AbcLinuxu:/ Blogy / xkucf03 / Stížnosti a pochvaly / Mikroblog #9: eRecept – pozor na překlepy

Mikroblog #9: eRecept – pozor na překlepy

11.11.2020 13:16 | Přečteno: 1581× | Stížnosti a pochvaly

Dnes vám lékař může poslat tzv. eRecept jako SMS na mobil. Jedná se o krátký textový kód, který ukážete v lékárně a na základě něj dostanete léky. Aby to bylo pohodlnější, používají se QR kódy – SMS obsahuje odkaz na www stránku receptu, kde se tento kód zobrazuje. Je tu ale jedno úskalí: tato stránka je pouhý zobrazovač QR kódů a neprovádí téměř žádné kontroly (asi jen ověří délku řetězce a nějaký ten regulární výraz). Pokud byste si tedy chtěli např. eRecept vytisknout (v lékárně pak jen předáte papír, nemusíte tam manipulovat s mobilem nebo ho vůbec nosit s sebou) a kód z mobilu do počítače opisovali, tak vám stránka na doméně epreskripce.cz klidně zobrazí nesmyslný kód s překlepem nebo jinou chybou.

Stránka zobrazí libovolný text (zřejmě [a-zA-Z0-9]{12}) a celkem libovolné datum (např. místo 31.02.2021 se pak zobrazí 03.03.2021).

Nejedná se sice o bezpečnostní chybu, ale přesto bych zde nějakou kontrolu očekával. Otázka je, jak to řešit lépe. Kontrola kódů proti databázi vydaných receptů na druhou stranu totiž zase znamená, že by někdo mohl zkoušet hrubou silou hádat kódy receptů a pak si pro nějaké náhodné léky někoho jiného dojít do lékárny. Takže by bylo potřeba dělat nějaké kontroly na počty dotazů a detekce útoků. To se zřejmě nikomu nechtělo implementovat. Řešením by mohlo být ověřování nějakého kontrolního součtu (např. u čísel bankovních účtů máme tzv. modulo 11), který by byl součástí kódu – tím by se předešlo lidským chybám, náhodná změna by byla včas odhalena, ale zároveň by nešlo hádat kódy existujících receptů.

Tiskni Sdílej:

Komentáře

Vložit další komentář

11.11.2020 14:01 🇹🇬 | skóre: 37 | blog: Grétin blogísek | 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Link | Blokovat | Admin

Ono to vypadá, že se v návrhu vůbec nepočítalo s tím, že by někdo opravdu používal kód ze SMS a buď ho někam opisoval nebo diktoval přímo z té SMS. Přesně na tohle jsem narazil hned u svého prvního e-receptu: spletl jsem si písmeno "O" s nulou, zobrazil se mi QR kód, tak jsem předpokládal, že je to v pořádku, vytiskl si ho a teprve v lékárně se zjistilo, že je to špatně. Prostě čím dál rozšířenější přístup, že každý má smartphone (a Facebook a Whatsapp a …) a kdo ne, na toho netřeba brát ohledy.

11.11.2020 18:23 Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Při dnešní ceně smartphonů je to docela ospravedlnitelný přístup.

11.11.2020 18:27 Taky Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To je teda pěkná blbost.

11.11.2020 18:29 Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nemáš 2000 na spartphone? Když ho budeš používat jen ta takové věci, vydrží ti deset let. To jsou 200 ročně, necelá dvacka měsíčně.

Levnější je prudit, co?

11.11.2020 18:33 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To není jen otázka ceny. Prostě nestojím o to, abych měl místo telefonu zařízení, které se snaží kombinovat telefon s počítačem, ale není praktické ani pro jedno z toho. A o tom, že smartphone, který bych dnes koupil za 2000 Kč, bude za deset let stačit na všechno, co "se očekává", silně pochybuji. Ono to dost možná nebude platit ani pro ty nejdražší.

11.11.2020 18:37 Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Na dnešní erecept 10 let starý smartphone bez problémů stačí.

A ten zbytek je takový amišovský. Pokud chceš být asociál bojkotující bežné technologie, jistě můžeš. Ale následky jsou pak na tvou hlavu, těžko si můžeš stěžovat.

11.11.2020 18:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Na dnešní erecept 10 let starý smartphone bez problémů stačí.

To je ale spíš výjimka. Stačil by mi na bankovní aplikaci (do které některé banky zákazníky začínají tlačit dost nevybíravým způsobem)? Na eRoušku (o které se mne stát snaží přesvědčit, že jsem sobec a vyvrhel, když ji nemám)? Na ty nové výdejové boxy Zásikovny (které jiným způsobem otevřít nejdou)?

