#moda | g0v.tw | slack archive

isabelhou 16:08:39

中區跟高雄國稅局還在用 reurl 短網址，是不是代表數位部推廣的不夠 <https://news.ltn.com.tw/news/life/breakingnews/4287639> 中區 <https://cofacts.tw/article/2kth74pyffg6h> 高雄 <https://cofacts.tw/article/34htff0lvai0u>

isabelhou 16:08:39

中區跟高雄國稅局還在用 reurl 短網址，是不是代表數位部推廣的不夠 <https://news.ltn.com.tw/news/life/breakingnews/4287639> 中區 <https://cofacts.tw/article/2kth74pyffg6h> 高雄 <https://cofacts.tw/article/34htff0lvai0u>

👀 7

kiang 19:34:52

是的， PDIS 維運，我也成為新的成員之一

chewei 02:32:32

上面那個測試用的 polis，之所以顯示不出意見分佈圖，是因為填答人數不足嗎？

xxxCnnn 19:40:58

@zxc6216210 has joined the channel

jiahe 20:04:15

@jiahe.lin has joined the channel

pham 09:31:32

請問大家，「公部門、國營企業使用未加密的方式傳輸電子郵件」這件事應該向哪個單位通報才可以有效解決?

日前我回報到 TWCERT，雖然回覆中有提供我案件編號和後續回覆，但解決方式只有「我們已反應給相關單位進行評估」，並未確實掌握執行進度。直至今日，我回報的單位仍然沒有改進。

Screenshot_2023-05-18-09-29-48_1920x1080.png

pichuchen 2023-05-23 11:33:05

如果該單位有通過27001的話，27001其中一項控制項是針對資訊傳送的，例如應該使用TLS, HTTPS 就是在這邊做的，如果沒有的話他們應該要有補強性措施，例如附件檔案加密

https://ithelp.ithome.com.tw/m/articles/10279228?sc=iThelpR

pham 2023-06-05 19:56:48

@pichuchen 謝謝回覆，不好意思我到今天才看到。相關訊息我有回報到資安署了，不過回答不太讓我我滿意：

https://twitter.com/typebrook/status/1665542923986034688

pichuchen 2023-06-09 01:09:24

信件TLS 的問題之前在 TWNIC 的活動有被討論到，主要是mail relay大多是自動化進行，所以如果今天兩個mail server , 在發現目標伺服器憑證有問題時，信件是要繼續送還是不繼續送？

如果接受端要求加密傳送端無法配合，那接受端要收還是不收？

不過其實這答案不難回答就是了，如果今天健保署網站憑證過期，或是電子發票大平台憑證過期，肯定是暫停使用，如果繼續使用的話那該同仁反而是破口。

👀 2

pham 09:38:08

我會想通報，是因為許多單位滿足以下條件：
1. 未使用加密方式傳輸附件，包含帳單、機敏資訊
2. 信件中提到收件人姓名（或部分姓名）
3. 附件預設使用身份證字號解鎖
考量到身份證+姓名等個資可能早已被健保署洩漏，我認為不積極處理的話會有大問題：
https://news.ltn.com.tw/news/politics/paper/1561851

pham 09:38:08

我會想通報，是因為許多單位滿足以下條件：
1. 未使用加密方式傳輸附件，包含帳單、機敏資訊
2. 信件中提到收件人姓名（或部分姓名）
3. 附件雖然有加密，但預設使用身份證字號當密碼
考量到身份證+姓名等個資可能早已被健保署洩漏，我認為不積極處理的話會有大問題：
https://news.ltn.com.tw/news/politics/paper/1561851

自由時報電子報

資安A級機關驚傳內鬼健保署官員涉洩查個資13年 - 政治 - 自由時報電子報

前主秘等3人被控濫用職權偷查衛生福利部中央健康保險署被行政院列為資通安全責任等級「Ａ級機關」，卻驚傳有「內鬼」洩查民眾個資！已退休的健保署前主任秘書葉逢明、在職的承保組科長謝玉蓮、承保組職員李仁輝等三人，被控濫用職權偷查民眾健保個資；台北地檢署昨指揮調查局新北市調查處兵分五路，搜索健保署及三被告住處，依最高可處三年有期徒刑之刑法洩漏或交付國防以外機密等罪偵辦。

😯 1

pichuchen 11:33:05

如果該單位有通過27001的話，27001其中一項控制項是針對資訊傳送的，例如應該使用TLS, HTTPS 就是在這邊做的，如果沒有的話他們應該要有補強性措施，例如附件檔案加密

https://ithelp.ithome.com.tw/m/articles/10279228?sc=iThelpR

pichuchen 13:22:31

https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh

資通安全研究院提供的下載連結是 rar 檔，我們應該有很多比 rar 好的選擇吧？

seadog007 2023-05-25 13:46:30

這個應該cc @kiang?

kiang 2023-05-25 15:42:27

網站有在討論改版，不過使用習慣就真的需要溝通了 XD

pichuchen 2023-05-25 15:43:14

我會建議 zip, 因為 mac 內建沒有 rar

Jedi 2023-05-28 11:00:12

略作分享：我自己大約二十多年前開始轉為使用 RAR 為主，除了壓縮率考量，主要原因是它有個「修復記錄」選項，多花一點容量讓壓縮檔可以在一定程度的毀損（例如因傳輸或儲存期間）情況下仍然能完整還原，多年來也被這個功能拯救了幾次。當然是否值得就很難說。

