» »

Vpogled v bančni račun

Vpogled v bančni račun

1
2
3

WizzardOfOZ ::

Utk je izjavil:

Dela se samo preko klientov

Razen ko se ne.


Kdaj se pa ne? Uslužbenka na okencu zalaufa database management aplikacijo in ročno napiše SQL za prenos denarja?
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

Utk ::

Sej pravim, očitno imaš zelo omejeno iznajdljivost.

WizzardOfOZ ::

nosiyo je izjavil:

Vse kar implementiraš nič ne pomaga, ker imajo nekateri preveč pooblastil. Ker je to veliko enostavneje in ceneje za implementirat, kot pa če bi res zavarovali stvari. Npr. da mora stranka s podpisom (recimo cert na novi osebni) najprej avtorizirat operacijo (npr. vlogo za kredit) in šele potem odločevalci dobijo vpogled v njegovo kreditno sposobnost. In hkrati da ima vsak vpogled (npr. v spletni banki) v to, kaj je kdo o njem brskal in ni treba pošiljat zahteve o izpisu (po GDPR) in s tem sprožat nekega postopka, ko se 10 ljudi čudi kaj mu je treba odgovorit. To bi recimo bil pomik k višji stopnji varnosti. Ampak je preveč dela oz. denarja. Lažje je pač rečt, da vsak na šalterju vidi vse, ker 1x na leto pa res rabi ta podatek o 1 stranki, zato ga kar pooblastimo da lahko nonstop gleda to za vse stranke.


Spet blebetaš, al pa v vaških firmah, kjer delaš, recimo da delate na tak način (pa ne verjamem), ker vam je lažje.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

Tody ::

Mislim katere pravljice nekateri govorite, vsak ERP ima logiranje, 15 let nazaj so imele oraclove baze logiranje, vsak SQL se je beležil itd... Mimo avdita, ki jo dela baza ne more noben account niti sysadmin. Če kdo te avdite pregleduje je druga stvar.

WizzardOfOZ ::

Utk je izjavil:

Sej pravim, očitno imaš zelo omejeno iznajdljivost.


Omejen si tukaj samo ti.

Tody je izjavil:

Mislim katere pravljice nekateri govorite, vsak ERP ima logiranje, 15 let nazaj so imele oraclove baze logiranje, vsak SQL se je beležil itd... Mimo avdita, ki jo dela baza ne more noben account niti sysadmin. Če kdo te avdite pregleduje je druga stvar.


Domet jim je tam do izdelave web strani, potem pa zmanjka.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

Zgodovina sprememb…

nosiyo ::

Nič ti ne koristi to, da ima do podatkov dostop samo bančna uslužbenka. Če pa lahko jaz pokličem kolegico ki dela na XY banki in mi pove, kolko ma moj sodelavec plače. Kaj nam koristi, če se to zapiše v 10 logov, če pa mojemu sodelavcu še vedno ne bo jasno, kak jaz vem kolko zasluži. Upam da je nazorno, kaj je problem. Ampak najbrž ni, ker to presega vaše razvijalno okolje in unit teste.

Invictus ::

Ko bo tvoja kolegice pogledala na račun tvojega sodelavca, se bo sprožil alarm, ker za to nima pooblastila.

In jo bodo vrgli iz službe.

Kako to ugotovijo? Tako, da tvoj sodelavec ni bil na banki, kjer bi se identificiral.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

JanBrezov ::

Tody je izjavil:

Mislim katere pravljice nekateri govorite, vsak ERP ima logiranje, 15 let nazaj so imele oraclove baze logiranje, vsak SQL se je beležil itd... Mimo avdita, ki jo dela baza ne more noben account niti sysadmin. Če kdo te avdite pregleduje je druga stvar.

Resno sprašujem: SQL log je feature, ki se ga lahko izklopi, ali ne? Če da, kdo lahko to počne? Ali obstajajo neuradna orodja za manipulacijo loga?

Dodatno: resne firme/banke imajo razne analitike in risk management. Predvidevam, da gre za interna orodja, ki (spet predvidevam) vlačijo bulk podatke iz teh baz. Kako je z varnostjo in logiranjem tam?

Invictus je izjavil:

Ko bo tvoja kolegice pogledala na račun tvojega sodelavca, se bo sprožil alarm, ker za to nima pooblastila.

In jo bodo vrgli iz službe.

Kako to ugotovijo? Tako, da tvoj sodelavec ni bil na banki, kjer bi se identificiral.

