Category Archives: технология

Поредна димка за машинното гласуване и изборите в София

от Божидар Божанов
лиценз CC BY

Гледам, че пак се правят опити за дискредитиране на машинното гласуване дори когато машините не отичтат резултат. Както обикновено, зад бомбастични твърдения като „откраднати гласове“, „масова фалшификация“, „не се знае кой печели“ и „липсващи флашки“ стои (в добрия случай) некомпетентност и (в лошия случай) политическа злонамереност. Затова нека обърна внимание на някои детайли:

На първо място трябва да подчертаем за пореден път, че след последните промени, машините не броят. Броят хората. Машината може да се ползва, за да се установят евентуални проблеми при броенето от хората в комисиите.

Това, което експертизата е установила (четох я преди заседанието на съда), е че има нищожни разминавания (200 гласа при 300 секции) между хартиените протоколи и данните на флашките. Нещо, което винаги го е имало, винаги се е оказвало, че е или човешка грешка при броенето или еднократен проблем с принтера и хартията. Именно заради тези разминавания настоявахме флашките да останат в изборния кодекс, настоявахме да се използват в РИК при приемане на протоколите. РИК не прави това сравнение, но флашките останаха именно заради настояването на ППДБ. За да могат да се правят такива сравнения. Но чували не са отваряни и бюлетини не са броени. Т.е. в момента отчитаме разликата между отчетеното от машината и отчетеното от секционната комисия, без да го броим повторно. Съответно всякакви твърдения кое е „вярно“ са несъстоятелни.

Разликите винаги са били нищожни и не са променяли резултата. Аз направих такова сравнение на парламетнарните избори и го публикувах. И тогава разминаванията не променяха резултата, и сега не го правят – кумулативно 200 гласа при 10% от протоколите значат, че дори да се запази това съотношение, при 100% сравнение ще има 1000 гласа разлика. При победа на Терзиев с около 5000 гласа. Трябва да отбележим, че на флашката има повече гласове и за двамата кандидати. Отчасти заради проблеми с ролката и хартията, отчасти заради човешки грешки при броенето.

Има твърдения, че протоколите не са подписани с квалифициран електронен подпис. Първо, по закон това не се изисква. Защото квалифицираният електронен подпис е на физическо лице, а ключовете (и картите) с които се подписват протоколите са на „секционна комисия“, т.е. законово те няма как да бъдат КЕП. Но технически са именно такива – смарткарта, частен ключ, удостоверителна верига и то (по стечение на обстоятелствата) от доставчик на квалифицирани удостоверителни услуги, т.е. с опит в тази сфера (Информационно обслужване). Подписите могат да се проверят от всеки и гарантират, че е нямало подмяна на файлове (по моя препоръка ЦИК публикува публичните ключове на смарткартите преди изборния ден, за да може да се установи дали подписите са направени с правилните карти, а не с други). (Твърдението за подписването е оттеглено в съдебното заседание от вещото лице след несъгласие от страна на нашите адвокати)

Липсващите 15 флашки (според експертизата) всъщност са проблем на организацията при предоставяне на материалите. Първоначално не е била предоставена нито една флашка (пак според експертизата). Данните от флашките, заедно с подписите към тях, са налични на сайта на ЦИК – проверих тези секции. Вещите лица е можело също да ги вземат от там и да ги сравнят, оставяйки все пак забележката, че не са дошли на флашка (аз сравних 4 от тях, няма нищо по-различно от останалите – +/- един глас)

Действително, в допълнение на човешките грешки, заради проблемите с хартията и принтерите (за което помните, че сигнализирахме както при приемането на промените в Изборния кодекс, така и преди последните избори), разминаванията са в много секции. С по 1-2 гласа, разбира се, но самият процент секции звучи стряскащо. Поради което ще продължим да настояваме тези сравнения да се правят в РИК, а не пост-фактум, защото разликите в числата са незначителни, но политическите ефекти от злонамереното им използване може да са значителни.

В заключение, няма откраднати гласове, няма липсващи данни, няма възможност за манипулация на машинни протоколи и няма фалшификации. Има, обаче, политици, които искат да оправдаят неуспехите си с изборната технология. И призивът ми към анализаторите е да не им се връзват, а да погледнат детайлите внимателно.

Материалът Поредна димка за машинното гласуване и изборите в София е публикуван за пръв път на БЛОГодаря.

Доза реализъм към добрите новини за имиграцията

от Боян Юруков
лиценз CC BY-SA

Многократно съм казвал, че всичко свързано с Германия в българската версия на DW трябва да се чете с едно наум. Особено преводите на немски статии, които изначално да тенденциозни.

В този смисъл и в подкрепа на това, имам няколко бележки по скорошния им текст, че 1.2 млн. души са напуснали Германия само през 2022. Повечето – чужденци живеещи там, някои с паспорти, а българите са на четвърто място сред тях. Това е добавка и към мой коментар под изказване на Асен Василев в подобна посока, където коментирах източника и надеждността на данните.

