Ανακοίνωση του Υπουργείου Ψηφιακής Διακυβέρνησης

[sdikr]

Δε διαφωνώ, υπάρχουν λύσεις. Πχ. εμφάνισε το Β******Σ αντί για το ΒΑΣΙΛΕΙΟΣ, κρύψε ΑΦΜ, ΑΜΚΑ, γέννηση, κτλ., άφησε μόνο στοιχεία που δεν είναι «τρανταχτά» και οδηγούν σε ταυτοποίηση ή διαρροή ευαίσθητων δεδομένων.

Το θέμα είναι να διορθωθούν τα κακώς κείμενα που υπάρχουν (άσχετα που κάποιοι μπορεί να θεωρούν ότι δεν υπάρχουν). Είναι εξαιρετικό το gov.gr και κινείται προς τη σωστή κατεύθυνση, αλλά να διορθωθούν και τέτοια θέματα.

Σίγουρα πρέπει να βρεθούν τρόποι και ασφάλεια να έχουμε και ευκολία.

Αν γίνανε crawl έγγραφα απο το site του gov αυτό είναι λάθος, δεν θα έπρεπε να μπορεί να γίνει κάτι τέτοιο.
Αλλά το να λέμε το ότι είναι πρόβλημα το ότι εγώ σου δίνω το 22ψηφιο μαζί με την αίτηση το ότι εσύ μετά θα το βάλεις και θα δεις την αίτηση οτι είναι Legit είναι κάπως.

Προσωπικά τώρα τελευταία δεν μου έχει χρειαστεί οικογενειακή κατάσταση κάπου, κάνει αναφορά ο φίλος gfc πιο πάνω οτι αν πας με τον κωδικό σου δίνει και το ΑΦΜ.
Αυτός που θα του δώσεις την οικογενειακή κατάσταση κατά 99% έχει το ΑΦΜ σου καθώς μέσα στα δικαιολογητικά που ζητάει είναι και το εκκαθαριστικό.

ΥΓ Βαλάντιος (για το Βασίλειος, χωρίς να βάζω στην εξίσωση το πόσοι βασιλείος υπάρχουν, σίγουρα λιγότεροι απο ιωαννης )

[flyboy]

Τα πράγμα είναι λίγο πιο απλό και το να μιλάνε για τρύπια συστήματα είναι το πιο εύκολο και ταυτόχρονα και λίγο αφελές για όσους έχουν ελάχιστες γνώσεις πληροφορικής.

Οποιοδήποτε έγγραφο χρειάζεται επιβεβαίωση είναι αυτόνοητο ότι κάπως πρέπει να είναι προσβάσιμο από τρίτους. Όσοι λέτε για υποχρεωτικό authentication με taxis νομίζετε ότι έχουν όλοι λογαριασμό; Ή και να έχουν ξέρουν πως θα το χειριστούν; Πως θα ελέγξει ένας ξένος υπάλληλος στα σύνορα το πιστοποιητικό εμβολιασμού; Ή ένα ξένο πανεπιστήμιο ένα ελληνικό πτυχίο; Τα παραδείγματα είναι πολλά και τυχαία. Βέβαια και το υποχρεωτικό login δε θα απέτρεπε κανέναν τυχαίο χρήστη με γνώση του URL να κάνει login και να δει το έγγραφο.

Ο "κωδικός" του κάθε εγγράφου είναι επαρκώς τυχαίος και φυσικά δεν έγινε κανένα crawling ούτε υπάρχει περίπτωση κάποιος να το μαντέψει τυχαία. Για να γίνει crawl, κάπου πρέπει να υπάρχουν διαθέσιμα τα URLs των εγγράφων. Άρα πως έγιναν διαθέσιμα; Επειδή κάποιος τα πόσταρε κάπου ή επειδή κάποιος "αναζήτησε" το URL στη google. Οπότε έγιναν index. To μέγα ατόπημα της ΓΓΠΣ είναι ότι δεν απαγορεύουν στα bots των μηχανών το indexing για τα συγκεκριμένα URLs. Δηλαδή ακόμα και να επισκεφθεί το URL ένα bot της google υπάρχει "οδηγία" (ένα attribute ειναι) να μην γίνει index.

