(Akit érdekel, ugyanitt lehet olvasni magáról a PS-ról.)
Nagyon röviden a kukikról („sütik”, avagy idegenszívűen: cookie):
cookie:
ezt mindenki ismeri: tetszőleges kis adatcsomag, amit a
böngésző tárol, és a website le tudja kérni, tartalma bármi lehet a
user azonosítótól a teljes userprofilig, és tovább a végtelenbe. Ami
mindig van, az egy név és
egy adattartalom;
de a browser általában
tárol még egy csomó dolgot (attribútum), ilyenek például:
domain: alapértelmezett a küldő pontos hostneve, ekkor csak ő
kérheti le; ha meg van adva, akkor ez lehet hostnév (www.example.hu), a
host domainje (*.example.hu), vagy a host domainje alatti subdomain
(analitycs.example.hu);
path: url-en belüli path (/ugyfelkapu);
lejárat: a cookie érvényessége;
http/https korlátozás (csak itt vagy ott menjen).
host cookie: a domain egyetlen host (nem domainre vonatkozik): csak
az adott host tudja használni;
normal: több host, subdomain is tudja használni az adott domain
alatt (pl: *.example.hu, megy a www.example.hu, ugyfelkapu.example.hu,
avh.example.hu alatt);
3rd party cookie: olyan cookie, ami egy másik domainre
vonatkozik.
Ránézésre ez utóbbi nem lehetséges (a www.example.hu nem tud cookie-t csinálni a
tracker.gov.hu részére), de ha a www.example.hu weblapon van egy mosolygó
bráner
kép a tracker.gov.hu-ról akkor a kép be tud állítani magának
egy saját cookie-t a *.gov.hu-ra, és mivel a lekéréskor kapott egy
Referer fejlécet azt is le tudja tárolni (és beletenni a cookie-ba),
hogy milyen weblapról jött a kérés. Így a végén lesz a user
browserében egy kuki, amit a teljes .gov.hu tud használni, és benne
lesz, hogy ő szuptóber 42.-én a www.example.hu/csinosfiúk_fiúknak/ lapot
olvasta. Amikor belép az ugyfelkapu.gov.hu-ra akkor az nyilván le
tudja olvasni a saját kukiját, és végig tudja nézni, hogy ki a kedves
ügyfél és milyen weblapokat nézegetett. Not nice.
Láthatóan a 3rd party cookie
egyrészt alapvető a domaineken átívelő
nyomkövetéshez (ez tipikusan a profilozáson alapuló, központosított
gigászi reklámcégek és állami elnyomó szervek érdeke; de szükséges
lehet a több domaint használó káoszweblapok esetében is, mint amilyen
a Microsoft® legtöbb szara), másrészt egy privacy rémálom.
Erre rájöttünk már elég régen (RFC2109,
RFC2965)
de még a drámai nyomkövető-business előtt a jóhiszemű
RFC6265
engedélyezte a 3rd party cookie használatot. Egészen a 2000-es évekig, amikor eszkalálódni
kezdett a nyömkövetisizmus.
Ekkor a browserek fokozatosan bevezették a 3rd party cookie tiltást,
ez mára szinte minden browser része. Vajon miért, de a Microsoft®
esetében ez jellemzően ki van kapcsolva (fentebb említett okból), de a
Chrome és a Firefox általában javasolja vagy bekapcsolja. Az, hogy
pontosan mit értenek 3rd party alatt az a gyártótól függ, hiszen ha
nem akar mindent tiltani akkor lavírozni kezd a „mi tartozik bele”
kérdés körül.
Közben sok minden történt (localstorage
a browserben,
XSS [cross-site
vulnerability, amikor az egyik weblap illegálisan adatokat nyer vagy
továbbít egy független weblapra/ról] támadások, leginkább) és lassan
megjelentek a sandboxok, ahol egy adott weblap korlátozott mértékben
tud idegen weblapokkal adatokat cserélni (még az adott browseren
belüli tabok esetében is, illetve ott sem).
