@rysiek@mstdn.social
@rysiek@mstdn.social avatar

rysiek

@rysiek@mstdn.social

Hacker, activist, free-softie ◈ techie luddite ◈ formerly information security and infrastructure at https://isnic.is/ and https://occrp.org/ ◈ my opinions are my own etc.

(he/him)

#foss #libre #privacy #infosec #fedi22

. ۬. :

(public toots CC By-SA if applicable)

🇪🇺 🇵🇱 · 🇧🇦 🇮🇸 · 🇺🇦

This profile is from a federated server and may be incomplete. Browse more on the original instance.

rysiek, to random
@rysiek@mstdn.social avatar

Good job, UN, having COP28 in the UAE was a stroke of genius. Perfection. No notes.

> Cop28 president says there is ‘no science’ behind demands for phase-out of fossil fuels

> Exclusive: UAE’s Sultan Al Jaber says phase-out of coal, oil and gas would take world ‘back into caves’

https://www.theguardian.com/environment/2023/dec/03/back-into-caves-cop28-president-dismisses-phase-out-of-fossil-fuels

For fuck's sake. 🤦‍♀️

rysiek, to random
@rysiek@mstdn.social avatar

We interrupt this program to bring you this important announcement:

🚨 Constantly attention-seeking man-baby billionaire said something dumb. 🚨

It is highly unlikely that this piece of news will change anyone's mind about anything at all.

However, we can at this time predict that some people might get outraged and thus click on our article. And in the end, that is what matters.

In other breaking news tonight:

  1. water is wet;
  2. bears shit in the woods;
  3. Pope is, in fact, Catholic.

rysiek, to fediverse
@rysiek@mstdn.social avatar

Dear folks, if anybody knows of any peer reviewed papers, official reports, etc., on how ad networks are or have been used by malicious actors to target specific people or groups — with malware, but also with targeted surveillance — I would love to hear.

I'm talking beyond "mere" surveillance capitalism. Surveillance capitalism is bad enough, of course, but in this particular case I am looking specifically for stuff that goes beyond "just" targeting ads.

:boost_ok:

rysiek, to europa
@rysiek@mstdn.social avatar

Okay, this is one of those questions where the answer is almost certainly "obviously no", but…

Is it possible to move a mobile number between operators in different countries?

Asking for a friend. The friend is me.

notesfrompoland, to random
@notesfrompoland@mas.to avatar

President Duda today swore in a new government led by Mateusz Morawiecki and made up of some figures from the outgoing cabinet and a number of new faces.

However, the new administration is likely to only be in place briefly, as it lacks a parliamentary majority

https://notesfrompoland.com/2023/11/27/polish-president-swears-in-new-likely-temporary-government/

rysiek,
@rysiek@mstdn.social avatar

@notesfrompoland also, each of the "2-week ministers" will get 50k PLN (~10k EUR) severance payment after their service is done, in about two weeks.

filiplachert, to random
@filiplachert@mastodon.social avatar

Wyciek danych medycznych dziesiątek tysięcy osób z będzie największym niepolitycznym newsem roku. Strona Alab już umarła

https://zaufanatrzeciastrona.pl/post/wyniki-badan-medycznych-kilkudziesieciu-tysiecy-polakow-ujawnione-przez-wlamywaczy/

rysiek,
@rysiek@mstdn.social avatar

@dancingindystopia @kalisz79 jeśli Twój mail wyląduje na HaveIBeenPwned w związku z tym wyciekiem, to jesteś w "grupie wycieku".

zaufanatrzeciastrona, to random
@zaufanatrzeciastrona@infosec.exchange avatar

Jeden z najgorszych wycieków danych w historii Polski - wyniki badań medycznych kilkudziesięciu tysięcy Polek i Polaków ujawnione przez włamywaczy

https://zaufanatrzeciastrona.pl/post/wyniki-badan-medycznych-kilkudziesieciu-tysiecy-polakow-ujawnione-przez-wlamywaczy/

Dane osobowe oraz wyniki badań ponad 50 tysięcy osób trafiły do internetu.

rysiek,
@rysiek@mstdn.social avatar

@zaufanatrzeciastrona szacunek za "nie szczucie hakerem"! :blobcatcool:

