Andrzej Jarzabek wrote:

> Przy czym akurat właśnie w przypadku oprogramowania testowanie
> laboratoryjne jest na tyle nieskuteczne, że rzeczywistym winnym awarii
> programu certyfikowanego przez laboratorium będzie faktycznie nie samo
> laboratorium, bo ono mogło przeprowadzić swoje testy rzetelnie, tylko
> debil, który zdecydował, że dla oprogramowanie wymagane są testy
> laboratoryjne zamiast certyfikacji procesu.

Programowanie posiada zwykle także kod źródłowy, który można by oglądać i
oceniać. Może też mieć pomagającą w zrozumieniu kodu dokumentację.

Jakby zastosować często występujące w tym wątku porównanie z budownictwem:
ocenia się tam projekt, zastosowane materiały itp., a nie np. gotowy blok
10-piętrowy, już otynkowany i pomalowany - i inspektor na podstawie jego
wyglądu, czy wrażeń doznawanych podczas spaceru wewnątrz budynku, miałby
zgadywać z jakich materiałów i jakiej grubości są poszczególne elementy
konstrukcyjne - i jakie obciążenie, przez ile czasu budowla wytrzyma.

do góry

Andrzej Jarzabek wrote:

>> W tych całych certyfikatach tylko o to chodzi, żeby klient więcej
>> zapłacił, bo jest mniejsza konkurencja, a poza tym uzasadnienie: ile
>> musieliśmy wydać na certyfikację.
>
> W tym całym narzekaniu na certyfikację chodzi tylko o to, że kiepscy
> programiści boją się, że nikt ich nie będzie chciał zatrudnić.

Skoro nikt nie będzie chciał, to po co jeszcze tego ZAKAZYWAĆ?

do góry

On 14/01/2011 00:30, Stachu 'Dozzie' K. wrote:
>>> nadaje do urządzenia shoppera. Shopper robi zakupy fałszywą kartą.
>>
>> OK, tak to może działać. Kwestia taka, że jeśli zbliżeniówką można
>> płacić tylko niewielkie kwoty,
>
> Transakcje do 50zł? Nie tak znowu niewiele. A jeśli wiele razy tak
> zrobię jako atakujący? Nakupię paletę Coca-coli i będę odsprzedawać za
> połowę ceny. Myślisz że się nie zwróci?

Odgrzewając tego kotleta myślę, że zyski będą małe w stosunku do
nakładów i ryzyka. Dlatego też mało kto będzie to robił, i nawet jak się
im to zwróci, to straty będą na tyle niewielkie, że i tak całość się opłaci.

> Ludzie są pomysłowi. Nie mam zamiaru nie doceniać kieszonkowców (bo to
> taka kategoria kradzieży). Każdy brak autoryzacji transakcji wygląda mi
> jak zły pomysł (to samo myślę o kartach kredytowych używanych on-line).

No widzisz, a ludzie jednak płacą kartami online i jakoś to wszystko
działa. Powiem więcej - działa bardzo dobrze.

do góry

On 14/01/2011 03:38, Jacek wrote:
> Dnia Fri, 14 Jan 2011 00:30:13 +0000 (UTC), Stachu 'Dozzie' K. napisał(a):
>
>> Ludzie są pomysłowi. Nie mam zamiaru nie doceniać kieszonkowców (bo to
>> taka kategoria kradzieży). Każdy brak autoryzacji transakcji wygląda mi
>> jak zły pomysł (to samo myślę o kartach kredytowych używanych on-line).
>
> Co do placenia karta w internecie, to nie mam obaw, bo mam 2 konta.
> Na koncie karty mam 0. Jak potrzebuje zaplacic 100zl w necie, to przelewam
> z konta glownego na internetowe, place i znowu mam 0.

Strasznie dużo chrzanienia się. Nie lepiej po prostu mieć kartę od konta
bieżącego i drugą kredytową?

do góry

On 20/01/2011 18:48, Wojciech Jaczewski wrote:
> Andrzej Jarzabek wrote:
>>
>> W tym całym narzekaniu na certyfikację chodzi tylko o to, że kiepscy
>> programiści boją się, że nikt ich nie będzie chciał zatrudnić.
>
> Skoro nikt nie będzie chciał, to po co jeszcze tego ZAKAZYWAĆ?