目前如果遇到不適合 RAR 的情景，我會拿 Par2 出來搭配。

pichuchen 2023-05-28 23:50:21

有個東西要釐清一下，我不是指應該要禁止使用rar 的意思，如果有較佳的方式本來就可以以optional 的方式實驗性提供，rar 在加密上也比zip 還要有效。

但是資安院的角色是半公部門，所以可還是得考慮關於通用性的部分。

seadog007 2023-05-30 06:13:10

@pichuchen 現在zip跟rar都可以同規AES
加密上沒有差有效

pham 2023-06-05 19:59:37

同意應該要用比較通用的壓縮方法，我今天也發現到有這個現象

3

pichuchen 13:22:31

https://www.nics.nat.gov.tw/CommonSpecification.htm?lang=zh

資通安全研究院提供的下載連結是 rar 檔，我們應該有很多比 rar 好的選擇吧？

seadog007 2023-05-25 13:46:30

這個應該cc @kiang?

kiang 2023-05-25 15:42:27

網站有在討論改版，不過使用習慣就真的需要溝通了 XD

pichuchen 2023-05-25 15:43:14

我會建議 zip, 因為 mac 內建沒有 rar

Jedi 2023-05-28 11:00:12

略作分享：我自己大約二十多年前開始轉為使用 RAR 為主，除了壓縮率考量，主要原因是它有個「修復記錄」選項，多花一點容量讓壓縮檔可以在一定程度的毀損（例如因傳輸或儲存期間）情況下仍然能完整還原，多年來也被這個功能拯救了幾次。當然是否值得就很難說。

目前如果遇到不適合 RAR 的情景，我會拿 Par2 出來搭配。

pichuchen 2023-05-28 23:50:21

有個東西要釐清一下，我不是指應該要禁止使用rar 的意思，如果有較佳的方式本來就可以以optional 的方式實驗性提供，rar 在加密上也比zip 還要有效。

但是資安院的角色是半公部門，所以可還是得考慮關於通用性的部分。

seadog007 2023-05-30 06:13:10

@pichuchen 現在zip跟rar都可以同規AES
加密上沒有差有效

pham 2023-06-05 19:59:37

同意應該要用比較通用的壓縮方法，我今天也發現到有這個現象

seadog007 13:46:30

這個應該cc @kiang?

kiang 15:42:27

網站有在討論改版，不過使用習慣就真的需要溝通了 XD

pichuchen 15:43:14

我會建議 zip, 因為 mac 內建沒有 rar

Jedi 11:00:12

略作分享：我自己大約二十多年前開始轉為使用 RAR 為主，除了壓縮率考量，主要原因是它有個「修復記錄」選項，多花一點容量讓壓縮檔可以在一定程度的毀損（例如因傳輸或儲存期間）情況下仍然能完整還原，多年來也被這個功能拯救了幾次。當然是否值得就很難說。

目前如果遇到不適合 RAR 的情景，我會拿 Par2 出來搭配。

pichuchen 23:50:21

有個東西要釐清一下，我不是指應該要禁止使用rar 的意思，如果有較佳的方式本來就可以以optional 的方式實驗性提供，rar 在加密上也比zip 還要有效。

但是資安院的角色是半公部門，所以可還是得考慮關於通用性的部分。

seadog007 06:13:10

@pichuchen 現在zip跟rar都可以同規AES
加密上沒有差有效

YC (Yichun) 21:15:24

我剛想用google帳號登入政府資料開放平台
但一直失敗耶...
是只有我這樣嗎?

ronnywang 2023-05-30 21:18:12

我可以登入沒問題

YC (Yichun) 2023-05-30 21:20:09

補充一個有點好笑的狀況(?)
我一直登入失敗，想用「線上客服」回報，但是線上客服頁面要登入會員才能使用...

YC (Yichun) 2023-06-06 20:40:49

後來寫信去數位發展部，終於解決了～🎉
原來是因為我的google帳號在設定姓名的欄位，沒有填姓氏，政府資料開放平台系統抓不到姓，所以就一直登入失敗。

YC (Yichun) 21:15:24

我剛想用google帳號登入政府資料開放平台
但一直失敗耶...
是只有我這樣嗎?

ronnywang 2023-05-30 21:18:12

我可以登入沒問題

YC (Yichun) 2023-05-30 21:20:09

補充一個有點好笑的狀況(?)
我一直登入失敗，想用「線上客服」回報，但是線上客服頁面要登入會員才能使用...

YC (Yichun) 2023-06-06 20:40:49

後來寫信去數位發展部，終於解決了～🎉
原來是因為我的google帳號在設定姓名的欄位，沒有填姓氏，政府資料開放平台系統抓不到姓，所以就一直登入失敗。

ronnywang 21:18:12

我可以登入沒問題

YC (Yichun) 21:20:09

補充一個有點好笑的狀況(?)
我一直登入失敗，想用「線上客服」回報，但是線上客服頁面要登入會員才能使用...

horacecc 07:19:33

@horacecc has joined the channel

moda

Month: 2023-05

2023-05-02

2023-05-04

2023-05-05

2023-05-08

2023-05-18

Screenshot_2023-05-18-09-29-48_1920x1080.png

2023-05-23

2023-05-25

2023-05-28

2023-05-30

2023-05-31