On 2013-11-13, Gotfryd Smolik news <s...@s...com.pl> wrote:

[...]

> Ale nie zmniejsza to faktu, że z Twojego postu przebijało
> przekonanie, że na "przedsiębiorcę" można nakładać tak wot
> obowiązek ponoszenia kosztów i niczemu to nie wadzi, ale
> jakby nałożyć na "obywatela" to by wadziło.

Obywatelem się jest niejako z urodzenia. Obowiązku bycia przedsiąbiorcą
nie ma. A jest wiele przypadków gdy przedsiębiorców się zmusza do ponoszenia
kosztów (chociażby wątek na sąsiedniej grupie o kontrolerach ZUS, ale też np.
koszty utrzymania związków zawodowych, "ryczałtowe" składki ZUS, niezależne
od dochodu). I mówimy tu o kosztach ponoszonych za sam fakt bycia tym przeds.
lub też bycia pracodawcą (albo dużym pracodawcą).

> Właśnie o tym pisałem: security by obscurity jest w przypadku
> masowo używanego oprogramowania niebezpieczne właśnie przez to,
> że sprawia POZORY zabezpieczenia danych!

Bo Ty zakładasz, że ktoś świadomie ignoruje fakt istnienia luki
tłumacząc to niejawnością rozwiązania. Skąd te założenie?

>> Brak też jest potwierdzenia że urząd dane oprogramowanie akceptuje,
>
> Nie ma akceptować oprogramowania.
> Ma akceptować dane.

No to ja mam inny pogląd na to. I tyle. :)

>> przetestował i że dane które otrzymał i potwierdził są rzeczywiście
>> tymi danymi które wysyłasz.
>
> Czegoś nie rozumiem.
> Aby na pewno mowa o specyfikacji bezpiecznej transmiji?

Nie. O wiarygodności dostawcy. Nie dam sobie wcisnąć nie swoich tez. :)

> Toć ludzie się wysilają, jakieś SSH itede, a tu piszesz, że owo
> security sprowadza się do faktu, że "program wie" co i jak wysłać
> i jakoby to ma dawać gwarancję zabezpieczenia!

Nie poruszam w ogóle wątku transmisji danych. I nie poruszałem.

>> ale cokolwiek spodziewałbym się utrzymania nad tym kontroli,
>
> Nad czym, sprecyzuj proszę.

Nad tym kto implementuje dane rozwiązanie.

>> Znaczy Skarb Państwa,
> Nie, dawno nie czytałeś art.40 KC :D

Jak zwał, tak zwał. ZUS sam tych pieniędzy nie wyczaruje. :)

> Wyżej zasugerowałeś, że można dane puszczać bez ochrony i umożliwić
> podsłuch.

Nie. *NIE ZAJMUJĘ SIĘ* danymi. W ogóle. Nie dyskutuję tu o nich w ogóle.
Jedyne o czym dyskutuję to konieczność uwiarygodnienia dostawcy.

--
Wojciech Bańcer
p...@p...pl

do góry

Czepiacie się pierdół.
Nikt nie zmusza do używania do ich programu.
Co innego ze złodziejskim procederem PKN.

do góry

On Wed, 13 Nov 2013, Wojciech Bancer wrote:

> On 2013-11-13, Gotfryd Smolik news <s...@s...com.pl> wrote:
>
> [...]
>
> Obywatelem się jest niejako z urodzenia. Obowiązku bycia przedsiąbiorcą
> nie ma.

No dobra, odpuszczam.

>> Właśnie o tym pisałem: security by obscurity jest w przypadku
>> masowo używanego oprogramowania niebezpieczne właśnie przez to,
>> że sprawia POZORY zabezpieczenia danych!
>
> Bo Ty zakładasz, że ktoś świadomie ignoruje fakt istnienia luki
> tłumacząc to niejawnością rozwiązania. Skąd te założenie?

A gdzie tam.
Piszę, że niejawność nie daje nic.
Ściślej, daje niewiele w przypadku mało rozpowszechnionych rozwiązań.

>> Nie ma akceptować oprogramowania.
>> Ma akceptować dane.
>
> No to ja mam inny pogląd na to. I tyle. :)

To podpisujemu protokół rozbieżności :)

Żeby jasność była - nie mam nic przeciwko temu, aby urząd dawał
"certyfikat" na takie oprogramowanie. Nieobowiązkowy.

