Category Archives: veebilehitseja

Veel brauseriuudiseid: ka Mozilla Firefoxi turvalisus tõuseb

firefox_logo-wordmark-horiz_RGB

Anto Veldre, RIA analüütik

Kiire kokkuvõte: kõik sirvikutootjad muudavad oma brausereid turvalisemaks, igaüks neist omal moel. Värske uudisena nõustub Firefox 22. septembrist tegema koostööd vaid nõuetekohaselt allkirjastatud ID-kaardi lisamooduliga (extension), mistõttu Firefoxi uuenemisel tuleb kasutajal kindlasti uuendada ka ID-kaardi tarkvara. Ühtlasi muutub lisamooduli uuendamine nii RIA kui lõppkasutaja jaoks veidi keerulisemaks ja aeganõudvamaks.

Taust

Arvutikasutajad kindlasti imestavad, miks suvel ja korraga kõik internetilehitsejad järsku uuenema hakkasid? Põhjuse leiab mõne vähemteadliku kasutaja arvutist – kui internetibrauseri ülemine ots on igasugustest Conduit Search Bar’idest, Assistant moodulitest ja muust säärasest nii küllastunud, et sisu ei mahu enam ekraanile 🙂 Olukorda iseloomustab hästi üks mõne aasta tagune pilapilt sel teemal, kuigi peab ütlema, et Java ning Flashi ärakeelamise kaudu on mõningane osa turvalisust vahepeal tagasi võidetud…

Allikas: http://www.soc.cornell.edu/computing/ie.html

Allikas: http://www.soc.cornell.edu/computing/ie.html

Loomulikult soovib erafirma panna oma tarkvara brauserisse käima, sest siis tekib teatav kontroll ka brauseri kogu liikluse üle. Näiteks mõned Search Bar tüüpi moodulid haaravad päringu vahelt ega saadagi seda Google’isse, vaid sokutavad inimesele omaenda otsitulemusi ja reklaame.

Sama loomulik, et brauserisse soovivad elama tulla igasugused viirused ja pahavarad. On säärane ingliskeelne väljend nagu MiB – ei, mitte Men in Black, vaid “Man in the Browser” – brauseripetis, ehk siis mehike, kes istub internetisirviku küüru otsas, vahendab kogu liiklust ja kuulab kõike pealt.

Olukorras, kus lihtkasutaja täpselt ei mõika, mida ta teeb, vastates igale tarkvarapakkumisele YES, hakkas veebilehitsejate küüru peal vohava pahavara hulk ületama mõistlikku piiri. Sellega seoses hakkasidki suuremad brauseritootjad paar aastat tagasi mõtlema, kuidas vaenulikule faunale piiri panna.

Eesti rahvuslik tragöödia seisneb asjaolus, et kuniks muu maailm kiipkaardi ja brauseri integratsioonist suurt ei hooli, elab ka meie ID-kaart samamoodi veebilehitseja küüru otsas. Seni on ID-kaardi lisamooduli tegemine olnud imelihtne. Teed valmis, paigaldad brauserisse ja voilaa! – e-riik ongi kättesaadav. Kuid nüüd hakkavad asjad muutuma pisut keerulisemaks.

Firefox

Tänaseks on saabunud selgus Mozilla Firefoxi (FF) osas, kus lisamoodulitega ühildumise mehhanism muutub oluliselt karmimaks. 11. augustil hakkab levima Firefoxi versioon 40, mis eelistab koostööd just allkirjastatud lisamoodulitega (extensions). Uuendades varem olemasolevat FF’i, ei pea kasutaja muretsema, kuid esmakordselt Firefoxi paigaldades näitab brauser ID-kaardi lisamoodulile kollast tuld. Kasutamine pole seejuures takistatud:

Kollase kirjaga hoiatus: Estonian ID Card authentication module could not be verified for use in Firefox. Proceed with caution.

(Sarnaseid küsimusi on varem küsitud Windows XP draiverite installimisel, kui digitaalselt allkirjastamata draiverite puhul kerkis ekraanile spetsiaalne dialoogiaken.)

