[Gandacul]

Ieri, 2 feb 2011, am validat din nou de pe card. Am zis eu ca nu validez da am uitat treaba aia cu luatul de bilete . Oricum : mareata realizare tehnologica a zis : 11,6 ron (adica 13,3 -1,7) .Validare asta apare in sistem?

[Florin.B RATT]

Cum spuneam: eu nu am acces la aceste date. Cred ca poti verifica si tu pe un validator. Trebuie sa apara seria unei noi tranzactii. (TSN)

[dAImon]

Încerc de 15 minute să-mi amintesc când mi-am făcut abonament şi când va expira. Nu reuşesc.

Are cineva vreo explicaţie logică pentru lipsa unei modalităţi de a verifica online titlurile de pe un card? Eu unul nu găsesc NICI UNA. S-a mai cerut de către diverşi utilizatori şi nu s-a implementat cred că din motive de securitate (?). Totuşi

• Se poate face securizat, folosind o conexiune HTTPS (criptare SSL, greu de spart)
• Certificatul SSL nu costă, poate fi emis de către serverul RATT
• Pentru a evita suspiciuni se poate folosi o combinaţie de acces cu seria cardului şi seria/numărul buletinului (fără a transmite CNP pe internet)
• Aplicaţia client-side trimite căutarea către o aplicaţie server-side, şi doar cea de pe server primeşte acces read-only la baza de date
• Pe partea client nu se văd decât date .. ce s-ar vedea şi pe un validator. Complet securizat.

Chestia asta aş putea-o face şi eu (ca exerciţiu pentru licenţă), sau orice programator .. nu cred c-ar dura 7 zile implementarea. Tot ce trebuie este schema tabelei în care sunt ţinute titlurile, pentru a şti cum trebuie să arate căutarea (query).

[NDY]

M-as baga si eu la asta
Da, intr-adevar, nu ar costa nimic, cu siguranta s-ar gasi cineva ca mine, sau ca tine, care sa faca munca asta in schimbul a...nu stiu, a unei mici reclame. Cel putin mie mi-ar ajunge atat.

Nici nu vreau sa ma gandesc cate beneficii ar aduce aceasta aplicatie, avand in vedere cat de mult se tehnologizeaza totul.
Prevad ca si o aplicatie de iOS/Android/Windows Phone ar avea la fel de mult succes.

[Florin.B RATT]

Serverul pe care se afla baza de date nu are legatura la internet. Functioneaza intr-o retea locala interna , impreuna cu chioscurile si nici nu va avea vreodata legatura cu internetul.

[dAImon]

Sunt de acord că cel mai securizat sistem al lumii este cel care nu-i legat la internet deloc.

Dar să presupunem un model (client RAT) --> (server WEB) --> (dabatase server). Se dă acces la serverul cu baza de date doar serverului web (filtrând după IP în firewall) şi doar pe portul X pe care comunică doar cu aplicaţia de care vorbesc. Dacă pe serverul database au fost închise toate porturile în afară de cele necesare, securitatea este maximă chiar dacă ar fi compromis serverul web. Serverului web nu-i rămâne decât să facă punte între utilizator şi database folosind o conexiune criptată pe tot traseul. Un atacator nu ar şti ce date se transmit şi în ce format, deci n-ar şti cum să folosească accesul pe server.

.....

În fine, ce spun eu aici v-ar fi putut spune orice profesor universitar. Nu-i ca şi cum n-am avea facultăţi tehnice în oraşul ăsta ... dar se gândeşte cu orice altceva decât capul şi apoi se bagă scuza că "nu este gândit să funcţioneze aşa sistemul X". Foarte bine, eu ce să mai zic în plus? Dar remarc în trecere că spunea Dl. Adi Sârb de curiozitatea tehnică prezentă la RATT ... chiar nu văd unde este ea. Soluţia propusă de mine este UNA, se mai pot găsi alte alternative la fel de sigure. Presupun că n-a studiat nimeni problema înainte ...

[Florin.B RATT]

Nu cred ca firmele specializate in soft si hardware care se ocupa de serverele noastre nu ar sti sa realizeze ce ne-ai povestit aici....
Daca se va dori acest lucru se vor gasi si solutii, eu ti-am prezentat situatia actuala. La serverul web avem acces cateva persoane, acces prin VPN ,dar cred ca si acest fapt ar prezenta un risc suplimentar.

Da-mi voie totusi sa intreb de ce sa risc securitatea bazei de date pentru a oferi o facilitate pe care o ofera un banal validator la fiecare urcare in vehicul si apasarea pe tasta "i"?

