[Dogbert]

Vael, TLS-CCA
https://www.id.ee/artikkel/isikutuvastus-id-kaardiga/

kevku, see tundub ikka sõltuvat serveri poolest. Kui server tahab kliendi autentsust kontrollida TLS-CCA-ga, siis ta peab seda saama. MiTM ründekindlat krüptokanalit minevikuks nimetada ei ole päris korrektne.
Mitte et ma hetkel teaksin, mis asi see JWT küpsis on.

Aga ma saan aru, et nüüd on serveripoole peal ka ID-kaardiga autentimisel võimalik loobuda kõige turvalisemast, kuid kohati tõrkuda võivast (näiteks MiTM ründe korral ) TLS-CCA-st ja selle asemel kasutada vaid serveri autentsust kontrollida võimaldavat, parooliga sama krüptograafilise turvatasemega ühendust.

Tead mõnda teenust ehk nimetada, mis TLS-CCA-st loobunud on sellega seoses?

[kevku]

Riigiportaal (ja selle SSO) kasutab ainult web-eid.

[vortex]

[Dogbert]

[Mnator]

ma miskipärast arvan, et see on nukkapidi seotud püüdlustega (teenuspakkujatele) roppkalli sId läbipressimistega, et seda loetaks Id-kaardiga võrdväärseks

[Betamax]

[Dogbert]

[Mnator]

[Vael]

[Dogbert]

Mul ei tulnud kohe ette, et e-hääletusel ei kasutata brauserit, vaid selleks eraldi loodud äppi, millega ei saa kogemata avada liba-valimiste lehekülge, nagu saab brauseriga avada libapanga lehekülge või liba-riigiportaali kas siis skämmkirjas saadetud linki avades või peenemal juhul DNS serverit, kasutaja ruuterit või arvutit ära tinistades.

Valimiste äpp ühendub ikkagi ainult konkreetsel aadressil asuva kindla serveriga, millelt aktsepteeritakse vaid autentset sertifikaati, mis on äpile teada. Seega MiTM rünnet ei saa sel juhul läbi viia.

Minu viga.

Ründe võimaldamiseks peaks äpp olema kompromiteeritud.

Ma varem ei olegi mõelnud selle peale, et miks hääletuse jaoks seda äppi vaja on. Eks sellepärast ongi, et brauseri kasutamise puhul inimesi mingitele libalehtedele ei saaks meelitada. Äpp on selle välistamiseks.

[Mnator]

aga nagu oleks olnud juttu ka eraldi rakendusest loobumisest, et ikka igalt poolt hõlpsamini hääletama pääsetaks
või oli see vaid korraks jutt?