Forum » Znanost in tehnologija » Zasebnostna analiza aplikacije za preverjanje izpolnjevanja PCT pogojev
Zasebnostna analiza aplikacije za preverjanje izpolnjevanja PCT pogojev
Okapi ::
Natakar ima dolžnost preveriti osebno izkaznico, ker mlajšim od 18 let ne sme postreči alkohola. Trditev, da tega ne sme, je izmišljotina.
Lahko pa mu osebne ne pokažeš (policistu jo moraš), in v tem primeru te pač ne postreže, oziroma ne spusti v lokal.
Lahko pa mu osebne ne pokažeš (policistu jo moraš), in v tem primeru te pač ne postreže, oziroma ne spusti v lokal.
Zgodovina sprememb…
- spremenil: Okapi ()
Markus386 ::
Ja, to je pa posledica idiotov, ki se ne morejo cepit. Pri dovolj veliki precepljenosti to ne bi bilo potrebno. Se eden od ukrepov, ki so ga sprozili idioti, ki se bojijo svoje sence. Enako kot lockdowne, ki so tukaj samo zato, ker razni kreteni ne morejo ostati 1 mesec doma. Takle imamo.
Pa saj, ce se cepis, si naceloma precej zasciten, oni pa pac niso... nevem kaj se mas za sekirat. Jaz sem se cepil zase, ne za druge, ce se drugi nocejo, je to cisto njihov problem.
- kaj bodo naredili, če jim kdo odtuji zasebni ključ s katerim se v njihovi aplikaciji podpisuje vsebino?
- logično bi bilo da se prekliče certifikat, samo to pomeni, da bomo vsi dobili na novo podpisane QR kode, ki jih bomo morali ponovno printati oz. uvažati v zVem aplikacijo - nekako druge možnosti ne vidim.
A sem kaj spregledal (v cepilske debate se naprej ne bom spuščal), s tehničnega vidika?
Ce nekdo vzame kljuc, bo treba generirat in printat vse nanovo :)
Zgodovina sprememb…
- spremenilo: Markus386 ()
Markus386 ::
Natakar ima dolžnost preveriti osebno izkaznico, ker mlajšim od 18 let ne sme postreči alkohola. Trditev, da tega ne sme, je izmišljotina.
Lahko pa mu osebne ne pokažeš (policistu jo moraš), in v tem primeru te pač ne postreže, oziroma ne spusti v lokal.
Ampak to doloca zakon, in preverja samo datum rojstva + fotko, in to brez skeniranja celotne osebne vkljucno z zdravstvenimi podatki.
Tukaj nimamo ne zakona, skenira z aplikacijo, ki z modifikacijo omogoca shranjevanje, in gleda v zasebne zdravstvene podatke.
k-van-t ::
Sicer je nekaj zelo dostojnih pki poznavalcev obcasno prisotnih tule, a se se niso nic oglasili ...
... pa ker je bilo omenjeno tudi private-key BF ...
hja, nekje 100 let nazaj je bil teoreticno postavljen model jedrske reakcije, tudi v smislu orozja ... se 25 let (in zelo veliko vlozenega) je bilo potem potrebnih do prakticnega prikaza in s tem koncanje WW2.
Razlicni napadi na sam princip/implementacijo pki seveda potekajo, tudi s kar znatnimi vlozki ... trenutno najvec obetajo quant stroji ... rezultati so zaenkrat (se) neuspesni ... a do 2100 zagotovo uspejo!
Do takrat pa je seveda weakest-link drugje ... anyone?
... pa ker je bilo omenjeno tudi private-key BF ...
hja, nekje 100 let nazaj je bil teoreticno postavljen model jedrske reakcije, tudi v smislu orozja ... se 25 let (in zelo veliko vlozenega) je bilo potem potrebnih do prakticnega prikaza in s tem koncanje WW2.
Razlicni napadi na sam princip/implementacijo pki seveda potekajo, tudi s kar znatnimi vlozki ... trenutno najvec obetajo quant stroji ... rezultati so zaenkrat (se) neuspesni ... a do 2100 zagotovo uspejo!
Do takrat pa je seveda weakest-link drugje ... anyone?
c3p0 ::
Moderatorji, če t svinjo zmista ne blokirate in odstranite, bom podal ovadbo tudi zoper slo-tech, da dopušča takšno žaljenje uporabnikov foruma.
Mislim, hinavski gnoj in egoistični izdrebek itd? Mislim, da nekdo lahko nekoga tako žali. PRAV PRIZADET SEM!
Print-screene vsega sem naredil. Če v roku 24 ur tega ne odstanite, sledi prijava in kazenska ovadba zoper zmista (pa da se srečamo pred tožilstvom, ti svinja neotesana)
Ne ga prijavljat, za "antivaxx" movement je naredil mnogo več od vseh antivaxerjev.
Te pizde (če pišem v njihovem vulgarnem stilu), bodo zdaj za vsak nov fašistični ukrep širile mantro "to je zato, ker se niste cepili!". Cepci.
Horas ::
8700k+z390, 32gb 3600mhz, 1080ti, 700w gold, 512gb+2x250gb m.2 nvme + 2tb hdd
8500+b360, 32gb 2666mhz, rx 6600, 600w bronze, 512gb+250gb ssd m.2 + 2tb hdd
8500+b360, 32gb 2666mhz, rx 6600, 600w bronze, 512gb+250gb ssd m.2 + 2tb hdd
zmist ::
Ja, to je pa posledica idiotov, ki se ne morejo cepit. Pri dovolj veliki precepljenosti to ne bi bilo potrebno. Se eden od ukrepov, ki so ga sprozili idioti, ki se bojijo svoje sence. Enako kot lockdowne, ki so tukaj samo zato, ker razni kreteni ne morejo ostati 1 mesec doma. Takle imamo.
