Nowy e-PIT okiem ekspertów od bezpieczeństwa

[miles73]

Witam,

Z dokumentacji firmy Adobe wynika, że aby wtyczka mogła być uruchamiana w
programie Adobe Reader (tak jak w przypadku e-deklaracji), to musi zostać ona
podpisana cyfrowo i zweryfikowana przez Adobe. Zabezpiecza to przed jej
nieautoryzowaną podmianą. Wydaje się, że Pan Ekspert zabiera głos na temat o
którym nie ma pojęcia.

[pavle]

Tak, ale czy weryfikacja o której kolega pisze jest
przeprowadzana przez Readera, czy przez system?

Jeżeli nie jest możliwe zweryfikowanie podpisu przez system,
to tak naprawdę nie wiesz co uruchamiasz. Podstawiony trojan
może nawet zrobić swoje, a później zapodać poprawną wtyczkę
Acrobat Readerowi.

Nie postponowałbym tak definitywnie opinii Pana Eksperta.

[waw-pub]

No dokładnie - uruchamiasz w tym przypadku .exe-ka w którym niewiadomo co jest.

[miles73]

Rzeczywiście, sam exe-k instalatora może kryć wiele niemiłych niespodzianek.
Natomiast twierdzę, że sama technologia wtyczek do Adobe Reader-a sama w sobie
jest wystarczająco bezpieczna - sam AR nie uruchomi wtyczki niepodpisanej
cyfrowo certyfikatem wystawionym przez Adobe.

Nie ma to jak promocja Adobe przez MF

[siciliano]

Podstawowa wada tego systemu jest taka że wymaga zainstalowania
pakietu plików i programów firmy Adoby. Jest tego nie mało ...260MB
i nikt nie da mi gwarancji że to działa bez zarzutu.
Takich wymagań nie mają witryny banków i nikt nie narzeka.

Do wysyłania pitów MF powinno wystawić zwykłe szyfrowane formularze
pod https + porcja pól weryfikujących tożsamość - kwota przychodu z
poprzedniego roku to za mało.

Trzeba podejrzeć jak to robią inni a nie zmuszać ludzi do instalacji
kilogramów zbędnego oprogramowania.