A wszelkie inne media: proszę, tak się pisze artykuły o włamaniach i wyciekach bez obsmarowywania społeczności cyfrowych majsterkowiczów. Patrzymy i uczymy się! :blobcatcoffee:

avolha, to random
@avolha@infosec.exchange avatar

Mam alergię na reklamy VPN-ów w filmach popularnonaukowych. Gdy trafiam na takie, pojawia mi się w głowie myśl, że jeśli autor mówi dyrdymały o VPN-ach, to może w innych kwestiach, które porusza, też się myli albo czegoś nie doczytał. No i rezygnuję z udostępniania takich filmów innym.

rysiek,
@rysiek@mstdn.social avatar

@ornaled @avolha dla mnie kluczowe jest "nie udostępniam innym". Jasne, osoba, która dane wideo stworzyła, może nie ogarniać problemów z VPNami i ich natrętną reklamą, ale ja ogarniam, więc ja tego dalej podać nie mogę i tyle.

rysiek, to random
@rysiek@mstdn.social avatar

Revolution might not be televised, but apparently genocide will be mathwashed.

From the team behind "we kill people based on metadata", a new exciting project: "we kill people based on… we don't even know what, it's a 2bln parameters black box that we have no real way of actually understanding."

> The Pentagon is moving toward letting AI weapons autonomously decide to kill humans
https://www.businessinsider.in/international/news/the-pentagon-is-moving-toward-letting-ai-weapons-autonomously-decide-to-kill-humans/articleshow/105420637.cms

to3k, to random
@to3k@tomaszdunia.pl avatar

Dzisiaj na o tym jak przeniosłem instancję (https://writefreely.pl) z od do @ftdl oraz o tym jak zmieniłem providera z na (https://freedns.42.pl). W sumie to bardziej o tym drugim 😉 Taki wpis o tym, że Cloudflare jest złe i pokazanie fajnej alternatywy 😉

Zapraszam!
https://blog.tomaszdunia.pl/migracja-writefreelypl-freedns42/

rysiek,
@rysiek@mstdn.social avatar

@to3k pięknie.

A "propagacja" to jak najbardziej właściwe słowo.

@ftdl

rysiek,
@rysiek@mstdn.social avatar

@wikiyu nie ma za co.

Informacja w systemie DNSie jednak się propaguje, rozchodzi, nawet jeśli jest to model subskrypcji ("pull", nie "push").

Trochę jak z gazem. Czy gaz w próżni "propaguje się" bo jego ciśnienie go "rozpycha", czy też może próżnia go "zasysa"? Na jakimś poziomie ta różnica jest nieistotna.

Z "autentykacją" jest lepszy termin: "uwierzytelnienie". Z "propagacją" lepszego terminu nie widzę. Jest szeroko używany, jest zrozumiały, nie ma o co kruszyć kopii.

@to3k @ftdl

m0bi13, to random
@m0bi13@pol.social avatar

📰 "Nowe przepisy UE: naprawa towarów zamiast kupna nowych.

  • Naprawa towarów zamiast kupna nowych to wybór większości obywateli Unii
  • Nowy obowiązek dla producentów – naprawa produktów nawet po upływie gwarancji prawnej
  • Bony na naprawy i inne zachęty finansowe dla konsumentów

We wtorek Parlament przyjął stanowisko negocjacyjne w sprawie nowego prawa konsumentów do naprawy. 590 posłów zagłosowało za, 15 przeciw, a 15 wstrzymało się od głosu. Projekt przepisów ma wspierać bardziej zrównoważoną konsumpcję. Przepisy będą też wspierać sektor napraw. Łatwiej będzie naprawić uszkodzone produkty, dzięki czemu zmniejszy się ilość odpadów."

Całość:
https://www.europarl.europa.eu/news/pl/press-room/20231117IPR12211/nowe-przepisy-ue-naprawa-towarow-zamiast-kupna-nowych?utm_source=fediwersum&utm_medium=polsocial&utm_content=textlink

rysiek,
@rysiek@mstdn.social avatar

@m0bi13 melduję, że z powodzeniem używam trzech różnych aplikacji trzech różnych banków z dwóch różnych krajów na moim smartfonie z odblokowanym OSem.