[YaWnX]

Τα πράγμα είναι λίγο πιο απλό και το να μιλάνε για τρύπια συστήματα είναι το πιο εύκολο και ταυτόχρονα και λίγο αφελές για όσους έχουν ελάχιστες γνώσεις πληροφορικής.

Οποιοδήποτε έγγραφο χρειάζεται επιβεβαίωση είναι αυτόνοητο ότι κάπως πρέπει να είναι προσβάσιμο από τρίτους. Όσοι λέτε για υποχρεωτικό authentication με taxis νομίζετε ότι έχουν όλοι λογαριασμό; Ή και να έχουν ξέρουν πως θα το χειριστούν; Πως θα ελέγξει ένας ξένος υπάλληλος στα σύνορα το πιστοποιητικό εμβολιασμού; Ή ένα ξένο πανεπιστήμιο ένα ελληνικό πτυχίο; Τα παραδείγματα είναι πολλά και τυχαία. Βέβαια και το υποχρεωτικό login δε θα απέτρεπε κανέναν τυχαίο χρήστη με γνώση του URL να κάνει login και να δει το έγγραφο.

Ο "κωδικός" του κάθε εγγράφου είναι επαρκώς τυχαίος και φυσικά δεν έγινε κανένα crawling ούτε υπάρχει περίπτωση κάποιος να το μαντέψει τυχαία. Για να γίνει crawl, κάπου πρέπει να υπάρχουν διαθέσιμα τα URLs των εγγράφων. Άρα πως έγιναν διαθέσιμα; Επειδή κάποιος τα πόσταρε κάπου ή επειδή κάποιος "αναζήτησε" το URL στη google. Οπότε έγιναν index. To μέγα ατόπημα της ΓΓΠΣ είναι ότι δεν απαγορεύουν στα bots των μηχανών το indexing για τα συγκεκριμένα URLs. Δηλαδή ακόμα και να επισκεφθεί το URL ένα bot της google υπάρχει "οδηγία" (ένα attribute ειναι) να μην γίνει index.

Αυτά δεν είναι ασφαλή. Όσο για τον υποχρεωτικό λογαριασμό taxis, ναι έχουν όλοι και να είναι υποχρεωτικό να κάνουν login. Θα μπορούσε να γίνει a-la google, δηλαδή να υπάρχουν 'δημόσια' εγγραφα προσβάσιμα με όλους και έγγραφα τα οποία θα είναι προσβάσιμα μόνο μέσω μίας λίστας συγκεκριμένων ΑΦΜ/κατηγοριών.

[GoofyX]

Όσοι λέτε για υποχρεωτικό authentication με taxis νομίζετε ότι έχουν όλοι λογαριασμό; Ή και να έχουν ξέρουν πως θα το χειριστούν; Πως θα ελέγξει ένας ξένος υπάλληλος στα σύνορα το πιστοποιητικό εμβολιασμού; Ή ένα ξένο πανεπιστήμιο ένα ελληνικό πτυχίο; Τα παραδείγματα είναι πολλά και τυχαία. Βέβαια και το υποχρεωτικό login δε θα απέτρεπε κανέναν τυχαίο χρήστη με γνώση του URL να κάνει login και να δει το έγγραφο.

Δε νομίζω να υπάρχει Έλληνας πολίτης που να μη διαθέτει κάτι από αυτά:



Ναι, για τους εκτός Ελλάδας πολίτες είναι όντως θέμα, αλλά θεωρώ ότι το gov.gr απευθύνεται στους Έλληνες σε πρώτη φάση. Αν θέλουμε να προχωρήσει το κράτος ψηφιακά, θα πρέπει κι εμείς να προσαρμοστούμε.

Στη χειρότερη, μπορεί κάποιος να νομίζει ότι δεν έχει taxisnet λογαριασμό, αλλά στην πραγματικότητα να το έχει ο λογιστής του (άλλη τεράστια π@π@ριά αυτή).