Първо, цитираните данни от няколко института разпознаваемо са или директно цитират службата по миграция и бежанци. Писах преди години, че данните им не са верни и статистическата служба го признава. Нищо не се е променило от тогава. След (псевдо) пребояването според неофициален отговор на последните се опитат да консолидират информацията без да прекъснат серията и да генерират странни изводи, но не е направено още.

Тази липса на информация колко са чужденците важи особено за мигрантите от ЕС и засяга особено българите. Все пак, дори с разминаващите се данни виждаме поне 400 хиляди българи в Германия преди пандемията. Също, че стотици хиляди ще имат вече право на немски паспорт в следващите години. Сигналите след 2020 обаче са разнопосочни. Истината е, че много хора не се отрегистрат в Германия и не ги „лови“ статистиката, също както концепцията за „постоянен адрес“ в България обърква местната статистика.

Анекдотни наблюдения сочат наистина към много млади хора и цели семейства с деца, които се прибират в България. Особено такива родени в чужбина. Аз съм сред тях. Тук обаче човек не може да разчита на балона си, тъй както и българската общност в Германия не е хомогенна а грубо може да се раздели на поне 6 части. Има много социално-икономически фактори (социални, пенсии), очаквания към страната и работата, а кризите от последните години и сегашната стагнация засяга всеки сектор по различен начин.

Макар преведеното от DW въпреки увъртанията им да звучи оптимистично за България, трябва и това да приемаме с щипка сол. Преди години когато започна драстичния скок на българите в Германия, имаше възгласи, че стотици хиляди се изнасят. Особено покрай демографската криза това е една от честите камбани, на която се бие. В действителност огромна част от ръстът беше от българи мигриращи от други страни в тежко положение – Италия, Испания, Гърция и Великобритания. Сега има голяма вероятност това да се случва в обратна посока. Фактите са, че въпреки гръмките имена на демографски институти и агенции, всички работят с извадки и изначално грешни данни и никой не може да каже със сигурност.

Важно е да се говори за тези неща с разбиране и да знаем какво се случва. Най-малкото, защото трябва да можем да измерим ефектът от различни мерки в продължителен период от време. В горния случай говорим за вътрешна и външна миграция и важността на децентрализацията, но аналогичен проблем има и със смъртността и раждаемостта. Има явно объркване сред редица политици дори колко българи има зад граница.

На първо време обаче имаме нужда от най-важният елемент – драстични и смели реформи в образованието, здравеопазването, социалната сфера и районите извън големите градове и то с постоянство и продължителност. Отпорът срещу последните е значителен, къде заради инертност в системата, къде заради его на ключови хора. До сега сме били свидетели само на козметични промени, кампании като за пред медиите и еднократни мерки с увеличаване на надбавки.

Има шанс да го направим и не бива да го изпускаме. Много хора предупреждават, че „демографският влак“ вече е заминал и в известен смисъл са прави. Това не означава, че сме в пагубна ситуация, а че колкото повече отлагаме, толкова по-тежко ще е решението. Българите в чужбина не се връщат заради една или друга инициатива и медийна кампания, а въпреки тях. Особено една конкретна организация по-скоро показва защо много от сънародниците ни сме заминали от България на първо време. Обръщането на тенденцията, доколкото я има, не е заради мерките на едно или друго правителство, а заради обстановката около нас. Имаме шанс да се възползваме от тази ситуация и да я задържим като посока и има предостатъчно хора, които се борят това да стане.

The post Доза реализъм към добрите новини за имиграцията first appeared on Блогът на Юруков.

Another Attack Vector For SMS Interception

от Божидар Божанов
лиценз CC BY

SMS codes for 2FAs have been discussed for a long time, and everyone knowledgeable in security knows they are not secure. What’s more – you should remove your phone number from sensitive services like Gmail, because if an attacker can fallback to SMS, the account is compromised.

Many authors have discussed how insecure SMS is, including Brian Krebbs, citing an example of NetNumber ID abuse, in addition to SIM Swap attacks and SS7 vulnerabilities.

Another aspect that I recently thought about is again related to intermediaries. Bulk SMS resellers integrate with various telecoms around the globe and accept outgoing SMS by API calls, which they then forward to a telecom in the relevant country. Global companies that send a lot of SMS try to look for cheap bulk deals (you are probably aware that Twitter/X recently decided to charge for SMS 2FA, because it was incurring high costs). These services are sometimes called a2p (application to person).

This means that intermediaries receive the 2FA code before it reaches the subscriber. A malicious insider or an attacker that compromises those intermediaries can thus have access to 2FA codes before they reach the subscriber.

I don’t know if this attack vector has been used, but it is a valid attack – if an attacker knows the intermediaries that a given service is using, they can either try to compromise the systems of the intermediaries, or gain access through a compromised insider. In either scenario, the victim’s 2FA code will be accessible to the attacker in real time.

