Dlaczego GIODO zdecydował się wprowadzić dyskryminującą skrzynkę podawczą?

Kilka dni temu opublikowałem tekst Dyskryminacyjna Elektroniczna Skrzynka Podawcza GIODO, w którym, po zwróceniu mi na to uwagi przez jednego z czytelników serwisu, wskazałem ograniczenia, jakie wprowadzono przy korzystaniu z elektronicznej skrzynki podawczej Generalnego Inspektora Ochrony Danych Osobowych. Temat zainteresował dziennikarzy i jeden z nich zwrócił sie do GIODO z pytaniami o powód wprowadzenia tych ograniczeń. Zespół Rzecznika Prasowego Biura GIODO był uprzejmy przesłać również do mnie odpowiedź na zadane pytania. Dlaczego Elektroniczna Skrzynka Podawcza GIODO dyskryminuje niektóre grupy obywateli ze względu na technologię?

Poniższa odpowiedź po raz kolejny pokazuje problem braku interoperacyjności rozwiązań teleinformatycznych, stosowanych w polskiej administracji publicznej (a także braku neutralności technologicznej przyjmowanych w Polsce norm prawnych). Wykonawca będzie przygotowywał dane rozwiązanie w taki sposób, jaki wynika z zamówienia. Na rynku nie ma monopolu świadczenia usług z zakresu bezpiecznego podpisu elektronicznego. Każdy może założyć spółkę, która takie usługi będzie świadczyć. Trzeba tylko spełnić wymagania ustawowe. W efekcie - na rynku polskim działają tylko trzy kwalifikowane podmioty świadczące usługi certyfikacyjne w zakresie bezpiecznego podpisu elektronicznego. Są to: PWPW (Sigillum), Krajowa Izba Rozliczeniowa (KIR) i Unizeto (Certum). Po tym wstępie zacytuję odpowiedź na pytanie: dlaczego wprowadzono ograniczenia w ESP GIODO?

...w odpowiedzi na Pana e-mail w sprawie ograniczeń programowych przy użyciu platformy ESP dostępnej poprzez stronę internetową Biura GIODO informuję, że po jej uruchomieniu do Biura GIODO wpływały pytania użytkowników dotyczące powodów wprowadzenia ograniczeń przy korzystaniu z systemu ESP wskazujące na platformę programową Windows, Net Framework 2.0 oraz Internet Explorer. Główną przyczyną przyjętego ograniczenia był brak - w czasie, w którym wdrażano ESP - rozwiązań służących do obsługi bezpiecznego podpisu elektronicznego, wolnych od wskazanych ograniczeń i posiadających oświadczenie spełniania warunków bezpiecznego urządzenia służącego do składania i weryfikacji podpisu elektronicznego.

Choć nie istniała bezpośrednia podstawa prawna wprowadzająca wymienione wyżej ograniczenia, to pośrednio podstawą tą był art. 10 ust. 1 pkt 8 ustawy o podpisie elektronicznym, który stanowi, że: "Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane certyfikaty jest obowiązany (.) udostępnić odbiorcy usług certyfikacyjnych pełny wykaz bezpiecznych urządzeń do składania i weryfikacji podpisów elektronicznych i warunki techniczne, jakim te urządzenia powinny odpowiadać". W czasie instalacji systemu ESP na stronie internetowej Biura GIODO żaden z dostawców kwalifikowanych certyfikatów w Polsce nie udostępniał narzędzi programowych umożliwiających składanie bezpiecznego podpisu elektronicznego w oknie przeglądarki dla innego rodzaju przeglądarki niż Internet Explorer.

Jednocześnie informuję, że w chwili obecnej podejmowane są prace, których realizacja zniesie wprowadzone wcześniej ograniczenia.

