Wojciech Bancer <w...@g...com> writes:

> iPad i iPhone są szyfrowane w standardzie jeśli tylko ustalisz PIN,
> chyba już od wersji 3GS. Komputery w firmach szyfruje się w standardzie

Czy to jest szyfrowane zmutowanym PINem? Coś w stylu bcryptu albo innego
pbkdf2?
--
Krzysztof Hałasa

do góry

Szymon <...@w...pl> writes:

> iPady, z których korzystałem miały 4-cyfrowy.

Podstawowa różnica pomiędzy 4- i 6-cyfrowymi PINami jest taka, że
w pierszym przypadku statystycznie 0,01% PINów zostanie złamanych
w pierwszej próbie (to dość dużo), a w drugim - 0,0001% (to już jest
przypuszczalnie wartość normalnie akceptowalna, poza nielicznymi
przypadkami niewątpliwie).

No i może ma to znaczenie, gdyby ktoś chciał atakować taki PIN mozolnie
godzinami walcząc z telefonem (tak jak 3-cyfrowe kłódki, tylko
oczywiście dłużej).

Normalnie jednak różnica jest nieistotna.
--
Krzysztof Hałasa

do góry

On 2019-08-18, Szymon <...@w...pl> wrote:

[...]

>> Zakładasz, że ów Rozbójnik Rumcajs najpierw Ci połamie palce, żeby dostać
>> pin do telefonu, potem nogi, żeby pin do aplikacji bankowej, a na koniec
>> wstuka dziarsko 26 cyfr "anonimowego konta" bankowego i dokona przelewu?
>
> Nie, to dużo prostsze.

Mylisz się.

>> na dłuższe niż 4-cyfrowe PINy) + maziane znaki lub biometrykę.
>> Niespecjalnie dopasujesz, ale powodzenia.
>
> iPady, z których korzystałem miały 4-cyfrowy.

A od iOS9 mają 6-cyfrowy. Więc inny niż na karcie.

> Pominąłeś znów najistotniejszy aspekt - człowieka. Ten dąży do
> ułatwiania sobie życia. Proponujesz mi kolejne hasła, zabezpieczenia
> itd. Nie tędy droga.

Nic Ci nie proponuję, Ty masz sejf i swoje dziwactwa.
Skupiam się głównie na prostowaniu fałszywych twierdzeń, które
produkujesz ze względu na swoją niewiedzę.

[...]

> Przestępcy korzystają często ze słupów. Wątpliwe czy robiliby przelew na
> swoje konto.

Ci co napadają rabunkowo przypadkowych, obserwowanych przechodniów nie mają
"kont na słupa". Nie ta liga i nie ten level.

>> To już chyba prościej mu będzie załatwić "rozbójniczo" ten pin do karty.
>
> Zazwyczaj jest dość istotna różnica między stanem konta osoby
> zamożnej/dużej firmy, a limitem wypłaty w bankomacie jeśli chodzi o kartę.

Aplikacje mobilne mają nałożone większe limity, które dużo ciężej zmienić,
więc pudło. Nadal czekam na jakiś realny scenariusz.

[... ciach dygresja o bateriach nie na temat ...]

>> To źle sądzisz. Trzeba mieć dostęp do trybu diagnostycznego.
>> A to jest osobny tryb, w którym nie ma dostępu do danych użytkownika.
>
> OK. Przyznaję, że nie słyszałem, aby Windows posiadał tryb diagnostyczny
> pozwalający na pełen dostęp do urządzenia bez dostępu do danych użytkownika.

Jak masz laptopa bez CD, to ma zazwyczaj ukrytą partycję z systemem operacyjnym.
Na tej partycji jakieś podstawowe narzędzia diagnostyczne też się zapewne
znajdują.

[...]

> Nie zrozumiałeś. OK - łatwiej - są instytucje, które muszą mieć dostęp o
> najwyższym priorytecie nawet wówczas, gdy zabraknie tych "kilku osób".

Wymień te instytucje i podaj podstawę prawną. Oczywiście przypominam,
że nie rozmawiamy o budżetówce.

>> Do innych usług też nie. Bitcoina nie posiadam.
>
> Istnieje dość istotna różnica w czasie między zalogowaniem się od razu
> a... kiedyś tam, np. po dostarczeniu stosownych dokumentów. To kwestia
> bezpieczeństwa - takie martwe konta mogą zostać przejęte z różnych powodów.

Wymyślasz. Udostępnianie innym swojego hasła do FB jest poważnym naruszeniem
zasad bezpieczeństwa.

>> Na szczęście poza Tobą reszta świata nie ma tutaj problemów.
>
> Tradycyjnie się mylisz. Brak kompatybilności to potężny problem.

Znowu wymyślasz. Od 1993 roku istnieje PDF.
W 2007 specyfikacja jest dostępna w ramach ISO.
Powtórzę: reszta świata ogarnęła.