@andyy @warroza

rysiek,
@rysiek@mstdn.social avatar

@andyy nie mam zrootowanego smartfona, mam smartfon (Fairphone 4) z bootloaderem pozwalającym mi odpalić alternatywny OS (w moim przypadku CalyxOS), z czego korzystam.

@m0bi13 @warroza

rysiek,
@rysiek@mstdn.social avatar

@warroza totalnie. Mogą ostrzegać, mogą zachęcać, ale ostatecznie bezpieczeństwo jest kwestią bardzo osobistą.

Efekt ograniczenia działania aplikacji na alternatywnych OSach jest taki, że ludzie zamiast tego korzystają z (często znacznie mniej bezpiecznych) stron internetowych banków.

Gratuluję takim bankom przepychania ich klientów w stronę mniej bezpiecznych rozwiązań/

@andyy @m0bi13

rysiek,
@rysiek@mstdn.social avatar

@warroza to prawda, ale postanowiłem ponieść ten koszt i czuć się trochę lepiej jeśli chodzi o komponenty, surowce, itp.

Plus, korzystam z urządzeń mobilnych średnio 5 lat. Więc i tak wychodzi taniej, niż zmienianie taniego gównosmartfona co 2 lata.

@andyy @m0bi13

rysiek,
@rysiek@mstdn.social avatar

@andyy jakbym miał Pixela 8 Pro, to bym leciał w GrapheneOS. 😉

Zawsze możesz spytać w banku, czy będzie problem. Często nie faktycznie ma, choć próbują straszyć.

A fakt, że jakaś aplikacja (banku czy nie) miałaby celowo nie działać na GrapheneOS "ze względów bezpieczeństwa", jest tak piramidalną by-zy-duuu-rą, że nawet nie wiem, jakbym zareagował, jakby mi mój bank takiego farmazona próbował wciskać.

@m0bi13 @warroza

rysiek,
@rysiek@mstdn.social avatar

@andyy no ale to jest decyzja banków, i w kontekście GrapheneOS ta decyzja jest bzdurna.

Pamiętam, jak się kopałem jak z koniem prawie dwadzieścia lat temu, tłumacząc mojemu ówczesnemu bankowi "nie, naprawdę nie muszę mieć IE6, żeby móc korzystać z Waszej strony, i nie, nie jest to zagrożenie."

Dziś znów to samo, ale z apkami na "alternatywnych" OSach.

To jest nie do zaakceptowania, koniec i kropka. I wcześniej czy później zostanie rozwiązane, podobnie jak problem z IE6.

@m0bi13 @warroza

rysiek,
@rysiek@mstdn.social avatar
rysiek,
@rysiek@mstdn.social avatar

@anedroid robię w bezpieczeństwie informacji od czasów sprzed pierwszego ajfona, możesz spokojnie założyć, że widziałem.

@warroza @andyy @m0bi13

rysiek, to random
@rysiek@mstdn.social avatar

So I hear Argentina looked at the whole Bolsonaro thing in Brazil and went "hey you know what we should try that, it looks like fun!"

rysiek, to polska
@rysiek@mstdn.social avatar

rozczarowuje jeśli chodzi o tematy cyfrowe. Mój tekst w
https://oko.press/cyfryzacja-polski-co-tusk-w-expose

Co jest?

  • okiełznanie służb, informowanie osób objętych kontrolą operacyjną
  • wzmianka o "kompetencjach przyszłości" w szkołach

Czego zabrakło?

  • edukacji medialnej
  • regulacji technologii (AI, DSA/DMA)
  • cyfrowej suwerenności, wsparcia i wdrażania narzędzi niezależnych od Big Techów
  • zadbania o bezpieczeństwo informacyjne organów publicznych (w kontekście Dworczyka i Pegasusa)

rysiek,
@rysiek@mstdn.social avatar

> W pewnym sensie potrzebny jest kopernikański przewrót w myśleniu o technologii i jej regulacjach.

> Przez lata budowanie infrastruktury cyfrowej, cyfryzacja usług publicznych, wdrażanie takiego czy innego narzędzia administracji traktowane były w pewnym sensie jako cel sam w sobie.