A Google ezt (3p-cookie és browser sandbox) szeretné kombinálni
(Privacy Sandbox,
amihez hasonló létezik a Firefoxban is), és azt
tervezték, hogy teljesen tiltják a 3rd party cookie-t 2025-től. Amikor
elkezdték a külső tesztelést rájöttek, hogy ez nekik is nagyon fáj,
nem tudják kikerülni, így visszaléptek a teljes tiltástól. Az a terv,
hogy a userre bízzák, hogy akar-e 3rd party cookie-t, de még ők sem
tudják, hogy hogyan, mert ez szörnyűséges felhasználói élményt
eredményezne (azok a szerencsétlen hibbantak, akik például Microsoft®
Háromszázhatvanöt™ használnak azok a használat során 30-40 ilyen
jóváhagyást vagy elutasítást kellene, hogy tegyenek, mert ennyi
ide-oda 3rd party hivatkozással kerülhetnek szembe), így gondolom erre
próbálnak valami jót kitalálni. Good luck.
A végeredmény a „normál” weblapok szempontjából nem annyira kritikus:
ha csak saját domain alatti kukikat használt, akkor semmi nem történik;
ha 3rd party kukija volt, akkor a userek jelentős része (szinte
mindenki aki Firefoxot használ és a többiek egy része) eddig is
letiltotta azt, most vélhetően még többen nem fogják engedélyezni, és
fokozatosan csökken a domaineken keresztüli nyomkövethetőség cookie-n
megvalósított változata. Mivel a nyomkövetésnek még N+1 megoldása van
(amit a browser készítők egy része aktívan igyekszik megelőzni) így ez
sem hozza el az adatvédelmi kánaánt, de megnehezíti a userek
domaineken átívelő nyomkövethetőségét;
a tisztességes versenyzőknek a megoldás, hogy nem keverik a saját
domainjeiket (cég.hu és cég.com, például magyar weblap akar trackelni
a nemzetközi cég servereire), hanem mindent átmozgatnak a saját
domainjük alá (ugye a domain nem egyenlő a fizikai serverrel).
Normális esetben – szerintem – nincs szükség 3rd party cookie-ra, és azért is
érdemes kerülni mert mint említettem: a browserek jelentős része
alapból tiltja.
Egy helyi fæcesbook csoportban zajló, majd kissé elfajuló vita
kapcsán lette ideges attól, hogy a résztvevők egy része semmiféle
konstruktivitást nem vitt az értelmetlen beszólásaiba, így most
szokásomhoz híven átcsapok konstruktívba.
A kérdés:
Mi kell ahhoz, hogy legálisan árulhassam
a saját magam által főzött lekvárt a kapuban (vagy nyilván szervezzem
meg online, de helyben árusítással)?
Nos, ennek ugye alapvetően két vonzata van:
Üzleti oldal (adózás, előállítási és kereskedelmi engedélyezés);
Egészségügyi oldal (higiénia, növényvédelem, közegészségügy).
Üzleti oldal
Ahhoz, hogy legálisan magánszemély árusítson a legolcsóbb (és
vélhetően legegyszerűbb) mód az őstermelői szám (régebben
igazolvány) kiváltása. Ehhez
számos
forrás nyújt segítséget, de alapvetően ez kell hozzá:
NÉBIH FELIR szám: Online igényelhető a NÉBIH lapján. Ennek kiváltása díjmentes.
Ez felel meg a régi „őstermelői igazolvány”-nak.
Kormányhivatal: a helyi járási Élelmiszerlánc-biztonsági és Állategészségügyi Osztálynál kell
regisztrálni a kistermelői nyilvántartásba. Ez állítólag az e-papíron történik, de mivel változott, érdemes
a falugazdát megkérdezni. Szintén díjmentes. (Hivatkozott jogszabály:
60/2023. AM rend.)
NAV: az adóhivatalnak is vannak elvárásai, regisztrálni kell, illetve adószám fog hozzá kelleni.
Az őstermelő egy bizonyos mennyiség alatt elég szolidan adózik, de nem akarok adótanácsadót játszani; a
NAV lapján olvashatóak az
útmutatók.
