abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:22 | Bezpečnostní upozornění

Byly zveřejněny informace o dvou bezpečnostních chybách CVE-2020-14360 a CVE-2020-25712 v X.Org serveru. Chyby jsou zneužitelné k lokální eskalaci práv (pokud X server běží pod právy roota).

Ladislav Hagara | Komentářů: 5
dnes 16:22 | Nová verze

Byla vydána nová verze 4.0 aplikace pro práci s KeePass databázemi - Password Safe. Přináší zejména plnou podporu Librem 5, PinePhone a dalších linuxových telefonů, dále pak výrazné zrychlení při práci s databází a opravu mnoha chyb. Aplikace je k dispozici na Flathubu, případně jako distribuční balíček.

David Heidelberg | Komentářů: 0
dnes 15:11 | Komunita

Dle plánu bylo spuštěno předobjednávání telefonů PinePhone KDE Community Edition aneb telefonů PinePhone od společnosti PINE64 s předinstalovaným uživatelským rozhraním Plasma Mobile.

Ladislav Hagara | Komentářů: 0
dnes 08:00 | Zajímavý projekt

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2020 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2020. Pro programátory v Perlu je určen Perl Advent Calendar 2020, pro zájemce o kybernetickou bezpečnost Advent of Cyber, …

Ladislav Hagara | Komentářů: 0
dnes 07:00 | IT novinky

Humble Bundle nabízí balík technické literatury z oblasti počítačové bezpečnosti od vydavatelství No Starch Press v digitální podobě bez DRM, a to za zvýhodněnou cenu aspoň cca 1-15 eur. Akce Humble Book Bundle: Hacking 101 by No Starch Press trvá do 21. prosince.

Fluttershy, yay! | Komentářů: 0
včera 23:44 | Nová verze

OpenZFS (Wikipedie) byl vydán ve verzi 2.0.0. Jedná se o implementaci souborového systému ZFS. Nově současně pro Linux i FreeBSD. Doteď se na Linuxu používal ZFS on Linux.

Ladislav Hagara | Komentářů: 2
včera 16:44 | Nová verze

Glen MacArthur vydal AV Linux MX Edition (AVL-MXE) aneb AV Linux (Wikipedie) 2020.11.23. Jedná se o linuxovou distribuci optimalizovanou pro tvůrce audio a video obsahu. Nově založenou na MX Linuxu místo Debianu. Představení na YouTube. Více v pdf manuálu.

Ladislav Hagara | Komentářů: 0
včera 13:55 | IT novinky

Příspěvek na oficiálním blogu Raspberry Pi představuje (YouTube) nový produkt Raspberry Pi 4 Case Fan aneb pětidolarový větráček do oficiální krabičky pro Raspberry Pi 4.

Ladislav Hagara | Komentářů: 8
včera 13:44 | Komunita

Projekt GNOME představil iniciativu GNOME Circle. Cílem iniciativy je podpora nových nezávislých vývojářů a rozšíření ekosystému GNOME o nové aplikace a knihovny.

Ladislav Hagara | Komentářů: 7
včera 13:22 | Nová verze

Byla vydána nová major verze 6.1.0 svobodného softwaru a vysokoúrovňového programovacího jazyka pro numerické výpočty GNU Octave (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
Jak nakládáte s řetězovými e-maily?
 (6%)
 (41%)
 (3%)
 (2%)
 (3%)
 (9%)
 (57%)
Celkem 318 hlasů
 Komentářů: 8, poslední 16.11. 22:50
Rozcestník

Mikroblog #9: eRecept – pozor na překlepy

11.11. 13:16 | Přečteno: 963× | Stížnosti a pochvaly

Dnes vám lékař může poslat tzv. eRecept jako SMS na mobil. Jedná se o krátký textový kód, který ukážete v lékárně a na základě něj dostanete léky. Aby to bylo pohodlnější, používají se QR kódy – SMS obsahuje odkaz na www stránku receptu, kde se tento kód zobrazuje. Je tu ale jedno úskalí: tato stránka je pouhý zobrazovač QR kódů a neprovádí téměř žádné kontroly (asi jen ověří délku řetězce a nějaký ten regulární výraz). Pokud byste si tedy chtěli např. eRecept vytisknout (v lékárně pak jen předáte papír, nemusíte tam manipulovat s mobilem nebo ho vůbec nosit s sebou) a kód z mobilu do počítače opisovali, tak vám stránka na doméně epreskripce.cz klidně zobrazí nesmyslný kód s překlepem nebo jinou chybou.

