Tag Archives: NPAPI

Suuremad sirviku-uuendused sel suvel

ID-kaart

Allikas: www.id.ee

Anto Veldre, RIA analüütik

Mujal maailmas kasutavad veebis kiipkaarti vaid lipsustatud riigiametnikud ning vahel harva ehk ka sõjaväelased – nemad ainukesena vajavad oma süsteemides nii turvalist sisenemisviisi.

Eesti oma e-ühiskonnaga on aga täiesti teistsugune riik. Meil on kiipkaart (ID-kaart) taskus nii tädi Maalil kui onu Voldemaril ning lihtsurelikud tegelikult oskavadki selle riistapuuga edukalt ringi käia. See on põhjus, miks meil siin suured kübervargused ja identiteedipettused on pea olematud.

Väga sageli pruugitakse ID-kaarti brauseri (ehk internetisirviku) kaudu. Iga kord, kui mõni
suurem tootja teeb suurema muudatuse internetisirvikus või operatsioonisüsteemis, tuleb meil Eestis selle muudatusega arvestada ning muudatus ID-kaardi ökosüsteemiga sobitada (mõningate kriitikute ideaalses maailmas käiksid maailma suurimad IT-firmad ise enne iga uuendust Eesti käest nõu küsimas, kuid olgem realistid!). Muudatustel on vaja silm hoolikalt peal hoida, kuniks ID-kaart muutub maailmas universaalseks ning suured IT-firmad ise hakkavad hoolitsema kiipkaardi liidestamise eest.


Sel suvel toimub suisa kaks otsapidi ID-kaardisse puutuvat uuenduslikku sündmust. Kõigepealt tuleb Microsoft 29. juulil välja Windows 10 nimelise uudistootega, milles sisaldub täiesti uus ja seninägematu brauser Edge (*). Õnnelikel kasutajatel tuleb ära õppida, et Internet Explorer paikneb nüüd Accessories/Tarvikud menüüs, õnnetutel teenuseomanikel aga üle kontrollida, et Edge’i ja IE vaheline teatepulga üleandmine ikka toimuks nagu välja reklaamitud.

Teise uudisena viib Google sügiseks lõpuni oma sirviku Chrome modifitseerimise, mistõttu veebiteenuste omanikud Eestis peavad ID-kaardiga allkirjastamise teenuseid pisut kohendama (installeerima hwcrypto.js nimelise teegi). Lihtkasutajale see umbes 15. augustil aset leidev muudatus koormust ei pane, küll aga teenuseomanikele.

Microsoft Edge ja ID-kaardi tugi

Microsoft_Edge_logo

Allikas: Wikimedia Commons, autor: Microsoft Corporation.

29. juulil avalikustab Microsoft kauaoodatud operatsioonisüsteemi Windows 10. Juba enne saabumist muutus see toode rahva seas populaarseks, sest võimaldab ka kõige hinnatundlikumal tarbijal (end Insaiderina registreerides) oma arvuti tasuta Windows 7 või 8 pealt uuemale versioonile uuendada. Arvata võib, et seda võimalust kasutavad Eestis päris paljud. Esialgu suunatakse Win 10 kodukasutajale, kuid ehk aasta pärast jõuab Windows 10 ka asutustesse ja firmadesse.

Kasulik on teada, et Microsoft korraldas interneti sirvimise pisut ringi. Senine Internet Explorer ei kao kusagile, kuid asub nüüdsest menüüs Tarvikud/Accessories, mistõttu päris esimesel korral võib IE leidmine osutuda pisut keeruliseks. ID-kaardi tugi IE-le jääb kenasti käima ning uuendusi selle kasutamises pole.