Razen, če sva slučajno oba stranki iste banke, ki ima slučajno dodeljenega istega dodeljenega bančnika. Koliko vem, vsake toliko preverijo stanje računa in če imaš "preveč" denarja, ti pričnejno gnjaviti s skladi, varčevalnimi računi in zavarovanji. Vem, ker se mi dogaja to.

Zgodovina sprememb…

nosiyo ::

Sem opisal, kako so me na banki 'identificirali', tako da praksa je zopet drugačna in ni dovolj zanesljive evidence za preverjanje ali se je res nekdo identificiral ali ne.

Utk ::

Vprašajte državljana R. Goloba, njemu so račun odprli v Romuniji pa sploh ni vedel, in še zmeraj ne vejo kako (kao), pri nas bojo pa neki bančni uslužbenki za leto nazaj dokazali, da takrat tistega ni bilo na šalterju in da je odprla njegove podatke za brez veze.

JanBrezov ::

WizzardOfOZ je izjavil:

Domet jim je tam do izdelave web strani, potem pa zmanjka.

V mojem primeru res, zato resno vprašam: kako se debugira take sisteme? Za debug moraš znati ponoviti napako, zato moraš v dev okolju imeti identično stanje (replikacijo podatkov), da lahko to narediš. Kako pridobiš to stanje? Sem zelo skeptičen, da gre to zgolj iz opisa akcij bančne uslužbenke.

Npr. enkrat se mi je pri večji slo. banki zgodilo, da se na računih ni izpisoval naslov v celoti in je manjkal izpis države. Jaz sem to javil. Kako bi odpravil to, če se to dogaja samo pri eni stranki samo pri nekaterih računih?

WizzardOfOZ ::

nosiyo je izjavil:

Nič ti ne koristi to, da ima do podatkov dostop samo bančna uslužbenka. Če pa lahko jaz pokličem kolegico ki dela na XY banki in mi pove, kolko ma moj sodelavec plače.


Lažeš. Tvoja kolegica ti ne da takih podatkov.

JanBrezov je izjavil:

Koliko vem, vsake toliko preverijo stanje računa in če imaš "preveč" denarja, ti pričnejno gnjaviti s skladi, varčevalnimi računi in zavarovanji. Vem, ker se mi dogaja to.


To pa res nima nič s stanjem na tvojem računu.
To so akcije, kjer se marketing odloči, da se to dela in je uporabniku dodeljenih toliko in toliko komitentov stranke, ki jih mora poklicat. Lahko pa greš v poslovalnico, pa jim poveš, da teh klicev nočeš več in morajo to upoštevat. Pa te potem ne bodo klicali.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

Zgodovina sprememb…

WizzardOfOZ ::

JanBrezov je izjavil:

Resno sprašujem: SQL log je feature, ki se ga lahko izklopi, ali ne? Če da, kdo lahko to počne? Ali obstajajo neuradna orodja za manipulacijo loga?


Mogoče to delajo v kaki vaški majhni firmi, da malo prišparajo. Banka si kaj takega ne more privoščit.
Iz teh logov se da namreč restavrirat vse ukaze in jih ponoviti, če bi slučajno prišlo do izgube podatkov na bazi ali kake druge napake.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

Invictus ::

JanBrezov je izjavil:


Razen, če sva slučajno oba stranki iste banke, ki ima slučajno dodeljenega istega dodeljenega bančnika. Koliko vem, vsake toliko preverijo stanje računa in če imaš "preveč" denarja, ti pričnejno gnjaviti s skladi, varčevalnimi računi in zavarovanji. Vem, ker se mi dogaja to.

Kaj ima isti bančnik tu veze.

Tvoj sodelavec se ni identificiral, do podatkov se je pa dostopalo. Alarm, in leti bančnik iz službe.

Tebi res ni jasno, kako veliki sistemi delujejo.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Utk ::

In da se ni identificiral veš ti, ali pa kdorkoli drugi, kako?

Invictus ::

JanBrezov je izjavil:

Za debug moraš znati ponoviti napako, zato moraš v dev okolju imeti identično stanje (replikacijo podatkov).

Imaš testne podatke z enako strukturo. Tako se to debugira...

Replikacijo produkcijskih podatkov v dev okolje? Jao bože... Jebeš tak Slo-Tech, ko še osnove niso folku jasne.

Ker se pa pri podatkih včasih malo zalomi, imaš v bankah funkcijo nekoga, ki preverja pravilnost podatkov. Moj kolega je to delal na eni banki par let nazaj, ko so se bančni regulatorni pravilniki zaostrili in našel cel kup nokonstistenc. So jih pač odpravili...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

JanBrezov ::

Invictus je izjavil:

JanBrezov je izjavil:


Razen, če sva slučajno oba stranki iste banke, ki ima slučajno dodeljenega istega dodeljenega bančnika. Koliko vem, vsake toliko preverijo stanje računa in če imaš "preveč" denarja, ti pričnejno gnjaviti s skladi, varčevalnimi računi in zavarovanji. Vem, ker se mi dogaja to.

