W dniu 12.11.2013 14:09, Wojciech Bancer pisze:
> On 2013-11-12, m <m...@g...com> wrote:
>
> [...]
>
>>> Poddaję w wątpliwość nie istotę otwartości protokołu, tylko brak
>>> możliwości stwierdzenia_wiarygodności_ dostawcy danego rozwiązania
>>> i brak kontroli nad tymże. W przypadku płatnika za jego wiarygodność
>>> odpowiada urząd który z firmą umowę podpisał.
>>
>> Ale co ma wiarygodności urzędu bądź Prokomu do bezpieczeństwa danych
>> które latają?
>>
>> Jeżeli protokół jest kiepski, np. nie jest szyfrowany, to urząd choćby
>> nie wiem jak był wiarygodny - nie ustrzeże mnie przed wykradnięciem
>> moich danych.
>
> Ok. To ja (albo jakaś bliżej mi znana, a Tobie nieznana) napiszę apkę
> która będzie listować i robić przelewy z konta Twojego banku. Rozumiem
> nie będziesz miał *żadnych* problemów z używaniem takiej aplikacji,
> bo przecież protokół z jakim będzie się program łączyć będzie szyfrowany
> (https), czy tak?

Nie napisałem nigdzie że szyfrowanie zastąpi wiarygodność stron, tylko
że wiarygodność stron nie pomoże kiedy szyfrowania brak.

Przypominam że włączyłem się do dyskusji kiedy stwierdziłeś że (w dużym
uproszczeniu)otwartość protokołu powodowałaby że dane byłyby podatne na
wyciekanie.

p. m.

do góry

W dniu 2013-11-12 15:25, Wojciech Bancer pisze:
> On 2013-11-12, Tomasz Kaczanowski<kaczus@dowyciecia_poczta.onet.pl> wrote:
>
> [...]
>
>>> Ok. To ja (albo jakaś bliżej mi znana, a Tobie nieznana) napiszę apkę
>>> która będzie listować i robić przelewy z konta Twojego banku. Rozumiem
>>> nie będziesz miał *żadnych* problemów z używaniem takiej aplikacji,
>>> bo przecież protokół z jakim będzie się program łączyć będzie szyfrowany
>>> (https), czy tak?
>>
>> Ale przecież ma takie appki - dowolne przeglądarki http wystarczą do
>> tego aby połączyć się do większości banków, zazwyczaj wymaganiem jest
>> połączenie szyfrowane.
>
> Nie tego dotyczył mój opis. Proszę przeczytaj ze zrozumieniem
> co napisałem.
>

Podpowiedz zatem, bo ja widzę, co napisałeś, appka dzięki której można
robić przelewy z konta bankowego na znanym protokole. No to ci podałem
przykład - dowolna przeglądarka stron www. Jest taka aplikacją - no
chyba, że Ty rozumiesz to jakoś inaczej? To proszę podaj, a nie baw się
w kotka i myszkę.

--
Kaczus
http://kaczus.ppa.pl

do góry

On 2013-11-12, m <m...@g...com> wrote:

[...]

> Przypominam że włączyłem się do dyskusji kiedy stwierdziłeś że (w dużym
> uproszczeniu)otwartość protokołu powodowałaby że dane byłyby podatne na
> wyciekanie.

Nosz mać. NIGDZIE tak nie twierdziłem!

Od początku twierdzę i twierdziłem że wiarygodność *dostawców* oprogramowania
szczególnie *tak kluczowego* (w sensie danych) powinna być pod kontrolą.
Ani słowem się nt. protokołu nie zająknąłem, więc proszę mi teraz nie kazać
bronić nie moich tez.

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-11-12, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:

[...]

>>>> Ok. To ja (albo jakaś bliżej mi znana, a Tobie nieznana) napiszę apkę
>>>> która będzie listować i robić przelewy z konta Twojego banku. Rozumiem
>>>> nie będziesz miał *żadnych* problemów z używaniem takiej aplikacji,
>>>> bo przecież protokół z jakim będzie się program łączyć będzie szyfrowany
>>>> (https), czy tak?
>>>
>>> Ale przecież ma takie appki - dowolne przeglądarki http wystarczą do
>>> tego aby połączyć się do większości banków, zazwyczaj wymaganiem jest
>>> połączenie szyfrowane.
>>
>> Nie tego dotyczył mój opis. Proszę przeczytaj ze zrozumieniem
>> co napisałem.
>
> Podpowiedz zatem, bo ja widzę, co napisałeś, appka dzięki której można
> robić przelewy z konta bankowego na znanym protokole.

Nie "jakaś". Moja, albo napisana przez kogoś mi znanego, a Tobie nie.

> No to ci podałem przykład - dowolna przeglądarka stron www.
> Jest taka aplikacją - no chyba, że Ty rozumiesz to jakoś inaczej?
> To proszę podaj, a nie baw się w kotka i myszkę.

Skorzystałbyś z mojej, czy nie? Skup się: piszę o wiarygodności dostawcy
oprogramowania. IE/FF/Chrome jakąś tam wiarygodność mają, stoją za nimi
duże firmy. Skorzystasz z przeglądarki dedykowanej XiaoXioto napisanej
przez chińskiego hakera? Załóżmy że robi to ładniej. Załóżmy że pozwala
coś-tam zautomatyzować. Załóżmy pierdyliard innych rzeczy.

Meritum stanowi wiarygodność dostawcy przy wrażliwych informachach,
a Ty się skupiasz na protokole wymiany danych.

--
Wojciech Bańcer
p...@p...pl

do góry

W dniu 2013-11-12 16:00, Wojciech Bancer pisze:
> On 2013-11-12, Tomasz Kaczanowski<kaczus@dowyciecia_poczta.onet.pl> wrote:
>
> [...]
>
>>>>> Ok. To ja (albo jakaś bliżej mi znana, a Tobie nieznana) napiszę apkę
>>>>> która będzie listować i robić przelewy z konta Twojego banku. Rozumiem
>>>>> nie będziesz miał *żadnych* problemów z używaniem takiej aplikacji,
>>>>> bo przecież protokół z jakim będzie się program łączyć będzie szyfrowany
>>>>> (https), czy tak?
>>>>
>>>> Ale przecież ma takie appki - dowolne przeglądarki http wystarczą do
>>>> tego aby połączyć się do większości banków, zazwyczaj wymaganiem jest
>>>> połączenie szyfrowane.
>>>
>>> Nie tego dotyczył mój opis. Proszę przeczytaj ze zrozumieniem
>>> co napisałem.
>>
>> Podpowiedz zatem, bo ja widzę, co napisałeś, appka dzięki której można
>> robić przelewy z konta bankowego na znanym protokole.
>
> Nie "jakaś". Moja, albo napisana przez kogoś mi znanego, a Tobie nie.
>
>> No to ci podałem przykład - dowolna przeglądarka stron www.
>> Jest taka aplikacją - no chyba, że Ty rozumiesz to jakoś inaczej?
>> To proszę podaj, a nie baw się w kotka i myszkę.
>
> Skorzystałbyś z mojej, czy nie? Skup się: piszę o wiarygodności dostawcy
> oprogramowania. IE/FF/Chrome jakąś tam wiarygodność mają, stoją za nimi
> duże firmy. Skorzystasz z przeglądarki dedykowanej XiaoXioto napisanej
> przez chińskiego hakera?

Nie - ale korzystałem ze sputnika, obecnie korzystam z Odyssey Web
Browser i uważam, że jest bezpieczniej niźli korzystanie z IE....
(Pomijam fakt, że w dawnych czasach z bankiem się łączyłem za pomocą
IBrowse'a, Voyagera, Aweba)


> Załóżmy że robi to ładniej. Załóżmy że pozwala
> coś-tam zautomatyzować. Załóżmy pierdyliard innych rzeczy.
>
> Meritum stanowi wiarygodność dostawcy przy wrażliwych informachach,
> a Ty się skupiasz na protokole wymiany danych.
>

Mając protokół, mogę choćby zlecić zaufanemu dostawcy oprogramowania
napisanie takiegoż.
--
Kaczus
http://kaczus.ppa.pl

do góry

On Tue, 12 Nov 2013, Wojciech Bancer wrote:

> On 2013-11-11, Gotfryd Smolik news <s...@s...com.pl> wrote:
>
> [...]
>> Ja się przyzwyczaiłem, że przedsiębiorca to nie obywatel,
>
> To jakim obywatelem jest wg Ciebie sp. z o.o.? :)

Złożonym ;)

> Nie ma prostego wynikania. :)

Nie ma.
Ale nie zmniejsza to faktu, że z Twojego postu przebijało
przekonanie, że na "przedsiębiorcę" można nakładać tak wot
obowiązek ponoszenia kosztów i niczemu to nie wadzi, ale
jakby nałożyć na "obywatela" to by wadziło.

>> Przeczytałem dalsze posty - z p. widzenia PUBLICZNEGO interfejsu
>> nie ma sensu tworzyć niepublicznej specyfikacji, bo "security
>> by obscurity" nie bez powodu ma kiepską prasę, działa tylko
>> od biedy na *małą* skalę, nie w czymś dostępnym publicznie.
>
> Nie chodzi o kwestię security w sensie błędów w ablikacji, tylko o kwestię
> zaufania do autora aplikacji. Dane jakie latają w takim płatniku pozwalają
> na autoryzację "się" w dowolnym chyba banku telefonicznie i przejście
> procedury "odzyskania konta", tudzież na wymyślenie bardziej wymyślnych
> metod zaszkodzenia komuś.

Ale przecież ewentualny problem leży dalej - czy one są jakoś
zabezpieczone podczas owego "latania".
Właśnie o tym pisałem: security by obscurity jest w przypadku
masowo używanego oprogramowania niebezpieczne właśnie przez to,
że sprawia POZORY zabezpieczenia danych!

> Brak też jest potwierdzenia że urząd dane oprogramowanie akceptuje,

Nie ma akceptować oprogramowania.
Ma akceptować dane.

> przetestował i że dane które otrzymał i potwierdził są rzeczywiście
> tymi danymi które wysyłasz.

Czegoś nie rozumiem.
Aby na pewno mowa o specyfikacji bezpiecznej transmiji?
Toć ludzie się wysilają, jakieś SSH itede, a tu piszesz, że owo
security sprowadza się do faktu, że "program wie" co i jak wysłać
i jakoby to ma dawać gwarancję zabezpieczenia!

> Można to oczywiście rozwiązać inaczej niż "pełnym zamknięciem",

Jakim zamknięciem?
OTWARCIEM specyfikacji!

> ale cokolwiek spodziewałbym się utrzymania nad tym kontroli,

Nad czym, sprecyzuj proszę.

>> A tak BTW, wydawało mi się, że koszty płaci przegrywający.
>
> Znaczy Skarb Państwa,

Nie, dawno nie czytałeś art.40 KC :D

> czyli my? :)

A to pewnie tak.
Dlatego wzmiankowałem o prezesach ;)

>>> A szkody powstałe np. z działalności nieautoryzowanego oprogramowania
>>> trudno oszacować. Nie wszystko musi być łatwo policzalne od razu,
>>
>> Jak system (jakikolwiek) ma działać stabilnie, to dane wejściowe
>> wypada zweryfikować.
>
> Ja nie o tym, jak wyżej. :)

Wyżej zasugerowałeś, że można dane puszczać bez ochrony i umożliwić
podsłuch.
A o ile pamiętam, np. nad "Płatnikiem" dyskusje nie sprowadzały się
do faktu że transmisje są niechronione, a przeciwnie, do rozważań czy
aby autorzy nie naruszyli praw autorskich, "zamykając" w aplikacji
kod wolny służący do skutecznego szyfrowania.

pzdr, Gotfryd

do góry

On Tue, 12 Nov 2013, Wojciech Bancer wrote:

> On 2013-11-12, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:
>
> [...]
>
>> Ale przecież ma takie appki - dowolne przeglądarki http wystarczą do
>> tego aby połączyć się do większości banków, zazwyczaj wymaganiem jest
>> połączenie szyfrowane.
>
> Nie tego dotyczył mój opis. Proszę przeczytaj ze zrozumieniem
> co napisałem.