Az eddig ismert egyetlen költség a NAK kötelező tagsági díja, aminek minimális összege
évente változik (nő), 2024-ben évi 6000 forint.
A fenti bejegyzéseket csak azért nem lehet tetszőleges sorrendben csinálni, mert van, hogy az egyik kéri
a másik által adott számot, de ez menet közben is kiderül, és mivel online intézhető, sok idő sem megy el vele.
Egészségügyi oldal
Bár itt semmi hivatalos adminsztráció nincsen, de fontos tudni, hogy a hivatalok ellenőrzik a vonatkozó
jogszabályok betartását. Ezek közül az alábbiakat érdemes szem előtt tartani:
Alapvető higiénia: aki élelmiszerrel foglalkozik, gondoljon mindig a tisztaságra, a kézmosásra, az
eszközök és a terület tisztán tartására. A hivatal – főként bejelentés esetén – ellenőrizheti nem csak a terméket,
de az előállításhoz használt környezetet is. Van, akinek alap, de nem árt mondani.
Növényvédőszerek: friss gyümölcsnél is és feldolgozásnál is lényeges, hogy egyrészt csak olyan szer használható, ami a
megfelelő kategóriába esik (1. kat), másrészt azt el kell távolítani, mielőtt… bármi történik. Aki regisztrál, annál (jellemzően
panasz esetén) nem csak az adott termékre, hanem általában is ellenőrzik, hogy betartják-e a növényvédőszerekre vonatkozó
szabályokat, például használt-e gyomirtót (nem jó ötlet); javasolt permetezés esetén jegyzetet vezetni arról, hogy mikor,
mivel, hogyan; ez nem kötelező, de jól jöhet, ha kérdezik.
Házi méretű esetekben (200 kg/hét alatt) nem kell engedély, HACCP, stb., „csak” normális körülményeket kell biztosítani.
Ennyi.
Alapvetően ennyi. Ha az őstermelői engedély megvan, kicsengetted a hatezret a kamarának a semmiért, akkor
nyugta ellenében (nyugtatömb: 500 Ft) árulhatod a saját gyümölcsödet vagy lekvárodat a kapuban, adott mennyiség
alatt nem kell iparűzési adót fizetni, az SZJA vonzata is kedvező, és plusz járulékok is csak akkor vannak, ha azt más
munkaadó (vagy hivatal) nem fizeti amúgy.
Ez nem vonatkozik a nagyobb mennyiségekre, nem vonatkozik arra, ha az árut nem helyben árulod, vagy piacra viszed.
Az már másik kategória, annak nézz utána te magad.
És természetesen ez nem életszerű; vélhetően a legtöbb kapualjban árusító nagymama nem fog őstermelői
számot kikérni és nyugtát sem hiszem, hogy ad. Mindegyik hivatalban somolyogva válaszoltak, amikor elmondtam a
konkrét esetet, és sugallták, hogy nem mindennapos a kérdésem. Talán nem véletlenül.
Egy amerikai közepes méretű cég könyvelőjének késő este csörgött a
telefonja, az ügyvezető telefonszáma látszott.
Felvette, és az ügyvezető hívta, és azt mondta, hogy nagyon sürgős és
fontos utalást kellene azonnal elindítania, írja le az adatokat, és
intézze el. Lediktálta a számlaszámot, a nevet és hogy másfél millió
dollárról lenne szó, ami a cégnél ritka, de nem példa nélküli utalás
volt. A rövid beszélgetés végén (hiszen a könyvelő nem nagyon mert
kérdezgetni a Nagyfőnöktől) a könyvelő elintézte és elindította az
utalást.
Másnap délelőtt csörgött a telefonja. A könyvelés kérdezte, hogy mi ez
az utalás? A könyvelő mondta, hogy a Főnök kérése, de a részleteket ő
sem tudja. Nem tudja, hogy van-e számla, de biztos lesz.
Kicsit később csörgött ismét a telefonja, és a cégvezető titkársága
kérte, hogy menjen be hozzá.
