» »

Naroči me na upravno enoto

1
2
3 4

tony1 ::

Dajmo probat ne dramatizirat, no. Fant je le pravno neizobražen, saj se mu lahko lepo pove, da storjeno ustreza KD nezakonitega vstopa v informacijski sistem, da bo vedel za drugič.

Grožnje s peklom in moralnimi normami so - pri tako zanič narejenem projektu, ki se očitno norčuje iz javnega denarja (tudi če zanemarimo da je vsaj 10-20x predrag) - le bob ob steno.

V-i-p ::

Bravo s-t in avtor novice ;).
https://siol.net/novice/slovenija/na-mi...
Kar lahko storiš danes, ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

Zgodovina sprememb…

  • spremenil: V-i-p ()

tony1 ::

"Na ministrstvu poudarjajo, da predmet javnega naročila, ki so ga izvedli za upravne enote, ni bila konkretna aplikacija, ampak izvajanje celovite storitve naročanja slovenskih in tujih državljanov na storitve upravnih enot. Ministrstvo ni lastnik aplikacije, za njeno uporabo ne plačuje nikakršne licenčnine, aplikacija pa ne gostuje na državni infrastrukturi."

Ob vseh milijonih, porabljenih za DRO? Čas bi bil, da minister odstopi že zato, ker ne ve, kaj govori in počne. Nesposoben je.

Karamelo ::

a so to tile? link

a so resno dal delat tem, ki imajo tako spletno stran?

Saul Goodman ::

poweroff je izjavil:

ORTUS INC., podjetje za svetovanje in marketing. Marketing, right!

V PRS je kot lastnik in direktor vpisana oseba A. H. iz Vodic, ki je poslovno udeležena tudi v temle klicnem centru: https://ortusicall-group.si/en/about-us/

Oseba z istim imenom in priimkom pa je leta 2018 kandidirala tudi na lokalnih volitvah v Ljubljani na volitvah za Četrtno skupnost Šentvid: https://www.ljubljana.si/assets/Uploads...

Je pa res, da gre lahko samo za isto ime in priimek in ne za isto osebo, čeprav Vodice in Šentvid sta... blizu.

Saul Goodman je izjavil:

hvala za novico, 25k rezervacij spumpanih v offline bazo. :) moram preverit, če odtekajo tudi podatki moje družine.

ne jokat `DoC, to so javno dostopne informacije.

To se ne dela. Preprosto je nespodobno in predvsem nezakonito. Saj se zavedaš, da si s tem prekršil kup zakonov, ne? Jaz osebno sem mnenja, da je take stvari sicer dobro arhivirati, ampak to pomeni, da se zajame zaslonski posnetek ali dva, ne pa celotne baze. Pa da se potem občutljive podatke anonimizira. S tem je namen arhiviranja dosežen (če je na prime potrebno za dokazovanje, da je ranljivost res obstajala), storjena škoda pa je resnično minimalna.

To kar si ti naredil je pa skrajno zavržno dejanje.


Lol, kak pek. tolk, da vemo - če zajameš max 2 zaslonska posnetka (to arbitrarno številko je postavil dr. matthai) si kosher in security researcher, če s pomočjo članka, ki ti je dal točna navodila kako do teh podatkov priti, shraniš javno objavljene informacije v txt fajl, si pa kriminalec? haha.

scraping je legalen. kaj narediš s temi podatki je pa druga stvar. jaz sem jih že zbrisal, če boš sedaj mirneje spal. ;-)

dejstvo ostaja, da je te podatke potrebno obravnavati kot leak, ki že kroži po internetu. da se ne bo kak deležnik v tej zgodbi v prihodnjih dneh sprenevedal, da do zlorab ne bo prišlo.

Zgodovina sprememb…

6bt9hmDwY ::

Samo to je res greznica...

Prvič, da kot resni programerji (morali bi že biti pri takšnem projektu) ne delajo s parametriziranimi ukazi in
drugič, da razvojno orodje na to ne-prakso vsaj ne opozarja, če že ne zavrača.

Sql injection exploit res datira na čas pred dinozavri, ko je t-rex s svojima sprednjima nožicama tipkal.
Pa da celo ajpes tudi...

Ahim ::

eventyrer je izjavil:

Tako kot ti so nekaj predvidevali tudi avtorji tega obrazca (v letu 2022 pa ja nihče ne bo probal sql injectiona naredit no, to pa je ja že avtomatično rešeno z modernimi mehanizmi no..ne bomo niti probali če ta nevarnost obstaja)

Dokler razni kualli zacetnikom po forumih razlagajo, da so "moderni mehanizmi" itak smeti, da taprav desci pisarijo svoje umotvore direktno (po moznosti s kaksnim printf() v raw SQL :)) ) se bodo take stavri seveda se naprej dogajale ...

