On 2013-11-14, Gotfryd Smolik news <s...@s...com.pl> wrote:

[...]

>> Bo Ty zakładasz, że ktoś świadomie ignoruje fakt istnienia luki
>> tłumacząc to niejawnością rozwiązania. Skąd te założenie?
>
> A gdzie tam.
> Piszę, że niejawność nie daje nic.
> Ściślej, daje niewiele w przypadku mało rozpowszechnionych rozwiązań.

Jeśli to nic nie daje, to po co była ta cała szopka z ujawnieniem spec? :)
W kwesti bezpieczeństwa masz rację, ale ja nie o tym. Ja o kwesti
kontrolowania podmiotów mających "dostęp do". Tylko i wyłącznie.

> Żeby jasność była - nie mam nic przeciwko temu, aby urząd dawał
> "certyfikat" na takie oprogramowanie. Nieobowiązkowy.

Sprzeciw. IMHO powinno być jak z Apple. Chcesz spec? Ok, ale tu podpisz
z nami umowę, a my zastrzegamy sobie prawo do weryfikacji tego co uzyskuje
dostęp do systemu. I wtedy wszystkie aplikacje nie posiadające właściwych
certikacji powinny z miejsca być traktowane jako podejrzane.

> No to tę wiarygodność musi ZAWSZE ocenić ten kto korzysta.
> Inaczej zwalnia się go z odpowiedzialności.
> "culpa caret..." czy jak to tam idzie.

Ale chodzi o to by dać mu narzędzia ułatwiające/umożliwiające
weryfikację.

Jak się łączysz z bankiem to takim narzędziem jest chociażby
certyfikat SSL w którym zapisane są dane podmiotu (i nie jest
to tani certyfikat za 100 zł). A w przypadku aplikacji
dedykowanych co masz? Ładny opis na stronie www? :)

--
Wojciech Bańcer
p...@p...pl