» »

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre

krneki0001 ::

AndrejO je izjavil:

Si videl kodo, da to veš?


Si kdaj programiral ali pa če še programiraš?

Poznaš to:
https://www.owasp.org/index.php/SQL_Inj...

Osnovna stran za vsakega začetnika, ki ti pove osnove, kaj ne delat s primeri.
In nekateri se tega držimo pri programiranju. ampak jaz programiram še več kot 20 let, začel sem pa pred 32 leti, ko sem dobil za 10 rojstni dan ZX81 in knjigo ZX81 basic programing in sem prepisoval programe iz knjige, da smo mulci lahko igrce igral.

AndrejO ::

krneki0001 je izjavil:

AndrejO je izjavil:


V nobenem izmed navedenih primerov ni nihče "letel iz službe".


Seveda so, vse, ki dobijo da kradejo podatke, vržejo ven.

Noben od primerov ne govori o kraji podatkov. Zakaj poskušaš najti nekaj tretjega?

krneki0001 je izjavil:

In izgubiti disk s podatki tudi ni nedolžna zadeva, pa zato letiš iz službe. Na Lloyd bank je glavni direktor takoj sam odstopil. Na ostalih bankah so pa direktorji IT-ja leteli.

Pri Lloyd's je generalni direktor (CEO) že od l. 2011 neki António Horta Osório in nikjer ni videti, da bi l. 2015 kaj odstopal. So ga pa k odstopu pozivali lani, ko so ugotovili, da je svojo ljubico prevažal naokoli na službene stroške.

krneki0001 je izjavil:

AndrejO je izjavil:


Preden izveš, kaj in kako je sploh bilo storjeno, je težko reči, da je šlo za malomarnost ali pa, da je šlo za tolikšno malomarnost, da bi bilo potrebno nekoga odpustiti.


V tujini direktorji ob taki napaki kr sami odstopijo, ker je to za ustanovo sramotno. Pri nas pa jih pač branite in jim dajete potuho. Se pozna na vseh področjih.

Nekateri se samo zavedamo, da je človeka lažje odstaviti z močjo argumentov, kot pa zgolj s kričanjem.

Pa moč argumentov tudi korelira s tem, da odstavljeni tudi ostane odstavljen.

krneki0001 ::

AndrejO je izjavil:

Pri Lloyd's je generalni direktor (CEO) že od l. 2011 neki in nikjer ni videti, da bi l. 2015 kaj odstopal.


Nihče ni govoril za upravo in njene člane. Poglej direktorje pod članom uprave zadolženim za IT.

Poleg tega se delavcu ponavadi ponudi da sam da odpoved brez ugodnosti in adijo. Take zadeve zelo potihem naredijo, ampak v primeru lloyda so se kr spravili na par direktorčkov.

Recimo vmes so imeli še eno migracijo podatkov in so "izgubili" 14.000 komitentov. Ni jih bilo več v bazah. Si zamišljaš sramoto?

AndrejO ::

krneki0001 je izjavil:

AndrejO je izjavil:

Si videl kodo, da to veš?


Si kdaj programiral ali pa če še programiraš?

Poznaš to:
https://www.owasp.org/index.php/SQL_Inj...

Osnovna stran za vsakega začetnika, ki ti pove osnove, kaj ne delat s primeri.
In nekateri se tega držimo pri programiranju. ampak jaz programiram še več kot 20 let, začel sem pa pred 32 leti, ko sem dobil za 10 rojstni dan ZX81 in knjigo ZX81 basic programing in sem prepisoval programe iz knjige, da smo mulci lahko igrce igral.

Poklicno se zadnjih 10 let ukvarjam z informacijsko varnostjo v splošnem in od tega zadnjih 5 let z ožjim področjem varnosti komunikacijskih omrežij.

Prvi program sem napisal na ZX Spectrum tam nekje v 80. letih, v 2. polovici 80. let me najdeš med prvimi petimi na letnih tekmovanjih iz znanja računalništva za osnovnošolce. Programov nisem prepisoval, je pa bil en izmed njih objavljen v neki takratni reviji (moral bi pobrskati po arhivu, da bi našel kopijo). V srednji šoli sem v 3. letniku postal en izmed skrbnikov takratnega BBS (GimVic BBS 2:380/107), kasneje pa sem tudi vzpostavil notranje omrežje za računalniško učilnico z NetWare 3.11 (kasneje 3.12) NOS in dostopom do interneta (takrat sem se prvič srečal z ARNES). Po srednji šoli sem začel, vendar pa ne zaključil študi računalništva na FER (ja, takrat je to bil še FER), ker sem študij zamenjal za delo. Kot programer sem se tako preživljal do l. 2004, ko je moje delo postal še najbolj podobno, čemer se danes reče "devops". 2005 sem pridružil vzdrževalcem omrežja SiOL, kjer je bila večina mojega dela posvečena obravnavanju zlorab, varnosti in razvoju podpornih sistemov za to delo. Po združitvi SiOL in Telekom Slovenije sem se priključil oddelki za informacijsko varnost, kjer sem v naslednjih letih v sodelovanju s strokovnjaki pravne stroke spoznaval tudi družbeno-pravne vidike informacijske varnosti, sodelval pri revizijah informacijske varnosti v hčerinskih podjetjih in se izobrazil za notranjega presojevalca po ISO 27001:2004. L. 2011 sem se zaposlil pri Google Ireland, kjer v še vedno delam na področju varnosti komunikacijskih omrežij. V tem času sem tudi ponovno začel in z odliko zaključil študij informatike na FRI. Trenutno se pripravljam za magisterij pri School of computer Science, UCD in sicer na področju "Advanced Software Engineering".

Na zahtevo lahko predložim ustrezna dokazila o pridobljenih kvalifikacijah in reference o opravljenem delu.

Bo zadoščalo?

Invictus ::

Potem bi moral vedeti dvoje:

- SQL injection je danes šalabajzerska napaka.
- Od kdaj so serveji z bazami na internetu?

Če ti to ni dovolj velik alarm za informacijsko varnost, potem pa res ne vem kaj delaš na Google Ireland...

In kriv je šef ITja. Če ne drugega, ker zadeve pač ni preverjal. Tiste ISO presoje so pa tako lai tako kar nekaj. Prekladanje papirjev. Gledanje podpisov na papirjih. Če ti papirno cela zadeva deluje, nihče tega ne preverjav živo...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

krneki0001 ::

AndrejO je izjavil:

Poklicno se zadnjih 10 let ukvarjam z informacijsko varnostjo v splošnem in od tega zadnjih 5 let z ožjim področjem varnosti komunikacijskih omrežij.

