https://tummennuskalvot.fi/

Koronatodistus

HiTec

Legenda
Liittynyt
4.4.2017
No johan ovat taas hökötyksen kiireessä koodanneet ;D

Elikkäs tuolta HUS:n https://koronatietoni.fi/ palvelusta voi käydä itselleen latailemassa "certin" jotta korona-negatiivisia ollaan, jotta matkustaminen olisi hiukka helpompaa. Vaan se tuolta ladattu PDF on täysin suojaamaton, avoin tiedosto, jonka editointi ei todellakaan vaadi mitään hiukkasfysiikkaa = aivan lapsellisen helppo väärennettävä jotta olisi mukamas 2pv sitten käyty testissä ja saatu neg.tulos, jep jep ;D ;D ;D

Paljonkohan tuohonkin turhuuteen on taas HUS varoja hukannut, kun tuolla lappusella ei oikeasti ole tasan mitään arvoa ???
 
Voisi olla hyvä lähettää tiedoksi jonnekin vastuullisille tuo, että voivat korjata asap.
 
Kerrotko miten tuo korjataan niin, että paperin aitous on tarkistettavissa missä tahansa, kenen tahansa toimesta. Minun nähdäkseni tuohon ei ole toimivaa ratkaisua, jonka yksi sairaanhoitopiiri tai edes yksi valtio voisi yksin luoda.
 
Penguin sanoi:
Kerrotko miten tuo korjataan niin, että paperin aitous on tarkistettavissa missä tahansa, kenen tahansa toimesta. Minun nähdäkseni tuohon ei ole toimivaa ratkaisua, jonka yksi sairaanhoitopiiri tai edes yksi valtio voisi yksin luoda.
Miten on setelipaino? Joo vähän hidas ja ehkä kallis.

Mobiilissa vastaava kuin on mobiibilippusysteemit, animaatio ja tunniste jonka voi tarkistaa palvelusta online.
 
Mistä palvelusta se valtion X rajaviranomainen tuo tarkistaa ja miten hän tunnistaa että palvelu luotettava? Voinhan minä laittaa oman palvelun pystyyn.

Ei niitä e-Passejakaan ihan päivässä tempaistu käyttöön ja vielä vuosien jälkeenkään ne eivät ole koko maailmassa käytössä, saati että pystyttäisiin tarkistamaan ne kaikkialla.

Mihin muuhun tuota edes tarvitaan kuin matkustettaessa?
 
Penguin sanoi:
Kerrotko miten tuo korjataan niin, että paperin aitous on tarkistettavissa missä tahansa, kenen tahansa toimesta. Minun nähdäkseni tuohon ei ole toimivaa ratkaisua, jonka yksi sairaanhoitopiiri tai edes yksi valtio voisi yksin luoda.
No järjestelmähän vaatii vahvan tunnistautumisen jotta tuon paperin edes saa sieltä ulos. No miksi tuohon paperiin ei sitten tulosteta vaikka QR-koodina webapin osoitetta tunnistetietoineen, josta tuon saa myöskin chekattua online? Tuohon riittäisi tunnistetiedoksi pelkkä tuon paperin UUID, jolla tuon voisi chekata onko tulos kuinkakin vanha ja mille hetulle. Ja niistä muista matkustusasiakirjoista sitten selviää onko kyseinen hlö kyseisen hetun omistaja vaiko eikö. Ja koska kyseessä on URL, niin sen QR-koodinhan lukaisee helposti vaikka kännykällä ja chekkaa onko asia kunnossa vaiko eikö :)

Entäs sitten jos joku vaan kalastelee syöttämällä tuonne webapiin randomisti erilaisia UUID-tunnisteita ja nuuskii niihin liitettyjä hetuja? No mitä hän tuolta sitten lopulta saa? UUID-tunnisteen (esim. 796317e8-0597-47b5-becd-e1383dae2f43), johon kuuluu hetu (esim. 230961-618S) ja negatiivisen koronatestin pvm. Joilla tiedoilla hän tekee ... niin mitä? Aika turhaa on yrittää esim. certiä noilla tiedoilla väärentää, jos ei ole rajaviranomaiselle tyrkätä myös passia ko. hetulla varustettuna. Ja pelkkä hetuhan ei ole tietoturvankaan kannalta uhka, koska siihen ei ole yhdistetty nimi- tms. tietoja lainkaan 8)

Näitä UUID-tunnisteita ja hetuja jokainen pystyy generoimaan itsekin esim.
https://www.uuidgenerator.net/version4
https://www.telepartikkeli.net/tunnusgeneraattori
 
Ja mistä tämä satunnainen ulkomainen koronatodistuksen tarkistaja varmentaa tuon URL:ssä sijaitsevan palvelun aitouden? Hetukaan ei ole passeissa mikään yleismaailmallinen asia, toisin kuin passinnumero, joka löytyy jokaisesta passista, mutta ei varmasti löydy aidosta koronatodistuksesta.

Sinä teet myös oletuksen, että jollain maahantulovirkailijalla olisi Internet-käytettävissä ja pääse jollekin random koronatodistuspalvelimelle. Tuskin on edes Suomessa, puhumattakaan että olisi muualla maailmassa.
 
Penguin sanoi:
Ja mistä tämä satunnainen ulkomainen koronatodistuksen tarkistaja varmentaa tuon URL:ssä sijaitsevan palvelun aitouden? Hetukaan ei ole passeissa mikään yleismaailmallinen asia, toisin kuin passinnumero, joka löytyy jokaisesta passista, mutta ei varmasti löydy aidosta koronatodistuksesta.