This just reinforces the rule of thumb – don’t rely on SMS for two-factor authentication.

The post Another Attack Vector For SMS Interception appeared first on Bozho's tech blog.

За Школо и софтуера в обществения сектор

от Божидар Божанов
лиценз CC BY

Школо е продадено на британска компания. В стартъп света това е добра новина – успешен exit за българска компания. Но предвид, че Школо обработва данните на хиляди ученици, има и притеснения от това развитие.

Обективно, дали собствеността на фирмата е българска или от друга държава, която прилага европейското законодателство за защита на данните, разлика няма. Дори не би трябвало данните да напускат контрола на българското дружество, но дори да го направят един ден, Великобритания избра да запази GDPR в своето законодателство, а британският регулатор е един от най-добрите, така че аз нямам притеснения за данните.

Между другото, данните на всички ученици се обработват и от Майкрософт от много време, защото всеки ученик своя акаунт има право на безплатен офис пакет.

Винаги, когато става дума за софтуер, държавата трябва да осмисли рисковете от дългосрочно обвързване с частен доставчик и да ги претегли спрямо ползите от това. Дори да избере външен доставчик, трябва да има право да прекрати договора и да продължи да разполага с данните – нещо, което Школо предоставя.

Данните се изпращат и в централната система на МОН (НЕИСПУО), т.е. училищата не са вързани за доставчика. Това е устойчиво решение и добра практика както от страна на държавата, така и от страна на доставчика.

Появиха се и твърдения, че Школо е безплатно (и съответно продава данните на децата). Това не е вярно – Школо има договори с училища и те не са безвъзмездни.

Школо е пример за това как частната инициатива дава много по-добри резултати от „централното планиране“ на държавата, особено когато става дума за потребителски софтуер. Държавата има много по-голям ресурс да изгради система за електронни дневници, но Школо е предпочитано от учители, родители и ученици, защото се грижи за потребителя, а не просто „да изпълни нормативните изисквания“.

Държавата е „вързана“ да използва т.нар. waterfall модел, който е остарял, но следва от Закона за обществените поръчки – изготвя се едно голямо задание, то се възлага, това отнема много време и накрая ако резултатът не отговаря на очакванията, няма много какво да се направи, освен да де поръча надграждане. Този модел трябва да се промени, за да може системите, които държавата неизбежно се налага да изгради, да са по-добри (и вече работим по такъв модел).

От гледна точка на частния сектор, работата с държавни структури е рискова (освен аутсорсинга) – политически решения могат да застрашат бизнес модела, напр.. Моят съвет към стартъпите по принцип е да избягват да работят с публичния сектор, най-вече защото временни не успехи не показват т.нар. product-market fit. Но училища, болници и други разпределени структури на обществения сектор предоставят възможен бизнес модел, с ползи за гражданите.

В заключение, смятам, че продажбата на Школо не носи риск за данните на учениците или за системата на образованието. Може да ни служи за пример как да използваме софтуер без да сме заключени за него. И за стимул държавата да подобри процесите си по изграждане на софтуер, защото в много случаи няма пазарен стимул за изграждане на твърде специализиран софтуер за нуждите на държавата.

Материалът За Школо и софтуера в обществения сектор е публикуван за пръв път на БЛОГодаря.

ฮับสล็อต สล็อตไม่มีขั้นต่ำ ฝากถอน 1 บาท

от เบทฮับ
лиценз CC BY-NC-ND

ฮับสล็อต สล็อตไม่มีขั้นต่ำ ฝากถอน 1 บาท

ฮับสล็อต

ฮับสล็อต สล็อต HubSlot ไม่มีขั้นต่ำ เป็นเว็บไซต์ที่ครอบคลุมสล็อตออนไลน์ Hub Slot ทั้งรีวิว เว็บไซต์สล็อตโดยตรง การฝาก ถอน ถอนได้ไม่มีขั้นต่ำ 1 บาท หรือที่อินเทรนด์อยู่ตลอดจนคำแนะนำเกมและต่างๆ เทคนิค เราได้คัดสรรข้อมูลอย่างรอบคอบ เพื่อให้ผู้เล่นสล็อตไม่พลาดเว็บไซต์ดีๆ โปรโมชั่นสินเชื่อฟรีต่างๆ ทุกเว็บที่รีวิว มีรับรองภาษาไทย

ฮับ สล็อต เว็บตรงไม่ผ่านเอเย่นต์ 2024

นอกจากจะพาทุกคนมาทำความรู้จักกับ hubbet69 ไม่มีขั้นต่ำ มากขึ้นเรื่อยๆ ทั้งเบื้องหน้าและเบื้องหลัง ให้ผู้เล่นทุกคนเข้าใจและมีส่วนร่วมในเกมมากขึ้น เราจะรวบรวมข้อมูลลับเกี่ยวกับเกมสล็อตออนไลน์ เว็บไซต์ตรง และโปรโมชั่นพิเศษเพื่อคุณ Hubslotxo เพื่อสมัครสมาชิกสล็อตโดยไม่มีมูลค่าการสั่งซื้อขั้นต่ำ รับสิทธิ์รับโบนัสสูงสุด 100% ผ่าน Hubslotgroup เท่านั้น!!