Pa saj, ce se cepis, si naceloma precej zasciten, oni pa pac niso... nevem kaj se mas za sekirat. Jaz sem se cepil zase, ne za druge, ce se drugi nocejo, je to cisto njihov problem.
Zal ni samo njihov problem... ti pasejo lockdowni? Ker naslednji prihaja zaradi njih.
Skylord ::
Sicer me to na forumu sploh več ne preseneča ampak zakaj ljudje pišete tehnične zadeve o delovanju te qr kode, covid potrdila, podpisovanja, če jih ne razumete? Dajte najprej vsaj malo prebrati kaj ta QR koda sploh je, kaj je v njej, kako delujejo digitalni podpisi, pa še kaj. Da ne bo takih zapisov
krneki2021 je izjavil:
Ce bi si vzel 5min casa, jih pa verjetno brez tezav zamenjam s svojimi podatki in generiram qr kodo z mojimi podatki, katera bi bila verjetno vec kot dovolj dobra tudi za preverjanje inspektorjev na terenu.Če bi to bilo tako enostavno potem zadeva ne bi imela nobenega smisla.
Za začetek dve povezavi:
https://ec.europa.eu/info/live-work-tra...
Digital signature @ Wikipedia
Nekje na slo-techu sem ze objavil link kaj je notri, samo se mi ne da iskat. Bottom line, te podatki ne bi smeli biti nikoli vidni navzven, cisto dovolj je samo id, ki se ga preveri online. To, da so aplikacijo malo pobrikali, da jih ne kaze ni nobena resitev, edino kar je smiselno je, da se zadeva obdeluje server side. Ampak to so ze odprtokodni kreteni v osnovi zahebali, nihce ni razmisljal o potencialnih zlorabah potrdila, recimo sledenju kupcem. Buhuhu, elektronski podpis, ta bo vse resil, ja.
krneki2021 je izjavil:
mešaš pomen sifrirano in kodirano. to ni isto.
Zares je meni kristalno jasna razlika med tema dvema pojmoma. Digitalni podpis in brute force le-tega, ki ga je omenjal tisti, kateremu sem odgovarjal, pa pri vsem tem ne igra vloge
Če bi to bilo tako enostavno potem zadeva ne bi imela nobenega smisla.
Za začetek dve povezavi:
https://ec.europa.eu/info/live-work-tra...
Digital signature @ Wikipedia
Ja saj mogoce pa vseeno le nima nekega strasnega smisla. In se enkrat mi je kristalno jasno kaj je digital signature.
No in ce ni tako preprosto, tole je iz ministrove kode... Vse kar rabis je da zamenjas njegove podatke s svojimi, ter generiras base45 tekt iz katerega potem generiras QR code... pa bos sel verjetno lahko tudi cez mejo, ker se bodo podatki ujemali s tistimi na osebni.
QR koda:
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
Pa se lepsi bolj razumljiv tekst:
{
"1": "SI",
"4": 1632297887,
"6": 1624521887,
"-260": {
"1": {
"v": [
{
"ci": "URN:UVCI:01:SI:C57F79FF97E528B0E053#P",
"co": "SI",
"dn": 2,
"dt": "2021-06-18",
"is": "Nacionalni in\u0161titut za javno zdravje",
"ma": "ORG100001699",
"mp": "EU/1/21/1529",
"sd": 2,
"tg": "840539006",
"vp": "J07BX03"
}
],
"dob": "1979-02-09",
"nam": {
"fn": "JANEZ",
"gn": "POKLUKAR",
"fnt": "JANEZ",
"gnt": "POKLUKAR"
},
"ver": "1.3.0"
}
}
}
Kolikor sem razumel nekega vladnega kekca, pocnejo tocno to... stejejo obiske in ce se preveckrat zgodi isti osebi, kodo zavrnejo. Edina resitev bi bila vpis recimo serijske iz osebne izkaznice. In konkretno povecanje stevila inspektorjev z recimo tedensko prepovedjo nadaljnega obratovanja, ce te dobijo, da si v "obrat" spustil nepreverjeno osebo / osebo z ne-njenim potrdilom. Da imajo gostinci (in ostali) interes preverjati.
Zelo verjetno to ni res, ker se podatki iz qr kode lahko preverjajo tudi offline, kar pomeni, da ni nikjer zapisov, da se je podatek preveril. Za povrhu ni potrebe oz. ni obvezno preverjanje z aplikacijo NIJZ (no tako ali tako je do sedaj ni bilo, ceprav je bilo preverjanje obvezno). Enako se nikamor ne zapise preverjanje papirjev, tako da je tisto "stetje obiskov" BS nekoga, ki mu ni jasno kako stvar dela... no ja saj ce objavi vse svoje podatke tako javno, potem mu se vse kaj drugega ni jasno.
enako temu, kot če bi zahtevali, da se osebne izkaznice gleda skozi šablono, ki prekrije del kartice.
Še huje je. Zahtevamo, da država in kelnarji prisežejo, da bojo gledali samo skozi šablono. Vedet pa ne moreš.
Zanimivo da to da so te kode sploh obstajajo nobenega več ne moti, zdaj ste že kar sprejeli to kot samoumevno.
A te moti, da imas osebno? Kaj pa potni list? Hitro se pojdi pritozit na sodisce za clovekove pravice. Bumbar.
Da, mene moti, že to da jo moram imet in prenašat naokoli, da je moram še pokazat vsakič ko grem na sekret, je pa kaplja čez rob. Se bom pa na pragu poscal.
Dej ne pretiravaj! Jao, Jao, Jao... Ne moreš verjet kakšni reveži obstajajo na tem svetu. Najboljš, da se zazidaš v klet.
Sedaj ne vem al jaz kaj ne razumem ali pa tu nekateri-večina piše kr neki, kar nima pojma.
Če tudi prideš kot je povedal že UganiKdo v-do podatkov
Seveda lahko, ker ne rabi prit v tvoj zvem ampak lahko v svojo zvem aplikacijo poskenira qr kodo in vidi vse podatke.
