Macikasutaja mured esteid softiga

[pezz]

Tervist.

Kirjutan jorumisi kirja uue softiga seotud hädad. Ühelt poolt kasutan
igapäevaselt Maci ja suppordin Tartu Ülikooli macikasutajate hädasid
ID-kaardi kasutamisel. Teiseltpoolt seadistan TÜ kesksetele
infosüsteemidele ID-kaardiga autentimist, nii et saan uurida jampsisid
mõlemast otsast. Disclaimer: mul on läppari sees paari aasta jooksul
igasugu ID-softi olnud, nii et ma pole sugugi kindel, et mingi vana
sodi segadusi ei tekita.

1) FF 3.6.11+OSX 10.6.4: Palun eestikeelset tõlget eestikeelsele
teatele:) Autentides suvalises saidis ID-kaardiga antakse teade
"Palun autendi turvamärk. Autentimise meetod oleneb sinu turvamärgist.
Turvamärk: minu nimi (PIN1)". Ühtegi auku, kuhu PIN1 sisestada saaks,
ei teki ja ka PIN-i sisestamine ilma auguta midagi paremaks ei tee:
http://pezz.tkwcy.ee/turvamark.png

2) Safari 5.0.2+OSX10.6.4+uus esteid soft.

2.1) autentides ID-kaardiga viskub ette nimekiri, milles reas kahe
asemel KOLM serti: autentimisserti on topelt, mõlemad kõlbavad.
Iluviga, aga kasutamist otseselt ei sega.

2.2) On üks Oracle SSO (IAS 10.1.2.3) kaadervärk, millel on konfitud
nii, et vaikimisi püüab kasutajat ID-kaardi abil autentida ja kui seda
ei leia, siis kukub SSLVerifyClient optional abil kasutajatunnuse/
parooli abil autentimisse. Eks see optional halb ole nii süsteemile
kui kasutajale, aga selle üle praegu ei vaidleks. Vana softiga, siis
kui see Safariga vahepeal arvas taas töötada, töötas mõistlikult. Nüüd
aga pärast uue softi installi on olukord selline, et kui Macil id-
lugeja küljes ja kaart sees, siis tehakse autentimine kenasti ära ja
kõik töötab. Kui aga lugejat või kaarti ei paista, siis annab Safari
kiirelt teate

"The error is: “The server “sso.ut.ee” did not accept the
certificate.” (NSURLErrorDomain:-1205) Please choose Safari > Report
Bugs to Apple, note the error number, and describe what you did before
you saw this message."

ja edasi selle brauseriga ei saagi. Oraakli apats kirjutab samal ajal
logisse

"[Mon Nov 1 12:18:38 2010] [error] mod_ossl: Invalid X509 certificate
chain [Hint: the client probably doesn't provide a valid client
certificate]"

Märkust niipalju, et selline lugu tekkis umbes kuu jagu tagasi, kui
tirisin esteid lehelt värskema beeta. Enne seda umbes kaks-kolm kuud
varasema beetaga töötas viisakalt (kuramuse kahju, et installikat
alles pole). Firefoxiga toimub optionali fallback kenasti.


Ehk siis kokkuvõttes 3 häda: ma ei oska Firefoxile PIN-i sisestada,
Safari näitab autentimisel esimest serti kahekordselt ja Safari ei tee
Oracle SSO-sse autentimisel SSLVerifyClient optionali puhul fallbacki.

[Antti Andreimann]

Ühel kenal päeval, E, 2010-11-01 kell 03:34, kirjutas pezz:

> Ehk siis kokkuvõttes 3 häda: ma ei oska Firefoxile PIN-i sisestada,
> Safari näitab autentimisel esimest serti kahekordselt ja Safari ei tee
> Oracle SSO-sse autentimisel SSLVerifyClient optionali puhul
> fallbacki.