>> to są duże molochy (Microsoft, Google i Amazon), które nie dość że
>> spełniają o wiele bardziej restrykcje ustawy RODO/GDPR, to pozwalają
>> mi oszdzędzać pieniądze, usprawniając jednocześnie dostęp do danych.
>
> Czyli dyski sieciowe nie mają sensu?

Oferują znacznie niższy poziom bezpieczeństwa i niezawodności
niż rozwiązania chmurowe.

[...]

> najistotniejsza - wrzucając dokument do chmury nigdy nie wiesz kto i jak
> z niego korzysta.

Jak skorzystam z odpowiednich usług to wiem.
Proszę, albo doczytaj, albo przestań się wypowiadać na temat
którego nie ogarniasz.

[...]

> Nie, nie trzeba.
> To łatwo zrozumieć... Nie włamiesz się do czegoś, co nie jest podłączone
> do sieci, a tym bardziej do prądu. Jeśli mam swój dysk to dostęp do
> niego mam ja. Jeśli wrzucam coś gdzieś tam - zawsze zwiększam ryzyko
> kradzieży.
> Już. Koniec szkolenia.

Może faktycznie jak masz ten warzywniak o którym tak drałujesz.
Cokolwiek większe przedsiębiorstwa niestety mają dane dostępne online
i nie jest dla nich opcją wsadzenie czegoś do sejfu, bo jakiś pracownik
nie ogarnia rzeczywistości XXI w.

[... ciach jakieś dywagacje nie na temat ...]

>> to jeszcze w trybie ciągłym musisz płacić mu za zajmowanie się rzeczami,
>> które ja albo mam za darmo, albo płacę jakieś opłaty na poziomie 1/10
>> pensji minimalnej. Rocznie.
>
> Dysk zewnętrzny nie jest drogi.

Ale jest powolny, zawodny i nie można ustalić kto z niego korzystał.

[... ciach kolejne wyobrażenia nt. dyski zewnętrzne vs chmura ...]

Doczytaj jak nie wiesz. Nie chce mi się Ciebie edukować,
bo i tak wiesz swoje, więc doczytaj sobie w innych źródłach.

[... ciach żale o nieumiejętności przenoszenia danych ...]

>>> Jeśli natomiast będzie to szafa na ubrania, a klucz
>>> "uniwersalny" to możesz mieć kłopot, gdy coś się wydarzy.
>>
>> W budżetówce na pewno, ale reszta świata sobie poradzi.
>
> Jeszcze w poważnych firmach i - powiedzmy - indywidualnych przypadkach.

Wbrew pozorom poważne firmy się nie zatrzymały w latach 90-tych,
więc Ty o nich już dawno przestałeś pisać.

>> Zaświadczenia z ZUSu możesz dostać elektronicznie.
> To po co wysyłają 13 mln listów rocznie z informacją o składkach i
> prognozą emerytury? ;-)

Bo mają obowiązek ustawowy.

>> To jest tak proste, że aż dziw, że na to nie wpadłeś.
>> Nie mają interesu w tym by Ci ułatwiać zamykanie konta.
>> To jest tylko ich zła wola, a nie uwarunkowania prawne.
>
> Zwróciłeś jednak uwagę, że papier ma większą moc prawną niż
> elektroniczny dokument, prawda?

Papierowe sprawozdanie finansowe nie ma żadnej mocy prawnej,
a te w JPK i owszem.

[... ciach dygresja o call center ...]

> Zostałeś wezwany poleconym (a jakże) w charakterze świadka na rozprawę.
> Wyślesz SMS, mail czy pismo z prośbą o zmianę terminu?

Wyślę to na co pozwala ustawa.
W e-sądzie ustawa pozwala wysłać pozew elektronicznie.

[...]

>> No patrz, obecnie dokumentację ZUSowską prowadzi się wyłącznie
>> elektronicznie (w płatniku) i nie trzeba niczego udowdaniać,
>> poza wskazaniem podmiotu/podmiotów.
>
> Dziś.

Tak, dziś, w 2019 roku, a nie 1995.

> Ale już gdy obliczano kapitał początkowy parę lat temu to ZUS nie
> był taki nowoczesny i kazał sobie przysyłać świadectwa pracy czy tam
> inne dowody.

I często się okazuje że ten Niezawodny Papier nie przetrwał.

>> W żadnym miejscu gdzie traktuje się bezpieczeństwo poważnie
>> nie drukuje się i nie przechowuje haseł na papierze, bo w razie
>> skompromitowania systemu nie wiadomo kto tego nie dopilnował.
>
> Dziwna koncepcja.

Z podstaw bezpieczeństwa.

[... ciach kolejne dywagacje nie na temat o coca-coli...]

>>> Kasa pancerna, sejf bardziej do ludzi (a sędzia też może być
>>> człowiekiem) przemawia niż tłumaczenie, że to Apple było i certyfikat.
>>
>> Opinia biegłego wystarczy.
>
> Niestety nie.