Kaj ima isti bančnik tu veze.

Tvoj sodelavec se ni identificiral, do podatkov se je pa dostopalo. Alarm, in leti bančnik iz službe.

Tebi res ni jasno, kako veliki sistemi delujejo.

Ker ona ni šla narediti vpogleda zaradi mene, ampak takrat, ko se sodelavec JE identificiral. Pri tem je bežno videla, da ima oni 3k prihodkov mesečno, nato je kasneje na zabavi povedala meni, kar je videla. Hipotetično govorim, ni se to res zgodilo.

Tebi ni jasno, kako ljudje delujejo.

urli ::

RandomUser1 je izjavil:

Zadnje čase študiram kako čimbolj zaščititi svoje podatke in mi je na misel prišlo, da v bistvu sploh ne vem kako varen je moj bančni račun. Glede na lastne izkušnje z delom v raznih slo podjetjih lahko rečem, da je veliko zaposlenih imelo dostop do baze strank. Kolikor sem zasledil imajo banke sistem (sisbon?), ki naj bi te vpoglede zabeležil. Me pa zanima če te podatke hranijo tudi na kakšnih ločenih SQL strežnikih za raznorazne "analitske" raziskave, do katerih pa lahko potem dostopa vsak junior brez kakršnegakoli nadzora. Malo me moti, ker poznam par bivših sodelavcev ki so trenutno zaposleni pri moji banki in nočem ravno da brskajo po transakcijah.


Za vsak vpogled v sisbon mora uslužbenec dobiti dovoljenje stranke. Tako je za kredit, povečavo limita itd. Ne more kar vsak firbcati. Lahko zahtevaš seznam vpogledov in boš videl pri čem si.

Zgodovina sprememb…

  • spremenil: urli ()

JanBrezov ::

Invictus je izjavil:

JanBrezov je izjavil:

Za debug moraš znati ponoviti napako, zato moraš v dev okolju imeti identično stanje (replikacijo podatkov).

Imaš testne podatke z enako strukturo. Tako se to debugira...

Replikacijo produkcijskih podatkov v dev okolje? Jao bože... Jebeš tak Slo-Tech, ko še osnove niso folku jasne.

Ampak včasih to ni dovolj, enostavno rabiš podatke s produkcije. Ne govorim ravno o replikaciji celotne baze, a neke podatke pa vseeno rabiš. Če ne drugega, vpogled v le-te. V testu si probal največ 50 računov, jaz jih imam 5000. V testu morda noben ni probal vsebine z 4 bajtnimi znaki UTF8 (UTF8MB4) v polju za naslov prebivališča, v produkciji pa je. Mogoče to odkrije tvoj kolega, ki popravlja vsebine, mogoče ne.

Čaki, ta tvoj kolega je imel bulk dostop do podatkov klientov in jih popravljal? Ziher je ob piru povedal nekaj, kar ne bi smel.

WizzardOfOZ ::

JanBrezov je izjavil:


V mojem primeru res, zato resno vprašam: kako se debugira take sisteme? Za debug moraš znati ponoviti napako, zato moraš v dev okolju imeti identično stanje (replikacijo podatkov), da lahko to narediš. Kako pridobiš to stanje? Sem zelo skeptičen, da gre to zgolj iz opisa akcij bančne uslužbenke.


Imaš toliko testov, skozi katere mora programje, da se že tam najde večino napak.
In ne, na razvoj ne moreš dobiti repliciranih podatkov iz produkcije.

Utk je izjavil:

In da se ni identificiral veš ti, ali pa kdorkoli drugi, kako?


Ker mora uslužbenka vpisat s čim si se identificiral.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

Zgodovina sprememb…

Utk ::

Ker mora uslužbenka vpisat s čim si se identificiral.

Case closed, ne more pogledat računa, če ni stranke tam.

nosiyo ::

Zanimivo, da se majo eni za jake programerje, potem pa klobasajo take neumnosti kot 'bug v produkciji ne obstaja' :D Takim domet ne nese dlje od dev in test okolja, ker še v življenju niso nič laufali v produkciji. 30 let na bančnih sistemih my ass.

WizzardOfOZ ::

nosiyo je izjavil:

Zanimivo, da se majo eni za jake programerje, potem pa klobasajo take neumnosti kot 'bug v produkciji ne obstaja' :D Takim domet ne nese dlje od dev in test okolja, ker še v življenju niso nič laufali v produkciji. 30 let na bančnih sistemih my ass.

