Mikroblog #9: eRecept – pozor na překlepy

AbcLinuxu:/ Blogy / xkucf03 / Stížnosti a pochvaly / Mikroblog #9: eRecept – pozor na překlepy

Štítky: mikroblog, sms, www, změna

Mikroblog #9: eRecept – pozor na překlepy

11.11.2020 13:16 | Přečteno: 1476× | Stížnosti a pochvaly

Dnes vám lékař může poslat tzv. eRecept jako SMS na mobil. Jedná se o krátký textový kód, který ukážete v lékárně a na základě něj dostanete léky. Aby to bylo pohodlnější, používají se QR kódy – SMS obsahuje odkaz na www stránku receptu, kde se tento kód zobrazuje. Je tu ale jedno úskalí: tato stránka je pouhý zobrazovač QR kódů a neprovádí téměř žádné kontroly (asi jen ověří délku řetězce a nějaký ten regulární výraz). Pokud byste si tedy chtěli např. eRecept vytisknout (v lékárně pak jen předáte papír, nemusíte tam manipulovat s mobilem nebo ho vůbec nosit s sebou) a kód z mobilu do počítače opisovali, tak vám stránka na doméně epreskripce.cz klidně zobrazí nesmyslný kód s překlepem nebo jinou chybou.

eRecept – pozor na překlepy

Stránka zobrazí libovolný text (zřejmě [a-zA-Z0-9]{12}) a celkem libovolné datum (např. místo 31.02.2021 se pak zobrazí 03.03.2021).

Nejedná se sice o bezpečnostní chybu, ale přesto bych zde nějakou kontrolu očekával. Otázka je, jak to řešit lépe. Kontrola kódů proti databázi vydaných receptů na druhou stranu totiž zase znamená, že by někdo mohl zkoušet hrubou silou hádat kódy receptů a pak si pro nějaké náhodné léky někoho jiného dojít do lékárny. Takže by bylo potřeba dělat nějaké kontroly na počty dotazů a detekce útoků. To se zřejmě nikomu nechtělo implementovat. Řešením by mohlo být ověřování nějakého kontrolního součtu (např. u čísel bankovních účtů máme tzv. modulo 11), který by byl součástí kódu – tím by se předešlo lidským chybám, náhodná změna by byla včas odhalena, ale zároveň by nešlo hádat kódy existujících receptů.

Hodnocení: 100 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

11.11.2020 14:01 Gréta | skóre: 37 | blog: Grétin blogísek | 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Link | Blokovat | Admin

taky tam ty vygenerovaný *.png s qr kódama zustaváj furt jakoby viset ve složce https://epreskripce.cz/qr/qrcode2/ :O :O

hele třeba tadyto vyrobený pomocí url https://epreskripce.cz/erp?i=LekyNaHlavuX&s=00.00.9999

Zelená energetická soustava založená na obnovitelnejch zdrojích energie versus realnej svět 🤡🇪🇸

11.11.2020 16:07 Noname
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Ono to je ještě horší, ten generátor qr kódů má právo zapisovat i do jiných adresářů a ještě nedávno tam nebyla žádná kontrola vstupních dat.

Takže když se jako identifikátor zadalo

.././/logo80

tak logo ERECEPT v patičce stránky se přepsalo QR kodem :-O

Po nahlášení asi přidali kontrolu na lomítka nebo tečky, ale řekl bych, že to je tak všechno.

Nechápu, kdo tohle pustil ven, za to by se měl stydět i středoškolák...

13.11.2020 00:59 Ups
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

LÓÓÓÓÓÓÓÓÓÓL

11.11.2020 15:19 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Link | Blokovat | Admin

Ono to vypadá, že se v návrhu vůbec nepočítalo s tím, že by někdo opravdu používal kód ze SMS a buď ho někam opisoval nebo diktoval přímo z té SMS. Přesně na tohle jsem narazil hned u svého prvního e-receptu: spletl jsem si písmeno "O" s nulou, zobrazil se mi QR kód, tak jsem předpokládal, že je to v pořádku, vytiskl si ho a teprve v lékárně se zjistilo, že je to špatně. Prostě čím dál rozšířenější přístup, že každý má smartphone (a Facebook a Whatsapp a …) a kdo ne, na toho netřeba brát ohledy.

11.11.2020 18:23 Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Při dnešní ceně smartphonů je to docela ospravedlnitelný přístup.

