» »

Izvedba popolnega MITM napada

strani: 1 2 3

BlueRunner ::

@Brane2: Mislim, da si mojo poanto utemeljil veliko bolje, kot sem jo bil sposoben sam.


Da ni videti, da je ta sistem dorasel stopnji garancije, ki naj bi jo nudil ?

Nisi bil ti v drugem taboru ?


Sem vmes popravil, ker sem videl da si še nekaj vrinil... potem je pa postal kontekst popolnoma zgrešen.

Utemeljil si mojo poanto, da se po nepotrebnem obešaš na stvari, ki nimajo s kvaliteto produkta nikakršne zveze.

Brane2 ::

Pravim le, da kakovost produkta ni relevanta pri varnosti sistema, če bo na krovu doo ali neka klasična pravna oseba.

Tako kot imaš lahko za pasom full kakovostno pištolo pa umreš zaradi podhladitve.
On the journey of life, I chose the psycho path.

BlueRunner ::

Uf... zdaj sva se pa nekje zamešala.

Jaz sem te razumel, kakor da ne zaupaš projektu - produktu, če ga izvaja nek d.o.o (stabilnost podjetja naj bi bila pod vprašajem). Sedaj pa si napisal, da kakovost ni odvisna če ga bo izvjal nek d.o.o....

Torej, če te tokrat pravilno razumem: Produkt ni OK, če ga izvaja podjetje X, čeprav je pa lahko gledano na tehničnem in varnostnem nivoju še vedno OK.

Brane2 ::

Pravim, da je, kot jaz vidim zadeve v tem trenutku, stopnja varnosti, kot ga ta zadeva lahko nudi posamezniku omejena z odgovornostjo pravne osebe na krovu, tudi če ima še tako dober tehnični produkt.
On the journey of life, I chose the psycho path.

mmerljak ::

Prav imaš Brane. Tako kot je stopnja varnosti in tehnologije, ki jo ponuja podjetje, ki izdeluje osebne izkaznice in zanj se odločil državni organ je tako tudi v tem primeru. Za razliko od vpeljanih in nam že dobro poznanih osebnih izkaznic, CONNET ponuja tehnološko možnost izdajanja verificiranih strani podjetij v povezavi z verifikatorji. Vidimo, da je princip izdajanja osebnih izkaznic in verificiranih strani za podjetja zelo podoben. Gre pač za nou produkt.

jeti51 ::

Po mojem je pri tem sistemu ključna kakovost/kredibilnost podatkov, ki so v njem. Če jih priskrbijo svetovno znane bonitetne hiše (Coface je bil omenjen), potem gotovo imajo neko težo. Močno dvomim, da bi si ta firma, ki je sistem postavila, privoščila vnašanje lažnih podatkov na lastno pest, ker bi v tem primeru partnerske bonitetne hiše gotovo takoj odpovedale sodelovanje pri vsej stvari. Pa še točno bi se vedelo, koga bi bilo v takem primeru potrebno zagrabiti za jajca.

Sicer me pa zanima še ena stvar. Če nekdo ustanovi podjetje samo zato, da bo postavil "kukavičjo" stran, bo iz podatkov razvidno, da je podjetje bilo šele pred kratkim ustanovljeno, ima nič ali morda enega zaposlenega, praktično nič prometa, skratka kar nekaj razlogov za previdnost. Sploh če tako podjetje kar nenadoma začne na veliko prodajati npr. karte za fuzbal prvenstvo (že videno). Vsaj jaz jim pri takih podatkih že ne bi zaupal.
Ampak kaj pa recimo, če nekdo v imenu že obstoječega podjetja z dobrimi bonitetnimi podatki kupi certifikat? Navede podatke, ki so resnični in preverljivi, samo da za kontaktno osebo pač navede sebe in tako brez vednosti podjetja dobi veljaven certifikat za svojo lažno domeno. Kako je s tem?

Brane2 ::

Močno dvomim, da bi si ta firma, ki je sistem postavila, privoščila vnašanje lažnih podatkov na lastno pest, ker bi v tem primeru partnerske bonitetne hiše gotovo takoj odpovedale sodelovanje pri vsej stvari. Pa še točno bi se vedelo, koga bi bilo v takem primeru potrebno zagrabiti za jajca.


Yeah, right. V piramidnem scamu za tistih brat bratu 50 Giga dolarjev se tudi ve, koga lahko zagrabiš za jajca. Pa če mu jih odrežeš in prodaš na trgu organov za težo v zlatu, ti to pomaga kaj točno. Pa so bila vpletena sama zveneča imena, "ki se ziher ne bi šla zajebavat".
Ne me smejat.
On the journey of life, I chose the psycho path.

BlueRunner ::

Ufff. vidim, da čisto preveč počasi tipkam.

Pravim, da je, kot jaz vidim zadeve v tem trenutku, stopnja varnosti, kot ga ta zadeva lahko nudi posamezniku omejena z odgovornostjo pravne osebe na krovu, tudi če ima še tako dober tehnični produkt.


Osebno v temu ne vidim težave, saj je odgovornost vseh ostalih podjetij, ki so na krovu varnostnih produktov, enako "omejena". Če gre z njihovim varnostnim produktom ali storitvijo kaj narobe, se še vedno lahko vsi skupaj pod nosom obrišemo za kakšne sankcije. Dejansko je v takšnih primerih lažje priti do živega majhnemu podjetju, kot pa kakšni multinacionalki. Verjetno pa že zaradi tega majhna podjetja (v povprečju) delujejo veliko bolj moralno, kot pa (v povprečju) velika.

Za konkreten primer pa mislim, da je potrebno idejo ocenjevati po njenih tehničnih in ekonomskih značilnostih. Če so ti OK, potem bo (kapitalističen) sistem že sam poskrbel, da se jo bo spravilo na raven samoumevnosti. Bodisi z odkupom, dokapitalizacijo ali pa kopiranjem. Iz vidika uporabnika in varnosti je to konec koncev vseeno, važen je samo končen rezultat. Si pa predstavljam, da podjetje ne bi ravno želelo videti kopij svojega produkta.

Sedaj pa, ko tako razmišljam, pa sem se spomnil še na eno težavo: poslovni model. Vsi sistemi, ki jih trenutno uporabljamo, imajo strošek na strani tistega, ki želi identifikacijo. Tudi tukaj se bojim, da plača podjetje, ki si želi verifikacijo, ne pa tisti, ki želi preveriti verifikacijo. To pomeni, da je denarni tok odvisen od tistih, ki imajo potencialno željo izigrati sistem. To pomeni, da na podjetje, ki se s tem ukvarja, deluje negativen pritisk, ki nagrajuje delovanje, ki ni v korist tretjih oseb uporabnikov.

Čeprav je na videz sporno, pa je veliko bolje, da se plačuje za preverjanje verifikacije, ne pa za samo verifikacijo. To pomeni, da je denarni tok odvisen od zadovoljstva uporabnikov storitve. Posledično pa je potem tudi pritisk pozitiven, saj se nagrajuje delovanje, ki je tudi v smeri večje varnosti: kriminalec ne more plačati, kar pomeni, da tudi ne more "prepričati" podjetja v napačno verifikacijo.

Zgodovina sprememb…

jeti51 ::

Jasno, prevare se lahko zgodijo tudi v realnem svetu in tukaj 100% garancije pač nikoli ne bo. Ampak na internetu je vse skupaj še 1000x lažje izvesti, sploh če si ruski heker skrit za nešteto proxyji ali pa to izvajaš preko tujega okuženega računalnika. Pač posledica tega, da je na internetu veliko lažje skriti oz. ponarediti svojo identiteto.
Če obstaja način, da se tistega na drugi strani potegne iz anonimnosti, je to že kar velik korak naprej. Ni pa seveda to ultimativna garancija, nenazadnje te lahko nategne tudi sosedov Joža, ki ga poznaš že 20 let in veš o njemu vse.

Brane2 ::

Ufff. vidim, da čisto preveč počasi tipkam.

Pravim, da je, kot jaz vidim zadeve v tem trenutku, stopnja varnosti, kot ga ta zadeva lahko nudi posamezniku omejena z odgovornostjo pravne osebe na krovu, tudi če ima še tako dober tehnični produkt.


Osebno v temu ne vidim težave, saj je odgovornost vseh ostalih podjetij, ki so na krovu varnostnih produktov, enako "omejena".



In zato so podjetja neprimerna za te zadeve. Ne samo to, ampak se tu pojavljajo v vlogi posrednika, ki samo slabi verigo.

In kdo je primeren ?

Tisti, ki pobira davke in ima na volj represivni in ostale aparate. On je suveren na svojem ozemlju. Če on tam ne more garantirati nečesa, potem je to za podjetje, ki je samo dleček trga, ki je pod nadzorom in očesom suverena, nima šans.

Tisti, ki pobira davke ima edini moč deliti pravico na področju svoje suverenosti. Vsi ostali so pri njemu gosti, ki lahko samo zahtevajo izvajanje hišnega reda- kar lahko dobijo ali pa tudi ne.

In take entitete ti ne moreš zanesljivo pritisniti z nekim doo-jem, ki bo v primeru da ga nekdo nategne ali njegovo stranko, zahteval od nekoga pri suverenu pač nekaj po neki pogodbi s tam neko službo.

Lahko ga pa pritisneš z nekim globalnim dogovorom, pogodbo o poslovanju. V smislu, če suveren zahteva davke in deklarira svoje področje kto trg, potem naj ima tam CA po XYZ globalnem standardu, _za_katerega_naj_garantira_. ( EDIT: v smislu neke pogodbe na ravni G-8 ali kaj podobnega )
Se pravi, če ti izvršiš transakcijo iz Slovenije ( ki bi bila recimo podpisnica XYZ ) in lahko dokažeš nateg, ki se je zgodil zaradi slabih podatkov CA certifikata recimo Avstrijskega suverena, potem ti Avstrisjki kajzer krije neposredno škodo, njegova varnostna služba pa najde talenta, ki si je drznil kaj takega in na njem izvede ustrezno proceduro.

Tvoj suveren torej uredi stvari z avstrijskim, ti dobiš povrnejno škodo pri svojem suverenu, avstijec pa je*e mater svojim kriminalnim elementom. Tu je seveda njemu v neposrednem interesu, da to uredi hitro in je*itačno, ker mu taki falotje žrejo denar.

Če pa kajzer ne jebe 5% tvojega cesarja in globalno pogodbo, potem itak nimaš kaj, ker je že tvoj cesar pizda in če se je nekdo odločil, da bo kršil tako široko priznano mednarodno pogodbo, potem bi z nekim mikro ali makro doojem imel še toliko manj šans.
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

BlueRunner ::

Zakaj pa ne bi vsega poenostavil na nivo denarja? Če plačuje podjetje X, pa me potem ogoljufa, lahko spokam kufre in ta d.o.o. v sredini bo še vedno mirno izstavljal račune podjetju X, ki jih bo tudi pridno plačevalo.

Če pa plačujem jaz, potem ta d.o.o. v sredini ostane brez denarja, ko spokam ven iz njegovega sistema. Podjetje X pa tega dejstva ne more spremeniti, saj temu d.o.o. v sredini ničesar ne plačuje.

Veliko enostavneje, hitreje, predvsem pa zadovoljivo varno. Če ne zaradi drugega, samo zato, ker smo v zgodovini vedno dokazovali, da je pohlep odličen motivator. Če hoče d.o.o. imeti prihodke, mora delati v korist plačnikov. Plačniki so tisti, ki so zadovoljni s storitvijo (tudi če ni popolna). Če jih izgubi, propade in lastniki ostanejo brez denarja. Pohlep je pa tista prvina, ki poskrbi za to, da si nikoli ne želijo ostati brez denarja.

Praviloma pa ne zaupam nekim mednarodnim, državnim in birokratskim sistemom. Ti delajo in delujejo po svojih zakonitostih, ki niso nujno zaželjene pri vsakodnevnem poslovanju. Politike ne razume nihče. Denar razume vsakdo.

Brane2 ::

Veliko enostavneje, hitreje, predvsem pa zadovoljivo varno. Če ne zaradi drugega, samo zato, ker smo v zgodovini vedno dokazovali, da je pohlep odličen motivator. Če hoče d.o.o. imeti prihodke, mora delati v korist plačnikov.


Prej sem ti navedel očiten in ogromen primer, kjer je tip delal v smeri "odličnega motivatorja" in nategnil svoje plačnike za $50G.
In ti mi praviš, da je zgodovina odličen učitelj- očitno je nekaj tudi na učencih...


Plačniki so tisti, ki so zadovoljni s storitvijo (tudi če ni popolna). Če jih izgubi, propade in lastniki ostanejo brez denarja. Pohlep je pa tista prvina, ki poskrbi za to, da si nikoli ne želijo ostati brez denarja.


V nekem stabilnem stanju tega posrednika mogoče. Ko pa posrednik dobi nespodobno povabilo, ki ga noče zavrniti, kaj točno mu preprečuje da te zajebe ?

Saj po tej tvoji logiki bi sedanji sistem s CAji moral dealti imenitno. So na trgu in motivira jih pohlep, pa vendar vlečejo poteze, za katere je očitno, da so zajebale plačnike.
Kako je to možno po tvoje ?


Praviloma pa ne zaupam nekim mednarodnim, državnim in birokratskim sistemom. Ti delajo in delujejo po svojih zakonitostih, ki niso nujno zaželjene pri vsakodnevnem poslovanju. Politike ne razume nihče. Denar razume vsakdo.


Saj se hecaš. VSE, kar počneš, je zasnovano na teh pogovrih. Sam svobodni trg je zadeva, ki se dogaja na podlagi teh dogovorov in pogodb. Te so osnova in predpogoj prostora, v katerem se potem sploh lahko pogovarjamo o trgovanju in obligacijah.
On the journey of life, I chose the psycho path.