Vaški tepčki v akciji!!! Noben videl dlje od dveh okolij (dev pa prod) in pametujejo o zadevah o katerih pojma nimajo.

Ne more biti bugov v produkciji. A feature, not a bug! :))
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

Zgodovina sprememb…

ReRMh ::

Utk je izjavil:

Razen ko se ne.

to se lahko mogoče dela v kakšnih res trivialnih primerih malih vrednosti, npr v web shopih.
še pri nakupu sodniške hiše se ne da... :D

pri bankah skoraj zagotovo ne. recimo, neka spletna stavna hiša je imela že davno nazaj v revizijiski sledi zapisano tudi vsako branje v middle-tieru dekriptirane številke kreditne kartice iz baze, da je zadostila za pci compliance...

Invictus ::

JanBrezov je izjavil:


Ampak včasih to ni dovolj, enostavno rabiš podatke s produkcije. Ne govorim ravno o replikaciji celotne baze, a neke podatke pa vseeno rabiš. Če ne drugega, vpogled v le-te. V testu si probal največ 50 računov, jaz jih imam 5000. V testu morda noben ni probal vsebine z 4 bajtnimi znaki UTF8 (UTF8MB4) v polju za naslov prebivališča, v produkciji pa je. Mogoče to odkrije tvoj kolega, ki popravlja vsebine, mogoče ne.

To samo pomeni, da imaš zanič testne podatke...

WizzardOfOZ je izjavil:


Ker mora uslužbenka vpisat s čim si se identificiral.

Točno to. Meni niso hoteli dati denarja, ker je bila v bazi stara osebna, jaz sem pa prišel z novo.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

JanBrezov ::

Invictus je izjavil:

JanBrezov je izjavil:


Ampak včasih to ni dovolj, enostavno rabiš podatke s produkcije. Ne govorim ravno o replikaciji celotne baze, a neke podatke pa vseeno rabiš. Če ne drugega, vpogled v le-te. V testu si probal največ 50 računov, jaz jih imam 5000. V testu morda noben ni probal vsebine z 4 bajtnimi znaki UTF8 (UTF8MB4) v polju za naslov prebivališča, v produkciji pa je. Mogoče to odkrije tvoj kolega, ki popravlja vsebine, mogoče ne.

To samo pomeni, da imaš zanič testne podatke...

Vem! A kako naprej? Problem je samo na produkciji, recimo, da so težava podatki. Vidim samo dve možnosti: (1) ali dobiš delno/celotno/anonimizirano kopijo produkcijskih podatkov in poizvedbe delaš v dev/test okolju ali (2) dobiš dostop do produkcije. Vem za en primer, kjer je testno okolje v resnici par dni star backup produkcije, ni pa to banka.

Recimo primer, ki se je zgodil meni. Ne spomnem se, za kaj točno se je šlo, mogoče smo kaj uvažali v bazo. Pri tem je bil znak minus (-) pomemben pri obdelavi (mogoče je bil delimiter za split operacijo). Par primerov se ni obdelalo pravilno in nisem uspel najti napake. Slučajno sem vsebine teh primerov skopiral v nek drug editor, kjer sem ugotovil, da pri neuspešnih ni bil navadni minus, ampak vezaj (daljši minus). A tega nisem uspel ugotoviti v SQL orodju, ker sta zaradi izbranega fonta oba minusa izgledala enako.

Invictus ::

Če so težava podatki, pomeni, da imaš v osnovi zanič klient program, ki ne preverja vnešenih podatkov.

Ko uvažaš v bazo, pač prej preveriš podatke. Nimaš več kot 1 dan dela da napišeš skripto.

Skratka, z vsakim postoim se kažeš za še večjega amaterja.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

JanBrezov ::

Invictus je izjavil:

Če so težava podatki, pomeni, da imaš v osnovi zanič klient program, ki ne preverja vnešenih podatkov.

Ko uvažaš v bazo, pač prej preveriš podatke. Nimaš več kot 1 dan dela da napišeš skripto.

Skratka, z vsakim postoim se kažeš za še večjega amaterja.

Sklepam, da se izogibaš mojemu vprašanju, ker ne poznaš odgovora ali pa bi pravilen odgovor povzročil kontradikcijo prejšnjim izjavam o idealiziranem delovanju IT-ja v bankah. Obstaja skupina napak, ki se bodo pojavile samo v produkciji in reševanje zahteva vpogled v stanje produkcije.