> W centrum zainteresowania stały dane rozwiązania technologiczne, a obywatelki i obywatele, wraz z instytucjami publicznymi, sprowadzani byli do roli „użytkowników”.

rysiek,
@rysiek@mstdn.social avatar

> Czas ten techno-centryczny model obalić. Nie chodzi oczywiście o to, by nie budować infrastruktury, nie „cyfryzować” usług publicznych, czy nie wdrażać nowych narzędzi w administracji! Nie, chodzi o to, by w centrum naszego myślenia o technologii postawić osoby, obywatelki i obywateli, i ich potrzeby.

> I świadomie, z rozmysłem dobierać rozwiązania do konkretnych potrzeb, z uwzględnieniem zagrożeń, które te rozwiązania mogą za sobą nieść.

rysiek,
@rysiek@mstdn.social avatar

Podziękowania dla @adam_jurkiewicz za wypowiedź do tekstu oraz dla @didleth za wątek o mObywatelu i ex-Twitterze, i szczere gratulacje dla @panoptykon za lata ciężkiej, mrówczej roboty, która doprowadziła do tego, że w umowie koalicyjnej znalazł się postulat "osiodłania Pegaza". 🎉

rysiek,
@rysiek@mstdn.social avatar

@mason ależ mi nie chodzi o to, że "zabrakło" tych postulatów w kontekście wcześniejszych obietnic poszczególnych partii — a o to, że "zabrakło" ich w kontekście tego, co jest potrzebne.

Nie musimy się jako obywatele ograniczać w naszych oczekiwaniach do partyjnych obietnic. Wręcz przeciwnie, te obietnice często wynikają z oczekiwań ludzi.

Tematy, które poruszyłem, nie są zagospodarowane przez żadną partię. Brakuje ich w dyskusji publicznej, a nie tylko w tej konkretnej umowie koalicyjnej.

rysiek,
@rysiek@mstdn.social avatar

@mkljczk noszę się od dłuższego czasu z pomysłem, by zanurkować w ten problem w jakimś tekście.

Może się wreszcie zbiorę.

didleth, to Twitter
@didleth@mastodon.social avatar

Pamiętacie, jak w trakcie wyborów mObywatel zaczął szwankować i Centralny Ośrodek Informatyki poinformował o tym na twitterze, ale na swojej stronie już nie? Jeśli ktoś się łudził, że to przez przypadek lub niedopatrzenie...

#X

CC: @panoptykon @m0bi13 @mcgramat
@icd
@rysiek @avolha

rysiek,
@rysiek@mstdn.social avatar

@grayrattus no ciekawe czemu nikt nie wchodzi, jak nikt tam nic ne publikuje. 🤦‍♀️

@didleth @panoptykon @m0bi13 @mcgramat @icd @avolha

rysiek,
@rysiek@mstdn.social avatar

@didleth przypominam, że ówczesne Ministerstwo Administracji i Cyfryzacji miało konto na fedi zanim to się nazywało fedi:
https://identi.ca/maic

:blobcatcoffee:

@panoptykon @andyy @m0bi13 @mcgramat @icd @avolha

rysiek,
@rysiek@mstdn.social avatar

@mkljczk dlatego jeszcze się to nie nazywało fedi.

Technicznie rzecz biorąc:

  1. identi.ca wtedy była instancją StatusNet
  2. StatusNet stał się projektem GNU Social
  3. GNU Social zaimplementował ActivityPub.

Więc można, troszkę naciągając, powiedzieć, że Identica była cześcią sieci, która była prekursorem fedi, i ostatecznie stała się częścią fedi (choć sama Identica niestety nie, long story).

Dzięki za wysłuchanie mojego TED talka!

@mcgramat @panoptykon @andyy @avolha @icd @didleth @m0bi13

rysiek,
@rysiek@mstdn.social avatar

@wariat nie zgadzam się, że "obywatelowi ten RSS na grzyba".

Po pierwsze, RSS jak najbardziej może stać się popularny. I moim zdaniem się stanie, w miarę jak instytucje i organizacje zaczną ogarniać, że te grodzone ogródki to jednak problem.

Po drugie, nawet gdy dana osoba nie korzysta z RSSa sama, może korzystać z usług innych podmiotów, opartych na tych feedach RSS.

Przestańmy sami strzelać sobie w stopę takimi tekstami.

