Технічний опис «Дії»

Шукаю subject. Щоб зрозуміти, наскільки воно безпечне. Мене цікавлять протоколи. Всі статті про «Дію», які я бачив, присвячені продакт-менеджменту і тімбілдінгу. В одній статті написано, що програмісти підписали NDA. Значить, security by obscurity? Мене цікавить презентація не для менеджерів чи електорату, а для програмістів або спеціалістів з інформаційної безпеки.

Наведу приклад. На сайті «Дії» є щось на кшталт регламента перевірки цифрового паспорта:

  • натисніть на іконку зчитувача у правому верхньому кутку
  • наведіть камеру смартфона на QR — паспорт перевіриться автоматично
  • застосунок сповістить вас про результат перевірки

Чому не написано, що перевіряючий повинен порівняти фотографію на своєму екрані і пику власника цифрового паспорта?

Тим, хто хоче просто написати, що «Дія» незахищена і ніколи не буде захищеною. Про це вже тут писали сотні коментарів, як я бачу. Не треба до цього повертатися. Мене цікавить, що автори «Дії» спроможні повідомити спеціалістам. Якщо нічого, тоді все ясно, тема закрита.

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному1
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Там кроме тимбилдинга больше особо и не парятся, потому и не пишут

Там, мабуть пін треба ввести буде, чи парольну фразу

Слушай, тема и так закрыта. Рассуждать имеет смысл не о том, какое г*** сделали, а о том, что может быть лучше и как такое сделать.

Ще питання. Чи можуть приймати мій паспорт у цифровому вигляді, якщо я не давав на це згоди?

Звичайно ж можуть. Бо проблема доведення що ти її не давав покладається на тебе. Держава в смартфоні, сер. В державі тупо нема API, зате є Дія.

Є такий звіт з 2020 року
Diia: Mobile Application Bug Bounty Program
Bugcrowd On-Demand program results
thedigital.gov.ua/...​unty_17-DEC-2020_DIIA.pdf

Ні, це конкретно по Bug Bounty. Взагалі там мало інформації.

Так злили ж вихідний код, здається. Десь тут навіть лінк був.
Можна на власні очі пересвідчитись наскільки все пагано.

Але найгірше не в «протоколах» чи коді. Воно — в організації, доступах і т.і.
Якщо у когось з’явиться доступ до приватних ключів, чи сертифікатів — це ще гірше за злив персональних даних, що вже відбувся.

Ну, проти зливу особистих ключів не встоїть ніяка криптографічна схема.

Щоб читати вихідний код, потрібно дуже багато часу. Я мав на увазі огляд «Дії» високого рівня.

Підписатись на коментарі