Prvi program sem napisal na ZX Spectrum tam nekje v 80. letih, v 2. polovici 80. let me najdeš med prvimi petimi na letnih tekmovanjih iz znanja računalništva za osnovnošolce. Programov nisem prepisoval, je pa bil en izmed njih objavljen v neki takratni reviji (moral bi pobrskati po arhivu, da bi našel kopijo). V srednji šoli sem v 3. letniku postal en izmed skrbnikov takratnega BBS (GimVic BBS 2:380/107), kasneje pa sem tudi vzpostavil notranje omrežje za računalniško učilnico z NetWare 3.11 (kasneje 3.12) NOS in dostopom do interneta (takrat sem se prvič srečal z ARNES). Po srednji šoli sem začel, vendar pa ne zaključil študi računalništva na FER (ja, takrat je to bil še FER), ker sem študij zamenjal za delo. Kot programer sem se tako preživljal do l. 2004, ko je moje delo postal še najbolj podobno, čemer se danes reče "devops". 2005 sem pridružil vzdrževalcem omrežja SiOL, kjer je bila večina mojega dela posvečena obravnavanju zlorab, varnosti in razvoju podpornih sistemov za to delo. Po združitvi SiOL in Telekom Slovenije sem se priključil oddelki za informacijsko varnost, kjer sem v naslednjih letih v sodelovanju s strokovnjaki pravne stroke spoznaval tudi družbeno-pravne vidike informacijske varnosti, sodelval pri revizijah informacijske varnosti v hčerinskih podjetjih in se izobrazil za notranjega presojevalca po ISO 27001:2004. L. 2011 sem se zaposlil pri Google Ireland, kjer v še vedno delam na področju varnosti komunikacijskih omrežij. V tem času sem tudi ponovno začel in z odliko zaključil študij informatike na FRI. Trenutno se pripravljam za magisterij pri School of computer Science, UCD in sicer na področju "Advanced Software Engineering".

Na zahtevo lahko predložim ustrezna dokazila o pridobljenih kvalifikacijah in reference o opravljenem delu.

Bo zadoščalo?


Potem sva pa nekje skupaj. Samo da moji "rezultati" so objavljeni po celem svetu, v vseh bazah antivirusnih programov. En izmed mojih virusov je prišel ven celo na dan osamosvojitve slovenije.

AndrejO ::

Invictus je izjavil:

Potem bi moral vedeti dvoje:

- SQL injection je danes šalabajzerska napaka.
- Od kdaj so serveji z bazami na internetu?

Ja, ampak AJPES tega ni razvijal v hiši in AJPES verjetno tudi nima (in ne rabi imeti) strokovnjakov za arhitekturo informacijskih sistemov v hiši. Njihova dejavnost je nekaj drugega.

Invictus je izjavil:

Če ti to ni dovolj velik alarm za informacijsko varnost, potem pa res ne vem kaj delaš na Google Ireland...

V prvi vrsti ne podležem pogosto sindromu "enostavnih rešitev" in skrivanju za "name calling". Nekoga označiti za "šalabajzerja" je enostavno in hkrati tudi neuporabno. Odpraviti vzrok, da je do tega prišlo, pa je tisto pravo delo.

Invictus je izjavil:

In kriv je šef ITja. Če ne drugega, ker zadeve pač ni preverjal.

Imaš v rokah predhodno poročilo? Ga bi lahko delil še z ostalimi?

Invictus je izjavil:

Tiste ISO presoje so pa tako lai tako kar nekaj. Prekladanje papirjev. Gledanje podpisov na papirjih. Če ti papirno cela zadeva deluje, nihče tega ne preverjav živo...

Če o zadevi očitno nimaš pojma, potem je bolje tega na razlagati naokoli.

krneki0001 je izjavil:

Potem sva pa nekje skupaj. Samo da moji "rezultati" so objavljeni po celem svetu, v vseh bazah antivirusnih programov. En izmed mojih virusov je prišel ven celo na dan osamosvojitve slovenije.

Glede na tvoje pisanje, napisano nimava čisto nič skupnega.

Nikoli nisem bil ne šalabajzer, da bi mi kaj takšnega pobegnilo, niti kriminalec, da bi kaj takšnega namenoma spustil v divjino. Tako, da ne. Niti približno si nisva skupaj. Dejansko si ne bi mogla biti dlje narazen.

Zgodovina sprememb…

  • spremenil: AndrejO ()

krneki0001 ::

AndrejO je izjavil:


Glede na tvoje pisanje, napisano nimava čisto nič skupnega.

Nikoli nisem bil ne šalabajzer, da bi mi kaj takšnega pobegnilo, niti kriminalec, da bi kaj takšnega namenoma spustil v divjino. Tako, da ne. Niti približno si nisva skupaj. Dejansko si ne bi mogla biti dlje narazen.



Ti pač ali nimaš dost jajc ali pa nisi sposoben napisat "dobrega" virusa. Dober virus ne pomeni nujno ga spustit v cel svet in delat štalo in škodo.

Da pa ne boš razumel napačno, zadnji virus kot virus, ki dela škodo, sem napisal nekje leta 1992/93, in tega me ni sram priznat. Sem bil pač mulc, ki je s pridom izkoriščal znanje, ki ga je dobival iz BBS-ov, knjig,....

Od takrat pa sem jih napisal še kar nekaj, predvsem za potrebe testiranj opreme, zato ker zadnjih 22 let skrbim zato, da mi virusi in podobne anomalije ne morejo v moje sisteme (hobi, ne redna služba). Tako da sva bližje, kot si si kdajkoli sploh mislil.


Samo da jaz še vedno trdim da je SQL injection napaka prvošolcev na faksu in si je resno podjetje nebi smelo privoščiti v svojih programih in je resni javni zavod nebi smel spregledat, preden je dal software v "uporabo".

thramos ::

AndrejO je izjavil:

Ja, ampak AJPES tega ni razvijal v hiši in AJPES verjetno tudi nima (in ne rabi imeti) strokovnjakov za arhitekturo informacijskih sistemov v hiši. Njihova dejavnost je nekaj drugega.


Še enkrat se mešam: če Ajpes nima dovolj znanja za nadzor oz. sodelovanje s strokovnjaki za inf. arhitekturo oz. rač. varnost (česar ne trdim), ne bi smel imeti dovoljenja za delo z občutljivimi bazami podatkov.

nevone ::

Še enkrat se mešam: če Ajpes nima dovolj znanja za nadzor oz. sodelovanje s strokovnjaki za inf. arhitekturo oz. rač. varnost (česar ne trdim), ne bi smel imeti dovoljenja za delo z občutljivimi bazami podatkov.


Družba ne deluje tako, da ima vsak vse znanje o vsem.

o+ nevone
Either we will eat the Space or Space will eat us.

krneki0001 ::

nevone je izjavil:

Še enkrat se mešam: če Ajpes nima dovolj znanja za nadzor oz. sodelovanje s strokovnjaki za inf. arhitekturo oz. rač. varnost (česar ne trdim), ne bi smel imeti dovoljenja za delo z občutljivimi bazami podatkov.