Koliksne so pa kazni v primeru izpostavitve podatkov enega uporabnika storitve? Kaksne potem pomnozene s stevilom uporabnikov? Upam, da firma crkne. Salabazerji, ki so tam delali, bodo itak raje v svojih CVjih napisali da so zdaj nekaj mesecev zlagali jogurte s palet v Sparu, ne pa da so pri teh kekcih "programirali".

immortan ::

upam da čimprej porihtajo! se zgodi.

chucki ::

Na 24ur ste na prvi strani....hehe
AMD Ryzen 5 5600/NZXT Kraken X62/Asus ROG Crosshair VI hero/DDR4 32gb/1TB SSD
Gigabyte RTX 3060 Ti /SB Z/NZXT H440 case/ Asus ROG PG248Q
Samsung Q7FN65 + ASUS TUF A17 with RTX 3070 Ti

poweroff ::

Saul Goodman je izjavil:

Lol, kak pek. tolk, da vemo - če zajameš max 2 zaslonska posnetka (to arbitrarno številko je postavil dr. matthai) si kosher in security researcher, če s pomočjo članka, ki ti je dal točna navodila kako do teh podatkov priti, shraniš javno objavljene informacije v txt fajl, si pa kriminalec? haha.

Jaz nič ne pravim kaj je legalno. Pravim pa, da če delaš pentest, da se moraš potruditi narediti kar najmanjši obseg potencialne škode. Da stegneš dol celo bazo, pač ni minimalen možen poseg.

Podobno kot če bi delal pentest banke in ugotovil, da se da vlomiti v trezor. Pač, tam pustiš listek s sporočilom, ne pa da pobereš ves denar in celo posesaš vse drobne kovančke iz trezorja.

Ne glede ali je nekaj legalno ali ne, se pač določenih stvari ne dela.

Drugače pa ob bok debati ali so bili prizadeti o zadevi obveščeni...

Jaz sem mnenja, da je pred objavo prizadete načeloma treba obvestiti in da morajo imeti dovolj časa, da zadevo popravijo. Če ne se zgodi to, kar se nekateri nespametno hvalijo, da se je zgodilo - nepooblaščene osebe si pretakajo osebne podatke na svoje računalnike. In potem je škoda bistveno večja, kot je potrebno.

Novica je bila objavljena danes ob 12:56. Iz zaslonskega posnetka API-ja pa sledi, da je bil zapis ustvarjen "2022-01-07 10:20:25"... zaslonski posnetek je bil verjetno narejen enkrat v tem vmesnem času. Časovno okno je 2 uri in pol. Ali je to dovolj časa, pa naj vsak sam presodi.
sudo poweroff

garamond ::

poweroff je izjavil:

[...]Jaz sem mnenja, da je pred objavo prizadete načeloma treba obvestiti in da morajo imeti dovolj časa, da zadevo popravijo. [...]
Možno da si takega mnenja. Zagotovo pa nisi takega ravnanja.

Ko je bila objavljena novica o shekani strani politične stranke si napisal:

poweroff je izjavil:

[...]zato tudi nisem čakal in taktiziral.[...]
Res je, da takrat ni šlo za osebne podatke. Bi se pa dalo (seveda nelegalno) z lahkoto ranljivost izkoristiti za kakšne druge mahinacije.

Izgleda da (ponovno) ni nihče dal dovolj časa za odpravo ranljivosti, kar se mi zdi izrazito neprofesionalno s strani Slo-Tech. Ali lahko še vedno resno jemljem članke, ki jih piše(jo) N/A? Vprašanje bo s 3. tako novico postalo retorično.
A parody of extremism is impossible to differentiate from sincere extremism.

perci ::

tony1 je izjavil:

"Na ministrstvu poudarjajo, da predmet javnega naročila, ki so ga izvedli za upravne enote, ni bila konkretna aplikacija, ampak izvajanje celovite storitve naročanja slovenskih in tujih državljanov na storitve upravnih enot. Ministrstvo ni lastnik aplikacije, za njeno uporabo ne plačuje nikakršne licenčnine, aplikacija pa ne gostuje na državni infrastrukturi."

Ob vseh milijonih, porabljenih za DRO? Čas bi bil, da minister odstopi že zato, ker ne ve, kaj govori in počne. Nesposoben je.

Škoda, da nisi prebral celotne novice. Tam piše, da so na mju naročili celovito storitev izvajanja naročanja. Torej, telefone za naročanje (če se spomnite, se spomladi ni dalo priklicati upravne enote na telefon) dvigujejo zaposleni iz tega Ortusa in naročajo ljudi. Hkrati imajo pa se spletno aplikacijo za naročanje. Predvidevam, da ta operativa odnese večji del denarja. Da pa aplikacija ni na DRO, je pa edino prav, ker takega crapa se pač ne daje gor.

poweroff ::

garamond je izjavil:

poweroff je izjavil:

[...]Jaz sem mnenja, da je pred objavo prizadete načeloma treba obvestiti in da morajo imeti dovolj časa, da zadevo popravijo. [...]
Možno da si takega mnenja. Zagotovo pa nisi takega ravnanja.

