásnak az a jó megoldása, hogy akkor egy kicsit menjen http-n

Szerintem olyat mondtam pont. :) Rosszul kommunikalo csapatok es tobb kulsos es ket kulsosnek is ugy volt access-e olyanhoz proxy-zni, amihez nem kellett volna, vagy veletlen wildcard a domain cert, mert valaki mas sem ertett hozza, es faszsag kerult egy subdomainre. Es valami http/https keveredes valamelyik subpath-on igy nem megy egy olyan browser policy miatt az egyik bongeszoben amit talan amugy illett volna ismerni.

Mondjuk hozzateszem, picit abban lehet igazatok, hogy nem a valos eles release utan, hanem mar a public bejelentes utan hianyzik a HSTS. Ha a public bejelentes a public release utan van par nappal, akkor mar ertem, miert illik bekapcsolni addigra. De itt is vannak turelmetlen productosok, akik eldontik a szakember helyett a velemenye ellenere, szoval "ezert nem egyertelmu az igazatok". :)

Már elnézést, de hogy ebből melyik a nem balfaszság? Te tényleg azzal akarod védeni, hogy azért nem baj, ha nincs, és ez nem a hozzáértésükről tanúskodik, mert faszok, és nem értenek hozzá? :D Ha meg igen, akkor a managerük élesbe teteti, mikor nincsen kész? :D :D

Van technikai indokod is, vagy valójában egyetértettél, csak furcsán fogalmaztál :D

(És egyébként ezek közül mi az, ami hirtelen megjavul pár nappal későbbre?)

Aha. Szóval azért nem balfaszság a nem bekapcsolt HSTS mert van egy csomó balfasz, értem :) És ezek a balfaszok két hét alatt elmúlnak balfaszok lenni, továbbá az architektúra ábra is megrajzolja önmagát, amitől tudni fogjuk mostmár, hogy valójában hogy működik a rendszerünk :) De természetesen semmiféle baj nincs, ez így rendben van. :) Hát tudod mit, nem, nincs ha nagypofájú vagyok, mert szóvá merem tenni, hogy erre nincs épkézláb szakmai indok (márpedig abból pont nullát sikerült megvédened) akkor az vagyok. Viszont szerintem nem én lettem önmagam paródiája ;)

Egyébként mint mondtam, szerintem pont számol vele: ha be van kapcsolva a HSTS, akkor mikor megérkezik gyopár gyula manager a hóna alatt buta benő fejlesztővel, hogy márpedig nekik http kell, mert balfaszok, és nem tudnak httpsen beszélni, mert az rettenetesen nagyon bonyolult, akkor szét lehet tenni a kezed, hogy hát sajnos-sajnos ugye a HSTS miatt kénytelenek lesztek....

Mert egyébként mondhatnál még olyan példát is a dap.gov.hu kapcsán, ahol jó megoldás lesz mégiscsak megengedni a klienseknek, hogy http-n beszéljenek.

Semmi személyes: Úgy látszik, hogy nem dolgoztál te még elég nagy és elég sok projekten. Nincs ezzel semmi gond.
Esetleg dolgoztál, csak túl sok rossz mintát láttál, amit normálisnak gondolsz. Félkész munkát, gagyit nem illik kiadni a kezünkből. Ezt "csak" 3 évtizedes IT szakmai tapasztalat mondatja velem.

 

Semmi személyes

De

De nem baj, en kezdtem, csak valld be. :)

"csak" 3 évtizedes IT szakmai tapasztalat

Es ebbol hany olyan volt, hogy az osszekapcsolodo projekt egyik felen ertett hozza a csapat, a masik meg egy subpath-t se tudott rendesen tesztelni, se egy CORS-os cookie-t ugy megcsinalni, hogy ne csak a tesztszerveren mukodjon, es hetekig ult egy ilyen issue-n?

Mert ossze lehet 30 ev tapasztalatot szedni ugy is, hogy korulotted mindenki ertett mindenhez. Meg ugy is, hogy korulotted csomo mindenki csomo mindent szarul csinalt.

