Davčne blagajne

In kako je vecji zavarovalnici padlo na pamet da implementira stvar v javi ki je embeddana v Oracle bazo? To je debilizem prve vrste. Oracle baza tudi servlete podpira, a to pomeni da se gre web service na bazi implementira? Mislim kot bi folk hotu met probleme in vendor lock-in.

Implementiran je podpis in pošiljanje na Furs preko java stored procedur (kar je ok in ensotavno za vzdrževanje in hitro) (pred leti so me iz fursa kontaktirali, ker smo imeli maso računov in so lahko testirali odzivnost strežnika na njihovi strani.. tako, da glede hitrosti in implementacije ni težav (teče več threadov, ki podpisujejo in pošiljajo podatke) faktur pa je mesečno okoli 500.000
Celotna poslovna logika je napisana na bazi (plsql) z uporabo procedur in funkcij tako potem nisi omejen z uporabo druge tehnologije (predvsem integracije IS z zunanjimi sistemi in vmesniki).. ampak to ni tema te debate..

Ostanejo mi 3 stvari:
1.) Implementacija povezave preko BouncyCastle
2.) Obstja nek patch za oracle bazo 11g, ki omogoča povezavo preko TLS1.2 (potem bom uporabil PLSQL za pošiljanje podatkov na FURS).
3.) Spisat webservisproxy (to mi najmanj diši ker je samo še 1 vmesni korak po poti do fursa).

videc je 21. mar 2018 ob 10:20 izjavil:

Verjetno je še najbolj pametna izbira BouncyCastle. Verjetno nekaj v tem stilu https://stackoverflow.com/questions/180... (na sredini strani).

Pri povezavi na FURS dobim:
Exception in thread "main" org.bouncycastle.crypto.tls.TlsFatalAlertReceived: handshake_failure(40)
at org.bouncycastle.crypto.tls.TlsProtocol.handleAlertMessage(Unknown Source)

Evo rešeno tudi z Javo 1.6 + BouncyCastle

Kar je potrebno je downloadad 2 knjižnice: bctls-jdk15on-159.jar in bcprov-jdk15on-159.jar + jce_policy-6.jar

V obstoječo kodo sem samo dodal:

Security.addProvider(new BouncyCastleProvider());
SSLContext sslcontext = SSLContext.getInstance("TLS",new BouncyCastleJsseProvider());

Ales je 21. mar 2018 ob 14:35 izjavil:

@trstenjak, upam, da ta tvoj direktorij posodabljaš.

Sicer pa tak "samodejni" update na mission critical opremi pomeni, da je admin zblojen in da je komunikacija med admini in programerji neobstoječa.

Ampak kaj ko so dandanes pogosto programerji tudi kvazi sistemski administratorji (pa najraje bi videli, da bi bili vsi skupaj še snažilke povrhu). Povrh vsega pa tudi niso sami krivi, če ni proračuna za testiranje. Tudi ko bi staging sisteme znali postaviti, jih marsikatero podjetje ne bi plačalo. Ne rabijo oni tega, ne adminov, ne testiranja.

No ja, niso vsi isti. So podjetja, ki vedo, kaj delajo.

Mission critical je vsaka blagajna, ki laufa v najmanjšem kafiču. Mission critical ja vsak PC z XP, Visto, 7, 10 ali Windows server, ki ga uporabljajo na firmi. Ker firme delajo po 12 ur na dan in 90% davčnih blagajn deluje v mikro okolju, brez serverja, brez adminov. To je realnost na terenu.

Pravzaprav je to bolj problem adminov, ki ne posodabljajo softwara.

In problem podjetja, ki ne plačuje vzdrževalnih pogodb . pa admin potem nima dostopa do "vendor" patchev...

Pač hobi varianta kvazi profesionalne firme, ki naj bi zagotavljala neprekinjeno delovanje za stranke...

Testno je TLS 1.0 100% zaprt. Kako bo pa s produkcijo, pa ne vem.

Pozdravljeni, zanima me sledeče. Ali je imel kdo primer, da FURS trdi, da računi niso bili potrjeni, ko pa pogledamo v bazo, pa naši računi imajo EOR kodo, ki jo je dodelil davčni strežnik?

Zato pa si shranil povratnice, da ni treba nikomur nič trditi.

Zanima me, če je mogoče še kdo drug od uporabnikov davčnega potrjevanja opazil težave na ECHO metodi.
Pri ECHO metodi na nekaterih lokacijah se ne more vzpostaviti SSL/TLS varni kanal
(System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.)

Nenavadno je ker je to samo na nekaterih lokacijah in samo pri ECHO metodi, potrjevanje računov deluje povsod brez težav.

Hmm, meni se sedaj nekje od konca avgusta dnevno dogaja, da en request (prvi zjutraj) crkne z "The request was aborted: Could not create SSL/TLS secure channel." Se je že tudi pred tem dogajalo, ma ne pa vsak dan ... Naknadna potrditev kasneje potem pa gre, seveda. Se še komu tako dogaja?

DamijanD je 6. okt 2018 ob 09:54 izjavil:

Račun izdan za drugo podjetje?