>> Czegoś nie rozumiem.
>> Aby na pewno mowa o specyfikacji bezpiecznej transmiji?
>
> Nie. O wiarygodności dostawcy. Nie dam sobie wcisnąć nie swoich tez. :)

No to tę wiarygodność musi ZAWSZE ocenić ten kto korzysta.
Inaczej zwalnia się go z odpowiedzialności.
"culpa caret..." czy jak to tam idzie.

pzdr, Gotfryd

do góry

On 2013-11-14, Gotfryd Smolik news <s...@s...com.pl> wrote:

[...]

>> Bo Ty zakładasz, że ktoś świadomie ignoruje fakt istnienia luki
>> tłumacząc to niejawnością rozwiązania. Skąd te założenie?
>
> A gdzie tam.
> Piszę, że niejawność nie daje nic.
> Ściślej, daje niewiele w przypadku mało rozpowszechnionych rozwiązań.

Jeśli to nic nie daje, to po co była ta cała szopka z ujawnieniem spec? :)
W kwesti bezpieczeństwa masz rację, ale ja nie o tym. Ja o kwesti
kontrolowania podmiotów mających "dostęp do". Tylko i wyłącznie.

> Żeby jasność była - nie mam nic przeciwko temu, aby urząd dawał
> "certyfikat" na takie oprogramowanie. Nieobowiązkowy.

Sprzeciw. IMHO powinno być jak z Apple. Chcesz spec? Ok, ale tu podpisz
z nami umowę, a my zastrzegamy sobie prawo do weryfikacji tego co uzyskuje
dostęp do systemu. I wtedy wszystkie aplikacje nie posiadające właściwych
certikacji powinny z miejsca być traktowane jako podejrzane.

> No to tę wiarygodność musi ZAWSZE ocenić ten kto korzysta.
> Inaczej zwalnia się go z odpowiedzialności.
> "culpa caret..." czy jak to tam idzie.

Ale chodzi o to by dać mu narzędzia ułatwiające/umożliwiające
weryfikację.

Jak się łączysz z bankiem to takim narzędziem jest chociażby
certyfikat SSL w którym zapisane są dane podmiotu (i nie jest
to tani certyfikat za 100 zł). A w przypadku aplikacji
dedykowanych co masz? Ładny opis na stronie www? :)

--
Wojciech Bańcer
p...@p...pl

do góry

W dniu 2013-11-15 10:53, Wojciech Bancer pisze:
> On 2013-11-14, Gotfryd Smolik news<s...@s...com.pl> wrote:
>> Żeby jasność była - nie mam nic przeciwko temu, aby urząd dawał
>> "certyfikat" na takie oprogramowanie. Nieobowiązkowy.
>
> Sprzeciw. IMHO powinno być jak z Apple. Chcesz spec? Ok, ale tu podpisz
> z nami umowę, a my zastrzegamy sobie prawo do weryfikacji tego co uzyskuje
> dostęp do systemu. I wtedy wszystkie aplikacje nie posiadające właściwych
> certikacji powinny z miejsca być traktowane jako podejrzane.

Gdyby była to prywatna firma, to ok, jeśli jednak jest to publiczne, to
raczej trochę inaczej - jest specyfikacja, ale przed dostępem do
oficjalnego serwera trzeba uzyskać certyfikacje (może być odpłatna) na
program. W przypadku braku certyfikacji oczywiście - muszą być podane
zarzuty, samo "bo tak" nie wystarcza.


>
>> No to tę wiarygodność musi ZAWSZE ocenić ten kto korzysta.
>> Inaczej zwalnia się go z odpowiedzialności.
>> "culpa caret..." czy jak to tam idzie.
>
> Ale chodzi o to by dać mu narzędzia ułatwiające/umożliwiające
> weryfikację.
>
> Jak się łączysz z bankiem to takim narzędziem jest chociażby
> certyfikat SSL w którym zapisane są dane podmiotu (i nie jest
> to tani certyfikat za 100 zł). A w przypadku aplikacji
> dedykowanych co masz? Ładny opis na stronie www? :)

Ale zaraz zaraz, ten certyfikat jest po stronie instytucji do której się
łączysz, a nie programu z którego się łączysz....



--
Kaczus
http://kaczus.republika.pl

do góry

On 2013-11-15, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:

[...]

>> Jak się łączysz z bankiem to takim narzędziem jest chociażby
>> certyfikat SSL w którym zapisane są dane podmiotu (i nie jest
>> to tani certyfikat za 100 zł). A w przypadku aplikacji
>> dedykowanych co masz? Ładny opis na stronie www? :)
>
> Ale zaraz zaraz, ten certyfikat jest po stronie instytucji do której się
> łączysz, a nie programu z którego się łączysz....

A jaki to ma związek z przedmiotem dyskusji? Wskazuję że istnieje
metoda weryfikacji.

