Skip to main content

Szerintem komoly gond, hogy egy ilyen weboldalt ajánl a kormány a 2FA lehetőséghez, miközben több platformra is elérhetőek hitelesítő alkalmazások megbízható fejlesztőktől...
Vagy ezzel a véleménnyel egyedül vagyok?

https://telex.hu/techtud/2025/01/16/ugyfelkapu-plusz-totp-app-kodgenerator-orosz-merokod-yadro-adatvedelem-adatbiztonsag-nki

#hungary #ügyfélkapu #ügyfélkapu+


Orosz mérőkód fut az oldalon, amelyet az Ügyfélkapu+-hoz ajánl a kormány

A TOTP.APP háttere és adatkezelése elég ködös, de több jel is arra utal, hogy az oldal fejlesztője orosz, így a szakértő szerint legalábbis meglepő, hogy szerepel a hivatalos magyar ajánlásban.
Bolcsó Dániel (Telex)
#hungary #ugyfelkapu
Elefántgyűjtő
Elefántgyűjtő  
Nekem a véleményhez szükségem lenne egy szakember állásfoglalására is. És bár nagyon szenzációs ez a felfedezés, egyelőre nem látom benne azt, hogy közvetlenül veszélyeztetné a nemzet vagy bármely egyén biztonságát.
toka_hu
toka_hu  
@deejayy Az önmagában véve, hogy böngészős megoldást javasolnak, miközben van asztali rendszerekre is hitelesítő alkalmazás szerintem önmagán is problémás (könnyen kimásolható sütik).
A lehetőség, hogy orosz fejlesztő állhat mögötte valóban nem veszélyezteti közvetlenül az egyének biztonságát, de a gyanút felkeltheti. Remélhetőleg lesz szakember, aki rendesen kivizsgálja... Mindenesetre javaslom inkább a megbízható megoldásokat.
Túlaggódom a dolgot?🤔
@Elefántgyűjtő
Elefántgyűjtő
Elefántgyűjtő  
Egy hitelesítő alkalmazás exponenciálisan több dologhoz fér hozzá bármely rendszereden, SŐT, még csak bele sem tudsz nézni, hogy mi történik a motorháztető alatt. Van, hogy a szoftver licensze meg is tiltja a reverse-engineeringet, szóval akár törvényt is sérthetsz azzal, ha belenézel.
Elefántgyűjtő
Elefántgyűjtő  
A mobilomon több webalkalmazást használok, mint valódi mobilalkalmazást, pont a fenti okok miatt.
This entry was edited (2 months ago)
toka_hu
toka_hu  
@deejayy Az igaz, hogy egyes szoftverek sok dologhoz férhetnek hozzá, de a megbízható fejlesztő és forrás emiatt is fontos. Viszont tudtommal licensztől függetlenül vizsgálható az adatforgalom, amiből kiderülhet pár dolog, illetve tűzfal tilthat is adatforgalmat bármilyen eszközön. Az esetlegesen nem teljesen megbízható szoftverek futtathatóak sandbox -ban, emulátorban, teljesen elszeparálva a rendszertől, közben pedig lehet vizsgálni a ténykedését. ...
@Elefántgyűjtő
Elefántgyűjtő
Elefántgyűjtő  
Titkosított adatforgalom figyelését a mobilgyártók egyre jobban nehezítik. A böngészőben meg megnyomok egy gombot és látom a nyers szöveget, amit küld a böngészőm a szervernek. Appok futhatnak háttérben, csinálhatják a szivárogtatást, amíg alszol, vagy lapíthatnak, ha látják, hogy sandboxban vannak. Ki a megbízható fejlesztő? Eladhatja a szoftver jogait másnak? Értesülsz erről (polyfill.io, ha rémlik)? Bejáratott szoftver jogosultságlistáját módosítják és nem működik, amíg %
Elefántgyűjtő
Elefántgyűjtő  
% nem frissítesz, mit teszel? Épp lépnél be a bankodba, lecseréled vagy elfogadod az új, bővített jogosultságokat?
toka_hu
toka_hu  
@deejayy A titkosított adatforgalom valóban nem könnyen fejthető vissza. Azonban az látszik, milyen domain -eket ér el egy alkalmazás. Sajnos böngészőben nem minden érhető el, így kénytelen az ember mobilon alkalmazásokat használni, amiknek csak ésszel ad engedélyt az ember. Legalábbis én így vagyok ezzel... ...
@Elefántgyűjtő
toka_hu
toka_hu  

@deejayy ... Persze amikor lehet választani, inkább böngésző, mint minden dologhoz külön alkalmazás (ezt a hozzáállást amúgy sem értettem soha. Ha ugyanúgy működik pl 6 dolog 1 böngészőben, miért használna valaki helyette 6 külön alkalmazást?).

A háttérben csak olyan alkalmazás fut a mobilomon, ami fontos, minden felesleges dolgot mellőzök, bezárok, nem engedem fel az internetre az olyan alkalmazásokat, amiknek működése nem internet függő... ...