Kuid juba 22. septembril saabub Firefoxist versioon 41, mille käitumine on oluliselt karmim: see nõustub töötama vaid nõuetekohaselt allkirjastatud lisamoodulitega. Plaani kohaselt varustatakse ka ID-kaardi lisamoodul selle autentsust tõestava krüptograafilise tõendiga. Mooduli varasemat (=praegust) versiooni hakkab Firefox alates 22. septembrist tõrjuma säärase teatega:

Punase kirjaga hoiatus: Estonian ID Card authentication module could not be verified for use in Firefox and has been disabled.

ID-kaardiga autentimise jaoks vajaliku laienduse uusversioon saabub arvutitesse ID-tarkvara automaatuuendusega. Kui automaatuuendus ei ole lubatud, tuleb uus versioon selleks ajaks arvutisse ise installeerida.

Erilist tähelepanu tuleb FF teemale pöörata neis asutustes ja firmades, kus on mingi pärandvaraline põhjus uusimatest versioonidest hoidumiseks.

Edge ja Chrome

Meenutame ka, mis toimub hetkel teiste internetilehitsejatega.

Microsoftil on just praegu käsil üleminek Win10 op-süsteemile ning tuttuuele Edge brauserile. Teada on vaid see, et koht moodulite ühendamiseks tuleb “pisut turvalisem” kui IE küür, kuid midagi täpsemalt teada pole. Ilmselt saabuvad uudised alles paari kuu jooksul. Seni aga, kuniks Edge sirvikul puudub koht pluginate/moodulite külgeühendamiseks, ei saa Edge’ile pakkuda ka ID-kaardi tuge (vt Windows 10 ja e-teenused).

Google on oma veebilehitsejaga Chrome samuti standardeid ümber tegemas. Otsustav muudatus kliendi poolel on juba tehtud ning (praeguse info kohaselt) septembri alguses saabub Chrome’i uusversioon 45, mis vanu NPAPI standardis pluginaid enam ei tunnista. Chrome’i loojate valitud tee on kõige valulisem, sest nõuab muudatusi ka serverite poolel. Eks septembris paistab, kas kõik Eestis ID-kaardiga teenust pakkuvad internetisaidid suudetakse Chrome’i uue pluginastandardi (Native Messaging) peale üle viia või jääb mõni teenusepakkuja hätta. (Vt Veebilehitsejas Chrome läheb ID-kaardiga allkirjastamine (korraks) katki ja Suuremad sirviku-uuendused sel suvel)

Sellesuvine hetkeseis brauserimaailmas

  1. Chrome – muudatus (versioon 45) saabub umbes 7. septembril. Kui mõni ID-kaarti pruukiv teenus pole muudatusega vastavusse viidud, siis kasutajad seda uue Chrome’iga kasutada ei saa. Teenusepakkuja leiab lisainfot veebilehelt id.ee.
  2. Edge – Microsoft pole veel moodulite kinnituskohti ja standardeid avalikult välja hõiganud, mistõttu Edge on kasutatav vaid Mobiil-ID abil.
  3. Internet Explorer – vana ja kaduv, kuid hetkel jätkab ID-kaardiga töötamist.
  4. Mozilla Firefox – alates versioonist 40 (11. augustist) hakkavad kasutajad saama hoiatusi ning versioonist 41 (22. septembrist) nõuab FF nõuetekohaselt sertifitseeritud/allkirjastatud/jne lisamoodulit, mille RIA ja SK siis loodetavasti jõuavad õigeks ajaks valmis teha ning ID-kaardi tarkvarauuendusse lisada.
  5. Mac OS X ja Safari – sügisel on oodata uut versiooni El Capitan, RIA ja SK tegelevad beetaversiooni uurimisega. Eesmärk on, et kasutaja saaks tarkvara uuendatud ühekorraga (Firefoxi ja El Capitani tugi tulevad koos).

Neile, kes soovivad katsetada juba praegu:

Windows 10 ja e-teenused

RIA_illustr.ai

Anto Veldre, RIA analüütik

Nagu ka varem viidatud, toimub sel suvel kaks e-teenuste kättesaadavust mõjutavat sündmust. Täna tuleb Microsoft välja oma Windowsi uusversiooniga, määrates peabrauseriks Edge’i, millel aga ID-kaardi pistikut veel polegi. Teise sirvikusündmusena muudab ka Google oma Chrome’i pistikustandardit, kusjuures selle sündmuse raskus langeb peamiselt teenusepakkujate poolele.