[aroutis]

Απλή λύση: Για να δεις ένα έγγραφο πρέπει να έχεις κάνει login, να καταγράφεται κάθε πρόσβαση και να ενημερώνετε ο υπογράφων για το ποιός είδε το έγγραφο. Κάθε λογαριασμός να έχει περιορισμένες δυνατότητες εμφάνισης εγγράφων (όπως ακριβώς γίνεται στην αναζήτηση ΑΦΜ μέσω της ΑΑΔΕ).

Ακριβώς. Ολα ξεκινούν και τελειώνουν στο ότι η πρόσβαση πρέπει να είναι η άκρως απαραίτητη και φυσικά στο auditing.

[jacobgr]

Η ΕΠΕ το τραβάει, και καλά κάνει, ωραίες και εξυπηρετικότατες όλες οι e-υπηρεσίες αλλά σίγουρα επιδέχονται βελτίωσης.
https://www.itsecuritypro.gr/syneche...n-elladas-epe/

[nm96027]

Ας δούμε λίγο το συμπαθητικό γεγονός μίας χαριτωμένης ψηφιακής γραφειοκρατίας:

Η Ένωση Πληροφορικών Ελλάδος,η οποία στην πραγματικότητα εκπροσωπείται από εκπαιδευτικούς της πληροφορικής (δλδ εξαιρετικούς δασκάλους που όμως δεν έχουν γνώση παραγωγικών συστημάτων, ούτε σύγχρονων γλωσσών, ούτε ασφαλώς επαφή με service design) προτείνει να μπει Login μπροστά από το validation.

Γιατί;

Ας δούμε το έγχαρτο έγγραφο: πας σε μία υπηρεσία, στο εκτυπώνουν, το σφραγίζουν, το υπογράφουν, το πρωτοκολλούν, στο παραδίδουν. Έχει τεράστια πλάκα που αυτη την διαδικασία, στην σύγχρονη εποχή, το θεωρούμε φυσιολογικό. Στην πράξη είναι μία πολλαπλώς παραβιάσιμη σύμβαση: κάθε σφραγίδα και υπογραφή μπορεί να πλαστογραφεί πανεύκολα, ενώ η επιβεβαίωση της αυθεντικότητας του μπορεί να γίνει μόνο με φυσική επικοινωνία προς την αρχή έκδοσης του. Η ελληνική δημόσια διοίκηση (αλλά και ο ιδιωτικός τομέας) υποφέρουν σοβαρά από τέτοιες υποθέσεις.

Περαιτέρω δε, η αποστολή ενός έγχαρτου εγγράφου, με πολλαπλά προσωπικά μας στοιχεία πάνω, σε τίποτα δεν μας διασφαλίζει πως ο παραλήπτης του δεν φωτοτυπήσει το έγγραφο και θα το διαμοιράσει σε όλα τα αυτοκίνητα στο πιο κολασμένο φανάρι της πρωτεύουσας.

Στην πράξη το έγχαρτο έγγραφο, το έγγραφο με φυσική σφαγίδα και υπογραφή, μπορεί να α) πλαστογραφηθεί εύκολα από τον αποστολέα του β) πλαστογραφηθεί εύκολα από τον παραλήπτη του γ) να διανεμηθεί επίσης εύκολα από τον παραλήπτη του.

Το ψηφιακό έγγραφο από την άλλη μπορεί όντως να διανεμηθεί (όχι περισσότερο από το εγχαρτο) αλλά ΔΕΝ μπορεί να πλαστογραφηθεί. Προσοχή: η ευκολία της επαλήθευσης είναι ακριβώς αυτό το χαρακτηριστικό που κάνει την εγγυρότητα του αυξημένη έως απόλυτη. Πιθανό authentication μπροστά από το validation θα αποτρέπει συχνά τον παραλήπτη να εκτελεί τον έλεγχο. Γιατί; Διότι α)οι κωδικοί taxis είναι κωδικοί για προσωπική χρήση και για αυτό το λόγο ο τραπεζικός υπάλληλος δεν πρέπει να παραλαμβάνει εξουσιοδοτήσεις με την χρήση των δικών του κωδικών, αφού ασφαλώς εγείρονται θέματα GDPR β) υπάρχουν σοβαρές περιπτώσεις αδυναμίας πρόσβασης στο taxis (πχ ξένοι υπήκοοι).