Ko je bila objavljena novica o shekani strani politične stranke si napisal:

poweroff je izjavil:

[...]zato tudi nisem čakal in taktiziral.[...]
Res je, da takrat ni šlo za osebne podatke. Bi se pa dalo (seveda nelegalno) z lahkoto ranljivost izkoristiti za kakšne druge mahinacije.

Res je, vendar so pri teh stvareh pomembne podrobnosti.
Hack, ki je omogočal nalaganje pornografije na SDS.si je bil na strani prisoten 10+ let nazaj. V času odkritja nalaganje vsebin ni bilo več mogoče, oziroma že 10 let ni bilo mogoče nalaganje poljubnih vsebin. Verjetno je nek update vmes zaprl luknjo. In ne, ne bi se dalo izkoristiti za kakšne mahinacije. Razen, če ti veš kaj, kar jaz ne vem (povsem dopuščam to možnost).

Po drugi strani sem pa Novo24 večkrat obvestil o varnostnih težavah, jim napisal da naj si zamenjajo gesla (ker bi se dalo iz hashev reverzno ugotoviti originalna gesla) in naj ne uporabljajo istih gesel za različne storitve. Za kar me je nekaj mojih levičarskih znancev privatno tudi kritiziralo. Pa Nova24 tudi ni, če se tako izrazim - moja intimna opcija. Ampak to, da so bili tam ogroženi osebni podatki, se mi zdi bolj pomembno kot neka politična razhajanja.
sudo poweroff

tony1 ::

perci je izjavil:

tony1 je izjavil:

"Na ministrstvu poudarjajo, da predmet javnega naročila, ki so ga izvedli za upravne enote, ni bila konkretna aplikacija, ampak izvajanje celovite storitve naročanja slovenskih in tujih državljanov na storitve upravnih enot. Ministrstvo ni lastnik aplikacije, za njeno uporabo ne plačuje nikakršne licenčnine, aplikacija pa ne gostuje na državni infrastrukturi."

Ob vseh milijonih, porabljenih za DRO? Čas bi bil, da minister odstopi že zato, ker ne ve, kaj govori in počne. Nesposoben je.

Škoda, da nisi prebral celotne novice. Tam piše, da so na mju naročili celovito storitev izvajanja naročanja. Torej, telefone za naročanje (če se spomnite, se spomladi ni dalo priklicati upravne enote na telefon) dvigujejo zaposleni iz tega Ortusa in naročajo ljudi. Hkrati imajo pa se spletno aplikacijo za naročanje. Predvidevam, da ta operativa odnese večji del denarja. Da pa aplikacija ni na DRO, je pa edino prav, ker takega crapa se pač ne daje gor.


Torej je znesek 300 jurjev cena vsega, tudi dvigovanja telefonov? No, vsaj cenovno se to zdi bolj razumno. OK.

Ampak nečesa vseeno ne razumem: luknja od aplikacije je preveliko sranje, da bi državni IT sploh kaj hotel imeti z njo (da je spletna stran poddomena privat firme je smešno), je pa ta po drugi strani dovolj dobra, da ji državljani zaupamo naše osebne podatke? Tle nekaj ne štima...

Ales ::

tony1 je izjavil:

... Ampak nečesa vseeno ne razumem: luknja od aplikacije je preveliko sranje, da bi državni IT sploh kaj hotel imeti z njo (da je spletna stran poddomena privat firme je smešno), je pa ta po drugi strani dovolj dobra, da ji državljani zaupamo naše osebne podatke? Tle nekaj ne štima...

Kdo pravi, da je dovolj dobra?

tony1 ::

Ne samo, da ni dovolj dobra za DRO, nikoli ne bi sploh smela iti v produkcijo.

Phantomeye ::

MrStein je izjavil:

Phantomeye je izjavil:

stropy je izjavil:


Saj lahko opravljaš storitve preko upravne enote, samo zrihtat si moraš digitalno potrdilo?


Saj to vam pravim, v vsakem primeru rabiš iti na upravno enoto. Za certifikat ali za si-pass. To so stvari, ki bi jih lahko zrihtali na daljavo.

Kako naj vedo, da si to res ti?


zdaj ko smo v obdobju mask, če pošljem osebo, ki je po strukturi podobna meni, z masko na faci in z mojim osebnim dokumentom, na upravno enoto, kako bo tista teta tam vedla, da to nisem jaz?

V-i-p ::

tony1 je izjavil:

Ampak nečesa vseeno ne razumem: luknja od aplikacije je preveliko sranje, da bi državni IT sploh kaj hotel imeti z njo (da je spletna stran poddomena privat firme je smešno), je pa ta po drugi strani dovolj dobra, da ji državljani zaupamo naše osebne podatke? Tle nekaj ne štima...