A ktoś chciał zakazywać?

do góry

On 20/01/2011 18:39, Wojciech Jaczewski wrote:
> Andrzej Jarzabek wrote:
>
>> Przy czym akurat właśnie w przypadku oprogramowania testowanie
>> laboratoryjne jest na tyle nieskuteczne, że rzeczywistym winnym awarii
>> programu certyfikowanego przez laboratorium będzie faktycznie nie samo
>> laboratorium, bo ono mogło przeprowadzić swoje testy rzetelnie, tylko
>> debil, który zdecydował, że dla oprogramowanie wymagane są testy
>> laboratoryjne zamiast certyfikacji procesu.
>
> Programowanie posiada zwykle także kod źródłowy, który można by oglądać i
> oceniać. Może też mieć pomagającą w zrozumieniu kodu dokumentację.

Może, ale:

Jeśli certyfikacja kodu źródłowego ma polegać na tym, że laboratorium
poświadcza, że "inspektor kodu" przeczytał kod i nie znalazł w nim
problemów, a "inspektorem kodu" może być każdy, to takie zaświadczenie
nie jest nic warte.

Jeśli certyfikujemy "inspektorów kodu" to de facto jest to to samo, co
certyfikacja programistów - bo "inspektor kodu" musi i tak umieć to,
czego oczekiwalibyśmy od certyfikowanego programisty.

Poza tym sprawdzenie kodu źródłowego na poziomie pozwalającym
zagwarantowanie odpowiedniego poziomu niezawodności zajmowałoby ten sam
rząd czasu, co jego napisanie. Pomysł uprawnień dla programistów był
krytykowany za nadmierną biurokratyzację i zwiększenie kosztów. Wymóg
inspekcji kodu źródłowego powoduje jeszcze większe zwiększeniee kosztów,
zwiększenie czasu produkcji, wprowadzenie trzeciej instytucji. Zamiast
wymagać, żeby kod, który może być napisany przez kogokolwiek, był
certyfikowany przez certyfikowaną instytucję zatrudniającą
certyfikowanego inspektora kodu nie lepiej pozwolić programiście w
firmie produkującej oprogramowanie zrobić uprawnienia inspektora kodu, i
żeby on sam swój program certyfikował?

> Jakby zastosować często występujące w tym wątku porównanie z budownictwem:
> ocenia się tam projekt, zastosowane materiały itp., a nie np. gotowy blok
> 10-piętrowy, już otynkowany i pomalowany - i inspektor na podstawie jego
> wyglądu, czy wrażeń doznawanych podczas spaceru wewnątrz budynku, miałby
> zgadywać z jakich materiałów i jakiej grubości są poszczególne elementy
> konstrukcyjne - i jakie obciążenie, przez ile czasu budowla wytrzyma.

Ale tutaj inspektor jest jakby dodatkowym poziomem zabepieczenia - bo
przede wszystkim certyfikowane uprawnienia mają architekt, budowlaniec i
kierownik budowy.

Analogicznie w produkcji oprogramowania gdybyśmy już mieli wymaganie, że
programista ma uprawnienia, to dodatkowo moglibyśmy zapewnić jeszcze
większą jakość przez wymóg audytu kodu przez niezależnego inspektora z
uprawnieniami (być może po prostu również uprawnieniami programisty).

do góry

On 2011-01-20, Andrzej Jarzabek <a...@g...com> wrote:
> On 14/01/2011 00:30, Stachu 'Dozzie' K. wrote:
>>>> nadaje do urządzenia shoppera. Shopper robi zakupy fałszywą kartą.
>>>
>>> OK, tak to może działać. Kwestia taka, że jeśli zbliżeniówką można
>>> płacić tylko niewielkie kwoty,
>>
>> Transakcje do 50zł? Nie tak znowu niewiele. A jeśli wiele razy tak
>> zrobię jako atakujący? Nakupię paletę Coca-coli i będę odsprzedawać za
>> połowę ceny. Myślisz że się nie zwróci?
>
> Odgrzewając tego kotleta myślę, że zyski będą małe w stosunku do
> nakładów i ryzyka. Dlatego też mało kto będzie to robił, i nawet jak się
> im to zwróci, to straty będą na tyle niewielkie, że i tak całość się opłaci.