Jaz sem brez tezav v offline zvem vnesel potrdila samo na podlagi qr kode.
Pa saj lahko sam poskusis.
+1
ti izpiše le: ime priimek, datum rojstva, kdaj s kom si bil cepljen in koliko dni je preteklo.
To je pa to. Ne vem kako vi dostopate do vseh ostalih podatkov: zdravstvenih itd...
Če mi lahko kdo to pokaže-dokaže.
OK kot sem že povedal verjamem, da do teh podatkov pride neka bolj usposobljena oseba, kot vas je veliko tu na forumu, toda ne pa tam kr neki kelnar. Pa če tudi poskenira-shrani to vašo kodo, jo bo kaj potem nosil naokoli do nekih heckerjev, da bo videl te vaše podatke. LOL
UganiKdo ::
ti izpiše le: ime priimek, datum rojstva, kdaj s kom si bil cepljen in koliko dni je preteklo.
To je pa to. Ne vem kako vi dostopate do vseh ostalih podatkov: zdravstvenih itd...
Say what?
Iz QR kode lahko dobiš smao podatke ki so v QR kodi. In ja v QR kodi so tudi zdravstveni podatki, ki vključujejo to kdaj in s čim si bil cepljen, kako si bil testiran, kdaj si prebolel. In to so podatki, do katerih natakar nima kaj dostopat. On rabi vedet ali izpolnjuješ pogoje za vstop DA/NE in podatke na podlagi katerih lahko preveri, da potrdilo pripada tebi.
Zgodovina sprememb…
- spremenil: UganiKdo ()
Skylord ::
ti izpiše le: ime priimek, datum rojstva, kdaj s kom si bil cepljen in koliko dni je preteklo.
To je pa to. Ne vem kako vi dostopate do vseh ostalih podatkov: zdravstvenih itd...
Say what?
Ne vem no, meni to ni sporno.
Kaj bo nek kelnarček počel s temi podatki. V vsaki gostilniški debati se vsi hvalijo, kolikokrat so bili cepljenbi, s kom...in še kaj bolj občutljivega kot le to kar prikaže v sami kodi.
Zgodovina sprememb…
- spremenil: Skylord ()
UganiKdo ::
Saj v bistvu ni vprašanje kaj je tebi sporno. Vprašanje je ali se dovoli razpolagat z nekimi osebnimi podatki tretji osebi, ki za vpogled v te podatke nima utemeljenega razloga. In edini logičen odgovor skladno z GDPR je ne. Zakaj točno bi moral moj sosed, ki je tudi natakar vedet ali sem se cepil, ali sem prebolel, ali pa uživam, da mi vsake dva dni tlačijo slamico v nos? To so pač občutljivi osebni podatki in ni ravno zdravo, da se razmetava z njimi.
Razumem, da zakon zahteva od njega da preveri izpolnjevanje pogoja PCT in da moram dokazat, da je potrdilo res moje, ampak tukaj se pa zgodba konča.
Kaj bo kelnarček s podatki je povsem irelavantno, ker je taka mentaliteta v direktnem nasprotju s smernicami o varovanju osebnih podatkov. Če ne drugega je dandanes orpedeljevanje za ali proti ceplčjenju tudi politično vprašanje in ni popolnoma nobenega utemeljenega razloga, da se na tak način izpostavljalo posameznike.
Razumem, da zakon zahteva od njega da preveri izpolnjevanje pogoja PCT in da moram dokazat, da je potrdilo res moje, ampak tukaj se pa zgodba konča.
Kaj bo kelnarček s podatki je povsem irelavantno, ker je taka mentaliteta v direktnem nasprotju s smernicami o varovanju osebnih podatkov. Če ne drugega je dandanes orpedeljevanje za ali proti ceplčjenju tudi politično vprašanje in ni popolnoma nobenega utemeljenega razloga, da se na tak način izpostavljalo posameznike.
Zgodovina sprememb…
- spremenil: UganiKdo ()
Skylord ::
Saj v bistvu ni vprašanje kaj je tebi sporno. Vprašanje je ali se dovoli razpolagat z nekimi osebnimi podatki tretji osebi, ki za vpogled v te podatke nima utemeljenega razloga. In edini logičen odgovor skladno z GDPR je ne. Zakaj točno bi moral moj sosed, ki je tudi natakar vedet ali sem se cepil, ali sem prebolel, ali pa uživam, da mi vsake dva dni tlačijo slamico v nos? To so pač občutljivi osebni podatki in ni ravno zdravo, da se razmetava z njimi.
Razumem, da zakon zahteva od njega da preveri izpolnjevanje pogoja PCT in da moram dokazat, da je potrdilo res moje, ampak tukaj se pa zgodba konča.
Ja, ko pa se ga nažreš pa začneš po dveh pirih sam razlagat kaj vse so ti zadnjič delali v bolnici, ko ti je "sestra" tlačila "cev" v rit je pa vse v redu.
UganiKdo ::
ja, ker imam vso pravico, da s svojimi osebnimi podatki razpolagam kot želim. Če čutim potrebo celemu svetu predstavit svojo izkušnjo s kolonoskopijo je to moja odločitev. Ravno tako kot je moja odločitev ali javno razlagam svoje stališče do cepljenja.
Skladno z namenom varovanja osebnih podatkov pa te odločitve zame ne sme sprejet tretja oseba, če za to ni utemeljenega razloga.
Tukaj ne gre toliko za specifičen primer ampak za dejstvo, da rešitev kot je implementirana direktno nasprotuje logiki zaradi katere imamo GDPR in to je nevaren presedan. EK si je sicer pri tem oprala roke na način, da je to tako ali tako primarno namenjeno prehajanju meje (kjer je večji poseg v zasebnost dopusten), hkrati pa odgovornost za vse druge načine uporabe prenaša na države članice.