11.11.2020 18:27 Taky Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

To je teda pěkná blbost.

11.11.2020 18:29 Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Nemáš 2000 na spartphone? Když ho budeš používat jen ta takové věci, vydrží ti deset let. To jsou 200 ročně, necelá dvacka měsíčně.

Levnější je prudit, co?

11.11.2020 18:33 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

To není jen otázka ceny. Prostě nestojím o to, abych měl místo telefonu zařízení, které se snaží kombinovat telefon s počítačem, ale není praktické ani pro jedno z toho. A o tom, že smartphone, který bych dnes koupil za 2000 Kč, bude za deset let stačit na všechno, co "se očekává", silně pochybuji. Ono to dost možná nebude platit ani pro ty nejdražší.

11.11.2020 18:37 Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Na dnešní erecept 10 let starý smartphone bez problémů stačí.

A ten zbytek je takový amišovský. Pokud chceš být asociál bojkotující bežné technologie, jistě můžeš. Ale následky jsou pak na tvou hlavu, těžko si můžeš stěžovat.

11.11.2020 18:59 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Na dnešní erecept 10 let starý smartphone bez problémů stačí.

To je ale spíš výjimka. Stačil by mi na bankovní aplikaci (do které některé banky zákazníky začínají tlačit dost nevybíravým způsobem)? Na eRoušku (o které se mne stát snaží přesvědčit, že jsem sobec a vyvrhel, když ji nemám)? Na ty nové výdejové boxy Zásikovny (které jiným způsobem otevřít nejdou)?

A ten zbytek je takový amišovský. Pokud chceš být asociál bojkotující bežné technologie, jistě můžeš.

To, že mne nezaujala jedna konkrétní technologie, ani zdaleka neznamená, že je odmítám obecně. Spíš naopak.

11.11.2020 20:01 _
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Na bankovni aplikaci (ciste html) a na zasilkovnu bez problemu. Na erousku ne, ale ze sw duvodu.

11.11.2020 20:36 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Na bankovni aplikaci (ciste html)

Tu jsem nemyslel. Některé banky už totiž začaly některé funkce poskytovat pouze přes jejich speciální aplikaci a v klasickém webovém IB je nemají. Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

a na zasilkovnu bez problemu

Podle odpovědi přímo od Zásikovny na Google Play vyžaduje jejich aplikace Android 5 a vyšší. Určitě každý (i nejlevnější) smartphone z roku 2010 zvládne bez problémů upgrade na Android 5 vydaný v listopadu 2014? Nemluvě o tom, že Android 5 už není ani oficiálně podporovaný Googlem, to je až Android 8 ze srpna 2017.

12.11.2020 00:57 _
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Tu jsem nemyslel. Některé banky už totiž začaly některé funkce poskytovat pouze přes jejich speciální aplikaci a v klasickém webovém IB je nemají. Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

tak si vyber jinou banku

jejich aplikace

zásilkovnu používám téměř denně a v životě jsem nepotřeboval žádnou aplikaci

12.11.2020 01:18 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

tak si vyber jinou banku

Zatím to jde. Ale podobných excesů pomalu přibývá.

zásilkovnu používám téměř denně a v životě jsem nepotřeboval žádnou aplikaci

Mluvím o tomhle. To vám taky funguje bez aplikace?

12.11.2020 12:42 _
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

nevim a nezajima me, co vam nainstalovali na vesnici, ale v bezprostrednim okoli mam nekolik boxu co zadnou aplikaci nepotrebuji + nekolik vydejen s obsluhou

konkurence je v teto oblasti tak vysoka, ze problem muze mit asi jen kubecek

12.11.2020 15:46 j
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Mam tu na stole foun z 2014 .. je na nem 4.2 a nic novejsiho na nej oficielne dat nejde (pocitam ze to bude platit pro vetsinu founu tak do konce 2015, ze na ne 5tka nainstalovat ofiko nejde). Telefonuje. A i pri svym veku se starou baterkou vydrzi dyl (+-tyden), nez prakticky cokoli novyho.

Samo na nem zadna "aktualni" aplikace nefunguje, coz je vlastne dobre. Jo, zvladne to i navigaci ... hur nez 15 let stara nokia.

---

Dete s tim guuglem dopice!