Invictus ::

Iščeš dlako v jajcu.

Ni softwara brez napak.

Sam za reševanje ne rabiš kopije produkcijske baze.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

nosiyo ::

Res je, zadošča error log, kjer piše, da je 'Franca' z '5.000.000' na računu probal dvignit '5a23' eur, ampak ni šlo. Ampak to so še vedno produkcijski podatki. In tega ne moreš testirat, razen če lahko brute forcaš 1000 znakov dolge 4B stringe.

Zgodovina sprememb…

  • spremenilo: nosiyo ()

Invictus ::

Pri takem bizarnem primeru je dovolj, da preveriš, če je vstopni podatek unsigned int. Mogoče celo v pravem razopnu...

Ampak verjamem, da danes javaskriptaši tega ne delate, vprašanje je tudi, če sploh znate >:D.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

Nikonja ::

Pa še dodatek, če bi slučajno dobili "gospo iz šalterja" kako je komunicirala zasebne podatke nepooblaščenim osebam, nebi dobila samo odpoved ampak bi bila kazensko odgovorna. Potem se poraja vprašanje ali bi res rizkiral svojo celotno karijero, zapor i ogromno kazen... samo zaradi tega da prijatelju poveš kolk sodelovec ima plače??? Za to moraš res bit debil!

Meni je sestra delala na banki in je rekla da ni šanse da rizkira svojo trenutno in bodočo karijero (ker nove normalne službe z "računom" na policiji ne bo nikoli dobila) zaradi ene butaste cifre. Celo meni ni hotla poveda nebenega podatka.

JanBrezov ::

Nikonja je izjavil:

Pa še dodatek, če bi slučajno dobili "gospo iz šalterja" kako je komunicirala zasebne podatke nepooblaščenim osebam, nebi dobila samo odpoved ampak bi bila kazensko odgovorna. Potem se poraja vprašanje ali bi res rizkiral svojo celotno karijero, zapor i ogromno kazen... samo zaradi tega da prijatelju poveš kolk sodelovec ima plače??? Za to moraš res bit debil!

Meni je sestra delala na banki in je rekla da ni šanse da rizkira svojo trenutno in bodočo karijero (ker nove normalne službe z "računom" na policiji ne bo nikoli dobila) zaradi ene butaste cifre. Celo meni ni hotla poveda nebenega podatka.

To bi naredila pametna in poštena oseba. A niso vsi taki. Obstaja majhen delež ljudi, ki so neumni/škodoželjni/podkupljeni/prisiljeni, da vseeno izdajo podatek. Moja poanta je, da zaradi takih oseb najbolj varnostno dovršen sistem z najboljšim IT-jem pade in moj odgovor OP-ju je, da vpogleda v bančne podatke ni mogoče 100% preprečiti. Mogoče 99%, 100% pa nikakor.

Primer je afera z vpogledi v bančne račune škofa s strani člana SDS. Zakaj je to počel? Je neumen?

Moja druga poanta je, da IT oseba lažje izvede ilegalen vpogled in izdajo podatkov brez kazni.

JanBrezov ::

Invictus je izjavil:

Iščeš dlako v jajcu.

Ni softwara brez napak.

Sam za reševanje ne rabiš kopije produkcijske baze.

To je odvisno od napake. Si izmišljujem: vodstvo hoče imeti oceno kreditne sposobnosti prebivalstva po občinah za 2024. To zahteva agregacijo podatkov vseh komitentov, a glej ga zlomka, ne deluje. Lani je delovalo. V testnem okolju deluje. Kaj naj zdaj? Bo treba pogledat v produkcijske podatke, druge ni.

Jaz iščem zelo specifično dlako v jajcu, in sicer tisto, ki zahteva delni ali polni dostop do produkcijskih podatkov. Tisti, ki ima 30 let izkušenj v bančništvu bi zagotovo znal najti tak primer.

c23po ::

Invictus, hvala ti, da si umetno inteligenco natreniral toliko, da sedaj postavlja pametna vprašanja. Fajn sta te ponucala.
Računalniki nimajo spominov.

Anders ::

Jaz na naslov kamor sem se pred kratkim preselil, dobivam bančne izpiske prejšne najemnice. Vedno odprem in počekiram bančni izpisek. Ženska je zasvojenka z igrami na srečo.

Zgodovina sprememb…

  • spremenilo: Anders ()

nosiyo ::

Invictus je izjavil:

Pri takem bizarnem primeru je dovolj, da preveriš, če je vstopni podatek unsigned int. Mogoče celo v pravem razopnu...

Ampak verjamem, da danes javaskriptaši tega ne delate, vprašanje je tudi, če sploh znate >:D.