Točno na to sem pomislil, ko sem prvič pogledal zadevo. Brez heca, spomnil sem se na to, kako sem nekemu lokalnemu društvu postavil (svojo prvo) spletno stran (več kot 20 let nazaj) kar na www2.arnes.si/~user/drustvo/ in sem bil smrkavc čisto ponosen =). Ampak leta 2022 in to naročanje na UE? WTF?!??
Kar lahko storiš danes, ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

zee ::

Debilna ne-rešitev. Zakaj je sploh potrebno za vsako sranje na UE? Moderen spletni portal, ki se pravilno zrendra na kateremkoli modernem brskalniku, neodvisno od operacijskega sistema, kjer lahko davkoplačevalci urejajo formalizme.

Kakšna glava bi morala odleteti zaradi takšnih zajebov, začenši z ministrom za "digitalizacijo". Fuj.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

FireSnake ::

misek je izjavil:

Mene res zanima, kaj si zdaj mislijo programerji, ki so ustvarili to čudo. A se kaj sekirajo? :|


Bi rekel, da ja.
Verjetno so pa edini.

zee je izjavil:

Kakšna glava bi morala odleteti zaradi takšnih zajebov, začenši z ministrom za "digitalizacijo". Fuj.


Končno še nekdo drug, da samo jaz ne trobim tega.
Poglej in se nasmej: vicmaher.si

Zgodovina sprememb…

poweroff ::

Ne razumem zakaj bi morala glava odleteti zatadi take malenkosti... ko pa zaradi veliko večjih stvari ne odleti niti nohtek na roki.:))
sudo poweroff

hruske ::

zee je izjavil:

Debilna ne-rešitev. Zakaj je sploh potrebno za vsako sranje na UE? Moderen spletni portal, ki se pravilno zrendra na kateremkoli modernem brskalniku, neodvisno od operacijskega sistema, kjer lahko davkoplačevalci urejajo formalizme.

Kakšna glava bi morala odleteti zaradi takšnih zajebov, začenši z ministrom za "digitalizacijo". Fuj.


Pa saj večino stvari ti že omogoča euprava. Razen seveda osebnih dokumentov, kjer te rabi nekdo videt osebno ...
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

hruske ::

perci je izjavil:

tony1 je izjavil:

"Na ministrstvu poudarjajo, da predmet javnega naročila, ki so ga izvedli za upravne enote, ni bila konkretna aplikacija, ampak izvajanje celovite storitve naročanja slovenskih in tujih državljanov na storitve upravnih enot. Ministrstvo ni lastnik aplikacije, za njeno uporabo ne plačuje nikakršne licenčnine, aplikacija pa ne gostuje na državni infrastrukturi."

Ob vseh milijonih, porabljenih za DRO? Čas bi bil, da minister odstopi že zato, ker ne ve, kaj govori in počne. Nesposoben je.

Škoda, da nisi prebral celotne novice. Tam piše, da so na mju naročili celovito storitev izvajanja naročanja. Torej, telefone za naročanje (če se spomnite, se spomladi ni dalo priklicati upravne enote na telefon) dvigujejo zaposleni iz tega Ortusa in naročajo ljudi. Hkrati imajo pa se spletno aplikacijo za naročanje. Predvidevam, da ta operativa odnese večji del denarja. Da pa aplikacija ni na DRO, je pa edino prav, ker takega crapa se pač ne daje gor.


A bi se dalo dobiti tehnično ustrezno in v skladu z modernimi smernicami razvoja in varovanja osebnih podatkov celovito storitev naročanja za primarno zdravstvo? Tudi oni so kar težki za priklicat na telefon, na maile pa tudi rečejo, da se ne bojo oglašali, če jim ga pošlješ izven delovnega časa ... (?!?!)
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

mitja ::

eventyrer je izjavil:

v novici ni navedeno da je bilokdo obvestil izvajalca da bi napako odpravili pred objavo novice. Zgolj napisali ste da ste se s tem igrali in se delali pametne, ne pa da je bilokdo kakorkoli ukrepal da bi se napako odpravilo pred objavo novice.

Kar je hudo sporno, še mnogo bolj sporno kot to da se je napaka sploh pojavila.


Seveda zatorej povsem razumem zakaj se pod novico nihče ni upal podpisati.


Meni je kristalno jasno zakaj ni nihce podpisan... spomnite se primera, ko je nekdo, ki je uspel vdreti v eno od bank v Sloveniji, o tem najprej obvestil banko. Kaj se mu je zgodilo? Odvzem prostosti (zapor) in ostalo kar sodi zraven.

Varnostne luknje so in bodo. Seveda ne odobravam takih osnovnih napak. To kar so "programerji" naredili s tem obrazcem, je milo rečeno osnovnošolski peskovnik.

Pac, moje mnenje je, da se ljudje bojijo in je bolje anonimno obvestiti javnost in hkrati izvajalca storitve, da se vsaj nekako zascitis.
Nobody is perfect! But who wants to be nobody?

poweroff ::

Printistem vdoru v NLB je bila zgodba hudo drugačna...
sudo poweroff

boolsheat ::

eventyrer je izjavil:

Baja je izjavil:

Te dni pa smo dobili obvestilo o morebitni varnostni luknji v sistemu. Kot nam je pojasnil naš vir, je aplikacija očitno ranljiva na vrivanje SQL stavkov (SQL injection).