Tak.

>> w systemie "wkładam sobie cośtam do sejfu".
>
> Wprost przeciwnie. Do sejfu mają dostęp konkretne osoby.

Ależ oczywiście.

[... dygresja o Pawle Wimmerze znowu nie na temat ...]

>>> Ależ nie. Włożę gotowy materiał nagraniowy do sejfu.
>> Nikt tak nie robi.
> Mylisz się.

Nie.

[...]

> reżyser, w tamtym czasie do scenariusza miała dostęp garstka jego
> najbliższych współpracowników, co skłoniło go początkowo do ogłoszenia
> rezygnacji z projektu. [...]

Widzisz, garstka osób, a nie wiadomo kto spowodował "wyciek".
Zapewne ktoś z tej garstki.

> W paru wywiadach zwierzył się dziennikarzom, jak dotkliwie sytuacja
> ta wywarła negatywny wpływ na jego samopoczucie i psychikę [...]

To że ktoś ma nieleczoną paranoję i urazy z przeszłości nie znaczy
że wymyśla najlepsze rozwiazania na dany problem.
Powtarzam, świat to ogarnął w ogólności dużo lepiej.

>> zewnętrznego, ani nie wykręcisz dysku z komputera. Kombinuj
>> dalej. [...]
>
> Coś chyba znowu nie zrozumiałeś. Po co blokować w ten sposób komputer?

Bo takie są wymogi bezpieczeństwa.
Nie w warzywniaku, czy w szkole podstawowej, ale w miejscach
gdzie przyjęto że np. do wycieku może doprowadzić przekupiony
pracownik.

I niestety wtedy sejf Ci nie pomoże, a wyizolowana sieć (tak,
można taką mieć w internecie) w której logowane są wszystkie
akcje użytkownika i owszem.

Spróbuj np. coś wpiąć do komputera w sieci wewnętrznej banku.

>> i zauważ że dokumenty księgowe jesteś zobowiązany wysyłać do US/ZUS
>> drogą elektroniczną.
>
> Była awaria - będzie tolerancja odnośnie terminów. To głupstwo. Tak jak
> chwilowy brak rzodkiewki na targu nie jest problemem.

Takie "głupstwo" jak szpital też bez prądu nie uciągnie.
Nie dłużej niż 1 dzień, a przez ten 1 dzień to nie dlatego że
nie mają prądu, tylko dlatego że mają agregaty zapasowe.

Zasadniczo poważna firma w dzisiejszych czasach nie będzie działać
bez prądu, za to może zainwestować w awaryjne źródła, żeby być
odpornym krótkoterminowo.

>> Czyli masz ten ~2000 realych znajomych?
>
> Nie potrzeba aż tylu.
> Zazwyczaj grupa reprezentatywna w badaniach to ok.
> 1000 osób.

Czyli masz ~1000 znajomych?

[... ciach nieistotna dygresja nt. statystyki ...]

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-08-18, Krzysztof Halasa <k...@p...waw.pl> wrote:

[...]

>> iPad i iPhone są szyfrowane w standardzie jeśli tylko ustalisz PIN,
>> chyba już od wersji 3GS. Komputery w firmach szyfruje się w standardzie
>
> Czy to jest szyfrowane zmutowanym PINem? Coś w stylu bcryptu albo innego
> pbkdf2?

Jest szyfrowane kluczem wewnętrzny urządzenia (przechowywany w chipie)
połączonym z passcodem. Przy nie-wyjętym dysku i działającym
urządzeniu masz do złamania faktycznie tylko passcode, przy czym
po 3 próbach urządzenie na godzinę się blokuje, a przy ustawieniu
paranoicznym - po 10-ciu się zeruje.

Opis masz tu:
https://www.apple.com/business/docs/site/iOS_Securit
y_Guide.pdf
strona 15.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 2019-08-18 o 23:16, Wojciech Bancer pisze:
>> iPady, z których korzystałem miały 4-cyfrowy.
>
> A od iOS9 mają 6-cyfrowy. Więc inny niż na karcie.

Stoi przede mną iPad. Wersja oprogramowania 12.3.1. Wchodzę
ustawienia/kod/włącz kod/ustaw kod. Chce 4 cyfr.
Żądasz ode mnie, abym zaprzeczał rzeczywistości, którą widzę i czuję
(mam w rękach).

> Aplikacje mobilne mają nałożone większe limity, które dużo ciężej zmienić,
> więc pudło. Nadal czekam na jakiś realny scenariusz.

Limit karty Millenium: 10.000
Limit przelewu Millenet: 50.000
Limit mobilny: 80.000 (?) - chyba, nie korzystam.