Maš premalo domišljije, da iz tega izpelješ kompleksnejši primer, ki ga ne moreš rešit z parse int? Verjetno še nisi videl znakov, ki jih ni na tipkovnici.

WizzardOfOZ ::

JanBrezov je izjavil:

vodstvo hoče imeti oceno kreditne sposobnosti prebivalstva po občinah za 2024. To zahteva agregacijo podatkov vseh komitentov, a glej ga zlomka, ne deluje. Lani je delovalo. V testnem okolju deluje. Kaj naj zdaj? Bo treba pogledat v produkcijske podatke, druge ni.


Take podatke se pobere iz že agregiranih podatkov podatkovnega skladišča, ki je namenjeno za take zadeve in ne iz transakcijskih sistemov.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

nosiyo ::

In kaj če pride do napake pri agregaciji podatkov iz transakcijskih sistemov v ta podatkovna središča?

Groot ::

Anders je izjavil:

Jaz na naslov kamor sem se pred kratkim preselil, dobivam bančne izpiske prejšne najemnice. Vedno odprem in počekiram bančni izpisek. Ženska je zasvojenka z igrami na srečo.


Sicer mi je precej jasno da najbrž trolaš. Če pa ne, ti pa za boljši spanec puščam sledeče:

Kršitev tajnosti občil

139. člen KZ-1

(1) Kdor neupravičeno odpre tuje pismo, tujo brzojavko ali kakšno drugo tuje zaprto pisanje ali pošiljko, se kaznuje z denarno kaznijo ali zaporom do šestih mesecev.

WizzardOfOZ ::

nosiyo je izjavil:

In kaj če pride do napake pri agregaciji podatkov iz transakcijskih sistemov v ta podatkovna središča?


Pooblaščeni za te podatke (skrbniki podatkov s pooblastili) povedo, kje in kakšna je napaka, program se potegne iz produkcije nazaj v dev okolje, programer ga pa popravi. Potem se opravijo testi (na milijonih in milijonih podatkov). Ko je potrjeno da deluje pravilno, se ga prenese na produkcijsko okolje in se ponovi izdelava agregacije.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

JanBrezov ::

WizzardOfOZ je izjavil:

nosiyo je izjavil:

In kaj če pride do napake pri agregaciji podatkov iz transakcijskih sistemov v ta podatkovna središča?


Pooblaščeni za te podatke (skrbniki podatkov s pooblastili) povedo, kje in kakšna je napaka, program se potegne iz produkcije nazaj v dev okolje, programer ga pa popravi. Potem se opravijo testi (na milijonih in milijonih podatkov). Ko je potrjeno da deluje pravilno, se ga prenese na produkcijsko okolje in se ponovi izdelava agregacije.

No, in ta oseba mora biti usposobljena, da na miljonih podatkov zna odkriti napako. In kdo bi to znal? Verjetno samo razvijalci. Pa ne kar random razvijalec, ampak eden boljših poznavalcev sistema. V tem primeru ni potrebe po prenosu dejanskih produkcijskih podatkov v dev/test okolje, zadostuje, da ta oseba ugotovi scenarij napake, da lahko ostali razvijalci replicirajo enak scenarij z namišljenimi podatki v dev/test okolju.

To pa je tudi oseba, ki jo jaz iščem. Nekdo, ki lahko vidi podatke in ni sumljivo.

bbbbbb2015 ::

JanBrezov je izjavil:

WizzardOfOZ je izjavil:

nosiyo je izjavil:

In kaj če pride do napake pri agregaciji podatkov iz transakcijskih sistemov v ta podatkovna središča?


Pooblaščeni za te podatke (skrbniki podatkov s pooblastili) povedo, kje in kakšna je napaka, program se potegne iz produkcije nazaj v dev okolje, programer ga pa popravi. Potem se opravijo testi (na milijonih in milijonih podatkov). Ko je potrjeno da deluje pravilno, se ga prenese na produkcijsko okolje in se ponovi izdelava agregacije.

No, in ta oseba mora biti usposobljena, da na miljonih podatkov zna odkriti napako. In kdo bi to znal? Verjetno samo razvijalci. Pa ne kar random razvijalec, ampak eden boljših poznavalcev sistema. V tem primeru ni potrebe po prenosu dejanskih produkcijskih podatkov v dev/test okolje, zadostuje, da ta oseba ugotovi scenarij napake, da lahko ostali razvijalci replicirajo enak scenarij z namišljenimi podatki v dev/test okolju.

To pa je tudi oseba, ki jo jaz iščem. Nekdo, ki lahko vidi podatke in ni sumljivo.