BlueRunner ::

Prej sem ti navedel očiten in ogromen primer, kjer je tip delal v smeri "odličnega motivatorja" in nategnil svoje plačnike za $50G.
In ti mi praviš, da je zgodovina odličen učitelj- očitno je nekaj tudi na učencih...

In glej ga zlomka. Privatnik, pa so ga pospravili v zapor in mu odvzeli ves denar, kar mu ga je ostalo. Kaj točno bi tvoj sistem naredil bolje in hitreje s takšnim kriminalnim elementom?


Plačniki so tisti, ki so zadovoljni s storitvijo (tudi če ni popolna). Če jih izgubi, propade in lastniki ostanejo brez denarja. Pohlep je pa tista prvina, ki poskrbi za to, da si nikoli ne želijo ostati brez denarja.

V nekem stabilnem stanju tega posrednika mogoče. Ko pa posrednik dobi nespodobno povabilo, ki ga noče zavrniti, kaj točno mu preprečuje da te zajebe ?
Dejstvo, da bi mu moral ta nespodobni ponudnik s časom pokriti ves tisti dobiček, ki mu bo izpadel zaradi odliva strank.

Saj po tej tvoji logiki bi sedanji sistem s CAji moral dealti imenitno. So na trgu in motivira jih pohlep, pa vendar vlečejo poteze, za katere je očitno, da so zajebale plačnike.
Kako je to možno po tvoje ?

Še enkrat si preberi o tem kaj sem napisal: kako večina teh ne-zapanja vrednih sistemov deluje danes in o čemu razmišljam jaz.


Praviloma pa ne zaupam nekim mednarodnim, državnim in birokratskim sistemom. Ti delajo in delujejo po svojih zakonitostih, ki niso nujno zaželjene pri vsakodnevnem poslovanju. Politike ne razume nihče. Denar razume vsakdo.


Saj se hecaš. VSE, kar počneš, je zasnovano na teh pogovrih. Sam svobodni trg je zadeva, ki se dogaja na podlagi teh dogovorov in pogodb. Te so osnova in predpogoj prostora, v katerem se potem sploh lahko pogovarjamo o trgovanju in obligacijah.


Ne hecam se, samo ne želim mešati svobodne podjetniške iniciative z regulativo trga in poslovanja (svobodni ali prosti trg tako ali tako ne obstaja). Nekaj kar lahko podjetništvo rešuje samo v skupno korist načeloma ne potrebuje dodatne regulative in državne birokracije. Ta je potrebna tam, kjer se izkaže, da je delovanje škodljivo za interese družbe v splošnem.

Ti pač vidiš rešitev v strogi regulativi slabega sistema, jaz pa vidim rešitev v novem sistemu, ki ima drugačne sile. Ravno primer, ki si ga sam izpostavil (ukradenih XXX milijard $$$) kaže na eno izmed pomankljivosti bolj stroge regulative: motivacijske sile ostanejo nespremenjene, kar pomeni, da ostane tudi motivacija za lahkim zaslužkom. Po drugi strani pa je potrebno predloge za nov sistem dela dobro preveriti in pregledati. Morda skrivajo nove pasti, ki jih še nismo srečali. Včasih pa je (iz vidika stabilnosati) tudi bolje ohraniti staro slabo stvar, če obstaja možnost, da bi lahko bila psledica nove še kaj slabšega.

Brane2 ::

In glej ga zlomka. Privatnik, pa so ga pospravili v zapor in mu odvzeli ves denar, kar mu ga je ostalo.


In ker je tako veliko denarja ostalo, so ga stranke tipu lahko samo povlekle. Ena tudi dobesedno-cev pištole.


Kaj točno bi tvoj sistem naredil bolje in hitreje s takšnim kriminalnim elementom?


V mojem sistemu bi, če to prenesemo na garanciej za podpise, ki so tu topic, država hladno vrnila denar oškodovancem. Glavni krivec bi doživel čudno nesrečo skupaj familijo ali kaj podobnega, država bi pa interno uredila potrebne procedure za krpanje lukenj sistema in prečekirala preko ustreznih služb če je še kje kak podoben talent.
Vse to bi naredila z minimalnimi stroški ( v primerjavi z recimo zavarovanjem proti nategu pri zavarovalnici), ker je sama lasntnica svojega dela trga in ji je v neposrednem življenjskem interesu, da nima rakavih tvorb, ki bi ji na tak način odžirale denar od davkov.

In to ni teorija ampak praktičen, delujoč mehanizem. Tajne in javne službe držav se ukvarjajo z zanje problematičnimi tipi.



Dejstvo, da bi mu moral ta nespodobni ponudnik s časom pokriti ves tisti dobiček, ki mu bo izpadel zaradi odliva strank.


Kar se, kot rečeno, v praksi dogaja.
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

BlueRunner ::

Prvega dela sploh ne bom komentiral... Takšno državo smo imeli, pa smo se je na srečo rešili.

Dejstvo, da bi mu moral ta nespodobni ponudnik s časom pokriti ves tisti dobiček, ki mu bo izpadel zaradi odliva strank.


Kar se, kot rečeno, v praksi dogaja.

V praksi se ne dogaja nič takšnega, ker sistema o katerem razmišljam v praksi ni. Če pa meniš nasprotno, pa daj en primer kje se bi to lahko po mojem sistemu danes dogajalo.

Brane2 ::

Ne hecam se, samo ne želim mešati svobodne podjetniške iniciative z regulativo trga in poslovanja (svobodni ali prosti trg tako ali tako ne obstaja). Nekaj kar lahko podjetništvo rešuje samo v skupno korist načeloma ne potrebuje dodatne regulative in državne birokracije. Ta je potrebna tam, kjer se izkaže, da je delovanje škodljivo za interese družbe v splošnem.


Pa saj je ne mešam. Trg potrebuje določene garancije "pravil igre", ki zahteva vsaj nek regulacijski mehanizem. In ti ne moreš zaupati neki entiteti, ki je ustvarjena za pogoje delovanja na trgu za to, da bo vzdrževala bistvene varnostne mehanizme trga. To je tako, kot da bi sam sebe dvignil v luft tako da bi se pocukal za lase.

Podjetje je tvorba, namenjena ustvarjanju profita na trgu. Pri tem so varnostni mehanizmi trga zasnovani ustrezno podjetju, ki lahko oškoduje sebe in mogoče kakega partnerja, ne pa podjetju, ki lahko zajebe cel trg-kot osnovo, na kateri se trgovanje sploh dogaja.

Ja, cesar lahko da delat izdelavo recimo obrazcev ali osebnih doo-ju, vendar mu pri tem ne prepušča nadzor nad nobenimi bistvenimi parametri, razen čisto proizvodnih.
Pa še tam se dela gužva.
On the journey of life, I chose the psycho path.

Brane2 ::

O.K. Bom še enkrat šel skozi:

X.509 PKI drevesa nam tega ne zagotavljajo. Sami certifikati pa, vkolikor smo uspeli nedvomno prenesti pravi javni ključ. Tako lahko npr. točno vem, da mi je nek mejl res poslal ta in ta človek, če sva se enkrat fizično srečala in mi je predal svoj javni ključ.


Ne, v bistvu tega ne veš. Kako lahko karkoli trdiš o identiteti neznanca na podlagi tega, da sta se "enkrat srečala" ?
Reku ti je "Živjo, sem Franc Kafka, tu je moj javni ključ". In kaj s tem ?


Če se z osebo srečaš, potem ne potrebuješ X.509 strukture. Daš javni ključ, vzameš njegovega in to je to.


Izjava leta.


Za pravilno pa bi bilo potrebno:
- X.500 imena so unikatna, nahajajo se v globalnem imeniku

- X.509 je vezan na unikatno ime, zato ga ni možno ponovno zahtevati brez privoljenja lastnika

In kako zagarantiraš, da to res ne bo možno ?


- spletni brkljalnik bi moral prikazati samo LASTNIŠVO IZRAŽENO V X.509 STRUKTURI, odločitev o zaupanju pa bi moral prepustit uporabniku.


Kar z drugimi besedami pomeni, da odgovornost za možnost zajeba prevališ izključno na uporabnika, ker je bil pač tak prasec, da je kliknil "OK" potem ko v bistvu itak ni imel druge realne opcije ?

tem bi se zagotovilo naslednje:
- obstoj globalnega imenka bi onemogočal centralno evidenco vseh kvalificiranih X.509 potrdil
- če X.509 potrdila v globalnem imeniku ne bi bilo, potem ne bi bilo kvalificirano.
- uporabnik se bi vedno odločal na podlagi kvalificiranosti potrdila ter imena in države (lokacije) podjetja/osebe, sam spletni brkljalnik ne bi sprejemal ali vsiljeval nikakršnih odločitev.


In kako prisiliš vzdrževalce drevesa v korektnost ?
Ali recimo garancijo za pristnost podatkov v drevesu ?

Saj, kot sem uspel prebrati, so vrhnje veje X500 itak začnejo s kodo države, torej dvoriščem cesarja, ki bi lahko skrbel in garantiral za svojo vejo... Zakaj rabiš centralni doo ?
On the journey of life, I chose the psycho path.

mmerljak ::

Ja, cesar lahko da delat izdelavo recimo obrazcev ali osebnih doo-ju, vendar mu pri tem ne prepušča nadzor nad nobenimi bistvenimi parametri, razen čisto proizvodnih.
Pa še tam se dela gužva.

V enem izmed gornjih dopisev sem povedal, da je vloga CONNET točno ta - "čisto proizvodna".
Connet je izdelal tehnološko rešitev in odgovarja za tehnologijo. Nekemu d.o.o.ju lahko zaupaš, da skrbi za tehnologijo, tako kot npr. nek d.o.o. izdela aparate za zrdravstvene storitve, ki ohranjajo življenja in skrbi zanje.
Identifikacija in skrb za podatke o podjetjih pa ni stvar nekega d.o.o.-ja pač pa večinoma državnih inštitucij. Connet za tuje trge trenutno lahko zagotavlja podatke preko svetovne bonitetne hiše Coface, ki je zaupanja vredna (pa naj bo d.o.o., ltd, whatever - če ne bi delali dobro, bi jim posel po vsej logiki že davno šel iz rok). V državah, kjer se odpirajo zastopništva, bodo zastopniki postopno poiskali državne ali neodvisne institucije z zaupanja vrednimi podatki. Na vsakem certifikatu je označeno, kdo stoji za podatki in je odgovoren zanje.
Bistveno je, da vsak trenutek vemo, kdo je odgovoren. Če gre kje kaj narobe, vemo, KOMU lahko to pripišemo.
Če ne bi delal sistem Company On Net, je odgovoren Connet.
Če bi bili podatki o podjetju napačni, je odgovoren verifikator.

Izvedba je malo bol inovativne narave, kar govorijo nagrade, ki jih je sistem prejel (nacionalne in tudi na mednarodni ravni) - http://www.pressebox.de/pressemeldungen...

Podelitev nagrade na: http://www.isse.eu.com

Mislim, da zaupanje in ocene tovrstnih organizacij daje samemu sistemu določeno težo in kredibilnost ter dodatne poslovne potenciale.

Brane2 ::

Ja, cesar lahko da delat izdelavo recimo obrazcev ali osebnih doo-ju, vendar mu pri tem ne prepušča nadzor nad nobenimi bistvenimi parametri, razen čisto proizvodnih.
Identifikacija in skrb za podatke o podjetjih pa ni stvar nekega d.o.o.-ja pač pa večinoma državnih inštitucij. Connet za tuje trge trenutno lahko zagotavlja podatke preko svetovne bonitetne hiše Coface, ki je zaupanja vredna (pa naj bo d.o.o., ltd, whatever - če ne bi delali dobro, bi jim posel po vsej logiki že davno šel iz rok).


1. Zakaj je hiša Coface zaupanja vredna ? Zato, ker ti to praviš ? Ker oni to pravijo ? Ker drugi govorijo to o njih ? Komu od teh drugih naj verjamem in zakaj bi jim moral ?
Nihče od njih mi ni pustil blanko menic za garancijo Coface, torej kaj, razen besede neznanca o meni doslej neznanem imenu naj bi mi vlivalo zaupanje ?

2. Prej si rekel, da identifikacija in skrb za podatke ni stvar dooja, takoj zatem pa da podatke o zunanjih subjektih zagotavlja Connet. Which is it ?

3. To ali zaupam subjektu XY se upam odločat za nekega subjekta na trgu, ponavadi sebe- ki bo v primeru zajeba nosil posledice. Nerazumno pa je, da riziku izpostavljamo cel svoj trg in vse subjekte ki so na njem, "na drugi strani tehtnice" pa dajemo "lordovsku čast i poštenje" subjekta, ki je tudi sam na trgu in je odgovoren lahko v bistvu samo zase v višini svojega kapitala, pa še to vprašanje.


V državah, kjer se odpirajo zastopništva, bodo zastopniki postopno poiskali državne ali neodvisne institucije z zaupanja vrednimi podatki. Na vsakem certifikatu je označeno, kdo stoji za podatki in je odgovoren zanje.


In to mi pomeni kaj ? Kako naj jaz vem kaj o solidnosti garanta na drugi strani ? Jo izračunam iz hasha njegovega imena ? Vržem kocko ?


Bistveno je, da vsak trenutek vemo, kdo je odgovoren. Če gre kje kaj narobe, vemo, KOMU lahko to pripišemo.


Pa saj to tudi zdaj veš. Nekdo tew je recimo nategnil ker je prišel do domene in certifikata na opsiane načine. Krive je torej on. Imaš vse kar rabiš za tožbo.

Po novem sistemu pa bo bistveno drugače kaj ? Da bom namesto tipa X v Indiji tožil lahko njegovega garanta ?
Kaj mi sploh pravno gledano garantira Connet ? BO pokril zajeb ali se mora zajebani ukvarjat sam s tem ?
In kakšne točno pravne vzvode mu daje COnnet ? Bodo njegovi partnerji podpisali pogodbo tipa "jajca na tnalu" ali bo to tisto "ja podatki so resnični, razen v primeru če kaj zajebemo, takrat pa je stranka upravičena do opravičila".