Nende uudiste valguses on avalike e-teenuste ning ka äriliste e-teenuste (nagu pangad jms) kasutajatel vaja läbi mõelda kasutusviisid, mis võimaldavad jätkata e-teenustesse sisselogimist (autentimist) ning e-teenustes (veebis) dokumentide allkirjastamist. NB! ID-kaardi utiliit jätkab töötamist muutusteta.

Windows 10 tulek

Siin vaatleme ligipääsu e-teenustele just  operatsioonisüsteemi Windows 10 tuleku valguses. Kui ma olen endale installeerinud Windows 10 (seda on vanemate operatsioonisüsteemide uuendamise kaudu väga mugav teha), siis millega pean arvestama ja kuidas saan e-teenuseid mugavalt edasi kasutada?

Microsoft_Edge_logo

Edge

Kõige esmane uudis on see, et Microsoft on Windows 10 varustanud täiesti uue brauseriga. Selle sirviku nimi on Edge ning see võtab üle Windowsi pea(mise) brauseri rolli. Paraku Edge’i küljes veel pole pistikut, kuhu ID-kaardi draiverid üldse saaksid kinnituda (Microsoft on öelnud, et kiipkaardi moodulid on prioriteet).

Niisiis, minu arvutis on täiesti uus brauser Edge. Seda saab e-teenustele ligipääsuks pruukida kahel moel:

  • Kui on soov e-teenuseid kasutada ilmtingimata Edge’iga, siis selleks sobib m(obiil-)ID. Eestis on hetkel suurusjärgus 60 000 aktiivset mID kasutajat. Midagi erilist pole vaja teha, piisab kui valida veebis autentimismeetodiks mID ning Edge ongi kasutatav. (Teatavasti mID suureks eeliseks ongi asjaolu, et ta pole brauseri suhtes tundlik).
  • Edge tunneb peagi ära veebiteenused, mis pole veel Edge’i enda jaoks küpsed ning pakub nende puhul kasutada Internet Explorerit. Tarvitseb vaid vajutada YES, kui käivitub IE ning teenus on ID-kaardiga kasutatav nagu varemgi. See meetod on Windowsi laia leviku tõttu kättesaadav enamikele kasutajatele (sajad tuhanded)

(Keda huvitab, mis on karul kõhus, siis säärane ümbersuunamine hakkab toimuma mitte päris automaatselt, vaid nimekirja abil. Microsoftil on nimekiri teenustest, mis veel Edge’iga ei tööta ning sellisele lehele sattudes väljastatakse Compatibility View hoiatus. Ümberlülitumine peaks hakkama tööle kõige lähemal ajal.)

compat

Alternatiivsed sirvikud

Kui kasutajal puudub mID või talle mingil põhjusel IE kasutamine ei sobi, siis on veel kaks brauserit, mille abil e-teenustele ligi pääseda:

  • Google Chrome – selle brauseri turuosa on hetkel suurim (üle 50%). Chrome’i abil on e-teenused endiselt kasutatavad, kuid tuleb arvestada, et hiljemalt septembris tuleb oluline muudatus ka Chrome’i puhul, sellest loe täiendavalt SIIT.
  • Mozilla Firefox – turuosaga 17%.

Kokkuvõttes: kuigi Edge ise otse ID-kaardiga veel ei haaku, on lahenduseks kas mID pruukimine (neil kel on)  või alternatiivsete brauserite (Chrome, FF) kasutamine. Olukorda, kus e-teenusele ligi ei pääse, ei tohiks niisiis üldse tekkida.

Win 10 nipid ja trikid

Soovitame kõigil Windows 10 uuskasutajatel pilk peal hoida Internetil. Kuna kasutajaid on palju ning uus sirvik Edge kujuneb kindlasti väga populaarseks, siis on foorumites ja jutukohtades oodata pikki vaidlusi mugavuse ja kasutatavuse teemadel. Selliste vestluste ja arvamustega tutvudes on kasutajal endal võimalik palju õppida.

Kuigi IE kasutusvaldkond ilmselt tulevikus ehk kitseneb, on mõtet ka uues Windows 10’s tõsta IE ikoon töölauale ja kuni Edge’i ID-kaarditoe väljaarendamiseni kasutadagi IE’d.

Tulevik

RIA teeb koostööd Microsoftiga ning ID-kaardi täielik tugi Edge brauserile valmib niipea, kui Microsoft on vastavad moodulid lisanud. Autentimise osas on lahenduseni jõudmine ilmselt lihtsam, kuid allkirjastamise ja täisteenuse osas paraku mitte.

Ühtlasi soovitame inimestel kasvatada arusaamist teenusekesksest arvutusmudelist ning seada meeled valmis seninägematuteks rahastus-skeemideks. Windows 10 kasutajatel tasub mõelda ka ökosüsteemi majanduslikule aspektile. Google on küll kasutajale tasuta, kuid seda rahastatakse kasutajaandmete analüüsiga ja tulemuste müügiga.

Windows 10 tähendab (esimest korda arvutustehnika ajaloos) ühiskonna säärast arenguastet, kus kodus hoitavate failide, programmide ja arvutite osakaal (üha) väheneb. Pole täpselt teada, kuidas hakatakse keskset teenust rahastama Windows 10 puhul, kuid teatavasti tasuta lõunaid pole. Hetkel saab kodukasutaja küll oma legaalse Windows 7 tasuta ära uuendada, sujuvaks üleminekuks on see kindlasti vajalik, kuid ettevõttena on Microsoft orienteeritud kasumile, mistõttu tuleb silmad lahti hoida stsenaariumitele, kus failide ja teenuste kasutamise eest muutub üha populaarsemaks näiteks “aastamaks” (DropBoxi ja Office365 näitel). (Installi-CD) kujul  ja uue arvuti osana muutub Windows 10 kättesaadavaks kõigest mõne nädala pärast.

Suuremad sirviku-uuendused sel suvel

ID-kaart

Allikas: www.id.ee

Anto Veldre, RIA analüütik

Mujal maailmas kasutavad veebis kiipkaarti vaid lipsustatud riigiametnikud ning vahel harva ehk ka sõjaväelased – nemad ainukesena vajavad oma süsteemides nii turvalist sisenemisviisi.

Eesti oma e-ühiskonnaga on aga täiesti teistsugune riik. Meil on kiipkaart (ID-kaart) taskus nii tädi Maalil kui onu Voldemaril ning lihtsurelikud tegelikult oskavadki selle riistapuuga edukalt ringi käia. See on põhjus, miks meil siin suured kübervargused ja identiteedipettused on pea olematud.

Väga sageli pruugitakse ID-kaarti brauseri (ehk internetisirviku) kaudu. Iga kord, kui mõni
suurem tootja teeb suurema muudatuse internetisirvikus või operatsioonisüsteemis, tuleb meil Eestis selle muudatusega arvestada ning muudatus ID-kaardi ökosüsteemiga sobitada (mõningate kriitikute ideaalses maailmas käiksid maailma suurimad IT-firmad ise enne iga uuendust Eesti käest nõu küsimas, kuid olgem realistid!). Muudatustel on vaja silm hoolikalt peal hoida, kuniks ID-kaart muutub maailmas universaalseks ning suured IT-firmad ise hakkavad hoolitsema kiipkaardi liidestamise eest.

Sel suvel toimub suisa kaks otsapidi ID-kaardisse puutuvat uuenduslikku sündmust. Kõigepealt tuleb Microsoft 29. juulil välja Windows 10 nimelise uudistootega, milles sisaldub täiesti uus ja seninägematu brauser Edge (*). Õnnelikel kasutajatel tuleb ära õppida, et Internet Explorer paikneb nüüd Accessories/Tarvikud menüüs, õnnetutel teenuseomanikel aga üle kontrollida, et Edge’i ja IE vaheline teatepulga üleandmine ikka toimuks nagu välja reklaamitud.

Teise uudisena viib Google sügiseks lõpuni oma sirviku Chrome modifitseerimise, mistõttu veebiteenuste omanikud Eestis peavad ID-kaardiga allkirjastamise teenuseid pisut kohendama (installeerima hwcrypto.js nimelise teegi). Lihtkasutajale see umbes 15. augustil aset leidev muudatus koormust ei pane, küll aga teenuseomanikele.

Microsoft Edge ja ID-kaardi tugi

Microsoft_Edge_logo

Allikas: Wikimedia Commons, autor: Microsoft Corporation.

29. juulil avalikustab Microsoft kauaoodatud operatsioonisüsteemi Windows 10. Juba enne saabumist muutus see toode rahva seas populaarseks, sest võimaldab ka kõige hinnatundlikumal tarbijal (end Insaiderina registreerides) oma arvuti tasuta Windows 7 või 8 pealt uuemale versioonile uuendada. Arvata võib, et seda võimalust kasutavad Eestis päris paljud. Esialgu suunatakse Win 10 kodukasutajale, kuid ehk aasta pärast jõuab Windows 10 ka asutustesse ja firmadesse.

Kasulik on teada, et Microsoft korraldas interneti sirvimise pisut ringi. Senine Internet Explorer ei kao kusagile, kuid asub nüüdsest menüüs Tarvikud/Accessories, mistõttu päris esimesel korral võib IE leidmine osutuda pisut keeruliseks. ID-kaardi tugi IE-le jääb kenasti käima ning uuendusi selle kasutamises pole.

Uuendus on hoopis Edge brauser – täiesti uus internetisirvik, mis peaks aja jooksul IE rolli üle võtma. Eesti mure kirjeldub viisil, et Windows 10 koos Edge’iga on algusetapil suunatud põhiliselt ikka kodukasutajatele, sestap puudub ID-kaardi tugi – kuivõrd teistes riikides ja teistel turgudel tädi Maali kiipkaarti ei vaja. Microsoft on Edge’i puhul öelnud kindla JAHi ka kiipkaardi toele, kuid see saabub “pisut hiljem”.

Kasutajal on nüüd päris mitu võimalust:

  • leida IE, tuua selle ikoon töölauale ning kasutada ID-kaardi jaoks IEd edasi nagu muiste,
  • Edge’is juba avanenud veebilehele öelda – avane nüüd parem Internet Exploreris,
  • minna selguse saabumiseni üle m-ID-le (mis teatavasti pole brauseritundlik),
  • pruukida mõnda konkureerivat OSi (Mac, Linux) või sirvikut (Firefox, Chrome).

Võimalusi on palju, sestap ID-kaardi kasutamine seisma ei jää. Tehnikafriigile kõige põnevam võimalus on lausa revolutsiooniline:

  • lasta Edge’il endal otsustada, millal juhtimine IE-le üle anda.

Edge peaks olema sedavõrd tark, et tunneb ise ära veebilehed, kus vajatakse ID-kaardiga sisselogimist ning kutsub sealkohas ise välja Internet Exploreri. Võimalik, et mõne e-teenuse sobitamiseks selle uue võimalusega tuleb omanikul siiski pisut ka HTTP päiseid timmida.

Autentimise (ehk sisselogimise) lisamine Edge’ile saab olema lihtne. Allkirjastamise (ehk signeerimise) lisandus kujuneb pisut ajamahukamaks, saades võimalikuks alles siis, kui Edge’ile saabub vastav lisamoodul (plugin, laiendus, extension). Võib oletada, et signeerimise lisakomponent saab olema Javaskripti põhine.

Google vs NPAPI

Vananenud tehnoloogia tuleb mingil hetkel välja vahetada. Küsimus vaid selles, et mida täpselt lugeda vanaks ning kui äkitselt saabub hetk. Saksamaal on terve ports linnasid, kuhu minu 20 aasta vanust ameerika autot saastekaalutlustel enam sisse ei lubata. Aastast 2016 on minu vanale autole näiteks suletud juba ka Pariis.

1971_Buick_Riviera_(15685013874)

Allikas: Wikimedia Commons, autor: jeremyg3030

Ka internetimaailmas võib eristada tehnoloogilisi põlvkondasid. Aastal 1995 mõistis keegi, et paljasjalgse brauseriga Internetis suurt äri teha ei saa ning mõtles tollasele Netscape’ile juurde pluginate süsteemi. Kust saab brauser teada, et nüüd on vaja muusikat mängida? Aga palun, HTTP päistesse kirjutatakse “audio/mp3”. Juhul kui brauseril on helivõimeline plugin, siis just see käivitataksegi, selmet faili alla laadida.

