Vlákno názorů k článku Viděl jsem Specifikaci projektu Elektronická evidence tržeb od Tomas3 - V porovnani s urovni ochrany nekterych stykovych prvku...

V porovnani s urovni ochrany nekterych stykovych prvku mezi organizacemi v pusobnosti vnitra nebo zamini, je tohle jeste na vysoke urovni. Tam se jede v3, v2, a to ostatni zde bohuzel nemuzu verejne popisovat...ale scenka s panem Krampolem a jeho hlaskou "dira-nedira furt se zaliva", ma neco do sebe prave v IT.

Je poutavé sledovat, jak teď MF mlží a vysvětluje, že ona ta studie vlastně nic důležitého není, jak je to v ní všechno jenom předběžné a jak to nakonec určitě vše bude uděláno bezpečnostně dobře - ostatně jako je to i u všech ostatních systémů MF a GFŘ. Skutečnost je naopak taková, že to mají na mnoha místech uděláno mizerně. Vezměne si kupř. takovou státní pokladnu. Jednoduchým testem si může kdokoliv ověřit, že:
- běží v STC (dnes další geniální státní IT podnik, co z toho odklonili, jak to ostatně dělají i jiní)
- je za nedbale patchovaným firewallem F5 LTM, mj. je použita také nezaptachovaná verze F5 ASM
- například v něm použitá verze OpenSSL také vykazuje několik zranitelností (dvě určitě - DoS a vzdálenou instalaci kódu před chybu dvojího uvolnění paměti)
- za ní se nachází SAP portál s upravenými relacemi (což jim slouží ke cti), ale z toho plyne, proč tam také běží ten Apache...
- když pominu další chyby v konfiguraci SSL/TLS, tak konfiguraqce skutečně i po 14 měsících od Poodle podpopruje SSL 3.0 na sadě RC4-SHA (mj. stejná sada je podporována i pro TLS protokol)
- k tomu už zbývá jenom dodat, že RC4-SHA je pro SSL i TLS nastavena jako preferovaná (co takhle pořadí sad na serveru???)

Ostatně, podívejte se sami na příspěvek do diskuse k článku Jirky Peterky o EET, kde jsou data z konzoly http://www.lupa.cz/clanky/prinese-elektronicka-evidence-trzeb-i-povinnou-elektronizaci-zakazniku/nazory/723256/

Takže, vykrucují se a vyprávějí nesmysly (co by také člověk čekal od tiskového). Ve skutečnosti už to dělají blbě dnes a tak nepřekvapí, že zaplatili za stejné nesmysly ve studii BDO IT. Buď si to ani neuvědomují, což je pravděpodobnější, nebo je to nepřekvapilo, protože je to jejich běžná praxe. V každém případě placená z našich daní. Mám dojem, že hlavním účelem té studie bylo to, aby si její dodavatel vytvořil lepší pozici před plánovaným JŘBÚ (nemá se to soutěžit prý hlavně kvůli bezpečnosti, což je tedy cynismus jako hrom).