Uuendus on hoopis Edge brauser – täiesti uus internetisirvik, mis peaks aja jooksul IE rolli üle võtma. Eesti mure kirjeldub viisil, et Windows 10 koos Edge’iga on algusetapil suunatud põhiliselt ikka kodukasutajatele, sestap puudub ID-kaardi tugi – kuivõrd teistes riikides ja teistel turgudel tädi Maali kiipkaarti ei vaja. Microsoft on Edge’i puhul öelnud kindla JAHi ka kiipkaardi toele, kuid see saabub “pisut hiljem”.

Kasutajal on nüüd päris mitu võimalust:

  • leida IE, tuua selle ikoon töölauale ning kasutada ID-kaardi jaoks IEd edasi nagu muiste,
  • Edge’is juba avanenud veebilehele öelda – avane nüüd parem Internet Exploreris,
  • minna selguse saabumiseni üle m-ID-le (mis teatavasti pole brauseritundlik),
  • pruukida mõnda konkureerivat OSi (Mac, Linux) või sirvikut (Firefox, Chrome).

Võimalusi on palju, sestap ID-kaardi kasutamine seisma ei jää. Tehnikafriigile kõige põnevam võimalus on lausa revolutsiooniline:

  • lasta Edge’il endal otsustada, millal juhtimine IE-le üle anda.

Edge peaks olema sedavõrd tark, et tunneb ise ära veebilehed, kus vajatakse ID-kaardiga sisselogimist ning kutsub sealkohas ise välja Internet Exploreri. Võimalik, et mõne e-teenuse sobitamiseks selle uue võimalusega tuleb omanikul siiski pisut ka HTTP päiseid timmida.

Autentimise (ehk sisselogimise) lisamine Edge’ile saab olema lihtne. Allkirjastamise (ehk signeerimise) lisandus kujuneb pisut ajamahukamaks, saades võimalikuks alles siis, kui Edge’ile saabub vastav lisamoodul (plugin, laiendus, extension). Võib oletada, et signeerimise lisakomponent saab olema Javaskripti põhine.

Google vs NPAPI

Vananenud tehnoloogia tuleb mingil hetkel välja vahetada. Küsimus vaid selles, et mida täpselt lugeda vanaks ning kui äkitselt saabub hetk. Saksamaal on terve ports linnasid, kuhu minu 20 aasta vanust ameerika autot saastekaalutlustel enam sisse ei lubata. Aastast 2016 on minu vanale autole näiteks suletud juba ka Pariis.

1971_Buick_Riviera_(15685013874)

Allikas: Wikimedia Commons, autor: jeremyg3030

Ka internetimaailmas võib eristada tehnoloogilisi põlvkondasid. Aastal 1995 mõistis keegi, et paljasjalgse brauseriga Internetis suurt äri teha ei saa ning mõtles tollasele Netscape’ile juurde pluginate süsteemi. Kust saab brauser teada, et nüüd on vaja muusikat mängida? Aga palun, HTTP päistesse kirjutatakse “audio/mp3”. Juhul kui brauseril on helivõimeline plugin, siis just see käivitataksegi, selmet faili alla laadida.

Tehniline standard, millega lisamoodulid sirviku külge sobitati, sai nimeks NPAPI. Naljakas üle korrata, aga aasta oli siis 1995 (ning praegu on 2015). Seega pidas NPAPI standard vastu umbes 20 aastat, mida on IT ja interneti kohta ikka häbematult palju.

800px-Floppy_Disk_of_Netscape_Navigator

Allikas: Wikimedia Commons, autor: Toshihiro Oimatsu.

Paraku hakkas nii lihtne liidestamine ühel hetkel ohustama sellesama internetiäri turvalisust. Igasugused moodulid ja pluginakesed muudkui istutasid endid sirviku küürule ning tegid seal koledaid asju, näiteks luurasid rahaülekannete ja isikuandmete järele.

2013. a septembris otsustas Google, et NPAPI asendatakse uuema ja pisut kontrollituma tehnoloogiaga, mil nimeks Native Messages. Põhikaalutlus oli ikkagi turvalisus: et edaspidi ei saaks keegi sirviku seljas ratsutades andmeid pealt kuulata.