(De nagy osszegben fogadnek, hogy annyira szarul nem csinalt senki semmit korulotted, hogy azon es csak es kizarolag azon mulott volna, hogy elso napon vagy ket hettel public release utan enable-ozik a HSTS-t)

A 30 év alatt én már láttam mindent a skálán. Tényleg. Ezekből rengeteget tanultam én is. Ezért merem bátran kijelenteni, amiket írok.
A nagyon nem hozzáértőkkel 2 dolgot lehet tenni:
- Elmagyarázni nekik a helyzetet maximum 3 alkalommal.
- Kirúgni őket azonnal. -> Sajnos a "mi kutyánk kölykét" ritkán rúgják ki....

Itt a nagy veszély, hogy valamelyik "zseni menedzser" kijelenti: "Működik, nem? Akkor ne nyúljunk hozzá. Jó ez így!" -> És így maradnak ott a gagyi, korszerűtlen beállítások évekig vagy örökre.

Taníts mester! Meghajlok tudásod előtt. (szarkazmus)

Pl. ha tobbminden van odaproxy-zva es valami nem https vagy nem ugy https, maris jon a szivas, hogy "ez mar igy permanens". Nincs visszaut. Ha nem erted, hogy ez hol baj, nincs meg az ezen szakmahoz szukseges fantaziad. Pont.

Látszik, hogy nem értesz hozzá. Szórakoztat a hibás érvelésed.
1. Mi az, hogy "többminden van odaproxy-zva"? A NISZ-nek van elég nagy (/16) IPv4 tartománya erre.
2. Mit értesz az alatt, hogy "nem úgy https"? Kifejtenéd kérlek?
3. "nincs meg az ezen szakmahoz szukseges fantaziad". Ez tetszik. Ebben a szakmában a fantázia hajt mindent. 🤣

Megjegyzem, hogy amelyik szolgáltató, cég, állami intézmény integrálódni akar a DÁP-hoz, az nem úgy történik, ahogy te gondolod.

Ember, szerinted ha harom kozbe' szerzest nyero havercegnek kell valamit integralnia, ott milyen munkafolyamatok lesznek, es mennyire lesznek azok "szerinted a legszakszerubb modon" osszekapcsolva?

Talan ezt a peldat erted leginkabb, de fejemben van 100 masik. De ebbol talan ertesz. Ha ebbol se, feladtam.

- Az RSA sem gond, teljesen szabályos/szabványos RSA kulcsot kérni.
- CCA rekord egy védelmi vonal, de már beszéltük hogy közel sem véd annyira, mint amennyire gondolják
- A chain az furcsa, ez tényleg gáz
- TLS 1.2-t sem érzem hatalmas tragédiának, bár lehetne 1.3 is
- HSTS-t majd beállítják

Az RSA elavult. Legacy. Lehet vitatkozni velem, ettől még ott lebeg felette Damoklész kardja. Egy RSA-EC átállás tud fájni, míg ha egyből EC-vel indul, az kevésbé.

Hasonlat: Attól, mert lehet még B30-as téglát kapni, attól még nem kell abból építeni a házat. Van korszerűbb, jobb.

Ha ezen hibák közül csak 1-1 fordulna elő, az még elmenne. De így egyben.... Ciki, gáz, amatőr.

RSA-t még mindig nem törték meg.

Kis pontosítás részemről:
1. Bizonyíthatóan nem törték meg bizonyos kulcsméret felett.
2. Ha valaki megtöri tetszőleges kulcsméret mellett, akkor nyilvánvalóan nem fogja azt nyilvánosságra hozni. Ez neki katonai / üzleti / politikai előnyt nyújt.
3. Kriptográfiában, titkosításokban sose a tegnapelőtti technológiát használjuk (ha megoldható), hanem a holnapit vagy holnap utánit.
4. Nem az a kérdés, hogy az RSA-t kivezetik-e. A kérdés, hogy mikor. Célszerű előre menni és nem az utolsó pillanatban cselekedni.