eRecept – pozor na překlepy

Stránka zobrazí libovolný text (zřejmě [a-zA-Z0-9]{12}) a celkem libovolné datum (např. místo 31.02.2021 se pak zobrazí 03.03.2021).

Nejedná se sice o bezpečnostní chybu, ale přesto bych zde nějakou kontrolu očekával. Otázka je, jak to řešit lépe. Kontrola kódů proti databázi vydaných receptů na druhou stranu totiž zase znamená, že by někdo mohl zkoušet hrubou silou hádat kódy receptů a pak si pro nějaké náhodné léky někoho jiného dojít do lékárny. Takže by bylo potřeba dělat nějaké kontroly na počty dotazů a detekce útoků. To se zřejmě nikomu nechtělo implementovat. Řešením by mohlo být ověřování nějakého kontrolního součtu (např. u čísel bankovních účtů máme tzv. modulo 11), který by byl součástí kódu – tím by se předešlo lidským chybám, náhodná změna by byla včas odhalena, ale zároveň by nešlo hádat kódy existujících receptů.

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Gréta avatar 11.11. 14:01 Gréta | skóre: 27 | blog: Grétin blogísek | Stockholm
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy

taky tam ty vygenerovaný *.png s qr kódama zustaváj furt jakoby viset ve složce https://epreskripce.cz/qr/qrcode2/ :O :O

hele třeba tadyto vyrobený pomocí url https://epreskripce.cz/erp?i=LekyNaHlavuX&s=00.00.9999

11.11. 16:07 Noname
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Ono to je ještě horší, ten generátor qr kódů má právo zapisovat i do jiných adresářů a ještě nedávno tam nebyla žádná kontrola vstupních dat.

Takže když se jako identifikátor zadalo

.././/logo80

tak logo ERECEPT v patičce stránky se přepsalo QR kodem :-O

Po nahlášení asi přidali kontrolu na lomítka nebo tečky, ale řekl bych, že to je tak všechno.

Nechápu, kdo tohle pustil ven, za to by se měl stydět i středoškolák...
13.11. 00:59 Ups
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
LÓÓÓÓÓÓÓÓÓÓL
11.11. 15:19 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Ono to vypadá, že se v návrhu vůbec nepočítalo s tím, že by někdo opravdu používal kód ze SMS a buď ho někam opisoval nebo diktoval přímo z té SMS. Přesně na tohle jsem narazil hned u svého prvního e-receptu: spletl jsem si písmeno "O" s nulou, zobrazil se mi QR kód, tak jsem předpokládal, že je to v pořádku, vytiskl si ho a teprve v lékárně se zjistilo, že je to špatně. Prostě čím dál rozšířenější přístup, že každý má smartphone (a Facebook a Whatsapp a …) a kdo ne, na toho netřeba brát ohledy.
11.11. 18:23 Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Při dnešní ceně smartphonů je to docela ospravedlnitelný přístup.
11.11. 18:27 Taky Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
To je teda pěkná blbost.
11.11. 18:29 Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Nemáš 2000 na spartphone? Když ho budeš používat jen ta takové věci, vydrží ti deset let. To jsou 200 ročně, necelá dvacka měsíčně.

Levnější je prudit, co?
11.11. 18:33 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
To není jen otázka ceny. Prostě nestojím o to, abych měl místo telefonu zařízení, které se snaží kombinovat telefon s počítačem, ale není praktické ani pro jedno z toho. A o tom, že smartphone, který bych dnes koupil za 2000 Kč, bude za deset let stačit na všechno, co "se očekává", silně pochybuji. Ono to dost možná nebude platit ani pro ty nejdražší.
11.11. 18:37 Petr
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Na dnešní erecept 10 let starý smartphone bez problémů stačí.