Sicer res ne piše ampak jaz verjamem da so bili obveščeni.


Verjamemo lahko tudi v božička ampak v stavku ki si ga citiral piše samo da je bil avtor novice "obveščen" o tej napaki. Ne pa tudi skrbnik tega sistema.

Po objavi novice je nekdo očitno prekinil povezavo do sistema. Lahko da je nekdo prebral novico na slo-techu in zapaničaril lahko pa da se je našel idiot ki je začel delat neumnosti po sistemu ker je en večji idiot objavil novico preden bi obvestil skrbnika sistema.

ne vemo......se pa imamo seveda možnost zgražati tako kot se je zgražal avtor novice saj tudi on ni povsem opravil svojega dela in nam podal vseh informacij (če je bil skrbnik obveščen, kar je osnovna higiena pri objavi takih novic).


Glede na podatke o dobrih praksah, sem prepričan, da je ST (Oz. avtor novice), pred 30 do 45. dnevi obvestil skrbnike sistema in jim razkril težave in jim dal možnost, da jo odpravijo v tem času, takšna je dobra praksa, ST se je zagotovo drži. A ne?

perci ::

tony1 je izjavil:

perci je izjavil:

tony1 je izjavil:

"Na ministrstvu poudarjajo, da predmet javnega naročila, ki so ga izvedli za upravne enote, ni bila konkretna aplikacija, ampak izvajanje celovite storitve naročanja slovenskih in tujih državljanov na storitve upravnih enot. Ministrstvo ni lastnik aplikacije, za njeno uporabo ne plačuje nikakršne licenčnine, aplikacija pa ne gostuje na državni infrastrukturi."

Ob vseh milijonih, porabljenih za DRO? Čas bi bil, da minister odstopi že zato, ker ne ve, kaj govori in počne. Nesposoben je.

Škoda, da nisi prebral celotne novice. Tam piše, da so na mju naročili celovito storitev izvajanja naročanja. Torej, telefone za naročanje (če se spomnite, se spomladi ni dalo priklicati upravne enote na telefon) dvigujejo zaposleni iz tega Ortusa in naročajo ljudi. Hkrati imajo pa se spletno aplikacijo za naročanje. Predvidevam, da ta operativa odnese večji del denarja. Da pa aplikacija ni na DRO, je pa edino prav, ker takega crapa se pač ne daje gor.


Torej je znesek 300 jurjev cena vsega, tudi dvigovanja telefonov? No, vsaj cenovno se to zdi bolj razumno. OK.

Ampak nečesa vseeno ne razumem: luknja od aplikacije je preveliko sranje, da bi državni IT sploh kaj hotel imeti z njo (da je spletna stran poddomena privat firme je smešno), je pa ta po drugi strani dovolj dobra, da ji državljani zaupamo naše osebne podatke? Tle nekaj ne štima...

Se strinjam.

Aplikacije, ki gostujejo na državni infrastrukturi gredo čez proces, kjer se naredi varnostni pregled kode.

Tukaj pa verjetno naročnik sploh ni nikogar nič vprašal. Ker je pač naročil celovito storitev in računal, da bo storitev proper. Sem pa skoraj prepričan, da ortus tega dela ne bo dobil plačanega in da bo tudi kak penal zaracunan. Upam vsaj.

Puubec ::

Tole bom samo odložil tukaj, ker se že omenja ja DRO
Revizijsko poročilo

Zgodovina sprememb…

  • spremenil: Puubec ()

zee ::

Puubec je izjavil:

Tole bom samo odložil tukaj, ker se že omenja ja DRO
Revizijsko poročilo


A prav razumem, da je DRO namensko razvita rešitev samo za MJU? A komercialni ponudniki tipa AWS/Azure/GCP/... niso dovolj dobri, čeprav imajo vse ali večji del rešitev že na voljo? Kristus no.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

hruske ::

Povedano zelo poenostavljeno: MJU je imel 12 mio sredstev iz EU, ki niso povsem vedeli kako jih porabit, pa so se odločili, da je najlažji način, da v enem velikem naročilu kupijo HW in licence.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

poweroff ::

To! Sinergijski učinki so pa blazni. HW in SW proizvajalci so iz tujine, je pa res, da so svoj delček dobili vsaj lokalni preprodajalci.

To je seveda tipični odziv gamblerja na "free moneyz". Če pijanček ali gambler najde denar na cesti, ga seveda ne bo vložil v poplačilo dolga, nakup nove obleke ali popravilo zob... seveda ne. Gre za izredni prihodek, ki ga je potrebno takoj zakockati ali zapiti. Ima se, može se, pravijo v Srbiji.