Αντιθέτως η αποστολή του ψηφιακού εγγράφου στον παραλήπτη του, όπως ακριβώς γίνεται και τώρα με το έγχαρτο, είναι απολύτως επακρής όπωςκαι η ΑΠΔΠΧ αποφάσισε, αφού ο κωδικός του εγγράφου δεν είναι κάτι που μαντεύεται.

Θέλουμε παραπάνω ασφάλεια; Ναι, αλλά χωρίς την γραφειοκρατία που η αγωνιστική ΕΦΣΥΝ και οι προφήτες της Αναπτυξης Εφαρμογών σε Προγραμματιστικό Περιβάλλον (δλδ το προεδρείο της ΕΠΕ) θα ήθελαν: αντι να δημιουργείς ένα ψηφιακό έγγραφο με ελεύθερο παραλήπτη, να το απευθύνεις συγκεκριμένα σε έναν παραλήπτη (με κλειδί το ΑΦΜ του) και να το τοποθετείς στην θυρίδα του. Ωστόσο και αυτό δημιουργεί γραφειοκρατία: βρες το ΑΦΜ του παραλήπτη, "δασκάλεψε" τον παραλήπτη να μπει (login?) στην θυρίδα του, "μα δεν το βρίσκω" και πάει λέγοντας. 'Ένα άλλο σενάριο θα ήταν η αποστολή OTP κάθε φορά που κάποιος θα ήθελε να επιβεβαιώσει το δικό του ψηφιακό έγγραφο. Και πάλι έχουμε γραφειοκρατία: παραδίδω σήμερα ένα ψηφιακό έγγραφο, το αφήνω, 10 ημέρες κάποιος θυμάται να το επαληθεύσει, ζητάει OTP, εγώ ξεχνιέμαι, δεν απαντώ, σπάει η επαλήθευση, ακυρώνεται η αίτηση εγγραφής του παιδιού μου στο παιδικό σταθμό. Μύλος. Κατι που θα ήταν εφικτό, θα ήταν χρονική διάρκεια στη ζωή του ψηφιακού εγγράφου.

Αντι λοιπόν να κλαίμε πάνω όχι τόσο υπαρκτά προβλήματα, θα έπρεπε ενδεχομένως να δούμε λίγο προχωρημένες προτάσεις: αντί να εκτυπώνω ψηφιακά εγγραφα και να κυκλοφορώ με αυτά, να κυκλοφορώ μόνο με τον 22ψηφιο κωδικό. Θες πιστοποιητικό γέννησης; Βγάλε τον κωδικό, πήγαινε με αυτόν στην υπηρεσία, δώσε αυτόν, έφυγες.

Ας κόψουμε και καμία εκτύπωση.

[Hetfield]

Ας δούμε λίγο το συμπαθητικό γεγονός μίας χαριτωμένης ψηφιακής γραφειοκρατίας:

Η Ένωση Πληροφορικών Ελλάδος,η οποία στην πραγματικότητα εκπροσωπείται από εκπαιδευτικούς της πληροφορικής (δλδ εξαιρετικούς δασκάλους που όμως δεν έχουν γνώση παραγωγικών συστημάτων, ούτε σύγχρονων γλωσσών, ούτε ασφαλώς επαφή με service design) προτείνει να μπει Login μπροστά από το validation.

Το προβλημα δεν ειναι τοσο οτι οι εκπαιδευτικοι, ασχετοι με παραγωγικα συστηματα εκφερουν αποψη, αλλα το οτι αρκετοι εδω μεσα τους επικαλουνται, οντας ασχετοι (=μη σχετικοι με το αντικειμενο) οι ιδιοι.
Ψυχολογια του οχλου.