ฮับสล็อต เว็บสล็อตฝากถอนไม่มีขั้นต่ําวอเลท

สล็อตออนไลน์ในรูปแบบ 3 มิติ มิติใหม่ของเกมสล็อต ที่จะพร้อมเปิดประสบการณ์ใหม่ในการเล่นสล็อตแมชชีน ด้วย True Wallet ฝากถอนไม่มีขั้นต่ำปี 2024 ทันสมัยอย่างเหนือความคาดหมายพร้อมเรื่องราวดีๆ Hubpgslot เอฟเฟกต์เสียงตลก และมีภาพเคลื่อนไหวเหมือนเราอยู่กลางเกม แต่ละเกมมีเอกลักษณ์ของตัวเองซึ่งเป็นอีกหนึ่งไฮไลท์ของเกมสล็อตเว็บโดยตรง ไม่ผ่านตัวแทนที่สนุกสนานกับผู้เล่น สนุกกับเกม

สรุป ฮับสล็อต ดูแลตลอดทั้งวัน 24 ชม.

เว็บไซต์สล็อต พร้อมที่จะสร้างสรรค์นวัตกรรมและภาพที่ผสมผสานกับจินตนาการของเรื่องราวต่างๆ ถ่ายทอดออกมาเป็นฉากที่สวยงาม สร้างความตึงเครียดอย่างต่อเนื่อง และที่สำคัญคือมันเป็นเกมที่จ่ายแจ็คพอต และบนเว็บไซต์ของเรามีตัวเลือกให้ยืมฟรีมากมาย เช่น สมัครสล็อตโดยตรงบนเว็บไซต์ รับโบนัส 50% ทันที สล็อตโดยตรง 100 เครดิตฟรี ไม่ต้องใช้การฝาก เชิญเพื่อน ๆ เพื่อรับเครดิต และกิจกรรมอื่นๆ อีกมากมายที่คุณไม่ควรพลาด ฮับสล็อต

The post ฮับสล็อต สล็อตไม่มีขั้นต่ำ ฝากถอน 1 บาท first appeared on เบทฮับ.

Шахтите на София

от Боян Юруков
лиценз CC BY-SA

Откакто се преместих от Франкфурт в София едно от нещата, за които се чудех, е защо има толкова много шахти навсякъде. Покрай случая с убитото от незаконно прекаран ток дете стана ясно, че липсва всякакъв контрол над това кой къде какви шахти прави. Положението практически не се подобри през следващите години. Имаше множество сигнали за подобни проблеми и примери за несправянето на Столичен инспекторат и общината като цяло с тях.

В опит да разбера по-добре проблема се обърнах към данните. Такива обаче нямаше преди три години. Наскоро забелязах, че в картата на общинската ГИС София са добавили слой за подземни проводи и съоръжения. Един от слоевете е именно за шахти и други връзки със сгради и надземна инфраструктура. Някои от тях са шахтите за дъждовна вода по улиците. Други са сервизни за ток и парно. Трети са просто връзки към съседните сгради с ниско напрежение. Не видях описани онези на телекомите. Доколкото проверих няколко известни такива, оптиките минават през или покрай каналите на слаботоковата мрежа. Поне няколко шахти на БТК видях, че са означение по този начин.

Тъй като не бяха в удобен за мен формат, намерих начин да сваля всички данни за въпросните шахти заедно с категорията им. Опростих ги до точка и ги сложих на картата долу. В синьо е вода. В кафяво е канализация – отпадни води и отводняване. В лилаво са колекторите. В зелено са силно- и слаботоковата мрежа и изглежда това включва телекомуникациите. В червено е топлофикация. Целия dataset може да свалите в CSV формат.

За тези данни писах в средата на декември тук, тук и тук. След това изчистих данните от грешки и сега има малко над 322 хиляди шахти и друга подобна подземна инфраструктура. Това означава, че на всеки две семейства в община София се пада по една шахта, доколкото това сравнение може да даде представа за мащаба.

Те са разположени по улици, тротоари и градинки. За всяка промяна се разкопава от край до край същите и се оставят почти винаги в окаяно състояние. Това става видно и от всички разрешения за строеж позволяващи именно разкопаване на подземната инфраструктура, създаване на шахти и после възстановяване на улици и тротоари „по одобрен план и срок“. От данните на НАГ показани на картата долу разбираме, че има почти 4000 такива разкопки в последните 11 години – от началото на 2013-та до сега. Писах за това в началото на декември и всъщност това ме накара да дръпна данните за шахтите.