Skladno z namenom varovanja osebnih podatkov pa te odločitve zame ne sme sprejet tretja oseba, če za to ni utemeljenega razloga.
Tukaj ne gre toliko za specifičen primer ampak za dejstvo, da rešitev kot je implementirana direktno nasprotuje logiki zaradi katere imamo GDPR in to je nevaren presedan. EK si je sicer pri tem oprala roke na način, da je to tako ali tako primarno namenjeno prehajanju meje (kjer je večji poseg v zasebnost dopusten), hkrati pa odgovornost za vse druge načine uporabe prenaša na države članice.
Zgodovina sprememb…
- spremenil: UganiKdo ()
Markus386 ::
ti izpiše le: ime priimek, datum rojstva, kdaj s kom si bil cepljen in koliko dni je preteklo.
To je pa to. Ne vem kako vi dostopate do vseh ostalih podatkov: zdravstvenih itd...
Say what?
Ne vem no, meni to ni sporno.
Kaj bo nek kelnarček počel s temi podatki. V vsaki gostilniški debati se vsi hvalijo, kolikokrat so bili cepljenbi, s kom...in še kaj bolj občutljivega kot le to kar prikaže v sami kodi.
Hvalijo se tudi s kom so seksali, kaksne joske/kurca ma kdo, itd.
Aplikacija je ekvivalent tega, da se z aplikacijo slikas nag, pa zaupas aplikaciji, da bo scenzurirala prave dele, in ne shranila original fotke. Potencialnih zlorab je tukaj ogromno, od tega, da eventim shranjuje kdo hodi kam, pa do tega, da si varnostnik shrani vsako v krajsem minicu, da jo lahko potem zalezuje po socialnih omrezjih.
feryz ::
A je tako težko narediti aplikacijo, ki prebere qr kodo in napiše oseba izpolnjuje/ne izpolnjuje PCT!?
Mater enega parlamentiranja okrog povsem trivialne stvari.
Lahko bi pisalo tudi, lahko vstopi/ne more vstopiti. Z zeleno in rdečo, za bolj tumpaste.
Mater enega parlamentiranja okrog povsem trivialne stvari.
Lahko bi pisalo tudi, lahko vstopi/ne more vstopiti. Z zeleno in rdečo, za bolj tumpaste.
Markus386 ::
Ne, ni tezko naredit aplikacije.
Problem je, da mora za ta izpis "izpolnjuje"/"ne izpolnjuje" prebrat precej osebnih podatkov z qr kode, za katere ne ves, ce so se slucajno kam shranili. Prav tako jih je mogoce shranit z navadnim fotoaparatom na telefonu, in naknadno pogledat vsebino.
Torej ti pokazes vse te podatke, aplikacija vse te podatke prebere, obdela, varnostniku pa pokaze samo zeleno/rdece... kaj se zadaj s podatki dogaja, pa nimas pojma, ker je specifikacija odprta, in vsak kekec lahko napise aplikacij za to dekodirat.
Problem je, da mora za ta izpis "izpolnjuje"/"ne izpolnjuje" prebrat precej osebnih podatkov z qr kode, za katere ne ves, ce so se slucajno kam shranili. Prav tako jih je mogoce shranit z navadnim fotoaparatom na telefonu, in naknadno pogledat vsebino.
Torej ti pokazes vse te podatke, aplikacija vse te podatke prebere, obdela, varnostniku pa pokaze samo zeleno/rdece... kaj se zadaj s podatki dogaja, pa nimas pojma, ker je specifikacija odprta, in vsak kekec lahko napise aplikacij za to dekodirat.
UganiKdo ::
A je tako težko narediti aplikacijo, ki prebere qr kodo in napiše oseba izpolnjuje/ne izpolnjuje PCT!?
Mater enega parlamentiranja okrog povsem trivialne stvari.
Lahko bi pisalo tudi, lahko vstopi/ne more vstopiti. Z zeleno in rdečo, za bolj tumpaste.
Kot že rečeno, to je enako kot vprašanje ali je težko naredit šablono v katero bo natakar vtaknil osebno izkaznico, da bo videl samo ime in priimek?
Šablono/aplikacijo je enostavno naredit (so v bistvu jo). amapk izvorni problem je v tem, da podatki ne glede na to v QR kodi so in je do njih enostavno dostopat. Ravno danes sem probal generirat kodo iz zapisa, ki ga skrani bar code scanner na telefonu in sem brez težav prišel do vseh podatkov v QR kodi, brez vsake posebnega tehnološkega znanja. Enako do vseh podatkov prideš, če jo skeniraš z zVem.
Potencialnih zlorab je tukaj ogromno, od tega, da eventim shranjuje kdo hodi kam, pa do tega, da si varnostnik shrani vsako v krajsem minicu, da jo lahko potem zalezuje po socialnih omrezjih.
Slednje ne pije vode, saj imajo tako eni kot drugi že sedaj možnost preverit identiteto posameznika, ko pride na nek dogodek.
Zgodovina sprememb…
- spremenil: UganiKdo ()
Markus386 ::
Verjemi, da kelnar v piceriji ni preverjal osebne od vsake studentke, pa tud varnostnik na koncertu na kongrescu ali pa krizankah ne. Da bi se selektivno odlocil vse spustit mimo, samo tiste v minicih preverjat, bi se hitro odkrilo, in bi se nekdo zacel pritozevat... zdaj pa samo stisne dvakrat power button, fotka qr, "ups, sam da se enkrat zazenen aplikacijo", pa sken kode z aplikacijo (ker predvidevamo da varnostnik ne zna skopirat dizajna prave aplikacije), pa hitro na instagram gledat, ce ma fanta, fotke v kopalkah, itd.
UganiKdo ::
Verjemi, da kelnar v piceriji ni preverjal osebne od vsake studentke,
to veš, da so taiste študentke morale predložit dokument taistemu natakarju, ko so šle jest na bone?