Założyłem, że więcej można stracić w wyniku przelewu niż kradzieży
karty. Tzn. dla mnie 50.000 to więcej niż 10.000.
Swego czasu niektóre banki ubezpieczały klienta od rabunku gotówki
podczas wypłaty z bankomatu. Dziwnie byłoby ubezpieczać od sytuacji,
które nigdy nie istniały.

> [... ciach dygresja o bateriach nie na temat ...]

Znowu nie widzisz analogii?

> Jak masz laptopa bez CD, to ma zazwyczaj ukrytą partycję z systemem operacyjnym.

Mam laptopa bez CD i nie mam ukrytej partycji z systemem operacyjnym.
Sprzęt miał wymieniany dysk i nie miał żadnego systemu w momencie kupna.

> Na tej partycji jakieś podstawowe narzędzia diagnostyczne też się zapewne
> znajdują.

Nie takiego nie ma.
W przypadku stacjonarnych także nic takiego nie odnalazłem.

> Wymień te instytucje i podaj podstawę prawną. Oczywiście przypominam,
> że nie rozmawiamy o budżetówce.

Było wielokrotnie.

>> Istnieje dość istotna różnica w czasie między zalogowaniem się od razu
>> a... kiedyś tam, np. po dostarczeniu stosownych dokumentów. To kwestia
>> bezpieczeństwa - takie martwe konta mogą zostać przejęte z różnych powodów.
>
> Wymyślasz. Udostępnianie innym swojego hasła do FB jest poważnym naruszeniem
> zasad bezpieczeństwa.

Doprawdy?
Dziwne musisz mieć relacje z rodziną. ;-)

>> Tradycyjnie się mylisz. Brak kompatybilności to potężny problem.
>
> Znowu wymyślasz. Od 1993 roku istnieje PDF.

Sęk w tym, że w pdf nie da się trzymać wszystkiego.

> W 2007 specyfikacja jest dostępna w ramach ISO.
> Powtórzę: reszta świata ogarnęła.

pdf prawie, bo niektóre programy antywirusowe mogą być tak ustawione,
aby nie otwierać pdf. Tak to "ogarnięcie" wyglądało w 2011:
Banki ostrzegają przed nową odmianą wirusa Zeus. Za pomocą e-maila i
pliku w formacie PDF złodzieje mogą wykraść loginy i hasła m.in. do
systemu bankowości elektronicznej.

Z przyjemnością dowiem się jak zarazić wirusem kartkę papieru.

Tymczasem jest jeszcze szereg różnych innych plików, które stanowią
problem z kompatybilnością. Wspominałem o najpopularniejszych pakietach
biurowych, a nie pdf.

>> Czyli dyski sieciowe nie mają sensu?
>
> Oferują znacznie niższy poziom bezpieczeństwa i niezawodności
> niż rozwiązania chmurowe.

OK - nie żebym zamawiał na Interii artykuł, ale z dziś:

Trzy czwarte firm wraca z chmury publicznej do prywatnej

Spośród 350 ankietowanych firm, aż 74 proc. dokonało migracji aplikacji
do chmury publicznej, a następnie - z różnych powodów i okoliczności -
zdecydowało się przenieść ją z powrotem do infrastruktury lokalnej lub
prywatnej chmury.

Dla przykładu, 40 proc. respondentów zauważyło, że w niektórych
przypadkach wdrożenia w chmurze, które trafiły z powrotem do lokalnej
infrastruktury, miały charakter tymczasowych. Może to wynikać z różnych
czynników, takich jak potrzeba przeprowadzenia chwilowej migracji
środowiska IT w związku z przejęciem firmy lub jej połączeniem z inną.
Istnieje jednak wiele innych wskazywanych przyczyn, jak obawy dotyczące
bezpieczeństwa (!!! - przyp. mój), konieczność zmiany modelu zarządzania
kosztami, niska lub nieprzewidywalna wydajność zasobów w chmurze,
zmieniające się przepisy, konieczność opracowywania nowych aplikacji i
zmian w już użytkowanych.

Zarządzanie i bezpieczeństwo - to dwa aspekty, o których nie można
zapominać przy podejmowaniu decyzji o migracji do kilku środowisk
chmurowych.

Tradycyjnie największym wyzwaniem będzie zapewnienie bezpieczeństwa, z
przenoszeniem aplikacji i zapewnianiem usług DevOps branża IT nauczyła
się już sobie radzić.
------------

I co teraz kolego? Nie na temat, nie zrozumiałeś, nie znają się czy lata
90.? ;-)

> Proszę, albo doczytaj, albo przestań się wypowiadać na temat
> którego nie ogarniasz.

Czytam. Jak widzisz codziennie można znaleźć teksty dot. tez, które
stawiam. Nic nowego - są powszechnie dostępne.