NB. te "duże" przeglądarki też są podpisane, przynajmniej pod Windows.
Możesz zweryfikować, że program pochodzi od Mozilla Corporation, a nie
od XiaoSoftware.

Podobnież metodę weryfikacji oferują aplikacje desktopowe AIR.

--
Wojciech Bańcer
p...@p...pl

do góry

Dnia Mon, 11 Nov 2013 09:06:09 +0100, Wojciech Bancer napisał(a):

>>>>> udział rynkowy w OS Microsoftu to zasługa stosowania
>>>> go w urzędach
>>>> Naprawdę ja cos takiego napisałem? Gdzie?!
>>> To po co piszesz o wpływach finansowych na rachunek potentata?
>> Bo nie instytucje publiczne powinny dbać o te wpływy.
> W tym wypadku instytucje (a raczej wykonawcy oprogramowania)
> po prostu postępowali racjonalnie.
Nie przeczę, z tą racjonalnością. Jednak nie złapał ich nikt za rękę

>>> na nich ciąży pewna odpowiedzialność za prawidłowe ich przetworzenie.
>> Hmmm, o *danych* mówisz? To co sądzisz o wymogu: pliki tekstowe z programu
>> MS Notepad?
> Wymóg napisany dla osoby nie zajmującej się informatyką.
> Całkiem sensownie napisany, przy założeniu że 98% osób ma Windows.
A potrafisz odróżnić plik tekstowy na podstawie źródła - w sensie programu,
w ktorym powstał?

>>> Na szkodę tych wszystkich dookoła.
>> Jaką szkodę ponieśliśmy gdy ZUS został zmuszony do ujawnienia specyfikacji
>> PE? A Ty jaką szkodę poniosłeś gdy ujawniono specyfikację KDU?
> Na dzień dobry - koszty opracowania publicznej dokumentacji
A czymże różni się publiczna dokumentacja od tecnicznej?
BTW Specyfikację KDU dołączano do Płatnika razem z plikami pomocy, od razu.

> i koszty procesów sądowych o to by 1% poczuł się dowartościowany.
Nie znam przypadku procesowania się akurat o tę specyfikację.
Jeśli masz na mysli tzw. PE to koszty powstały z powodu *odmowy* jej
udostępnienia.
Podobne koszty powstały gdy pewien UGminy odmowił udostępnienia jakiejś
opinii branej ppod uwagę przy uchwalaniu Studium uwarunkowań...
Urząd przegrała oczywiści i nakazano mu upublicznić tę opinię. Koszty
obsługi prawnej UG ponieśli podatnicy.

>>> I nie. Nie zgadzam się, że powinno się dać możliwość implementacji standardu
>>> każdemu komu się chce. Tak samo nie pozwoliłbym sobie na przelew ekspresowy
>>> wykonany z usługi innej niż strony mojego banku, szyfrowanej i zabezpieczonej
>>> wiarygodnym certyfikatem.
>> jakiś urząd żąda od ciebie abyś korzystał z usług tego właśnie banku?
> Zupełnie nie zrozumiałeś analogii, zdarza się.
Bo są lepsze i zupełnie nie przystające analogie.
Ty mowisz o jakichś pośrednikach, ja o niezależności stosowanych przez
organy publiczne rozwiązań w *kontaktach* z obywatelem od rozwiązań
konkretnej firmy.

>>> Spójrzmy prawdzie w oczy: linuks/osx, czy inne niszowe systemy i rozwiązania
>>> to jest czyjaś fenaberia, zazwyczaj poparta głęboką ideologią,
>> Wybacz, gdyż tracąc powoli cierpliwość mam ochotę napisać rzeczowo: chyba u
>> Twej starej.
> Jak nie umiesz dyskutować merytorycznie, to nie dyskutuj.
Starciłem cierpliwość, ileż razy można tłumaczyć że to nie problem jakiegoś
systemu operacyjnego!

> Twoja reakcja dowodzi że po części mam rację. Jak ktoś wybiera rozwiązanie
> bazując na ideologii, to zazwyczaj strasznie się napina jak inni to krytykują. :)
Ja się napinam gdy ktoś mi wmawia dziecko w brzuch.

