On 2019-02-22, Liwiusz <l...@b...tego.poczta.onet.pl> wrote:

[...]

> będzie gardłował, że zabezpieczenia były do dupy. Bo są.

Zabezpieczenia pikaczy również i od lat mamy wieszczy jak to
łatwo kraść siedząc w autobusie. :)

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

> On 2019-02-22, Kamil Jońca <k...@p...onet.pl> wrote:
>
> [...]
>
>>>> Niezupełnie - nie ta skala.
>>>
>>> Jak nie? Napisanie programu wysyłającego miliony złotych przychodu dla
>>> wszystkich
>>
>> Powiem tak:
>> też nie sądzę, żeby taki, a nie inny sposób uwierzytelniania, był
>> problemem dla większości ludzi.
>> Ale JEST realnym problemem, dla ludzi którym z pracodawcą przestało się
>> ostatnio układać, i w celu zabezpieczenia się, robili rzeczy, o których
>> niekoniecznie chcieliby, żeby się pracodawca dowiedział.
>>
>> Możesz się oczywiście z tego śmiać.
>
> Czyli podsumowując:
> - musi być pracodawcą ponad 2 lata
> - musi się przestać układać
Tak.

> - wspomniany pracodawca (inny pracownik, w kadrach) musi lubić
> ryzyko i potencjalnie ryzykować odsiadkę uzyskując nieupoważniony
> dostęp do danych

Niekoniecznie. Samo zalogowanie się i sprawdzenie czy nie musi rodzić
problemów, a może dać info gdzie węszyć.

>
> A wszystko bez wyrażnych i gwarantowanych korzyści.

Ale, mam nadzieję, że widzisz różnicę między budowlańcem, a
np. kierownikiem sprzedaży.

>
> Nie śmieję się, oceniam na chłodno szansę na takie działania.
> Wychodzi że niewielka.

Zależy jak liczysz.
Jeśli liczysz: "ilu podatników to dotknie" - to niewielka.
jeśli liczysz "jaki odsetek 'kierowników sprzedaży'[1] to dotknie" to IMO
całkiem spora.
KJ

[1] tak naprawdę chodzi mi o ludzi którzy mają dostęp do informacji
które mogliby sprzedać konkurencji.

--
http://stopstopnop.pl/stop_stopnop.pl_o_nas.html
taxidermist, n.:
A man who mounts animals.

do góry

Dnia Fri, 22 Feb 2019 10:01:56 +0100, Wojciech Bancer napisał(a):

>> 2. Żeby samemu się wzbogacić. Założą konto na bezrobotnego słupa i szybko z
>> niego wypłacą, kiedy coś sensownego wpłynie.
>
> Ale mówimy o pracodawcy i o zwrotach z PIT-37, a nie o przelewach z konta.
> Z PIT-37 nie wyprodukujesz "sensownej sumy" która by uzasadniała ryzyko
> takiego przekrętu. Po prostu.

Można zmienić konto do zwrotu na to samo (słupiaste) wielu osobom i wtedy
"sensowna sum" się uzbiera. Zanim się zorientują, że nie dostali zwrotu
podatku w terminie, będzie pozamiatane.

--
uzdrawiam
Grzesiek

adres: grzegorz.tracz[NA]ifj.edu.pl

"Dzięki Radiu Maryja wiadomo, jak wiele pieniędzy potrzeba do życia w
ubóstwie."
autor nieznany

http://grzegorz-tracz.ucoz.pl/

do góry

W dniu 2019-02-22 o 10:13, Kamil Jońca pisze:
> Wojciech Bancer <w...@g...com> writes:
>
>> On 2019-02-22, Kamil Jońca <k...@p...onet.pl> wrote:
>>
>> [...]
>>
>>>>> I tylko problem w tym, że takie zmiany mogli przeprowadzać od początku
>>>>> istnienia e-Deklaracje Deskop (czyli co najmniej od 2014 - ja przynajmniej mam
>>>>> tyle dokumentów w historii) i jakoś nikt tego nie robił.
>>>>
>>>> Swoją drogą, to prawda.
>>>
>>> Niezupełnie - nie ta skala.
>>
>> Jak nie? Napisanie programu wysyłającego miliony złotych przychodu dla
>> wszystkich
>
> Powiem tak:
> też nie sądzę, żeby taki, a nie inny sposób uwierzytelniania, był
> problemem dla większości ludzi.
> Ale JEST realnym problemem, dla ludzi którym z pracodawcą przestało się
> ostatnio układać, i w celu zabezpieczenia się, robili rzeczy, o których
> niekoniecznie chcieliby, żeby się pracodawca dowiedział.
>
> Możesz się oczywiście z tego śmiać.

