Σίγουρα πρέπει να βρεθούν τρόποι και ασφάλεια να έχουμε και ευκολία.
Αν γίνανε crawl έγγραφα απο το site του gov αυτό είναι λάθος, δεν θα έπρεπε να μπορεί να γίνει κάτι τέτοιο.
Αλλά το να λέμε το ότι είναι πρόβλημα το ότι εγώ σου δίνω το 22ψηφιο μαζί με την αίτηση το ότι εσύ μετά θα το βάλεις και θα δεις την αίτηση οτι είναι Legit είναι κάπως.
Προσωπικά τώρα τελευταία δεν μου έχει χρειαστεί οικογενειακή κατάσταση κάπου, κάνει αναφορά ο φίλος gfc πιο πάνω οτι αν πας με τον κωδικό σου δίνει και το ΑΦΜ.
Αυτός που θα του δώσεις την οικογενειακή κατάσταση κατά 99% έχει το ΑΦΜ σου καθώς μέσα στα δικαιολογητικά που ζητάει είναι και το εκκαθαριστικό.
ΥΓ Βαλάντιος (για το Βασίλειος, χωρίς να βάζω στην εξίσωση το πόσοι βασιλείος υπάρχουν, σίγουρα λιγότεροι απο ιωαννης )
Εμφάνιση 106-120 από 127
-
25-05-21, 19:31 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #106
-
26-05-21, 12:56 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #107
Τα πράγμα είναι λίγο πιο απλό και το να μιλάνε για τρύπια συστήματα είναι το πιο εύκολο και ταυτόχρονα και λίγο αφελές για όσους έχουν ελάχιστες γνώσεις πληροφορικής.
Οποιοδήποτε έγγραφο χρειάζεται επιβεβαίωση είναι αυτόνοητο ότι κάπως πρέπει να είναι προσβάσιμο από τρίτους. Όσοι λέτε για υποχρεωτικό authentication με taxis νομίζετε ότι έχουν όλοι λογαριασμό; Ή και να έχουν ξέρουν πως θα το χειριστούν; Πως θα ελέγξει ένας ξένος υπάλληλος στα σύνορα το πιστοποιητικό εμβολιασμού; Ή ένα ξένο πανεπιστήμιο ένα ελληνικό πτυχίο; Τα παραδείγματα είναι πολλά και τυχαία. Βέβαια και το υποχρεωτικό login δε θα απέτρεπε κανέναν τυχαίο χρήστη με γνώση του URL να κάνει login και να δει το έγγραφο.
Ο "κωδικός" του κάθε εγγράφου είναι επαρκώς τυχαίος και φυσικά δεν έγινε κανένα crawling ούτε υπάρχει περίπτωση κάποιος να το μαντέψει τυχαία. Για να γίνει crawl, κάπου πρέπει να υπάρχουν διαθέσιμα τα URLs των εγγράφων. Άρα πως έγιναν διαθέσιμα; Επειδή κάποιος τα πόσταρε κάπου ή επειδή κάποιος "αναζήτησε" το URL στη google. Οπότε έγιναν index. To μέγα ατόπημα της ΓΓΠΣ είναι ότι δεν απαγορεύουν στα bots των μηχανών το indexing για τα συγκεκριμένα URLs. Δηλαδή ακόμα και να επισκεφθεί το URL ένα bot της google υπάρχει "οδηγία" (ένα attribute ειναι) να μην γίνει index.
-
26-05-21, 17:51 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #108
Αυτά δεν είναι ασφαλή. Όσο για τον υποχρεωτικό λογαριασμό taxis, ναι έχουν όλοι και να είναι υποχρεωτικό να κάνουν login. Θα μπορούσε να γίνει a-la google, δηλαδή να υπάρχουν 'δημόσια' εγγραφα προσβάσιμα με όλους και έγγραφα τα οποία θα είναι προσβάσιμα μόνο μέσω μίας λίστας συγκεκριμένων ΑΦΜ/κατηγοριών.
-
26-05-21, 18:17 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #109
Δε νομίζω να υπάρχει Έλληνας πολίτης που να μη διαθέτει κάτι από αυτά:
Ναι, για τους εκτός Ελλάδας πολίτες είναι όντως θέμα, αλλά θεωρώ ότι το gov.gr απευθύνεται στους Έλληνες σε πρώτη φάση. Αν θέλουμε να προχωρήσει το κράτος ψηφιακά, θα πρέπει κι εμείς να προσαρμοστούμε.