Point je v tem, da dokler govorimo o imenu in priimku se dela povsem nepotrebna fauma, ker za takšna preverjanja obstajajo utemeljene zakonske osnove neodvisno od QR kode. Problem nastane, ker bi se morali podatki tam nehat, pa se ne.
Okapi ::
Problem je samo v tem, ker so na NIJZ in ministrstvu za zdravje totalni nesposobneži. Najprej so naredili program, ki pokaže zdravstvene podatke, čeprav jih ne bi smel, potem so pa naredili program, ki niti imena ne pokaže, čeprab bi ga moral. Potem se pa še hinavsko izgovarjajo na informacijsko pooblaščenko, ki pri vsem tem ni imela nič.
UganiKdo ::
V bistvu je izvorni greh nastal že pri snovanju QR kode. NIJZ in MZ lahko okrog te aplikacije izumljata toplo vodo, pa to ne more spremenit dejstva, da je v QR kodi zapisanih preveč podatkov, ki jih lahko prebere vsak, ki vidi kodo.
Zgodovina sprememb…
- spremenil: UganiKdo ()
Utk ::
Tudi če pokaže še (samo) ime in priimek, tudi če zanemarimo, da je v kodi še vse drugo, kaj si bo nekdo s tem pomagal?
Zgodovina sprememb…
- spremenil: Utk ()
UganiKdo ::
Prikaže tudi izpolnjevanje pogoja PCT. V kombinaciji z imenom in priimkom, ali št osebnega dokumenta se potem lahko preveri ali potrdilo res pripada osebi.
mjtk ::
Jaz sem še vedno mnenja da ime in priimer res ni nek hud osebni podatek, in če grešv gostilno ga pač razkriješ. Nevem zakaj tak bav bav okoli tega. A potem nekateri vedno plačujete z gotovino, da kdo iz kartice ne bi prebral vaših osebnih podatkov?
Kaj mu pomaga ime in priimek? Kaj če moja koda razkrije, da sem Urška Bačovnik? Kako ve da nisem? In kaj pol če ve, da nisem? Mu je v interesu me zavrnit?
pomaga mu tako, da ko mora preverit da ime na certifikatu se ujema z imenom na osebnem dokumentu.
V interesu mu je zavrnit, saj sicer tvega dobit kazen od inšpekcije. Nekaj EUR profita od par pijaš ne prehekta 200 do 1000EUR kazni.
Utk ::
Kaj pa če sem star 17? Kaj pa če rečem, da sem star 17? In če gleda zraven še osebno, kjer piše še stalni naslov, rojstni datum itd., pol res ne vidim razlike proti temu, da pač prebere maksimalno iz qr kode kar je gor.
Morda se motim, ampak mislim da do zdaj niso imeli navodil, da morajo preverjat potrdila o cepljenju IN osebnih dokler ni bilo te aplikacije. Ta aplikacija jim bo olajšala delo tako, da bojo imeli še več dela. V vsakem primeru, ne glede kaj jim pokaže.
V interesu mu je zavrnit, saj sicer tvega dobit kazen od inšpekcije. Nekaj EUR profita od par pijaš ne prehekta 200 do 1000EUR kazni.
Morda se motim, ampak mislim da do zdaj niso imeli navodil, da morajo preverjat potrdila o cepljenju IN osebnih dokler ni bilo te aplikacije. Ta aplikacija jim bo olajšala delo tako, da bojo imeli še več dela. V vsakem primeru, ne glede kaj jim pokaže.
Zgodovina sprememb…
- spremenil: Utk ()
UganiKdo ::
Kaj pa če sem star 17? Kaj pa če rečem, da sem star 17? In če gleda zraven še osebno, kjer piše še stalni naslov, rojstni datum itd., pol res ne vidim razlike proti temu, da pač prebere maksimalno iz qr kode kar je gor.
ja in ta maximalno vključuje tudi občutljive osebne podatke iz zdravstvene kartotekeke (cepljenje, test, prebolelost), ki jih natakar ne rabi vedet in to je problem.
Morda se motim, ampak mislim da do zdaj niso imeli navodil, da morajo preverjat potrdila o cepljenju IN osebnih dokler ni bilo te aplikacije.
kar je bila začasna rešitev dokler se ne vzpostavi boljša možnost. žal tukaj EK ni korektno opravila svojega dela.
mjtk ::
sigmundfreud je izjavil:
Edina rešitev za nadzor bi bila online aplikacija, ki preverja hash z bazo v centralnem strežniku. Sem bil nekoliko (tehnično) razočaran, ko sem ugotovil, da temu ni tako. Enaka šola kot z davčnimi blagajnami...
Online aplikacija bi bila bottleneck, poleg tega pa bi omogocila centralno sledenje gibanja ljudi... se dobro da temu ni tako in da je mozno/zahtevano offline preverjanje.
Kako pa si lahko stranka zagotovi, da se njih ne beleži?
To potem lahko "deluje" le na zaupanje da ti gostinec/aplikacije ne sledi.
Invictus ::
Kateri podatki so v QR kodi? Ima kdo kak standard?
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Utk ::
Sej ne rabi vedet niti naslova.
V Sloveniji moraš imet osebni dokument pri sebi, kar je že itak bedarija, po drugih državah kjer ni tako, je pa to dodatna komplikacija, ki je ne bojo kar tako požrli.
V Sloveniji moraš imet osebni dokument pri sebi, kar je že itak bedarija, po drugih državah kjer ni tako, je pa to dodatna komplikacija, ki je ne bojo kar tako požrli.
mjtk ::
daš gor eno hologramsko nalepko in bo za večino ljudi preveč dela s ponarejanjem
potem pa tole naročiš iz eBaya/bolhe
99% preverjalcev ne bo šel detajlno preverjat kako točno mora izgledat hologramček
eBay hologram sticker
Še vedno trdim, da gre za problem v razumevanju s strani IP, ki problematizira aplikacijo v smislu, kaj lahko prikaže in kaj ne. Sama aplikacija ni nič "kriva", saj le izpiše, kar je v QR kodi. Podatki so objavljeni že v QR kodi. Namesto aplikacije bi bilo treba cenzurirati že samo QR kodo oz. potrdilo.