Zespół Rzecznika Prasowego
Biuro Generalnego Inspektora Ochrony Danych Osobowych

PS
List od rzecznika prasowego GIODO zakończony jest następującą klauzulą (w dwóch językach):

KLAUZULA POUFNOŚCI (CONFIDENTIAL CLAUSE)

Ta wiadomość pocztowa i wszelkie załączone do niej pliki są poufne i podlegają ochronie prawnej. Jeśli nie jesteś jej prawidłowym adresatem, jakiekolwiek jej ujawnienie, reprodukcja, dystrybucja lub inne rozpowszechnienie, są ściśle zabronione. Jeśli otrzymał Pan/i niniejszy przekaz wskutek błędu, proszę o niezwłocznie powiadomienie nadawcy i usunięcie otrzymanych informacji.

This message is confidential and may also be legally privileged. If you are not the intended recipient, please notify the sender by return email and then delete this message from your system. You should not copy or forward this message or disclose its contents to any person.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

konkrety, proszę

"brak - w czasie, w którym wdrażano ESP - rozwiązań" - a moglbym poznac ekspertyze, ktora prowadzi do tego wniosku?

Ekspertyza to bardzo wielkie słowo

Sprawa jest prosta - nie ma sensownie działających czytników kart kryptograficznych pod nie-Windowsy. Coś tam niby jest, ale kiepsko się oprogramowuje. Wszystkie sensowne produkty są Windows-only i dlatego też centra certyfikacji nie oferują wsparcia dla innych systemów.
A skoro nie ma produktów dla nie-Windows, to logiczne się wydaje wspieranie jedynie Windowsów. Co do samego IE to nie weim, czy to musi być ActiveX, wg mojej wiedzy wcale nie musiała to być ta przeglądarka, ale wtedy trzeba by dostarczyć jakiś Javovy soft (ale działający pod Win, bo brak sterowników/bibliotek dla innych systemów).

Karty do podpisu elektronicznego: Prawda leży ... w środku

Powyższe stwierdzenie to nie jest do końca prawda.

Opiszę w skrócie swoje doświadczenia z FreeBSD.

Z czytnikami do kart nie ma większego problemu. Większość nowszych wspiera standard CCID (przez USB i nie tylko). Ja korzystam z OmniKey 4040 (PCMCIA, zgodny z CCID). Specyfikacja jest jawna, udało mi się nawet wprowadzić poprawki do sterownika, więc bardzo stabilna wersja sterownika jest dostępna już w systemie FreeBSD (cmx(4)). Dostępny jest otwarty, bardzo dobry sterownik CCID.

Do niektórych sterowników niezgodnych z CCID (np. Reimer SCT) są dostępne open-source sterowniki (próbowałem nawet jeden portować do FreeBSD). Niektóre czytniki (jak Omnikey 2131) nie mają dobrych sterowników (np. w ramach projektu OpenCT) lub są one niekompletne. W moim przypadku łatwiej było kupić inny czytnik niż bawić się w portowanie sterowników.

Kolejna sprawa to oprogramowanie realizujące protokły ISO 7816 do rozmowy z kartą i oprogramowanie realizujące współpracę z konkretnym typem karty. Rozmowa z kartą jest realizowana na różnych poziomach, ja korzystam częściowo z tego, co daje w mniejszym lub większym stopniu projekt OpenSC i oprogramowanie pcsc-lite. O ile z protokołem ISO nie ma większych problemów, to problemem są struktury wewnętrzne kart - tzn. układ plików i aplikacji na karcie oraz zestawy poleceń wybiegające poza standard ISO. Stosunkowo niewiele kart stosuje układ proponowany w standardzie PKCS#15.

Z pomocą OpenSC daje się korzystać np. z estońskiego dowodu osobistego - z tego co wiem właśnie OpenSC jest używane do realizacji funkcji "wyborów przez Internet" w systemach linuksowych.

Udało mi się bez problemu (z dodatkiem warstwy OpenCard Framework - OCF) uruchomić niemiecką kartę HBCI służącą do dostępu do konta bankowego (zamiast zdrapek, SMS-ów i tokena). Applet w Javie np. na stronie Deutsche Bank komunikuje się przez OCF z interfejsem PC/SC i bez problemu dostaję się do karty. Standard HBCI dokładnie opisuje kartę, ale nie było potrzeby tworzenia własnego oprogramowania, bo applet Deutsche Banku dział rzeczywiście w sposób przenośny.