Če ne bi delal sistem Company On Net, je odgovoren Connet.
Če bi bili podatki o podjetju napačni, je odgovoren verifikator.


Kot rečeno, kaj to pomaga stranki ?


Izvedba je malo bol inovativne narave, kar govorijo nagrade, ki jih je sistem prejel (nacionalne in tudi na mednarodni ravni) - http://www.pressebox.de/pressemeldungen...

Podelitev nagrade na: http://www.isse.eu.com

Mislim, da zaupanje in ocene tovrstnih organizacij daje samemu sistemu določeno težo in kredibilnost ter dodatne poslovne potenciale.



Mogoče res. Mogoče ne. "Nagrajenih inovacij" sem se nagledal in to cenim bolj malo samo zase. Zame šteje uspeh na terenu, brez tihih dogovorov z ministri in raznimi meceni.
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

Lipicnik ::

Ojla vsi skupaj. Naj še enkrat orišem bistvene stvari, ki so problem in kako ga rešiti. Problem številka ena je vsekakor, da spletna stran nima odgovorne pravne oz.fizične osebe. Kar karikirano pomeni, da na trgovini ni oznake kateremu podjetju trgovina pripada, kdo je odgovoren za njo. Največ kar lahko na spletu naredimo je, da poslovanje izenačimo s poslovanjem v realnem svetu. Kar pomeni, da moramo poskrbeti za identiteto ponudnika spletne strani. Identiteto naj potrjujejo čimbolj kredibilne, lokalne (ker svoja podjetja bolje poznajo) in neodvisne institucije (Gospodarske Zbornice, Bonitetne hiše, ...). Popolnoma jasno je, da za delovanje neke xy pravne osebe nobena verifikacije ne more prevzemati odgovornosti v vsebinskem smislu (npt. da redno plačuje, da obljublja samo tisto, kar je res, da plačuje davke, da ...), pač pa je ključno to, da v primeru, ko gre kaj narobe oškodovani ve kdo je odgovorna oseba s katero je posloval.

V obstoječih razmerah lastniki phishing strani ostajajo neidentificirani, zato so tudi morebitni zahtevki za storjeno škodo imaginarni, ker ni naslovnika. Teh primerov je ogromno in prav ti primeri predstavljajo problem številka ena. Takoj ko vemo kdo je naslov za pritožbo, tožbo, ... smo prvi korak k rešitvi naredili. Seveda pa je tudi samo število kriminalnih dejanj v pogojih anonimnosti neprimerno večje. Nikakor pa ne gre mešati jabolk in hrušk. Poštenosti pravne osebe ne zagotavlja noben certifikat in ne vidim mehanizma kako bi to naredil, kdo bi jamčil, kako bi jamčil... Na nek način so platinasti certifikati znotraj Company On Net-a blizu tega (celotno bonitetno poročilo podjetja je dodano), vendar še vedno ni dovolj, da bi lahko s tem kdorkoli lahko jamčil za "poštenost" podjetja. Če si kdo želi izdajati tak certifikat mu to znotraj našega sistema lahko omogočimo, predložiti bo moral samo pravilnik na osnovi katerega se bodo tovrstni certifikati izdajali in prevzeti odgovornost za izdane certifikate. Tehnološko namreč tudi eksterne certifikate podpiramo (npr. Microsoft Gold Partner, Član GZS, Netko Awarded, ...).

Brane2 ::

Identiteto naj potrjujejo čimbolj kredibilne, lokalne (ker svoja podjetja bolje poznajo) in neodvisne institucije (Gospodarske Zbornice, Bonitetne hiše, ...).


Od kdaj je GZ in bonitetna hiša kredibilnejši vir infortmacij o _identiteti_subjekta_ od cesarjeve službe ?



Popolnoma jasno je, da za delovanje neke xy pravne osebe nobena verifikacije ne more prevzemati odgovornosti v vsebinskem smislu (npt. da redno plačuje, da obljublja samo tisto, kar je res, da plačuje davke, da ...), pač pa je ključno to, da v primeru, ko gre kaj narobe oškodovani ve kdo je odgovorna oseba s katero je posloval.


O.K.
Sem pa mislil, da je ključno, da vedno poznaš identiteto korespodenta, še posebej preden gre kaj narobe. Ampak OK, fair enough.



V obstoječih razmerah lastniki phishing strani ostajajo neidentificirani, zato so tudi morebitni zahtevki za storjeno škodo imaginarni, ker ni naslovnika. Teh primerov je ogromno in prav ti primeri predstavljajo problem številka ena. Takoj ko vemo kdo je naslov za pritožbo, tožbo, ... smo prvi korak k rešitvi naredili.


Seveda, če je primer sploh tak,d a se ti tožba ali pritožba sploh splača. Zanima me, kaj se zgodi v nekem recimo imaginarnem primeru, ko se kot krivec izkaže CONNET in zaradi tega najebe 1000 podjetij, vsako v povprečju za recimo €10M.

Connet bi kaj:

- se izprsil z €10G ne da bi trznil
- likvidiral podjetje in našel dežurnega krivca med zaposlenimi, ki ga bodo lahko zaprli za 10.0000.0000 let in izpustili po treh letih, zaradi lepega vedenja.


Seveda pa je tudi samo število kriminalnih dejanj v pogojih anonimnosti neprimerno večje. Nikakor pa ne gre mešati jabolk in hrušk. Poštenosti pravne osebe ne zagotavlja noben certifikat in ne vidim mehanizma kako bi to naredil, kdo bi jamčil, kako bi jamčil...


Seveda lahko. Lahko ti jamči cesar. NJemu itak verjameš. Če mu ne bi, ne bi odprl podjetja na njegovem trgu.
On the journey of life, I chose the psycho path.

Lipicnik ::

Za identiteto podjetij v Sloveniji je GZS precej boljši kot recimo VeriSign ali Comodo nekje iz Amerike, mar ne. Cesar sistema ni razvil, ker svojega dela ne opravlja najbolje, ga tudi ne razume popolnoma, pa tudi če bi ga, bi še vedno s sistemom upravljali ljudje, ki so bolj ali manj zaupanja vredni in odgovorni. Seveda pa Brane pri oceni identitete in s tem povezanim zaupanjem v spletne strani najbolj zaupa samemu sebi. Naj pri tem ostane. Po analizah je takih še 4% in odstotek pada. Pamet je edina pravično razdeljena dobrina na svetu. Vsak misli, da je ima dovolj.

Brane2 ::

Vprašal sem te za primerjavo GZS --- cesar. In kako hudiča naj cesar svojega sistema identifikacije ne bi imel ?

Valjda ve kdo si in kje je tvoje podjetje ? Če bi te ukazal recimo zapreti, valjda bi vedel, da ima v rokah tebe ne pa recimo Petra Petroviča...

To, da/če trenutno nima svojega serverja in sistema za on-line, pa tudi sploh ni nikakršna bistvena ovira.

To, kar ste vložili v razvoj, je mogoče bistveno za vas, ne pokrije pa poštene letalske turneje kakega našega glavonje.
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

BlueRunner ::

@Brane2: Všeč mi je, da postavljaš vprašanja in argumentiraš svoje mnenje. Ni mi pa všeč, da mi polagaš besede v usta in se ne potrudiš niti toliko, da bi poskušal razumeti, kakšno je nasprotno mnenje in kakšni so nasprotni argumenti. Tokrat še zadnjič, potem pa grem raje na ignore. Ideje o likvidacijah in vnaprejšnje negiranje vrednosti nagrad (med vrsticami pa tudi obtoževanje, da moraš biti za uspeh v Sloveniji povezan s politiko) se mi ne zdijo vredni tega foruma. Lahko se o temu šališ, vendar pa to ne prispeva k iskanju rešitve ali novih idej. Politiko na svojem nivoju bi lahko odpeljal na kakšen drug portal.


X.509 PKI drevesa nam tega ne zagotavljajo. Sami certifikati pa, vkolikor smo uspeli nedvomno prenesti pravi javni ključ. Tako lahko npr. točno vem, da mi je nek mejl res poslal ta in ta človek, če sva se enkrat fizično srečala in mi je predal svoj javni ključ.


Ne, v bistvu tega ne veš. Kako lahko karkoli trdiš o identiteti neznanca na podlagi tega, da sta se "enkrat srečala" ?
Reku ti je "Živjo, sem Franc Kafka, tu je moj javni ključ". In kaj s tem ?

Enako kot banka ve, da je ta in ta oseba odprla TRR na okencu. Stvari, ki niso problematične, ne bom posebej omenjal ali jih problematiziral. Še posebej ne v kontekstu MITM napadov.

Če se z osebo srečaš, potem ne potrebuješ X.509 strukture. Daš javni ključ, vzameš njegovega in to je to.

Izjava leta.

V kontekstu odgovora, ki se tiče MITM je to čisto korektna izjava. Če sem si z osebo varno izmenjal javna ključa, potem MITM realno več ni možen.

Za pravilno pa bi bilo potrebno:
- X.500 imena so unikatna, nahajajo se v globalnem imeniku
- X.509 je vezan na unikatno ime, zato ga ni možno ponovno zahtevati brez privoljenja lastnika


In kako zagarantiraš, da to res ne bo možno ?

Preberi si celotno sporočilo, da boš razumel kontekst. Če pa ne veš o čemu govorim, pa si preberi standarde. ITU X.500 oziroma ISO 9594. Notri je tudi to popisano.

- spletni brkljalnik bi moral prikazati samo LASTNIŠVO IZRAŽENO V X.509 STRUKTURI, odločitev o zaupanju pa bi moral prepustit uporabniku.


Kar z drugimi besedami pomeni, da odgovornost za možnost zajeba prevališ izključno na uporabnika, ker je bil pač tak prasec, da je kliknil "OK" potem ko v bistvu itak ni imel druge realne opcije ?

Ne. Uporabnika gledam kot intelegentno in misleče bitje, ki se je sposobno odločati, če mu podatke prikažemo na njemu razumljiv način. Tako je sposobno razumeti, da napis "Renaaault Pizza" verjetno pomeni, da ni prišel na varno spletno mesto svoje banke. Hkrati pa razumem, da tega verjetno ne more ugotoviti, če ima pred seboj napisano "http://www.nlb.si.com.click.kslfkughkjh...

Zavedam pa se, da to ni popolna ali celotna rešitev, temveč samo del morebitne boljše rešitve.

In kako prisiliš vzdrževalce drevesa v korektnost ?
Ali recimo garancijo za pristnost podatkov v drevesu ?

Saj, kot sem uspel prebrati, so vrhnje veje X500 itak začnejo s kodo države, torej dvoriščem cesarja, ki bi lahko skrbel in garantiral za svojo vejo... Zakaj rabiš centralni doo ?

Če si bi res kaj prebral, potem bi videl, da sem opisal kakšen bi bil originalno predlagan način implementacije X.500 standarda. Naj ti namignem: takšen je, kot je tvoja ideja rešitve tovrstnih zlorab. Seveda pa se danes že celotna skupnost bolja ali manj strinja, da ta ideja v tem trenutku ni izvedljiva, kakor se je tudi ni dalo udejaniti v preteklih 15 letih. Tudi to si uspel spregledati.

Mogoče res. Mogoče ne. "Nagrajenih inovacij" sem se nagledal in to cenim bolj malo samo zase. Zame šteje uspeh na terenu, brez tihih dogovorov z ministri in raznimi meceni.

Strinjam se, da inovacija same še ne predstavlja uspeha. Bi pa z veseljem kaj več slišal o tvojih terenskih uspehih na tem področju. Še posebej me zanima kaj si do sedaj storil, da bi v mednarodnem merilu udejanil svojo lastno idejo.

Vprašal sem te za primerjavo GZS --- cesar. In kako hudiča naj cesar svojega sistema identifikacije ne bi imel ?
Kaj ima IBon, pa AJPES nima? Kaj ima Jus-info, pa UL nima? Si kdaj pomislil, da obstajajo podjetja, ki imajo neko dodano vrednost na področju preverjanja verodostojnosti podjetja? Celo toliko vrednosti, da jim ljudje in podjetja plačujejo te podatke, čeprav jih "cesar" nudi zastonj.

Pa še konkretni odgovori: GZS ima podatke o poslovanju, finančni trdnosti in dejanskem naslovu poslovanja podjetja, "cesar" ima samo podatek iz sodnega registra o obstoju. Naslov identiteta odgovorne osebe so že dvomljivi podatki, ker se jih ne preverja non-stop.

IBon ima več virov bonitetnih podatkov o podjetju, AJPES jih zbira samo iz uradnih evidenc, ki se jih da "pofrizirati".

Jus-info nudi še vse soodvisnosti med zakoni, evidenco sodne prakse in pravna mnenja o posameznih "popularnih" členih ali sklopih zakonodaje.

jeti51 ::

Seveda bi lahko cesar naredil svoj sistem identifikacije, kdo upravlja s katero domeno, saj ima vsa sredstva na voljo. Ampak tega iz nekega razloga ni storil in tako so se pač našli zasebniki, ki želijo to nišo zapolniti. Na koncu bo itak trg povedal, ali je takšna storitev sploh potrebna (in hkratu tudi dovolj dobro izvedena). Glede na to, da na trgu uspešno deluje lepo število bonitetnih hiš, povpraševanje po tovstnih informacijah glede identitete in kredibilnosti očitno obstaja (in to ne majhno). Pa so to čisto zasebna podjetja, ki so bila ustanovljena z namenom profita, in s cesarjem nimajo veze, a ljudje jim v splošnem kljub temu zaupajo.

