Технічний опис «Дії»
Шукаю subject. Щоб зрозуміти, наскільки воно безпечне. Мене цікавлять протоколи. Всі статті про «Дію», які я бачив, присвячені продакт-менеджменту і тімбілдінгу. В одній статті написано, що програмісти підписали NDA. Значить, security by obscurity? Мене цікавить презентація не для менеджерів чи електорату, а для програмістів або спеціалістів з інформаційної безпеки.
Наведу приклад. На сайті «Дії» є щось на кшталт регламента перевірки цифрового паспорта:
- натисніть на іконку зчитувача у правому верхньому кутку
- наведіть камеру смартфона на QR — паспорт перевіриться автоматично
- застосунок сповістить вас про результат перевірки
Чому не написано, що перевіряючий повинен порівняти фотографію на своєму екрані і пику власника цифрового паспорта?
Тим, хто хоче просто написати, що «Дія» незахищена і ніколи не буде захищеною. Про це вже тут писали сотні коментарів, як я бачу. Не треба до цього повертатися. Мене цікавить, що автори «Дії» спроможні повідомити спеціалістам. Якщо нічого, тоді все ясно, тема закрита.
10 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарівТам кроме тимбилдинга больше особо и не парятся, потому и не пишут
«Для того, щоб авторизуватись або увійти в „Дію“, необхідно просто прикластиID-картку з КЕП до смартфона з технологією NFC». Я правильно розумію, що достатньо стати поруч з людиною в натовпі, щоб скористатися її паспортом?
Там, мабуть пін треба ввести буде, чи парольну фразу
Слушай, тема и так закрыта. Рассуждать имеет смысл не о том, какое г*** сделали, а о том, что может быть лучше и как такое сделать.
Ще питання. Чи можуть приймати мій паспорт у цифровому вигляді, якщо я не давав на це згоди?
Звичайно ж можуть. Бо проблема доведення що ти її не давав покладається на тебе. Держава в смартфоні, сер. В державі тупо нема API, зате є Дія.
Є такий звіт з 2020 року
Diia: Mobile Application Bug Bounty Program
Bugcrowd On-Demand program results
thedigital.gov.ua/...unty_17-DEC-2020_DIIA.pdf
Ні, це конкретно по Bug Bounty. Взагалі там мало інформації.
Так злили ж вихідний код, здається. Десь тут навіть лінк був.
Можна на власні очі пересвідчитись наскільки все пагано.
Але найгірше не в «протоколах» чи коді. Воно — в організації, доступах і т.і.
Якщо у когось з’явиться доступ до приватних ключів, чи сертифікатів — це ще гірше за злив персональних даних, що вже відбувся.
Ну, проти зливу особистих ключів не встоїть ніяка криптографічна схема.
Щоб читати вихідний код, потрібно дуже багато часу. Я мав на увазі огляд «Дії» високого рівня.