Всичко това говори за трайна липса на управление и контрол над подземната инфраструктура, липса на план и разбиране както и ограничения над свързването и носене на отговорност за последствията както върху градската среда и инфраструктурата, така и за здравето на хората. От описаното горе страдат не само хората в града пряко в ежедневието си, но се оскъпяват значително всякакви ремонти, рушат се по-често паважи, създават се повече опасности за прекъсване аварии и инциденти.

The post Шахтите на София first appeared on Блогът на Юруков.

Отчет за парламентарната ми дейност през втората сесия

от Божидар Божанов
лиценз CC BY

В края на първата парламентарна сесия на 49-тото Народно събрание публикувах отчет какво съм свършил. В края на 2023 г. приключи и втората парламентарна сесия, така че ето моя отчет и за нея.

Най-важното, което приехме, бяха промените в Конституцията. Но както писах и тогава, тук ще включа само неща, по които лично съм работил (рядко сам, разбира се), за да не си приписвам работа на други колеги или други парламентарни групи. Иначе тук е целият ми профил в сайта на Народното събрание.

През втората сесия приехме следните законови изменения:

  • Изменения в Закона за електронното управление, с които служебни справки се приравняват на удостоверения с цел тяхното отпадане; отпадане на нуждата от квалифициран електронен подпис за заявяване на е-услгуги; електронно връчване на всички документи, свързани с административното наказване; намаляване на таксите за електронни услуги. Описал съм промените в повече детайли тук.
  • Отпадане на трудовата книжка и замяната ѝ с данни в електронен регистър – за това писах по-детайлно тук след приемането на измененията
  • Повече прозрачност в Закона за обществените поръчки – публикуване на повече данни в структуриран вид, както и задължение за публикуване на договори дори когато не се прилага закона (т.е. по изключенията). Описал съм в детайли тук, като с последващо изменение през Закона за бюджета по мое предложение беше приета и допълнителна прозрачност за индексациите заради инфлацията, а именно – да се публикуват всички документи свързани с промяната на стойността на договора. Приехме и редките лекарства да се купуват чрез рамково споразумение, и само ако няма такова да се прилага досегашния ред, а именно – изключение от ЗОП.
  • В Закона за местните данъци и такси приехме общините служебно да получават информация от Кадастъра и Имотния регистър за преустройства, от които следва промяна в данъка, вместо собствениците да го декларират. Предложението в първоначалния му вид беше на Възраждане, а след това работих по неговто преправяне съвместно с НСОРБ и МФ.
  • В Закона за данъка върху добавената стойност премахнахме изискването електронните фактури са имат няколко екземпляра (съответно „копие“ и „оригинал“), тъй като това е най-малкото странно.
  • Поправихме пропуск в Кодекса на труда, така че заплати да могат да се превеждат по всякакви платежни сметки, а не само по банкови такива (има редица услуги, които не са банкови, но по закон имат право да предоставят IBAN)
  • В Закона за авторското право и сродните му права приехме т.нар. право на вторично публикуване на научна литература. Целта на научната литература е знанието да е максимално широко достъпно. За съжаление, това на практика не е така заради ограничения, наложени от научните журнали, поради кеото внесох и приехме авторите на научни публикации, финансирани с обществени средства, да могат да ги публикуват в отворени, некомерсиални хранилища след публикуване в научни журнали
  • В Закона за съдебната власт въведохме централизирана система за случайно разпределение. До момента за различни случаи се ползват различни системи. С промените ще има една система, с отворен код, с криптографски гаранции за разпределението. Важна стъпка към ограничаването на нерегламентирани влияния в съдебната система.
  • Приехме нов Закон за противодействие на корупцията ЗПК – в който е предвидено публикуване на отворени данни за декларациите, анализ на корупционния риск (който може да бъде автоматизиран, на база на множество източници на данни), и възможност за подаване на декларации по електронен път.
  • На първо четене приехме изменения в Закона за движението по пътищата, с който се предвижда по-ефективно връчване, отпадане на стикери и отворено данни. Между първо и второ четене внесох няколко страници предложения за изправане на разнообразни кусури на закона, като предстои да се създаде работна група, която да оформи финалните предложения за гласуване.

Зададох и 13 въпроси към министри, ето някои по-интересни:

Както отбелязах и при предния отчет, законовите промено минават с гласовете на ГЕРБ, понякога и на други партии. С нашите 63-ма депутати няма как сами да прокараме каквото и да било, така че обсъждаме конструктивно с другите партии.

Продължаваме, закон по закон, текст по текст, да подобряваме законовата рамка.