Družba ne deluje tako, da ima vsak vse znanje o vsem.

o+ nevone



Ne rabi imet vsak vsega znanja. Dovolj je da ima glavni na vasi toliko v glavi, da ve koga poklicat, ki pa znanje ima, da naredi pravilne teste in ugotovi pomankljivosti.

nevone ::

Dovolj je da ima glavni na vasi toliko v glavi, da ve koga poklicat, ki pa znanje ima,


No, saj to mislim, ampak se vseeno postavi vprašanje, kako lahko ve koga poklicat, če sam nima ustreznega znanja. Gre pač za zaupanje nekomu.

o+ nevone
Either we will eat the Space or Space will eat us.

videc ::

nevone je izjavil:

Dovolj je da ima glavni na vasi toliko v glavi, da ve koga poklicat, ki pa znanje ima,
No, saj to mislim, ampak se vseeno postavi vprašanje, kako lahko ve koga poklicat, če sam nima ustreznega znanja. Gre pač za zaupanje nekomu.o+ nevone
Potem pa verjetno ni kompetenten, da zaseda del. mesto, ki ga. In je torej posledično odgovoren tako objektivno kot subjektivno.

AndrejO ::

videc je izjavil:

nevone je izjavil:

Dovolj je da ima glavni na vasi toliko v glavi, da ve koga poklicat, ki pa znanje ima,
No, saj to mislim, ampak se vseeno postavi vprašanje, kako lahko ve koga poklicat, če sam nima ustreznega znanja. Gre pač za zaupanje nekomu.o+ nevone
Potem pa verjetno ni kompetenten, da zaseda del. mesto, ki ga. In je torej posledično odgovoren tako objektivno kot subjektivno.

Ampak na to se zgolj po simptomih še ne da sklepati, ker to ni edini možen ali verjeten razlog.

krneki0001 ::

Ti trdiš, da je vdor v ajpesove baze zgolj simptom?

thramos ::

nevone je izjavil:

Dovolj je da ima glavni na vasi toliko v glavi, da ve koga poklicat, ki pa znanje ima,


No, saj to mislim, ampak se vseeno postavi vprašanje, kako lahko ve koga poklicat, če sam nima ustreznega znanja. Gre pač za zaupanje nekomu.


Preprosto rečeno, to, da ve koga mora poklicat oziroma komu zaupat, je znanje, ki ga rabi.

Ne pravim, da je tako v konkretnem primeru. Ampak dejstvo, da gre pri informacijski varnosti za kompleksne zadeve, ne sme biti izgovor za slabo vodenje projektov. Prej argument, da se občutljive podatke da v upravljanje zgolj res kompetentnim, in ne kar vsaki državni ustanovi.

SeMiNeSanja ::

Pozabljate, da varnost ni nekakšno absolutno stanje, ki ga vzpostaviš in 'imaš'.
Varnost je proces, ki deloma temelji na dobrih praksah, še bolj pa na opazovanju, spremljanju in nadgrajevanju varnostnih postopkov.

Če bi se šli varnost tako, kot si to večina predstavlja, da zadeve nekrat 'zabetoniraš' in si misliš, da je to to, potem si že v sami osnovi naredil kiks.

Še najbolje jo je odnese tisti, ki si reče: ok, absolutne varnosti ni. Karkoli naredim, bom zagotovo nekaj spregledal in mi bodo enega dne vdrli. Kaj torej lahko naredim, da bo v tem primeru škoda čim manjša, da bom čim prej opazil, da je do incidenta prišlo, da bom vedel zaradi česa je do njega prišlo in kako to v bodoče preprečiti.

Torej po domače povedano - če imam javno spletno stran, preko katere se lahko dostopa samo do določenih podatkov - zakaj bi za vraga imel v bazi, kateri dostopa ta spletna stran potem tudi druge visoko občutljive podatke? Pa če jih že moram imeti, zakaj niso kriptirani? Zakaj potencialnim lumpom ponuditi vse na srebrnem pladnju, če se jim lahko bistveno oteži lumparije zgolj z malenkost drugačnim pristopom?

Kaj pa vem - je vzrok v izobraževanju programerjev, ki nosi poudarek na efektivni kodi, šepa pa na področju varnosti kreirane kode? Pravzaprav ne zgolj same kode ampak kar celotnega designa rešitev.
Tako se potem nekaj sklamftra skupaj in pokliče 'varnostnega eksperta', da naj zadevo (ki ji po možnosti ni dorasel) preveri. Ta pride do določenih ugotovitev, naredi poročilo, izda priporočila. Potem so pa spet programerji na potezi, ki zadevo poskusijo pokrpati. Priporočila? Lahko so problematična, če je razvoj šel že predaleč in bi njihova implementacija zahtevala prevelike posege v kodo, roki za oddajo pa so hudo blizu. Bognedaj, da bi priporočilo zahtevalo celovit redesign rešitve...

Invictus ::

nevone je izjavil:


No, saj to mislim, ampak se vseeno postavi vprašanje, kako lahko ve koga poklicat, če sam nima ustreznega znanja. Gre pač za zaupanje nekomu.

o+ nevone

Kot skrbnik IT sistema mora vedeti kdo mu lahko kaj uredi.

Če ne ve, ga ne rabimo...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

krneki0001 ::

Seveda da varnost ni absolutno stanje, zato pa (kot sem napisal že zgoraj) ko dobiš nov software od zunanjega izvajalca narediš en orenk varnostni pregled in vsaj dva penetration testa od dveh različnih firm. In penetration test ponavljaš vsaj vsakih par mesecev.


Res so pa problem kratki roki, pa ne toliko roki, kot omejenost ljudi, ki nima pojma, rine se pa vseeno zraven v projekt, ker na projektih so v dinozavrih, projektne nagrade.

Recimo kako naj bi zgledalo to v normalnem podjetju;
Uporabnik napiše papir, kaj bi potrebovali. Kompetenten človek za tisto področje pogleda zahtevo uporabnikov in pavšalno oceni človek/dni za izvedbo.
Rok je sedaj recimo 3 mesece. 2 do 3 tedne se porabi za načrtovanje in arhitekturo, en teden za pisanje specifikacij, da se vse to spravi na papir in potem mesec dni za izdelavo in mesec dni za testiranje.

Kako pa to v resnici zgleda v slovenskih dinozavrih;
Uporabnik se spomni, da bi nekaj rad. Napiše mail nekemu direktorju, ki sploh ni nujno kompetenten za tisti sektor. Ta direktor skliče sestanek, na tem sestanku se potem naberejo vsi, ki upajo, da bodo kej potegnili iz projekta. Potem se pavšalno preko palca določi, kdo naj bi to delal. In potem sestanek na sestanek.
In tam na teh sestankih potem sedijo ljudje, ki nimajo pojma, pa potem debatirajo, kaj bi sploh radi in se menijo, pa menijo in menijo. Ko pride kdo s pametnim predlogom, se mu pa polena pod noge meče, ker oni pa že niso tako neumni, da tega nebi sami pogruntali.
In to traja vsaj 2 meseca in pol, ko v bistvu poberejo tisto prvo rešitev, ki jo je nekdo od podrejenih že dal, in so ga že na začetku čisto popljuvali.
Potem ima programer en teden da naredi. Ker zamuja, bo delal 10 dni in za testiranje bo ostalo 3 dni. Stestira se na hitro in se podpiše sprejemne teste, da je vse v redu in poka, že je zadeva v produkciji.

Vsaka podobnost s slovenskimi podjetji v državni lasti in javnimi ustanovami v zadnjem opisu je le zgolj namerna!!!