Nagyon kínos beszélgetés következett. A cégvezető nem kérte semmire, a
könyvelő mutatta a hívást, a cégvezető pedig mutatta a telefonját,
hogy arról senkit nem hívott egész este. A könyvelő állította, hogy a
cégvezetővel beszélt, hiszen megismeri a hangját!
A pénzt egy offshore bank kapta meg, a címzett ismeretlen, a pénzt már
átutalták máshova. A rendőrség széttárta a kezét.
Csodálatos dolog az AI technológia! Nem csak a kisdiákok házi
feladatát lehet vele megcsinálni (hogy aztán a kisdiák semmit ne
tanuljon belőle) de olyat is tud, hogy rövid hangmintából előre megírt
szöveget kimondó az eredetitől nehezen megkülönböztethető hangot
állítson elő. Sőt, olyan technológia is létezik, ami ugyanezt
mozgóképpel kombinálja: elég egy pár kép az illető személytől, elég
pár hangminta, és készen áll a videó (akár videochat), amin látszólag
a személy azt mondja, amit a készítője a szájába adott. (Még ott nem
tartunk, hogy beszélgetni lehessen vele, így megfelelően kell a
szövegeket előállítani, hogy bármilyen reakcióra megfelelőek legyenek,
pl. „ne kérdezgessen annyit, szalad az idő” vagy „intézze el és holnap
odaadom a számlát hozzá, most el kell rohannom”).
A telefonszámok hamisíthatóságát az elmúlt fél évben sokan
„élvezhették”, amikor akár „ismerőseik számáról” kaptak adathalász
üzeneteket, sms-eket. Mindez együtt egy új, feltörekvő bűnözői
magatartást hozott létre: a megszemélyesítéssel segített csalásokét.
Mit lehet ellene tenni?
A hamisított telefonszám nem tud hívást fogadni, a hamisított email
nem tud emailt fogadni. A beszélgetés után hívjuk fel azt, akiről szó
van és ellenőrizzük, hogy tényleg ő volt-e az, aki például thai
szűzlányokat ajánlott fel megvételre SMS-ben, vagy kölcsönt kért a
beteg kutyája sürgős Ausztráliába szállításához.
Ha az ügyviteli út nem teszi lehetővé, hogy egy átvert személy
egyedül, akaratlanul kárt tudjon okozni, mert a folyamatokba be van
építve a kötelező ellenőrzés (akár 2 faktoros azonosítás, akár több
személy általi ellenőrzés) akkor az átverés nem tudja elérni a célját.
Kifejezetten fontos ez akkor, amikor a főnök-beosztott viszony miatt a
dolgozónak nincs sok lehetősége tiltakozni: ha többes az ellenőrzés,
akkor automatikusan és kötelezően megtörténik, és nem kell miatta
senkinek sem személyes konfliktust felvállalnia az Atyaúristennel.
A furcsa vagy szokatlan kéréseket mindig ellenőrizzük
más úton vagy módon, esetleg egy másik kolléga segítségével! Úgyis ritkák, belefér!
Semmit nem csinálunk ellenőrzés nélkül, akkor sem, ha azt egy „fontos
ember” kéri. Mindenki tévedhet (jelen sorok írója is): segítsük a
vezetőket is abban, hogy minden rendben menjen. A dupla ellenőrzés
életet menthet.
És mindig gyanakodjunk a világra, mert sajnos veszélyes üzem.
This is a geeky English entry. Kind of making notes for everyone.
Problem space
The original problem is that Google Drive in Firefox (almost irrelevant which version
but this one's Nightly) cannot load "Details" and "Activity" sidebar content, instead I
get "Couldn't load details. Try again." instead of the content.
The problem seems deterministic usually, so it does not load whether you sacrifice a
black rooster on full moon, dancing naked in the middle of the enchanted forest or not;
however it may happen that it just loads, once, or a few times, then it's gone again.
When I have tried to connect it to addons it resulted nothing: yes, it is related
to the fact that my Firefox is packed with antispam extensions but no, it is not
caused by "any" of those, at least I can open a new session, activate all extensions
and the side panel would work just fine.
Now that I'm closer to the secret I should probably start removing them in reverse order
to actually pinpoint it to one or a few but… the real problem seems to be something else.