A ten zbytek je takový amišovský. Pokud chceš být asociál bojkotující bežné technologie, jistě můžeš. Ale následky jsou pak na tvou hlavu, těžko si můžeš stěžovat.
11.11. 18:59 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Na dnešní erecept 10 let starý smartphone bez problémů stačí.

To je ale spíš výjimka. Stačil by mi na bankovní aplikaci (do které některé banky zákazníky začínají tlačit dost nevybíravým způsobem)? Na eRoušku (o které se mne stát snaží přesvědčit, že jsem sobec a vyvrhel, když ji nemám)? Na ty nové výdejové boxy Zásikovny (které jiným způsobem otevřít nejdou)?

A ten zbytek je takový amišovský. Pokud chceš být asociál bojkotující bežné technologie, jistě můžeš.

To, že mne nezaujala jedna konkrétní technologie, ani zdaleka neznamená, že je odmítám obecně. Spíš naopak.

11.11. 20:01 _
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Na bankovni aplikaci (ciste html) a na zasilkovnu bez problemu. Na erousku ne, ale ze sw duvodu.
11.11. 20:36 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Na bankovni aplikaci (ciste html)

Tu jsem nemyslel. Některé banky už totiž začaly některé funkce poskytovat pouze přes jejich speciální aplikaci a v klasickém webovém IB je nemají. Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

a na zasilkovnu bez problemu

Podle odpovědi přímo od Zásikovny na Google Play vyžaduje jejich aplikace Android 5 a vyšší. Určitě každý (i nejlevnější) smartphone z roku 2010 zvládne bez problémů upgrade na Android 5 vydaný v listopadu 2014? Nemluvě o tom, že Android 5 už není ani oficiálně podporovaný Googlem, to je až Android 8 ze srpna 2017.

12.11. 00:57 _
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Tu jsem nemyslel. Některé banky už totiž začaly některé funkce poskytovat pouze přes jejich speciální aplikaci a v klasickém webovém IB je nemají. Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.
tak si vyber jinou banku
jejich aplikace
zásilkovnu používám téměř denně a v životě jsem nepotřeboval žádnou aplikaci
12.11. 01:18 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
tak si vyber jinou banku

Zatím to jde. Ale podobných excesů pomalu přibývá.

zásilkovnu používám téměř denně a v životě jsem nepotřeboval žádnou aplikaci

Mluvím o tomhle. To vám taky funguje bez aplikace?

12.11. 12:42 _
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
nevim a nezajima me, co vam nainstalovali na vesnici, ale v bezprostrednim okoli mam nekolik boxu co zadnou aplikaci nepotrebuji + nekolik vydejen s obsluhou

konkurence je v teto oblasti tak vysoka, ze problem muze mit asi jen kubecek
12.11. 15:46 j
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Mam tu na stole foun z 2014 .. je na nem 4.2 a nic novejsiho na nej oficielne dat nejde (pocitam ze to bude platit pro vetsinu founu tak do konce 2015, ze na ne 5tka nainstalovat ofiko nejde). Telefonuje. A i pri svym veku se starou baterkou vydrzi dyl (+-tyden), nez prakticky cokoli novyho.

Samo na nem zadna "aktualni" aplikace nefunguje, coz je vlastne dobre. Jo, zvladne to i navigaci ... hur nez 15 let stara nokia.

---

Dete s tim guuglem dopice!
xkucf03 avatar 12.11. 18:57 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Raiffeisen / eKonto / eBanka
Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

Ano. Kvůli tomu nejspíš zruším účet – po asi patnácti letech (eKonto už moc nepoužívám a nechávám si ho spíš z nostalgie, protože jsem kdysi ten systém vyvíjel).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
25.11. 09:46 reb
Rozbalit Rozbalit vše Re: Raiffeisen / eKonto / eBanka
Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.

Ano. Kvůli tomu nejspíš zruším účet – po asi patnácti letech (eKonto už moc nepoužívám a nechávám si ho spíš z nostalgie, protože jsem kdysi ten systém vyvíjel).