Niemiecka karta D-Trust (i to w dwóch wariantach z których korzystałem) daje się wykorzystać, ale z problemami, tzn. udało mi się wykonać podstawowe operacje kryptograficzne, ale nad przeprowadzeniem procesu pełnego podpisu np. kwalifikowanego musiałbym jeszcze popracować. Zdaje się, że oprogramowanie do obsługi niemieckiej skrzynki podawczej umie w sposób przenośny (za pomocą OCF) porozumieć się z tymi kartami, ale tego akurat nie sprawdzałem.

Niestety, wiele stosowanych kart lub tzw. appletów do kart JavaCard (nie mylić z appletami w przeglądarce), jak na przykład AuthentIC firmy Oberthur, stosowany w jednej z kart do podpisu kwalifikowanego w Polsce, nie ma publicznie dostępnej dokumentacji. Producent woli udostępnić (często za spore pieniądze) oprogramowanie SDK do tworzenia aplikacji komunikujących się z kartą.

Zwykłym śmiertelnikom jest zazwyczaj dostarczany sterownik PKCS#11, tłumaczący pojęcia typu "Certyfikat", "Podpisz", "Sprawdź podpis", "Wykonaj skrót dokumentu" na konkretne polecenia z poziomu ISO 7816. To oprogramowanie, czyli tzw. "middleware" karty jest zazwyczaj dostarczane w postaci binarnego pliku (biblioteki .DLL) dla Windows.

Moim zdaniem stosowanie zamkniętych "middleware" jest jedną z przyczyn, dla których podpis elektroniczny jest tak mało popularny - tzn. jest mały rynek rozwiązań niezależnych od producentów kart i dostawców podpisu.

Rezultatem tego jest dziadowskie oprogramowanie dostarczane na CD razem z podpisem, przy kolejnej wersji Windows są przeważnie problemy.

Sigillum na swojej stronie podaje:

W związku z zaprzestaniem od 15 lipca 2006 rozwijania i oferowania wsparcia technicznego przez Microsoft dla systemów Windows 98, Windows 98 SE, Windows Millennium, Windows XP SP1 od 1 stycznia 2007 Sigillum nie oferuje wsparcia technicznego dla rozwiązań PKI opartych na tych systemach.

oraz

Aplikacja jest darmowa do wykorzystania przez odbiorców podpisanych dokumentów nie posiadających certyfikatów. Uwaga: Nie działa na Windows Vista.

Czyli drogi użytkowniku, musisz mieć Microsoft Windows 2000 albo Windows XP SP 2 (ale może już nie SP3? nie wiadomo) aby korzystać z podpisu kwalifikowanego.

Moją kartę udało mi się zmusić do współpracy z Microsoft Windows Vista, ale to pewnie dlatego, że nie mam karty PWPW tylko JavaCard rozprowadzaną przez Sputnik Software (w tym miejscu podziękowania dla firmy za udostępnienie).

Ciekaw jestem bardzo, czy któreś z CA podpisałoby mi klucz na innej, dopuszczonej do podpisu kwalifikowanego w Europie karcie, a więc spełniającej warunki przepisów rozporządzenia o warunkach technicznych.

--
[S.A.P.E.R.] Synthetic Android Programmed for Exploration and Repair

"Ciekaw jestem bardzo, czy

kravietz's picture

"Ciekaw jestem bardzo, czy któreś z CA podpisałoby mi klucz na innej, dopuszczonej do podpisu kwalifikowanego w Europie karcie"

W skrócie: nie (patrz Gdzie zapisać certyfikat kwalifikowany?). Przez pewien czas jedno z QCA miało zapis, który teoretycznie to umożliwiał ale w praktyce i tak by się nie zgodzili. Pod podlinkowanym tekstem jest spora dyskusja na ten temat. Wynika z niej, że QCA troszczą się o bezpieczeństwo wygenerowania klucza prywatnego do tego stopnia, że nie mogą podpisać klucza, którego same nie wygenerowały.