Dla większości ludzi nie będzie problemem, jeśli hasło do ich maila
będzie się składało z 3 znaków. Co nie znaczy, że brak możliwości
używania dłuższych haseł nie jest niczym złym.

Aż dziwne, że takie oczywistości związane z bezpieczeństwem trzeba
tłumaczyć. Wojtek zatrzymał się chyba z wyobraźnią komputerową pod
koniec lat '80, skoro nie umie sobie wyobrazić, że dla hakera
satysfakcją jest już nawet samo przełamanie zabezpieczeń, nawet jeśli
nie prowadzi to do wymiernych korzyści.

--
Liwiusz

do góry

W dniu 2019-02-22 o 10:21, Wojciech Bancer pisze:
> On 2019-02-22, Kamil Jońca <k...@p...onet.pl> wrote:
>
> [...]
>
>>>> Niezupełnie - nie ta skala.
>>>
>>> Jak nie? Napisanie programu wysyłającego miliony złotych przychodu dla
>>> wszystkich
>>
>> Powiem tak:
>> też nie sądzę, żeby taki, a nie inny sposób uwierzytelniania, był
>> problemem dla większości ludzi.
>> Ale JEST realnym problemem, dla ludzi którym z pracodawcą przestało się
>> ostatnio układać, i w celu zabezpieczenia się, robili rzeczy, o których
>> niekoniecznie chcieliby, żeby się pracodawca dowiedział.
>>
>> Możesz się oczywiście z tego śmiać.
>
> Czyli podsumowując:
> - musi być pracodawcą ponad 2 lata
> - musi się przestać układać
> - wspomniany pracodawca (inny pracownik, w kadrach) musi lubić
> ryzyko i potencjalnie ryzykować odsiadkę uzyskując nieupoważniony
> dostęp do danych
>
> A wszystko bez wyrażnych i gwarantowanych korzyści.
>
> Nie śmieję się, oceniam na chłodno szansę na takie działania.
> Wychodzi że niewielka.

Niewielka szansa to i tak za duża szansa. Powinno nie być żadnej.

Moja była żona kiedyś zakładała działalność gospodarczą. Poszliśmy do
księgowego, będziemy mu dawać dostęp do naszego konta w US, "ale to nie
teraz, bo trzeba podać przychody z dwóch ostatnich lat". Ależ proszę
bardzo: 0,0. Przeszło. Takież to zabezpieczenia możliwe do przełamania
dla każdego, kto choć trochę znał moją byłą żonę.

Po co? Kto miałby to robić? Chociażby ten, kto chciałby przejąć
(założyć) e-US-konta setek tysięcy Polaków - dla samego żartu, dla
DDOSa, dla szantażu, dla okupu, dla wynajdywania dziur w systemie,
powodów może być mnóstwo, o których ja nie wiem, bo się nie znam, a tym
bardziej Wojtek, który argumentuje, że skoro jemu by się nie chciało
(mimo że można), to i hakerom również.

--
Liwiusz

do góry

W dniu 2019-02-22 o 10:23, Wojciech Bancer pisze:
> On 2019-02-22, Liwiusz <l...@b...tego.poczta.onet.pl> wrote:
>
> [...]
>
>> będzie gardłował, że zabezpieczenia były do dupy. Bo są.
>
> Zabezpieczenia pikaczy również i od lat mamy wieszczy jak to
> łatwo kraść siedząc w autobusie. :)

W autobusie to mit, ale jeśli zgubisz kartę, albo telefon z NFC, to nie
ma żadnej ochrony przed nieuprawnionym użyciem, aż się nie zorientujesz
i nie zastrzeżesz karty. Tutaj nikt nie mówi, że zabezpieczenie jest i
jest dobre. Wygoda wygrała, a ceną za to jest to, że od czasu do czasu
bank (mam nadzieję) odda komuś kilkaset złotych.