No já už to udělal, a to i přes moji vrozenou lenost. Raiffeisen Banka těch opruzů postupně začíná zavádět čím dál víc (mimo 2FA třeba zrušili posílání výpisů mailem a když se člověk dotazoval na důvody, tak dostal jen obecné bláboly), nebrat.
12.11. 15:36 j
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Ty ses vazne vypatlanej debil.

Vis ze pro mnohe 2k = mesic zradla? A chtel bych videt foun, kterej bude fungovat 10let, a jeste vic takovej, na kterym za 2 roky bude fungovat nejaka uzasna appka, klidne za 50kKc.

---

Dete s tim guuglem dopice!
12.11. 10:23 luky
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Kod si muzete vytisknout pres webovou aplikaci od sukl, neni potreba ho opisovat do pocitace. Navic lekarna si muze zobrazit vsechny erecepty pomoci vaseho OP, takze na vyzvednuti leku nepotrebujete telefon, staci OP.
11.11. 15:26 Alf
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Řešil bych to stejně, jako se řeší správně opsaný číslo z kreditky...
Prostě poslední znak je kontrolní součet, který umožní odhalit jednu chybu.
11.11. 18:01 Miriam (ta pravá)
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Já používám jako jediný repcept tuto stránku a to si léky na hlavu vyzvedávám dost často, od té doby, co jsem zjistila, že je kotyz f urry a Amigapower gay.
11.11. 20:38 Vantomas | skóre: 30 | Praha
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Takže takhle to bylo mezi tím Amigapowerem a Jílkem, ahá ahá!
11.11. 23:12 Bherzet | skóre: 19 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Na to jsem shodou okolností narazil nedávno taky. Nejprve mě zarazilo, proč v URL je datum, když přece ví, do kdy ten recept platí. A pak jsem teda pochopil, že ta webová aplikace nedělá nic jiného než to generování QR kódů, aby to nešlo brute-forcovat. Potud docela dobré, i když máš pravdu, že nějaká jednoduchá kontrola překlepů by od věci nebyla.

Co ovšem považuji za dost zásadní UX fail je, že příchozí SMS neobsahuje vůbec žádnou zmínku o tom, o jaký lék se jedná. Něco si můžeš potřebovat vyzvednout akutně, něco počká a něco nemusíš chtít vyzvednout vůbec (stalo se mi loni: dostal jsem kapky do očí, jedny skoro dodělal a nevěděl, jestli mi vystačí na těch dalších pár dnů, tak jsem si nechal předepsat další, nakonec je nepotřeboval a recept nechal propadnout). Když je to na vyžádání po telefonu, chodí to s několikahodinovým zpožděním (asi jak se k tomu dostanou + neznámá prodleva na samotné doručení), takže být to od více různých doktorů v jeden den, nevíš, co je co. A zrovna půjdeš kolem lékárny: „Co je tohle za recept? Aha, tak to mi nedávejte“. (Nebo v praxi: když už tam jsi, vezmeš si to, pojišťovna to proplatí, pak ti to bude stát doma a za pár let to vyhodíš, protože to expiruje; většinou to asi jen ztratí účinnost, ale to je třeba u ATB zrovna dost velký problém a jinde než v post-apokalyptické situaci, kde nic lepšího k dispozici není a nebude, je hazard to brát.)