AndrejO ::

krneki0001 je izjavil:

Ti trdiš, da je vdor v ajpesove baze zgolj simptom?

Seveda. Tako, kot je odprt zlog stegnenice tudi simptom neke druge napake. Lahko je bila prometna nesreča, lahko je bilo smučanje, lahko je bil skok s padalom. Če se želiš takšnem odprtem zlomu v prihodnje izogniti, moraš razumeti in nasloviti vzroke, ki so do tega pripeljali. Samo gips reši samo akuten problem, ne prepreči pa vseh prihodnjih zlomov do katerih bo prišlo, če se vzroke ne odpravi.

krneki0001 ::

Ti torej trdiš, da moraš nehat dvigovat denar na bankomatih, ker so te enkrat pred enim bankomatom oropali.

AndrejO ::

krneki0001 je izjavil:

Ti torej trdiš, da moraš nehat dvigovat denar na bankomatih, ker so te enkrat pred enim bankomatom oropali.

To dejansko trdiš ti, ko nekaj bleješ o šalabajzerjih in kazenskem odpuščanju, še preden se dejansko ve kako je do napake prišlo.

Malo bolj brihtni pa medtem razmišljajo, če je bil rop zgolj nesrečno naključje, če je k ropu pripomoglo to, da se zaradi varčevanja izključuje javno razsvetljavo, če je ta bankomat pogosto povezan z ropi, če bi pomagala varnostna kamera, ... Ker, če se teh stvari ne sprašuješ, potem dejansko ne veš, če bo tam še kdo oropan ali pa ne.

Zgodovina sprememb…

  • spremenil: AndrejO ()

Invictus ::

AndrejO je izjavil:

krneki0001 je izjavil:

Ti torej trdiš, da moraš nehat dvigovat denar na bankomatih, ker so te enkrat pred enim bankomatom oropali.

To dejansko trdiš ti, ko nekaj bleješ o šalabajzerjih in kazenskem odpuščanju, še preden se dejansko ve kako je do napake prišlo.

Če se šef AJPES IT ne zaveda, da ima zadaj zelo občutljive podatke, je sploh zrel za krivdno razrešitev... Kaj šele da jih da na internet...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

krneki0001 ::

Andrej0, kar laskaj si, da si en izmed razmišljujočih. Očitno ne, ker večina nas, ostalih, ki razmišljamo, ve kako šolski primer je danes SQL injection. Še bolj se pa zavedamo kaj pomeni 60 različnih podatkovnih baz s ključnimi podatki imeti na web serverju odprtem vsemu svetu.

Zgodovina sprememb…

AndrejO ::

Invictus je izjavil:

AndrejO je izjavil:

krneki0001 je izjavil:

Ti torej trdiš, da moraš nehat dvigovat denar na bankomatih, ker so te enkrat pred enim bankomatom oropali.

To dejansko trdiš ti, ko nekaj bleješ o šalabajzerjih in kazenskem odpuščanju, še preden se dejansko ve kako je do napake prišlo.

Če se šef AJPES IT ne zaveda, da ima zadaj zelo občutljive podatke, je sploh zrel za krivdno razrešitev... Kaj šele da jih da na internet...

Kakor, da se ni še nikoli zgodilo, da bi izvajalec v tehnični dokumentaciji lagal, mar ne?

Mater ... sami vsevedni in vsevidni tukaj na kupu. Največji mojster se hvali s spuščanjem virusov v divjino, naslednji po vrsti pa že ve, kaj bo pisalo v poročilu o incidentu.

Vse vam je jasno, krivda je znana, odgovorni so znani in bog ne daj, da se bi slučajno kdo ukvarjal s kakšnim resnim pregledom in ugotavljanjem dejanskega stanja in dejanskih vzrokov za zajeb.

krneki0001 je izjavil:

Andrej0, kar laskaj si, da si en izmed razmišljujočih. Očitno ne, ker večina nas, ostalih, ki razmišljamo, ve kako šolski primer je danes SQL injection. Še bolj se pa zavedamo kaj pomeni 60 različnih podatkovnih baz s ključnimi podatki imeti na web serverju odprtem vsemu svetu.

Kljub temu pa nisi sposoben doumeti, da ima to svoje vzroke, ki javnosti še niso bili predstavljeni.

Obnašaš pa se, kakor, da ti je že vse jasno in tukaj sploh več ni dileme o tem, kako je do tega sploh prišlo.

Zgodovina sprememb…

  • spremenil: AndrejO ()

Invictus ::

AndrejO je izjavil:

AndrejO je izjavil:


Če se šef AJPES IT ne zaveda, da ima zadaj zelo občutljive podatke, je sploh zrel za krivdno razrešitev... Kaj šele da jih da na internet...

Kakor, da se ni še nikoli zgodilo, da bi izvajalec v tehnični dokumentaciji lagal, mar ne?

Mater ... sami vsevedni in vsevidni tukaj na kupu. Največji mojster se hvali s spuščanjem virusov v divjino, naslednji po vrsti pa že ve, kaj bo pisalo v poročilu o incidentu.

Vse vam je jasno, krivda je znana, odgovorni so znani in bog ne daj, da se bi slučajno kdo ukvarjal s kakšnim resnim pregledom in ugotavljanjem dejanskega stanja in dejanskih vzrokov za zajeb.

kaj tebi ni jasno? Za pravilno izvedbo in preverbo je odgovoren naročnik... ne pa izvajalec.

Samo naročnik je za kuverto lepo podpisal prevzemni zapisnik. Ali pa samo zaradi svoje lenobe.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

krneki0001 ::

AndrejO je izjavil:

Kakor, da se ni še nikoli zgodilo, da bi izvajalec v tehnični dokumentaciji lagal, mar ne?



Hvala, lep primer neodgovornosti naročnika. Izvajalec je naredil, naročnik je pa samo prevzel v uporabo in zadeve pred uporabo ni stestiral. Na žalost je v tem primeru celo huda posledica - par mrtvih ljudi.

In točno to jaz že od začetka govorim, samo ti to zavračaš. Odgovoren je v prvi vrsti naročnik. On mora po prevzemu od zunanjega izvajalca stestirat vso opremo že zaradi navzkrižja interesov. Potem mora pa še ugotoviti, da mu ni podizvajalec kakega backdoora vgradil.

Zgodovina sprememb…

krneki0001 ::

AndrejO je izjavil:

Kljub temu pa nisi sposoben doumeti, da ima to svoje vzroke, ki javnosti še niso bili predstavljeni.


Ne, nobenega vzroka ni, da na web server postaviš 60 ključnih baz in jih daš na vpogled celemu svetu.

AndrejO je izjavil:


Obnašaš pa se, kakor, da ti je že vse jasno in tukaj sploh več ni dileme o tem, kako je do tega sploh prišlo.