I należy sobie odpowiedzieć na pytanie, czy w przypadku e-US wygoda
zakładania konta jest też tym, na czym nam najbardziej zależy.

--
Liwiusz

do góry

On 2019-02-22, Kamil Jońca <k...@p...onet.pl> wrote:

[...]

>> Czyli podsumowując:
>> - musi być pracodawcą ponad 2 lata
>> - musi się przestać układać
> Tak.
>
>> - wspomniany pracodawca (inny pracownik, w kadrach) musi lubić
>> ryzyko i potencjalnie ryzykować odsiadkę uzyskując nieupoważniony
>> dostęp do danych
>
> Niekoniecznie. Samo zalogowanie się i sprawdzenie czy nie musi rodzić
> problemów, a może dać info gdzie węszyć.

Znaczy tego przepisu nie ma?
https://www.arslege.pl/bezprawne-uzyskanie-informacj
i/k1/a304/

>> A wszystko bez wyrażnych i gwarantowanych korzyści.
>
> Ale, mam nadzieję, że widzisz różnicę między budowlańcem, a
> np. kierownikiem sprzedaży.

Widzę. Ale jak wyżej, ryzykujesz.

Z samego wejścia i zobaczenia tych (potencjalnych) informacji
korzyści nie ma (bo nie wiadomo czy nieuczciwy), a ryzyko jest
na dzień dobry.

--
Wojciech Bańcer
w...@g...com

do góry

Wojciech Bancer <w...@g...com> writes:

> On 2019-02-22, Kamil Jońca <k...@p...onet.pl> wrote:
>
> [...]
>
>>> Czyli podsumowując:
>>> - musi być pracodawcą ponad 2 lata
>>> - musi się przestać układać
>> Tak.
>>
>>> - wspomniany pracodawca (inny pracownik, w kadrach) musi lubić
>>> ryzyko i potencjalnie ryzykować odsiadkę uzyskując nieupoważniony
>>> dostęp do danych
>>
>> Niekoniecznie. Samo zalogowanie się i sprawdzenie czy nie musi rodzić
>> problemów, a może dać info gdzie węszyć.
>
> Znaczy tego przepisu nie ma?
> https://www.arslege.pl/bezprawne-uzyskanie-informacj
i/k1/a304/
Jest. Ale to udowodnij.

KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Illusion is the first of all pleasures.
-- Voltaire

do góry

On 2019-02-22, Kamil Jońca <k...@p...onet.pl> wrote:

[...]

>>> Niekoniecznie. Samo zalogowanie się i sprawdzenie czy nie musi rodzić
>>> problemów, a może dać info gdzie węszyć.
>>
>> Znaczy tego przepisu nie ma?
>> https://www.arslege.pl/bezprawne-uzyskanie-informacj
i/k1/a304/
> Jest. Ale to udowodnij.

Rozpatrując obecny scenariusz: widać próby logowania w systemie.

A w innym przypadku (brak dostępu do historii logowania), jakbym miał podejrzenia,
to zgłosiłbym je do administratorów z prośbą o tego typu informację.
Jak już by mi zależało oczywiście.

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-02-22, Liwiusz <l...@b...tego.poczta.onet.pl> wrote:

[...]

> Aż dziwne, że takie oczywistości związane z bezpieczeństwem trzeba
> tłumaczyć. Wojtek zatrzymał się chyba z wyobraźnią komputerową pod

Boże, czy ty umiesz nie-ad personan i bez mani wielkkości bijącej
z Twoich przekonań? Już Ci prostowałem "oczywistości" z Twojej
specjalistycznej wiedzy księgowej. Tutaj masz podobną.

Nie piszę o tym, że nie należy łatać. To jest dziura i to jest
oczywiste. Niepotrzebne jest tylko wyolbrzymiania tejże luki,
bo nie ma ona ani takiego zakresu, ani takich kosekwencji jak
to się próbuje przedstawić.

--
Wojciech Bańcer
w...@g...com

do góry