@mkljczk @mcgramat @panoptykon @andyy @avolha @icd @didleth @m0bi13

rysiek,
@rysiek@mstdn.social avatar

@panoptykon 🎉

Swoją drogą przydał by się może przewodnik dla instytucji i urzędów publicznych na temat wykorzystywania platform (zdecentralizowanych i nie) do kontaktu z obywatelkami i obywatelami. Ktoś już coś takiego musiał napisać chyba, nie?

@miklo @ftdl @didleth @icd @mcgramat @avolha @arkd @kalisz79 @m0bi13

prywatnik, (edited ) to random
@prywatnik@mastodon.social avatar

W przyszłym tygodniu mam seminarium w King's College London na wydziale studiów wojennych (War Studies). Łączę Prawa Wojny, Cyberbezpieczeństwo. I użycia technologii. Spójne rozumienie cyberwojny i zastosowań technologii podczas wojen. https://www.kcl.ac.uk/events/cyberwarfare-a-crash-course-in-theory-and-practice

Szerzej o temacie w książce Filozofia Cyberbezpieczeństwa https://prywatnik.pl/ksiazka/

rysiek,
@rysiek@mstdn.social avatar

@prywatnik o, pięknie.

Nie widzę info czy będzie streaming?

m0bi13, to random
@m0bi13@pol.social avatar

📰 "Wygrana w zakresie prywatności: Parlament UE 🇪🇺 decyduje, że Twoje prywatne wiadomości nie mogą być skanowane!

Historyczne porozumienie w sprawie propozycji kontroli czatów: PE chce usunąć kontrolę czatu i zapewnić bezpieczne szyfrowanie."

Całość [EN]:
https://tuta.com/blog/chat-control

rysiek,
@rysiek@mstdn.social avatar

@m0bi13 tak, widziałem. 🎉

Patrick Breyer, MEP z niemieckiej Partii Piratów, robi niesamowitą robotę. To w dużej mierze jego osobisty sukces.

@avolha @panoptykon @icd @kuba @miklo

didleth, to AI
@didleth@mastodon.social avatar

Jest jakieś oficjalne tłumaczenie na polski (z ang.) "Foundation models" w kontekście AI/AI Act? Funkcjonuje coś takiego jak "model fundacyjny", a może jakoś inaczej się to formalnie tłumaczy?

https://en.wikipedia.org/wiki/Foundation_models

@rysiek @panoptykon

rysiek,
@rysiek@mstdn.social avatar

@didleth "model podstawowy", chyba

@panoptykon

m0bi13, to random
@m0bi13@pol.social avatar

📰 Jak aparat bezpieczeństwa kształtuje kontrolę czatu?

"Ukrywana dotąd przez Komisję Europejską lista, którą publikujemy, pokazuje, jak przedstawiciele tajnych służb i policji angażowali się w prace nad kontrolą czatu i to już na wczesnym etapie. Dużą rolę odegrała także przypominająca start-up organizacja Thorn.

Podczas pracy nad rozporządzeniem dot. kontroli czatu Komisja Europejska współpracowała ściśle nie tylko z kontrowersyjną organizacją Thorn, ale także z przedstawiciel(k)ami Europolu, australijskiej i hiszpańskiej policji oraz brytyjskiej agencji wywiadowczej GCHQ."

Całość:
https://writefreely.pl/didleth/h1jak-aparat-bezpieczenstwa-ksztaltuje-kontrole-czatu

Dziękuję @didleth za tłumaczenie i polecam jej bloga na tutaj -> @didleth

rysiek,
@rysiek@mstdn.social avatar

@kuba pisałem też o wpływie Europolu i Thorn na kontrolę czatów w Oku:
https://oko.press/komisja-europejska-chce-kontroli-czatow

@kayo77 @m0bi13 @panoptykon @icd @miklo

Hogata, to random
@Hogata@pol.social avatar

Minusem dorosłości jest odkrycie że obiad nie robi się sam

rysiek,
@rysiek@mstdn.social avatar

@kuktacz @Hogata niestety, głód prawdy zbyt wielki.

eloquence, to random
@eloquence@social.coop avatar

The German eXit from Musk's hate platform is real and ongoing.