Στη χειρότερη, μπορεί κάποιος να νομίζει ότι δεν έχει taxisnet λογαριασμό, αλλά στην πραγματικότητα να το έχει ο λογιστής του (άλλη τεράστια π@π@ριά αυτή).
-
27-05-21, 09:17 Απάντηση: Re: Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #110
Feel free to attack the post. Do not feel free to attack the poster.
"If someone said to me that you can have three wishes, my first would have been to get into racing, my second to be in Formula 1, my third to drive for Ferrari" - Gilles Villeneuve
-
27-05-21, 19:20 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #111
Η ΕΠΕ το τραβάει, και καλά κάνει, ωραίες και εξυπηρετικότατες όλες οι e-υπηρεσίες αλλά σίγουρα επιδέχονται βελτίωσης.
https://www.itsecuritypro.gr/syneche...n-elladas-epe/
-
28-05-21, 00:06 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #112
- Εγγραφή
- 26-01-2006
- Περιοχή
- Zauberberg
- Ηλικία
- 47
- Μηνύματα
- 22.262
- Downloads
- 13
- Uploads
- 0
- Άρθρα
- 13
- Ταχύτητα
- 51200/5120
- ISP
- HOL
- DSLAM
- H.O.L. - ΑΜΠΕΛΟΚΗΠΩΝ
- Router
- ZTE ZXHN H168N
- SNR / Attn
- 25(dB) / 7(dB)
- Path Level
- Interleaved
Ας δούμε λίγο το συμπαθητικό γεγονός μίας χαριτωμένης ψηφιακής γραφειοκρατίας:
Η Ένωση Πληροφορικών Ελλάδος,η οποία στην πραγματικότητα εκπροσωπείται από εκπαιδευτικούς της πληροφορικής (δλδ εξαιρετικούς δασκάλους που όμως δεν έχουν γνώση παραγωγικών συστημάτων, ούτε σύγχρονων γλωσσών, ούτε ασφαλώς επαφή με service design) προτείνει να μπει Login μπροστά από το validation.
Γιατί;
Ας δούμε το έγχαρτο έγγραφο: πας σε μία υπηρεσία, στο εκτυπώνουν, το σφραγίζουν, το υπογράφουν, το πρωτοκολλούν, στο παραδίδουν. Έχει τεράστια πλάκα που αυτη την διαδικασία, στην σύγχρονη εποχή, το θεωρούμε φυσιολογικό. Στην πράξη είναι μία πολλαπλώς παραβιάσιμη σύμβαση: κάθε σφραγίδα και υπογραφή μπορεί να πλαστογραφεί πανεύκολα, ενώ η επιβεβαίωση της αυθεντικότητας του μπορεί να γίνει μόνο με φυσική επικοινωνία προς την αρχή έκδοσης του. Η ελληνική δημόσια διοίκηση (αλλά και ο ιδιωτικός τομέας) υποφέρουν σοβαρά από τέτοιες υποθέσεις.
Περαιτέρω δε, η αποστολή ενός έγχαρτου εγγράφου, με πολλαπλά προσωπικά μας στοιχεία πάνω, σε τίποτα δεν μας διασφαλίζει πως ο παραλήπτης του δεν φωτοτυπήσει το έγγραφο και θα το διαμοιράσει σε όλα τα αυτοκίνητα στο πιο κολασμένο φανάρι της πρωτεύουσας.
Στην πράξη το έγχαρτο έγγραφο, το έγγραφο με φυσική σφαγίδα και υπογραφή, μπορεί να α) πλαστογραφηθεί εύκολα από τον αποστολέα του β) πλαστογραφηθεί εύκολα από τον παραλήπτη του γ) να διανεμηθεί επίσης εύκολα από τον παραλήπτη του.