Z rednimi prihodki se pa revščino tolče.
sudo poweroff

Puubec ::

poweroff je izjavil:

To! Sinergijski učinki so pa blazni. HW in SW proizvajalci so iz tujine, je pa res, da so svoj delček dobili vsaj lokalni preprodajalci.

To je seveda tipični odziv gamblerja na "free moneyz". Če pijanček ali gambler najde denar na cesti, ga seveda ne bo vložil v poplačilo dolga, nakup nove obleke ali popravilo zob... seveda ne. Gre za izredni prihodek, ki ga je potrebno takoj zakockati ali zapiti. Ima se, može se, pravijo v Srbiji.

Z rednimi prihodki se pa revščino tolče.


In sedaj bo potrebno ta denar še vrniti...

hruske ::

Ma ne, to si malo odjadral zdaj. Saj učinek je bil, npr. konsolidacija in virtualizacija obstoječih (starih in kmalu nezanesljivih) strežnikov, ki še niso bili virtualizirani. Pa z VMWare lahko med fizičnimi hosti s klikom migriraš virtualce, tako da je izkoriščenost hardwarea večja.

Samo je pa imelo računsko kar nekaj stvari za povedat ...
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

Puubec ::

hruske je izjavil:

Ma ne, to si malo odjadral zdaj. Saj učinek je bil, npr. konsolidacija in virtualizacija obstoječih (starih in kmalu nezanesljivih) strežnikov, ki še niso bili virtualizirani. Pa z VMWare lahko med fizičnimi hosti s klikom migriraš virtualce, tako da je izkoriščenost hardwarea večja.

Samo je pa imelo računsko kar nekaj stvari za povedat ...


Dokler dojemamo računalniški oblak na nivoju fizičnih in virtualnih strežnikov imamo resen problem.
Glede na namen pridobljenih sredstev (ki ni bil VMWare, ...), je vračilo sredstev žal realen scenarij

Okapi ::

MrStein ::

hruske je izjavil:


A bi se dalo dobiti tehnično ustrezno in v skladu z modernimi smernicami razvoja in varovanja osebnih podatkov celovito storitev naročanja za primarno zdravstvo? Tudi oni so kar težki za priklicat na telefon, na maile pa tudi rečejo, da se ne bojo oglašali, če jim ga pošlješ izven delovnega časa ... (?!?!)

Ja, to zadnje je sploh biser.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Saul Goodman ::

Puubec je izjavil:

hruske je izjavil:

Ma ne, to si malo odjadral zdaj. Saj učinek je bil, npr. konsolidacija in virtualizacija obstoječih (starih in kmalu nezanesljivih) strežnikov, ki še niso bili virtualizirani. Pa z VMWare lahko med fizičnimi hosti s klikom migriraš virtualce, tako da je izkoriščenost hardwarea večja.

Samo je pa imelo računsko kar nekaj stvari za povedat ...


Dokler dojemamo računalniški oblak na nivoju fizičnih in virtualnih strežnikov imamo resen problem.
Glede na namen pridobljenih sredstev (ki ni bil VMWare, ...), je vračilo sredstev žal realen scenarij


računalniški oblak moramo dojemati na katerem nivoju? uparjene vode?

kaj pa po tvoje sestavlja računalniški oblak? fog machine?

MrStein ::

zee je izjavil:

Puubec je izjavil:

Tole bom samo odložil tukaj, ker se že omenja ja DRO
Revizijsko poročilo


A prav razumem, da je DRO namensko razvita rešitev samo za MJU? A komercialni ponudniki tipa AWS/Azure/GCP/... niso dovolj dobri, čeprav imajo vse ali večji del rešitev že na voljo? Kristus no.

Čakaj zdaj da se oglasijo osebki iz teme NAS za domačo uporabo in ti povedo, da če nisi sam "skoval" sam čip CPU-ja, potem nisi pravi dec...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Puubec ::

Saul Goodman je izjavil:

Puubec je izjavil:

hruske je izjavil:

Ma ne, to si malo odjadral zdaj. Saj uÄinek je bil, npr. konsolidacija in virtualizacija obstojeÄih (starih in kmalu nezanesljivih) streĹžnikov, ki ĹĄe niso bili virtualizirani. Pa z VMWare lahko med fiziÄnimi hosti s klikom migriraĹĄ virtualce, tako da je izkoriĹĄÄenost hardwarea veÄja.

Samo je pa imelo raÄunsko kar nekaj stvari za povedat ...


Dokler dojemamo raÄunalniĹĄki oblak na nivoju fiziÄnih in virtualnih streĹžnikov imamo resen problem.
Glede na namen pridobljenih sredstev (ki ni bil VMWare, ...), je vraÄilo sredstev Ĺžal realen scenarij


raÄunalniĹĄki oblak moramo dojemati na katerem nivoju? uparjene vode?

kaj pa po tvoje sestavlja raÄunalniĹĄki oblak? fog machine?


Cloud computing is a general term for anything that involves delivering hosted services over the internet. These services are divided into three main categories or types of cloud computing: infrastructure as a service (IaaS), platform as a service (PaaS) and software as a service (SaaS).