Looking for hints
I'll not detail you my search, but the result was that the problem is not present
in anonymouse mode
without extensions
in other browser (namely chromium, but it uses a different class of extensions anyway)
in a completely new browser session with the same set of extensions!
The last made it very confusing. So I started looking around and found that maybe
it is related to the NS_ERROR_INTERCEPTION_FAILED error in the Firefox console.
This is a very useful error message if the purpose is to maximise confusion and minimise
any chance to fix any problems, since the error message means that there was an unspecified
problem with an unspecified part of an unspecified extension (or maybe even Firefox core)
when it have tried to intercept (hook) the page loading. Awfully helpful (awhelpful? helpawful?).
So I started to google it (look, ma, it's a verb now!), and found almost nothing. But one page
was kind of suspicious, namely
an error report for the venerated
NoScript from 2022, which described a pretty convoluted problem they have fixed there:
Fetch requests initiated by service workers (such as those used by Spotify to cache album covers locally)
were not reported in the UI: it's something quite tricky, because service workers have no associated tab,
hence NoScript would need to keep track of all the tab containing documents which may be using the
service worker and report back to all of them.
Therefore you could not notice that scdn.com (set to DEFAULT because you use the full address
UI listing and surgically enabled only https://open.scdn.co) was the destination of fetch requests to
retrieve images, which were blocked because you unchecked the "fetch" capability from the DEFAULT preset.
So, hmm. Giorgio Maone (PBUH)
said that they had a problem with service workers not being able to follow
stuff scattered throughout plenty of tabs? So, let me see, what happens if I simply create a clean
session in the same configured firefox
(I am using Conex so I can create
session groups) and open Drive from there?
Yep, damn, it worked. It seems to work.
Solution or workaround
While I don't have time to research this now further I can say that the fix is simple:
do not open multiple tabs for the same site (Google Drive) in the same session (where the service
workers are shared, I presume), and it will work, no "Couldn't load details. Try again." anymore.
Probably this could be caused and fixed by fiddling with the specific settings of various spam
blocker extensions (my guess would be uMatrix and uBlock Origin but there are other strong contenders),
but right now I'm okay with opening a separate session for Drive and let it rest. And how I wish
the error message would be more specific, at least point to the extension (or hook) which fails, or even
better tell me about the specific error how what is failing.
Hope it helps. Someone. Index this, Google, thxbye.
Megint informatikáról és biztonságról szeretnék neked mesélni.
Az egész arról jutott eszembe, hogy jött egy hír, hogy az AI-hamisított (deep fake)
videók miket mutogatnak, meg az AI hamisított képek, üzenetek, akármik.
A probléma, hogy amikor egy híres ember kér tőled valamit egy vidóban,
vagy hallod a hangját, akkor lehet, hogy az valójában nem is ő.
Erről az egészről meg az ugrott be, hogy mesélnem kellene egy méltatlanul
hanyagolt, sőt, gyakran legyintéssel elhessegetett biztonsági módszerről,
méghozzá a másik fél azonosításáról.
Elöljáróban: azt talán tudod te is, hogy vannak azok a rendszerek, amik
titkosítanak, vagyis megoldják azt, hogy az üzeneteidet (írásodat,
képeidet, hangodat vagy videótartalmadat) idegenek ne tudják megnézni, megismerni.
Ez a rész viszont nem segít abban, hogy mi van, ha a másik oldal mégsem
az, akinek állítja magát?