Meni je jasno že od leta 2010, ko je ajpes prevzel del, ki ga je prej obdelovala Banka Slovenije, da bodo z njimi problemi, ko sem moral po službeni dolžnosti z njimi sodelovat.
Njihov odnos je bil že takrat tak, da ko si jim predlagal izboljšavo, so te takoj odpikali in te poslali v K***C, ker ti pa njim že ne boš pameti solil.
In do danes ni nič boljši, ampak celo slabši, ker sedaj se pa že imajo za državo v državi.

AndrejO ::

Invictus je izjavil:

kaj tebi ni jasno?

Meni samo to ni jasno, kje skrivate podatke, ki potrjujejo tvoje in tvojim podobne zaključke. Kar je do sedaj javno znanega, za takšne zaključke še ne zadošča.

Invictus je izjavil:

Za pravilno izvedbo in preverbo je odgovoren naročnik... ne pa izvajalec.

Ja, in potem najameš nekoga, do to preveri. Ker si, vsaj po tvoje, kot naročnik še vedno odogovoren in, ker tega nisi znal preveriti sam, naročiš še drugega, da preveri, kaj je naredil prvi. In potem naročiš še tretjega, ker ne veš, kaj je naredil drugi. In potem naročiš četrtega ...

Ja. V tvoji fikciji sveta imaš potem bodisi naročnike, ki vedo vse in ne rabijo ničesar naročati, bodisi naročnike, ki so neodgovorni, ker po tvoje ni načina, da bi lahko kdo tretji preveril opravljenoi delo in, bog ne daj, da bi mu zaupal.

No, v normalnem svetu obstajajo pojmi, kot je npr. "dolžna skrbnost" (oz. "due diligence" v ang.), ki ureja obseg odgovornosti.

Bom pa še enkrat vprašal čisto splošno: kako boš zaupal kirurgu, če sam nisi kirurg?

krneki0001 je izjavil:

AndrejO je izjavil:

Kakor, da se ni še nikoli zgodilo, da bi izvajalec v tehnični dokumentaciji lagal, mar ne?



Hvala, lep primer neodgovornosti naročnika. Izvajalec je naredil, naročnik je pa samo prevzel v uporabo in zadeve pred uporabo ni stestiral.

Dejansko je bil v tem primeru opravljen tudi pregled in primopredajni zapisnik v katerem je bilo navedeno, da je napeljava brezhibna. Tudi tebe bom vprašal, koliko preverjanj vsakega preverjanja bi še zahteval, preden bi bil zadovoljen? 3? 10? 100? Neskončno?

krneki0001 je izjavil:

In točno to jaz že od začetka govorim, samo ti to zavračaš. Odgovoren je v prvi vrsti naročnik.

Naročnik mora ravnata z dolžno skrbnostjo. Če je ravnal ustrezno, potem ne more biti odgovoren za napake ali celo goljufije tretjih oseb.

krneki0001 je izjavil:

On mora po prevzemu od zunanjega izvajalca stestirat vso opremo že zaradi navzkrižja interesov.

Poskrbeti mora za testiranje opreme, ni pa nujno, da jo testira sam. Mimogrede, AJPES je menda najel nekoga tretjega, ki je preverjal varnost. Če je to res, potem navzkrižje interesov odpade.

krneki0001 je izjavil:

Potem mora pa še ugotoviti, da mu ni podizvajalec kakega backdoora vgradil.

Znova: mora poskrbeti za preverbo, ne rabi pa ničesar preverjati sam, če za to ni usposobljen.

Zgodovina sprememb…

  • spremenil: AndrejO ()

AndrejO ::

krneki0001 je izjavil:

AndrejO je izjavil:

Kljub temu pa nisi sposoben doumeti, da ima to svoje vzroke, ki javnosti še niso bili predstavljeni.


Ne, nobenega vzroka ni, da na web server postaviš 60 ključnih baz in jih daš na vpogled celemu svetu.

Če ne bi bilo vzroka, potem te posledice ne bi bilo. As simple as that.

"Obdukcija" vsakršnega incidenta, tudi varnostnega, zahteva določeno mero pedantnosti in predvsem veliko strukture, da se izogne posploševanjem in pristranskosti. To, da se brez podlage v podatkih že razglaša za krivce, je pravzaprav šolski primer pristranskosti, ki si ga lahko privoščijo amaterji in anonimni čvekači, ne pa strokovnjaki, ki poskušajo preprečiti prihodnje ponovitve incidenta.

krneki0001 ::

AndrejO je izjavil:


Invictus je izjavil:

Za pravilno izvedbo in preverbo je odgovoren naročnik... ne pa izvajalec.

Ja, in potem najameš nekoga, do to preveri. Ker si, vsaj po tvoje, kot naročnik še vedno odogovoren in, ker tega nisi znal preveriti sam, naročiš še drugega, da preveri, kaj je naredil prvi. In potem naročiš še tretjega, ker ne veš, kaj je naredil drugi. In potem naročiš četrtega ...


Ampak tebi res ni jasno, da je potrebno preverit produkt, ki ti ga naredi zunanji izvajalec?

Mislim, razumem, da ne zaupaš microsoftu, ker ti w windows 10 podatke krade in si jih vozi na neke svoje serverje.
Ampak da zaupaš pa na besedo nekemu third-party razvijalcu, da ti je naredil zelo kompleksen software za delovanje z ključnimi podatki o vseh prebivalcih ene cele države. In ga ne niti rabiš testirat?

AndrejO je izjavil:

krneki0001 je izjavil:

AndrejO je izjavil:

Kljub temu pa nisi sposoben doumeti, da ima to svoje vzroke, ki javnosti še niso bili predstavljeni.


Ne, nobenega vzroka ni, da na web server postaviš 60 ključnih baz in jih daš na vpogled celemu svetu.

Če ne bi bilo vzroka, potem te posledice ne bi bilo. As simple as that.


In kakšen je vzrok, da daš server za baze podatkov in web server skupaj?

Zgodovina sprememb…

AndrejO ::

krneki0001 je izjavil:

AndrejO je izjavil:


Invictus je izjavil:

Za pravilno izvedbo in preverbo je odgovoren naročnik... ne pa izvajalec.

Ja, in potem najameš nekoga, do to preveri. Ker si, vsaj po tvoje, kot naročnik še vedno odogovoren in, ker tega nisi znal preveriti sam, naročiš še drugega, da preveri, kaj je naredil prvi. In potem naročiš še tretjega, ker ne veš, kaj je naredil drugi. In potem naročiš četrtega ...


Ampak tebi res ni jasno, da je potrebno preverit produkt, ki ti ga naredi zunanji izvajalec?

Mislim, razumem, da ne zaupaš microsoftu, ker ti w windows 10 podatke krade in si jih vozi na neke svoje serverje.
Ampak da zaupaš pa na besedo nekemu third-party razvijalcu, da ti je naredil zelo kompleksen software za delovanje z ključnimi podatki o vseh prebivalcih ene cele države. In ga ne niti rabiš testirat?

V svoji zagretosti si morda spregledal tale del novičke:
Naj še dodamo, da so nam iz AJPES še sporočili, da so "v zadnjem obdobju izvedli več zunanjih varnostnih pregledov vendar nobeden od njih ni odkril tovrstne ranljivosti", ponoven varnostni pregled pa je bil načrtovan za ta oz. naslednji mesec. Prav tako naj bi na AJPES aktivno spremljali delovanje sistemov in večkrat zaznali poskuse nelegitimnih dostopov do podatkov, uspešnih poskusov pa do sedaj niso zaznali.