"Moim zdaniem stosowanie zamkniętych "middleware" jest jedną z przyczyn, dla których podpis elektroniczny jest tak mało popularny - tzn. jest mały rynek rozwiązań niezależnych od producentów kart i dostawców podpisu."

To jest pochodna kosmicznych wymagań podpisu kwalifikowanego, do których należy m.in. konieczność posiadania przez kartę certyfikat Common Criteria. Jak się poszuka w Google to wyskakuje ich sporo, ale w praktyce jest inaczej - jedna nie jest już produkowana, druga jest produkowana ale z inną maską (certyfikat nieważny) i tak dalej.

Dalsze wymagania wynikające z CWA i weryfikowane przy certyfikacji powodują, że QCA nie używają gołego PKCS#11 tylko rozmawiają z kluczem prywatnym przez applet, który zapewnia silniejszą kontrolę nad dostępem do klucza. A applet oznacza konieczność stosowania prywatnego API, o którym wspomniałeś.

Co do dostępności tych bibliotek to trzeba pamiętać, że wyprodukowanie karty dla podpisu kwalifikowanego jest bardzo drogie bo certyfikacja na EAL4 trwa 1-2 lata i kosztuje od 150 tys. euro wzwyż.

Do tego dodaj absurdalne w 90% zastosowań wymagania wobec "bezpiecznego urządzenia" oraz opisane niekompatybilności - to też koszty.

Kto za to zapłaci? Przecież nie producent ani nie QCA. Wszystkie koszty finalnie zapłaci użytkownik końcowy, do czego zmusi go - zatroskany o jego bezpieczeństwo, a jakże - ustawodawca bo nikt normalny bez przymusu by tego nie wziął.

Trochę pisałem o kosztach pobocznych podpisu tutaj: Realne koszty podpisu kwalifikowanego, Informacja o składkach drogą elektroniczną - dlaczego kwalifikowany podpis nie jest dobrym pomysłem.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Przeglądarka inna a co z systemem?

W liście, w ogóle nie odniesiono się do kwestii systemów operacyjnych, a jedynie do pzeglądarek. Lipa :(

ach te czarodziejskie klauzule...

Olgierd's picture

w sumie skąd masz pewność, że nie otrzymałeś tej korespondencji wskutek błędu?

--
pozdrawiam serdecznie, Olgierd

demagogia?

ksiewi's picture

Być może narażę się na zarzut uprawiania demagogii, ale wyjaśnienia GIODO skojarzyły mi się z następującą sytuacją.

Załóżmy, że pewne małżeństwo chce wybrać się na wycieczkę do Londynu. Żona wysyła męża po bilety. Mąż wraca i oznajmia - "Nie było biletów do Londynu. Były tylko do Lądka Zdroju, więc kupiłem. Może być?". "Ależ mój kochany głuptasku! Na bilecie do Lądka Zdroju nie dojedziemy do Londynu. Skoro nie było biletów do Londynu to pojedziemy tam samochodem - zamiast kupować bilety do Lądka trzeba było go zatankować za te pieniądze!" - odpowiada żona.

W rozmowach o e-government często pada argument, że "na rynku nie ma rozwiązań opartych o otwarte standardy". Moim zdaniem, skoro nie ma takich rozwiązań, a państwo musi jednocześnie przestrzegać zasady równości, to w takim razie nasuwa się wniosek, że żadne z rozwiązań dostępnych na rynku nie powinno zostać kupione, bo jest ono po prostu nieprzydatne do celu. Należy zatem zamówić wyprodukowanie rozwiązania gwarantującego przestrzeganie zasady równości.

Pytanie, czy takie specjalnie zamówione rozwiązanie będzie kosztowało więcej. Moim zdaniem na pewno mniej niż kupienie wszystkich aktualnie istniejących na rynku rozwiązań zamkniętych - a do takiej konieczności dochodzi, gdy urząd zdecyduje się "oszczędzić" wdrażając jedno z takich zamkniętych rozwiązań. Bo przecież wdrażając je urząd wpada w pułapkę: udało mu się dotrzeć do powiedzmy 95% użytkowników, a nadal trzeba zrobić coś, aby dotrzeć do wszystkich uprawnionych.