A propos działalności gospodarczej. Dziś w Bankierze był odnośnik do
tekstu o konstytucji dla biznesu. A tam wypowiedź ministra:

Tłumaczył, że "działalność gospodarcza to prowadzenie działalności
zarobkowej w sposób zorganizowany i ciągły". W praktyce - jak mówił -
definicja ta rodzi sporo problemów. "Bo jeśli ktoś w jednym tygodniu
sprzeda trzy produkty, w kolejnym tygodniu - cztery, a później przez
kilka tygodni nic nie sprzeda, to pojawia się pytanie, czy prowadzi
działalność gospodarczą, czy nie prowadzi działalności gospodarczej?
Ludzie często tego nie wiedzą i z ostrożności nie decydują się na taką
dodatkową działalność" - opisywał.
------------

Próbowałem Ci wytłumaczyć jakiś czas temu na czym polegają kłopoty ze
zdefiniowaniem DG. Ty - oczywiście - wiedziałeś lepiej. Może powinieneś
pracować w ministerstwie? Skoro wiceminister Haładyj "nie ogarnia". ;-)

> Może faktycznie jak masz ten warzywniak o którym tak drałujesz.

Ja? Czyżby znowu projekcja?

> Cokolwiek większe przedsiębiorstwa niestety mają dane dostępne online
> i nie jest dla nich opcją wsadzenie czegoś do sejfu, bo jakiś pracownik
> nie ogarnia rzeczywistości XXI w.

Mylisz dwie rzeczywistości. Online i offline. To że np. policja ma swoją
stronę i udostępnia pewne rzeczy online nie oznacza, że nie posiada
sejfu/kasy i nie ma konieczności chronienia np. materiałów ściśle tajnych.

> [... ciach jakieś dywagacje nie na temat ...]

Zawsze mogę wytłumaczyć, skoro nie poradziłeś sobie ze zrozumieniem.

>> Dysk zewnętrzny nie jest drogi.
>
> Ale jest powolny, zawodny i nie można ustalić kto z niego korzystał.

I pewnie dlatego 3/4 firm wraca z chmury publicznej na prywatną.

> [... ciach kolejne wyobrażenia nt. dyski zewnętrzne vs chmura ...]
>
> Doczytaj jak nie wiesz. Nie chce mi się Ciebie edukować,
> bo i tak wiesz swoje, więc doczytaj sobie w innych źródłach.

To nie jest kwestia doczytania. Ani edukacji. Po prostu faktów. Widzę
iPada, który chce 4-cyfrowy PIN, a Ty mi tłumaczysz, że chce 6. Widzę
komputer bez ukrytych partycji, a Ty twierdzisz, że jest inaczej...
Piszę o czymś, o czym za kilka dni pisze np. Interia czy Bankier
powołując się na ekspertów, badania, ale Ty wiesz lepiej. Dziwna sytuacja...

> [... ciach żale o nieumiejętności przenoszenia danych ...]

W żadnym miejscu nie było o kłopotach z przenoszeniem danych. Coś nie
zrozumiałeś znowu...

>> Jeszcze w poważnych firmach i - powiedzmy - indywidualnych przypadkach.
>
> Wbrew pozorom poważne firmy się nie zatrzymały w latach 90-tych,
> więc Ty o nich już dawno przestałeś pisać.

Jakiś przykład? Do tej pory wskazałeś jedną firmę, która wykluczyła
papier i sejf z obrotu - swoją. Usługi IT. W jakimś biurze. Której nie
przeszkadza wstrzymanie działalności np. z powodu braku prądu.
Po przeciwnej stronie są miliony pracowników z różnych branż, ale tu
wszystko negujesz, bo urząd, bo służba, bo oświata, bo sądownictwo, bo
coś tam... Gdy już zostaje poziom warzywniaka to piszesz o poważnych
firmach. ;-)

>>> Zaświadczenia z ZUSu możesz dostać elektronicznie.
>> To po co wysyłają 13 mln listów rocznie z informacją o składkach i
>> prognozą emerytury? ;-)
>
> Bo mają obowiązek ustawowy.

Ja nie dostaję. Zatem łamią prawo? Może wysłali mi elektronicznie i nie
dotarło. ;-)

>> Zostałeś wezwany poleconym (a jakże) w charakterze świadka na rozprawę.
>> Wyślesz SMS, mail czy pismo z prośbą o zmianę terminu?
>
> Wyślę to na co pozwala ustawa.
> W e-sądzie ustawa pozwala wysłać pozew elektronicznie.

Jest pewna różnica między pozwem, a prośbą o zmianę terminu czy
usprawiedliwieniem stawiennictwa.

Przewodniczący sejmowej komisji ds. VAT twierdzi, że nie otrzymał
usprawiedliwienia nieobecności Donalda Tuska przed komisją. Pełnomocnik
byłego premiera w odpowiedzi upublicznił dowód nadania pisma z piątkową
datą i sugeruje powolne działanie Poczty Polskiej.