Материалът Отчет за парламентарната ми дейност през втората сесия е публикуван за пръв път на БЛОГодаря.

hubbet69 รวมเกมเดิมพันค่ายดังมากมาย

от เบทฮับ
лиценз CC BY-NC-ND

hubbet69 รวมเกมเดิมพันค่ายดังมากมาย

hubbet69

hubbet69 เว็บไซต์เดิมพันน้องใหม่เปิดโอกาสให้ผู้เล่นได้เล่นเกมสล็อตได้อย่างเต็มที่ มีค่ายให้เลือกมากมาย เช่น เช่น PG SLOT, 918KISS, KINGMAKER, BETSOFT, HABANERO และ JOKER GAMING เป็นต้น ทำให้เกมสล็อตของเราสนุกสนานสำหรับผู้เล่นหลายคน

เว็บเดิมพันเล่นง่ายต้อง hubbet 69

การเดิมพันขั้นต่ำ ทำให้นักเดิมพันได้รับประสบการณ์การเล่นเกมที่คุ้มค่า เบทฮับ เว็บไซต์เดิมพันของเราอนุญาตให้คุณฝากเงินเพื่อเข้าร่วมกับเรา Bitbet69 สิ่งนี้ทำให้นักเดิมพันสามารถทำกำไรได้มากที่สุดเท่าที่จะเป็นไปได้ มากจนพวกเขาอาจไม่ต้องการหยุดการเดิมพัน เว็บไซต์เดิมพันของเราเปิดให้ทุกคนตลอด 24 ชั่วโมง

hubbet69 เล่นง่าย ถอนได้จริง

เว็บไซต์เดิมพันของเรามอบรางวัลพิเศษสูงสุดถึง 1,000,000 บาท ให้ผู้เล่นได้ใช้บริการ พร้อมด้วยโบนัสแจ็คพอตจากเรา เป็นเกมที่เริ่มต้นด้วยทุนเพียงเล็กน้อยแต่ก็สามารถทำกำไรได้มากมาย Hubbet ไม่มีช่องฝาก/ถอน แต่สามารถถอนได้ขั้นต่ำ 1 บาท เว็บไซต์สล็อตที่ให้คุณเพลิดเพลินกับการเล่นเกมสล็อตคุณภาพ นำเสนอกราฟิกที่ล้ำสมัยและคุณสมบัติเจ๋ง ๆ เพื่อช่วยให้คุณชนะรางวัลกับเรา เว็บไซต์ตรงที่ได้รับความนิยมมากที่สุดในปัจจุบัน

hubbet69 ฝากถอน ไม่มี ขั้นต่ำ

เว็บไซต์เกมที่หลายๆคนชื่นชอบ คุณอาจยังไม่ทราบวิธีการสมัครสมาชิก หากต้องการรับโปรโมชั่นร่วมเล่นเกมกับเราซึ่งคุณสามารถทำเองได้ง่ายๆ ไม่ต้องพึ่งเจ้าหน้าที่อีกต่อไปเพราะมีระบบรถที่ทันสมัยและรวดเร็ว นั่นเป็นเหตุผลที่เราพัฒนาระบบนี้ เพื่อให้ผู้เล่นได้เข้าถึงการเล่นได้อย่างเต็มที่ เกมส์สล็อตจากค่ายดัง มีให้เลือกมากมาย ความง่ายที่นักเดิมพันสามารถทำได้ด้วยตัวเอง hubbet69

The post hubbet69 รวมเกมเดิมพันค่ายดังมากมาย first appeared on เบทฮับ.

eIDAS 2.0, QWACs And The Security Of The Web

от Божидар Божанов
лиценз CC BY

Tension has been high in the past months regarding a proposed change to the European eIDAS regulation which defines trust services, digital identity, and the so-called QWACs – qualified website authentication certificates. The proposal aims at making sure that EU-issued certificates are recognized by browsers. Here’s a summary from Scott Helme, and a discussion with Troy Hunt, and another good post by Eric Rescorla, former Firefox CTO so I’ll skip the intro.

Objections

Early in the process, Mozilla issued a position paper that raises some issues with the proposal. One of them is that what the EU suggests is basically an Extended Validation certificate – something that we had in the past (remember the big green address bars?), and which we have abandoned some time ago, and for a reason – multiple studies found that they do not bring any benefits. The EU says “QWACs (EVs) give the user more trust because they know which legal entity is behind a given website”. And the expert community says “well, in which scenario is that useful, and what about faking it – opening an entity with the same name in a different jurisdiction?”.

Later in the process, an additional limitation was added for browser vendors – that they cannot mandate additional security requirements than those specified by the EU standards body – ETSI. This is, to me, counterintuitive policy-wise, because in general, you set minimum requirements in regulations, not maximum. Of course, this prevents browser vendors from having arbitrary requirements. Not that they’ve had such requirements per se, but for example their CA inclusion page says “Mozilla is under no obligation to explain the reasoning behind any inclusion decision.” For me, this is not an acceptable process for something as important.

Mozilla (and various experts) also note, correctly, that if a CA gets compromised, this affects the entire world – the traffic to any website can be sniffed through man-in-the-middle attacks. And this has happened before. The Electronic Frontier Foundation, a respected digital rights organization, also objected to the approach.