Lipicnik ::

Cesarju (ne vem zakaj povzemam tvojo terminologijo :)) je bila zadeva ponujena, vendar je popolnoma logično, da je bila ponudba zavrnjena, saj cesar ne more favorizirati enega ponudnika in mora ostati v tej verigi nevtralen. In tako je prav. Uradni register podjetij pri nas vodi Ajpes in uporaba tega registra je naprodaj. Kdo ga uporablja in zastavi svoje ime je stvar tehnike. Lahko bi bil tudi ti, in četudi si najbolj pošten človek na svetu je problem še vedno v tem, da bi ti verjelo mnogo manj ljudi kot je to v primeru nacionalne gospodarske zbornice. Problema identifikacije na spletu se ljudje zelo pomankljivo zavedajo, zato je potrebno vložiti relativno veliko truda v izobraževanje ponudnikov spletnih strani in uporabnikov. Sama identifikacija tudi ni učinkovita, če je blagovna znamka identifikacije lokalna (zato je pomembno, da smo na trgih v ZDA, drugje po Evropi, ...), čeprav ji verodostojnost dajejo čimbolj lokalni verifikatorji. Zato cesar v tej zgodbi nima tako velike vloge, kot si si ti morda zamislil. Slovenske domene .si so bile še štiri leta nazaj pod okriljem Arnesa in kontrola nad temi domenami je bila zelo dobra. S stališča zaupanja pa to tudi takrat ni kaj dosti pomagalo, saj američani, nemci in avstralci tega niso vedeli. Seveda pa je politika sproščanja domen za trg skupni imenovalec vsem nacionalnim domenam, zato se poleg .com, .net, .org,... prosto trguje tudi praktično z vsemi nacionalnimi domenami .de, .it, .si, .us, .co.uk, ... kar povečuje red velikosti problema phishinga in copycat-a na spletu. Problemi na najvišjem nivoju zaupanja niso tako preprosti, kot morda to izgleda na prvi pogled, četudi pustimo ob strani vso tehnologijo, ki je naslednji korak. Na tehnološkem nivoju pa je ključno to, da mora produkt identifikacije dajati dodatne dodane vrednosti, ne zgolj identifikacijo, saj je zgolj identifikacija premalo, da bi bila podjetja ta trenutek pripravljena zanjo odšteti nekaj sto evrov letno. Problema sindroma "nevarnih ulic" se namreč mnogo premalo zavedajo. Analize kažejo, da je obdobja "slepega zaupanja" obiskovalcev spleta definitivno konec. Obiskovalci želijo dodatna zagotovila, zunanje potrditve, ... posebej še če naj bi oddali svoje osebne podatke, svoj email naslov, ... Izdajatelji SSL certifikatov so naredili nekaj ključnih napak, kar je povzročilo inflacijo zaupanja v SSL certifikate, ne glede na izdajatelja, saj zaklenjena ključavnica v statusni vrstici ne pomeni tistega, kar so ljudje pričakovali. Začarani trikotnih je torej sestavljen iz razvrednotenja SSL certifikatov, padca zaupanja obiskovalcev, in ogromna rast phishinga in copycat-a na celotnem spletu. Zato niso potrebni prav obupani poskusi razvrednotenja trenutno najboljšega sistema na svetu za identifikacijo podjetij, saj kot zelo hitro rastoče podjetje dajemo delo našim ljudem, glavnino naših prihodkov ustvarimo na tujih trgih, gre za čisti izvoz našega znanja, ... Nagrada na Evropski varnostni konferenci skupaj s spin offom finske Nokie in T Systems na tretjem mestu ni naklučje in tudi dogovoriti se takih stvari ne da. Mislim, da ti je to jasno. Če bi bil dogovor mogoč, potem nas zanesljivo ne bi bilo med nagrajenimi :). Skratka, ni ti potrebno igrati upornika brez razloga. Četudi vsega ne veš in še ne razumeš, je slepo nasprotovanje zaradi nasprotovanja nesmiselno.

Brane2 ::

. Ideje o likvidacijah in vnaprejšnje negiranje vrednosti nagrad (med vrsticami pa tudi obtoževanje, da moraš biti za uspeh v Sloveniji povezan s politiko) se mi ne zdijo vredni tega foruma. Lahko se o temu šališ, vendar pa to ne prispeva k iskanju rešitve ali novih idej. Politiko na svojem nivoju bi lahko odpeljal na kakšen drug portal.


Daj ne emuliraj presenečene device. Rekel sem samo, da mnogi projekti v Sloveniji so povezani s politiko na grd način, ne vsi. Pravzaprav, se bom popravil, večina.


Enako kot banka ve, da je ta in ta oseba odprla TRR na okencu. Stvari, ki niso problematične, ne bom posebej omenjal ali jih problematiziral. Še posebej ne v kontekstu MITM napadov.


Banka se lahko opira na legitimacijske pripomočke ( osebna ) in cesarjeve podatke. Ti pa imaš samo "Živjo, jaz sem Peter Petrovič, evo ruke, tu je pa moj javni ključ".
Poleg tega, banka na podlage te avtentifikacije polaga na kocko svoj odnos s teboj, ne pa trga ali odnosa vseh ostalih subjektov. Seveda se dogaja, da folk nategne banke.
Kar mogoče vpliva na ceno nekaterih benčnih storitev posamezne banke, je pa bistveno manj problematično, kot če bi vplivalo na celoten trg, se strinjaš ?


V kontekstu odgovora, ki se tiče MITM je to čisto korektna izjava. Če sem si z osebo varno izmenjal javna ključa, potem MITM realno več ni možen


Samo zato, ker middlea ni več, sedaj te lahko zajebe samo men on the other end - MOTE. Kako bistvena razlika.


Preberi si celotno sporočilo, da boš razumel kontekst. Če pa ne veš o čemu govorim, pa si preberi standarde. ITU X.500 oziroma ISO 9594. Notri je tudi to popisano.


Pa saj razumem osnovo. Drevo, oziroma njegovi bistveni korenski deli so v lasti security dooja. Kako lahko garantira doo za te podatke ?
KAterikoli tehnični pripomoček uporabi, ta ne odpravil _pravnega_ plafona odgovornosti. Tovrstna organizacija ne more zagotoviti enako pravno/denarno/posledično/etc kritje odgovornosti, kot ga lahko cesar, pa če ima še takšno tehniko.

spletni brkljalnik bi moral prikazati samo LASTNIŠVO IZRAŽENO V X.509 STRUKTURI, odločitev o zaupanju pa bi moral prepustit uporabniku.


Zakaj bi prepuščal uporabnilu odločitev v kateremkoli koraku, če je sistem varen ?


Ne. Uporabnika gledam kot intelegentno in misleče bitje, ki se je sposobno odločati, če mu podatke prikažemo na njemu razumljiv način. Tako je sposobno razumeti, da napis "Renaaault Pizza" verjetno pomeni, da ni prišel na varno spletno mesto svoje banke. Hkrati pa razumem, da tega verjetno ne more ugotoviti, če ima pred seboj napisano "http://www.nlb.si.com.click.kslfkughkjh...


Če odmislimo muhe brskalnika na trenutek, zakaj bi obveščal o tovrstnih tehničnih detajlih uporabnika ? Njega samo zanima ali ima dejanjsko opravka z deklariranim subjektom.
Kaj definira pravni in fizični subjekt, vemo. Zakaj rabimo doddatne podatke ?


Če si bi res kaj prebral, potem bi videl, da sem opisal kakšen bi bil originalno predlagan način implementacije X.500 standarda. Naj ti namignem: takšen je, kot je tvoja ideja rešitve tovrstnih zlorab.


Pa saj to sem, mislim rekel. Kje je problem ?


Seveda pa se danes že celotna skupnost bolja ali manj strinja, da ta ideja v tem trenutku ni izvedljiva, kakor se je tudi ni dalo udejaniti v preteklih 15 letih. Tudi to si uspel spregledati.


ker je to nebistveno za moj ugovor. Ki je: kdor prepušča bistvene parametre varnsoti svojega trga klasični pravni osebi, počne IMHO neumnosti.

Strinjam se, da inovacija same še ne predstavlja uspeha. Bi pa z veseljem kaj več slišal o tvojih terenskih uspehih na tem področju. Še posebej me zanima kaj si do sedaj storil, da bi v mednarodnem merilu udejanil svojo lastno idejo.


VSekakor. Sem si zapisal v Outlooka- Ko sem bom razkenjal o tem,d a imam univerzalno rešitev svetovnega problema, bom tu predstavil svoje uspehe na mednarodnem področju, vsekakor pa se bom udeležil dogodka, kjer bom imel priložnost pobrati nagrado.


Kaj ima IBon, pa AJPES nima? Kaj ima Jus-info, pa UL nima?


Misliš vsebinsko ? Don't care. Kar se pa kakovosti podatkov tiče, AJPES veselo boli ku*ac za točnost podatkov. Se je zgodilo, da smo imeli v Ajpesu napačnega lastnika vpisanega.
pa so popravili, ko smo poslali prošnjo. Recimo.


Si kdaj pomislil, da obstajajo podjetja, ki imajo neko dodano vrednost na področju preverjanja verodostojnosti podjetja? Celo toliko vrednosti, da jim ljudje in podjetja plačujejo te podatke, čeprav jih "cesar" nudi zastonj.


Tole me je vrglo s stola. Daj pojasni mi, kako s to dodano vrednostjo dosežeš bolj zanesljive podatke od teh, ki jih ima cesar ?
Kako lahko nek doo popravlja cesarjeve zajebe glede moje identitete recimo ?
Pa ne mi zdaj mahat s prihodki, boniteto itd. Tu govorimo o avtentifikaciji- da je psihični ali fizični tip zares ta, za katerega se predstavlja.

Pa še konkretni odgovori: GZS ima podatke o poslovanju, finančni trdnosti in dejanskem naslovu poslovanja podjetja, "cesar" ima samo podatek iz sodnega registra o obstoju.


Cesar ima natanko vse podatke, ki jih hoče imet. In od kod BTW ima pa GZS te podatke ? Jih dobi od AJPESa ? BTW točno te podatke ima tudi DURS, pa še kaj zraven.
In koliko se na GZSjeve podatke lahko zares zaneseš- pa ne v smislu firbca "auuuu a tolk so meli prometa" ampak zares- za potrebe avtentifikacije, ko _res_ rabiš zanesljiv podatek.

Naslov identiteta odgovorne osebe so že dvomljivi podatki, ker se jih ne preverja non-stop.

Čisto organizacijski poroblem. Če ni bilo potrebe, ni bilo tega. Ko/če bo potreba, kdo bo lahko imel zanesljivejše podatke od cesarja ?

Kdo pa je GZS, da bi lahko mahal z mojimi osebnimi podatki ? Cesar pa jih lahko ima.


IBon ima več virov bonitetnih podatkov o podjetju, AJPES jih zbira samo iz uradnih evidenc, ki se jih da "pofrizirati".


Ena razlika med cesarjem in doojem. Sicer ne bistvena za ta topic...


Jus-info nudi še vse soodvisnosti med zakoni, evidenco sodne prakse in pravna mnenja o posameznih "popularnih" členih ali sklopih zakonodaje.


Extra bells & whistles, ne pa podatki z večjo zanesljivostjo od izvirnih.
On the journey of life, I chose the psycho path.

Brane2 ::

Seveda bi lahko cesar naredil svoj sistem identifikacije, kdo upravlja s katero domeno, saj ima vsa sredstva na voljo. Ampak tega iz nekega razloga ni storil in tako so se pač našli zasebniki, ki želijo to nišo zapolniti. Na koncu bo itak trg povedal, ali je takšna storitev sploh potrebna (in hkratu tudi dovolj dobro izvedena). Glede na to, da na trgu uspešno deluje lepo število bonitetnih hiš, povpraševanje po tovstnih informacijah glede identitete in kredibilnosti očitno obstaja (in to ne majhno). Pa so to čisto zasebna podjetja, ki so bila ustanovljena z namenom profita, in s cesarjem nimajo veze, a ljudje jim v splošnem kljub temu zaupajo.



For the umpteenth time: trg ne more zagotavljati varnsoti trga samega.

Kar se bonitetnih hiš tiče- fino, nekateriljudje jim zaupajo. Nekateri ljudje zaupajo tudi privatnim detektivom, pa to še ne pomeni, da lahko policijo outsourceamo.
On the journey of life, I chose the psycho path.

Brane2 ::

cesarju (ne vem zakaj povzemam tvojo terminologijo :)) je bila zadeva ponujena, vendar je popolnoma logično, da je bila ponudba zavrnjena, saj cesar ne more favorizirati enega ponudnika in mora ostati v tej verigi nevtralen.


Katastrofa. Kako to, če igrate samo vlogo auswajs štancerjev? Mislim, a ko sklene pogodbo za izdelavo osebnih izkazic, potem je nikoli ne sklene samo z enim ampak obvezno z vsemi ( ajde večino ) izdelovalcev? Vsaj za vinjeto bi dal roko v ogenj, da je bil en proizvajalec, ki bo seveda jutri lahko drug...


in tako je prav. Uradni register podjetij pri nas vodi ajpes in uporaba tega registra je naprodaj. Kdo ga uporablja in zastavi svoje ime je stvar tehnike. Lahko bi bil tudi ti, in četudi si najbolj pošten človek na svetu je problem še vedno v tem, da bi ti verjelo mnogo manj ljudi kot je to v primeru nacionalne gospodarske zbornice.


In njej bi verjelo mnogo manj ljudi kot cesarju recimo. Dokaz: mnogo podjetij jih je z obrazložitvijo, da jih vidi kot v osnovi lopove, zapustilo- v smislu da niso več člani.
Še več, bila je frka okrog tega mnogo let, kdaj bo to članstvo in ne suženjstvo v smislu da ne bo obvezno. Zakaj bi recimo oda tako vplivnih poštenjakarjev šel tako bistven del članstva?