Ja akurat uważam że ryzyko nie będzie zbyt duże, a zyski porównywalne
z inną drobną działalnością przestępczą, tylko bariera wejścia będzie
wysoko, bo będzie trzeba naprawdę dobrego inżyniera.

>> Ludzie są pomysłowi. Nie mam zamiaru nie doceniać kieszonkowców (bo to
>> taka kategoria kradzieży). Każdy brak autoryzacji transakcji wygląda mi
>> jak zły pomysł (to samo myślę o kartach kredytowych używanych on-line).
>
> No widzisz, a ludzie jednak płacą kartami online i jakoś to wszystko
> działa. Powiem więcej - działa bardzo dobrze.

Powiem jeszcze więcej: zadziwia mnie że to tak dobrze działa (bo
faktycznie, działa i ten rynek jakoś nie ma tendencji do zanikania; co
do tego nie mam wątpliwości), skoro cała konstrukcja się trzyma na gumę
do żucia i taśmę klejącą.

--
Secunia non olet.
Stanislaw Klekot

do góry

On 20/01/2011 20:35, Stachu 'Dozzie' K. wrote:
> On 2011-01-20, Andrzej Jarzabek<a...@g...com> wrote:
>> On 14/01/2011 00:30, Stachu 'Dozzie' K. wrote:
>>>>> nadaje do urządzenia shoppera. Shopper robi zakupy fałszywą kartą.
>>>>
>>>> OK, tak to może działać. Kwestia taka, że jeśli zbliżeniówką można
>>>> płacić tylko niewielkie kwoty,
>>>
>>> Transakcje do 50zł? Nie tak znowu niewiele. A jeśli wiele razy tak
>>> zrobię jako atakujący? Nakupię paletę Coca-coli i będę odsprzedawać za
>>> połowę ceny. Myślisz że się nie zwróci?
>>
>> Odgrzewając tego kotleta myślę, że zyski będą małe w stosunku do
>> nakładów i ryzyka. Dlatego też mało kto będzie to robił, i nawet jak się
>> im to zwróci, to straty będą na tyle niewielkie, że i tak całość się opłaci.
>
> Ja akurat uważam że ryzyko nie będzie zbyt duże,

Wiesz, jak ludzie będą robieni na 50 zyka od zakupó, to wielu z nich się
połapie i zaczną zgłaszać skargi. Z drugiej strony "obwąchiwanie" jakimś
urządzeniem klientów w kolejce kwalifikuje się jako podejrzane
zachowanie, zwłaszcza, że zauważ, że przy tej metodzie jeden ze
wspólników musi trzymać to urządzenie w odległości kilku centymetrów od
portfela właściciela legalnej karty w tym samym czasie, kiedy drugi
wykonuje przy kasie płatność. Z trzeciej strony chyba wszystkie
supermarkety mają CCTV.

> a zyski porównywalne
> z inną drobną działalnością przestępczą, tylko bariera wejścia będzie
> wysoko, bo będzie trzeba naprawdę dobrego inżyniera.

Naprawdę dobrzy inżynierowie nie są raczej zainteresowani zyskami
porównywalnymi z drobną działalnością przestępczą typu 25 PLN za godzinę.

>> No widzisz, a ludzie jednak płacą kartami online i jakoś to wszystko
>> działa. Powiem więcej - działa bardzo dobrze.
>
> Powiem jeszcze więcej: zadziwia mnie że to tak dobrze działa (bo
> faktycznie, działa i ten rynek jakoś nie ma tendencji do zanikania; co
> do tego nie mam wątpliwości), skoro cała konstrukcja się trzyma na gumę
> do żucia i taśmę klejącą.