>>>> program raptularzotwórczy mojego kumpla. Oczywiście specyfikacji Ci nie zdradzi.
Zamierza za to kase brać.
>>> Pewnie. Jeśli zarobię na tym, to nie mam żadnego problemu z tym, żeby ktoś
>>> po drodze również zarobił. Kalkulacja jest prosta: przychód - koszt = wynik.
>> A ile zarabiasz na wyslaniu deklaracji /dowolnej/ do US/ZUS?
> Średnio jakieś 25-50 zł
Aha, ktoś Ci płaci za przesyłanie tych dokumentów?
Ja niestety nie mam żadnego zysku z faktu wysyłania deklaracji podatkowych.
Zapytałame Gł.Ks. w firmie gdzie najemnie pracuję, ile zarabiamy na
wysyłaniu tych wszystkich ZMARU do ZUS, PFRONACH itd. - chyba pytanie nie
zostało zrozumiane. ;)
EOT

--
pozdro
poreba

do góry

On 2013-11-16, poreba <d...@p...pl> wrote:

[...]

>> po prostu postępowali racjonalnie.
> Nie przeczę, z tą racjonalnością. Jednak nie złapał ich nikt za rękę

Więc dopóki ich nikt nie złapał, to należy zdroworozsądkowo przypuszczać,
że postępują racjonalnie.

>> Wymóg napisany dla osoby nie zajmującej się informatyką.
>> Całkiem sensownie napisany, przy założeniu że 98% osób ma Windows.
> A potrafisz odróżnić plik tekstowy na podstawie źródła - w sensie programu,
> w ktorym powstał?

Porafię odróżnić plik tekstowy zakodowany w CP-1250, albo w UTF-8 (w dwóch
wariantach - z BOM i bez BOM). Zagadka dla Ciebie - jakim z tych wymienionych
formatów posługuje się MS Notepad (domyślnie), a jakim Twój Ulubiony Program?

[...]

>> Zupełnie nie zrozumiałeś analogii, zdarza się.
> Bo są lepsze i zupełnie nie przystające analogie.
> Ty mowisz o jakichś pośrednikach, ja o niezależności stosowanych przez
> organy publiczne rozwiązań w *kontaktach* z obywatelem od rozwiązań
> konkretnej firmy.

Cały rynek (desktopy, zastosowania biurowe) jest zależny od rozwiązań tej
konkretnej firmy. O co Ty więc płaczesz?

>>> Twej starej.
>> Jak nie umiesz dyskutować merytorycznie, to nie dyskutuj.
> Starciłem cierpliwość, ileż razy można tłumaczyć że to nie problem jakiegoś
> systemu operacyjnego!

Może po prostu nie wiesz czego chcesz?

[...]

>> Średnio jakieś 25-50 zł
> Aha, ktoś Ci płaci za przesyłanie tych dokumentów?

Nie. Umiem wycenić swój czas i potrafię porównać ile trwa wysyłka i przygotowanie
materiałów pocztą, a ile w sposób elektroniczny. I jak szybko się zwraca wydatek
z tym związany. Księgowa pewnie też umie Ci takie rzeczy ocenić, tylko pewnie
zadałeś niewłaściwe pytanie.

--
Wojciech Bańcer
p...@p...pl

do góry

Użytkownik "Wojciech Bancer" <p...@p...pl>

>
> [...]
>
>>> W tym wypadku instytucje (a raczej wykonawcy oprogramowania)
>>> po prostu postępowali racjonalnie.
>>
>> W kategoriach wyboru systemu operacyjengo, racjonanie to byłoby w javie.
>
> Nie ma takiego systemu, to po pierwsze.

Serio ? A ja myślałem, że to to system operacyjny i spotkałem misia co mówi,
że nie. Dzięki o misiu...

> Po drugie java jest skrajnie nieprzyjazna, zabugowana i mocno zasobożerna.

Java jest wieloplatoformowa i świetnie nadaje się do pisania oprogramowania
działającego pod różnymi systemami operacyjnymi.

>
>>> Na dzień dobry - koszty opracowania publicznej dokumentacji i koszty
>>> procesów sądowych o to by 1% poczuł się dowartościowany.
>>
>> To bez dokumentacji to pisali ? I jak to się stało, że bez nich udało się
>> taką dokumentację stworzyć ?
>
> Nie zrozumiałeś słowa "publicznej"?

Chyba Ty

do góry

Użytkownik "Wojciech Bancer" <p...@p...pl>

> [...]
>
>> Przypominam że włączyłem się do dyskusji kiedy stwierdziłeś że (w dużym
>> uproszczeniu)otwartość protokołu powodowałaby że dane byłyby podatne na
>> wyciekanie.
>
> Nosz mać. NIGDZIE tak nie twierdziłem!
>
> Od początku twierdzę i twierdziłem że wiarygodność *dostawców*
> oprogramowania
> szczególnie *tak kluczowego* (w sensie danych) powinna być pod kontrolą.

Czyją ? Producent ma mieć kontrolę nad swoją wiarygodnością ? To to nie jest
kontrola tylko monopol.

do góry