[jacobgr]

Σε μεγάλο βαθμό συμφωνώ με τις παρατηρήσεις της ΕΠΕ σχετικά με την ασφάλεια και εμπιστευτικότητα των προσωπικών δεδομένων, χωρίς να είμαι άσχετος με τον χώρο της πληροφορικής.

Το gov.gr είναι φοβερό εργαλείο που έχει κάνει φυσικά τη ζωή μας ποιο εύκολη απαλλάσσοντάς μας από περιττές και επισφαλής γραφειοκρατικές διαδικασίες όπως έγραψε παραπάνω ο nm96027.
Αυτό όμως δεν σημαίνει ότι δεν έχει κανένα πρόβλημα και ότι αφού μας βοηθάει δεν πειράζει να έχει κάποιο κενό ασφάλειας το οποίο θα πρέπει με κάποιο τρόπο να βελτιωθεί-διορθωθεί.

Θα μου πείτε ότι οι πιθανότητες κάποιος γράφοντας τυχαία 22 σύμβολα είναι μία στο δις-τρις εκατομμύριο να πετύχει το πιστοποιητικό οικογενειακής κατάσταση που έβγαλα πέρσι ναι αλλά υπάρχει και όσο περνάνε τα χρόνια αυτή η πιθανότητα θα μεγαλώνει και θα πρέπει να δοθεί μια λύση. Και αυτό χωρίς να λάβω υπόψη το ότι μπορεί το url του πιστοποιητικού να έχει αποθηκευτεί σε κάποια μηχανήματα στην διαδρομή.

Φαντάζομαι ότι κανένας δεν θα δεχόταν να πετάξει από ένα αεροπλάνο ένα έγκυρο έγγραφο με ευαίσθητα προσωπικά του δεδομένα. Οι πιθανότητες να το βρει κάποιος κακόβουλος είναι απειροελάχιστες αλλά όχι μηδενικές.

Λύσεις σίγουρα υπάρχουν και χωρίς τα μειονεκτήματα που προβάλει ο nm96027 τα οποία έχουν όντως βάση και χωρίς υπερβολές ασφάλειας. Αλλά για να τις βρεις θα πρέπει πρώτα να παραδεχθείς ότι το σύστημα που έφτιαξες ναι είναι πάρα πολύ καλό, αλλά σίγουρα μπορεί να γίνει καλύτερο.

Επίσης είναι δεδομένο ότι όποιος έχει νόμιμα πρόσβαση στο ηλεκτρονικό αρχείο μπορεί να το προωθήσει όπου θέλει όπως θα μπορούσε φυσικά να κάνει και με το χαρτί που θα του δίναμε και αυτό έχει να κάνει με τον ανθρώπινο παράγοντα και όχι με το μηχανογραφικό σύστημα.

[flyboy]

Το ξέρετε ότι και το session cookie του gov.gr και εκατομμυρίων site είναι αντίστοιχης πολυπλοκότητας με το hash των εγγράφων ε; Είναι τρύπια κι εκείνα να υποθέθω. Νομίζω τα έχετε μπερδέψει κάποιοι τα πράγματα.

Το λάθος ήταν καθαρά το indexing. Όσοι λέτε ότι μπορείτε να μαντέψτε 22 χαρακτήρες, παίξτε καλύτερα κάνενα τζόκερ. Περισσότερες πιθανότητες έχετε.

Σε ότι αφορά το login, ξαναλέω σε τι ακριβώς θα προστατέψει αν 11 εκ. άνθρωποι μπορούν να κάνουν login και να δουν ένα έγγραφο του οποίου το URL έχει διαρεύσει γιατί ο χρήστης του το πόσταρε σε κάποιο φόρουμ;