Ker nisem avtor zgornje definicije se nadaljnjim komentarjem le te izogibam.

Kam spada parni stroj res ne vem, bi pa rekel da je IaaS najnižji nivo po kompleksnosti in dodani vrednosti.

donvitoc ::

Moderen način življenja, brez človeškega stika... za govedo. Smetana še zmeraj leta s privat jeti na žure in orgije, preostala raja pa sama zakljenjena v kurniku z Facebook vr očali gleda pron.

Zgodovina sprememb…

Saul Goodman ::

Puubec je izjavil:

Saul Goodman je izjavil:

Puubec je izjavil:

hruske je izjavil:

Ma ne, to si malo odjadral zdaj. Saj uÄinek je bil, npr. konsolidacija in virtualizacija obstojeÄih (starih in kmalu nezanesljivih) streĹžnikov, ki ĹĄe niso bili virtualizirani. Pa z VMWare lahko med fiziÄnimi hosti s klikom migriraĹĄ virtualce, tako da je izkoriĹĄÄenost hardwarea veÄja.

Samo je pa imelo raÄunsko kar nekaj stvari za povedat ...


Dokler dojemamo raÄunalniĹĄki oblak na nivoju fiziÄnih in virtualnih streĹžnikov imamo resen problem.
Glede na namen pridobljenih sredstev (ki ni bil VMWare, ...), je vraÄilo sredstev Ĺžal realen scenarij


raÄunalniĹĄki oblak moramo dojemati na katerem nivoju? uparjene vode?

kaj pa po tvoje sestavlja raÄunalniĹĄki oblak? fog machine?


Cloud computing is a general term for anything that involves delivering hosted services over the internet. These services are divided into three main categories or types of cloud computing: infrastructure as a service (IaaS), platform as a service (PaaS) and software as a service (SaaS).

Ker nisem avtor zgornje definicije se nadaljnjim komentarjem le te izogibam.

Kam spada parni stroj res ne vem, bi pa rekel da je IaaS najnižji nivo po kompleksnosti in dodani vrednosti.


a lahk pol razložiš tvoje pavšalno trditev, da dokler o oblaku govorimo kot o fizičnih strežnikih, da imamo problem? oblak sestavljajo fizični strežniki, jebote. ne rabmo wikipedia copy pejsta, ker ne znaš s svojimi besedami povedat.

v glavnem, ne prbijaj.

matthai, do tebe še pridem. tvoji citati so mi zlomili možgane in sem še rebootu.

Zgodovina sprememb…

FireSnake ::

https://www.ortus-inc.si/

So to ti pajaci, ki so to naredili?
Saj sploh niso programerska hiša.
Da jim pošljem eno ljubezensko pismo.
Poglej in se nasmej: vicmaher.si

Saul Goodman ::

jah kako pa mislš da se državni posli talajo? ni važn kva si, lahko si včeraj firmo odprl. važn da maš veze. živimo v koruptivni državi, kjer folk na ulce poženejo maske, ne pa Vizjaki. za take pravmo "da se znajdejo". priznat si je treba, da je to del naše kulture. žalostna scena.

Tody ::

A zdej je pa sosedov mulc kriv, k je to naredu za dva jointa? :) Mogoče ce pobrskamo po s-t mogoče najdemo temo v kateri sprašuje kako zapisati podatke v bazo

matobeli ::

Seveda da ni, imamo "odgovorne osebe". In zelo odgovorno od naših veljakov bi bilo da kakšno odgovorno osebo pokličejo na zagovor odgovornosti.

Ker pa so odgovorni veljaki ravno tako odgovorni kot odgovorne osebe...

Bakle, vile, kose?

Zgodovina sprememb…

  • spremenilo: matobeli ()

FastWIND ::

ZAkaj bi izvajalca obvestil o ranljivosti, ki je po defoltu ne bi smelo biti. Sploh pa ne za takšen denar...

Ne bi rekel, da nekdo najde neko ranljivost, ki je redka, težko odkriljiva itd... Takrat se mi zdi smiselno obvestit izvajalca... V tem primeru, ko gre za osnove varnosti pa je potrebno takšnega izvajalca križat.. sploh, ker je pokasiral lepe državne denarce za to malomarnost

BigWhale ::

MrStein je izjavil:


Čakaj zdaj da se oglasijo osebki iz teme NAS za domačo uporabo in ti povedo, da če nisi sam "skoval" sam čip CPU-ja, potem nisi pravi dec...


Drzavna/javna uprave ne more svojih stvari pospravit na nek cloud ... To je neumnost.

To, da je pa drzavni cloud sranje, je pa druga stvar. :>

poweroff ::

FastWIND je izjavil:

ZAkaj bi izvajalca obvestil o ranljivosti, ki je po defoltu ne bi smelo biti. Sploh pa ne za takšen denar...