Ale w zasadzie czemu miałoby nie działać?

do góry

On 2011-01-20, Andrzej Jarzabek <a...@g...com> wrote:
[...]
>> a zyski porównywalne
>> z inną drobną działalnością przestępczą, tylko bariera wejścia będzie
>> wysoko, bo będzie trzeba naprawdę dobrego inżyniera.
>
> Naprawdę dobrzy inżynierowie nie są raczej zainteresowani zyskami
> porównywalnymi z drobną działalnością przestępczą typu 25 PLN za godzinę.

I to właśnie nazwałem barierą wejścia. Są metody, gdzie nie trzeba
wyspecjalizowanej technicznej kadry.

>>> No widzisz, a ludzie jednak płacą kartami online i jakoś to wszystko
>>> działa. Powiem więcej - działa bardzo dobrze.
>>
>> Powiem jeszcze więcej: zadziwia mnie że to tak dobrze działa (bo
>> faktycznie, działa i ten rynek jakoś nie ma tendencji do zanikania; co
>> do tego nie mam wątpliwości), skoro cała konstrukcja się trzyma na gumę
>> do żucia i taśmę klejącą.
>
> Ale w zasadzie czemu miałoby nie działać?

Bo z technicznego punktu widzenia to taśma klejąca i plastelina. Znaczy,
brak autoryzacji transakcji przez właściciela konta (myślę o kartach
kredytowych używanych do płatności on-line). Za zadziwiające uważam że
się w ogóle opłaca taki system.

Ale po prawdzie, tak samo mnie zadziwia że działa dowóz pizzy na
telefon. Zabezpieczenia właściwie takie same i analogicznie się opłaca.
Co jest wspólnego w obu systemach to założenie, że nadużyć będzie
niewiele (ja jestem po części przyzwyczajony do zakładania, że druga
strona będzie się zachowywać niezgodnie z protokołem zawsze gdy jej na
to pozwolić).

--
Secunia non olet.
Stanislaw Klekot

do góry

On 20/01/2011 22:25, Stachu 'Dozzie' K. wrote:
> On 2011-01-20, Andrzej Jarzabek<a...@g...com> wrote:
>>
>> Ale w zasadzie czemu miałoby nie działać?
>
> Bo z technicznego punktu widzenia to taśma klejąca i plastelina. Znaczy,
> brak autoryzacji transakcji przez właściciela konta (myślę o kartach
> kredytowych używanych do płatności on-line). Za zadziwiające uważam że
> się w ogóle opłaca taki system.

Trochę nad tym myślałem i oczywiście rozwiązanie nie jest idealne, ale
tez nie jest zupełnie fatalne:
Znając numer i inne parametry karty carder może coś kupić, ale gotówki
sobie nie wypłaci. Jeśli kupuje fizyczne rzeczy, to może być złapany
przy ich odbiorze. Może sobie nakupić pornoli, ale raczej się w ten
sposób nie dorobi.

Z kolei sklepy są jednak "vetted" - nie każdy dostaje możliwość
przyjmowania płatności kartą za piękne oczy. I o ile rozumiem, też nie
ma możliwości wypłacenia sobiee tych pieniędzy od razu, więc w wielu
przypadkach zdążą mu zamrozić konto.

Oczywiście zdarza się, że system szwankuje, ale na tyle rzadko, i w
praktyce moża wyjąć tak niewielkie kwoty, że to się nie opłaca. Mnie w
ciągu ostatnich czterech lat dwa razy się zdarzyło, że bank mi
unieważnił kartę z powodu kradzieży danych, ale tylko za pierwszym razem
musieli mi zwracać kasę i to było jakieś tysiąc zyka, które zostały
wydane na wachę, bilety do kina i takie tam pierdoły (bank się
zorientował, że coś jest nie tak, bo była seria płatności na POSach bez
PINa w krótkich odstępach czasu w różnych częściach kraju.

> Ale po prawdzie, tak samo mnie zadziwia że działa dowóz pizzy na
> telefon. Zabezpieczenia właściwie takie same i analogicznie się opłaca.

Weź pod uwagę, że jak ktoś nie zapłaci, to nie dostanie pizzy, więc
średnio to się opłaca.

do góry