Daj daj, preveč ameriških filmov gledaš.
Še odkar sem delal v Sloveniji, developerji NIKOLI niso delali z živimi podatki.
Še baza podatkov se kriptira na backupu.

To se naredi tako, da se naredi skripta za anonimizacijo. Priimki se zamenjajo z drugimi, naslovi, ostali osebni podatki. Transakcijski podatki (npr. promet na računu) se flipajo (zamenjajo) med sabo.

To potem developer dobi v roke, če že mora. V pa sistemih, kjer delam jaz, je bom rekel velikostni razred podatkov nekaj 1000 TB. To sploh ni možno dati na laptop.

Potem so še ponavadi neke redukcijske skripte, da se glede na parametre izvozi samo določeni zanimivi del podatkov tja do 10 GB. Seveda že prej anonimiziran.

Če bi bil na kakšnem koli varnostnem usposabljanju, bi ti tam rekli, da developerji in administratorji uporabljajo double-lock mehanizem.

Za backup administrator požene/naredi konfiguracijo, ključ za kriptiranje je na TPM 2.0, dejansko ljudje delajo s podatki, do katerih sami osebno ne morejo.

Dopuščam možnost, da šalabajzerji v slovenskih firmah nimajo tako visoko razvite kulture poslovanja in razvoja softvera. Samo praktično ni mogoče, da bi nekdo leakal podatke.

Seveda je možno, da nekdo namerNo zlorablja sistem, vendar tudi to praktično ni mogoče, ne da bi pustil sled v AUDIT logih.

Govorim pa o visoko sofisticiranih sistemih. Baza na eni SPAR blagajni zadaj verjetno ni kriptirana.

Pri varnosti je vedno tako, da dosti stane, le redki so pripravljeni (v Sloveniji) dajati dosti denarja za to.

Zgodovina sprememb…

WizzardOfOZ ::

po moje je sedaj varnost nekje tretjina cene. naslednja tretjina harwdware in zadnja tretjina software. in za varnost bo šlo v naslednjih letih vedno več denarja, če boš hotel bit zaščiten.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

JanBrezov ::

bbbbbb2015 je izjavil:

JanBrezov je izjavil:

WizzardOfOZ je izjavil:

nosiyo je izjavil:

In kaj če pride do napake pri agregaciji podatkov iz transakcijskih sistemov v ta podatkovna središča?


Pooblaščeni za te podatke (skrbniki podatkov s pooblastili) povedo, kje in kakšna je napaka, program se potegne iz produkcije nazaj v dev okolje, programer ga pa popravi. Potem se opravijo testi (na milijonih in milijonih podatkov). Ko je potrjeno da deluje pravilno, se ga prenese na produkcijsko okolje in se ponovi izdelava agregacije.

No, in ta oseba mora biti usposobljena, da na miljonih podatkov zna odkriti napako. In kdo bi to znal? Verjetno samo razvijalci. Pa ne kar random razvijalec, ampak eden boljših poznavalcev sistema. V tem primeru ni potrebe po prenosu dejanskih produkcijskih podatkov v dev/test okolje, zadostuje, da ta oseba ugotovi scenarij napake, da lahko ostali razvijalci replicirajo enak scenarij z namišljenimi podatki v dev/test okolju.

To pa je tudi oseba, ki jo jaz iščem. Nekdo, ki lahko vidi podatke in ni sumljivo.



Daj daj, preveč ameriških filmov gledaš.

Si slišal kdaj za izraz "truth is stranger than fiction"? Nekateri filmi so po resničnih dogodkih. Nekateri resnični dogodki so neverjetni.

bbbbbb2015 je izjavil:

Še odkar sem delal v Sloveniji, developerji NIKOLI niso delali z živimi podatki.

A nekdo včasih mora. In mora biti ekspert. Si predstavljam, da so to ex-developerji, ki so napredovali v drugačne nazive, npr. "analitik", "strokovnjak za varnost" itd, verjetno boš ti bolje vedel. Pa v tej moji zgodbi sploh ni važno, kaj oseba je. Bolj važno je, kakšen dostop ima.


bbbbbb2015 je izjavil:

To se naredi tako, da se naredi skripta za anonimizacijo. Priimki se zamenjajo z drugimi, naslovi, ostali osebni podatki. Transakcijski podatki (npr. promet na računu) se flipajo (zamenjajo) med sabo.