Będący pełnomocnikiem Donalda Tuska Roman Giertych zapewnił z kolei, że
pismo z usprawiedliwieniem nieobecności byłego premiera RP wysłał w
piątek. Pokazał zdjęcie potwierdzenia nadania.
------------

Już widzę jak Giertych machałby iPhonem dowodząc, że wysłał mailem czy
tam na chmurę wrzucił. ;-)

> Z podstaw bezpieczeństwa.
>
> [... ciach kolejne dywagacje nie na temat o coca-coli...]

Ale tego też nie zrozumiałeś??? Nie wierzę. Sądzę, że to już bicie
piany. Przykład Coca-coli był typowym przykładem ukazującym dlaczego
pewne dane są trzymane w sejfie.

>>> Opinia biegłego wystarczy.
>>
>> Niestety nie.
>
> Tak.

Haha... Jak z gimbazą:
- nie, bo nie.
- Tak, bo tak.

OK. Wydawało mi się oczywiste, ale OK. Otóż kolego opinie bywają różne,
często wykluczające się nawzajem. Bowiem to... opinie. A zatem nie fakt
lecz przekonanie. W przypadku np. problemów z zakresu psychiatrii
powołuje się zespół biegłych. Bywa, iż ekspert obrony i oskarżenia mówi
co innego.
Jeśli nadzieja w biegłym przy wycieku danych to... powodzenia.

>> reżyser, w tamtym czasie do scenariusza miała dostęp garstka jego
>> najbliższych współpracowników, co skłoniło go początkowo do ogłoszenia
>> rezygnacji z projektu. [...]
>
> Widzisz, garstka osób, a nie wiadomo kto spowodował "wyciek".
> Zapewne ktoś z tej garstki.

Trzymał pewnie w wersji elektronicznej, więc nie wiadomo.

>> W paru wywiadach zwierzył się dziennikarzom, jak dotkliwie sytuacja
>> ta wywarła negatywny wpływ na jego samopoczucie i psychikę [...]
>
> To że ktoś ma nieleczoną paranoję i urazy z przeszłości nie znaczy
> że wymyśla najlepsze rozwiazania na dany problem.
> Powtarzam, świat to ogarnął w ogólności dużo lepiej.

A często Ci się wydaje, że jesteś reprezentantem ogółu ludzkości? Masz
jakieś preferencje w stylu: dziś bardziej identyfikuję się z
Koreańczykami, a wczoraj z Amerykanami, czy też każdego dnia dotyka Cię
poczucie transcendencji w ujęciu globalnym?

>> Coś chyba znowu nie zrozumiałeś. Po co blokować w ten sposób komputer?
>
> Bo takie są wymogi bezpieczeństwa.

Dość to idiotyczne, nie sądzisz? Mam sam sobie zablokować USB, bo takie
są wymogi?

> Nie w warzywniaku, czy w szkole podstawowej, ale w miejscach
> gdzie przyjęto że np. do wycieku może doprowadzić przekupiony
> pracownik.

Ty jednak nie masz pojęcia o czym piszesz. Byłeś kiedyś w studio
nagraniowym? Odwiedź chociaż i zapytaj ludzi jak się tam pracuje. Kto ma
dostęp, jak wygląda nagranie, co się dzieje z materiałem, jakie są
warunki wynajęcia.

> I niestety wtedy sejf Ci nie pomoże, a wyizolowana sieć (tak,
> można taką mieć w internecie) w której logowane są wszystkie
> akcje użytkownika i owszem.

Nie masz racji albo nie zrozumiałeś idei sejfu.

> Spróbuj np. coś wpiąć do komputera w sieci wewnętrznej banku.

Ja o danych unikatowych, a Ty znów o marchewce.
Teza jakoby bank nie posiadał sejfu jest dość... hmmm... nie zapędziłeś się?

>> Była awaria - będzie tolerancja odnośnie terminów. To głupstwo. Tak jak
>> chwilowy brak rzodkiewki na targu nie jest problemem.
>
> Takie "głupstwo" jak szpital też bez prądu nie uciągnie.

A takie rzecz jak plany ewakuacyjne czy różnego rodzaju instrukcje to -
według Ciebie - też są trzymane jedynie w chmurze czy jednak drukowane,
a wręcz przyczepiane/naklejane np. na stosownych urządzeniach?

> Nie dłużej niż 1 dzień, a przez ten 1 dzień to nie dlatego że
> nie mają prądu, tylko dlatego że mają agregaty zapasowe.

Znowu o marchewce. Instrukcję obsługi defibrylatora masz w formie
papierowej czy do ściągnięcia w pdf?

> Zasadniczo poważna firma w dzisiejszych czasach nie będzie działać
> bez prądu, za to może zainwestować w awaryjne źródła, żeby być
> odpornym krótkoterminowo.

Zdecydowanie mamy różną definicję "poważnej firmy".

>> Nie potrzeba aż tylu.
>> Zazwyczaj grupa reprezentatywna w badaniach to ok.
>> 1000 osób.
>
> Czyli masz ~1000 znajomych?