Po drugi strani, kdo je član gzs pa recimo ni izkazal zaupanja cesarju z odprtjem podjetja pri njem? In če so taki, se je njihovo število v zandjem času kaj bistveno spremenilo?

Po tretji strani, kateri podatki so pomembnejši za namen tega topica- cesarjevi ali gzsjevi?

Katera od opcij praktično zagotovo pomeni, da tvoje podjetje ne obstaja:

- če ga ni v gzsjevih evidencah in je v sodnem registru
- obratno


Zato cesar v tej zgodbi nima tako velike vloge, kot si si ti morda zamislil. Slovenske domene. Si so bile še štiri leta nazaj pod okriljem arnesa in kontrola nad temi domenami je bila zelo dobra. S stališča zaupanja pa to tudi takrat ni kaj dosti pomagalo, saj američani, nemci in avstralci tega niso vedeli.


Zakaj pa bi morali vedeti? Dns ni bil mišljen kot nekaj, na kar se lahko res zaneseš. Poleg tega je šlo pri arnesu za drugo stvar- monopol in res visoko zaračunavanje uboge si. Domene. Jaka stvar.


na tehnološkem nivoju pa je ključno to, da mora produkt identifikacije dajati dodatne dodane vrednosti, ne zgolj identifikacijo, saj je zgolj identifikacija premalo, da bi bila podjetja ta trenutek pripravljena zanjo odšteti nekaj sto evrov letno.


Mi ti to slikaš kot:

-problem kupca, ki bi na vsak način rad spi*kal parsto eur letno na nekaj, pa se mu ne da v leclerca in sploh mora biti to online in ne sme biti pr0n
-problem prodajalca, ki ne ve, kaj dati v paket, da bo lahko zanj cufnil parsto eur letno


problema sindroma "nevarnih ulic" se namreč mnogo premalo zavedajo. Analize kažejo, da je obdobja "slepega zaupanja" obiskovalcev spleta definitivno konec. Obiskovalci želijo dodatna zagotovila, zunanje potrditve,... Posebej še če naj bi oddali svoje osebne podatke, svoj email naslov,... Izdajatelji ssl certifikatov so naredili nekaj ključnih napak, kar je povzročilo inflacijo zaupanja v ssl certifikate, ne glede na izdajatelja, saj zaklenjena ključavnica v statusni vrstici ne pomeni tistega, kar so ljudje pričakovali. Začarani trikotnih je torej sestavljen iz razvrednotenja ssl certifikatov, padca zaupanja obiskovalcev, in ogromna rast phishinga in copycat-a na celotnem spletu. Zato niso potrebni prav obupani poskusi razvrednotenja trenutno najboljšega sistema na svetu za identifikacijo podjetij, saj kot zelo hitro rastoče podjetje dajemo delo našim ljudem, glavnino naših prihodkov ustvarimo na tujih trgih, gre za čisti izvoz našega znanja,... Nagrada na evropski varnostni konferenci skupaj s spin offom finske nokie in t systems na tretjem mestu ni naklučje in tudi dogovoriti se takih stvari ne da. Mislim, da ti je to jasno. Če bi bil dogovor mogoč, potem nas zanesljivo ne bi bilo med nagrajenimi :). Skratka, ni ti potrebno igrati upornika brez razloga. Četudi vsega ne veš in še ne razumeš, je slepo nasprotovanje zaradi nasprotovanja nesmiselno.


Si tole copy&pasteal iz firminega reklamnega prospekta? Sploh pa je hecen njegov zadnji del. Kao "your business is trust", potem pa mi navajaš stvari kot dejstva ki naj bi jim verjel, ker si ti tako rekel. Hecno, ne? Je tudi implementacija tako cirkularna- zanesljivi ste preprosto ker ste zanesljivi?
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • polepsal: Brane2 ()

Matthai ::

Še enkrat moje mnenje: ideja je v osnovi dobra, odkupiti in izvajati pa bi jo morala država oz. neka neodvisna državna agencija.

Sicer pa bo pokazal čas - moje mnenje je, da se ti certifikati v tej obliki preprosto ne bodo prijeli. Počakajmo par let, pa bomo potem "pametovali".

Je pa jasno, da ljudje, ki so idejo razvili le-to tudi zagovarjajo. Ampak zadeva je podobna kot pri kripto algoritmih. Vsak lahko izumi algoritem, ki ga on sam ne more zlomiti. Tisti, ki nekaj izumi pač ne more "preko sebe" in ne vidi pomanjkljivosti lastnega dela. To je seveda normalno in pričakovano.

Se pa včasih najde zunanji opazovalec, ki zadevo vidi iz druge perspektive in zato takoj najde neko pomanjkljivost. Pa to ni nagajanje ali zlonamernost, pač pa samo stvar drugačne perspektive, ki je oseba, ki si je zadevo zamislila praviloma ne zmore zavzeti.

Pametni ljudje bodo to razumeli in še sami poskušali pogledati iz druge perspektive ter svoj produkt izboljšati. Neumni se bodo prepirali.
All those moments will be lost in time, like tears in rain...
Time to die.

NorK ::

Nimam pojma o tem področju... Zakaj ne bi napadalec svoji žrtvi poslal še lažne verifikacije tega company-on-net certifikata? Če ga že lahko prepriča, da je lažna stran prava, lahko ponaredi tudi to. Grafike in izvorne kode ni problem skopirati in postaviti na check.company-on.net.certificate-we342d42.com/363AC1C23193A8AC8...

Lipicnik ::

V primeru sklepanja posla, kreditiranja, skratka takrat ko gre za denar, podatki države ne pomenijo nič. Pač pa zelo veliko pomenijo podatki bonitetnih hiš. Na osnovi teh podatkov se podjetja odločajo o sklepanju poslov. Država s tem hvala bogu nima nič. In prav je tako. Za podjetje je mnogo bolj pomembno kakšno je njihovo bonitetno poročilo, ki ga izdaja naš pogodbeni partner COFACE ali Dun & Bradstreet, kot pa kaj misli o podjetju država. Tudi za pridobivanje kreditov se banke naslanjajo na podatke bonitetnih hiš. Že morda, da je nekaterim ljudem, ki niso v poslu dovoljeno, da si ustvarijo svojo sliko sveta, kjer država igra neznansko pomembno vlogo. Posel in zaupanje v poslu gre v veliki večini primerov mimo.

Tvoj stavek, da trg ne more regulirati trga bi moral podpisati Karl Marx osebno, pa še on bi napisal malce drugače: "Trg ne sme regulirati trga." Potem so pa planske petletke, se spomniš?

Sicer bi bil pa vesel kakšne tvoje reference, morda kakšnega dosežka razen besnega pisanja po forumih, spisek strank, ki ti zaupajo, da preverim tvojo kredibilnost in presodim, če si vreden "virtualne tinte", ki jo trošim zaradi tebe.

Brane2 ::

Namenoma zamegljuješ zadeve. Seveda je mnenje države pomembnejše od vseh vas in vaših bonitetnih poročil skupaj, če država recimo misli, da neko podjetje recimo NE OBSTAJA.

Ali da sicer mogoče obstaja, da pa ima bistveno drugačne podatke. Recimo lastnika.
On the journey of life, I chose the psycho path.

Brane2 ::

Tvoj stavek, da trg ne more regulirati trga bi moral podpisati Karl Marx osebno, pa še on bi napisal malce drugače: "Trg ne sme regulirati trga."


Večino Marxovih stvari mnogi gledajo z drugimi očmi. Ko te po cincanju Bele Hiše o bailoutu avtoindustrije in še čem pozdravi host Daily Show-a z "Good Night, comrades", ti mogoče da mislit.


Potem so pa planske petletke, se spomniš?


Misliš na razvojno strategijo EU ?

Sicer pa, ko smo pri Marxu, navedimo še protiprimer, je pošteno ?

Evo recimo, my vote goes for privat policijo in vojsko skupaj - BlackWater plačanci v Iraku. Njihove eksekucije so legendarne- internet jih je poln.



Sicer bi bil pa vesel kakšne tvoje reference, morda kakšnega dosežka razen besnega pisanja po forumih, spisek strank, ki ti zaupajo, da preverim tvojo kredibilnost in presodim, če si vreden "virtualne tinte", ki jo trošim zaradi tebe.


Od kdaj ima osebnost veze s trditvami in vprašanji, ki jih postavlja ? Ta so smiselna ali pa ne že sama zase, ovohavanje jajc ni potrebno, ali pač ?
On the journey of life, I chose the psycho path.

Lipicnik ::

Še enkrat moje mnenje: ideja je v osnovi dobra, odkupiti in izvajati pa bi jo morala država oz. neka neodvisna državna agencija.

Sicer pa bo pokazal čas - moje mnenje je, da se ti certifikati v tej obliki preprosto ne bodo prijeli. Počakajmo par let, pa bomo potem "pametovali".

Je pa jasno, da ljudje, ki so idejo razvili le-to tudi zagovarjajo. Ampak zadeva je podobna kot pri kripto algoritmih. Vsak lahko izumi algoritem, ki ga on sam ne more zlomiti. Tisti, ki nekaj izumi pač ne more "preko sebe" in ne vidi pomanjkljivosti lastnega dela. To je seveda normalno in pričakovano.

Se pa včasih najde zunanji opazovalec, ki zadevo vidi iz druge perspektive in zato takoj najde neko pomanjkljivost. Pa to ni nagajanje ali zlonamernost, pač pa samo stvar drugačne perspektive, ki je oseba, ki si je zadevo zamislila praviloma ne zmore zavzeti.

Pametni ljudje bodo to razumeli in še sami poskušali pogledati iz druge perspektive ter svoj produkt izboljšati. Neumni se bodo prepirali.


Izvajanje lahko prevzame v vsaki državi zastopnik za katerega je pomembno samo to, da izpolnjuje predvidene kvote. CONNET ni prodajalec produkta nikjer, tudi v Sloveniji ne. Pač pa so izvajalci lokalni zastopniki. Glede tega nimamo nikakršnih zadržkov, da so izvajalci v nekaterih primerih vladne agencije. Pri nas zaenkrat ni tako. Glede produkta samega je normalno, da stojimo za njim, ker je izredno dober, kar so potrdile tudi štiri nagrade v Sloveniji in zadnja na evropski ravni. Pa ne gre za algoritem, gre za identiteto, ki jo dajemo v obliki verificiranih domen, katerih izdajatelj smo. Edini pravi problem, ki ga imamo, ni v produktu samem, pač pa, da je povprečnemu uporabniku relativno težko pojasniti vse prednosti, ki mu jih produkt prinaša. Osebno sem zelo odprt za predloge, res pa je, da sem malo naveličan ponavljati ene in iste stvari, ki smo jih že zdavnaj premislili in rešili. Naš produkt se ves čas nadgrajuje in izboljšuje, k sodelovanju smo pritegnili tudi banke z vertikalno rešitvijo samo za njih (ne morem še pisati o tem produktu), optimizacija za celo vrsto iskalnikov se tudi nadgrajuje, skratka, razvoj na enem tiru teče dalje, na drugem tiru odpiramo predstavništva po svetu. Ni želje po prepiranju. Imamo resnega in pravega dela dovolj. Gre za poskuse pojasniti stvari tistim, ki ne razumejo. Tiste komentarje, ki poskušajo zgolj izzivati je verjetno res bolje ignorirati. Drugače se pa globoko strinjam s tem, da se samo neumni prepirajo.

BlueRunner ::

Daj ne emuliraj presenečene device. Rekel sem samo, da mnogi projekti v Sloveniji so povezani s politiko na grd način, ne vsi. Pravzaprav, se bom popravil, večina.
Pa kaj potem. Najini osebni mnenji o politiki nista pomembni za tehnično/vsebinsko debato.

Banka se lahko opira na legitimacijske pripomočke ( osebna ) in cesarjeve podatke. Ti pa imaš samo "Živjo, jaz sem Peter Petrovič, evo ruke, tu je pa moj javni ključ".

Oprosti, izbral sem slab primer. Kar sem želel pokazati je, da si primer potegnil ven iz konteksta celotnega besedila. Besedilo je govorilo o temu, da lahko od človeka (ki ga poznaš) pač vzameš ključ in mu daš svojega. S tem varno izmenjaš podatke, ki jih potrebuješ za kasnejšo varno komunikacijo. Vse ostalo mi samo polagaš v usta. Kar mi niti ni všeč.

Poleg tega, banka na podlage te avtentifikacije polaga na kocko svoj odnos s teboj, ne pa trga ali odnosa vseh ostalih subjektov. Seveda se dogaja, da folk nategne banke.
Kar mogoče vpliva na ceno nekaterih benčnih storitev posamezne banke, je pa bistveno manj problematično, kot če bi vplivalo na celoten trg, se strinjaš ?
Pri izmenjavi ključev nisem govoril o identiteti, temveč o izmenjavi podatkov potrebnih za kasnejšo varno komunikacijo.


V kontekstu odgovora, ki se tiče MITM je to čisto korektna izjava. Če sem si z osebo varno izmenjal javna ključa, potem MITM realno več ni možen

Samo zato, ker middlea ni več, sedaj te lahko zajebe samo men on the other end - MOTE. Kako bistvena razlika.

Pri izmenjavi ključev nisem govoril o identiteti, temveč o izmenjavi podatkov potrebnih za kasnejšo varno komunikacijo.