Σε ότι αφορά να κλειδώνει το κάθε έγγραφο με το ΑΦΜ του παραλήπτη κλπ, νομίζετε ότι ένας είναι ο παραλήπτης σε όλα τα έγγραφα; Όταν δίνω την εξουσιοδότηση στον ταχυδρόμο μου θέλει να τσεκάρει επί τόπου ότι είναι valid και ότι δεν έχει ανακληθεί. Θα την πάρει μαζί του και θα την επισυνάψει στα χαρτιά του. Αργότερα μπορεί να χρειαστεί να την ελέγξει και το αφεντικό του. Τι θα γίνει δηλαδή; Θα ρωτάμε το ΑΦΜ του καθενός;

Οι υπεύθυνες δηλώσεις επίσης μπορεί να χρειαστεί να (ξανα)ελεγχθούν μετά από χρόνια. Θα ψάξουν να βρουν τον υπάλληλο στον οποίο εσύ είχες "κλειδώσει" τη δήλωση μπας και μπορέσουν να την επιβεβαιώσουν;

Το πρόβλημα είναι το κλασικό trade off μεταξύ σκληρού security και user experience. Στο συγκεκριμένο (και για την ώρα) επιλέγω το δεύτερο.

[Catchphrase]

Σε ότι αφορά να κλειδώνει το κάθε έγγραφο με το ΑΦΜ του παραλήπτη κλπ, νομίζετε ότι ένας είναι ο παραλήπτης σε όλα τα έγγραφα; Όταν δίνω την εξουσιοδότηση στον ταχυδρόμο μου θέλει να τσεκάρει επί τόπου ότι είναι valid και ότι δεν έχει ανακληθεί. Θα την πάρει μαζί του και θα την επισυνάψει στα χαρτιά του. Αργότερα μπορεί να χρειαστεί να την ελέγξει και το αφεντικό του. Τι θα γίνει δηλαδή; Θα ρωτάμε το ΑΦΜ του καθενός;

Οι υπεύθυνες δηλώσεις επίσης μπορεί να χρειαστεί να (ξανα)ελεγχθούν μετά από χρόνια. Θα ψάξουν να βρουν τον υπάλληλο στον οποίο εσύ είχες "κλειδώσει" τη δήλωση μπας και μπορέσουν να την επιβεβαιώσουν;

Το πρόβλημα είναι το κλασικό trade off μεταξύ σκληρού security και user experience. Στο συγκεκριμένο (και για την ώρα) επιλέγω το δεύτερο.

Το θέμα είναι να υπάρχει trackability ως προς το ποιός έχει δει το έγγραφο. Δεν χρειάζται να καθορίσει ο εκδότης ποιό φυσικό πρόσωπο θα δει το έγγραφο, αυτό το πρόσωπο όμως θα πρέπει να επιβεβαιώνει με τους δικούς του κωδικού πως το είδε.

[GrandGamer]

Αντι λοιπόν να κλαίμε πάνω όχι τόσο υπαρκτά προβλήματα, θα έπρεπε ενδεχομένως να δούμε λίγο προχωρημένες προτάσεις: αντί να εκτυπώνω ψηφιακά εγγραφα και να κυκλοφορώ με αυτά, να κυκλοφορώ μόνο με τον 22ψηφιο κωδικό. Θες πιστοποιητικό γέννησης; Βγάλε τον κωδικό, πήγαινε με αυτόν στην υπηρεσία, δώσε αυτόν, έφυγες.

Το πρόβλημα είναι υπαρκτό, δεν μπορούμε να περιμένουμε να μας επηρεάσει για να αντιδράσουμε, το θέμα είναι να μην μας επηρεάσει.

Όσων αφορά τα υπόλοιπα που είπες, το να μπει πρόσβαση στα έγγραφα μόνο μετά από authentication και ένας έλεγχος του ποιος έχει πρόσβαση σε αυτό το έγγραφο, δεν θα αυξήσει καθόλου τη γραφειοκρατεία και τη δυσκολία, θα παραμείνουν ακριβώς τα ίδια, θα πηγαίνεις με τον κωδικό σου και η υπηρεσία θα έχει ειδική πρόσβαση αλλά κανένας άλλος τυχαίος δεν θα έχει.