A twierdziłem, że przeprowadzałem badanie statystyczne czy, że moja
grupa jest bardziej (!) reprezentatywna niż Twoja?

> [... ciach nieistotna dygresja nt. statystyki ...]

Wszystko, co nie wpisuje się w Twój punkt widzenia jest nieistotne. ;-)
Wygodna koncepcja.

do góry

On 2019-08-19, Szymon <...@w...pl> wrote:
> W dniu 2019-08-18 o 23:16, Wojciech Bancer pisze:
>>> iPady, z których korzystałem miały 4-cyfrowy.
>>
>> A od iOS9 mają 6-cyfrowy. Więc inny niż na karcie.
>
> Stoi przede mną iPad. Wersja oprogramowania 12.3.1. Wchodzę
> ustawienia/kod/włącz kod/ustaw kod. Chce 4 cyfr.
> Żądasz ode mnie, abym zaprzeczał rzeczywistości, którą widzę i czuję
> (mam w rękach).

Wzdech. Jak dziecku "ja mam tak, to wszyscy na świecie też".
Jak masz stary sprzęt, o przecież Ci samoczynnie pinu nie zmienią.
Przy którejś aktualizacji system pytał o zmianę passcode. Jak to olałeś,
to Ci został 4-cyfrowy, którego można zmienić, ale trzeba to zrobić samemu.
Nowe domyślnie mają 6-cyfrowy PIN.

>> Aplikacje mobilne mają nałożone większe limity, które dużo ciężej zmienić,
>> więc pudło. Nadal czekam na jakiś realny scenariusz.
>
> Limit karty Millenium: 10.000
> Limit przelewu Millenet: 50.000
> Limit mobilny: 80.000 (?) - chyba, nie korzystam.

w mBanku to 600 zł, w PKO to 3000 zł, a w Aliorze/PeKaO 10k.
Na kartach możesz albo dużo więcej, albo tyle samo.

Ale jak zwykle jesteś wzorcowym Polakiem, masz swoją gablotkę
w Sevres i zakładasz, że wszyscy mają tak jak Ty. :)

>> Jak masz laptopa bez CD, to ma zazwyczaj ukrytą partycję z systemem operacyjnym.
>
> Mam laptopa bez CD i nie mam ukrytej partycji z systemem operacyjnym.
> Sprzęt miał wymieniany dysk i nie miał żadnego systemu w momencie kupna.

Dobrze, uściślę: jak nie będziesz miał składaka, to na 90% będziesz miał taką
partycję, chyba że ją sobie wyawlisz. I firmowy serwis z niej skorzysta.
Serwisy zewnętrzne dla składaków dysponują swoimi live cd/usb z narzędziami
diagnostycznymi, tak jak dysponują własnymi śrubokrętami.
Dostęp do Twoich danych im w każdym razie nie jest potrzebny.

>> Wymień te instytucje i podaj podstawę prawną. Oczywiście przypominam,
>> że nie rozmawiamy o budżetówce.
>
> Było wielokrotnie.

Nie było. Nie żyjemy w PRLu, żeby każdemu urzędnikowi było wolno wszystko
co sobie zamarzy.

[...]

A dalej to mi się już odechciało.
Za dużo anegdotek plotkarskich, a za mało Twojej własnej argumentacji.
Do swojej argumentacji Cię nie przekonam, Ty mnie do swojej też nie,
zwłaszcza cytatami o coca coli, czy z interii.

Szczęściem świat zmierza w kierunku który sugeruję, że jednak mam
rację i to mi wystarczy. Nie muszę przekonywać osobników z ciepłymi
wspomnieniami o PRL. :)

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 2019-08-19 o 11:16, Wojciech Bancer pisze:
>> Stoi przede mną iPad. Wersja oprogramowania 12.3.1. Wchodzę
>> ustawienia/kod/włącz kod/ustaw kod. Chce 4 cyfr.
>> Żądasz ode mnie, abym zaprzeczał rzeczywistości, którą widzę i czuję
>> (mam w rękach).
>
> Wzdech. Jak dziecku "ja mam tak, to wszyscy na świecie też".

Wystarczy przyznać, że nie miałeś racji.

> Jak masz stary sprzęt, o przecież Ci samoczynnie pinu nie zmienią.

W poważnych firmach nie wymienia się sprzętu co tydzień. ;-) Przeciwnie
- jeśli sprzęt działa od kilku lat to się go nie zmienia. Pamiętasz
przykład z łodziami z bronią nuklearną i XP?

> Przy którejś aktualizacji system pytał o zmianę passcode. Jak to olałeś,
> to Ci został 4-cyfrowy, którego można zmienić, ale trzeba to zrobić samemu.

Nie został. Nie był wpisany.