A digitális aláírások ismerősek lehetnek. Ez a valóságban úgy működik,
hogy annak, aki aláír van egy titkos számosorozata (ez lehet sok minden, nem lényeges,
hogy épp egy jelszó vagy egy hosszú krixkrax-sorozat egy file-ban), a számítógép
pedig fogja az aláírandó szöveget (hangot, videót, akármit),
kiszámít belőle egy olyan mintát, ami csak
arra a file-ra igaz (ha bárki megváltoztatja, a minta nem fog stimmelni), és
utána ebből a mintából meg a titkos számsorozatból csinál egy olyan számsorozatot,
amit csak a titkot ismerő ember képes előállítani és csak az adott
file-ra igaz: ez a digitális aláírás. Egyrészt „nem lehet”
(pongyolán fogalmazok, elnézést a kriptográfusoktól) hamisítani, mert nem ismeri
senki más a titkos számokat, másrészt „nem lehet” észrevétlenül megváltoztatni sem a file-t,
mert akkor nem fog stimmelni a minta, és a mintát sem lehet hamisítani mert ahhoz
is a titkos számok kellenének. Ha még egy időpont is része a mintának, akkor azt
sem lehet hamisítani, hogy mikor készült az aláírás.
Pár szó az end-to-end titkosításról,
vagyis arról, amikor két pont között
titkosítjuk a forgalmat és így az üzeneteket továbbító rendszerek sem képesek azt
elolvasni/megismerni vagy megváltoztatni. Ez jelenleg a legnagyobb biztonságot adó
hozzáállás, nem is szeretik az uralkodó politikusok és erőszak-szervezeteik.
Azt fontos megjegyezni hogy ez csak arra vonatkozik, hogy a továbbítás közben
az üzenetek nem megismerhetőek de semmit nem tud arról mondani, hogy a két végén
megbízható rendszer van-e (vagyis jellemző módon nincs-e a mobiltelefonon állami
kémprogram vagy illegális megfigyelés); ha az üzenetet már megismerik, mielőtt titkosítaná
a program akkor… annyi volt, mindegy, milyen biztonságos az eljárás. Mivel ez ellen
semmilyen továbbítási titkosítás nem véd, most ne erről beszélgessünk.
Azt már kevesebben tudják, hogy a legtöbb valódi titkosítást és biztonságot biztosító
rendszer (tipikusan end-to-end titkosítással) a digitális aláírásokhoz hasonló
ellenőrzési lehetőséget kínál. Ennek a lényege az, hogy amikor csatlakozol valakihez
az első alkalommal akkor kapsz egy a partneredre jellemző titkos mintát, ami teljesen
egyedi módon azonosítja őt. Ebből azt nem tudod, hogy ő kicsoda, de azt igen, hogy
ha üzenetet kapsz a jövőben ezzel a mintával (ami vagy az üzenetet, vagy az
üzenetet továbbító csatornát, csoportot, chatret azonosítja) akkor azt „ez az eszköz” vagy „ez az ember”
küldte.
Ezt az alapszintű biztonságot nyújtja például a WhatsApp vagy a Signal azon értesítése, hogy
„megváltozott a partnered azonosítója”. Ez azt jelenti, hogy bár a partner ugyanazon a néven
látszik, de az üzenet nem arról az eszközről érkezett, amiről előtte!
A biztonságtudatos ember ilyenkor egy másik csatornán (például élőben
vagy telefonon) rákérdez, hogy „te cseréltél-e telefont, vagy nem”, és ha nem, akkor
valaki
hallgatózik.
Azonban ennél ezek a rendszerek sokkal többet is kínálnak! Vagyük példának a
Signalt (ami jelenleg az egyik legbiztonságosabbnak tekintett,
független kommunikációs platform). Itt például minden beszélgetésnél ha rábök az ember
a beszélgetés fejlécére (vagy bemegy a PöttyPöttyPötty»Chat settings alá) van egy
„View safety number” menü, ami mutat egy hosszú betű-szám sorozatot és egy QR kódot könnyítésnek.
Ez a szám és kód azonosítja a beszélgetést, és a csatorna mindkét végén ugyanaz.
Ha tehát odamész az ismerősödhöz és mindketten belementek a beszélgetésetekbe, akkor mindketten
ugyanazt a számot kell, hogy lássátok (és ebben segít a program is a QR kóddal, amivel gyorsan
lehet ellenőrizni).
Ha nem ugyanazt látjátok akkor nem egymással beszéltek, hanem
valaki mással, aki hallgatózik és
közvetít köztetek! Ha pedig stimmel a kód, meg lehet jegyeztetni a programmal! Ez a legjobb
módszer, mivel innentől bármikor megváltozik, a program azonnal nagyon hangosan tiltakozni fog,
hogy sérült a kapcsolat biztonsága! És akkor is, ha semmi titkosat vagy szörnyűt nem beszélget
az ember jobb, ha azzal beszél, akivel gondolja, hogy beszél, és nem
valaki mással.