12.11.2020 18:57 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Raiffeisen / eKonto / eBanka

Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

Ano. Kvůli tomu nejspíš zruším účet – po asi patnácti letech (eKonto už moc nepoužívám a nechávám si ho spíš z nostalgie, protože jsem kdysi ten systém vyvíjel).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.11.2020 09:46 reb
Rozbalit Rozbalit vše Re: Raiffeisen / eKonto / eBanka

Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

Ano. Kvůli tomu nejspíš zruším účet – po asi patnácti letech (eKonto už moc nepoužívám a nechávám si ho spíš z nostalgie, protože jsem kdysi ten systém vyvíjel).

No já už to udělal, a to i přes moji vrozenou lenost. Raiffeisen Banka těch opruzů postupně začíná zavádět čím dál víc (mimo 2FA třeba zrušili posílání výpisů mailem a když se člověk dotazoval na důvody, tak dostal jen obecné bláboly), nebrat.

12.11.2020 15:36 j
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Ty ses vazne vypatlanej debil.

Vis ze pro mnohe 2k = mesic zradla? A chtel bych videt foun, kterej bude fungovat 10let, a jeste vic takovej, na kterym za 2 roky bude fungovat nejaka uzasna appka, klidne za 50kKc.

---

Dete s tim guuglem dopice!

12.11.2020 10:23 luky
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Kod si muzete vytisknout pres webovou aplikaci od sukl, neni potreba ho opisovat do pocitace. Navic lekarna si muze zobrazit vsechny erecepty pomoci vaseho OP, takze na vyzvednuti leku nepotrebujete telefon, staci OP.

11.11.2020 15:26 Alf
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Link | Blokovat | Admin

Řešil bych to stejně, jako se řeší správně opsaný číslo z kreditky...
Prostě poslední znak je kontrolní součet, který umožní odhalit jednu chybu.

11.11.2020 18:01 Miriam (ta pravá)
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Link | Blokovat | Admin

Já používám jako jediný repcept tuto stránku a to si léky na hlavu vyzvedávám dost často, od té doby, co jsem zjistila, že je kotyz f urry a Amigapower gay.

11.11.2020 20:38 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Takže takhle to bylo mezi tím Amigapowerem a Jílkem, ahá ahá!

11.11.2020 23:12 Bherzet | skóre: 19 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Link | Blokovat | Admin

Na to jsem shodou okolností narazil nedávno taky. Nejprve mě zarazilo, proč v URL je datum, když přece ví, do kdy ten recept platí. A pak jsem teda pochopil, že ta webová aplikace nedělá nic jiného než to generování QR kódů, aby to nešlo brute-forcovat. Potud docela dobré, i když máš pravdu, že nějaká jednoduchá kontrola překlepů by od věci nebyla.

Co ovšem považuji za dost zásadní UX fail je, že příchozí SMS neobsahuje vůbec žádnou zmínku o tom, o jaký lék se jedná. Něco si můžeš potřebovat vyzvednout akutně, něco počká a něco nemusíš chtít vyzvednout vůbec (stalo se mi loni: dostal jsem kapky do očí, jedny skoro dodělal a nevěděl, jestli mi vystačí na těch dalších pár dnů, tak jsem si nechal předepsat další, nakonec je nepotřeboval a recept nechal propadnout). Když je to na vyžádání po telefonu, chodí to s několikahodinovým zpožděním (asi jak se k tomu dostanou + neznámá prodleva na samotné doručení), takže být to od více různých doktorů v jeden den, nevíš, co je co. A zrovna půjdeš kolem lékárny: „Co je tohle za recept? Aha, tak to mi nedávejte“. (Nebo v praxi: když už tam jsi, vezmeš si to, pojišťovna to proplatí, pak ti to bude stát doma a za pár let to vyhodíš, protože to expiruje; většinou to asi jen ztratí účinnost, ale to je třeba u ATB zrovna dost velký problém a jinde než v post-apokalyptické situaci, kde nic lepšího k dispozici není a nebude, je hazard to brát.)

Mně se tohle naštěstí nikdy nestalo, na recept mám tu a tam něco, ale bral někdo v potaz důchodce s Aligatorem, kteří denně užívají několik různých léků? Tam ani ty názvy nestačí, spíš by se hodilo jim k tomu ještě házet nějaké stručné komentáře – „na tlak“ atd.