[dAImon]

Pentru că uneori nu circuli X zile la rând, prin urmare nu apuci să primeşti mesajul de "abonamentul expiră în 3 zile" (sau nu-l vezi datorită înghesuielii, mno). Dacă urci cu abonamentul expirat eşti pasibil de amendă, nu? Pe abonamentul de hârtie vedeai clar când expiră.

Aştept să se dorească deci ... cândva ... cincinalul ăsta.

Aceasta postare a fost editata de dAImon: 17 martie 2011 - 19:59

[Florin.B RATT]

Poate ar fi bine de pastrat bonul fiscal.... (si pentru alte probleme care pot aparea)

[BogdanTm]

Florin.B RATT, la 17 martie 2011 - 20:04, a spus:

Poate ar fi bine de pastrat bonul fiscal.... (si pentru alte probleme care pot aparea)

Este adevarat, e util de pastrat bonul fiscal. Din pacate, in foarte multe domenii din Romania, s-au cheltuit sume de miliarde de euro pentru informatizare, baze de date, carduri...dar fara hartia cu stampila, sau bon, sau "actul la mina".. tot nu e functional aproape nimic.

O situatie asemanatoare este si in domeniul raportarilor financiare, unde declaratiile se puteau trimite electronic dar organul de control solicita "hartia" cu viza de depunere la registratura administratiei financiare.

[NDY]

Fara suparare, insa si la banca rezolvi problema cu extrasul de cont daca te prezinti la ghiseu. Dar tot mai comod este sa accesezi e-banking-ul de acasa. Sa zicem ca astepti o plata care trebuie sa soseasca candva saptamana asta. Ce faci, mergi de 2 ori pe zi la banca sa vezi daca ai incasat banii? Sau verifici din 2 in 2 ore acasa, stand confortabil la birou?
Iar legat de securitatea serverului de baze de date...daca sistemul este facut cu cap, nu va exista niciun risc, asa cum a spus si dAImon. Au bancile posibilitatea de a te conecta pe serverul lor, care, sa fim seriosi, au nevoie de o securitate mult mai mare decat RATT, iar cea din urma nu ofera acces pe server de frica compromiterii bazei de date...
Pe langa asta, spuneati ca nu riscati securitatea bazei de date pentru o facilitate care este oferita de un validator. Deci, validatorul se conecteaza cumva la sistem. Mai mult decat atat, sunt sute de validatoare care se conecteaza la sistem. Presupun ca printr-o conexiune RJ-45. Ce ar fi daca cineva ar folosi acel conector pentru a-si "alimenta" scriptul propriu cu date din sistem? La urma urmei, sute de validatoare sunt mult mai vulnerabile decat o singura conexiune securizata la sistem...

Sper ca nu am ofensat pe nimeni in niciun fel, insa incercam sa demonstrez ca aceasta facilitate poate fi creata in cele mai sigure conditii, insa trebuie doar putina vointa pentru a o implementa

[Florin.B RATT]

Validatorul nu se conecteaza la server, pur si simplu citeste cardul si afiseaza datele de pe el.
P.S. Chiar n-ai auzit de probleme la banci? Au fost mediatizate o gramada si oamenii au ramas cu conturile goale. Nu exista nimic "perfect sigur"

[BogdanTm]

Desigur ca nu exista sisteme 100 % securizate. S-au intimplat si fraude in tranzactiile bancare, dar aceste riscuri sunt acoperite de asigurarile incheiate de respectivele banci, asa ca dupa (mai mult) sau mai putin timp de asteptare cei fraudati si-au recuperat sumele retrase ilegal din contul lor. Sunt convins ca si RATT ar putea incheia o astfel de asigurare, iar in cazul unor incidente nedorite de "atac informatic" paguba ar fi acoperita de societatea de asigurare, iar infractiunea ar fi urmarita de organele abilitate si de societatea de asigurare pentru prinderea vinovatilor. Din putinele mele cunostiinte informatice stiu ca orice baza de date are si optiunea de "backup" care poate fi folosita pentru restaurarea ei in cazul unor incidente nedorite.

Oricum ca si discutie de principiu, pe langa foloasele evidente ale sistemului de ticketing, tocmai lipsa implementarii catorva facilitati ii franeaza "succesul". Sistemul de ticketing din Bucuresti permite de pilda incarcarea cardurilor de calatorie prin acord cu BCR de la bancomatele acestei banci sau online daca ai card BCR.

off topic. de cele mai multe ori datele cardurilor din sistemul bancar ajung sa fie fraudate cu usurinta in urma utilizarii cardurilor pentru plati pe site-uri nu foarte sigure, si fara certificari. Ca si experienta personala, am calatorit in vara trecuta 2 saptamini in 12 tari europene, am utilizat cardul pentru plata biletelor de tren a cazarii si a cumparaturilor de suveniruri fara nici un fel de incident, desi am facut tranzactii atit in moneda euro cat si in lire sterline ( in Marea Britanie) in coroane daneze sau in franci elvetieni. Asadar riscul acesta desi exista eu cred ca este si in mod "senzationalist" exagerbat de media.