I'm seeing accounts for newspapers, courts, libraries, radio stations, cities, nonprofits, etc. getting shut down permanently or moved into maintenance mode. This is all very organic, e.g., the city of Cologne had a vote on withdrawal from X:

https://ratsinformation.stadt-koeln.de/getfile.asp?id=956920&type=do

I can barely keep up. Many of these accounts are now on the fediverse. The ones I've tracked so far are in the eXit spreadsheet:

https://bit.ly/eXit

rysiek,
@rysiek@mstdn.social avatar

@eloquence

> Musk has worsened abusive behavior, because abusive accounts can pay to amplify their abuse in everyone's timelines.

It is considerably worse, in fact. Ex-Twitter subscribers not only get promoted ahead of non-paid accounts, but also they get paid by ex-Twitter for any posts of theirs that get a lot of engagement.

In other words, there are strong incentives to post the worst, most emotionally triggering stuff possible, as that gets engagement, which means pay outs.

rysiek,
@rysiek@mstdn.social avatar

@eloquence so if you're a fact-checking org, you presumably don't pay for the account, spend hours researching stuff before you post, your posts are not amplified as much, and you don't get paid.

If you're a misinfo/disinfo peddler, for a few dollars/month you can churn out a lot of posts, A/B test what "bites" the most quickly, find the golden formula of the day, have your posts amplified, and actually get paid for your trouble.

It's obscene.

rysiek, to random
@rysiek@mstdn.social avatar

🤡

> Just as GitHub was founded on Git, today we are re-founded on Copilot. 🤖 See how GitHub’s AI-powered platform vision evolved into a new reality for the world’s developers, and find out everything we announced at this year’s .
https://nitter.net/github/status/1722309261680607674?s=20

For years I've been saying that using Microsoft GitHub to host code is dangerous and would backfire. :blobcatcoffee:

"But it's so convenient!" 🤣

kravietz, to random
@kravietz@agora.echelon.pl avatar

The outcry about is highly manipulative and very much resembles the infamous campaign, where a number of US-based companies unrolled a fake "grassroots protest" against an EU regulation that was hurting their business but protected rights of EU citizens. Many people have fallen for it, so I will explain what's wrong with this claim:

> Under the eIDAS regulation, each member state of the EU (as well as recognised third party countries) is able to designate Qualified Trust Service Providers (Qualified TSPs) for the distribution of Qualified Website Authentication Certificates (QWACs). Outside the EU, these TSPs and QWACs are more typically known as Certificate Authorities (CAs) and TLS Certificates, respectively. Article 45 requires browsers to recognise these certificates.

I was for ~10 years doing consulting in the EU electronic signature sector so I was a bit surprised how eIDAS could be presented as a "threat for privacy", buy here we are. The electronic signature laws have been working in EU for the last 15 years and enabled plenty of modern solutions that millions of people in EU today use.

I understand that this may sound outrageous for those of US folks who believe paper checks are the ultimate achievement of humanity in the sphere of banking and queues at DMV were prescribed in the Bible. But in EU millions of people use electronic government services, electronic banking and even another entirely sinful invention - a single government "electronic identity document". Estonia, notably, made a whole e-residence program that works brilliantly based on the eID.

All these solutions used by millions of people are powered by the qualified electronic signature, regulated by the eIDAS directive. The level of legal and technical scrutiny governing the EU qualified signature is well beyond the Web Trust industry standard used for certification of websites. The EU QCAs have been extremely strictly regulated during their operations for the last decade, and most notably there's no laws that would allow them to circumvent the regulation for nefarious purposes nor precedents where they would have done it as result of negligence or some secret government pressure. The history of WebTrust, at the same time, is full of stupid mistakes or negligence that resulted in issuance of fake certificates - and this is understandable, because the level of technical scrutiny and legal liability of WebTrust CAs is order of magnitude lower than that of QCAs.

The only purpose of the article 45 is to integrate the QCA roots into the web environment, which currently operates in a parallel reality: I trust my eID-enabled web banking much more than I trust any website protected by ACME certificates, but to use it I need series of browser and operating system add-ons, specifically because my browser doesn't recognise eID certificates by default.

rysiek,
@rysiek@mstdn.social avatar

@kravietz Edit: scratch that, you mentioned "ACTA2" not ACTA. My bad.

rysiek,
@rysiek@mstdn.social avatar

@kravietz perhaps. Just as in case of ACTA2 there was valid criticism of the Copyright Directive regardless of GAFAM campaign, there is valid criticism of certain aspects of the eIDAS directive as it currently stands.

