Dotaz: Návrh zadání k diskuzi

Přepsal jsem návrh zadání do editovatelné formy na wiki stránku.

Navrhuji následující:
- Dáme diskuzi dva dny a potom se výsledky diskuze pokusím zanést na wiki stránku.
- Navrhuji abychom se následně minimálně zadavatelé (ABCLinuxu) a hlavní řešitelé potkali osobně a potvrdili si že tohle je to ono, co chceme vytvořit.

Prosím o maximálně konštruktivní připomínky níže do diskuze.

Vezmu to trochu více high level, ale také je to zadání. Projekt chci rozdělit na více fází, z nichž každý bude mít své řešitele. Každý se tak může zapojit dle svých schopností a možností. V první fázi by měla vzniknout knihovna poskytující funkce pro základní manipulaci se schránkou. Nemusí mít všechny funkce, stačí opravdu jen ty nejnutnější pro to, aby výsledné aplikace byly užitečné. Klidně se můžeme smířit s tím, že některé méně časté use case bude nutné dělat třeba přes webové rozhraní (typicky administrace, která je jednorázového charakteru). Důvod je jednoduchý. Malé cíle se lépe plní, velké cíle odrazují od samého počátku.

V této fázi je důležité navrhnout slušné API. Bude dobře, pokud vzniknou zároveň verze pro C/C++ a Java, které mají ekvivalentní rozhraní. Toto rozhraní by mělo být funkční a odzkoušeno (nejspíš na nějakém prototypu). Také by mělo mít automatické testy, ať máme aspoň nějakou představu o kvalitě. Až budeme mít tu fázi za sebou a splněn první cíl, vybereme si další cíl. Budeme zase o něco chytřejší a lépe se nám určí, co to má být. Zda původní návrh na rozšíření Thunderbirdu, samostatná aplikace, java aplikace, OOo funkce pro odeslání do datové schránky nebo něco jiného.

Souhlasíte se mnou? Pokud jo, pojďme tedy omezit seznam funkcí a stanovit si cíl pro první fázi. Příští týden budeme mít jednání o spolupráci s jednou známou organizací, která má podobný projekt a OSS Aliance nám přislíbila zveřejnění svých PHP kódů pro práci s DS své spisové služby. Za týden budeme tedy vědět více a určíme si termíny, protože jinak půjde o zbožné přání a ne úkol. Mezitím bude třeba najít programátory, kteří budou ochotni přiložit ruku k dílu a vytvořit požadovanou knihovnu.

Vzal jsem to z opačné strany a mám nástřel implementace knihovny v C (libcurl, libxml2) a začínají na povrch vyplavávat problémy nebo alespoň otázky:

Autentizace klienta je přípustná čtyřmi různými způsoby, prakticky se jedná o dva (vzájemně se nevylučujícíc se) způsoby: HTTP basic a klientský SSL certifikát.

První způsob je jasný, jediná otázka je ohledně cachování hesla, protože SSL spojení se může kdykoliv rozpadnout a co pak? Vyhodit aplikaci chybu, ať poskytne znovu heslo, nebo si heslo při přihlášení schovat a potichu jej znovu použít (respektivě cookie, na který se autentizace deleguje)? S tím souvisí ochrana před odswapováním hesla. Máme mlock(3), ale knihovna pro HTTP si heslo kopíruje pro sebe. Tohle se dost blbě ošetřuje.

Autentizace certifikátem má z vyhlášky povinnost mít klíč schovaný nevydolovatlným způsobem v kryptografickém zařízení, které dle provozního řádu ISDS musí implementovat MS CryptoAPI nebo PKCS#11 prostřednictvím knihovny libp11(?). Ví někdo o kryptografickém zařízení, které v linuxu funguje, splňuje tyto podmínky (mimo jiné 2048b RSA a SHA-2) a dá se za rozumné peníze koupit? Bude tento způsob autentizace povinnou součástí zadání?

Další problém je s ověřováním digitálních podpisů obálek. Dle provozního řádu byl XMLSec opuštěn kvůli výpočetně drahé kanonizaci XML a místo toho se podepisuje konkrétní serializovaný bitový proud XML podstromu a podpis se ukládá do PKCS (#7 ?) struktury.