[cseh_17]

Florin.B RATT, la 17 martie 2011 - 20:04, a spus:

Poate ar fi bine de pastrat bonul fiscal.... (si pentru alte probleme care pot aparea)

So totusi... Pentru numele lui Dumnezeu, cu ce este mai important RATT decat o oarecare banca... Pana la urma vorbim de tranzactii de date, care contin maxim un nume si CNP (nu stiu exact continutul al tranzactiilor)

[Florin.B RATT]

Fiecare operator care lucreaza cu date are importanta lui si are dreptul sa-si stabileasca regulile pe care le considera adecvate pentru a-si proteja datele. La stabilirea acestor reguli au lucrat mai multe firme implicate in dezvoltarea si mentenanta sistemului. Daca toti cei implicati considera ca accesul de pe web (indiferent de metodele prin care se face) duce la insecuritatea sistemului e firesc sa nu se ofere acces la baza de date.

Pentru a se vedea valabilitatea unui card si alte date de pe el s-ar putea crea eventual un programel care rulat pe PC-ul clientului, client care are in dotare si un card reader, sa-i ofere toate aceste informatii.
Un astfel de card reader costa in jur de 25$ dar exista si modele mai mici la 19$

Acesta este modelul 3121 folosit in prezent si de RATT.

si acesta este modelul mai ieftin:

[BogdanTm]

Florin.B RATT, la 18 martie 2011 - 17:45, a spus:

Fiecare operator care lucreaza cu date are importanta lui si are dreptul sa-si stabileasca regulile pe care le considera adecvate pentru a-si proteja datele. La stabilirea acestor reguli au lucrat mai multe firme implicate in dezvoltarea si mentenanta sistemului. Daca toti cei implicati considera ca accesul de pe web (indiferent de metodele prin care se face) duce la insecuritatea sistemului e firesc sa nu se ofere acces la baza de date.

Pentru a se vedea valabilitatea unui card si alte date de pe el s-ar putea crea eventual un programel care rulat pe PC-ul clientului, client care are in dotare si un card reader, sa-i ofere toate aceste informatii.
Un astfel de card reader costa in jur de 25$ dar exista si modele mai mici la 19$

3121.jpg Acesta este modelul 3121 folosit in prezent si de RATT.

si acesta este modelul mai ieftin: hid-omnikey-3021.jpg

NU doresc ca acest mesaj sa fie considerat sub nici o forma ca si atac la anumite persoane. Sunt constient ca implementarea sistemului de ticketing in Timisoara a insemnat implicare personala si mult "suflet" din partea multor oameni ca si domnul Florin si alte persoane despre a caror implicare am aflat mai putin ca si membru al formului dar prin simplu fapt ca sistemul functioneaza in forma actuala ma face sa fiu convins de contributia lor. Cele cateva facilitati mentionate de mine si de alti membrii ai forumului ca si dorinta de a fi introduse , se pare ca se lovesc de un foarte mare impediment in Romania actuala...simplu fapt ca sunt posibile (tehnic vorbind ) de a fi implementate fara necesitatea unui contract suplimentar, ma face sa cred ca NU SUNT DORITE. Inca o data imi cer scuze fata de domnul Florin si ceilalti entuziasti care sunt convins ca DORESC functionarea si utilizarea la capacitatea maxima a acestui sistem..dar dati-mi voie sa cred ca daca ar exista posibilitatea ca cei doi colegi ai nostrii de formum din postarile anterioare sa fie actionari ai unei firme "de partid"...am vedea in maxim 1 saptamina implementate aceste solutii informatice...perfect functionale....si securizate. Desigur ar urma in cel mai pur "stil romanesc" grija actionarilor pentru "para-ndarat" adica plata comisioanelor si a "consultantei"...in caz contrar urmand consecintele...DNA...lupta anticoruptie....si "exmeplu pe unitate" de prindere a "infractorilor deosebit de periculosi" care...fireste...cheltuie nejustificat banul public.