Ne bi rekel, da nekdo najde neko ranljivost, ki je redka, težko odkriljiva itd... Takrat se mi zdi smiselno obvestit izvajalca... V tem primeru, ko gre za osnove varnosti pa je potrebno takšnega izvajalca križat.. sploh, ker je pokasiral lepe državne denarce za to malomarnost

Izvajalca - da. Naročnika - tudi. Kaj imajo pa tukaj ljudje, katerih osebni podatki so se znašli v sistemu?
sudo poweroff

Evolve ::

Te dni pa smo dobili obvestilo o morebitni varnostni luknji v sistemu.


In kar je prvo kar se naredi v tem primeru? Objavi to javno na spletu... To naredijo samo idioti.

Prvo se obvesti administratorja/izvajalca, da se problemn odpravi, šele potem daš ranljivost v javnost. Tako funkcionirajo vsi bug bounty programi (sicer ga tukaj ni ampak malo zdrave pameti bi pa lahko imeli)

preiskovalec ::

Naročnik skoraj zanesljivo ni bil obveščen pred objavo. Izvajalec skoraj zanesljivo ni bil obveščen pred objavo. "Te dni" ne more biti šteto v dnevih, ker je bila predstavitvev in javna objava storitve v četrtek, ranljivost pa je bila objavljena v petek. Vse to je neposredno razvidno iz javno dostopnih podatkov, samo povezati jih je treba. Če je avtor dobil podatke o ranljivosti še pred četrtkom, toliko bolj žalostno, ker kaže na "inside job". Ljubosumje, rivalstvo, konkurenca, samo neodgovorno ravnanje in iskanje slave s strani tistega, ki je odkril ranljivost? Kdo ve? V vsakem primeru pa skrajno neodgovorno s strani avtorja N/A.
Razprave o SQL injection so popolnoma mimo in so čisto zavajanje s strani avtorja članka, ker ranljivost nima nič z SQL injection, kar je razvidno tudi iz članku priloženih slik.
Razprave o "mastnem zaslužku" prav tako čisto mimo. Flamerska objava, ki z namernim nepopolnim poročanjem daje občutek, da je nekdo za "to skropucalo" zaslužil 300k, aplikacija pa je samo manjši del storitve (razvidno iz javno objavljenega javnega naročila).

Takšen dogodek kaže samo dvoje:
1. Več se bo treba pogovarjati o tem kakšno "varnostno testiranje" storitev je sploh dovoljeno (po našem KZ-1 pač ni) ter kako razkrivati ugotovitve.
2. Državo bo treba spraviti v red. Verjamem, da večina ne ve kako zelo slabo stanje je v državi na področju IT. Morda je boljše tako. Večina verjetno tudi ne ve kako nemogoče je delati z državo. Izvedba javnega naročila v zadnjem trenutku (ali zaradi pritožb ali zato ker je treba porabiti EU sredstva, vezana na roke), naknadno spreminjanje specifikacij, pritiski z implementacijo prej nedogovorjenih funkcionalnosti, presenečenja glede "dejanskega stanja" pri integracijah ipd. Se komu sliši znano? Programiranje ponoči, da programerji ujamejo nemogoče zastavljene roke in "scope creep". Testiranja sploh ni, ker zmanjka časa. Zato ranljivosti niso nobeno presenečenje, ne v tem, ne v drugih primerih. In vse se začne pri birokratih, ki že postavijo nemogoče cilje in roke, nadaljuje pri šefih, ki se kljub nemogočim pogojem sploh prijavijo na te razpise (če bi imeli več integritete in manj pohlepa se ne bi nihče prijavil) in konča pri operativi, ki mora narediti nemogoče. Mi pa tolčemo po operativi?

Zato bi bilo za slo-tech skupnost veliko bolj konstruktivno, če bi enkrat iskali in identificirali prave, izvirne probleme, morda tudi predlagali kakšne rešitve. Prepričan sem, da zmoremo več od flaminga. Od avtorjev člankov pa malo več taktnosti pri objavah, ker ko je tako šlampasto narejena, daje vtis po "članku po naročilu" ali pa vsaj članku z osebnim interesom? Ostali pa smo lahko malo bolj pametni in ne "pademo na finto".

Tarči napada pa želim samo dovolj poguma, da zadevo preišče do konca in najde ter kaznuje storilca. Enkrat rabimo takšen vzorec. Za vzgled.
1
2
3 4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo

digitalno potrdilo o cepljenju COVID-19 (strani: 1 2 )

Oddelek: Loža
5311560 (5783) primoz4p
»

Naroči me na upravno enoto (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
19542921 (24242) preiskovalec
»

E-napotnica (strani: 1 2 )

Oddelek: Loža
5816285 (9393) simnov
»

Kako preverim, če je stavba črna gradnja in ne poznam investitorja (strani: 1 2 )

Oddelek: Loža
8841004 (39098) Rok Woot
»

problemi z digitalnim certifikatom SIGEN-CA

Oddelek: Informacijska varnost
3418003 (8794) Ice-Heki

Več podobnih tem