Το πρόβλημα είναι ότι ΒΑΡΙΟΥΝΤΑΙ να το φτιάξουν γιατί το σύστημα τους αυτή τη στιγμή είναι φτιαγμένο με το σκεπτικό ότι ΟΠΟΙΟΣΔΗΠΟΤΕ έχει πρόσβαση σε αυτά τα έγγραφα αρκεί να έχει τον κατάλληλο κωδικό, που είναι από τη φύση του μη ασφαλές. Τώρα εμείς τους λέμε να μην έχει πρόσβαση οποιοσδήποτε αλλά να δημιουργηθούν δικαιώματα και ειδικοί λογαριασμοί με αντίστοιχα δικαιώματα, που θα δοθούν στις δημόσιες υπηρεσίες για να έχουν την πρόσβαση που πρέπει στα έγγραφα, και να μην έχει όποιος τυχάρπαστος δικαίωμα να βλέπει τα δικά μου ευαίσθητα δεδομένα με το δικό του λογαριασμό.

[flyboy]

Το θέμα είναι να υπάρχει trackability ως προς το ποιός έχει δει το έγγραφο. Δεν χρειάζται να καθορίσει ο εκδότης ποιό φυσικό πρόσωπο θα δει το έγγραφο, αυτό το πρόσωπο όμως θα πρέπει να επιβεβαιώνει με τους δικούς του κωδικού πως το είδε.

Σε αυτό δε θα διαφωνήσω απαραίτητα. Αν και δε θα έλυνε το "πρόβλημα" το οποίο συζητάμε. Διότι traceability όταν ένα έγγραφο το έχουν ανοίξει εκατοντάδες ή χιλιάδες όπως αυτά που έγιναν index δεν έχει νόημα.

[globalnoise]

Το ξέρετε ότι και το session cookie του gov.gr και εκατομμυρίων site είναι αντίστοιχης πολυπλοκότητας με το hash των εγγράφων ε; Είναι τρύπια κι εκείνα να υποθέθω.

Τώρα γιατί τους λες τέτοια πράγματα; Θες να πάθουν τίποτα; Καμιά κρίση έρευνας και να αρχίζουν να διαβάζουν / μαθαίνουν 2-3 πράγματα παραπάνω; Τους βάζεις σε τρομερούς μπελάδες.

Είπαμε, η αιτιολόγηση είναι απλή:

Το πρόβλημα είναι ότι ΒΑΡΙΟΥΝΤΑΙ να το φτιάξουν

[nm96027]

Το θέμα είναι να υπάρχει trackability ως προς το ποιός έχει δει το έγγραφο. Δεν χρειάζται να καθορίσει ο εκδότης ποιό φυσικό πρόσωπο θα δει το έγγραφο, αυτό το πρόσωπο όμως θα πρέπει να επιβεβαιώνει με τους δικούς του κωδικού πως το είδε.

Και εδώ έχουμε ένα καραμπινάτο θέμα προσωπικών δεδομένων: οι κωδικοί taxisnet είναι κωδικοί πρόσβαση στο φορολογικό σύστημα της χώρας, και όχι oauth γενικής χρήσης. Ελλείψη άλλου συστήματος αυθεντικοποίησης χρησιμοποιούμε το taxis. Υπάρχει εδώ και αρκετά χρόνια, τοποθέτηση της ΑΠΔΠΧ πως η χρήση κωδικών taxisnet από τους δημοσίους υπαλλήλους για υπηρεσιακή χρήση θα πρέπει να αποφεύγεται.

Το σκεπτικό είναι το εξής: ο πχ Ν. Παπαδόπουλος υπάλληλος του δήμου Καλαμάτας, όταν θα πρέπει να επαληθεύσει το έγγραφο που εγώ θα του προσκομίσω, δεν θα το κάνει ως φυσικό πρόσωπο, αλλά ως εκπρόσωπος της διοίκησης που παραλαμβάνει το έγγραφο. Άρα λέει η αρχή, και σωστά, από και ως που, αυτό θα πρέπει να χρεωθεί στον Ν. Παπαδόπουλο;