Verjamem, da se. Pa se ti zdi možno, da lahko takšna anonimizacija potencialno "pokvari" bug? Meni se zdi zelo verjetno. Banalen primer: imamo dva komitenta, prvi ima kot naslov prebivališča vrednost null, ki je vir napake. Naredimo omenjeno anonimizacijo in flipamo naslov prebivališča in s tem null pripišemo drugemo komitentu. Zaradi narave poizvedbe test izvedemo samo na prvem komitentu in napake več ni. Če je govora o 1000 TB podatkov in narediš tak mixup, je zelo verjetno, da si problematičen zapis izločil iz procesiranja in napake ni (ker delamo statistiko za 2024, mixup pa problematičnemu zapisu dodeli leto 2018). Ni šans, da napako najdejo na anonimiziranih podatkih.

bbbbbb2015 je izjavil:

Samo praktično ni mogoče, da bi nekdo leakal podatke.

A se vseeno dogaja. Prilepim še enkrat: Suisse Secrets. Pa ne gre za slovensko banko, gre za Credit Suisse, ki je, citiram z Wikipedije "It is known for strict bank–client confidentiality and banking secrecy. The Financial Stability Board considers it to be a global systemically important bank.". Drugi primer so vpogledi v finančne podatke s strani SDS. Tretji primer je prodaja podatkov iz klicnega centra UKC LJ (ok, to ni banka, je pa isti modus operandi). Za četrti primer ti lahko prilepim video John Oliver-ja o prodaji dolgov, pri čemer banka v bistvu proda excel fajl s podatki komitenta in to zelo žalabajzerskim firmam.

bbbbbb2015 je izjavil:

Dopuščam možnost, da šalabajzerji v slovenskih firmah nimajo tako visoko razvite kulture poslovanja in razvoja softvera. Samo praktično ni mogoče, da bi nekdo leakal podatke.
Seveda je možno, da nekdo namerNo zlorablja sistem, vendar tudi to praktično ni mogoče, ne da bi pustil sled v AUDIT logih. Pri varnosti je vedno tako, da dosti stane, le redki so pripravljeni (v Sloveniji) dajati dosti denarja za to.

Ravno to je moj argument glede vprašanja OP-ja. Mi smo v Sloveniji, pri nas velikih firm/bank v bistvu ni. Najboljših strokovnjakov nimamo, si jih ne moremo privoščiti, najboljših standardov si tudi ne moremo privoščiti.

BuDi79 ::

https://twitter.com/BojanPozar/status/1...

Pravkar na temo "sodne stavbe" govoril s podjetnikom Vežnaverjem. Pravi takole: pred 48 urami vrnil kredit svojemu prijatelju, šlo je za velik znesek in transakcijo med dvema podjetjema. A že včeraj, 24 ur kasneje, so to izvedeli novinarji?!

c23po ::

Za to ne rabiš sestrične v banki. Ljudje tudi sami povedo. "Halo, Bing! Nekaj drobiža bi rad plasiral, un mi je predčasno vrnil..."
Računalniki nimajo spominov.

WizzardOfOZ ::

JanBrezov je izjavil:

Mi smo v Sloveniji, pri nas velikih firm/bank v bistvu ni. Najboljših strokovnjakov nimamo, si jih ne moremo privoščiti, najboljših standardov si tudi ne moremo privoščiti.


To ne drži. Imamo strokovnjake in tudi standard je zelo dober. Problem so nekateri lastniki firm, ki raje dajo za nov avto, kot v varnost in držati se standardov.

Sem enkrat probal delat za firmo, kjer so imeli zelo stare računalnike in monitorje. Pa sem šefu razložil, da bo izgubil podatke, potem bo imel pa problem. Ko sem naslednjič prišel, so imeli vsi nove monitorje. Škatle pa še kar iste. In je šef razložil, da monitorje tisti, ki pridejo vidijo, škatel pod mizo pa ne.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

fador ::

Utk je izjavil:

Vprašajte državljana R. Goloba, njemu so račun odprli v Romuniji pa sploh ni vedel, in še zmeraj ne vejo kako

Seveda, saj ne more vedeti, ker gre spet za eno navadno SDSovsko laž. Pač SDSovci ves čas lažejo.

WizzardOfOZ ::

Jebo te, res treba v vsako temo politiko in leve kretene pa desne idiote vlečt.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369132822 (98055) AndrejO
»

Kredit, zakaj kopijo TRR 3 mesecev (strani: 1 2 )

Oddelek: Loža
8527200 (24706) krneki0001
»

Odkrit trojanec za Linux (strani: 1 2 3 )

Oddelek: Novice / Varnost
12537551 (31164) SeMiNeSanja
»

Diskretnost na banki (strani: 1 2 )

Oddelek: Loža
9117870 (14594) solatko

Več podobnih tem