Z toho vyplývá, že záleží na fyzické struktuře XML a z HTTP těla SOAP odpovědi bude nutné patřičný XML dokument zpřístupnit vyšším vrstvám jako prostý řetězec. Opakovanou serializací by se mohla porušit fyzická struktura a podpis by neseděl. Nevíte jak je na tom libxml2? Jestli umí zachovat fyzickou strukturu i po deserializaci? Ve své knihovně zatím vracím rezebraný XML strom (přesněji řečeno seznam uzlů (xmlNodeList) z těla SOAP), takže možná bude nutné vracet i dokument jako blob (ať paměťová složitost roste).

Další problém je s licencí. Rád bych do knihovny zahrnul XML schémata, abych mohl příchozí a třeba i odchozí zprávy validovat. Na to bych rád do knihovny začlenil XSD soubory z provozního řádu. Jenže podle českého autorského zákona podléhají úplně normální licenci, kromě výjimky (úřední dílo), že dílo mohu rozmnožovat a šířit. Mám ale dojem, že už nemám právo jej pozměňovat. To by pak ale bylo v rozporu třeba s licencí LGPL, protože ta uživateli dává právo cokoliv měnit. Jaký je váš názor, bude nutné schémata přepsat, šířit samostatně nebo požádat o lepší licenci Českou poštu, nebo se mýlím?

Další problém nastane, až se knihovnu někdo pokusí použít z aplikace. Spousta grafických knihoven si uzurpuje proces pro sebe, některé mají problémy s vícevláknovými procesy. Knihovně by asi slušelo asynchronní rozhraní, aby aplikace mohla oznámit, že byl zahájen přenos zprávy, pak ukazovat indikátor postupu a uživateli dát kdykoliv možnost přenos přerušit. (Vezmete na vědomí, že velikost zprávy může být až 10 MB, což na 128kb/s uplinku ADSL telecomu představuje nezanedbatelnou dobu.) Bude zadání tedy požadovat asychnronní vláknově bezpečné rozhraní, nebo ne? Problém může být s vláknovou bezpečností, protože třeba libcurl může být slinkovaná proti kryprografickým knihovnám, které nejsou připraveny na vlákna.

Ještě mám jednu nejasnost. Toto psal pan Kočí z Trasku:

602FormFiller se nepouziva pro odeslani datove zprávy, ale pro odeslani prilohy k autorizovane konverzi. Duvod je, ze jsme nebyli schopni zjistit, jestli na Czechpointu existuje rozhrani, které by mohly volat aplikace 3.stran.

Jak se nás to dotýká?

Mám další problém. Jazyk C(++) nemá žádnou implicitní znakovou sadu. Jak má knihovna předávat aplikaci řetězce? Bude toto předmětem zadání?

Klasický unixový přístup je, že se jedná o kódování poplatné aktuálnímu locale. To sice na moderních distribucích Linuxu nepředstavuje problém, protože ty jedou v UTF-8, ale pokud máme myslet na přenositelnost, tak to problém je. Obzvlášť když uvážíme, že z ISDS může přijít text s prakticky libovolným Unicode znakem, ale takový uživatel ISO-8859-2 nebo cp1250 systému bude mít problém tyto znaky vůbec nějak reprezentovat. (Prakticky řečeno převod z UTF-8 XML do kódování locale v knihovně může selhat, v lepším případě bude ztrátový.) Takto se chová například glibc nebo gettext.

Novější céčkový přístup je vracet řetězce jako řetězce širokých znaků. Nicméně pro aplikaci to může znamenat extra práci při převodu do kódování locale, aby mohla uživateli informace zobrazit. Navíc to není moc používaný způsob.

Třetí možnost je vymyslet si vlastní standard, který se často objevuje v nových linuxových knihovnách – knihovna vrací char* vždy obsahující UTF-8 řetězec bez ohledu na locale. (Například libxml2 tak funguje.)

Jaký přístup by byl nejlepší? A neříkejte, že to má být konfigurovatelné ;(.

(Poznámka: Úplně stejný problém je při ladicích hlášeních knihovny, když má citovat XML. Horší je jen o to, že tady jsou všechny přístupy špatně: Když nepřevede do locale, tak na výstupu bude smetí nebo to sejme terminál. Když převede, tak se ztratí fyzická struktura XML, což kazí ladění.)