12.11.2020 00:28 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Tohle taky znám. Přijdou mi od doktorky dva kódy a nevím, co je co, jedny prášky mám na tři dny, druhé ještě na měsíc. Protože vím, že některé z těch léků mají občas výpadek, udělám si radši rezervaci přes web, ať nejedu do Boleslavi zbytečně. Přijde jedno potvrzení, že je objednávka ready a teď babo raď: je to to, co si potřebuju vyzvednout, nebo je to to, co klidně počká, než budou mít oboje?

12.11.2020 09:10 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Naprosto to neřeší podstatu problému, ale po přihlášení do aplikace na https://pacient.erecept.sukl.cz je možné vidět jednotlivé recepty a obsah. Snad to údajně má jit i v telefonní aplikaci od SÚKL.

12.11.2020 12:40 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Zajímavé, ale na to si budu muset nejdřív zařídit nějakou variantu autentizace, kterou uznávají. Asi počkám, až to půjde přes banku, to bude nejjednodušší.

12.11.2020 18:12 luky
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Funguje to normalne na obcanku, tu snad mate.

12.11.2020 18:22 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Občanku mám, ale nemám k ní čtečku. Nějakou čtečku smart karet mám sice v notebooku, ale ta funguje jen na kontaktní karty, což občanka podle všeho není.

12.11.2020 19:27 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Je kontaktní.

12.11.2020 19:36 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Tak moje odpovídá tomu, co je na druhé straně dokumentu "Občanské průkazy se strojově čitelnými údaji" na obrázku s popisem "Zadní strana občanského průkazu bez čipu".

12.11.2020 20:56 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Link | Blokovat | Admin

Trochu mi to připomíná, jak jsem byl vytrolen před rokem kolegy v práci.

Koupili jsme, já a kolega, každý basu clubmate. Protože ostatním to přišlo zajímavé a některým to zachutnalo, tak jsme to začali „prodávat“ za dobrovolný příspěvek, s tím že až to dojde, tak prostě objednáme další basu za ty peníze co tam lidi nechají.

Kolega prodával za hotové (prostě tam nechal kelímek na peníze), a já chtěl být progresivní a nabídnout možnost lidem co nemají hotovost, ať platí mobilem. Ne že by mě to jen tak napadlo, lidi se na to vysloveně ptali, že nemají drobné a jestli mi to můžou někam poslat.

Vytiskl jsem si tedy velký QR kód na A4, nalepil jsem to izolepou na basu a dál o tom moc nepřemýšlel, jen občas jednou za čas objednal novou. Když jsem pak asi po čtvrt roce kontroloval kolik přišlo plateb, tak jsem s překvapením zjistil že jen pár. Oscannováním kódu se ukázalo proč; kolegové si ze mě vystřelili, a převedli to (pokud mi paměť slouží) na transparentní FIO účet Zemana.

To trochu změnilo můj přístup ke qr kódům :)

blog.rfox.eu

16.11.2020 11:41 Miriam (ta pravá)
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

To je mi líto, muselo tě to hodně mrzet, že jsi jim důvěřoval a oni tě takhle zradili.

13.11.2020 00:25 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

Odpovědět | Sbalit | Link | Blokovat | Admin

Nejlepsi by bylo cele zdravotnicrvi privatizovat a zrusit povinne socialisticke zdravotni pojisteni. Zdravi je obchod.

26.11.2020 00:05 race
Rozbalit Rozbalit vše race condition

Odpovědět | Sbalit | Link | Blokovat | Admin

eRecepty maji navic nejakou fakt podivnou race condition. Pokud prijdete do lekarny velmi rychle po prijeti SMS (nevim presne jaky je limit, mne se to stavalo do 30 min), tak polozky muzou z receptu zmizet nebo se zdvojit.

Pokud prijdete pak do jine lekarny, ale nesmite si nic nechat z receptu vydat v te prvni, tak tam budou videt neco jineho po nascanovani.

Trvalo mi asi pul roku nez jsem prisel na to proc mi veci mizi (vetsinou zmizi nez se zdvoji), puvodne jsme myslel ze je to chyba lekare, jenze se to delo porad a ten fakt, ze dve lekarny tam videli ruzne veci, to potvrdilo. Ted vzdy den pockam, protoze to byl opruz to resit.

Nevim zda tohle je prilis moc zneuzitelne, ale zjevne tam bude chyb mnohem vic, predevsim pokud byste meli primy pristup jako lekar/lekarna.

Založit nové vlákno • Nahoru