Statická registrace pro poskytovatele služeb využívající OpenID Connect

Autentizační protokol OpenID Connect, který mohou již dva roky používat poskytovatelé služeb implementující přihlášení přes mojeID, přináší nejen celkové zjednodušení implementace, ale také vyšší úroveň zabezpečení. Starší protokol OpenID 2.0 využíval pro ověření návratové adresy tzv. XRDS dokument, který poskytovatel na svých stránkách zveřejňuje a návratovou adresu do něj vyplní. Poskytovatel identity (např. mojeID) si pak před přesměrováním uživatele na návratovou adresu tento dokument stáhne a ověří její správnost. Vlastní protokol ale toto ověření nevynucuje. Nevynucuje ani HTTPS spojení při stahování zmíněného dokumentu ani zabezpečení DNSSEC, a tedy nechává bezpečnost na libovůli poskytovatele služby. OpenID Connect na to jde úplně obráceně. Programátoři, kteří implementují do systémů poskytovatelů služeb přihlášení přes mojeID pomocí tohoto nového protokolu, se v tomto blogpostu dozví, jakou změnu jsme pro ně připravili.

Stažení ověřených výpisů z registru domén

Nová verze našich systémů přinesla uživatelům možnost stáhnout si výpisy s údaji z doménového registru ve formátu PDF, který je podepsán kvalifikovaným certifikátem PostSignum sdružení CZ.NIC. Tento text čtenáře seznámí s oběma způsoby, pomocí kterých uživatelé mohou získat ověřené výpisy pro případ potřeby doložení vlastnictví příslušného doménového objektu.

Přísnější hesla v mojeID

Od začátku provozu služby mojeID zobrazujeme sílu hesla, které uživatel zadává při zakládání účtu (nebo při změně hesla). Dosud jsme umožňovali uložit i slabé heslo, pokud to tak uživatel chtěl. To se teď ale mění a slabá hesla již nepůjde u účtu mojeID zadat. Bezpečnost našich služeb je pro nás klíčová a tak jsme se, po konzultaci s našimi bezpečnostními experty, rozhodli od 12. prosince zpřísnit politiku hesel pro službu mojeID. Služba, která má již bezmála 600 000 registrovaných účtů a denně se pomocí ní přihlásí běžně i více než 5 000 uživatelů k desítkám internetových aplikací tak bude ještě bezpečnější.

„Táto, kde’s vlastně byl?“ (Konference Meeting C++ 2017)

K: „Tatíííí… Adamééé, táta už je doma! … Ahoj! … a kde’s to vlastně byl?“
J: „No přece na té konferenci, vždyť jsem ti to vysvětloval, než jsem odjížděl.“
K: „Hmm to už si nepamatuju… a co tam jako bylo?“

Na konferenci Meeting C++, jak už název napovídá, se vše točí kolem programovacího jazyka C++ a samozřejmě i jeho uživatelů – vývojářů. Vzhledem k tomu, že se koná v Německu (poslední čtyři ročníky v Berlíně), schází se zde v roli posluchačů převážně programátoři z Evropy. Mezi přednášejícími se každoročně objevují v C++ komunitě celosvětově známá jména, mezi jinými například členové standardizační komise pro C++, vývojáři či autoři knižních C++ bestsellerů nebo i studenti technických univerzit. Pro nás je to největší a geograficky nejbližší C++ konference, tudíž ideální příležitost pro tým vývojářů registračního systému FRED, aby si na pár dnů odpočinul od pracovního shonu a něco nového se přiučit.

Ohlédnutí za finálem Kybersoutěže

Výborná příležitost – banka, kterou chceme vykrást, se dnes stěhuje do nových prostor. Navíc k našemu štěstí zkoušejí alarmy, a to až do 16 hodin, takže nebude nápadné, když ho omylem spustíme. Je pootevřené okno v patře, které chrání jediné čidlo. Naše krysa uvnitř z řad zaměstnanců položila IP kameru do komory s čidly, takže vidíme, jestli čidlo, které se snažíme nabourat, je ve stavu OK nebo řve alarmem. IP kamera streamuje záběr na YouTube, žel se zpožděním. Problém je, že čidlo komunikuje pomocí radiových vln: každých 15 až 30 vteřin pípne dioda a přístroj vyšle signál. Odposloucháváme, snažíme se napodobit a až si budeme jisti, čidlo vypneme a místo něj pustíme naši napodobeninu, kterou jsme postavili. Ještě vymodelovat trochu staniolu mezi anténky, tak… poplašňák čidla houká! Zacpat si uši a za půl minuty znovu.

Suricon: praktické zkušenosti s kyberbezpečností ve výrobě i firmách

Jeden z nejkomplexnějších open source systémů detekce průniků do sítí (IDS) Suricata pořádal svou letošní výroční konferenci v Praze. A protože Suricatu v CZ.NIC intenzivně používáme v routerech Turris pro ochranu uživatelů, stali jsme se hrdým partnerem celé akce. S ostatními uživateli Suricaty jsme tak sdíleli zkušenosti a ukazovali technologické řešení routeru Turris Omnia, kde lze Suricatu komforntě provozovat.

Vlastní Certifikační Autorita v Letsencrypt kabátě

Napadlo Vás někdy automatizovat vydávání certifikátů z vaší interní certifikační autority uvnitř vaší organizace? A co třeba využít stejný postup, jakým to dělá Let’s Encrypt, a protokol Acme, včetně všech výhod, které protokol Acme nabízí? Řešením by mohlo být použití Boulderu. Nástin instalace Boulderu a úskalí, na která jsem při jeho zprovozňování narazil, se pokusím rozepsat.