Το ψηφιακό έγγραφο από την άλλη μπορεί όντως να διανεμηθεί (όχι περισσότερο από το εγχαρτο) αλλά ΔΕΝ μπορεί να πλαστογραφηθεί. Προσοχή: η ευκολία της επαλήθευσης είναι ακριβώς αυτό το χαρακτηριστικό που κάνει την εγγυρότητα του αυξημένη έως απόλυτη. Πιθανό authentication μπροστά από το validation θα αποτρέπει συχνά τον παραλήπτη να εκτελεί τον έλεγχο. Γιατί; Διότι α)οι κωδικοί taxis είναι κωδικοί για προσωπική χρήση και για αυτό το λόγο ο τραπεζικός υπάλληλος δεν πρέπει να παραλαμβάνει εξουσιοδοτήσεις με την χρήση των δικών του κωδικών, αφού ασφαλώς εγείρονται θέματα GDPR β) υπάρχουν σοβαρές περιπτώσεις αδυναμίας πρόσβασης στο taxis (πχ ξένοι υπήκοοι).
Αντιθέτως η αποστολή του ψηφιακού εγγράφου στον παραλήπτη του, όπως ακριβώς γίνεται και τώρα με το έγχαρτο, είναι απολύτως επακρής όπωςκαι η ΑΠΔΠΧ αποφάσισε, αφού ο κωδικός του εγγράφου δεν είναι κάτι που μαντεύεται.
Θέλουμε παραπάνω ασφάλεια; Ναι, αλλά χωρίς την γραφειοκρατία που η αγωνιστική ΕΦΣΥΝ και οι προφήτες της Αναπτυξης Εφαρμογών σε Προγραμματιστικό Περιβάλλον (δλδ το προεδρείο της ΕΠΕ) θα ήθελαν: αντι να δημιουργείς ένα ψηφιακό έγγραφο με ελεύθερο παραλήπτη, να το απευθύνεις συγκεκριμένα σε έναν παραλήπτη (με κλειδί το ΑΦΜ του) και να το τοποθετείς στην θυρίδα του. Ωστόσο και αυτό δημιουργεί γραφειοκρατία: βρες το ΑΦΜ του παραλήπτη, "δασκάλεψε" τον παραλήπτη να μπει (login?) στην θυρίδα του, "μα δεν το βρίσκω" και πάει λέγοντας. 'Ένα άλλο σενάριο θα ήταν η αποστολή OTP κάθε φορά που κάποιος θα ήθελε να επιβεβαιώσει το δικό του ψηφιακό έγγραφο. Και πάλι έχουμε γραφειοκρατία: παραδίδω σήμερα ένα ψηφιακό έγγραφο, το αφήνω, 10 ημέρες κάποιος θυμάται να το επαληθεύσει, ζητάει OTP, εγώ ξεχνιέμαι, δεν απαντώ, σπάει η επαλήθευση, ακυρώνεται η αίτηση εγγραφής του παιδιού μου στο παιδικό σταθμό. Μύλος. Κατι που θα ήταν εφικτό, θα ήταν χρονική διάρκεια στη ζωή του ψηφιακού εγγράφου.
Αντι λοιπόν να κλαίμε πάνω όχι τόσο υπαρκτά προβλήματα, θα έπρεπε ενδεχομένως να δούμε λίγο προχωρημένες προτάσεις: αντί να εκτυπώνω ψηφιακά εγγραφα και να κυκλοφορώ με αυτά, να κυκλοφορώ μόνο με τον 22ψηφιο κωδικό. Θες πιστοποιητικό γέννησης; Βγάλε τον κωδικό, πήγαινε με αυτόν στην υπηρεσία, δώσε αυτόν, έφυγες.
Ας κόψουμε και καμία εκτύπωση.
-
28-05-21, 08:25 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #113
-
28-05-21, 10:51 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #114
Σε μεγάλο βαθμό συμφωνώ με τις παρατηρήσεις της ΕΠΕ σχετικά με την ασφάλεια και εμπιστευτικότητα των προσωπικών δεδομένων, χωρίς να είμαι άσχετος με τον χώρο της πληροφορικής.
Το gov.gr είναι φοβερό εργαλείο που έχει κάνει φυσικά τη ζωή μας ποιο εύκολη απαλλάσσοντάς μας από περιττές και επισφαλής γραφειοκρατικές διαδικασίες όπως έγραψε παραπάνω ο nm96027.