Mně se tohle naštěstí nikdy nestalo, na recept mám tu a tam něco, ale bral někdo v potaz důchodce s Aligatorem, kteří denně užívají několik různých léků? Tam ani ty názvy nestačí, spíš by se hodilo jim k tomu ještě házet nějaké stručné komentáře – „na tlak“ atd.
12.11. 00:28 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Tohle taky znám. Přijdou mi od doktorky dva kódy a nevím, co je co, jedny prášky mám na tři dny, druhé ještě na měsíc. Protože vím, že některé z těch léků mají občas výpadek, udělám si radši rezervaci přes web, ať nejedu do Boleslavi zbytečně. Přijde jedno potvrzení, že je objednávka ready a teď babo raď: je to to, co si potřebuju vyzvednout, nebo je to to, co klidně počká, než budou mít oboje?
12.11. 09:10 Vantomas | skóre: 30 | Praha
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Naprosto to neřeší podstatu problému, ale po přihlášení do aplikace na https://pacient.erecept.sukl.cz je možné vidět jednotlivé recepty a obsah. Snad to údajně má jit i v telefonní aplikaci od SÚKL.
12.11. 12:40 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Zajímavé, ale na to si budu muset nejdřív zařídit nějakou variantu autentizace, kterou uznávají. Asi počkám, až to půjde přes banku, to bude nejjednodušší.
12.11. 18:12 luky
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Funguje to normalne na obcanku, tu snad mate.
12.11. 18:22 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Občanku mám, ale nemám k ní čtečku. Nějakou čtečku smart karet mám sice v notebooku, ale ta funguje jen na kontaktní karty, což občanka podle všeho není.
12.11. 19:27 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
12.11. 19:36 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Tak moje odpovídá tomu, co je na druhé straně dokumentu "Občanské průkazy se strojově čitelnými údaji" na obrázku s popisem "Zadní strana občanského průkazu bez čipu".
Bystroushaak avatar 12.11. 20:56 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Trochu mi to připomíná, jak jsem byl vytrolen před rokem kolegy v práci.

Koupili jsme, já a kolega, každý basu clubmate. Protože ostatním to přišlo zajímavé a některým to zachutnalo, tak jsme to začali „prodávat“ za dobrovolný příspěvek, s tím že až to dojde, tak prostě objednáme další basu za ty peníze co tam lidi nechají.

Kolega prodával za hotové (prostě tam nechal kelímek na peníze), a já chtěl být progresivní a nabídnout možnost lidem co nemají hotovost, ať platí mobilem. Ne že by mě to jen tak napadlo, lidi se na to vysloveně ptali, že nemají drobné a jestli mi to můžou někam poslat.

Vytiskl jsem si tedy velký QR kód na A4, nalepil jsem to izolepou na basu a dál o tom moc nepřemýšlel, jen občas jednou za čas objednal novou. Když jsem pak asi po čtvrt roce kontroloval kolik přišlo plateb, tak jsem s překvapením zjistil že jen pár. Oscannováním kódu se ukázalo proč; kolegové si ze mě vystřelili, a převedli to (pokud mi paměť slouží) na transparentní FIO účet Zemana.

To trochu změnilo můj přístup ke qr kódům :)
16.11. 11:41 Miriam (ta pravá)
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
To je mi líto, muselo tě to hodně mrzet, že jsi jim důvěřoval a oni tě takhle zradili.
13.11. 00:25 Odin1918 | skóre: 5 | blog: Valhalla
Rozbalit Rozbalit vše Re: Mikroblog #9: eRecept – pozor na překlepy
Nejlepsi by bylo cele zdravotnicrvi privatizovat a zrusit povinne socialisticke zdravotni pojisteni. Zdravi je obchod.
26.11. 00:05 race
Rozbalit Rozbalit vše race condition
eRecepty maji navic nejakou fakt podivnou race condition. Pokud prijdete do lekarny velmi rychle po prijeti SMS (nevim presne jaky je limit, mne se to stavalo do 30 min), tak polozky muzou z receptu zmizet nebo se zdvojit.

Pokud prijdete pak do jine lekarny, ale nesmite si nic nechat z receptu vydat v te prvni, tak tam budou videt neco jineho po nascanovani.

Trvalo mi asi pul roku nez jsem prisel na to proc mi veci mizi (vetsinou zmizi nez se zdvoji), puvodne jsme myslel ze je to chyba lekare, jenze se to delo porad a ten fakt, ze dve lekarny tam videli ruzne veci, to potvrdilo. Ted vzdy den pockam, protoze to byl opruz to resit.

Nevim zda tohle je prilis moc zneuzitelne, ale zjevne tam bude chyb mnohem vic, predevsim pokud byste meli primy pristup jako lekar/lekarna.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.