To, ja. +1
Zgodovina sprememb…
- spremenilo: mjtk ()
mjtk ::
Kateri podatki so v QR kodi? Ima kdo kak standard?
Prelistaj to temo, nekajkrat je omenjeno.
Tukaj je specifikacija:
https://ec.europa.eu/commission/pressco...
In tu je JSON: https://ec.europa.eu/health/sites/defau...
https://ec.europa.eu/health/sites/defau...
Tale muštr ki ga je objavil "krneki" ti dam za v pomoč:
krneki2021 je izjavil:
Pa se lepsi bolj razumljiv tekst:
{
"1": "SI",
"4": 1632297887,
"6": 1624521887,
"-260": {
"1": {
"v": [
{
"ci": "URN:UVCI:01:SI:C57F79FF97E528B0E053#P",
"co": "SI",
"dn": 2,
"dt": "2021-06-18",
"is": "Nacionalni in\u0161titut za javno zdravje",
"ma": "ORG100001699",
"mp": "EU/1/21/1529",
"sd": 2,
"tg": "840539006",
"vp": "J07BX03"
}
],
"dob": "1979-02-09",
"nam": {
"fn": "JANEZ",
"gn": "POKLUKAR",
"fnt": "JANEZ",
"gnt": "POKLUKAR"
},
"ver": "1.3.0"
}
}
}
Zgodovina sprememb…
- spremenilo: mjtk ()
Okapi ::
Ti podatki morajo biti v kodi vključeni, ker se pogoji razlikujejo. Za prehod meje v določenih primerih ni dovolj, da si cepljen, moraš imeti tudi negativen test. V nekaterih primerih je dovolj, da si prebolel, v drugih moraš biti kljub temu še cepljen. Brez tega podatka je koda nesmiselna. Oziroma bi moral imeti za različne namene različne kode.Kaj pa če sem star 17? Kaj pa če rečem, da sem star 17? In če gleda zraven še osebno, kjer piše še stalni naslov, rojstni datum itd., pol res ne vidim razlike proti temu, da pač prebere maksimalno iz qr kode kar je gor.
ja in ta maximalno vključuje tudi občutljive osebne podatke iz zdravstvene kartotekeke (cepljenje, test, prebolelost), ki jih natakar ne rabi vedet in to je problem.
Ta "EU-koda" je v osnovi namenjena prehajanju mej, in ker so tam pogoji za različne države različni, morajo biti vključeni tudi ti podatki.
Katere od teh podatkov prikaže program za preverjanje, je pa preprosto zamejiti.
UganiKdo ::
Katere od teh podatkov prikaže program za preverjanje, je pa preprosto zamejiti.
ne če, so vsi programi splošno dostopni.
Ti podatki morajo biti v kodi vključeni, ker se pogoji razlikujejo. Za prehod meje v določenih primerih ni dovolj, da si cepljen, moraš imeti tudi negativen test. V nekaterih primerih je dovolj, da si prebolel, v drugih moraš biti kljub temu še cepljen. Brez tega podatka je koda nesmiselna. Oziroma bi moral imeti za različne namene različne kode.
Ta "EU-koda" je v osnovi namenjena prehajanju mej, in ker so tam pogoji za različne države različni, morajo biti vključeni tudi ti podatki.
to bi bilo enostavno rešljivo s tem, da bi bil del podatkov, ki je problematičen kriptiran in bi poleg kode rabil skenirat še osebni dokument, kot se to dela na mejnem prehodu.
Zgodovina sprememb…
- spremenil: UganiKdo ()
fikus_ ::
Jaz se bi strinjal, da npr kelnar vidi Ime in priimek ter ali je koda veljavna ali ne. Če hoče identificirat lastnika kode, bi lahko zahteval, da se mu pokaže osebna (podobno kot za mladoletnike in alkohol). Sicer je v SLO verjetno kar nekaj "Kranjskih Janezov" ampak je mala verjetnost, da bi en Janez zlorabljal kodo drugega Janeza. Predvsem neprimerno manjša verjetnost kot po sedanji ureditvi.
Ti podatki bi bili čisto dovolj na kodi za kelnarja.
Ti podatki bi bili čisto dovolj na kodi za kelnarja.
Učite se iz preteklosti, živite v sedanjosti in razmišljajte o prihodnosti.
Okapi ::
Zadeva mora biti načeloma narejena tako, da deluje tudi "analogno", se pravi, brez pametnih telefonov. Pri potrdilu, ki je natisnjeno na list papirja, pa ne moreš kaj dosti kriptirati, če hočeš, da je zadeva uporabna.
In če na papirju ni mogoče kriptirati, je tudi v telefonu nepotrebno.
In če na papirju ni mogoče kriptirati, je tudi v telefonu nepotrebno.
UganiKdo ::
Mešaš hruške in jabolka. Govorimo o aplikaciji in skeniranju QR kode. In ja, brez težav je na papirju več podatkov, ki pa so v QR kodi, ki se skenira kriptirani. Cel štos teh potrdil je ravno v digitalno podpisani QR kodi, ki jamči njihovo verodostojnost.
Utk ::
Lahko obračamo kakor hočemo, tega se zakonito na praktičen način ne da speljat. Na žalost, ali na srečo. V kakšni diktaturi bi šlo, v normalnih državah pa ne. Zdaj se pa naj Evropa odloči kje je. Če je to normalno, potem res ne vidim več nič spornega v Orbanu in Poljakih. Raje se naj nad sabo zamislijo zahodnjaki.