Αυτό όμως δεν σημαίνει ότι δεν έχει κανένα πρόβλημα και ότι αφού μας βοηθάει δεν πειράζει να έχει κάποιο κενό ασφάλειας το οποίο θα πρέπει με κάποιο τρόπο να βελτιωθεί-διορθωθεί.
Θα μου πείτε ότι οι πιθανότητες κάποιος γράφοντας τυχαία 22 σύμβολα είναι μία στο δις-τρις εκατομμύριο να πετύχει το πιστοποιητικό οικογενειακής κατάσταση που έβγαλα πέρσι ναι αλλά υπάρχει και όσο περνάνε τα χρόνια αυτή η πιθανότητα θα μεγαλώνει και θα πρέπει να δοθεί μια λύση. Και αυτό χωρίς να λάβω υπόψη το ότι μπορεί το url του πιστοποιητικού να έχει αποθηκευτεί σε κάποια μηχανήματα στην διαδρομή.
Φαντάζομαι ότι κανένας δεν θα δεχόταν να πετάξει από ένα αεροπλάνο ένα έγκυρο έγγραφο με ευαίσθητα προσωπικά του δεδομένα. Οι πιθανότητες να το βρει κάποιος κακόβουλος είναι απειροελάχιστες αλλά όχι μηδενικές.
Λύσεις σίγουρα υπάρχουν και χωρίς τα μειονεκτήματα που προβάλει ο nm96027 τα οποία έχουν όντως βάση και χωρίς υπερβολές ασφάλειας. Αλλά για να τις βρεις θα πρέπει πρώτα να παραδεχθείς ότι το σύστημα που έφτιαξες ναι είναι πάρα πολύ καλό, αλλά σίγουρα μπορεί να γίνει καλύτερο.
Επίσης είναι δεδομένο ότι όποιος έχει νόμιμα πρόσβαση στο ηλεκτρονικό αρχείο μπορεί να το προωθήσει όπου θέλει όπως θα μπορούσε φυσικά να κάνει και με το χαρτί που θα του δίναμε και αυτό έχει να κάνει με τον ανθρώπινο παράγοντα και όχι με το μηχανογραφικό σύστημα.
-
28-05-21, 12:52 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #115
Το ξέρετε ότι και το session cookie του gov.gr και εκατομμυρίων site είναι αντίστοιχης πολυπλοκότητας με το hash των εγγράφων ε; Είναι τρύπια κι εκείνα να υποθέθω. Νομίζω τα έχετε μπερδέψει κάποιοι τα πράγματα.
Το λάθος ήταν καθαρά το indexing. Όσοι λέτε ότι μπορείτε να μαντέψτε 22 χαρακτήρες, παίξτε καλύτερα κάνενα τζόκερ. Περισσότερες πιθανότητες έχετε.
Σε ότι αφορά το login, ξαναλέω σε τι ακριβώς θα προστατέψει αν 11 εκ. άνθρωποι μπορούν να κάνουν login και να δουν ένα έγγραφο του οποίου το URL έχει διαρεύσει γιατί ο χρήστης του το πόσταρε σε κάποιο φόρουμ;
Σε ότι αφορά να κλειδώνει το κάθε έγγραφο με το ΑΦΜ του παραλήπτη κλπ, νομίζετε ότι ένας είναι ο παραλήπτης σε όλα τα έγγραφα; Όταν δίνω την εξουσιοδότηση στον ταχυδρόμο μου θέλει να τσεκάρει επί τόπου ότι είναι valid και ότι δεν έχει ανακληθεί. Θα την πάρει μαζί του και θα την επισυνάψει στα χαρτιά του. Αργότερα μπορεί να χρειαστεί να την ελέγξει και το αφεντικό του. Τι θα γίνει δηλαδή; Θα ρωτάμε το ΑΦΜ του καθενός;
Οι υπεύθυνες δηλώσεις επίσης μπορεί να χρειαστεί να (ξανα)ελεγχθούν μετά από χρόνια. Θα ψάξουν να βρουν τον υπάλληλο στον οποίο εσύ είχες "κλειδώσει" τη δήλωση μπας και μπορέσουν να την επιβεβαιώσουν;
Το πρόβλημα είναι το κλασικό trade off μεταξύ σκληρού security και user experience. Στο συγκεκριμένο (και για την ώρα) επιλέγω το δεύτερο.