A ten zbytek je takový amišovský. Pokud chceš být asociál bojkotující bežné technologie, jistě můžeš.

To, že mne nezaujala jedna konkrétní technologie, ani zdaleka neznamená, že je odmítám obecně. Spíš naopak.

11.11.2020 20:01 _
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Na bankovni aplikaci (ciste html) a na zasilkovnu bez problemu. Na erousku ne, ale ze sw duvodu.

11.11.2020 20:36 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Na bankovni aplikaci (ciste html)

Tu jsem nemyslel. Některé banky už totiž začaly některé funkce poskytovat pouze přes jejich speciální aplikaci a v klasickém webovém IB je nemají. Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

a na zasilkovnu bez problemu

Podle odpovědi přímo od Zásikovny na Google Play vyžaduje jejich aplikace Android 5 a vyšší. Určitě každý (i nejlevnější) smartphone z roku 2010 zvládne bez problémů upgrade na Android 5 vydaný v listopadu 2014? Nemluvě o tom, že Android 5 už není ani oficiálně podporovaný Googlem, to je až Android 8 ze srpna 2017.

12.11.2020 00:57 _
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tu jsem nemyslel. Některé banky už totiž začaly některé funkce poskytovat pouze přes jejich speciální aplikaci a v klasickém webovém IB je nemají. Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

tak si vyber jinou banku

jejich aplikace

zásilkovnu používám téměř denně a v životě jsem nepotřeboval žádnou aplikaci

12.11.2020 01:18 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

tak si vyber jinou banku

Zatím to jde. Ale podobných excesů pomalu přibývá.

zásilkovnu používám téměř denně a v životě jsem nepotřeboval žádnou aplikaci

Mluvím o tomhle. To vám taky funguje bez aplikace?

12.11.2020 12:42 _
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

nevim a nezajima me, co vam nainstalovali na vesnici, ale v bezprostrednim okoli mam nekolik boxu co zadnou aplikaci nepotrebuji + nekolik vydejen s obsluhou

konkurence je v teto oblasti tak vysoka, ze problem muze mit asi jen kubecek

12.11.2020 15:46 j
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Mam tu na stole foun z 2014 .. je na nem 4.2 a nic novejsiho na nej oficielne dat nejde (pocitam ze to bude platit pro vetsinu founu tak do konce 2015, ze na ne 5tka nainstalovat ofiko nejde). Telefonuje. A i pri svym veku se starou baterkou vydrzi dyl (+-tyden), nez prakticky cokoli novyho.

Samo na nem zadna "aktualni" aplikace nefunguje, coz je vlastne dobre. Jo, zvladne to i navigaci ... hur nez 15 let stara nokia.

---

Dete s tim guuglem dopice!

12.11.2020 18:57 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Raiffeisen / eKonto / eBanka

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

Ano. Kvůli tomu nejspíš zruším účet – po asi patnácti letech (eKonto už moc nepoužívám a nechávám si ho spíš z nostalgie, protože jsem kdysi ten systém vyvíjel).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.11.2020 09:46 reb
Rozbalit Rozbalit vše Re: Raiffeisen / eKonto / eBanka

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

Ano. Kvůli tomu nejspíš zruším účet – po asi patnácti letech (eKonto už moc nepoužívám a nechávám si ho spíš z nostalgie, protože jsem kdysi ten systém vyvíjel).

No já už to udělal, a to i přes moji vrozenou lenost. Raiffeisen Banka těch opruzů postupně začíná zavádět čím dál víc (mimo 2FA třeba zrušili posílání výpisů mailem a když se člověk dotazoval na důvody, tak dostal jen obecné bláboly), nebrat.

12.11.2020 15:36 j
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ty ses vazne vypatlanej debil.

Vis ze pro mnohe 2k = mesic zradla? A chtel bych videt foun, kterej bude fungovat 10let, a jeste vic takovej, na kterym za 2 roky bude fungovat nejaka uzasna appka, klidne za 50kKc.

---

Dete s tim guuglem dopice!

12.11.2020 10:23 luky
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Kod si muzete vytisknout pres webovou aplikaci od sukl, neni potreba ho opisovat do pocitace. Navic lekarna si muze zobrazit vsechny erecepty pomoci vaseho OP, takze na vyzvednuti leku nepotrebujete telefon, staci OP.

12.11.2020 20:56 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Link | Blokovat | Admin

Založit nové vlákno • Nahoru