Mastodawn

Aug 3, 2023

It turns out that Swisspost¹ uses Akamai to "protect" its login system called SwissID² and they redirect to

hxxps://login.swissid.ch/idp/oauth2/authorize?scope=openid+email+phone+profile&response_type=code&redirect_uri=https%3A%2F%2Faccount.post.ch%2Fredirect%2Fid-confirmation&state=vX7TlNn7IhybofD70YM0_gLsWLzv2r3tSHFubjqvF6o&nonce=z_8pbla4cMqwQABW-Z1l5btJMHOSjZBjvMbnfIEpMII&client_id=klp-client&ui_locales=it &acr_values=loa-1&prompt=login

and this login.swissid.ch lives behind Akamai.

It so happens that the IP I use to connect is also a Tor _relay_ (not an exit node) and Akamai offers the possibility of blocking "all of Tor" (i.e. exits _and_ relays) as "bad people". Of course if you know anything about Tor you also know that relays are not exits and no traffic ever leaves a relay to "the Internet" but, "sekurity theatre" being what it is, they block it anyway.

Several years ago (2013 or so?) Apple used Akamai (they still do) and support.apple.com blocked Tor relays too but, on the , I contacted Akamai's CSO out of desperation (aka "csoandy") who very kindly looked into it and fixed it! (I assume by educating Apple, or so I hope).

Well, unfortunately Andy has left Akamai and now I cannot have someone "give the talk" to the Swiss Post.

Oh, if you happen to use SwissSign PKI solutions you have the same demented problem.

#SwissPost #SwissSign #SwissID #Tor #Akamai
__
¹ https://posta.ch/ (in Italian…)
² https://swissid.ch/

Website

La Posta

Digitale Gesellschaft (CH)Mar 1, 2021

«Sollte die elektronische ID (#eID) bei der Abstimmung am Sonntag durchkommen, dann dürfte #SwissSign die Anbieterin werden. Doch die jüngere Geschichte der Firma wirft Fragen auf.» (@adfichter und @nohillside im @RepublikMagazin)

https://www.republik.ch/2021/03/01/leere-versprechen-ein-vergraetzter-partner-und-ein-riskanter-kurs

Leere Versprechen, ein vergrätzter Partner – und ein riskanter Kurs

Sollte die elektronische ID bei der Abstimmung am Sonntag durchkommen, dann dürfte Swiss Sign die Anbieterin werden. Unsere Recherche zur Firma.

Sandro Covo Feb 10, 2021

Ziemlich naives Argument. Urkundenfälschung und Veruntreuung sind auch verboten, trotzdem steht der Ex-Raiffeisen Chef deshalb vor Gericht. (Raiffeisen ist übrigens bei #SwissSign dabei...) Das Gesetz verhindert den Missbrauch der Daten nicht.

Digitale Gesellschaft (CH)Feb 9, 2021

Aufgrund der gewählten Interoperabilität im #eID-Gesetz, «werden Sie Ihr Surfverhalten nicht vor dem Platzhirsch, der #SwissSign-Gruppe, verbergen können.» (@adfichter im @RepublikMagazin)

https://www.republik.ch/2021/02/09/das-maerchen-vom-e-id-wettbewerb

Das Märchen vom E-ID-Wettbewerb

Auswahl für Bürgerinnen? Wettbewerb um die beste Lösung für eine elektronische Identität? Bisher unveröffentlichte Dokumente zeigen: So was wird es nicht geben.

Sandro Covo Feb 1, 2021

Bei #SwissSign muss ein "starkes" Passwort aus mindestens 9 Zeichen bestehen, es dürfen aber alles Zahlen sein....
@e_id_referendum @digiges_ch
---
RT @ginsig
Wie lange braucht ein Computer um dein Passwort zu knacken? Solltest du noch keinen Passwortmanager wie @1Password installiert haben, so wird es langsam aber sicher Zeit. - Grafik Quelle: Netzmedien mit Daten von Hive Systems #CyberSecurity
https://twitter.com/ginsig/status/1356258910114615296

Christian Ginsig on Twitter

“Wie lange braucht ein Computer um dein Passwort zu knacken? Solltest du noch keinen Passwortmanager wie @1Password installiert haben, so wird es langsam aber sicher Zeit. - Grafik Quelle: Netzmedien mit Daten von Hive Systems #CyberSecurity”

Twitter

Digitale Gesellschaft [BOT]Jan 23, 2019

Bundesrat will elektronische Ausweisdokumente privatisieren https://www.digitale-gesellschaft.ch/2019/01/23/bundesrat-will-elektronische-ausweisdokumente-privatisieren-private-staatliche-identifikation/ #Infrastruktur #Ausweisgesetz #Biometrie #Bundesrat #SwissSign #E-ID

Bundesrat will elektronische Ausweisdokumente privatisieren - Digitale Gesellschaft

Die Digitalisierung schreitet voran. Der Bedarf nach einer benutzbaren und vertrauenswürdige elektronische Identität (wie auch Unterschrift) wächst. Eine E-ID muss jedoch den Bürgerinnen und Bürger dienen. Das Recht auf Privatsphäre – gerade im Internet – muss gestärkt und darf nicht weiter ausgehöhlt werden. Der Vorschlag des Bundes nach privaten staatlichen E-IDs schiesst daher am Ziel vorbei: Diese hoheitliche Aufgabe ist vom Bund selber an die Hand zu nehmen.