Názory k článku
EET klient pro příkazovou řádku
-
Napsal jsem si klienta, který mi vyhovuje pro to, na co to potřebuju a dal jsem jej k dispozici komunitě včetně zdrojového kódu. Jestli je napsaný dobře nebo špatně, to je na diskuzi. Ale nikomu ho nevnucuju. Je zadarmo a je na githubu. Nic dalšího tato zpráva ani neměla přinést.
Je zvláštní, že se i na tomto serveru objevují lidé, kteří absolutně nepochopili princip svobodného software. Berte nebo nechte ležet. Je to vaše svobodná vůle. Na slušné připomínky budu brát zřetel.
A teď k ověřování a ukládání. Jak jste si mohli přečíst přímo na stránce projektu, klient opravdu neřeší, co se má stát, když bude špatný podpis nebo se něco nepodaří a ani to není jeho starost. Pouze to oznámí formou exit code a je na procesu, který ho spustil, aby se postaral o ošetření. Takový byl design. Jestli ho někdo použije k DDoS proti EET, je to jeho svobodná volba a nemůžu s tím nic udělat. Ale pro tento účel jsem ho opravdu nepsal.
-
Jenda (neregistrovaný)
> \1
Vždyť já to chápu.
> \2
Promiň, jestli můj komentář vyzněl neslušně, opravdu to tak nebylo myšleno.
> Pouze to oznámí formou exit code
Právě že ze zdrojáků mi přijde, že špatný podpis vůbec nedetekuje, a pokud ta zpráva se špatným podpisem obsahuje v XML stromu na správném místě FIK, tak ho vypíše a uživatel nemá jak poznat, že má problém. Stejně tak nevypisuje odpověď, musel bych si tam někam do zdrojáku přidat fopen + fwrite, takže uživatel opět nemá možnost si ji uložit, ani kdyby chtěl.
Není mi jasné, jak tohle souvisí s nějakým DDOSem.
-
Sorry,
Ty jsi to schytal za ostatni :) Ta odpoved nebyla na Tvou zpravu, nejak jsem to popletl. To patrilo spise tem broukum pytlikum, co by vse udelali lip.. :)Pouzil jsem knihovnu ondrejnov/eet. Nevim presne o jakem podpisu mluvis, protoze samotna knihovna ondrejnov/eet kontroluje jak spravnost XML, tak podpis nespravnym certifikatem. Takze osetreni techto veci vubec neresim explicitne. Zkousel jsem a opravdu to funguje. Kombinace spatnych certifikatu i nespravne vyplnenych poli v XML je spravne osetrena a klient to vrati jako exit code. Je fakt, ze na tech exit kodech se da do budoucna pracovat at jsou stejne jako je to ve specifikaci eet ale chybu to v kazdem pripade vyhodi ve stavech o kterych jsem mluvil. Mas na mysli jeste nejaky jiny podpis nebo dalsi overovaci proceduru, kterou jsem podcenil ?
S DDoSem to souvisi jen tak, ze se v diskuzi objevilo, ze se da ten klient na neco takoveho pouzit... ale to fakt neresim.
-
Jenda (neregistrovaný)
> Nevim presne o jakem podpisu mluvis, protoze samotna knihovna ondrejnov/eet kontroluje jak spravnost XML, tak podpis nespravnym certifikatem.
Možná to tam doplnil, ale fakt mám pocit, že před měsícem jsem to tam neviděl.
Jde konkrétně o to, že EET se má používat takto:
- pošleš údaje o tržbě
- dostaneš podepsané XML, kde je napsáno, že tvou tržbu zaevidovali a přidělili jí nějaký FIK
- FIK vytiskneš na účtenku a tu podepsanou odpověď si schováš pro případ kontroly z finančákuTj. proces nekončí tím, že z XML stromu odpovědi vytáhneš FIK (což dělá $dispatcher->send($r)). Ještě je potřeba ověřit podpis toho XML (což nevím jak udělat čistě) a uložit ho.
Pokud si odpověď neuložíš a Hnízdo přijde o data (ať už debilitou, úmyslně, nebo ho někdo vyhackuje jako se to minulý týden povedlo MZV) a bude ti tvrdit, že tuhle účtenku nikdy neviděl a tohle FIK nikdy nevydal, nemáš mu jak dokázat, že jsi své tržby vzorně bonzoval.
-
belzebub (neregistrovaný)
Vy jste zase zjevne nepochopil princip svobody projevu - pokud nekdo neco zverejni, nemuze se divit, ze to ostatni komentuji. Pokud nedokazete ustat kritiku, nezverejnujte svuj kod na githubu, nebo jeste lepe, zamyslete se nad tim, jestli byste to nedokazal napsat tak, abyste kritice nedal sanci.
-
Kritiku samozrejme unesu. Ale konstruktivni. Napsat, ze neco je spatne jen proto, ze si to zrovna myslim, podle mne neni konstruktivni kritika, ale blabol.