7 éve építkeztünk, így már nem követem az árakat, de nem csak magát a tégla árat kell nézni (de a B30 olcsó volt mindig). A 30-as téglákhoz képest ha szerencséd van megépítheted 20-as mészhomokkal, vagy nálunk 25-össel lett a földrengés teszt miatt. Egy 120m2 háznál ha téglalap akkor 30 -> 25 -nél nyersz 2 m2-t, 30 -> 20-nál 4 m2-t. Vagy a másik oldalról nézve annyival kisebb házat elég építeni, kisebb alap, tető, stb. Máris beljebb vagy. Meg amit említettem, nem kell vakolni, mert méretpontos, mint egy csiszolt tégla.

Van olyan hátránya is, hogy kétszer égettem le a horonymarót a villanyszer. munkánál, bár utána egy kölcsönzős metabo már simán vitte, meg az aldis sarokcsiszoló is, csak azzal kétszer kellett végigmenni minden hornyon :)

20-as Silkából hagyják, hogy megépítsd? 25-öshöz meg kell 5 cm-el több hőszigetelés, mint amit a 30NF-hez raknál, nem igazán lesz vékonyabb a fal.

A B30 valóban olcsó darabra, csak egységnyi felületre több, mint 2x annyi kell belőle (35 vs 16/m2), így már a tégla is drágább, meg drágábban is rakják.

Huhh, 7 év építkezés az kicsit idegölőnek hangzik. Én jövőre kezdem, de ha ilyen Petrocelli-mód lesz, akkor öngyi leszek.

Az 1-es ponthoz: miért is fontos, hogy ECC és nem RSA? Esélyes, hogy az a HSM, amiben a privát kulcs van, az nem tud EC kulcsot generálni.

A 3-as ponthoz: teljesen mindegy a chainben a sorrend, amíg a chain minden eleme el van küldve. A böngésző úgyis sorba fogja tenni a hivatkozási lánc alapján.

A 4-es pont tényleg gond.

A 3-ason kívül a többi nem gond, és indokolható, hogy miért.

1) Lehet, hogy 2025 van, de kérdés, hogy milyen régi ügyfeleket akarnak támogatni. Szerintem Windows 7-ig, indokolt az RSA
2) Kevés kliens használja, böngésző tippre csak a legújabbja, nem elengedhetetlen
4) Megint, régi klienseket is támogatni akarnak, valószínűleg az jött ki a belső teszteken, hogy TLS 1.3-mal elromlik valamelyik régi kliens
5) Szerintem itt is ugyanaz van mint fenn.

Bocs, de ez egy nem kukacpistibt.hu domain, hanem egy kormányzati portál, ahol a legszélesebb elérhetőséget kell biztosítani. Ilyenkor nem feltétlenül a legújabb, legfancybb biztonsági megoldások játszanak, hanem a maximum, amit a legrégebbi, legelavultabb támogatott kliensplatform képes támogatni. Egyszerűen nem lehet olyat mondani, hogy Kiss Manyika Taljándörögön igenis használjon Windows 11-et egy kormányzati portál eléréséhez.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

1) Ez egy üzleti és biztonsági döntés egyben. Windows 7 kezelt EC-t, XP nem kezelt (tévedés joga fenntartva). Ha Hajbazer-féle rendszereket is támogatni akarnak, akkor később fog nagyon fájni az RSA-EC váltás, miután az ügyfelek és rendszereik integrálódtak és ki kell vezetni az RSA-t.
4) TLS 1.3 támogatással is - tehát TLS 1.2 + 1.3 támogatással egyszerre - melyik kliens romlik el? Ez tényleg érdekel szakmailag.

Mivel ez egy kormányzati portál, ezért pont itt kellene nem a minimumot, hanem az elfogadható optimum szintjét megütni. Könyörgöm, 2025-ben engedjük már el az Android 4.3-t, az IE 6-10-t, a Java 6-7-t, Safari 6.x-t.
Megjegyzem, hogy nem kell Windows 11 egy EC-s portálhoz.

> 2025-ben engedjük már el az Android 4.3-t, az IE 6-10-t, a Java 6-7-t, Safari 6.x-t.