Neke preglede se očitno opravljalo. Preden sodiš o tem, če so jih opravljali šalabajzerji, ki so zavajali naročnika pregledov, ali pa se je naročalo šalabajzerje brez izkušenj ali pa se sploh ni delalo dejanskega pregleda, temveč se je nadzorovalo nekaj čisto tretjega, bi bilo dobro pridobiti več podatkov.

Seveda pa se lahko odločiš, da od vseh možnih in verjetnih alternativ velja samo ena in edina. Ampak potem več nisi strokovnjak, ki se trudi biti nepristranski, da bi lahko ugotovil vse pomankljivosti, ne glede na to, kje se nahajajo.

SeMiNeSanja ::

Prav želel bi si, da bi Marjan Babič prebral to temo in pojasnil 'odprta vprašanja', katera novinarji niso sposobni povprašat (ker se v te zadeve ne razumejo).

Taka transparentnost bi že v naprej utišala marsikatero natolcevanje.

krneki0001 ::

AndrejO je izjavil:

V svoji zagretosti si morda spregledal tale del novičke:
Naj še dodamo, da so nam iz AJPES še sporočili, da so "v zadnjem obdobju izvedli več zunanjih varnostnih pregledov vendar nobeden od njih ni odkril tovrstne ranljivosti", ponoven varnostni pregled pa je bil načrtovan za ta oz. naslednji mesec. Prav tako naj bi na AJPES aktivno spremljali delovanje sistemov in večkrat zaznali poskuse nelegitimnih dostopov do podatkov, uspešnih poskusov pa do sedaj niso zaznali.


Neke preglede se očitno opravljalo. Preden sodiš o tem, če so jih opravljali šalabajzerji, ki so zavajali naročnika pregledov, ali pa se je naročalo šalabajzerje brez izkušenj ali pa se sploh ni delalo dejanskega pregleda, temveč se je nadzorovalo nekaj čisto tretjega, bi bilo dobro pridobiti več podatkov.


Varnostni pregled je lahko tudi obhod sob s serverji z blokcem v roki in delanjem kljukic.

darkolord ::

Ampak tebi res ni jasno, da je potrebno preverit produkt, ki ti ga naredi zunanji izvajalec?
KAKO ga preveriš?

Če se s tem področjem ne ukvarjaš, potem moraš najeti zunanjega izvajalca, da ti to preveri. Ampak ker je to spet zunanji izvajalec, moraš preveriti njegovo delo in najeti nekoga, ki preveri še tega zunanjega izvajalca. In tako dalje v neskončnost.

Zgodovina sprememb…

  • spremenilo: darkolord ()

SeMiNeSanja ::

Presneto, kako ste se zapičili v samo spletno aplikacijo in primernost ali neprimernost nadzora izvajalca.

Se nikomur ne zdi, da sedi problem še malenkost globlje?
V samem designu rešitve?

Meni namreč ni jasno, zakaj ima user, s katerim dostopa spletna aplikacija do baze sploh dostop do podatkov, kateri niso za javno objavo.
Kaj ni to že fail by design?
Kdo so ti 'revizorji', ki na takšnen faila niso opozorili že ob prvem podatku, ki se je pojavil v bazi, kateri ni za javno objavo.

Zakaj sploh so ti občutljivi podatki v isti bazi? Kot da je danes problem poganjati še eno vzporedno bazo, ki ima zgolj občutljive podatke, do katere pa javni spletni strežnik nima dostopa.
Kdo so ti 'svetovalci', ki so zagotovo odkasirali lepe količine denarja? SDK/AJPES je že od nekdaj bil molzna krava, na kateri so si nekateri prav lepo polnili žepe.
Ko je treba pobrat denar, so vsi polni znanja in poflajštrani z nevem kakšnimi certifikati. Ko je pa pizdarija, se pa vsi poskrijejo v mišje luknje. Tam čakajo, da neurje mine, potem pa spet nadaljujejo z molžo.

Skratka: šalabajzerstvo? DA! Samo ne vemo, čigavo.

AndrejO ::

krneki0001 je izjavil:

AndrejO je izjavil:

V svoji zagretosti si morda spregledal tale del novičke:
Naj še dodamo, da so nam iz AJPES še sporočili, da so "v zadnjem obdobju izvedli več zunanjih varnostnih pregledov vendar nobeden od njih ni odkril tovrstne ranljivosti", ponoven varnostni pregled pa je bil načrtovan za ta oz. naslednji mesec. Prav tako naj bi na AJPES aktivno spremljali delovanje sistemov in večkrat zaznali poskuse nelegitimnih dostopov do podatkov, uspešnih poskusov pa do sedaj niso zaznali.


Neke preglede se očitno opravljalo. Preden sodiš o tem, če so jih opravljali šalabajzerji, ki so zavajali naročnika pregledov, ali pa se je naročalo šalabajzerje brez izkušenj ali pa se sploh ni delalo dejanskega pregleda, temveč se je nadzorovalo nekaj čisto tretjega, bi bilo dobro pridobiti več podatkov.


Varnostni pregled je lahko tudi obhod sob s serverji z blokcem v roki in delanjem kljukic.

Ja, res je. Ampak ali že veš, da je bilo temu res tako? Ker, če ne veš, potem ugibaš.

Ali si sedaj ugotovil, da ni stvar v tem, da je SQL injection amaterska napaka ali v tem kako dober ali slab programer sem, temveč v temu, da je napaka prišla skozi in, da se to v prihodnje več ne sme ponoviti. Pretekle izkušnje kažejo, da najbolje deluje tako, da se najprej identificira napako ali napake, nato pa se jo ali jih odpravi. Pristranskost v procesu pa običajno vodi do napačnih ugotovitev in praktično jamči, da se bo napaka ponovila.

matijadmin ::

Invictus je izjavil:

AndrejO je izjavil:

AndrejO je izjavil:


Če se šef AJPES IT ne zaveda, da ima zadaj zelo občutljive podatke, je sploh zrel za krivdno razrešitev... Kaj šele da jih da na internet...

Kakor, da se ni še nikoli zgodilo, da bi izvajalec v tehnični dokumentaciji lagal, mar ne?

Mater ... sami vsevedni in vsevidni tukaj na kupu. Največji mojster se hvali s spuščanjem virusov v divjino, naslednji po vrsti pa že ve, kaj bo pisalo v poročilu o incidentu.

Vse vam je jasno, krivda je znana, odgovorni so znani in bog ne daj, da se bi slučajno kdo ukvarjal s kakšnim resnim pregledom in ugotavljanjem dejanskega stanja in dejanskih vzrokov za zajeb.

kaj tebi ni jasno? Za pravilno izvedbo in preverbo je odgovoren naročnik... ne pa izvajalec.

Samo naročnik je za kuverto lepo podpisal prevzemni zapisnik. Ali pa samo zaradi svoje lenobe.