Pluginasõltuvuse teisest küljest on paraku vähem räägitud. Nimelt, kui sirviku poolel plugina-standard ringi teha, siis peavad ka info pakkujad (st serverid) esitama omi teenuseid pisut teisel kujul. NPAPI –> NativeMessages ülemineku hetkel peab serveriomanik omi teenuseid pisut kõpitsema.

Eesti eesrindliku riigna on säärastest tehnoloogiavahetusest märkimisväärselt mõjutatud, on ju Chrome brauseri turuosa hetkel vaid komakoha võrra alla 50%. Meie penetreeritus (mis paha sõna!) igasuguste e-teenustega, mida me ID-kaardi abil söögi alla ja peale tarbime, on sedavõrd suur, et brauserivahetus ei pruugi minna päris märkamatult.

Kodukasutaja poolel tehti edukas muudatus ära juba mais ning kajastasime seda ka oma blogis. Kuid juba augustis saabub Chrome ver 45 ja sellega sooritatav muudatus survestab nüüd serveriomanikku, kes enam ei saa teenuse uuendamist edasi lükata. E-riigi puhul tähendab uuendus, et ID-kaardi allkirjastamise tehnoloogia tuleb uuema vastu välja vahetada (ühildumaks juba sooritatud brauserimuudatustega). RIA on välja töötanud ja kasutamiseks tasuta kättesaadavaks teinud ühe uue teegi, nimeks hwcrypto. Kõik, kes tahavad, et nende e-teenuses töötaks allkirjastamine ka pärast Chrome 45 saabumist, peaksid nüüd oma veebiteenust pisut ajakohastama. Muide, jutt ei käi vaid avalikest teenustest, vaid ka töötajatele sisetarbimiseks mõeldud süsteemidest (töövood, puhkuseavaldused vms, kõik kohad, kus PIN2 abil allkirjastamine toimub ilma DigiDoc3 abita).

Häda neile, kes pole augustiks omi süsteeme hwcrypto peale uuendanud. Sest 15. augustil saabub Chrome 45 ja laiskus muutub kliendile nähtavaks.

Rõhk kliendisuhtel

ZOETERMEER - Callcenter Teleperformance in Zoetermeer. ANP PHOTO XTRA LEX VAN LIESHOUT

Allikas: Wikimedia Commons; autor: Dutch central government, ANP PHOTO XTRA LEX VAN LIESHOUT

Mõlemi muudatuse puhul saab oluliseks teenusepakkuja poolt kliendile osutatav tugi. Ennustatavalt hakkavad kliendid oma Edge’i ja Chrome 45 muudatuste tõttu helistama, kirjutama ning joonistama – et mis teil seal ikkagi lahti, et ID-kaart ei tööta. Tegelikult töötab ID-kaart nagu kulda, piisab vaid asjalikest selgitustest ja pisukesest käehoidmisest. Teenuseomanikel tuleb ülekoormuse perioodideks seega valmistuda ning planeerida oma kasutajatoele tavalisega võrreldes 2–3-kordne resurss.

* – Sirviku Edge varasem nimi (arendusprojekti vältel) oli Spartan.

Veebilehitsejas Chrome läheb ID-kaardiga allkirjastamine (korraks) katki

RIA analüütik Anto Veldre kirjutab sellest, mida toob kaasa Google Chrome’i brauseriuuendus.

Google-Chrome-OSJärgmisel nädalal üllitab Google uue versiooni Chrome’i brauserist, versiooninumbriga 42. Uuendus toob Eestis kaasa vajaduse uuendada digiallkirjastamiseks kasutatavat tarkvara (kuuekohaline kasutajahulk) ning teha muudatusi allkirjastamist pakkuvates veebiteenustes (kümneid, sadu teenuseid).