Then Mozilla launched a campaign website against the amendment, which has the wrong tone and has some gross oversimplifications and factually incorrect statements (for example, it’s not true that QTSPs are not independently vetted). Then the European Signature Dialog (basically, an association of EU CAs, called QTSPs – qualified trust service providers), responded to it in a similarly inappropriate way. It said “Mozilla is generally perceived as a Google satellite, paving the way for Google to push through its own commercial interests” (which is false, but let’s not go into that).

The statements that QWACs are better against phishing, is arguably not true, even if you consult the paper that the ESD linked. It says: “Our analysis shows that it is generally impossible to differentiate between benign sites and phishing sites based on the content of their certificates alone. However, we present empirical evidence that current phishing websites for popular targets do typically not replicate the issuer and subject information”. So the fact that phishing sites don’t bother using EVs is somehow a reasons that EVs(QWACs) help against phishing? I’m disappointed by this ESD piece – they know better. Mozilla also knows better, as this negative campaign website introduces a tone that’s not constructive.

Insufficient assessment

What becomes apparent from the impact assessment study, another study, and the subsequent impact assessment is that there have been efforts to agree with browser vendors on including EU issued certificates without the CAs having to go through the root program process of the browsers, which they have refused.

I think this is not a good impact assessment. It does not assess impact. It doesn’t try to find out what will happen once this is passed, nor it tries to compare root programs with current ETSI standards to find the gaps. Neither the initial study, nor the impact assessment review the security aspects of the change.

For example, due the current usage patterns of QWACs for internal API-based communication between EU institutions, QWACs have sometimes been issued to private addresses (e.g. 192.186.xx.xx). Once they become automatically approved by the browsers, a security risk arises – what if I have a trusted certificate for your local router IP?

Also, it’s not a good process to include additional limitations in the trialogue, which is an informal process between the EU parliament, commission and council. I, as a Bulgarian member of parliament, requested from our government the drafts from the trialogue, and I was not granted access (due to EU rules). This is unacceptable as a legislative process, which should be fully transparent.

I have criticized this process and insufficient impact assessments before – for the copyright directive introduction of a requirement for automated content takedown, and for the introduction of mandatory fingerprints in ID cards.. There just doesn’t seem to be enough technical justification for regulations that have a very significant technical impact – not just in the EU, but in the world (as browsers have a global trusted CA list, not a EU one).

Technical or political debate?

The debate, as it seems, has conflated two separate issues – the technical and the political one. What Mozilla (and I presume other browser vendors) are implying is that they are responsible for the security in their browsers and they should be able to enforce security rules, while the EU is saying – private US entities (for-profit or non-profit) cannot have full control over who gets trusted and who doesn’t. Both are valid arguments. The EU seems to be pursuing a digital sovereignty agenda here, which, strategically, is a good idea.

But the question is whether that’s the best approach, and if not – how to improve it.

Some data and an anecdote to further illustrate the status quo. The Certinomis French QTSP (CA) has been distrusted by Mozilla a while ago. It is, however, on the EU trusted list. With the changes, Mozilla and others should re-trust it. The concerns raised by Mozilla seem legitimate, and so the fact that EU conformity assessment bodies do regular audits may not be sufficient for the purposes of web security (but this assumption needs to also be critically assessed).

Currently, there are 146 root/subordinate CA certificates listed for QWAC QTSPs. Of those 146, 115 are included in one or more root trust stores, and between 57 and 80 are missing from one or more. It’s far from an ideal picture, but these numbers should have been in the impact assessment and the problem statement in the first place. So that the legislators can identify the reasons for not including a CA in one or more root program. Is it a technical shortcoming of the CA, or it it a vendor discretion? Certainly, there doesn’t seem to be a ban on EU CAs/QTSPs by browser vendors.

So, essentially, the political results here is that EU CAs will get a fast-track into trust stores. I’m sure other jurisdictions will try to pass similar legislation, which will complicate the scene even further. Some of them will not be as democratic as the EU. And if a browser vendor thinks some CA is not trustworthy by their standards, they may come up with very clever workarounds of the regulation.

The first one – ignoring it, as there are no fines. But they can also introduce different paddock colors for different cases – e.g. a QWAC from a browser-approved CA gets a green paddock, a QWAC that has not passed the browser root program gets a yellow paddock. Compared to the current grey one, the yellow color may be perceived as less trustworthy. And then we’ll have to argue whether yellow is a clear enough indication and whether it shows trust or not so much. Time and time again I have stated that you can’t really regulate exact features and UI.

A technical solution to the political question?

I’ve heard many times that technical solutions to political problems are wrong. And I’ve seen many cases where, if you delve into the right level of detail, there is a solution that is both technically good and serves the political goal. In this case this is the so-called “Certificate transparency”. In a nutshell, each certificate, before being issued, is placed in a public verifiable data structure (merkle tree – used in blockchain implementations), and gets a signed certificate timestamp (SCT) as a response, which is then included as an X.509 attribute. This mitigates the risk of compromised CAs issuing certificates for websites that do not belong to the one requesting the certificate. In no time (up to 24 hours) they will be caught and distrusted, which raises the bar significantly.