Akkor most ugye te ingyen vállalod, hogy végigmész az összes kis rákfarka településen, és mindenki számítógépén lefrissíted az IE-t, a Windowst meg a tököm tudja mit, ugye? Mert ha nem, akkor mi lenne, ha nem te mondanád meg, hogy mit kell elengedni.

Ez tényleg arról szól, hogy mivel ez egy kormányzati portál, a lehető legszélesebb körnek elérhetővé kell tenni, ugyanis etikailag is gond, ha valaki azért nem tud használni egy ilyen - kötelező - felületet, mert nincs pénze új gépet/telefont venni. És sokaknak nincs!

> akkor később fog nagyon fájni az RSA-EC váltás, miután az ügyfelek és rendszereik integrálódtak és ki kell vezetni az RSA-t.

Nem biztos, hogy terveznek ilyet. Az RSA tudtommal megfelelő bitszélességgel elegendő biztonságot nyújt, amennyire én tudom, nincs ismert sérülékenysége az egész algoritmusnak, ami miatt kifejezetten discroureged lenne a használata. Nyilván az EC többet tud, ez vitán felül áll, én azt mondom, hogy az RSA-nak jelenle nagyobb a támogatottsága. 

Ami a TLS 1.3-at illeti, őszinte leszek: ebben a konkrét esetben nem tudom. De láttam már olyan alkalmazást, aminél hiába tudott a szerver TLS1.1-et és TLS1.2-t is, ha a TLS1.2 bármilyen formájában aktív volt, nem volt hajlandó kapcsolódni. Teljesen le kelett butítani a webszervert, hogy a kapcsolat felépüljön. El tudom képzelni, hogy a TLS1.3-at ezért nem merték vagy nem tudták bevezetni.

És igen, igazad van, hogy nem kellene XP-re meg OSX 10.4-re készülni. De van, ahol muszáj.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Hajbazer, te vagy az? 😆
Az általam írt szoftver verziók elavultak, EOL / EOS státuszúak. Mindenhonnan kopnak kifelé. Miért is kellene őket támogatni?

...ha valaki azért nem tud használni egy ilyen - kötelező - felületet, mert nincs pénze új gépet/telefont venni. És sokaknak nincs!

Kötelező felület? Mióta? Mióta lett a DÁP kötelező? Lemaradtam valamiről?
Azzal egyetértek, hogy sokaknak nincs pénze új telefonra vagy gépre. Amelyik gépen meg csak Windows XP tud elfutni (10+ éves gépek), azok meg netezésre alkalmatlanok. Hát még a biztonságos netezésre, online bankolásra.

Nem biztos, hogy terveznek ilyet.

Lemaradtál pár körrel.
Lásd - sajnos nem tudom őket időrendbe tenni neked, mert a Microsec oldaláról is hiányzik a dátum a cikkeknél:
- https://e-szigno.hu/hirek/2048-bites-rsa-algoritmus-kivezetese
- https://e-szigno.hu/hirek/tamogatott-kriptografiai-algoritmusok-valtoza…
- https://e-szigno.hu/hirek/2028-ig-kapott-haladekot-az-2048-bites-rsa-al…
- https://e-szigno.hu/hirek/rsa-algoritmus-kivezetesevel-kapcsolatos-valt…
- https://hiteles.gov.hu/cikk/119/tajekoztatas_az_ecc_atallasrol
A hivatkozott ETSI dokumentum (ETSI TS 119 312) elolvasását rád bízom.

Mert ha nem, akkor mi lenne, ha nem te mondanád meg, hogy mit kell elengedni.

Népszerűtlen leszek, szerintem teljesen elfogadható dolog az, hogy adófizető állampolgárként van véleményed arról, hogy mire költik a lóvédat.

etikailag is gond, ha valaki azért nem tud használni egy ilyen - kötelező - felületet

Kötelező?