-
28-05-21, 13:59 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #116
-
28-05-21, 14:24 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #117
Το πρόβλημα είναι υπαρκτό, δεν μπορούμε να περιμένουμε να μας επηρεάσει για να αντιδράσουμε, το θέμα είναι να μην μας επηρεάσει.
Όσων αφορά τα υπόλοιπα που είπες, το να μπει πρόσβαση στα έγγραφα μόνο μετά από authentication και ένας έλεγχος του ποιος έχει πρόσβαση σε αυτό το έγγραφο, δεν θα αυξήσει καθόλου τη γραφειοκρατεία και τη δυσκολία, θα παραμείνουν ακριβώς τα ίδια, θα πηγαίνεις με τον κωδικό σου και η υπηρεσία θα έχει ειδική πρόσβαση αλλά κανένας άλλος τυχαίος δεν θα έχει.
Το πρόβλημα είναι ότι ΒΑΡΙΟΥΝΤΑΙ να το φτιάξουν γιατί το σύστημα τους αυτή τη στιγμή είναι φτιαγμένο με το σκεπτικό ότι ΟΠΟΙΟΣΔΗΠΟΤΕ έχει πρόσβαση σε αυτά τα έγγραφα αρκεί να έχει τον κατάλληλο κωδικό, που είναι από τη φύση του μη ασφαλές. Τώρα εμείς τους λέμε να μην έχει πρόσβαση οποιοσδήποτε αλλά να δημιουργηθούν δικαιώματα και ειδικοί λογαριασμοί με αντίστοιχα δικαιώματα, που θα δοθούν στις δημόσιες υπηρεσίες για να έχουν την πρόσβαση που πρέπει στα έγγραφα, και να μην έχει όποιος τυχάρπαστος δικαίωμα να βλέπει τα δικά μου ευαίσθητα δεδομένα με το δικό του λογαριασμό.
-
29-05-21, 19:27 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #118
-
30-05-21, 00:22 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #119
- Εγγραφή
- 05-11-2004
- Ηλικία
- 33
- Μηνύματα
- 3.745
- Downloads
- 44
- Uploads
- 0
- Άρθρα
- 30
- Τύπος
- FTTH
- Ταχύτητα
- 200/200 Mbps
- ISP
- Inalan
- Router
- EdgeRouter™ X
-
30-05-21, 09:57 Απάντηση: Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης #120
- Εγγραφή
- 26-01-2006
- Περιοχή
- Zauberberg
- Ηλικία
- 47
- Μηνύματα
- 22.262
- Downloads
- 13
- Uploads
- 0
- Άρθρα
- 13
- Ταχύτητα
- 51200/5120
- ISP
- HOL
- DSLAM
- H.O.L. - ΑΜΠΕΛΟΚΗΠΩΝ
- Router
- ZTE ZXHN H168N
- SNR / Attn
- 25(dB) / 7(dB)
- Path Level
- Interleaved
Και εδώ έχουμε ένα καραμπινάτο θέμα προσωπικών δεδομένων: οι κωδικοί taxisnet είναι κωδικοί πρόσβαση στο φορολογικό σύστημα της χώρας, και όχι oauth γενικής χρήσης. Ελλείψη άλλου συστήματος αυθεντικοποίησης χρησιμοποιούμε το taxis. Υπάρχει εδώ και αρκετά χρόνια, τοποθέτηση της ΑΠΔΠΧ πως η χρήση κωδικών taxisnet από τους δημοσίους υπαλλήλους για υπηρεσιακή χρήση θα πρέπει να αποφεύγεται.
Το σκεπτικό είναι το εξής: ο πχ Ν. Παπαδόπουλος υπάλληλος του δήμου Καλαμάτας, όταν θα πρέπει να επαληθεύσει το έγγραφο που εγώ θα του προσκομίσω, δεν θα το κάνει ως φυσικό πρόσωπο, αλλά ως εκπρόσωπος της διοίκησης που παραλαμβάνει το έγγραφο. Άρα λέει η αρχή, και σωστά, από και ως που, αυτό θα πρέπει να χρεωθεί στον Ν. Παπαδόπουλο;
Bookmarks