Pa saj razumem osnovo. Drevo, oziroma njegovi bistveni korenski deli so v lasti security dooja. Kako lahko garantira doo za te podatke ?
KAterikoli tehnični pripomoček uporabi, ta ne odpravil _pravnega_ plafona odgovornosti. Tovrstna organizacija ne more zagotoviti enako pravno/denarno/posledično/etc kritje odgovornosti, kot ga lahko cesar, pa če ima še takšno tehniko.
Ne razumeš osnove. X.500 standarde je pripravljal ITU. Z delom na njih se je začelo že v '80 letih. Ideja implementacije je bila ta, da državni telekomi (ITU - get it?) vzpostavijo globalno drevo naslovnikov (katerim lahko pošiljaš sporočila preko X.400). Recimo, da bi bil to naslovni ekvivalent številčnega prostora, kot so ga takrat taisti telekomi videli. Ker pa so bili takrat skoraj vsi telekomi na svetu državni monopolisti (država je vedno ljubila monopol nad komunikacijami), je to efektivno pomenilo, da bi država upravljala z vsebino tega drevesa - kar bi mu zagotavljalo solidno verodostojnost. Na podlagi takšnega drevesa pa bi potem seveda lahko naprej gradili storitve, ki bi njegovo stabilnost izkoriščale.

Kar se pa tiče pravne/denarne odgovornosti, pa se bo država vedno držala na stran - vsaj do sedaj se je še. Če bi poskušal preslikati to odgovornost v "klasičen" svet identifikacijskih storitev, bi to pomenilo, da bi lahko državo tožil, ker je možno npr. ponarediti potni list (zaradi česar je banka odprla nov račun in dala 1.000.000,00€ kredita na moje ime). V bistvu bi se potem dalo državo tožiti zaradi kraje identitete, za kar pa še nisem slišal, da bi bilo (v EU) izvedljivo, kaj šele uspešno. Suverenost suverena je ravno v temu, da ti za svoje neumnosti ne odgovarja. Razen v primeroh, ko sam sebi (običajno pod prisilo, čeprav gre v demokraciji to občasno tudi brez krvi) zapiše, da si želi za določene neumnosti odgovarjati (Magna Carta).

spletni brkljalnik bi moral prikazati samo LASTNIŠVO IZRAŽENO V X.509 STRUKTURI, odločitev o zaupanju pa bi moral prepustit uporabniku.

Zakaj bi prepuščal uporabnilu odločitev v kateremkoli koraku, če je sistem varen ?

Morda zato, ker še nismo izumili čipa za branje misli v1.0 :D
Varnost sistema ni v temu, da bi bil sposoben sam sprejemati svoje lastne odločitve. Varnost sistema je v temu, da uporabniku omogoča enostavno in pravilno odločanje v vsaki situaciji. Ne primerjaj pojma nekega "varnostnega sistema" v smislu ključavnic in kamer z varnim sistemom v smislu "varen za uporabo". Moja kritika trenutnega "sistema dela" bazira na temu, da: nimamo dovolj podatkov, nimamo verodostojnih podatkov, podatke, ki pa jih imamo, pa uporabniku predstavljamo na njemu nerazumljiv način. Ko bomo odpravili vse te točke, bomo dosegli varnost v smislu "varen za uporabo".


Ne. Uporabnika gledam kot intelegentno in misleče bitje, ki se je sposobno odločati, če mu podatke prikažemo na njemu razumljiv način. Tako je sposobno razumeti, da napis "Renaaault Pizza" verjetno pomeni, da ni prišel na varno spletno mesto svoje banke. Hkrati pa razumem, da tega verjetno ne more ugotoviti, če ima pred seboj napisano "http://www.nlb.si.com.click.kslfkughkjh...


Če odmislimo muhe brskalnika na trenutek, zakaj bi obveščal o tovrstnih tehničnih detajlih uporabnika ? Njega samo zanima ali ima dejanjsko opravka z deklariranim subjektom.

OK, ne vem zakaj bi bil napis "NLB Spletna Banka" tehničen detajl. V bistvu je to edina informacija, ki bi uporabniku dejansko povedala nekaj smiselnega. Tehnični detajli so v bistvo vse smetje, ki ga danes mečemo uporabniku v obraz, potem smo pa začudeni, če uporabnik sploh ne ve kaj ga sprašujemo ali pa kaj mu sporočamo. Bojim se, da še danes velika večina "programerjev" vztrajno misli, da je odgovor na uporabnikovo nerazumevanje tehničnih podatkov, še več tehničnih podatkov.

Kaj definira pravni in fizični subjekt, vemo. Zakaj rabimo doddatne podatke ?

V bistvu potrebujemo edini bistven podatek. Na poti do njega pa se bi seveda morali znebiti vse zgodovinske navlake, ki se je izkazala za neuporabno.

Če si bi res kaj prebral, potem bi videl, da sem opisal kakšen bi bil originalno predlagan način implementacije X.500 standarda. Naj ti namignem: takšen je, kot je tvoja ideja rešitve tovrstnih zlorab.


Pa saj to sem, mislim rekel. Kje je problem ?

Problem je v temu, da očitno še verjetno še vedno ne razumeš nadaljevanja tega stavka, ki si ga odrezal in označil kot nebistvenega: "Seveda pa se danes že celotna skupnost bolja ali manj strinja, da ta ideja v tem trenutku ni izvedljiva, kakor se je tudi ni dalo udejaniti v preteklih 15 letih."

Kratek povzetek zgodovine X.500 je malo višje, zaključek je pa tukaj: Države so izpustile iz rok neposreden nadzor nad komunikacijami. Državni telekomi so se privatizirali, s čemer so postali "samo še en navaden doo". Ideja tovrstnega globalnega drevesa in identifikatorja je bila s tem pokopana. Težko je verjeti, da bi bilo sedaj možno izpeljati idejo, ki se ni izpeljala še niti v času državnih monopolov na tem področju. Sedaj je na žalsot veliko več "igralcev" na tem področju, zaradi česar je potrebno začeti iskati nove rešitve prilagojene trenutnim okoliščinam, ne pa okoliščinam iz dobesedno prejšnjega stoletja. Na papirju tvoja ideja res izgleda OK, vendar pa še vedno ne verjamem, da bo v dogledni prihodnosti izvedljiva.

Seveda pa se danes že celotna skupnost bolja ali manj strinja, da ta ideja v tem trenutku ni izvedljiva, kakor se je tudi ni dalo udejaniti v preteklih 15 letih. Tudi to si uspel spregledati.

ker je to nebistveno za moj ugovor. Ki je: kdor prepušča bistvene parametre varnsoti svojega trga klasični pravni osebi, počne IMHO neumnosti.

Bistveno sem videl v temu, da obstajajo tehtni razlogi (tehnični, ekonomski, politični), da se tvoja ideja ni že implementirala, oziroma da se v tem trenutku nihče ne trudi z njeno ali njej podobno implementacijo. Države so večinoma odprle to kozervo črvov že 15+ let nazaj in sedaj jih ne bo več nihče vrnil nazaj v konzervo.

Kar se pa tiče prepuščanja bistvenih parametrov varnosti trga klasiči pravni osebi, pa to vidim vsepovsod okoli sebe. Konec koncev obstaja tudi "varnostni trg", kjer se trži tovrstne storitve in rešitve.

VSekakor. Sem si zapisal v Outlooka- Ko sem bom razkenjal o tem,d a imam univerzalno rešitev svetovnega problema, bom tu predstavil svoje uspehe na mednarodnem področju, vsekakor pa se bom udeležil dogodka, kjer bom imel priložnost pobrati nagrado.

OK, bil sem nesramen, ampak poanta ostane: osebno se raje trudim izvedeti čim več o neki rešitvi, preden jo ocenim za slabo. Tvoj tip rešitve že poznam, zato po njemu tako udriham. Njihov tip rešitve se mi zdi malo drugačen, kar ima tudi nek potencial. Kolikšen in kako dober, pa še nisem prepričan, ker še nisem zbral dovolj poadtkov.

Za preostanek bom pa malo bolj strnjeno napisal: GZS (oziroma bonitente hiše) so IMHO zanesljivejši vir informacij o podjetjih iz dveh razlogov:
- bonitentne hiša deluje proaktivno, saj služi na tistih, ki preverjajo bonitete in ne na tistih, ki si želijo oceno bonitete
- država deluje reaktivno, hkrati pa ne izdaja podatke samo iz uradnih evidenc. Bonitetna hiša bo npr. upoštevala, da je lastnik podjetja X v sodnem postopku zaradi goljufije, za državo pa bo ta oseba čista, dokler ne bo sodba pravnomočna.

Obogateni podatki niso sami po sebi bolj verodostojni, temveč nudijo boljši vpogled v verodostojnost podjetja in njegove ponudbe. V prvem omenjenem primeru prodanih kart: cesar bi vedel povedati samo, da podjetje obstaja in, da je pravilno registrirano. Bonitetna hiša bi lahko upoštevala tudi to, da je npr. v lasti off-shore podjetja na Cipru, ki ga ima v lasti bogat rus, račune pa ima v banki na Kajmanih, poštni predal pa je na naslovu "telegrafske štange" v predmestju "Zgornjega Kašlja". Če se upošteva, da se v sistemu ne preverja samo identiteta (za to je država več kot dovolj dobra), temveč se podaja tudi splošna ocena tveganja, pa je to že čisto drug nivo informacije.

Tudi zaradi tega država sama verjetno ne more sprejeti tega konkretnega sistema: kako bi pa bilo, če bi država sama, posredno ali pa neposredno, namigovala na verodostojnost posameznih podjetij. To bi pa že bila podlaga za tožbe in odškodnine.

Torej, če takšnega dela ne more opravljati država, ga mora opravljati nekdo drug...

Sedaj pa je potrebno ugotoviti samo še to, katere sile delujejo na to delo. To so pa tehnična in ekonmska vprašanja.

jeti51 ::

Kar se bonitetnih hiš tiče- fino, nekateriljudje jim zaupajo. Nekateri ljudje zaupajo tudi privatnim detektivom, pa to še ne pomeni, da lahko policijo outsourceamo.

Delavec je že dalj časa na bolniki in sumiš, da neupravičeno hlini bolezen in s tem krši pogodbo o zaposlitvi. Policija ti tu ne bo kaj dosti pomagala, ker ni zmožna nadzorovati vsega, zato moraš najeti privatnega detektiva, da ti priskoči na pomoč, oziroma informacije o tem, kaj med bolniško počne delavec, izbrskati sam. Lahko pa tudi nič ne storiš in tvegaš, da te delavec dejansko okoli prinaša in ti neupravičeno povzroča stroške.
Detektivi so tako lahko za marsikoga dobrodošla dopolnitev dela policije, tako kot so bonitetne hiše dopolnitev dela cesarja, ki vodi evidence podjetij. Če ne bi bilo tako oziroma če bi cesar svoje delo opravljal fenomenalno dobro, potem ne detektivov ne bonitetnih agencij ne bi bilo, ker za njihove storitve ne bi bil nihče pripravljen plačati.

Stvar vsakega posameznika, ali bo koristil cesarjeve storitve ali pa bo doplačal še za dodatnega zasebnega izvajalca.


Imam pa še vedno pomislek, na katerega še nisem zasledil odgovora - kako preprečiti, da bi se nekdo predstavil kot predstavnik podjetja, ki ima dobro boniteto, v imenu tega podjetja naročil certifikat, z njim opremil neko svojo domeno in nato kot "verificirana" stran začel izkoriščati zaupanje uporabnikov, vse to pod dobrim imenom uglednega podjetja.
Hvala za pojasnilo.

Brane2 ::

Saj jaz se ne bi rad prepiral. Obupano iščem odgovor na pravni del vprašanja, vi mi pa razlagate tako zagnano o drevesih, DNSju in ostalih strokovnih zadevah, ki me samo medejo.

Dovolite, da tu priznam- za tehniko sem kugla. Glup ko kurac.

Zato, a se lahko na trenutek izognemo pretežkemu strokovnemu žargonu in ostanemo v recimo temu pravno/obligacijskem delu.

Dajte mi samo odgovore na ta vprašanja. z X.500, X.509 vas ne bom več moril.

Pravzaprav vas dosedaj nisem. Ozoroma nisem hotel. Saj je koneckoncev BlueRunner rekel, da se v tehničnem delu strinjava.
Pa ne da ga sedaj enačim s seboj in s tem ponižujem, le pravim, da je tehnični del debate zaključen, v smislu da se vam ni treba morit z njim zaradi mene.

Kaj je torej s pravnimi/obligacijskimi vprašanji ? So tudi ta pod vašim nivojem ?
On the journey of life, I chose the psycho path.

BlueRunner ::

Tole bom napisal kar tako v zrak, da še malo svojo idejo reklamiram. Zdi se mi, da se je v enem izmed odgovorov nekako izgubila, ker ni stala sama zase.

Mislim, da je bistven del težave z današnjimi CA-ji v temu, da jemljejo denar od tistih, ki zahtevajo potrdilo o svoji identiteti. To pomeni, da je v interesu CA-ja prodati čim več teh potrdil. To pa predstavlja negativen pritisk iz vidika varnosti, saj se kriteriji verifikacije v takšnih pogojih nižajo.

Po alternativnem sistemu pa bi jaz, kot uporabnik spletnih storitev, plačeval nek pavšal za preverjanje veljavnosti/verodostojnosti digitalnega potrdila. Na drugi strani pa bi spletna mesta po verifikaciji pridobila overovljen podpis zastonj. S tem bi izničil negativen pritisk na varnost, saj bi bilo v interesu overitelja zbrati čim več uporabnikov spletnih storitev.

Če bi poskusil nek lastnik spletnega mesta plačati za verifikacijo, bi slej kot prej prišlo do razkritja s strani uporabnikov. Ti uporabniki pa bi lahko potem odšli k alternativnim ponudnikom iste storitve. Tako bi sprejemanje podkupnine povzoričilo dve zunanji sili, ki se bi dopolnjevali. Vedno manj upoarbnikov bi zmanjševalo prihodke na strani uporabnikov, kar bi dvigalo zahtevano "podkupnino" na strani spletnega mesta. Hkrati pa bi manjše število potencialnih žrtev preko tega ponudnika tudi zmanjševalo "podkupnino", ki jo bi bilo spletno mesto pripravljeno plačati.