[dAImon]

Apoi numa'-ncet, nu-ţi face sânge rău .. a explicat Dl. Florin că este posibil d.p.d.v. tehnic, dar nu este încă necesar. Dacă ar deveni util s-ar putea implementa în scurt timp. Chestia la sistemele informatice nu-i să adaugi TOT ce poţi, pentru că rişti să introduci vulnerabilităţi sau să le îngreunezi, plus că modernizarea făcută prea devreme se loveşte de impasibilitatea publicului "consumator". Degeaba faci avioane dacă ei nici să valideze corect nu ştiu cu toţii şi muncesc 5 echipe de oameni pentru 20 de călători mai răsăriţi

Dar cândva în viitor va fi cazul să se introducă facilităţi noi, s-a mai discutat şi despre achiziţia unui bilet prin SMS, reîncărcarea cardurilor la bancomate, informaţii în timp real despre trafic prin SMS, lărgirea opţiunilor prin introducerea de titluri de călătorie cu valabilitate pe timp (2-3 ore, nu doar legitimaţie de o zi), oferirea de titluri duale (bilet metro+oraş). Tocmai ăsta e riscul, să te apuci de N chestii şi să nu iasă nici una bine. În timp, totuşi ...

[BogdanTm]

dAImon, la 18 martie 2011 - 21:00, a spus:

Apoi numa'-ncet, nu-ţi face sânge rău .. a explicat Dl. Florin că este posibil d.p.d.v. tehnic, dar nu este încă necesar. Dacă ar deveni util s-ar putea implementa în scurt timp. Chestia la sistemele informatice nu-i să adaugi TOT ce poţi, pentru că rişti să introduci vulnerabilităţi sau să le îngreunezi, plus că modernizarea făcută prea devreme se loveşte de impasibilitatea publicului "consumator". Degeaba faci avioane dacă ei nici să valideze corect nu ştiu cu toţii şi muncesc 5 echipe de oameni pentru 20 de călători mai răsăriţi

Dar cândva în viitor va fi cazul să se introducă facilităţi noi, s-a mai discutat şi despre achiziţia unui bilet prin SMS, reîncărcarea cardurilor la bancomate, informaţii în timp real despre trafic prin SMS, lărgirea opţiunilor prin introducerea de titluri de călătorie cu valabilitate pe timp (2-3 ore, nu doar legitimaţie de o zi), oferirea de titluri duale (bilet metro+oraş). Tocmai ăsta e riscul, să te apuci de N chestii şi să nu iasă nici una bine. În timp, totuşi ...

Si eu sper ca in timp se vor introduce. Recunosc sunt mai "impatimit" si poate de aceea imi doresc mai curand multe din facilitatile mentionate de tine. Totusi ma gandesc ca in conditiile in care regia de transport doreste existenta cat mai multor utilizatori-platitori, macar facilitatea de consultare a perioadei de timp a valabilitatii abonamentelor, sau de incarcare a portofelului electronic prin transfer bancar (de pilda plata prin sistem PayPal) ar fi foarte utila.

Acum imi vine in minte o facilitate oferita de Romtelecom, care ofera in momentul crearii unui cont de utilizator pe site-ul companiei posibilitatea de a fi notificat printr-un SMS la un numar de mobil definit de utilizator a momentului de emitere a facturii si ulterior cu 2 zile inainte de data scadenta a primirii inca unui SMS cu suma scadenta de plata si data limita. Ma gandesc ca in acest fel baza de date este de fapt securizata, nefiind necesara accesarea ei on-line ci doar ca sistemul (serverul) sa trimita acele SMS utilizatorilor de abonamente de pilda cu cateva zile inainte de expirarea perioade de valabilitate a acestora (problema cu care te-ai confruntat tu)..

[Florin.B RATT]

Suntem intr-un proces de reducere drastica a cheltuielilor si nu cred ca ne-am permite expedierea a mii de SMS-uri.

[BogdanTm]

Florin.B RATT, la 18 martie 2011 - 23:31, a spus:

Suntem intr-un proces de reducere drastica a cheltuielilor si nu cred ca ne-am permite expedierea a mii de SMS-uri.

Da, perfect de acord. Nici eu nu doream sa spun ca ar trebui oferit "gratuit" acest serviciu. Dar ma gandesc ca s-ar putea implementa cumva o forma prin care sa trimit un SMS in care sa specific seria cardului si sa primesc raspuns de la "sistem" despre creditul existent sau data de expirare a abonamentului. SMS ar putea fi trimis printr-un numar suprataxat (in genul SMS pt abonarea la anumite publicatii din media) caz in care, costul pentru regie nu ar fi unul impovarator. Eu sau orice alt utilizator as plati pentru acest serviciu,daca e alegerea mea sa apelez la el pentru a fi informat si a nu risca o calatorie frauduloasa.