Unfortunately, ETSI hasn’t included Certificate transparency in the current QWAC standard. The ESD association mentioned above says in another document that “The Browsers can easily bring any additional rules they want to impose on QTSPs such as Certificate Transparency to ETSI and other international standards bodies to be adopted through an open process of consensus by the internet community”, which I think is the wrong approach – Certificate transparency is an IETF RFC and is a de-facto standard. What will surely help is moving it (they are actually 2 RFCs) out of the “Experimental” status in IETF, but we can’t require every standard to be mirrored by ETSI.

I don’t know why CT has not been referenced by ETSI so far. It’s true that certificate log servers are based mostly in the US (and one in China), but nothing stops an organization from running a CT log. It “just” takes some infrastructure and bandwidth to support the load, but I think it’s a price EU QTSPs can pay, e.g. by sharing the costs for a couple of CT logs.

As a sidenote, I think it’s worth noting that the EU can also do more towards the adoption of DANE – a standard, which gets rid of CAs, as the public key is stored in a DNS record. It relies on DNSSEC, which doesn’t have huge adoption yet, and both are trickier to implement than it sounds, but if we want to be independent from browser decisions on which CA to trust, we can remove CAs from the trust equation. I’m fully aware it’s far from simple, and we’ll have to support PKI/CAs for a long, long time, but it’s a valid policy direction – mandate DNSSEC and DANE support.

Conclusion

Certificate transparency requirements can be added now to the eIDAS Annex IV. We are too late in the legislation process for that to be done smoothly, but I’d appreciate if the legislative bodies tried it. It would be just one additional point – “(k) details about the inclusion of the certificate in a public ledger” (note that the same eIDAS 2.0 regulates ledgers, and a CT log is a ledger, so that can be leveraged).

If not in Annex IV, then I’d strongly suggest including CT in the next version of the relevant ETSI standard. And I think it would be good if the EU Commission or ETSI to do a gap analysis of current root programs and the current ETSI standards to see if something important is missing.

Furthermore, the European Commission should initiate a series of objective studies on the effectiveness of extended validation certificates. The studies that I’ve read are not in favour of the EV/QWAC approach, but if we are to argue EV/QWACs are worth it, we need better justification.

A compromise is possible, that would make browsers confident that there will be no rogue CAs while at the same time giving Europe a say over trust in the web.

The post eIDAS 2.0, QWACs And The Security Of The Web appeared first on Bozho's tech blog.

България е в Шенген

от Божидар Божанов
лиценз CC BY

България е в Шенген. В края на март отпада граничният контрол, освен по суша.

За шест месеца това правителство и мнозинството в парламента свършихме много работа за това България да бъде приета най-накрая в Шенгенското пространство.

Холандия се притесняваше за върховенството на закона. Приехме антикорупционно законодстелство и най-вече – изменения в Конституцията, с които Холандия прие, че се движим с бързи крачки в правилна посока и свали ветото си.

Австрия има резерви за нашия граничен контрол, поради което бяха положени много усилия от правителството.

Това не са просто дипломатически усилия (каквито имаше много), не са и молби „айде махнете ветото“, както някои си представят. Това е систематична работа на много институции в обща посока.

Да, България не получава засега Шенген по суша. Предстои още работа на Гранична полиция, за да доубедим Австрия. Да, вероятно преминават мигранти през т.нар. „зелена граница“, а каналджийството, за което приехме сериозни промени в Наказателния кодекс, сигурно не е изчезнало. Но с помощта на технологиите, видеонаблюдението на границата, обхождането с дронове и централизирания анализ, скоро ще сме отвъд техническите изисквания, които отдавна покриваме.

Не, не сме се съгласявали да приемаме повече мигранти. Дъблинският регламент, който сме длъжни да прилагаме от 2013 г., остава в сила непроменен.

Ясно е, че опозицията винаги ще търси кусури и ще опитва да каже на бялото черно. Ще си измисля, ще преиначава и ще омаловажава. Но нека опитат да не очернят този успех за страната заради партийни интереси.

Критичните по принцип избиратели и сега ще са недоволни, мнителни и ще иронизират успеха (най ми харесаха „подземния Шенген“ и „тази година полушенген, догодина – цял Шенген“). Това е тяхно право, но и тях призовавам да не са напълно черногледи.

В крайна сметка хората ще усетят ползата от отпадането на граничния контрол. И твърденията, че сме „втора ръка европейци“ ще са все по-безпочвени. А репутацията на държавата ни ще се подобри, защото приемането в Шенген не е просто въпрос на граничен контрол, а е атестат за институционален напредък.

От днес България в по-интегрирана в Европа, а от това ползите са огромни.

Материалът България е в Шенген е публикуван за пръв път на БЛОГодаря.