S tem se bi pohlep, ki danes deluje kot negativen dejavnik, spremenilo v pozitiven dejavnik, saj bi bile finančne posledice hitro opazne - delovale bi bolje kot pa kateri koli drug papirnat nadzor ali pa transparentnost poslovanja. Verjetno pa bi že sam sum, da je nek ponudnik te storitve prejemal "podkupnino", tega praktično uničil.

Če se bi dalo komu še bolj bosti s to idejo, pa naj jo napade. Da vidimo, če so v njej kakšne ogromne luknje, ki bi naredile več škode, kot pa koristi.

Matthai ::

Mislim, da je bistven del težave z današnjimi CA-ji v temu, da jemljejo denar od tistih, ki zahtevajo potrdilo o svoji identiteti. To pomeni, da je v interesu CA-ja prodati čim več teh potrdil. To pa predstavlja negativen pritisk iz vidika varnosti, saj se kriteriji verifikacije v takšnih pogojih nižajo.

Res je.

Po alternativnem sistemu pa bi jaz, kot uporabnik spletnih storitev, plačeval nek pavšal za preverjanje veljavnosti/verodostojnosti digitalnega potrdila. Na drugi strani pa bi spletna mesta po verifikaciji pridobila overovljen podpis zastonj. S tem bi izničil negativen pritisk na varnost, saj bi bilo v interesu overitelja zbrati čim več uporabnikov spletnih storitev.

Žal odpade. Problem micropaymenta.

Če bi pa rešili problem mcropaymenta - da plačaš z enim klikom ali še to ne, pa bi morda delovalo. Morda- ker danes hočejo/mo uporabniki vse zastonj.
All those moments will be lost in time, like tears in rain...
Time to die.

BlueRunner ::

Saj jaz se ne bi rad prepiral. Obupano iščem odgovor na pravni del vprašanja, vi mi pa razlagate tako zagnano o drevesih, DNSju in ostalih strokovnih zadevah, ki me samo medejo.

Ooops. Oprosti. Jemal sem te kot sposobnega tehnika iz stroke, ne kot tehničnega laika. Se bom prilagodil...

Pravzaprav vas dosedaj nisem. Ozoroma nisem hotel. Saj je koneckoncev BlueRunner rekel, da se v tehničnem delu strinjava.

Ne čisto, ampak pustimo stat.

Kaj je torej s pravnimi/obligacijskimi vprašanji ? So tudi ta pod vašim nivojem ?

Enega sem v bistvu že pokazal, oziroma smo na njega pokazali: država tega sistema CONNET ne more sama upravljati, ker bi s tem posredno podajala bonitetno oceno. S tem bi pa nekaterim podjetjem dajala "uraden žegen", da so boljša od drugih. Vendar to ne na nivoju najboljšega ponudnika na razpisu, temveč na nivoju vseh registriranih podjetij.

Hipotetično: zaradi napake v računovodstvu en račun v znesku 1€ ni bil pravočasno plačan. Bonitetna hiša je to izvohala in mi zaradi tega začasno spustila oceno. Država je vzela to oceno in jo "verodostojno" predstavila kot zanesljivost mojega podjetja. Potem pa pridemo v položaj "In če je to rekla država, potem pa že drži, a ne?" To pa je za državo nedovoljen položaj, saj ne daje golih podatkov, ki si jih lahko vsak sam interpretira, temveč daje interpretacije. Te interpretacije po definiciji niso objektivne. Če niso objektivne, pa jih javna uprava ne sme podajati. Dobra ocena bi v teh primerih pomenila čisto favoriziranje.

Samo paziti moramo, da ločimo dnevno politiko od javne uprave - država niso parlament in vlada. Država so zaposleni v ministrstvih, javni upravi, sodiščih, policiji in vojski.

V splošnem je vedno težava v temu, da država ne sme podajati ocen, ki so ali bi lahko bile subjektivne. Recimo, da bi za konkreten sistem ne želel imeti niti financiranja s strani države, ker že to potem vodi k posredni odgovornosti. Lahko pa se bi stvar pri nas organizirala kot npr. nevladna organizacija: zveza ali zavod (Zveza potrošnikov Slovenije - ta npr. ne jemlje denarja od trgovcev, kar je predpogoj za večjo objektivnost). Konec koncev je to lahko tudi d.o.o., vendar pa bo verodostojen samo, če bo njegovo delovanje dovolj transparentno.

Morda je bistveno vprašanje to, ali je sploh možno in smiselno imeti neko posebno pravno zavarovanje za tovrsten sistem. Bonitetne hiše so najboljši približek. Čeprav so to zasebna podjetja, pa je njihovo delo še vedno visoko cenjeno. Konec koncev so plačana ravno iz strani uporabnikov teh informacij in ne njihovih ponudnikov. Čeprav nimajo posebne zakonodaje ali odškodninskih klavzul, jim njihovi uporabniki še vedno zaupajo. Dobesedno stavijo svoja podjetja in dobiček na kvaliteto od njih pridobljenih podatkov. Pa če je to možno pri bonitetnih hišah, ne vem zakaj ne bi bilo možno njihovega dela in dostopa do njihovih ocen na nek način "mehanizirati".

Brane2 ::

Pri izmenjavi ključev nisem govoril o identiteti, temveč o izmenjavi podatkov potrebnih za kasnejšo varno komunikacijo.



Zanimivo. Se pravi, ko ti tip seže v roko in ti pove ime, te to sploh ne zanima. Pravzaprav te torej ne zanima če dejanjsko govori resnico. Zakaj je potem fizično srečanje nujno ? Da se prepričaš, da res obstaja nekdo ki ti bo rekel, kako mu je ime ?
To ziher nima zveze s tehniko, je to kaka budistična fora v stilu zvoka "ploska ene roke" ali kaj takega ?

Ne razumeš osnove. X.500 standarde je pripravljal ITU. Z delom na njih se je začelo že v '80 letih. Ideja implementacije je bila ta, da državni telekomi (ITU - get it?) vzpostavijo globalno drevo naslovnikov (katerim lahko pošiljaš sporočila preko X.400). Recimo, da bi bil to naslovni ekvivalent številčnega prostora, kot so ga takrat taisti telekomi videli. Ker pa so bili takrat skoraj vsi telekomi na svetu državni monopolisti (država je vedno ljubila monopol nad komunikacijami), je to efektivno pomenilo, da bi država upravljala z vsebino tega drevesa - kar bi mu zagotavljalo solidno verodostojnost. Na podlagi takšnega drevesa pa bi potem seveda lahko naprej gradili storitve, ki bi njegovo stabilnost izkoriščale.


Saj štekam. ITU standarde sem iz takih in drugačnih vzrokov lovil okrog kot mulc že dolgo preden je GSM dejanjsko prišel k nam. Pravzaprav še preden sem veselo prodajal po terenu Telerayeve pagerje za takratnih IIRC 1000+ DM za kos - z zelo tanko provizijo ;o/

V bistvu bi se potem dalo državo tožiti zaradi kraje identitete, za kar pa še nisem slišal, da bi bilo (v EU) izvedljivo, kaj šele uspešno. Suverenost suverena je ravno v temu, da ti za svoje neumnosti ne odgovarja.


Kar v bistvu sploh ni res. _Mogoče_ je bilo to nekoč. Sedaj že nekaj časa povsem realno lahko tožiš državo. In zmagaš.

Morda zato, ker še nismo izumili čipa za branje misli v1.0 :D


Ah, ti hočeš reči, da bi ti sistem izpljunil podatke o pravni osebi, kot jo definira cesar ? ( Kratko, dolgo ime, IDštev pri sodišču, ID za DDV ) ? Če je tako, potem tozadevno v redu...

Kratek povzetek zgodovine X.500 je malo višje, zaključek je pa tukaj: Države so izpustile iz rok neposreden nadzor nad komunikacijami. Državni telekomi so se privatizirali, s čemer so postali "samo še en navaden doo". Ideja tovrstnega globalnega drevesa in identifikatorja je bila s tem pokopana. Težko je verjeti, da bi bilo sedaj možno izpeljati idejo, ki se ni izpeljala še niti v času državnih monopolov na tem področju. Sedaj je na žalsot veliko več "igralcev" na tem področju, zaradi česar je potrebno začeti iskati nove rešitve prilagojene trenutnim okoliščinam, ne pa okoliščinam iz dobesedno prejšnjega stoletja. Na papirju tvoja ideja res izgleda OK, vendar pa še vedno ne verjamem, da bo v dogledni prihodnosti izvedljiva.


So what ? Kje piše, da bi morali za rešitev uporabiti ravno X500 in ravno v obstoječi obliki ?

Države so večinoma odprle to kozervo črvov že 15+ let nazaj in sedaj jih ne bo več nihče vrnil nazaj v konzervo.


1. Države pobirajo davke.
2 .Za pobiranje davkov je predpogoj, da nadziraš trg. Ne v smislu trenutne cene kolerabe seveda ampak v smislu pravil igre, dovoljeneh načinov poslovanja itd.
3. Ker se promet seli na internet, se tudi pogoj pod točko 2 seli z njim. To, da bo moral cesar imeti nadzor nad tovrstnim poslovanjem za efektivno obdavčevanje je jasno in od tod sledi, da bo cesar moral nekaj narediti na tem.

Kar se pa tiče prepuščanja bistvenih parametrov varnosti trga klasiči pravni osebi, pa to vidim vsepovsod okoli sebe. Konec koncev obstaja tudi "varnostni trg", kjer se trži tovrstne storitve in rešitve.


O.K. Daj mi primer. Recimo države, katere fiskalno politiko vodi doo samostojno.
Ali države, kjer doo nadzira tiskanje denarja in njegovo sproščanej v obtok( količine, serije itd).



Za preostanek bom pa malo bolj strnjeno napisal: GZS (oziroma bonitente hiše) so IMHO zanesljivejši vir informacij o podjetjih iz dveh razlogov:


O.K. torej prejšnje vprašanje tudi zate:

Katera od opcij praktično zagotovo pomeni, da tvoje podjetje ne obstaja:

- če ga ni v GZSjevih evidencah in je v sodnem registru
- obratno
On the journey of life, I chose the psycho path.

BlueRunner ::

Po alternativnem sistemu pa bi jaz, kot uporabnik spletnih storitev, plačeval nek pavšal za preverjanje veljavnosti/verodostojnosti digitalnega potrdila. Na drugi strani pa bi spletna mesta po verifikaciji pridobila overovljen podpis zastonj. S tem bi izničil negativen pritisk na varnost, saj bi bilo v interesu overitelja zbrati čim več uporabnikov spletnih storitev.

Žal odpade. Problem micropaymenta.

Če bi pa rešili problem mcropaymenta - da plačaš z enim klikom ali še to ne, pa bi morda delovalo. Morda- ker danes hočejo/mo uporabniki vse zastonj.


Za micropayment že vem, da odpadel. Nisem še slišal, da bi kjer resnično dobro deloval. Kaj pa sistem naročnin? Mesečne, četrtletne, letne? Nekako tako kot plačaš članarino ZPS, potem pa imaš na voljo njihovo pomoč, če jo potrebuješ. Kakršen koli drugačen način za zaračunavanje, ki ne bi bilo per click?

Če gremo na sistem naročnin, se jih lahko plačuje na različne načine. Neposredno, preko ISP-ja, preko potrošniških organizacij, ... Ali to vpliva na voljo uporabnika, da se zavaruje pri nakupu?

Lipicnik ::

Tvoja osebnost Brane2 me niti malo ne zanima, vprašati sem mislil, če ti je že slučajno kdo kdaj rekel ali morda celo napisal, da nekaj zares dobro znaš ali razumeš? In to predvsem o področju o katerem je tekla debata v samem štartu. Osebnost s tem nima nič. O osebnosti morda govori samo dejstvo, da si od spletne verifikacije priromal do Black Water plačancev. Ne boš verjel, ampak tudi meni Black Water plačanci niso prav pri srcu. :)

Bonitetne hiše vedo o podjetjih vse kar ve država in še mnogo več. Tudi če podjetje ne obstaja to vedo v istem trenutku kot država, oziroma prej, saj vedo tudi za blokirane bančne račune, ...

Sicer pa je skrajni čas, da debato končam. Priznam poraz, nisem te uspel prepričati, da opravljamo koristno delo za obiskovalce spleta, ki sicer ne morejo vedeti katera stran je prava in katera ponarejena, da opravljamo koristno delo za podjetja, ki so bolj kredibilna in obiskana, nisem te prepričal, da so bonitetna poročila čemurkoli namenjena in da so najpomembnejša pri oceni poslovnih partnerjev, tudi te verjetno nisem prepričal, da sam nisem bil na strani BlackWater plačancev. Skratka zmagal si, ker je nasprotnik omagal. Brezpogojna kapitulacija. :'(

Matthai ::


Za micropayment že vem, da odpadel. Nisem še slišal, da bi kjer resnično dobro deloval. Kaj pa sistem naročnin? Mesečne, četrtletne, letne? Nekako tako kot plačaš članarino ZPS, potem pa imaš na voljo njihovo pomoč, če jo potrebuješ. Kakršen koli drugačen način za zaračunavanje, ki ne bi bilo per click?

Če gremo na sistem naročnin, se jih lahko plačuje na različne načine. Neposredno, preko ISP-ja, preko potrošniških organizacij, ... Ali to vpliva na voljo uporabnika, da se zavaruje pri nakupu?


Joj, ne! :D
Ti predlagaš, da se plača neka "Članarina", nekdo potem meri "zaupanje" (ali kaj podobnega - npr. število klikov, zadovoljnih kupcev, whatever...) in potem glede na to deli denar.

Ne, ne, ne. ;)

Ker če bo to delovalo, bodo založbe uvedle plačevanje za oglede vsebin. Malo pobrskaj po zgodovino - točno na tak način so hoteli uvesti DRM plačevanje.
All those moments will be lost in time, like tears in rain...
Time to die.

