[LUGOS] Re: firefox edavki game over

Blaz Podrzaj b at thz.net
Mon Apr 10 09:26:55 CEST 2006


On Mon, 10 Apr 2006, Rok Krajnc wrote:

> ti torej zaupaš banki, ne glede na to, na kak način ti je dostavila
> certifikat in kako opravljaš storitve preko njihove spletne aplikacije,
> zaupaš neki zunanji napravi 'z gumbom' in zaupaš izdajateljem
> operacijskega sistema, brskalnika ...

Certifikat za banko sem dvignil tako, da sem po e-pošti dobil eno kodo, po
navadni pošti (priporočeno) drugo kodo in s tema dvema kodama prek SSL
seje prevzel certifikat.

> Kje piše, da ti ni v tisto tvojo napravo z gumbom nekdo podtaknil
> kakšnega hrošča?

Nikjer ne piše, vendar je za pristnost te naprave nekdo odgovoren in to
nisi ti. Ta nekdo bo tudi štrafan, če se bo slučajno našla luknja v tej
napravi.

> Kje piše, da neki zlobni osebek ne sodeluje recimo z debianom al kar kol
> že uporabljaš, in ti podtakne popravljeno verzijo os-a?
> Kje piše, da isto ne naredijo za brskalnik?

Nikjer, samo to vse si mel že preden ti je "država" podturila svoje.

> Zakaj te pa pri poslovanju z banko ne skrbi, koliko so stvari varno
> narejene? Mene osebno bolj skrbi, kaj bo z mojimi računi, kot pa, koliko
> (deset (tisoč)) tolarjev bom dobil ali plačal državi.

Saj ne gre za samo dohodnino, vendar se je na žalost vse skupaj začelo pri
dohodnini, lahko bi se pa s čim drugim. Govorim o e-državi. Lahko bi se
vse skupaj začelo z e-volitvami. V glavnem, ni bistveno to da gre tukaj za
dohodnino ampak to, da je zadeva švoh koncipirana.

> Jaz bi raje videl, da bi že pri npr. kliku moral vsako storitev, ki jo
> opraviš, podpisati s svojim ključem (tako kot moraš, če si fizično na
> banki, podpisati vsak listek).
> Po mojem mnenju je to dodatno varovalo, ki zagotavlja, da si nekaj res
> naredil ti.

Ti nisi resen. Glej, že ko si se prijavil v bančni sistem si se podpisal.
A je tako? A potem bi pa ti z istim certifikatom podpisal še vsako
transakcijo? V čem je smisel tega početja? Saj če se nekdo polasti tvojega
privatnega ključa in šifre za vstop v elektronski bančni sistem, bo lahko
vstopil in kasneje jasno tudi podpisal vsako transakcijo! Pri banki bi
prej rabil obratno in sicer da ti banka podpiše transakcijo, ta dokument
(lahko v obliki XML) pa lahko ti downloadaš in ti služi kot dokaz namesto
papirnatega poštempljanega odrezka fakture.

> Pri oddaji dohodnine gre za isto stvar. Tudi če (fizično) prineseš
> izpolnjeno napoved, bodo še vseeno od tebe zahtevali, da jo podpišeš,
> čeprav je očitno, da si jo prinesel ti. Tisti podpis pač zagotavlja, da
> če so slučajno kasneje kakšni problemi, se da ugotoviti, ali si napoved
> napisal sam ali je kdo drug. Tako kot je malo verjetno, da bi nekdo znal
> potvoriti tvoj podpis, je malo verjetno, da ti nekdo ukrade ključ in
> odda ponarejeno napoved.

Par postov nazaj sem omenil točno to o čemer se ti zdaj sprašuješ. Ko
prineseš napoved tja, se identificiraš z osebnim dokumentom, tisti podpis
na obrazcu je samo podaljšek tega dokumenta (na obeh se mora skladat ane),
potem ti pa oni dajo poštemplan pildek, da si pravilno oddal dohodnino.
Zdaj pa e-varianta: Ko si vstopil v sistem e-davki si se prijavil s svojim
privatnim ključem in se s tem že podpisal kot oddajatelj napovedi. Ko si
jo dejansko vložil, bi od sistzema e-davki moral potemtakem dobiti
potrdilo podpisano s privatnim ključem sistema (države). In to je zate
zadosti!!!! Briga te kam gre potem ta napoved in kaj delajo z njo jaz
osebno je ne bom več nucal, nucam samo račune za 5 let nazaj, ki jih jasno
hranim v fasciklu. Če se je potem na njihovi strani kaj dogajalo s samo
napovedjo bo pokazal timestamp NJIHOVEGA podpisa (ne tvojega)! Takšen je
princip vedno bil in ta primcip je preverjen! Preverjeno ;)

Naj mi nekdo pove zakaj bi rabil vpogled v svoje pretekle oddane
napovedi??? Itak se zakon o dohodnini vsako leto spreminja in ti za nazaj
nič ne pomaga, poleg tega je zate/zame zadeva ad-acta ko dobim čez eno
leto odločbo obvestilo dursa, da so moje obveznosti do države za prejšnje
leto dejansko poravnane PIKA.

lp,B



More information about the lugos-list mailing list