Ehhez hasonló rendszert használ a WhatsApp is, hasonló kódokkal (ugyanaz az alapja a rendszernek,
mint a Signalnál). Egy másik, hasonló azonosítási módszer a Matrix hálózaté,
ahol bárkire rábökve van egy „Verify” (ellenőrzés) menü, amit kiválasztva és az ellenőrzést
elindítva mindkét oldal kap egy csomó emojit. Ez – mint az előző esetekben – mindkét oldalon
egyezik, és így az ember például felhívja az ismerősét és beolvassa, hogy „kacsa, fagyi,
mikulás, hal, államkasszával a zsebében offshore bank felé yachtozó lölö, kapa, kasza”,
a másik pedig ha ugyanezt látja akkor mindenki örül, és leokézza. Innentől ezek az ismerősök
kapnak egy zöld pipát, mindenki más meg vörös felkiáltójelet, ráadásul ez a rendszer képes kezelni
azt, ha az illetőnek több eszköze is van, és egyenként is lehet őket ellenőrizni vagy éppen
nem megbízhatónak jelölni és törölni az ellenőrzését.
Sok ember ezt nem veszi komolyan, hiszen semmi titkosról nem beszél az ismerősével, minek kellene
őt ellenőriznie? Nos, például azért, hogy ne kerülj olyan helyzetbe, hogy az „ismerősöd”
nagy bajban van és segítséget kér, hogy mondjuk utalj pénzt egy számlaszámra, és utána
derül csak ki hogy ő nem tud az egészről semmit. Ebben a helyzetben jó az, ha a program
figyelmeztet, hogy az üzenet ugyan látszólag az ismerőstől jön, de azt valójában nem ő
küldte. Ugyanezt az ellenőrzést megkapjuk például a Signal esetében hang- és videohívásnál
is.
Érdemes megemlíteni a webes tanúsítványokat is, ha már digitális aláírásokkal kezdtem:
a weblapok (és internetes szolgáltatások) gyakran használnak olyan digitális aláírásokat,
amit egy tanúsító szervezetvalamilyen módon ellenőrzött.
Ez akkor fontos, ha nem tudjuk ellenőrizni az adott helyet üzemeltetőt egyenként, de
cserébe (valamennyire) megbízunk a szervezetben, aki ezt az ellenőrzést helyettünk
elvégezte. Ez lehet simán annyi, hogy ellenőrizték, hogy az üzemeltető valóban hozzáfér
az adott weblaphoz vagy géphez, de lehet teljes ellenőrzés is, ahol bekérték a cégpapírokat,
beszéltek a vezetőkkel és kértek egy hivatalosan aláírt szerződést (ezek a kiterjesztett
biztonságú [Extended Verification; EV] tanúsítványok, amiket a böngészők általában teljes zöld
háttérrel mutatnak). Ezekre is fontos odafigyelni, illetve meg is lehet általában a
böngészőkben nézni (kis lakat vagy pajzs ikonra kattintva) hogy kinek a nevére adták ki
pontosan a tanúsítványt. Törött/piros/kinyitott lakattal rendelkező oldalnak még a
napszaknak megfelelő köszönést is csak előzetes meggondolás után küldjük el, amit mond,
az meg annyira megbízható mint a kormány ígéretei amit az utcán egy rosszarcú ismeretlen
állít.
Szóval, összefoglalásképp azt akartam mondani, hogy ha lehet, használj olyan kommunikációs
csatornákat amik biztonságosak; ellenőrizd az ismerőseidet akkor, amikot felveszed őket
először és hogy érdemes azokat, akik fontosak (közeli ismerősök) leellenőrizni akár
csak egy sima telefonhívással és a kód egyeztetésével. Mert számíthat.
Ha ezt mindenki megtenné, kicsit jobb lenne a világ.