Če gremo z LGBTQIA logiko do konca, jaz lahko pridem v gostilno kakorkoli našemljen in operiran v kenguruja, pa me zato ne sme nihče zavrnit. Kelnar mi morda lahko gleda osebno in qr kodo, v hlače mi pa res ne bo, niti mi ne bo letnic štel.
Če gremo z LGBTQIA logiko do konca, jaz lahko pridem v gostilno kakorkoli našemljen in operiran v kenguruja, pa me zato ne sme nihče zavrnit. Kelnar mi morda lahko gleda osebno in qr kodo, v hlače mi pa res ne bo, niti mi ne bo letnic štel.
Zgodovina sprememb…
- spremenil: Utk ()
Okapi ::
Mešaš hruške in jabolka. Govorimo o aplikaciji in skeniranju QR kode. In ja, brez težav je na papirju več podatkov, ki pa so v QR kodi, ki se skenira kriptirani. Cel štos teh potrdil je ravno v digitalno podpisani QR kodi, ki jamči njihovo verodostojnost.
Nič ne mešam. Ne moreš od vsakega kafiča in gostilne zahtevati, da bodo imeli elektronsko napravo za preverjanje potrdil. Omogočeno jim mora biti tudi, da preverijo brez tega.
tardusm ::
Poleg pomislekov, obravnavanih na forumu v tej in podobnih rubrikah , še nekaj vprašanj:
1. Čisto logično je - po moje - da se pri preverjanju QR kode ali potrdila pokaže veljavnost pogojev PCT - DA ali NE, hkrati pa se preveri avtentičnost osebe (how?) , ki se primerja z osebnim dokumentom. Ali bomo kazali osebju z eno roko telefon/papir s kodo, z drugo pa osebo izkaznico; kako bo pregledovalec razbral iz QR kak podatek, ki ga bo lahko primerjal z osebnim dokumentom, če pa aplikacija, po sedanjih podatkih, tega ne omogoča?
1. Ali je javno znan protokol PCT preverjanja na mestih izvajanja? (tako da vsi "pregledovalci PCT pogojev " delajo kolikor toliko enako in vnaprej predvidljivo, saj se na kršitve postopka ali spore, če je pregledovanje arbitrarno, sicer ne moremo pritožiti").
2. Ali prav razumem, da bodo PCT preverjanja na mestih izvajanja izvajali zaposleni, ki jih bo določil šef (predpostavljam - s pisnim pooblastilom in podpisanim navodilom ), s svojimi zasebnimi elektronskimi napravami (beri navadnim osebnim mobitelom) ali pa s kako posebno opremo oz. mobitelom/skenerjem, na katerem je zgolj zadevna aplikacija, ki je pod formalnim nadzorom odgovorne pravne osebe? (prav nič se mi namreč ne dopade, da bi se moji osebni podatki pretakali na zasebne telefone in zbirali na nekih mistični strežnikih).
Ponovno je dokaj očitno, da desnice ne ve, kaj dela levica (mišljeni udi)in da je h..ič v detajlih.
1. Čisto logično je - po moje - da se pri preverjanju QR kode ali potrdila pokaže veljavnost pogojev PCT - DA ali NE, hkrati pa se preveri avtentičnost osebe (how?) , ki se primerja z osebnim dokumentom. Ali bomo kazali osebju z eno roko telefon/papir s kodo, z drugo pa osebo izkaznico; kako bo pregledovalec razbral iz QR kak podatek, ki ga bo lahko primerjal z osebnim dokumentom, če pa aplikacija, po sedanjih podatkih, tega ne omogoča?
1. Ali je javno znan protokol PCT preverjanja na mestih izvajanja? (tako da vsi "pregledovalci PCT pogojev " delajo kolikor toliko enako in vnaprej predvidljivo, saj se na kršitve postopka ali spore, če je pregledovanje arbitrarno, sicer ne moremo pritožiti").
2. Ali prav razumem, da bodo PCT preverjanja na mestih izvajanja izvajali zaposleni, ki jih bo določil šef (predpostavljam - s pisnim pooblastilom in podpisanim navodilom ), s svojimi zasebnimi elektronskimi napravami (beri navadnim osebnim mobitelom) ali pa s kako posebno opremo oz. mobitelom/skenerjem, na katerem je zgolj zadevna aplikacija, ki je pod formalnim nadzorom odgovorne pravne osebe? (prav nič se mi namreč ne dopade, da bi se moji osebni podatki pretakali na zasebne telefone in zbirali na nekih mistični strežnikih).
Ponovno je dokaj očitno, da desnice ne ve, kaj dela levica (mišljeni udi)in da je h..ič v detajlih.
UganiKdo ::
Mešaš hruške in jabolka. Govorimo o aplikaciji in skeniranju QR kode. In ja, brez težav je na papirju več podatkov, ki pa so v QR kodi, ki se skenira kriptirani. Cel štos teh potrdil je ravno v digitalno podpisani QR kodi, ki jamči njihovo verodostojnost.
Nič ne mešam. Ne moreš od vsakega kafiča in gostilne zahtevati, da bodo imeli elektronsko napravo za preverjanje potrdil. Omogočeno jim mora biti tudi, da preverijo brez tega.
kako točno verificiraš podpis v QR kodi brez uporabe elektronske naprave (ki je lahko BTW navaden telefon)?
Zgodovina sprememb…
- spremenil: UganiKdo ()
feryz ::
A se mi pogovarjamo o PCT pogoju za vstop, ali o tem, da mora biti osebi ime Janez, če želi dobiti pizzo?
Če morajo gostilne preverjati PCT pogoj, potem je dovolj, da aplikacija pokaže stanje PCT. Oni izpolnijo s tem svojo dolžnost.
Ostalo je na tistem, ki kaže PCT potrdilo.