Chrome’i versioon 42 muudab viisi, kuidas ID-kaart brauseriga suhtleb – tegemist on padutehnilise standardiga, mille nime teadsid seni vaid programmeerijad. Kui tänaseni toimus brauseri ja ID-kaardi omavaheline suhtlus NPAPI (Netscape Plugin Application Programming Interface http://en.wikipedia.org/wiki/NPAPI) tehnoloogias, siis alates Chrome’i versioonist 42 alustab Google loobumist sellest pisut aegunud standardist. Säilitamaks Chrome’i puhul ID-kaardiga allkirjastamise funktsionaalsust, tuleb üle minna uuele tehnoloogiale “Native Messages API”. Seda tuleb teha umbes 4-kuulise akna jooksul, mis Google meile jätab.

NPAPI –> Native Messages API

Sellel sügavalt tehnoloogilisel muudatusel on mõju ja nõudeid nii kasutajale kui ka teenusepakkujale. Mõlemad pooled peavad edukaks üleminekuks astuma teatud samme. Õnneks pole üleminek järsk, vaid toimub etapiviisiliselt. NPAPI tugi lõpetatakse lõplikult alles Chrome’i augustikuises versioonis (44?) ning siis juba sellisel moel, et seda polegi võimalik tagasi sisse lülitada.

NB! Ühtlasi muutub alates Chrome’i versioonist 42 algoritm, mille alusel hinnata veebisaitide turvasertifikaate. Edaspidi märgitakse punasega ebaturvaliseks need veebisaidid, mis pruugivad aegunud SHA-1 tehnoloogiat (Krüptograafiliste algoritmide kasutusvaldkondade ja elutsükli uuring, lk 21). Kuivõrd tegu on eraldi teemaga, siis tuleb neis küsimusis pöörduda veebiteenuse pakkuja poole.

NPAPI kadu – mis muutub kasutaja jaoks?

  1. Kuniks kasutaja saab oma arvutis pruukida alternatiivseid sirvikuid (nagu Mozilla Firefox ja IE), võib Chrome’i uuendamisega kaasnevast lihtsalt mööda vaadata ja kasutada neid teisi brausereid.
  2. Pärast seda kui Google on kättesaadavaks teinud Chrome’i versiooni 42 ning kasutaja ongi selle juba alla laadinud, tuleb astuda ka teine samm – uuendada ID-kaardi tarkvara viimasele versioonile (https://installer.id.ee) ka siis, kui seda on äsja tehtud. Tarkvara uuendamise käigus tuuakse Google’i poest kohale edaspidi vältimatu laiendus (extension) nimega “Token signing” (kasutajalt RIA). Paigalduse käigus sobitatakse Chrome’i häälestused üleminekuaegseteks. Pärast NPAPI hülgamist ja veebisaitide uuendamist augustiks 2015 tagab allkirjastamise Chrome’i laiendus “Token Signing” iseseisvalt ning Chrome’i häälestusi ei ole enam vaja modifitseerida.
  3. Veebiteenuste pakkujad asendavad oma veebilehtedel vana lahenduse uuega, misjärel hakkab veebis digiallkirjastamine taas igas kontekstis tööle. Üleminekuperioodi vältel saab allkirjastamine toimuda nii uues kui vanas tehnoloogias. Eeldusel, et arvutis on tarkvara uuendatud, toimub valik automaatselt.
  4. Alati on võimalik, et Murphy külastab just Sinu arvutit. Siis tuleb abi küsida oma IT-osakonnalt, ID-kaardi abiliinilt 1777 … või ajutiselt pruukida teist brauserit.

NPAPI kadu – mis muutub teenusepakkuja jaoks?