( sz332 v | 2025. 07. 23., sze – 12:53 )

2025-ben nem waterfallban fejlesztünk hanem iterativ módon történik a termékfejlesztés: a felhasználó időről időre újabb és újabb funkciókat kap. Hogy ezek milyen sorrendben érkeznek, azokat valaki (tipikusan egy product owner) meghatározza. Az iteráció ezen scope-jába kb. ez fért bele. Szeretnétek hogy gyorsabban haladjanak? Akkor lehet jelentkezni náluk, vannak bőven nyitott poziciók fejlesztő, elemző, pm, architect, és egy csomó másik pozicióban is. 

A lényeg. Elvileg, ha 2027-ben bemegyek Rómában egy mobil üzletbe akkor a dáppal fogok tudni pl olasz sim kártyát vásárolni.

https://images.app.goo.gl/74rHGVHqGEy7D2eh8

Úriemberként nem mernék fogadni arra, hogy a fenti timeline valós lesz Magyarországon is...

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

De igen. Ez az. Tök szuper. Most már csak az a kérdés, hogy az olaszok saját id wallet alkalmazását is tudjuk-e kezelni a jövőben. Elméletileg igen.

De ha minden igaz akkor nem kell majd eu taj kártyát sem kiváltanom 2027-től? Az is nagyon tuti lenne.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Sajnos az IdomSoft, NISZ és társai nem olyan képet festenek, ahová szívesen mennék dolgozni. Az egész állami IT egy olyan képet mutat számomra, amivel nagyon nehezen tudnék azonosulni. Habár tudom, hogy vannak azért ott lelkes, hozzáértők is. Csak hát erősen csökken a létszámuk a "többiekhez" képest.

( trey | 2025. 07. 23., sze – 15:02 )

Az megvan, hogy ez folyamatos bevezetés alatt álló keretrendszer? Nem titkoltan, az elejétől kezdve ezt az utat követik?

trey @ gépház

Igen. Megvan. Olvastam róla több helyen is. Ha eléri azt a szintet, ahol majd tényleg használható is lesz, telepíteni is fogom...

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

#worksforme

  • mobilon tudom egyszerűen a tárhelyem ellenőrizni (pl. ha a NAV vagy egyéb hivatalos szerv küld valamit)
  • okmányok nélkül autózni, motorozni
  • időpontot foglalni
  • doksikat digitálisan aláírni
  • járműveim és saját személyes adataim megnézni (pl. ha meg kell adnom valahol)
  • gyógyszertárban gyógyszert kiváltani személyi és TAJ kártya nélkül
  • DÁP-pal integrált szolgáltatásokba QR-rel belépni 

Mindegyikre használom. 

trey @ gépház

Tényleg tök jók ezek a funkciók, de ahogy írod is a tárhelyedet max ellenőrizni tudod, de kezelni már nem. A taj számodat megmutatja, de a biztositási jogviszonyod érvényességének igazolására meg nem alkalmas.Doksikat aláírhatsz vele, de még nincs webes felület ahol ezeket managelni tudnád. Szóval, ha ezek a konkrét funkciók bekerülnek _számomra_ akkor lesz használható. Addig marad a széttagolt weboldalak sokasága...

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

A taj számodat megmutatja, de a biztositási jogviszonyod érvényességének igazolására meg nem alkalmas

Arra ott az EgészségAblak app, ami szintén integrált a DÁP-pal. 

de még nincs webes felület ahol ezeket managelni tudnád

Minek? Jellemzően aláírom, Share -> Levelező, mellékletként kiküldöm. Ott van a kiküldöttek közt. 

Addig marad a széttagolt weboldalak sokasága...

És még így is javítja az életminőséget. Ha még jobb lesz, az csak szuper! 

trey @ gépház

Minek? Jellemzően aláírom, Share -> Levelező, mellékletként kiküldöm. Ott van a kiküldöttek közt. 

+1, ráadásul (iPhone-on legalábbis) natívan tud tallózni az összes cloud szarban, úgyhogy:

  1. save file to icloud
  2. aláír
  3. share

Vagy amúgy észrevettem, hogy az icloudról importált fájlok aláírt változatát automatikusan betette az icloud ~/DÁP mappájába. Great success.

Ja. Azt hiszem igazatok van. Kicsit sokat várok egyszerre azt hiszem. Lassan majd kialakul ez...

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick