On Tue, 12 Nov 2013, Wojciech Bancer wrote:

> On 2013-11-11, Gotfryd Smolik news <s...@s...com.pl> wrote:
>
> [...]
>> Ja się przyzwyczaiłem, że przedsiębiorca to nie obywatel,
>
> To jakim obywatelem jest wg Ciebie sp. z o.o.? :)

Złożonym ;)

> Nie ma prostego wynikania. :)

Nie ma.
Ale nie zmniejsza to faktu, że z Twojego postu przebijało
przekonanie, że na "przedsiębiorcę" można nakładać tak wot
obowiązek ponoszenia kosztów i niczemu to nie wadzi, ale
jakby nałożyć na "obywatela" to by wadziło.

>> Przeczytałem dalsze posty - z p. widzenia PUBLICZNEGO interfejsu
>> nie ma sensu tworzyć niepublicznej specyfikacji, bo "security
>> by obscurity" nie bez powodu ma kiepską prasę, działa tylko
>> od biedy na *małą* skalę, nie w czymś dostępnym publicznie.
>
> Nie chodzi o kwestię security w sensie błędów w ablikacji, tylko o kwestię
> zaufania do autora aplikacji. Dane jakie latają w takim płatniku pozwalają
> na autoryzację "się" w dowolnym chyba banku telefonicznie i przejście
> procedury "odzyskania konta", tudzież na wymyślenie bardziej wymyślnych
> metod zaszkodzenia komuś.

Ale przecież ewentualny problem leży dalej - czy one są jakoś
zabezpieczone podczas owego "latania".
Właśnie o tym pisałem: security by obscurity jest w przypadku
masowo używanego oprogramowania niebezpieczne właśnie przez to,
że sprawia POZORY zabezpieczenia danych!

> Brak też jest potwierdzenia że urząd dane oprogramowanie akceptuje,

Nie ma akceptować oprogramowania.
Ma akceptować dane.

> przetestował i że dane które otrzymał i potwierdził są rzeczywiście
> tymi danymi które wysyłasz.

Czegoś nie rozumiem.
Aby na pewno mowa o specyfikacji bezpiecznej transmiji?
Toć ludzie się wysilają, jakieś SSH itede, a tu piszesz, że owo
security sprowadza się do faktu, że "program wie" co i jak wysłać
i jakoby to ma dawać gwarancję zabezpieczenia!

> Można to oczywiście rozwiązać inaczej niż "pełnym zamknięciem",

Jakim zamknięciem?
OTWARCIEM specyfikacji!

> ale cokolwiek spodziewałbym się utrzymania nad tym kontroli,

Nad czym, sprecyzuj proszę.

>> A tak BTW, wydawało mi się, że koszty płaci przegrywający.
>
> Znaczy Skarb Państwa,

Nie, dawno nie czytałeś art.40 KC :D

> czyli my? :)

A to pewnie tak.
Dlatego wzmiankowałem o prezesach ;)

>>> A szkody powstałe np. z działalności nieautoryzowanego oprogramowania
>>> trudno oszacować. Nie wszystko musi być łatwo policzalne od razu,
>>
>> Jak system (jakikolwiek) ma działać stabilnie, to dane wejściowe
>> wypada zweryfikować.
>
> Ja nie o tym, jak wyżej. :)

Wyżej zasugerowałeś, że można dane puszczać bez ochrony i umożliwić
podsłuch.
A o ile pamiętam, np. nad "Płatnikiem" dyskusje nie sprowadzały się
do faktu że transmisje są niechronione, a przeciwnie, do rozważań czy
aby autorzy nie naruszyli praw autorskich, "zamykając" w aplikacji
kod wolny służący do skutecznego szyfrowania.

pzdr, Gotfryd