  1. Teenusepakkuja all mõtleme siinkohal kõigi sääraste veebisaitide omanikke, kus (vastavuses digitaalallkirja seadusega) pakutakse dokumendi või andmete allkirjastamist. See puudutab nii riigiasutuste portaale kui ka eraõiguslikke (nt pangad) ja ühiskondlikke portaale.
  2. Teenusepakkujatel on vajalik ajavahemikus aprillist augustini 2015 viia oma veebisait vastavusse Native Messaging API tehnoloogiaga. Seni pruugitav Javascripti vahekiht tuleb asendada hwcrypto.js vahekihiga. Kui veebiserveris seda uuendust mitte teha, siis alates (umbes) augustist pole Chrome sel konkreetsel saidil enam allkirjastamiseks kasutatav. Chrome’i turuosa (ligi 40%) teades võib see osutuda probleemiks.
  3. Muudatus võib veebisaidi omanikule tähendada mõningat, kuigi mitte väga suurt kulu. Kes kasutavad vana idCard.js vahekihti, nende jaoks on muudatus lihtne. Kes aga on valmis pusinud omaenda lahenduse, neile võib muudatus osutuda keerulisemaks.

Mis juhtub, kui ma lihtkasutajana seda uudist ignoreerin?

  1. Kui oma arvutis leiduva Chrome’i versiooni pärast üldse mitte muretseda, siis varem või hiljem saabub olukord, kus arvutis on Chrome juba värskendunud, aga ID-kaardi tarkvara veel mitte, ühtlasi puudub allkirjastamiseks edaspidi vajalik Chrome’i laiendus (extension). Kui mitte reageerida, siis lühemaks või pikemaks ajaks muutub Chrome allkirjastamise jaoks kasutamatuks. Kuivõrd ID-kaardi tarkvara uueneb ka automaatselt, peaks see olukord nädalaga iseeneseslikult mööduma.
  2. RIA ja SK teevad hetkel pingsalt tööd, et publitseerida võimalikult selged juhendid selle kohta, kuidas ning mis järjekorras peab kasutaja mainitud tarkvaru uuendama. Juhendid muutuvad kättesaadavaks mõni tund pärast Chrome 42 tegelikku avalikustamist (ligikaudu 15. aprillil).

Mis juhtub, kui ma teenusepakkujana muutust ignoreerin?

  1. Alates Chrome’i versiooni 42 avalikustamisest hakkab järsult tõusma pöördumiste arv, sest inimesed ei saa enam veebiteenuses allkirja anda… seega tuleks planeerida võimekus pöördumistele vastamiseks (Helpdesk vms). Kui ma oma veebisaidis hwcrypto.js tuge ei realiseeri, siis alates umbes augustist 2015 ei saa Chrome’iga minu portaalis  digiallkirjastamise teenust enam kasutada.

Olen itimees. Rääkige mulle, mis TEGELIKULT sünnib?!

1. Külasta neid linke ja vii end uue olukorraga kurssi:

2. Kontrolli üle oma firma või asutuse tööjaamalahendused. Juhul, kui mingi teadaolev piirang/sõltuvus sunnib Sind kas Chrome’i või ID-kaardi tarkvara MITTE UUENDAMA ning kui tööprotseduur näeb ette massilist Chrome’iga allkirjastamist, siis varu aega ja tegele lahendustega. Mida varem asud neid otsima, seda parem, sest septembriks 2015 on valikud juba ahtad.

3. Arvesta, et firma või asutuse võrgus on kasutajaõiguste piirangud ning kasutajad ei saa arvutisse ise programme installeerida. Korralda uuenduste paigaldamine nii, et see ei segaks normaalset töörütmi.

Miks küll Chrome nii teeb?

  1. Tehnika progress on vältimatu, selle ignoreerimine tähendaks reaalsusega võitlemist. Võimalik, et mingi aja jooksul lähevad Native Messaging API suunas ka teised internetibrauserid.

Suured tarkvaratootjad ei arvesta muudatusi tehes Eesti ID-kaardi ökosüsteemiga, mis tähendab, et peame oma muudatustega hakkama saama meile eraldatud ajavahemikus (seekord umbes 4 kuud).