Esimest kahte muret ma hetkel ajapuudusel ei kommenteeriks, aga selle
Oracle häda kohta on mul üks idee. OSX 10.5-s on vaja "optional" sait ja
sert kokku siduda, muidu ei piinata kasutajat PIN1 aknaga.
10.6-l pole seda väidetavalt enam vaja. Seega proovi keychain-ist selle
oracle serveri ja id-kaardi omavaheline paaritus maha võtta ja vaata mis
siis saab.

http://support.apple.com/kb/HT1679

Samas loe kindlasti ka seda juttu ja peksa oma veebiarendajaid, et see
"fallback" pandaks teise keti (loe: IP) otsa.
http://code.google.com/p/esteid/wiki/VeebisAutentimine

--
Antti Andreimann - Security Expert
Using Linux since 1993
Member of ELUG since 29.01.2000

[Kalev Lember]

On 11/01/2010 12:34 PM, pezz wrote:
> 1) FF 3.6.11+OSX 10.6.4: Palun eestikeelset t�lget eestikeelsele

> teatele:) Autentides suvalises saidis ID-kaardiga antakse teade

> "Palun autendi turvam�rk. Autentimise meetod oleneb sinu turvam�rgist.
> Turvam�rk: minu nimi (PIN1)". �htegi auku, kuhu PIN1 sisestada saaks,

> ei teki ja ka PIN-i sisestamine ilma auguta midagi paremaks ei tee:
> http://pezz.tkwcy.ee/turvamark.png

See on Firefoxi dialoog, mis tuleb pinpadiga kaardilugeja korral.

Tavalise lugeja korral tuleb PIN sisestada k�igepealt arvutis olevale
programmile, mis siis selle omakorda lugejale edastab. Pinpadi lugeja
puhul aga ei l�he pin kood lugejast v�ljapoole, ning seet�ttu pole ka
vaja PIN sisestamise "auku" dialoogiaknas.

Sander on Firefoxi ametlik t�lkija; kui keegi oskab selle �sna kohmaka
teksti kuidagi paremaks kohendada, siis peaks olema v�imalik see ka
�mber vahetada.

--
Kalev

[Sander Lepik]

01.11.2010 21:08, Kalev Lember kirjutas:

On 11/01/2010 12:34 PM, pezz wrote:

1) FF 3.6.11+OSX 10.6.4: Palun eestikeelset tõlget eestikeelsele

teatele:) Autentides  suvalises saidis ID-kaardiga antakse teade

"Palun autendi turvamärk. Autentimise meetod oleneb sinu turvamärgist.

Turvamärk: minu nimi (PIN1)". Ühtegi auku, kuhu PIN1 sisestada saaks,

ei teki ja ka PIN-i sisestamine ilma auguta midagi paremaks ei tee:
http://pezz.tkwcy.ee/turvamark.png

See on Firefoxi dialoog, mis tuleb pinpadiga kaardilugeja korral.

Tavalise lugeja korral tuleb PIN sisestada kõigepealt arvutis olevale

programmile, mis siis selle omakorda lugejale edastab. Pinpadi lugeja

puhul aga ei lähe pin kood lugejast väljapoole, ning seetõttu pole ka

vaja PIN sisestamise "auku" dialoogiaknas.

Sander on Firefoxi ametlik tõlkija; kui keegi oskab selle üsna kohmaka
teksti kuidagi paremaks kohendada, siis peaks olema võimalik see ka
ümber vahetada.

http://hg.mozilla.org/releases/l10n-mozilla-1.9.2/et/rev/49d1b9f14a24

--
Sander

[Antti Andreimann]

Ühel kenal päeval, E, 2010-11-01 kell 03:34, kirjutas pezz:

> Turvamärk: minu nimi (PIN1)". Ühtegi auku, kuhu PIN1 sisestada saaks,
> ei teki ja ka PIN-i sisestamine ilma auguta midagi paremaks ei tee:
> http://pezz.tkwcy.ee/turvamark.png

Ahjaa, see oli see HP klaviatuuri teema, et kui HP klaverit kasutada
kaardilugejana, siis tuleb PIN sealt sisestada.
See HP klaver on üks hea praktiline, aga samas segadusseajav seade
tegelikult.