Yes, eIDAS is needed, necessary even. But forcing browsers to add root certs and banning them from managing the risk related to that is dangerous and wrong.
https://www.eff.org/deeplinks/2023/11/article-45-will-roll-back-web-security-12-years

Root CAs can be abused, and have in the past:
https://www.f5.com/labs/articles/threat-intelligence/kazakhstan-attempts-to-mitm-itscitizens

rysiek,
@rysiek@mstdn.social avatar

@kravietz so the Kazakhstan example is informative and relevant because it was the government using root CAs as a tool of oppression.

It is a valid argument to say: "this kind of a thing can be used as a tool of oppression, and in fact it has in the past; this is a dangerous thing to put into law."

Yes, EU is a bit more democratic than Kazakhstan, but Hungary and Poland are in the EU and what good did that do for the lawfulness of state actions? Not all that much.

rysiek,
@rysiek@mstdn.social avatar

@kravietz but WebTrust is not being enforced by a government, that's the big difference.

Browsers can (and do!) remove CAs when they misbehave. DigiNotar, Kazakhstan thing, a few others.

If a root CA is mandated by the government (or an international governmental organization such as the EU), this becomes potentially… illegal.

And that's the worry. Browser will might not be allowed to react to misbehaving root CAs.

rysiek,
@rysiek@mstdn.social avatar

@kravietz okay, I see we're at name-calling, so I'll just bow out of this conversation. I regret even engaging at this point.

rysiek,
@rysiek@mstdn.social avatar

@kravietz I am reading the directive now and will have a specific answer to this at some point, as I often do with subjects important to me.

I expect to come to similar conclusions as Mozilla, the EFF, EDRi, and other orgs who've been in the digital human rights fight for years or decades. And if I don't (as I have in the past), that's also fine and I will be open about it.

But I don't feel like discussing this subject with someone who's first instinct is to call people names. Have a good day.

rysiek,
@rysiek@mstdn.social avatar

@kravietz I can do multiple things at once. Finding the current draft is not easy, as it's a moving target, a legislation that is in the works.

But this report version is instructive. The bold bits are what is proposed by the committee in question as changes to the current draft of the amended directive:
https://www.europarl.europa.eu/doceo/document/A-9-2023-0038_EN.html

In other words, it is proposed by the committee to allow browsers to react to security breaches. Which means that the current draft does not allow them to.

rysiek,
@rysiek@mstdn.social avatar

@kravietz I think that's the actual draft as it stands:
https://www.europarl.europa.eu/RegData/docs_autres_institutions/commission_europeenne/com/2021/0281/COM_COM(2021)0281_EN.pdf

It's a shitty legislative "diff" type thing so it's hard to read. But look at end of page 38 and beginning of page 39.

> Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers. (...)

There you have it, mandating the root CAs. The report amendment version I linked above attempts to fix this, but that's not yet included. That's what the whole thing is about.

nomadbynature, to random
@nomadbynature@101010.pl avatar

No cóż, trochę podkoloryzowali moje wypowiedzi...ale tak to już chyba jest? https://podroze.onet.pl/ciekawe/polka-zyje-na-peryferiach-chin-o-tym-regionie-malo-kto-wie/0018dmp

rysiek,
@rysiek@mstdn.social avatar

@nomadbynature "podkoloryzowali" znaczy przekręcili je, zmienili słowa i sens?

To słabo. Ja już się nauczyłem, zawsze proszę o możliwość autoryzacji. Media będą mediować, niestety, co nie oznacza, że to okej.

Fajny tekst!

  • All
  • Subscribed
  • Moderated
  • Favorites
  • random
  • gry
  • fediverse
  • keto
  • f1
  • fotografia
  • energetyka
  • psychology
  • sport
  • literatura
  • youtube
  • nauka
  • europa
  • pilkanozna
  • opensource
  • krotkofalarstwo
  • kuchnia
  • gayporn
  • ArmoredWomen
  • PowerRangers
  • UFC
  • UFOs
  • 3amjokes
  • charytatywne
  • ADHDwomen
  • ak
  • marvel_plus
  • Rallycross
  • All magazines