Zgodne z otwartymi standardami rozwiązanie będzie moim zdaniem kosztowało też mniej, jeżeli najpierw zostanie zamówiony otwarty standard, w opracowaniu którego będą uczestniczyli wszyscy przyszli użytkownicy (tu: e-skrzynek). W ten sposób można uniknąć dylematu jak powyżej. Od razu umożliwiamy kontakt 100% użytkowników (a ściślej, nie stawiamy wymagań niemożliwych do spełnienia przez 1-5% użytkowników).

Ale moim zdaniem wcale nie jest tak, że nie ma rozwiązań opartych o otwarte standardy. Producenci dostarczają po prostu to, co jest zamawiane. Jeżeli zamawiający nie sprecyzuje, że wymaganiem jest zgodność z otwartym standardem (już istniejącym lub stworzonym specjalnie na potrzeby e-government, jak np. interfejsy, o których mówi Kravietz), to producent pójdzie po "linii najmniejszego oporu" i dostarczy coś, co akurat ma "na składzie", a co przy okazji zagwarantuje mu w praktyce kolejne zamówienia (bo tylko on będzie w stanie serwisować zamknięte rozwiązanie).

95%

Bo przecież wdrażając je urząd wpada w pułapkę: udało mu się dotrzeć do powiedzmy 95% użytkowników, a nadal trzeba zrobić coś, aby dotrzeć do wszystkich uprawnionych.

No więc z tym stwierdzeniem bym polemizował. Ja wiem, że neutralność technologiczna państwa itd, ale załóżmy, że 95% obywateli posiada komputer i zostało wdrożone rozwiązanie otwarte. Czy państwo ma obowiązek zakupienia pozostałym 5% obywateli komputerów, żeby mogli "dotrzeć"? Wydaje mi się, że nie.

Jasne, że w ogólności zgadzamy się wszyscy, że neutralność technologiczna jest potrzebna. Ale i racjonalne myślenie również. Pytanie czy 95% obywateli ma być skrzywdzona (bo nie mogą "dotrzeć" wcześniej) w imię dobra pozostałych 5%?

nie rozumiemy się

ksiewi's picture

Podobnie argumentował Kravietz mówiąc o telefonach i CB - i już na to odpowiadałem.

Państwo ma obowiązek przestrzegania zasady równości, a nie kupowania obywatelom czegokolwiek. Jeżeli zatem wdrożyło rozwiązanie, które wyklucza 5% osób mających te same cechy prawnie istotne co pozostałe 95%, to zasada ta została złamana.

Ale nie zawsze, gdy trzeba spełnić jakieś wymagania mamy do czynienia z wykluczeniem. Wykluczenie ma miejsce, gdy wymagania są takie, że o ich spełnieniu decyduje swobodne uznanie konkretnego prywatnego podmiotu.

Zatem, wymóg posiadania komputera nie dyskryminuje podobnie jak nie dyskryminuje wymóg formy pisemnej dla podań (każdy może kupić lub w inny sposób uzyskać dostęp do komputera i każdy może nauczyć się pisać lub zlecić komuś napisanie pisma). Co innego, gdy wymagamy komputera z oprogramowaniem konkretnej firmy lub akceptujemy podania napisane tylko przez konkretną kancelarię prawną.

Proszę uchwycić tę subtelną różnicę.

"nadal trzeba zrobić coś,

kravietz's picture

"nadal trzeba zrobić coś, aby dotrzeć do wszystkich uprawnionych"

W poprzedniej dyskusji odniosłem wrażenie, że zgadzaliśmy się co do absurdalności założenia że urząd musi dotrzeć do wszystkich?

"Ale moim zdaniem wcale nie jest tak, że nie ma rozwiązań opartych o otwarte standardy."

Nie zawsze jest tak że użycie otwartego standardu spowoduje, że ktokolwiek z niego skorzysta. Projekt Janosik zdechł dokładnie wtedy gdy skończył się radosny reverse engineering i romantyczne wydzieranie sekretów :) API ZUS jest dostępne od 1-2 lat i pies z kulawą nogą się nim nie interesuje.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

zasada równości

ksiewi's picture

Być może istotnie nie wyraziłem się jasno. W każdym razie staram się wyjaśnić, że urząd powinien przestrzegać zasady równości.

