Zadnje dvije stvari koje sam radio jer mi je dojadilo da čekam da ih netko drugi napravi su odjeknule neočekivano jako, na različite načine: post o problemima u FINA-inoj implementaciji CA i o pravilniku o ostvarivanju prava na pristup informacijama. Ovo je followup o tome što se događalo u zadnja 24 sata.

{height="200px"}

FINA

U vrlo kratko vrijeme nakon što sam objavio blog post o pokazateljima nesposobnosti i nekompetentnosti u IT-u FINA-e sam dobio kontakt iz Indeksa da bi htjeli prenijeti njegov sadržaj, vrlo korektno, na što sam pristao. Nije baš vijest vrijedna naslovnice ali izgleda da je bila dosta primjećena, sudeći po komentarima kolega i prijatelja. Među ostalim, rezultirala je u tome da sam jutros ekspresno dobio traženi certifikat mailom - što je sasvim ok jer je to demo certifikat i nema sigurnosnih implikacija (odnosno, ne bi ih trebao imati). Napisao sam update na gornji blog post:

Demo certifikati nisu tehnički ni sigurnosno zahtjevni i nema praktičnog razloga zašto se ne bi mogli izdavati i anonimno, bilo kome tko ga zatraži, bez autorizacije (jer su demo, ne koriste se u produkciji). Ako netko želi napraviti svoj CA (hint hint za FINA-u: i vi to možete raditi za demo CA), sve što treba je instalirati tinyca ili nešto slično i štancati certifikate u neograničenim količinama klikanjem po prozoru. Da li trebam napraviti tutorial na hrvatskom kako napraviti svoj CA na Raspberry Pi-u?*

Htio bi malo pričati o motivaciji za taj post. Naime, to što sam nakon što je stvar eskalirala u medije dobio traženi certifikat je možda i najgore od svega (ok, da, damned if you do, damned if you don't, i sretan sam što sam ga dobio). Nešto kao demo certifikat je toliko trivijalna stvar da ne bi smjelo biti ikakvih problema s njegovim izdavanjem, niti bi postupak trebao biti zamotan u birokraciju. Ovako, ispada da je tek nakon što je došlo do novina netko dobio "inicijativu" da odradi taj poslić.

Sasvim sam svjestan da povremeno burno reagiram i da je pažnja koju je ovaj problem dobio nesrazmjerna njegovoj važnosti, ali - što onda napraviti kad se dogodi nešto što je zapravo važno? Ako imam problema s produkcijskim certifikatom? Da li ću, srazmjerno toj važnosti, trebati pozvati vijeće UN-a da mi da potporu?

Ja bi zapravo volio da FINA dobro funkcionira, samo postojanje PKI-a je dobra stvar, samo kad bi još bila dobro izvedena. Konkretno u ovom slučaju, to bi obavezno moralo uključivati da korisnici sami generiraju svoje privatne ključeve i šalju zahtjev za certifikatom. Nije nimalo teško napraviti desktop aplikaciju koja će to raditi na strani korisnika, ili upute za neki alat u Windowsima.

Pravilnik o pravu na pristup informiranju

Ovo je srećom ljepša priča. Ne radi se o nekom važnom državnom problemu, nego o redovnom, običnom javnom savjetovanju o prijedlogu novog pravilnika o ustroju, sadržaju i načinu vođenja službenog upisnika o ostvarivanju prava na pristup informacijama i ponovnu uporabu informacija. Sasvim slučajno na poslu sam u doticaju s ovom temom pa znam o čemu se radi: evidenciji postavljenih zahtjeva za pristup informacijama na koje građani imaju pravo. Kako to obično bude, i u takvoj inicijativi ima rupa, ali barem ide u dobrom smjeru.

Napisao sam prijedloge poboljšanja pravilnika i distribuirao po Facebooku, s pozivom da ću ljude koji "lajkaju" potpisati da su stali iza tih prijedloga. Isprva je "lajkanje" bilo sporo, no ugodno me iznenadilo da se do sada skupilo 66 ljudi koji su zainteresirani da se takva poboljšanja implementiraju. Ove pozive nisam stavio na slučajna mjesta, ovo nije "slučajni uzorak populacije" nego ljudi za koje sam prilično siguran da razumiju probleme i znaju da su prijedlozi dobri. Vjerujem da je ovo 65 kvalificiranih ljudi (na bilo koji način) koji su ovim putem, praktički samo preko Facebooka, napravili dobru i konkretnu stvar.

(Drugi problem je što bi ove spomenute građane bilo praktički nemoguće motivirati da naprave nešto izvan Facebooka, ali za sada ovo što smo napravili je dovoljno dobro).

Konkretan dokument koji ide u Min. Uprave kao odgovor na poziv na savjetovanje je ovdje. Hvala svima!

#HŽ #Twitter #fail

Nevezano uz sve ovo, jednostavno moram linkati na veliku količinu trolanja koju je dobio HŽ sa izmišljanjem novog slogana. Naime, skupiti ideje za slogan preko društvenih mreža je odlična ideja - osim ako imate vrlo nezadovoljne korisnike (khm, khm, FINA).