Primer, če obstaja trgovina A, ki izdaja račune. In imajo blagajničarja, ki ni zaposlen pri njih ampak je npr S.P. (torej pravna oseba B). Ali v primeru, če račun izda oseba B, to dejansko pomeni, da je račun izdalo podjetje B za podjetje A in mora potemtakem biti podpisan z certifikatom podjetja B?

Meni osebno se zgornji primer ne zdi to. Zanima me v katerem primeru so izpolnjeni pogoji, da se račun izdaja za drugo podjetje?

Kaj bi naredil, ce ne bi bilo davcnih blagajn?

gego je 24. sep 2018 ob 08:21 izjavil:

Hmm, meni se sedaj nekje od konca avgusta dnevno dogaja, da en request (prvi zjutraj) crkne z "The request was aborted: Could not create SSL/TLS secure channel." Se je že tudi pred tem dogajalo, ma ne pa vsak dan ... Naknadna potrditev kasneje potem pa gre, seveda. Se še komu tako dogaja?

To je bug pri FURS demotu, ker vzpostavi TLS 1.2 potem ko vzpostavi prvi web request.

DamijanD je 6. okt 2018 ob 09:54 izjavil:

Račun izdan za drugo podjetje?

Primer, če obstaja trgovina A, ki izdaja račune. In imajo blagajničarja, ki ni zaposlen pri njih ampak je npr S.P. (torej pravna oseba B). Ali v primeru, če račun izda oseba B, to dejansko pomeni, da je račun izdalo podjetje B za podjetje A in mora potemtakem biti podpisan z certifikatom podjetja B?

Meni osebno se zgornji primer ne zdi to. Zanima me v katerem primeru so izpolnjeni pogoji, da se račun izdaja za drugo podjetje?

Še dva primera za razmislit:
- parkirišče: avtomatske blagajne + ročna blagajna: čez dan izdaja račune zaposleni, ponoči pa varnostna služba (drugo podjetje)
- parkirišče: avtomatske blagajne + ročna blagajna: vedno izdaja račune varnostna služba (drugo podjetje)

Glede parkirnin: a ni v enem prvih členov ZDDV našteto, za kateres storitve ni treba izdajati računov (npr. vozovnice za vlak/bus, kino karte in verjetno tudi parkirni listki)?

ne govor

Nekaj časa je delal novi certifikat, potem pa zopet stari.
Hofer je celo zaprl trgovine.

Jaz imam kar tako:
public static bool ValidateServerCertificate(object sender, X509Certificate certificate,
X509Chain chain, SslPolicyErrors sslPolicyErrors)
{
// Accept all certificates
return true;
}

A bo tako OK?

Ja, menda zaradi tega niso trgovine delale.

Zamenjati moraš certifikat, s katerim preverjaš "pristnost" FURSovega strežnika.
Torej da je blagajne.fu.gov.si res FURSov strežnik.
Če te to sploh zanima. Lahko pa tudi ne preverjaš, kdo se ti na tem naslovu oglasi, pa nimaš težav s tem certifikatom.

Tisti drugi certifikat, ki ti ga je FURS dodalil in si ga preko eDavkov shranil, ostane še nekaj let nespremenjen.

Saj ni imel FURS težave, ampak klienti, blagajne.
So prejšnji teden na FURSu zamenjali ("posodobili") serverski certifikat.
In blagajne niso več "prepoznale" FURSovega strežnika.

In potem so na FURSu dali nazaj star certifikat na strežnik.
In postavili "testni" stežnik z novim certifikatom.

In 10.11. bodo spet dali nov certifikat na "ta pravi" strežnik.

So prejšnji teden na FURSu zamenjali ("posodobili") serverski certifikat.
In blagajne niso več "prepoznale" FURSovega strežnika.

Tudi o tem ne vidim nobenega obvestila, razen tistih post festum.

A to vi notr hard-codeate kar certe? A niso vsi certi izdani od SI Trust Root CA in njegovih podrejenih CA?

Spura je 31. okt 2018 ob 14:20 izjavil:

A to vi notr hard-codeate kar certe? A niso vsi certi izdani od SI Trust Root CA in njegovih podrejenih CA?

Ne, sm so na fursu cheap bitches in imajo self signed cert :-)
Jaz imam na validaciji return true in nimam takih težav.
Če kdo sheka furs bo to da jaz ne preverjam cert še najmanjša težava :-D

Spura je 31. okt 2018 ob 14:20 izjavil:

A to vi notr hard-codeate kar certe? A niso vsi certi izdani od SI Trust Root CA in njegovih podrejenih CA?

*optimistično* Morda pa majo cert pinning vklopljen?

Tukaj se je potrebno vprašat kaj bi s takim MITM napadom napadalec rad dosegel.

trstenjak je 30. okt 2018 ob 01:06 izjavil:

Na portu 9009 je produkcijski strežnik in tam naj poskušamo, če deluje? Ali prav razumem, da ni testnega strežnika?

Ce te samo cert zanima lahko sprobas delovanje https brez tega, da bi karkoli poslal.