Myślę, że są dwie drogi do jej przestrzegania.

Pierwsza - wprowadzamy rozwiązanie, którego wymagania jest w stanie spełnić każdy (jak np. posługiwanie się językiem polskim, forma pisemna). I od razu mamy sytuację, w której zasada równości została zachowana.

Drugie - wprowadzamy rozwiązanie, które jest w stanie spełnić tylko pewna grupa, powiedzmy 95% (posługiwanie się oprogramowaniem konkretnej firmy). I tu, aby nie doszło do naruszenia zasady równości musimy jeszcze zrobić coś, aby pozostałe 5% mogło się z nami skontaktować. W przeciwnym wypadku zasada równości będzie naruszona. To miałem na myśli pisząc "nadal trzeba zrobić coś, żeby dotrzeć do wszystkich".

Możemy oczywiście dyskutować, czy przypadkiem nie jest tak, że każdy może nabyć oprogramowanie od jakiejś konkretnej, wybranej przez urząd firmy. Czy istotnie taki przymus kontraktowania narusza zasadę równości? Moim zdaniem tak, ale ciekaw jestem co by na to pytanie odpowiedział Trybunał Konstytucyjny. A czy tak samo odpowiedziałby TK, jeżeli w przepisach KPC zamiast przymusu adwokackiego wpisalibyśmy przymus kancelarii adwokackiej Jana Kowalskiego z Warszawy? Przecież też każdy może pójść do mec. Kowalskiego i zatrudnić go jako pełnomocnika...

Pisałem już u siebie, że naruszenie zasady równości należy rozpatrywać zarówno względem użytkowników (obywateli, interesantów), jak i dostawców.

Zasadę równości

kravietz's picture

Zasadę równości odniósłbym tutaj przede wszystkim do tego co jest prawem obywatela, co jest jego obowiązkiem a co jest tylko alternatywną metodą.

W przypadku GIODO dostęp elektroniczny jest alternatywną i nie jedyną formą dostępu - środkiem, który zadziała zawsze jest wysłanie wniosku listem poleconym. Ja z tej drogi skorzystałem po tym jak ich skrzynka ESP zdyskryminowała mnie przez wymogi nie tylko co do systemu, ale konkretnych jego ustawień i wersji bibliotek :)

Zgadzając się co do zasady, że administracja powinna zapewniać dostęp jak najłatwiej dostępny, chciałem podkreślić że zasada ta powinna być traktowana na równi ze względami praktycznymi. Ostatecznym celem jest to, by obywatel mógł doręczyć pismo do urzędu a nie żeby zrobił to politycznie poprawnym sposobem.

Być może - tak jak w propozycji do ustawy o informatyzacji - należałoby tutaj wprowadzić gradację. Coś co stanowi obowiązek obywatela powinno być dostępne dla każdego objętego tym obowiązkiem. Wymóg ten powinien proporcjonalnie słabnąć dla rozwiązań nieobowiązkowych.

Tylko, że zawsze znajdzie się ktoś poszkodowany. Wymóg elektronicznej komunikacji z ZUS to nie tylko obowiązek korzystania z Windows, ale także zakupu komputera i certyfikatu. Stąd konieczność ciągłego weryfikowania, czy to co robimy nie tylko jest zgodne z zasadami, ale czy poza tym jeszcze ma sens :)

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

obowiązek a uprawnienie

ksiewi's picture

W przypadku, gdy skorzystanie z komunikacji elektronicznej jest dla obywatela jedynie uprawnieniem, a nie obowiązkiem, to nadal pozostaje pytanie, czy nie dochodzi do naruszenia zasady równości - tzn. czy każdy z uprawnionych może tak samo realizować to uprawnienie.

Poza tym, i w takiej sytuacji należy też zadać pytanie o zachowanie zasady równości pomiędzy dostawcami rozwiązań. Emanacją tej zasady są np. przepisy PZP o zachowaniu konkurencji.

Co do różnicy pomiędzy "wymogiem zakupu komputera" a "wymogiem zakupu Windowsa" już się wypowiadałem.

W przypadku GIODO

SpeX's picture

W przypadku GIODO dostęp elektroniczny jest alternatywną i nie jedyną formą dostępu - środkiem, który zadziała zawsze jest wysłanie wniosku listem poleconym. Ja z tej drogi skorzystałem po tym jak ich skrzynka ESP zdyskryminowała mnie przez wymogi nie tylko co do systemu, ale konkretnych jego ustawień i wersji bibliotek :)

To ja tak OT w sprawie dyskryminacji przez skrzynki urzędowe. Czy tylko mnie wykorzystując @gmail.com odbija wysyłają coś do Policji pod adres sip . @ . policja . gov . pl ??

Polska Policja Czyta Maile

kravietz's picture

Polska Policja Czyta Maile Tylko Z Polskich Serwerów :) Jaki błąd konkretnie zwraca tak z ciekawości?

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

To jest cały mail zwrotny,

SpeX's picture

To jest cały mail zwrotny, z którego ja nic nie wiem :(
http://pokazywarka.pl/sip/

Spamer!

Istotny fragment to odpowiedź ich serwera:

Sender address rejected: Looks like spam mailbox with digit in front / konto z cyfra na poczatku wyglada jak spamerskie (state 14).

Innymi słowy, jeśli masz skrzynkę z cyferką jako pierwszy znak - jesteś spamerem. ;-) Można też tu rozważać, dlaczego "wygląda jak" jest dla nich tożsame z "jest" (stąd odpowiedź 5xx, czyli "permanentna odmowa współpracy" MTA).

Fakt, że takowa cyferka chyba nie jest zgodna z RFC, ale - spójrzmy prawdzie w oczy - mało co w sieci jest teraz z RFC zgodne (nawet TCP/IP niejednokrotnie jest "popsute" w różnych systemach). Może warto byłoby skontaktować się z ich administratorem?

Tylko skąd się ta 3 tam

SpeX's picture

Tylko skąd się ta 3 tam wzięła ?
Akurat przyzwyczaiłem się iż do bardziej oficjalnej korespondencji z urzędem pisma wysyłam jako PDF. I w przypadkach mobilnych jak wtedy gdy nie jestem na swoim komputerze korzystam z Google Docs oraz opcji eksportuj > wyślij jako załącznik. (choć nie przypadł mi do gusty ten edytor online).

A do admina też pisałem, ale jeszcze do tej pory nie dostałem odpowiedzi, czyli jakiś miesiąc już czekam. Oczywiście w między czasie dostałem już informację o którą prosiłem, gdyż pdfa wysłałem z innego konta (o2).

Ach! I wszystko jasne.

Teraz rozumiem - to nie był id listu, tylko adres, z jakiego google wysłały maila (a konkretnie adres z "koperty"). Innymi słowy, to google się RFC nie trzymają, ale to nie jest pierwszy przypadek (twórcy Opery mówią, że IMAP gmaila to koszmar ;-)).
Adres wygląda na jakiś losowy, więc być może powtórne wysłanie tego samego zaskutkowałoby wygenerowaniem adresu z literką na początku i... problemu by nie było. Nieistotne, sugeruję EOT tej dyskusji, bo to chyba nieodpowiednie forum dla tej tematyki. :-)
Pozdrawiam (również cierpliwego VaGlę :->).

Właśnie jak próbowałem 2

SpeX's picture

Właśnie jak próbowałem 2 i 3 razem to wysłać to zawsze odbijało. Tak samo jak potem wysyłałem (przesyłałem dalej) od siebie bo ukryta kopia była wysyłana też do mnie.

A tak kończąc OT. Czy zna ktoś jakiś sposób/program do zarządzania korespondencją urzędową?

Oraz jak liczyć 14 w wniosku o informację? Wysłałem do MPK wniosek 31.07 licząc nawet tylko dni robocze, to termin wychodzi mi iż minął wczoraj. A od nich głucho. Jak "nie nachalnie" mogę pogonić MPK?

Po prostu napisz monit (moze

Po prostu napisz monit (moze bez uzywania slowa "monit" jesli ma byc nienachalnie ;)), ze minal ustawowy termin, a od nich brak odpowiedzi, w zwiazku z tym uprzejmie ponownie prosisz o niezwloczne zrealizowanie wniosku.

A jakbys chcial bez ceregieli to skladasz skarge na bezczynnosc do organu II instancji czy tez tutaj chyba od razu do WSA (bo chodzi o informacje publiczna jak rozumiem).

Spójne regulacje dla administracji?

A może czas na petycję do Ministra Infrastruktury o wprowadzenie spójnych regulacji dla całej administracji publicznej i samorządowej, spójnej i opartej na otwartych standardach? Im dłużej brniemy w to bagno, tym ciężej i drożej będzie później wszystko dostosowywać?
Jeśli specyfikacja zostanie odpowiednio mądrze opisana, nawet jeśli nie wszystkie jej elementy (np. dowody z chipami) będą funkcjonować, przynajmniej będzie szansa, że nikt już nie wprowadzi kolejnych bezsensownych rozwiązań?

Obecnie przygotowywana jest

kravietz's picture

Obecnie przygotowywana jest nowelizacja ustawy o informatyzacji, która m.in. będzie regulować kwestie standardów stosowanych w administracji. Jest to najlepsza okazja do zgłaszania tego typu uwag do MSWiA. Nad stanowiskiem pracuje ISOC-PL, zapraszam więc do udziału w pracach (wystarczy się zapisać na listę).

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

W Polsce użycie open-source

kravietz's picture

W Polsce użycie open-source skutkuje jedynie tym, że dostawca ma większą marżę. Proszę sobie przypomnieć opisywane przez Piotra liczne przypadki kulawych portali stawianych na darmowych CMSach, które kosztowały po kilkaset tysięcy złotych. Oczywiście wynika to w dużym stopniu z - delikatnie mówiąc - niedoskonałości praktyki zamówień publicznych, która polega na tym, że wszyscy z góry wiedzą ile dany urząd ma zamiar zapłacić za dany projekt i że dziwnym trafem zawsze są to kwoty absurdalnie wysokie.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Świadomość a zamówienia publiczne

Niestety świadomość osób tworzących SIWZ w takich zamówieniach jest zerowa lub prawie zerowa. Skąd jednak mają wiedzieć o innych przeglądarkach skoro na pulpitach mają tylko niebieską literkę "e", albo skąd mogą wiedzieć o innych systemach operacyjnych skoro używają tylko Windows'ów. Zwykle w urzędach jedynie informatycy mają pojęcie o "alternatywnym" oprogramowaniu, ale ich (piszę z doświadczenia) nie prosi się zwykle choćby o konsultacje. Winne są też firmy dostarczające wszelkiej maści oprogramowanie. Wiele razy się spotkałem z jawnym wytykaniem lub kpinami gdy zadałem pytanie czemu program X działa tylko na bazie Y od M$. Tłumaczenie, że u mnie serwery działają w środowisku Linux'owym spotykało się z uśmieszkiem politowania.

Mają wiedzieć stąd, że

kravietz's picture

Mają wiedzieć stąd, że za to im płacą. Od urzędnika opłacanego z moich podatków i dysponującego milionami złotych można oczekiwać więcej niż perspektywa własnego pulpitu.

Firmy nie są winne, przynajmniej nie bezpośrednio. Ich zadaniem jest zarabianie pieniędzy. Jeśli firma ustawia zamawiającego w niekorzystnej dla niego pozycji to winny jest zamawiający, że tak się dał.

Oczywiście, niekompetencja niektórych dostawców jest faktem. Ale znowu starannie zapracował na to ustawodawca, jako główne kryterium przetargowe ustawiając cenę co wypromowało firmy wykonujące projekty studentami i praktykantami, a zabawne kary umowne wliczając w koszt projektu.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>