Stejne tak napsat, ze neco je spatne jen proto, protoze ja to zrovna ted nepotrebuju. Kdyz to nepotrebuju, tak to ignoruju. Treba to bude potrebovat nekdo jiny. -
NULL (neregistrovaný)
Mezi předposráním a taktickým uvažováním je celkem rozdíl.
Přesto ale pořád nechápu, jak nápad pomocí botnetu zahltit jaké si to EET API blbostmi souvicí s "aspekty jak jsou udělané systémy placené z daní". Škodolibě bych se pousmál, kdyby jim to někdo shodil jako revoltu klidně každý den, ale nakonec by tím jenom přidal práce těm, kteří to musí užívat a přidá argumenty výše jmenovaným - Babišovi, resp. MF, a VZ (VOZ už to nějakou tu dobu není jsem zjistil)
Možná jenom méně chápu?
-
belzebub (neregistrovaný)
Muzu mluvit jenom za sebe: podle me to souvisi s tim, ze NAPROSTA VETSINA lidi NEROZUMI IT.
I podprumernemu IT-akovi je celkem jasne, ze pokud je vydani uctenky (a tedy provedeni prodeje) zavisle na nejake IT sluzbe, tak existuje obrovske mnozstvi potencialnich problemu - od spolehlivosti HW a SW na kterem to bude provozovano, pres spravu tohoto HW/SW, sitovou latenci, datovou propustnost az k samotne dostupnosti internetu pro klientske zarizeni + spousta dalsich detailu.
Na druhe strane prumerny clovek si muze myslet (a znam nekolik lidi kteri si to mysli), ze cele reseni spociva v tom, ze si nekdo stahne "appku" a nekde na ministerstvu zapnou nejakou krabici do zasuvky.
Takze podle me je ta souvislost v tom, ze prakticky VSECHNY IT sluzby, ktere poskytuje "stat" (nebo jeho rozpoctove organizace) jsou udelany zpusobem: Pan Kmotr Kmotrovic vysoutezi zakazku za zrudne premrstenou cenu, protoze da prislusnym urednikum nejake "krabice s vinem". Teprve potom si sezene par studentiku, levnych (tj. neschopnych) freelanceru, nebo nejakou levnou (tj. neschopnou) IT firmu, kterym da absolutne minimalni finance na to, aby cely system dali dohromady v sibenicnim terminu (protoze 75% casu promrhal podplacenim uredniku a jinou "byrokracii").
Takze vysledek je system, ktery je technologicky 15-20 let zastaraly, jehoz navrh je zoufale nesystematicky a ktery bezi na nejake zbastlenine.Pokud by se jednalo o stavbu, rekneme most, a ne IT reseni, vysledkem by byla konstrukce z prken slepenych sadrou, vyplnenych PUR penou polepena samolepici tapetou s vzorem betonu. Jenze most je neco, co si vetsina lidi dokaze predstavit, a take si dokazi predstavit, ze se snadno otestuje jestli je most dostatecne pevny - napr. se na nej posle nejaka testovaci zatez. No a zminovany DOS attack by byla takova zatez. A stejne jako onen zpraseny most se zriti v momente co na nej najede jeden nakladak nalozeny sterkem, tak by se asi "zritil" i zpraseny IT system.
Takze prestoze ja osobne bych DOS attack na MF nedelal, a povazoval bych to za nemoralni jednani, chapu ze nekdo to muze brat jako neco, co muze ukazat ze "kral je nahy".
Takze pokus o DOS attack ma sanci upozornit na nekvalitnost -
NULL (neregistrovaný)
OK. celkem souhlas, ovšem IMO tohoto vlákna se v podstatě týká přímo jenom poslední odstavec.
Nejsem si jistý, jestli "co muze ukazat ze \"kral je nahy\"" je právě ten DOS, resp. DDOS. Pokud budu uvažovat (D)DOS jenom jak je nejznámější a jak o tom psal i původní pisatel, tak to ukáže jenom že někdo má dost kapacity zahltit linku a nebo přetížit stroje - o tom, jaká je celková architektura, jaká byla cena a jak se to vysoutěžilo, kdo si na tom "nahrabal", jaká je kolem toho byrokracie a co se dá zlepšit - kromě ochrany proti (D)DOS - toho moc nenapoví (v podstatě to ukáže jenom jak silná je brána, o podhradí to nic nevypoví). Nehledě na to, že to "přidá argumenty výše jmenovaným - Babišovi, resp. MF, a VZ (VOZ už to nějakou tu dobu není jsem zjistil)".
Pokud by se to mělo opravdu osvětlit, tak by tu musel být tlak na Babiše a jeho rozhodnutí o zadání zakázky bez výb. řízení, vysvětlit proč je to o tolik dražší ( tím že teď vyhraje volby se to moc nezjistí ), audit systému a pentesty . . . Ano, zní to všedně, nudně a předem ztraceně, ale to jsou jenom správné nástroje. Vymožení jejich použití je na nás, voličích a na těch, které jsme volili - to nezní o moc líp, co?