Ni res. V Novi Gorici so v bolnišnici napeljali narobe smejalni plin namesto kisika in celo ponaredili meritve. Odgovarjal ni ne zdravnik, ki je zdravil niti odgovorna osebva, ki je izvedla razpis. Izvajalci so odgovarjali, ker so nekompetentno pristopili in goljufivo ter orgozujoce ponarejali meritve. Pri el. napeljavah je stanje često podobno. Tudi mene so nekoč v službvi nasrali z meritvami, ampak so dovolj pobiksali, da nekaj ni delovalo. Potem sem pa odkril. Sicer bi moral verjeti meritvam!

P. S.: Bile so smrtne žrtve. Ns odtujeni podatki.

SeMiNeSanja je izjavil:

Presneto, kako ste se zapičili v samo spletno aplikacijo in primernost ali neprimernost nadzora izvajalca.

Se nikomur ne zdi, da sedi problem še malenkost globlje?
V samem designu rešitve?

Meni namreč ni jasno, zakaj ima user, s katerim dostopa spletna aplikacija do baze sploh dostop do podatkov, kateri niso za javno objavo.
Kaj ni to že fail by design?
Kdo so ti 'revizorji', ki na takšnen faila niso opozorili že ob prvem podatku, ki se je pojavil v bazi, kateri ni za javno objavo.

Zakaj sploh so ti občutljivi podatki v isti bazi? Kot da je danes problem poganjati še eno vzporedno bazo, ki ima zgolj občutljive podatke, do katere pa javni spletni strežnik nima dostopa.
Kdo so ti 'svetovalci', ki so zagotovo odkasirali lepe količine denarja? SDK/AJPES je že od nekdaj bil molzna krava, na kateri so si nekateri prav lepo polnili žepe.
Ko je treba pobrat denar, so vsi polni znanja in poflajštrani z nevem kakšnimi certifikati. Ko je pa pizdarija, se pa vsi poskrijejo v mišje luknje. Tam čakajo, da neurje mine, potem pa spet nadaljujejo z molžo.

Skratka: šalabajzerstvo? DA! Samo ne vemo, čigavo.

Spet, dizajn mora nekdo preveriti. Mar ne misliš, da to zmore ali nemara celo morajo poceti kar po vsej sili ljudje v hisi? So dovolj kompetentni? Sploh. Imajo ta profil ljudi v ekipi? Nihcne ne pravi, da tega ne smejo zaupati zunanjim.
Vrnite nam techno!

Zgodovina sprememb…

krneki0001 ::

SeMiNeSanja je izjavil:

Presneto, kako ste se zapičili v samo spletno aplikacijo in primernost ali neprimernost nadzora izvajalca.

Se nikomur ne zdi, da sedi problem še malenkost globlje?
V samem designu rešitve?

Meni namreč ni jasno, zakaj ima user, s katerim dostopa spletna aplikacija do baze sploh dostop do podatkov, kateri niso za javno objavo.
Kaj ni to že fail by design?
Kdo so ti 'revizorji', ki na takšnen faila niso opozorili že ob prvem podatku, ki se je pojavil v bazi, kateri ni za javno objavo.

Zakaj sploh so ti občutljivi podatki v isti bazi? Kot da je danes problem poganjati še eno vzporedno bazo, ki ima zgolj občutljive podatke, do katere pa javni spletni strežnik nima dostopa.
Kdo so ti 'svetovalci', ki so zagotovo odkasirali lepe količine denarja? SDK/AJPES je že od nekdaj bil molzna krava, na kateri so si nekateri prav lepo polnili žepe.
Ko je treba pobrat denar, so vsi polni znanja in poflajštrani z nevem kakšnimi certifikati. Ko je pa pizdarija, se pa vsi poskrijejo v mišje luknje. Tam čakajo, da neurje mine, potem pa spet nadaljujejo z molžo.

Skratka: šalabajzerstvo? DA! Samo ne vemo, čigavo.


Naročnik je samo en - AJPES, torej so šalabajtzerji tukaj samo in izključno oni.

krneki0001 ::

darkolord je izjavil:

Če se s tem področjem ne ukvarjaš, potem moraš najeti zunanjega izvajalca, da ti to preveri. Ampak ker je to spet zunanji izvajalec, moraš preveriti njegovo delo in najeti nekoga, ki preveri še tega zunanjega izvajalca. In tako dalje v neskončnost.


Ajpes ima IT, ki se ukvarja z bazami podatkov. Saj je to njihova primarna dejavnost, da skrbijo tudi za vse možne registre v bazah:
- poslovni register slovenije - PRS
- Evropski poslovni register
- register transakcijskih računov (RTRR)
- Register zastavnih pravic na premičninah
- Protestirane menice
- Prostovoljske organizacije in organizacije s prostovoljskim programom
- Zavezanci za informacije javnega značaja
- Evidenca digitalnih potrdil
- Osebno dopolnilno delo
- Proizvajalci električne energije

Se ti zdi, da to vse lahko vzdržuješ brez kadrov?

SeMiNeSanja ::

matijadmin je izjavil:


Spet, dizajn mora nekdo preveriti. Mar ne misliš, da to zmore ali nemara celo morajo poceti kar po vsej sili ljudje v hisi? So dovolj kompetentni? Sploh. Imajo ta profil ljudi v ekipi? Nihcne ne pravi, da tega ne smejo zaupati zunanjim.

Sploh nisem trdil, da morajo imeti (izključno) lastne revizorje. Prej nasprotno - notranji revizor je lahko pristranski, se ne želi zameriti kolegu in posledično ne zažene tak vik in krik, kot bi ga moral.

Zunanji revizor je (teoretično) bolj nepristranski. Ker pa je v igri denar, revizor pa bi rad še kdaj delal dobro plačano revizijo za naročnika, bo hitro v skušnjavi, da bo 'ubogljiv' in sledil 'smernicam', ki mu jih bo podal naročnik ("to bomo takointako porihtali, ne rabiš tega omenjat v poročilu,...").
Torej lahko pozabiš na neodvisnost revizije.

Vprašanje je, če je v SLO sploh možna povsem nepristranska revizija. Vsak nekoga pozna, noben se nobenemu noče zameriti, vsi se bojijo za svoj posel.

No, potem pa je še vprašanje, kako sposobni sploh so ti revizorji. Ali so samo 'napiflani', da so si nagrebli certifikate in diplome. Veliko je 'strokovnjakov', ki so tako "naštudirani", da so čisto zgubili stik z realnim življenjem. Ti pride tip z doktoratom, pa ne vidi faila, na katerega te opozarja tehnik že mesece....

krneki0001 ::

SeMiNeSanja je izjavil:

No, potem pa je še vprašanje, kako sposobni sploh so ti revizorji. Ali so samo 'napiflani', da so si nagrebli certifikate in diplome. Veliko je 'strokovnjakov', ki so tako "naštudirani", da so čisto zgubili stik z realnim življenjem. Ti pride tip z doktoratom, pa ne vidi faila, na katerega te opozarja tehnik že mesece....


