Geek @ Google
  • Умные программисты

  • Суровая бюрократическая реальность, или как мы поучаствовали в первом государственном хакатоне

    Не открою секрета, но полная база по предприятиям лежит в открытом доступе на торрентах. Называется МинСтат с актуальностью за 2012 год (плюс обрывки истории изменений). И возможно есть наверное новые.
    Расчёт бюджета для продажи на компактах совсем неверный оказался у Вас.

    По поводу ж 1С и что это не принципиальная сумма, так ведь если бы оплачивать было удобно — может даже из своего кармана рядовые сотрудники платили.

    А потребность в данных реально имеется у многих и люди создают бесплатные сервисы вроде www.openinfo.in.ua/answer.php по совместному обходу капчи и подключению к 1С. Думаете они от хорошей жизни такое сделали?

    Денег сервис OpenInfo не проносит в ИРЦ, будете бороться как с тараканами и закрывать?

  • Суровая бюрократическая реальность, или как мы поучаствовали в первом государственном хакатоне

    а налоги пойдут на более нужные цели, чем содержание реестра.

    Неправильное мышление.
    Если на услуги автоматического поиска (без капчи) будет высокая цена (3 грн это много), то Вы существенно снижаете количество услуг которые могут быть созданы для предприятий Украины.
    Например подгрузка информации о компании в том же 1С автоматически по коду ЕДРПОУ сможет экономить время бухгалтеров по всей Украине, а сейчас из-за желания ИРЦ зарабатывать самостоятельно — люди и дальше перепечатывают информацию вручную с копий документов, делают ошибки. А ИРЦ еще и отбивает охоту вручную искать в реестре — потому как надо вводить капчу каждый раз (а не только при массовых поисках).

    При бесплатных запросах — количество пользователей у системы значительно больше и пользы в маштабах государства было бы больше.
    А налоги на то и платятся, чтобы за них оказывались какие-то общественно-полезные вещи (для всех, массово).

    Сравните результаты работы ИРЦ например с «единым» реестром в Швейцарии.
    zefix.admin.ch (поищите RosUkrEnergo)
    Для базовой информации не требуется капча, есть история назначений/увольнений, возможно скачать информацию о компании в XML файле и проимпортировать куда угодно.

    Но за дополнительную плату — они в онлайне принять заявку на официальную выписку и прислать почтой. Что мешает сейчас ИРЦ предоставлять услуги «выписка почтой»?

    Підтримав: Illya Petrov
  • idxxx скоро превратится в тыкву

    Сертификат: У Вас в броузере стоит около 100 компаний, которым он доверяет выдавать сертификаты.
    Ничего не мешает, даже если dou.ua купит сертификат у одних, купить еще один в другой компании.

    В процессе оформления дешевых из них — документов не требуется, а достаточно доказать регистратору что Вы якобы контролируете этот сайт (например добавите запись в DNS, отвечаете на емейл или можете файл разместить на сервере).

    В случае даже временного контроля канала на пути к серверу — проверка файла на сервере очень даже удачно пройдёт и получите дополнительный сертификат.

    MiM атака: Теперь имея SSL сертификат, которому доверяют броузеры, можете внаглую врезаться в переговоры броузера и сервера. Шифровать ответы клиенту новым сертификатом. Клиент не будет ведь проверять каким именно центром сертификации был SSL ключ подписан?

    Уже даже для якобы решения этой проблемы плагины к броузерам разработали perspectives-project.org
    Но у него есть свои недостатки — защищает от перехвата канала клиента в большому интернету, но если надолго перехватывается часть из большого интернета к серверу — то печалька.

    Підтримав: John Doe
  • idxxx скоро превратится в тыкву

    Насколько подробно?
    Про то, что использование 8.8.8.8 упрощают атаку согласен например вот человек:

    CircleID: DNS Security Should Be One Of Your Priorities (including DNSSEC)
    However... the attack surface against your DNS queries has now been expanded to include the entire part of the public Internet that is between your computer and Google’s Public DNS servers (to use the example of Google).
    <b>An attacker now has a better chance of getting in the middle and injecting false DNS information</b> that goes back to your stub resolver running on your machine.
    So for those reasons, I prefer to run the recursive DNS resolver as close to the end user as possible.

    Или про то, как недорого создать “дополнительный” SSL сертификат, контролируя канал между RootCA и сервером?
    Или как задействовать этот сертификат для MiM атаки на SSL (чтобы броузер не заметил)?

    Підтримав: John Doe
  • idxxx скоро превратится в тыкву

    Как раз использование 8.8.8.8/8.8.4.4 упрощает задачу и добавляет еще один способ атаки.

    Потому как вместо использования одного из сотен локальных ДНС у провайдеров (и в котором ответ будет находится часами или днями),
    клиент регулярно посылает запрос через всю страну в предсказуемую локацию (до ближайшей точки присутствия Google), и по пути может получить «правильный» ответ созданый специально для него (или всей страны).

    Підтримав: anonymous
  • idxxx скоро превратится в тыкву

    А Вы список корневых сертификатов видили?
    Уверены что там не выдадут государственную версию для «dou.ua» ?

    Причём для этого не надо содействия этих CA. Самые простые сертификаты (domain validated) можно получить времено «переключив» часть связи с сервером на более сговорчивый, который подтвердит контроль.

  • Электронная налоговая отчетность: руководство пользователя

    Налоговая рекомендует получать прямо у них.

    Хотя бы потому как «кабинет платника податков» которые запустили на сайте kpp.minrd.gov.ua работает только с их сертификами.

    Для ФОПов это не так актуально, поскольку сам кабинет пока только на ООО заточен, но вот для бухгалтера организации выгоднее выстоять целый день в очереди в налоговой за ключём (или подождать около месяца своей очереди по записи), чем заплатить по 250-300 грн за ключ каждой из организаций которые ведет.
    Особено если бухгалтер ведет сразу несколько компаний.

    Печально на самом деле то, что стандартами Украины описали формат сертификатов, подписей.
    А вот то, в каком формате хранится секретный ключ — не описано.
    В связи с этим получается фигня, что вроде как разные компании предоставляют услугу сертификат+секретный ключ, а они между разными компаниями не совместимы и для эффективного использования требуется еще и библиотеки для работы с этим сертификатом ставить от этой же компании.

    Может правда кто-то конвертор секретных ключей написал? Не видел покаю