Brane2 ::

Zakaj bi "priznal poraz" ?
Meni ni cilj, da kogarkoli tu nadjebem ampak da svoje poglede na svet konfrontiram s pogledi drugih in jih tako oplemenitim- da v boju idej pri meni in ostalih slabe padejo.

Kje je smisel se preganjat z neznanci po forumu samo zaradi pregona ?

Cel čar je v tem,d a srečaš poglede ljudi, ki jih v RL niti slučajno ne bi in temu ustrezno dobiš informacije, ki jih ne bi.

In se seveda temu ustrezno konstantno izobražuješ.
On the journey of life, I chose the psycho path.

Lipicnik ::

Tole bom napisal kar tako v zrak, da še malo svojo idejo reklamiram. Zdi se mi, da se je v enem izmed odgovorov nekako izgubila, ker ni stala sama zase.

Mislim, da je bistven del težave z današnjimi CA-ji v temu, da jemljejo denar od tistih, ki zahtevajo potrdilo o svoji identiteti. To pomeni, da je v interesu CA-ja prodati čim več teh potrdil. To pa predstavlja negativen pritisk iz vidika varnosti, saj se kriteriji verifikacije v takšnih pogojih nižajo.

Po alternativnem sistemu pa bi jaz, kot uporabnik spletnih storitev, plačeval nek pavšal za preverjanje veljavnosti/verodostojnosti digitalnega potrdila. Na drugi strani pa bi spletna mesta po verifikaciji pridobila overovljen podpis zastonj. S tem bi izničil negativen pritisk na varnost, saj bi bilo v interesu overitelja zbrati čim več uporabnikov spletnih storitev.

Če bi poskusil nek lastnik spletnega mesta plačati za verifikacijo, bi slej kot prej prišlo do razkritja s strani uporabnikov. Ti uporabniki pa bi lahko potem odšli k alternativnim ponudnikom iste storitve. Tako bi sprejemanje podkupnine povzoričilo dve zunanji sili, ki se bi dopolnjevali. Vedno manj upoarbnikov bi zmanjševalo prihodke na strani uporabnikov, kar bi dvigalo zahtevano "podkupnino" na strani spletnega mesta. Hkrati pa bi manjše število potencialnih žrtev preko tega ponudnika tudi zmanjševalo "podkupnino", ki jo bi bilo spletno mesto pripravljeno plačati.

S tem se bi pohlep, ki danes deluje kot negativen dejavnik, spremenilo v pozitiven dejavnik, saj bi bile finančne posledice hitro opazne - delovale bi bolje kot pa kateri koli drug papirnat nadzor ali pa transparentnost poslovanja. Verjetno pa bi že sam sum, da je nek ponudnik te storitve prejemal "podkupnino", tega praktično uničil.

Če se bi dalo komu še bolj bosti s to idejo, pa naj jo napade. Da vidimo, če so v njej kakšne ogromne luknje, ki bi naredile več škode, kot pa koristi.


Se strinjam, v nekem idealnem sistemu. Vsi, ki ste pod vplivom obstoječih metod verifikacije pozabljate, da imamo problem čolna in oznake na čolnu. In predvsem to, da čoln, ki bi ga vsi izdajatelji SSL certifikatov tako radi nekam pribili ni pri miru. In s tem povezan problem odgovornosti. Primer: yx.com je spletna stran podjetja A. Če želim verificirati to spletno stran, potem s tem prevzemam odgovornost ali pa se ji v 100 straneh dolgi pogodbi izognem, čerpav obiskovalec misli, da jo sprejemam. Kar je v vsakem primeru katastrofalno slabo, saj podjetje lahko spletno stran proda ali renta in sem kot nosilec odgovornosti (CA) v zosu brez hackerskih posegov. Pristop k spletni strani sami in iskanju odgovornega za spletno stran je napačen. Poleg tega število spletnih strani v lasti enega podjetja v povprečju narašča na 2,7 spletnih strani na podjetje. Obrnili smo stvari na glavo: dajmo podjetju identiteto na spletu in na to identiteto pripnimo njihovo odgovornost za vse njihove komercialne spletne strani. Na ta način z eno verifikacijo verificiramo vse njihove spletne strani, na drugi strani pa odgovornosti prevzemamo samo za tisto za kar jo lahko: za njihovo verificirano spletno stran, ki jo tako ali tako nadzorujemo, saj je na naših strežnikih in s predpisano vsebimo, ki jo je verificirala zunanja verodostojna ustanova.

Brane2 ::

Ampak saj ravno primer čolna je slikovit. Zakaj ne bi uprabili cesarjeve infrastrukture - GPS sistem ?
On the journey of life, I chose the psycho path.

BlueRunner ::

Zanimivo. Se pravi, ko ti tip seže v roko in ti pove ime, te to sploh ne zanima. Pravzaprav te torej ne zanima če dejanjsko govori resnico. Zakaj je potem fizično srečanje nujno ? Da se prepričaš, da res obstaja nekdo ki ti bo rekel, kako mu je ime ?
To ziher nima zveze s tehniko, je to kaka budistična fora v stilu zvoka "ploska ene roke" ali kaj takega ?

Pozabi, tukaj ne bova nikamor prišla. Jaz ti vztrajno govorim osebi, s katero bi želel varno komunicirati, ti mi pa govoriš o identiteti. To bo sicer hardcore tehnična opredelitev, vendar: Oseba sem jaz. Osebna izkaznica je moja identiteta. Potni list je moja identiteta. Javni RSA ključ je lahko moja digitalna identiteta. Če želim varno komunicirati z osebo, lahko to storim ne da bi vedel kakšna je njena papirnata identiteta. ČE MI TO ZADOŠČA, SEVEDA. Meni je za moj primer 3. strani nazaj zadoščalo, tebi za tvoj primer na tej strani pač ne zadošča.

Saj štekam. ITU standarde sem iz takih in drugačnih vzrokov lovil okrog kot mulc že dolgo preden je GSM dejanjsko prišel k nam. Pravzaprav še preden sem veselo prodajal po terenu Telerayeve pagerje za takratnih IIRC 1000+ DM za kos - z zelo tanko provizijo ;o/

Eeek. V bistvu 2x eeek! Da si moral tiste pagerje prodajati, pa da si moral ITU-jeva jajca še kot mulc študirati.

V bistvu bi se potem dalo državo tožiti zaradi kraje identitete, za kar pa še nisem slišal, da bi bilo (v EU) izvedljivo, kaj šele uspešno. Suverenost suverena je ravno v temu, da ti za svoje neumnosti ne odgovarja.

Kar v bistvu sploh ni res. _Mogoče_ je bilo to nekoč. Sedaj že nekaj časa povsem realno lahko tožiš državo. In zmagaš.


Za določene stvari. V primeru kraje identitete (ekvivalent lažnemu predstavljanju) je država v svojih očeh še vedno čista kot solza. V bistvu je danes lažje tožiti in iztožiti pravno osebo, kot pa državo zaradi "neljube napake te vrste". Poudarjam "te vrste". Pa strinjam se, da se lahko zadeve že jutri spremenijo. Pravo je tudi živa stvar in že nekaj tisočletij (šala) ni nič v kamen vklesano.

Ah, ti hočeš reči, da bi ti sistem izpljunil podatke o pravni osebi, kot jo definira cesar ? ( Kratko, dolgo ime, IDštev pri sodišču, ID za DDV ) ? Če je tako, potem tozadevno v redu...

Da! Točno to! Bistven in za uporabnika edini smiselen podatek manjka, posiljujemo ga pa z nerazumljivo tehniko.

So what ? Kje piše, da bi morali za rešitev uporabiti ravno X500 in ravno v obstoječi obliki ?

Nikjer. Vendar pa trenuten sistem bazira ravno na napačni tehnični implementaciji te rešitve. Zato mislim, da je potrebno trenuten sistem nekako upokojiti in ga zamenjati s takšnim, ki upošteva današnjo delitev moči in odgovornosti. Sicer pa je to bil samo en primer tipskega globalnega centraliziranega imenika. Telefonske številke so pač drug takšen sistem, DNS pa je tretji takšen sistem.

Današnje CA agencije ne predstavljajo takšen sistem, hkrati pa se zanašajo oziroma zlorabljajo nekatere njegove standarde. To pa je že del splošnih težav.

2 .Za pobiranje davkov je predpogoj, da nadziraš trg. Ne v smislu trenutne cene kolerabe seveda ampak v smislu pravil igre, dovoljeneh načinov poslovanja itd.
3. Ker se promet seli na internet, se tudi pogoj pod točko 2 seli z njim. To, da bo moral cesar imeti nadzor nad tovrstnim poslovanjem za efektivno obdavčevanje je jasno in od tod sledi, da bo cesar moral nekaj narediti na tem.

In bančni/davčni sistem je v razvitih državah pod dovolj dobrim nadzorom, da v tovrstnih podjetjih ne moreš enostavno "izgubiti računa". Vsaj ne lažje, kot izgubiš račune za skuhane kave pri šanku. Ta sistem že deluje, ni problematičen in obstoj novih komunikacijskih sredstev na njega bistveno ne vpliva.

Kar se pa tiče prepuščanja bistvenih parametrov varnosti trga klasiči pravni osebi, pa to vidim vsepovsod okoli sebe. Konec koncev obstaja tudi "varnostni trg", kjer se trži tovrstne storitve in rešitve.


O.K. Daj mi primer. Recimo države, katere fiskalno politiko vodi doo samostojno.
Ali države, kjer doo nadzira tiskanje denarja in njegovo sproščanej v obtok( količine, serije itd).


Bom obrnil okoli. Kje pa država vodi fiskalno politiko samostojno? Ali pa države v katerih banke nimajo pred vrati policajev temveč varnostnike. Ali pa varnostna podjetja, ki varujejo državno lastnino. Ali pa banke, ki dejansko tiskajo denar (siva emisija - dajanje kreditov je natančno to: tiskanje denarja). Danes se države vtikajo na nivoju regulative (predpisi za ceste, predpisi za banke, omejitve količine kreditov, predpisi za varnostne agencije, pogajanja s "socialnimi parnterji") Neposredno pa se v izvajanje te regulative več ne vtikajo, temveč ga samo nadzorujejo.

Zakaj potem tukaj ne bi tudi država ustvarila regulativo, potem pa naj doo-ji delajo in služijo denar na tem reguliranem trgu. To je še vedno navaden doo, samo še nekaj malega več zakonodaje mora upoštevati. Pa če je prej pošteno delal, potem je to tudi že prej itak tako delal. In ker država običajno nima ravno preveč domišljije, ponavadi za pravilo predpiše tisto, kar največji na trgu že itak počne.

Katera od opcij praktično zagotovo pomeni, da tvoje podjetje ne obstaja:
- če ga ni v GZSjevih evidencah in je v sodnem registru
- obratno

Ah, ampak zakaj se bi vezal samo na GZS? Saj to ni edini in izključni vir podatkov. Kaj mi brani, da ne pridobim sočasno podatke iz GZS, AJPES in sodnega registra pri sodišču, kjer je bilo podjetje registrirano? Razlika je samo v temu, da moraš z GZS podpisati pogodbo, da ti bo sploh kakšen pdatek dal, državne evidence pa uporabljaš kadar jih hočeš, pač s plačilom stroškov za posredovanje.

Sicer pa bistveno vprašanje ni sam obstoj podjetja. Bistveno vprašanje je kvaliteta poslovanja podjetja.

Vprašanje, ki se ga rešuje je kako tehnično povezati podatke iz npr. http://www.guetezeichen.at/ s samim ponudnikom storitve npr. http://www.7rabbits.at/. Vsakdo lahko da v desni zgornji kot ikono organizacije, ki pravi, da je ta trgovina zaupanja vredna. Vprašanje pa je kako to narediti na tehničnem nivoju tako, da bo uporabnik dobil naslednja dva podatka:
- dostop do storitve ja varoven (prepreči MITM)
- storitev sama je varna (znan izvajalec storitve)

Seveda pa mora tehnika v ozadju poskrbeti, da varno zagotovi ta dva podatka. Uporabnik se mora na koncu samo še odločiti, ali s tem podjetjem želi poslovati ali ne. Brez trohice dvoma, da je na drugi strani ne samo pričakovan strežnik, ampak tudi zelo verjetno pošten prodajalec.

Matthai ::

Obrnili smo stvari na glavo: dajmo podjetju identiteto na spletu in na to identiteto pripnimo njihovo odgovornost za vse njihove komercialne spletne strani. Na ta način z eno verifikacijo verificiramo vse njihove spletne strani, na drugi strani pa odgovornosti prevzemamo samo za tisto za kar jo lahko: za njihovo verificirano spletno stran, ki jo tako ali tako nadzorujemo, saj je na naših strežnikih in s predpisano vsebimo, ki jo je verificirala zunanja verodostojna ustanova.


OK, kaj točno verificirate?

Potrdite, da s spletno stranjo upravlja določeno podjetje?

Kaj pa če nekdo poheka spletno stran ali izvede XSS napad? Kaj pa v temle primeru?
All those moments will be lost in time, like tears in rain...
Time to die.
strani: 1 2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nekaj gnilega je v deželi certifikatski

Oddelek: Novice / Ostala programska oprema
83268 (1980) Lipicnik
»

Bo Mozilla zaupala kitajskemu CA?

Oddelek: Novice / Brskalniki
132593 (2079) MrStein
»

Odkrita resna ranljivost v SSL in TLS protokolih

Oddelek: Novice / Varnost
103689 (2658) BlueRunner
»

Napad z ničelno predpono na SSL/TLS certifikate že "v divjini"

Oddelek: Novice / Varnost
414869 (3247) McMallar
»

Kateri SSL certifikat

Oddelek: Izdelava spletišč
233066 (2826) Poldi112

Več podobnih tem