PinPAD on üldse suht keeruline asi, et tegelikult oleks vaja ilusat
veebis kasutamise juhendit. Kas võtad kasutajajuhise täiendamise enda
peale? Mingi algus on osade "ekraanilaskude" näol tehtud.

http://code.google.com/p/esteid/wiki/UsingInWebHelp

[Antti Andreimann]

Ühel kenal päeval, E, 2010-11-01 kell 03:34, kirjutas pezz:

> 2.1) autentides ID-kaardiga viskub ette nimekiri, milles reas kahe
> asemel KOLM serti: autentimisserti on topelt, mõlemad kõlbavad.
> Iluviga, aga kasutamist otseselt ei sega.

Hmm, kas teised Maci kasutajad oskavad kommenteerida? On see kõigil?

[Freultwah]

> Hmm, kas teised Maci kasutajad oskavad kommenteerida? On see kõigil?

Omnikey 1021, sellist viga ei ole. Esmakordsel sisselogimisel Safariga
näidatakse autentimis- ja allkirjastamisserti, järgmistel kordadel
küsitakse ainult PIN-i. Chrome näitab ainult autentimisserti ning seda
igal sisenemisel.

Raivo

[pezz]

On 1 nov, 23:31, Antti Andreimann <ant...@gmail.com> wrote:
> Ühel kenal päeval, E, 2010-11-01 kell 03:34, kirjutas pezz:
>
> > 2.1) autentides ID-kaardiga viskub ette nimekiri, milles reas kahe
> > asemel KOLM serti: autentimisserti on topelt, mõlemad kõlbavad.
> > Iluviga, aga kasutamist otseselt ei sega.
>
> Hmm, kas teised Maci kasutajad oskavad kommenteerida? On see kõigil?

Pean tunnistama, et mitu korda ka enne ei restartinud, oli sama kamm,
aga kohe pärast murekanalile #esteid ronimist kadus antud probleem
võluväel ja pole enam tagasi tulnud. Kui peaks tulema, siis uurin
uuesti. HP klaveri südamesoovidest suutsin ka aru saada, nii et praegu
on jäänud ainult kolmas probleem Safari tõrksusega.

[pezz]

On 3 nov, 09:34, pezz <peeter.rus...@gmail.com> wrote:
>
> Pean tunnistama, et mitu korda ka enne ei restartinud, oli sama kamm,
> aga kohe pärast murekanalile #esteid ronimist kadus antud probleem
> võluväel ja pole enam tagasi tulnud. Kui peaks tulema, siis uurin
> uuesti. HP klaveri südamesoovidest suutsin ka aru saada, nii et praegu
> on jäänud ainult kolmas probleem Safari tõrksusega.

Tundub, et leidsin üles ka viimase jamade põhjuse: palju riismeid
erinevatest vanadest softidest. Uurima hakkasin seepärast, et Anttixi
lekkimisleht näitas mulle ilusat infot, kuidas ka plugina sättungeid
ei keeranud.

Selgus, et sellised jubinad vedelesid mu brauseritel küljes:

esteid 1.1.0.3189 - Estonian ID-card plugin
/Library/Internet Plug-Ins/esteid.plugin

ID-card signing plugin 1.0.3, Ideelabor 2008 for Estonian ID-card
/Library/Internet Plug-Ins/npidcard.plugin

Laiendused:
Estonian ID Card 1.1.0.3189
/Library/Application Support/Mozilla/Extensions{3550f703-
e582-4d05-9a08-453d09bdfdc6}
/Library/Application Support/Mozilla/Extensions{ec8030f7-
c20a-464f-9b0e-13a3a9e97384}

Eemaldasin ID moodi nimega pluginaid jalaiendusi (mis neil vahet on?)
kuni brauseri käivitamisel ID-lugeja tuleke enam vilkuma ei läinud,
uus install ja, ülla-ülla, kõik hakkas loogikapäraselt tööle,
kaasaarvatud Safari käitumine optsionaalse fallbacki puhul. Seega
tasub ulmelise käitumise puhul Firefoxi lisade dialoog (Safaril vist
samasugust pole) kriitiliselt üle vaadata ja ju tuleks ka installerile
põhjalikumalt vana sodi eemaldamist õpetada.