Vlákno názorů k článku Povinné datové schránky pro lékaře a OSVČ se odkládají. Co se stalo? od kwok - Nechápu, proč se u ní sociálka nepoučí. Daňové...
-
kwok (neregistrovaný)
Nechápu, proč se u ní sociálka nepoučí. Daňové formuláře vyplníte prostě v prohlížeči, neřešíte žádné rozhraní a VREP a podobné nesmysly, a po vyplnění máte na výběr - podat přes datovou schránku, podat s elektronickým podpisem, podat bez elektronického podpisu s tím, že systém vytiskne jednostránkové shrnutí, které stačí podepsat a do 5 pracovních dnů zaslat poštou nebo doručit osobně. Je to mnohem jednodušší, léta už to funguje a vybere si každý.
-
kwok (neregistrovaný)
Pravda je, že na začátku se to musí taky nějak rozchodit a není to úplně triviální - instalace aktuální Javy, instalace certifikátu atd. Ale na rozdíl od nějakých VREPů jsou tohle standardní věci, které by v prohlížečích měly běžně fungovat. Kromě toho jsou na tom webu ke všemu podrobné návody, podle kterých se mi to podařilo rozchodit, a funguje automatické otestování nastavení systému. Pravda, podporují pouze MSIE.
-
credo (neregistrovaný)
Takže zase řešení jen pro ajťáky, zkuste zedníkovi, který právě slezl ze štaflí vysvětlovat, že si má v prohlížeči nastavit certifikát a Javu...
V Anglii vyplňování formulářů pro finanční úřad funguje normálně na webové stránce, nebo v PDF (lze si vybrat), bez nutnosti jakýchkoli dodatečných IT znalostí.
-
V Anglii ale mají jiný právní systém. V ČR jsou pro vás údaje, které vyplníte na daňovém přiznání, právně závazné, takže by se vám asi nelíbilo, kdyby si někdo jen tak vaším jménem vyplnil daňovém přiznání, a vy byste pak podle toho musel zaplatit daň nebo penále.
To, že Oracle s Javou 1.7 pospíchal a vykašlal se na zabezpečení, a teď to půl roku opravoval, těžko mohl někdo před lety předvídat. Momentálně už je snad to hnízdo chyb zlikvidované a snad se vracíme do stavu, kdy Java v prohlížeči prostě funguje bez nějakého nastavování, navíc v aktuální verzi. Zvlášť, když jiná možnost není. Vysvětlovat někomu, že si musí nainstalovat poštovního klienta, propojit ho s jeho webmailem, stáhnout vyplněný formulář z webu, přiložit do e-mailu a ten podepsat – to je ještě daleko složitější, než podepsat to s pomocí Javy v prohlížeči.
-
P2010 (neregistrovaný)
Pozadavek instalace Javy jako pluginu v prohlizeci je nejlepsi cesta k napadeni takoveho pocitace. JRE je trvale nekolik let derave, pricemz jde o zavazne chyby (buffer overflow - spusteni kodu na zasobniku) na ktere se siri i uspesne exploity: http://secunia.com/advisories/product/37734/?task=statistics
-
Já jsem se neptal na obecný odkaz, o kterém vy tvrdíte, že tam někde něco je schované, a já si myslím, že to tam schované není. Já jsem se ptal na nějaký konkrétní případ. Že byste třeba vybral jednu konkrétní chybu buffer overflow třeba z let 2006 až 2011, která umožnila z Java Pluginu bez vědomí uživatele spustit libovolný kód.
Nebo jinak. Jde i o to zjistit, zda se mýlím já, když si myslím, že v JVM od Oracle (dříve Sunu) nebyla v poslední době žádná chyba buffer overflow umožňující útok přes Java plugin. Nebo zda se mýlíte vy, protože jste zaznamenal, že v poslední době bylo objeveno několik bezpečnostních chyb umožňujících v Java Pluginu spustit kód – a to, že jde o buffer overflow a že takové chyby se v Javě objevují trvale roky je už jen vaše fantazie.
-
Ani napodruhé jste na jasnou otázku nedokázal odpovědět nic konkrétního, takže to beru tak, že jste jen někde něco zaslechl a vaříte z vody. Tak příště už budete vědět, že buffer overflow není jediná chyba umožňující spuštění kódu, a že i chyby umožňující spuštění kódu jsou různě závažné (např. je rozdíl mezi chybami zneužitelnými jen lokálně a vzdáleně, je rozdíl, zda se kód v prohlížeči spustí bez vědomí uživatele nebo zda záměrně spuštěná aplikace získá víc práv).
-
Ne, vy jste si to nevymyslel, vy jste jen netušil, že existují i jiné typy zranitelností umožňující spuštění kódu, než jen buffer overflow. A taky jste netušil, že zrovna buffer overflow vzdáleně zneužitelný přes java Plugin je hodně nepravděpodobný. Mozilla, Secunia ani Oracle si to také nevymysleli, oni totiž žádné informace ani opravy týkající se buffer overflow nevydali.
Nakonec, vy už to víte také, protože na začátku jste psal o buffer overflow a já se na to také důsledně ptám, a vy se tomu v odpovědích důsledně vyhýbáte. Ale musíte sám uznat, že dost průhledně -- přece vám musí být jasné, že argument o tom, že Oracle vydal nějaké bezpečnostní opravy (což nikdo nezpochybňuje), neříká vůbec nic o tom, že by to byla bezpečnostní oprava chyby typu buffer overflow.
Že si jenom děláte legraci, to jste měl napsat na začátku, já jsem pořád tajně doufal, že se něco dozvím.
-
P2010 (neregistrovaný)
"Oracle si to také nevymysleli, oni totiž žádné informace ani opravy týkající se buffer overflow nevydali."
http://download.oracle.com/sunalerts/1020226.1.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2465
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3552
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1098 -
x (neregistrovaný)
Aha, dmnt jirsak neumi pouzit googla a najit si zcela konkretni diry ... tak jirsak, radsi zalez pod postel, tam budes pred tou javou v bezpeci.
Mimochodem, proc myslis jirsak, ze je ve FF java oznacena (trvale) jako nebezpecny plugin, ktery je treba pouzivat nanejvys opatrne? Nepis proto, ze je zcela bezpecny, ze ...
ČLÁNKY DO MAILU