> Ale jak zwykle jesteś wzorcowym Polakiem, masz swoją gablotkę
> w Sevres i zakładasz, że wszyscy mają tak jak Ty. :)

Gdy opracowuje się procedury bezpieczeństwa to należy przyjąć, że doszło
do sytuacji nietypowej. Nie ma tu pojęcia "wszyscy"/Ty/Nikt. To trochę
tak nie działa.

Stare powiedzenie amerykańskich prawników brzmi: wystarczy złapać
świadka raz na kłamstwie, aby podważyć jego wiarygodność.

Tak się właśnie testuje systemy. Szukając dziury w całym. Ty stworzyłeś
ultra dziurawy system, a na każde wskazanie masz odpowiedź z stylu "lata
90.", "PRL", "dinozaur" itd.

> A dalej to mi się już odechciało.

OK. Jak zauważyłem - bicie piany z tego wyszło.

> Za dużo anegdotek plotkarskich, a za mało Twojej własnej argumentacji.

Własnej? Wszystko, co wynika z mojej argumentacji to PRL przecież.
Dlatego posługuję się źródłami. Ale to też PRL. Dla Ciebie kwestia
bezpieczeństwa przechowywania danych to "anegdotka plotkarska". OK -
masz prawo przecież tak myśleć.

> Do swojej argumentacji Cię nie przekonam, Ty mnie do swojej też nie,

Ależ przekonałeś mnie! Przyznałem Ci rację wielokrotnie, np. odnośnie
braku potrzeby posiadania sejfu przez sprzedawcę marchewki, hydraulika,
gabinetu masażu, a nawet firemki IT mieszczącej się w biurze. Słyszałem
nawet o wirtualnych biurach - tam pewnie poziom bezpieczeństwa jest
jeszcze niższy, ale kompletnie niepotrzebny. Zresztą - nie ma co
strzelać z armaty do wróbla. Każdy stosuje systemy takie, jakie są
adekwatne do tego co robi.
Zwróć uwagę, że stawiałem przed Tobą wyzwania: co zrobić w przypadku...
Jeśli znalazłeś rozwiązanie (faktura elektroniczna) - akceptowałem je.
Jeśli nie znalazłeś - problem okazał się z lat 90. ;-) Tymczasem
problemy (w poważnych firmach) się rozwiązuje, a nie etykietuje jakimiś
inwektywami.

> zwłaszcza cytatami o coca coli, czy z interii.

Czyli Coca-cola to też PRL? A dział biznesowy Interii to lata 90.?

> Szczęściem świat zmierza w kierunku który sugeruję,

"Świat" czyli Ty. Reszta niekoniecznie... Właściwie odwrót - spada
zainteresowanie chmurami publicznymi, spada sprzedaż iPhone'ów... A tak
- PRL.

że jednak mam
> rację i to mi wystarczy.

Doprawdy fakty przestały Cię interesować?

Nie muszę przekonywać osobników z ciepłymi
> wspomnieniami o PRL. :)
>

Osobiście mam wątpliwości czy Tarantino pamięta czasy PRL, ale nie
wątpię, że byłbyś gotowy mu to wmawiać. A co z firmami produkującymi
dedykowane nośnikom sejfy? Durnie rzecz jasna. ;-)

do góry

On 2019-08-19, Szymon <...@w...pl> wrote:

> [...] W poważnych firmach [...]

I dalej nie czytam.
Nie chcesz się odnosić merytorycznie, to Twoja sprawa.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 2019-08-19 o 12:35, Wojciech Bancer pisze:
> On 2019-08-19, Szymon <...@w...pl> wrote:
>
>> [...] W poważnych firmach [...]
>
> I dalej nie czytam.
> Nie chcesz się odnosić merytorycznie, to Twoja sprawa.
>

Niebywałe, iż nie zauważyłeś merytorycznych argumentów popartych
artykułami, analizami, opiniami ekspertów, sygnowanych przez portale
kapkę większe niż Twoja firma.

do góry

On 2019-08-19, Szymon <...@w...pl> wrote:

[...]

>> I dalej nie czytam.
>> Nie chcesz się odnosić merytorycznie, to Twoja sprawa.
>
> Niebywałe, iż nie zauważyłeś merytorycznych argumentów popartych
> artykułami, analizami, opiniami ekspertów, sygnowanych przez portale

Zauważyłem te wcinki z portali "codziennych".
Nie odnoszę się do tego ze względu na Twoją postawę.

> kapkę większe niż Twoja firma.

Której przykład mamy powyżej.

Nie chce mi się prowadzić dyskusji w tym tonie,
i tak już się dałem kilkukrotnie bez potrzeby
sprowokować, a Ty najwyrażniej taką przyjąłeś
strategię, by zamaskować (w mojej ocenie) własne
merytoryczne braki.

Tak, oczywiście się możesz z tą oceną nie zgadzać,
a ja mogę po prostu nie kontynuować dyskusji.

--
Wojciech Bańcer
w...@g...com

do góry