Tehniline standard, millega lisamoodulid sirviku külge sobitati, sai nimeks NPAPI. Naljakas üle korrata, aga aasta oli siis 1995 (ning praegu on 2015). Seega pidas NPAPI standard vastu umbes 20 aastat, mida on IT ja interneti kohta ikka häbematult palju.

800px-Floppy_Disk_of_Netscape_Navigator

Allikas: Wikimedia Commons, autor: Toshihiro Oimatsu.

Paraku hakkas nii lihtne liidestamine ühel hetkel ohustama sellesama internetiäri turvalisust. Igasugused moodulid ja pluginakesed muudkui istutasid endid sirviku küürule ning tegid seal koledaid asju, näiteks luurasid rahaülekannete ja isikuandmete järele.

2013. a septembris otsustas Google, et NPAPI asendatakse uuema ja pisut kontrollituma tehnoloogiaga, mil nimeks Native Messages. Põhikaalutlus oli ikkagi turvalisus: et edaspidi ei saaks keegi sirviku seljas ratsutades andmeid pealt kuulata.

Pluginasõltuvuse teisest küljest on paraku vähem räägitud. Nimelt, kui sirviku poolel plugina-standard ringi teha, siis peavad ka info pakkujad (st serverid) esitama omi teenuseid pisut teisel kujul. NPAPI –> NativeMessages ülemineku hetkel peab serveriomanik omi teenuseid pisut kõpitsema.

Eesti eesrindliku riigna on säärastest tehnoloogiavahetusest märkimisväärselt mõjutatud, on ju Chrome brauseri turuosa hetkel vaid komakoha võrra alla 50%. Meie penetreeritus (mis paha sõna!) igasuguste e-teenustega, mida me ID-kaardi abil söögi alla ja peale tarbime, on sedavõrd suur, et brauserivahetus ei pruugi minna päris märkamatult.

Kodukasutaja poolel tehti edukas muudatus ära juba mais ning kajastasime seda ka oma blogis. Kuid juba augustis saabub Chrome ver 45 ja sellega sooritatav muudatus survestab nüüd serveriomanikku, kes enam ei saa teenuse uuendamist edasi lükata. E-riigi puhul tähendab uuendus, et ID-kaardi allkirjastamise tehnoloogia tuleb uuema vastu välja vahetada (ühildumaks juba sooritatud brauserimuudatustega). RIA on välja töötanud ja kasutamiseks tasuta kättesaadavaks teinud ühe uue teegi, nimeks hwcrypto. Kõik, kes tahavad, et nende e-teenuses töötaks allkirjastamine ka pärast Chrome 45 saabumist, peaksid nüüd oma veebiteenust pisut ajakohastama. Muide, jutt ei käi vaid avalikest teenustest, vaid ka töötajatele sisetarbimiseks mõeldud süsteemidest (töövood, puhkuseavaldused vms, kõik kohad, kus PIN2 abil allkirjastamine toimub ilma DigiDoc3 abita).

Häda neile, kes pole augustiks omi süsteeme hwcrypto peale uuendanud. Sest 15. augustil saabub Chrome 45 ja laiskus muutub kliendile nähtavaks.

Rõhk kliendisuhtel

ZOETERMEER - Callcenter Teleperformance in Zoetermeer. ANP PHOTO XTRA LEX VAN LIESHOUT

Allikas: Wikimedia Commons; autor: Dutch central government, ANP PHOTO XTRA LEX VAN LIESHOUT

Mõlemi muudatuse puhul saab oluliseks teenusepakkuja poolt kliendile osutatav tugi. Ennustatavalt hakkavad kliendid oma Edge’i ja Chrome 45 muudatuste tõttu helistama, kirjutama ning joonistama – et mis teil seal ikkagi lahti, et ID-kaart ei tööta. Tegelikult töötab ID-kaart nagu kulda, piisab vaid asjalikest selgitustest ja pisukesest käehoidmisest. Teenuseomanikel tuleb ülekoormuse perioodideks seega valmistuda ning planeerida oma kasutajatoele tavalisega võrreldes 2–3-kordne resurss.

* – Sirviku Edge varasem nimi (arendusprojekti vältel) oli Spartan.