Da je to z lahkoto ponarejati, že vemo, ampak to ni skrb gostincev. Niso oni forenziki.
Če morajo gostilne preverjati PCT pogoj, potem je dovolj, da aplikacija pokaže stanje PCT. Oni izpolnijo s tem svojo dolžnost.
Ostalo je na tistem, ki kaže PCT potrdilo.
Da je to z lahkoto ponarejati, že vemo, ampak to ni skrb gostincev. Niso oni forenziki.
UganiKdo ::
Da je to z lahkoto ponarejati, že vemo,
Vir?
A se mi pogovarjamo o PCT pogoju za vstop, ali o tem, da mora biti osebi ime Janez, če želi dobiti pizzo?
nič drugače kot za ostale situacije, kjer so dolžni preverit pogoje. Tudi ko ti postreže pivo, te ne vpraša ali imaš katerokoli osebno, ampak preveri tvoje dokumente.
misek ::
ThinkPad ::
Če hočeš preverit PCT, najbrž ni dovolj samo zeleno/rdeče, ampak tudi, komu pripada ta zeleno/rdeče. In v QR kodi je ime in priimek z datumom rojstva.
Zdaj so vse vrgli ven in (naša) aplikacija kaže samo zeleno/rdeče, hrvaška ali še kaka druga pa ti seveda pokaže tudi ime in priimek z datumom rojstva.
Torej vzameš eno zeleno QR kodo in hodiš naokoli in je vse OK. Ne kažeš je le inšpektorju/policaju/cariniku. To je tako, kot da bi imel v lokal vstop vsak, ki prinese kamenček...
Če se gremo pa pravo preverjanje s QR kodo + osebnim dokumentom, bo pa za ljubitelje goljufij tako, kot je bilo že v stari Jugi. Si šel čez mejo s sosedovim potnim listom, le malo podoben si mu moral biti.
Rešitev bi bil osebni dokument (osebna) ki bi s skeniranjem oz. branjem čipa pokazal to, kar kaže zdaj nova aplikacija (zeleno/rdeče). Saj država že ima vse podatke... Še vedno pa bi lahko hodil naokoli s tujo osebno, kot v stari Jugi, če le kazen ni astronomska.
Zdaj so vse vrgli ven in (naša) aplikacija kaže samo zeleno/rdeče, hrvaška ali še kaka druga pa ti seveda pokaže tudi ime in priimek z datumom rojstva.
Torej vzameš eno zeleno QR kodo in hodiš naokoli in je vse OK. Ne kažeš je le inšpektorju/policaju/cariniku. To je tako, kot da bi imel v lokal vstop vsak, ki prinese kamenček...
Če se gremo pa pravo preverjanje s QR kodo + osebnim dokumentom, bo pa za ljubitelje goljufij tako, kot je bilo že v stari Jugi. Si šel čez mejo s sosedovim potnim listom, le malo podoben si mu moral biti.
Rešitev bi bil osebni dokument (osebna) ki bi s skeniranjem oz. branjem čipa pokazal to, kar kaže zdaj nova aplikacija (zeleno/rdeče). Saj država že ima vse podatke... Še vedno pa bi lahko hodil naokoli s tujo osebno, kot v stari Jugi, če le kazen ni astronomska.
Hemi426 ::
Mešaš hruške in jabolka. Govorimo o aplikaciji in skeniranju QR kode. In ja, brez težav je na papirju več podatkov, ki pa so v QR kodi, ki se skenira kriptirani. Cel štos teh potrdil je ravno v digitalno podpisani QR kodi, ki jamči njihovo verodostojnost.
Nič ne mešam. Ne moreš od vsakega kafiča in gostilne zahtevati, da bodo imeli elektronsko napravo za preverjanje potrdil. Omogočeno jim mora biti tudi, da preverijo brez tega.
Okapi, si že napisal knjigo?
Skylord ::
Rešitev je ta, da preveriš s kom-s katero aplikacijo te določena oseba skenira, kar pa imaš pravico. Če je to ta nova aplikacija ni problem, če pa je karkoli-kakorkoli drugega pa pač ne dovoliš.
Okapi ::
Brez elektronske naprave si s QR kodo ne moreš čisto nič pomagati.
kako točno verificiraš podpis v QR kodi brez uporabe elektronske naprave (ki je lahko BTW navaden telefon)?
Kako brez elektronske naprave preverjaš PCT, pa vprašaj žičničarje na Krvavcu, Voglu, Ljubljanskem gradu...
zmist ::
Mešaš hruške in jabolka. Govorimo o aplikaciji in skeniranju QR kode. In ja, brez težav je na papirju več podatkov, ki pa so v QR kodi, ki se skenira kriptirani. Cel štos teh potrdil je ravno v digitalno podpisani QR kodi, ki jamči njihovo verodostojnost.
Nič ne mešam. Ne moreš od vsakega kafiča in gostilne zahtevati, da bodo imeli elektronsko napravo za preverjanje potrdil. Omogočeno jim mora biti tudi, da preverijo brez tega.
Seveda lahko. Ce lahko zahtevas, da imajo blagajne z direktno povezavo na DURS lahko brez problema zahtevas tudi nacin za skeniranje potrdil. Brez kakrsnekoli tezave.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
⊘ | digitalno potrdilo o cepljenju COVID-19 (strani: 1 2 )Oddelek: Loža | 11404 (5627) | primoz4p |
» | Aplikacija zVEM za dostop do portala eZdravje in potrdila COVID je na voljo (strani: 1 2 )Oddelek: Novice / Ostale najave | 16460 (5454) | ToniT |
⊘ | Eventuelna lokalizacija zelenega potrdila (strani: 1 2 3 4 5 6 7 )Oddelek: Problemi človeštva | 35857 (31089) | zmist |
» | Ponarejeni PCR testi (strani: 1 2 )Oddelek: Loža | 8913 (7082) | Kvatebrigic |