Ale tego właśnie dotyczył.
Gdzieś niedawno widziałem jak ktoś pisał, że używał bardzo różnych
egzotycznych przeglądarek.
I właśnie to czyni się na własne ryzyko - bo oczywiście możesz wierzyć,
że dany wydawca oprogramowania nie wszyje w niego "pułapki".
Użyjesz przeglądarki firmy "krzak", masz jakieś szanse, że krzak
wszył haczyk na banki, co dokładnie wypełnia opis Tomasza.
Użyjesz przeglądarki firmy "gigant", masz większe szanse, że komuś
chciało się szukać błędów, które poskutkują dorwaniem się do
transmisji. Na deser może się okazać, że dziura była celowa,
bo jakiś urząd federalny chciał mieć "zapasowe wejście" na wszelki
wypadek i ktoś je znalazł.
I nie zapewnisz "kontroli" nad Płatnikiem uniemożliwiającej
szukania w nim błędów :>

To, czy Twój program ukradnie Ci Twoje własne dane zależy
wyłącznie od tego programu - czyli odpowiedzi na pytanie
skąd Ty go weźmiesz i czy go ktoś shackował.

pzdr, Gotfryd

do góry

On Tue, 12 Nov 2013, Wojciech Bancer wrote:

> On 2013-11-12, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:
>
> [...]
>
>> Podpowiedz zatem, bo ja widzę, co napisałeś, appka dzięki której można
>> robić przelewy z konta bankowego na znanym protokole.
>
> Nie "jakaś". Moja, albo napisana przez kogoś mi znanego, a Tobie nie.


No i to jest clou programu.

[...]
> Skorzystałbyś z mojej, czy nie? Skup się: piszę o wiarygodności dostawcy
> oprogramowania.

I tyle.
Zakładasz, że użytkownika zabezpieczysz przed "błędnym wyborem"?
Optymista.

> IE/FF/Chrome jakąś tam wiarygodność mają, stoją za nimi
> duże firmy.
> Skorzystasz z przeglądarki dedykowanej XiaoXioto napisanej
> przez chińskiego hakera?

No to dlaczego zakładasz, że użytkownik systemu obsługi danych
skorzysta z takiego programu?

pzdr, Gotfryd

do góry

On 2013-11-13, Gotfryd Smolik news <s...@s...com.pl> wrote:

[...]

>> Skorzystałbyś z mojej, czy nie? Skup się: piszę o wiarygodności dostawcy
>> oprogramowania.
>
> I tyle.
> Zakładasz, że użytkownika zabezpieczysz przed "błędnym wyborem"?
> Optymista.

Co nie znaczy, że nie należy próbować.

>> Skorzystasz z przeglądarki dedykowanej XiaoXioto napisanej
>> przez chińskiego hakera?
>
> No to dlaczego zakładasz, że użytkownik systemu obsługi danych
> skorzysta z takiego programu?

Ja nie zakładam pewników, tylko mówię o zmniejszaniu ryzyka.

--
Wojciech Bańcer
p...@p...pl

do góry

On 2013-11-13, Gotfryd Smolik news <s...@s...com.pl> wrote:

[...]

> I właśnie to czyni się na własne ryzyko - bo oczywiście możesz wierzyć,
> że dany wydawca oprogramowania nie wszyje w niego "pułapki".

Na własne ryzyko to może czynić coś osoba świadoma zagrożeń.

> To, czy Twój program ukradnie Ci Twoje własne dane zależy
> wyłącznie od tego programu - czyli odpowiedzi na pytanie
> skąd Ty go weźmiesz i czy go ktoś shackował.

I dużo trudniej (czyli mniejsze ryzyko) jest w przypadku gdy możemy
zweryfikować źródło i dostawcę.

--
Wojciech Bańcer
p...@p...pl

do góry