Ali pa drugače - prideta 2 mulčka v oblekah, spedenana in hočeta vso mojo programsko kodo naprintano. Sem skoraj umrl od smeha.

Invictus ::

krneki0001 je izjavil:


Ali pa drugače - prideta 2 mulčka v oblekah, spedenana in hočeta vso mojo programsko kodo naprintano. Sem skoraj umrl od smeha.

Zakaj pa jima nisi. Par fasciklov kode bi jima prav prišel namesto fitnesa ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

matijadmin ::

Imamo že novo 'afero' zlorabe CRP v medijih. Odvetniki imajo prav tako podlago za vpoglede v primerih, ki jih zastopajo, a nekateri nudijo očitno zgolj vpoglede (v CRP, da ne bo pomote) tujim strankam. :))
Vrnite nam techno!

bbbbbb2015 ::

thramos je izjavil:

poweroff je izjavil:

Seveda.

Je direktor ravnal malomarno?

Po moje ne, problem je, da seveda ni imel dovolj znanja, je pa v okviru svojega znanja naredil vse, kar je vedel in znal.


Neznanje ni izgovor, ali kako že gre.

Verjetno bi moral v takšnem primeru direktor ocenit, da zaradi svojega neznanja ni sposoben za upravljanje razvoja aplikacije, ki operira z res občutljivimi podatki.


Natanko tako. Tega je v Sloveniji preveč. Neznalcev, ki se spoznajo na vse, še na najbolj občutljive aplikacije. Ne bom naprej tega komentiral, tujina ima zdravilo za ta kronični problem slovenskih firm.

bbbbbb2015 ::

AndrejO je izjavil:

krneki0001 je izjavil:


Oprosti, ampak ajpes so šalabajzarji.

Težke besede. Ampak to "šalabajzerstvo" je potrebno argumentirati, ne samo razpredati o temu, kaj vse naredijo banke, da jim oprostiš "šalabajzerstvo", potem ko še vedno zajebejo po celi črti.


AJPES so šalabajzerji in ne vem, kdo jim dela softver. Taki so že od samega začetka, tudi ko so imeli še "nov" sistem. Njihovo jamranje, da se ne vlaga "dovolj" v IT je navadno sranje.

To sem jaz spoznal, ko sem želel kaj digitalno podpisati, kaj oddati. Njihove usrane podpisne komponente niso delale iz 100 razlogov. Prestar browser, prenov browser, nepodprt browser, interna napaka (HTTP 500), podpisna komponenta dela samo na Windows XP, podpisna komponenta ne podpira 64-bitnih windowsev, ma tu je sranja kolikor češ. Eno leto registriram certifikat, naslednje leto ne morem nič podpisati. Ko vse zrihtam, crkne podpisovanje, kličem na AJPES. Nekaj podelajo, zopet dela.

Imel sem ene virtualne Windows XP, samo zaradi oddajanja bilanc. Samo za to, nič popravkov, nič. Naslednjo leto zalaufam to, crkne takoj. Podpisna komponenta se nekaj nadgradi, ter crkne vse. Potem sem ugotovil, da so nmjihopvi sistemi usrani in nima smisla truditi se. Ko pride čas za oddajo bilanc, potem nekaj spravimo skup. Nimam pa več posvečene mašine za oddajo bilanc, ker tudi to crkuje.

Tudi enkrat ko sem odpiral firmo na AJPES (eVem) se mi je ženska pritožila, ker sem imel spremembo družbeniške pogodbe, da je celo pogodbo morala na novo prekucati. Pa podpisovanje je njej crknilo, tak da sem naslednji dan prišel po papirje.

Ne vem, če so se kaj spremenili, če imajo SHA2 algoritme, če so SSL zakrpali, če podpirajo vse normalne brskalnike, če jim podpisovanje dela, kot je treba.

To bomo videli, ko bo treba oddati bilance, ter bo zopet pizdari**. Niti eno leto, pa imam firmo od leta 2002, ni šlo vse kot je treba.

Iz vsega naštetega, pa pol ali 3/4 sem zaradi že itak predolge zgodbe izpustil - ti kot razvijalec, z 20 leti delovne dobe v razvoju softvera in čigar produkti so v uporabi vsaj v 10 državah EU in Kanadi, ti kvalificirano zatrdim:

AJPES == šalabajzerji

Zgodovina sprememb…

technolog ::

MOJDENAR IT d.o.o

Slisi se kot eno podjetje, ki se ga sosed Jaka spomni in ustanovi v enem popoldnevu.

jype ::

technolog> Slisi se kot eno podjetje, ki se ga sosed Jaka spomni in ustanovi v enem popoldnevu.

S tem ni nič narobe, narobe je, da je tisti, ki je rešitev implementiral, to storil narobe, da je nadzor, ki se je vršil, takšno napako spregledal, ter da bo po incidentu očitno precej dolgo časa trajalo, da se ugotovi dejstva.

Trenutno ne moremo reči še ničesar drugega.

AndrejO ::

technolog je izjavil:

MOJDENAR IT d.o.o

Slisi se kot eno podjetje, ki se ga sosed Jaka spomni in ustanovi v enem popoldnevu.

Menda imajo 10 let izkušenj. Kar v Sloveniji pomeni najmanj to, da imajo naročnike, ki plačujejo.

Sicer je povezavo do referenc podala že mojca, ampak morda ne bi škodilo, če jo kar celo prilepim še sem.

  Agencija Republike Slovenije za javnopravne evidence in storitve
  ALTA Invest d.o.o. in Alta Skladi d.o.o.
  AXIS d.o.o.
  Banka Koper d.d.
  Družba za avtoceste v Republiki Sloveniji d.d.
  DZS, trgovina in založba, d.d.
  GBD Gorenjska borzno posredniška družba d.d.
  Globus Marine International d.o.o. 
  Inštitut za narodnostna vprašanja
  IRP inštitut za raziskovanje podjetništva
  JAPTI - Javna agencija RS za podjetništvo in tuje investicije
  Komunaprojekt d.o.o.
  Mednarodna ustanova - fundacija za razminiranje
  Ministrstvo za finance, Uprava RS za javna plačila
  Nacionalna finančna družba d.o.o.
  Nova Ljubljanska Banka d.d.
  Observer Genion Clipping d.o.o.
  Optima Sistemi d.o.o.
  Poteza d.d.
  Provest, investicije in storitve d.o.o.
  SOVA družba za ekonomske, organizacijske in knjigovodske storitve,  d.o.o.
  Stanovanjski sklad Republike Slovenije, javni sklad
  Statistični urad Republike Slovenije
  Triglav družba za upravljanje d.o.o.
  Unicredit Banka Slovenija d.d. 
  Univerza v Ljubljani, Fakulteta za gradbeništvo in geodezijo


Pestro. Ima morda kdo preveč časa naslednji vikend?

krneki0001 ::

Za NLB niso nič delal. Nikoli.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369131090 (96323) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181106 (63660) jukoz
»

Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )

Oddelek: Novice / NWO
13953128 (43265) fujtajksel
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8432403 (22710) Furbo

Več podobnih tem