@Elefántgyűjtő
Elefántgyűjtő
Elefántgyűjtő  
Az ilyen fajta tudatosság nagyon hasznos, egyben elég ritka is. Sokakkal, akikkel beszélgettem erről, pl. nem akarnak vesződni az alkalmazások korlátozásával. Telefon első beállítása még nekem is órákig eltart, azután pedig minden frissítésnél figyelni, korlátozásokat jól beállítani elég melós dolog. Egyik gyártó sem kínál rendes tűzfalat, csak ilyen 0/1 szintűt, de még ott is vannak, amiket nem tudsz kikapcsolni, mert "rendszeralkalmazások". Azt akarom mondani, hogy %
Elefántgyűjtő
Elefántgyűjtő  
% ha csak egyetlen szabályt kellene ajánlani egy laikusnak, az valószínűleg az lenne, hogy "használd böngészőből", mert ott van lehetőség a legkisebb mértékű szivárgásra és visszaélésre, a legkönnyebb kivizsgálásra és végső esetben azonnali megszűntetésére. Appok esetében mindenre az ellenkezője igaz.
toka_hu
toka_hu  

@deejayy A tudatosság valóban hasznos, de ritka is sajnos...
Talán éppen azért ritka mert melós dolog. Bár én azt hiszem, megéri a befektetett energiát.
A mobilok tűzfala (amennyiben nevezhető annak) tényleg kevés opciót kínál, de ki lehet egészíteni többféle módon...

Igazad van, a böngészővel kapcsolatban. Ráadásul több oldal böngészőben kevésbé erőforrásigényes, mint a saját alkalmazása (ami azért a fejlesztőkről sokat elárúl)...

@Elefántgyűjtő
toka_hu
toka_hu  
@deejayy ... Megbízható fejlesztő kérdése nézőpont kérdése is, ez elég bonyolult. Általában a nagyobb nevek megbízhatóbbak, mint a teljesen ismeretlenül feltűnő fejlesztők, illetve a visszajelzések (ha vannak) sokat segíthetnek...
@Elefántgyűjtő
Elefántgyűjtő
Elefántgyűjtő  
Ezért jó pl. az F-Droid, mert ők házon belül, a publikus a forrásból csinálják az APK-kat, nincs esély arra, hogy másvalami kerüljön fel a store-ba, mint amit a fejlesztő ígér. Ez persze nem a biztonságot garantálja, hanem a visszakövethetőséget.
toka_hu
toka_hu  
@Elefántgyűjtő
toka_hu
toka_hu  
@deejayy Nem láttam eddig. Van ennek valóságalapja, vagy csak erős állítások megalapozatlanul? Illetve ha valaki használja pl a Signal -t, akkor arra a felhasználóra milyen hatása lehet? Telefonszám alapú regisztráció, ismerni kell a címzett számát a támadáshoz. _ A másik furcsaság, a CloudFlare tényleg ennyire nagy biztonsági rést jelentene? Akkor erre nem gondoltak az olyan nevek, mint pl a Signal, akik használják a CF szolgáltatásait? _ Nekem ez gyanúsan irreális... Tévednék?🤔
@Elefántgyűjtő
Elefántgyűjtő
Elefántgyűjtő  

A signalt lehet használni telefonszám nélkül is, de usernév alapján is meg lehet találni egymást. Én az okfejtésben látom a megalapozottságot, minden puzzle a helyén van.

Tfh újságíró vagy, épp le akarod kapni, ahogy szijjártó jachtozik, de szijjártónak leadják a drótot, hogy nem magyaroroszágról szolgál ki téged cache, hanem horvátországból. Tud ellenlépéseket tenni.

Politikai menekült vagy, de feltűnik a koordinátád az országban, lehet mozgósítani a megfelelő szerveket érted.

toka_hu
toka_hu  

@deejayy Az okfejtésre írtam, hogy erős állítások. Azt viszont nem tudom, ez mennyire hasznos, mennyire kivitelezhető, mennyire egyszerű. (Az állami informatikai rendszereket referencia munkának értelmezve nem biztos, hogy nagyon könnyen megvalósítanák.)

Újságíró, politikai menekült... VPN -el megkerülhető az említett deanonimizációs módszer. Illetve jacht fotózás/videózás akár offline eszközökkel is kivitelezhető.

@Elefántgyűjtő
toka_hu
toka_hu  
@deejayy ... Ezzel tudtommal még semmilyen tiltást nem sértek meg. Tévednék?🤔
Mindezeken felül sok esetben van nyílt forráskódú szoftver is bizonyos feladatokra, így azok működése vizsgálható teljes mértékben.
@Elefántgyűjtő
Elefántgyűjtő
Elefántgyűjtő  
Nyílt forrású és vizsgálható szoftverek arányát 1% alattira tippelem, egy halom mindennek nincs alternatívája vagy töredék funkcionalitást kínál.