Ei ole tietoteknisesti kummoinenkaan juttu siellä passintarkastuksessa whitelistata routerille näitä kansallisia hyväksyntäpalvelimia, jolloin sen väärennetyn palvelimen osoitteen tunkeminen paperin QR-koodiin ei "yllättäen" johdakaan mihinkään. Ja passinsakin numeron tuohon todistukseen voi lisätä, sillä tuo todistuspalveluhan sitä myös ehdottaa, jotta joissain maissa se tarvitaan ja näin se olisi hyvä siihen myös lisätä = tuskin olet palvelua edes kokeillut kun jo vedät omiakin johtopäätöksiäsi sen toiminnasta :rolleyes:

Eli kuten sanoin, tuosta olisi helposti tehtävissä jo varsin luotettavakin todistus - ja taas toisaalta maailmassa on vielä paljon maita joissa se leimojen lukumäärä paperissa mukamas jotenkin takaisi sen aitouden ja ihan suomessakin kummasti kaikenlaiset valtakirjatkin kelpaa jos vaikka mihin paikoihin, vaikka tuossa lapussa ei muuta olisikaan kuin joku epämääräinen nimikirjoitukseksi kutsuttu, kynällä piirretty viivan pätkä, jolla ei todellisuudessa tartte olla yhtään mitään tekemistä itse valtuuden antajan kanssa. Tai sitten tulee näitä lakikukkasia kun huoltajalla ei ole valtuutta hakea alaikäisen lapsensa passia, mutta hänellä on valtuus antaa valtakirja lapsensa puolesta asiointiin => huoltaja kirjoittaa itse itselleen valtakirjan ja näin sen passin luovutus onkin sitten yllättäen ihan ok :rolleyes:
 
Mielestäni riittää, että se muutetaan pois "lapsellisen helppo väärentää" statuksesta. Turhaa miettiä jotain palvelimien aitouden varmistamista.

Tuo QR koodi samalla paperilla on hyvä idea. Voisi jo riittää että siinä on jotain avaintietoja paperista tuplattuna . Se jo poistaa 95% väärinkäytöksistä, joka riittää. Palvelinyhteydellä 99,99%.

Täytyy nyt muistaa mihin tarkoitukseen tätä käytetään, vaiva väärentämisestä vs hyöty, ja tavan ihmisten osaamattomuuteen asian kiertämisen kanssa.
 
Melko pitkään tuntuu kestävän ennen kuin viranomainenkin herää kuinka lapsellisen helppo väärennettävä tuo pdf-paperi on. Toki hyvä että heräävät, mutta silti luulisi tälläisten lapsusten olevan hoidettu jo hyvissä ajoin kuntoon ennen koko lappusen julkistamista :rolleyes:

Eli jälleen kerran on testaus unohdettu tyystin, menty sieltä missä aita on matalin. Toki itsekin nimenomaan testauksesta leipäni saavana kyrsii tälläiset oikomiset, millaista kuraa päästetään tuotantoon kun asiat voisi hoitaa myös kerralla kuntoon :mad:

https://www.is.fi/kotimaa/art-2000007913854.html
Suomen itsenäisyyden juhlarahasto Sitrassa pohditaan parhaillaan keinoja yhteiskunnan avaamiseksi koronarajoitusten jälkeen. Kehitteillä on malli, jossa koronatodistus voitaisiin kytkeä maksukortteihin.

Johtaja Antti Kivelä kertoo STT:lle, että malli olisi teknisesti täysin mahdollinen toteuttaa.

Juridista puolta selvitetään. Esillä on esimerkiksi se, voisiko tieto tulla Omakanta-palvelusta.

Etuihin kuuluu se, että lähes kaikilla ihmisillä on maksukortti, jota he ovat sitoutuneet korttiehdot hyväksyessään säilyttämään hallussaan. Hankkeessa on ollut esillä mahdollisuus käyttää kortteja esimerkiksi työpaikoilla, kuten telakoilla, tehtailla, rakennustyömailla tai toimistoissa.

Selvitettäväksi tulevat myös käyttö festivaaleilla tai muissa tapahtumissa, jonne lipun voi ostaa etukäteen.

– Onko sopimusvapauden piirissä, että voidaan vaatia, että jos tulet meidän festareillemme niin me edellytämme, että koronastatus on ok tai että käyt pikatestissä, Kivelä kuvasi yhtä selvitettävää kysymystä.

Toisen ihmisen maksukortin vilauttamista ei voi aukottomasti estää, mutta teko on lain mukaan maksuvälinepetos.

Väärentäminen vaikeammaksi

Etuja ovat kustannustehokkuus, helppokäyttöisyys ja se, että maksukortteja ja päätteitä löytyy kaikkialta. Kivelän mukaan tarkoitus on vappuun mennessä päättää, edetäänkö hankkeen kanssa käytännön kokeiluun. Hankkeesta on keskusteltu sekä kansainvälisten maksuverkkoyhtiöiden ja EU-komission että kotimaassa hallituksen ja ministeriöiden kanssa.

Tietoturvaa on pohdittu. Eurooppalaiset tietosuojaviranomaiset ovat linjanneet, että ihmisten koronatiedoista ei saa kertyä mitään keskitettyä rekisteriä.

Joka tapauksessa maksukortit olisivat varmempi järjestelmä kuin esimerkiksi itse netistä tulostettavat todistukset.

– Suomessa on jo ollut 4–5 tapausta, jossa on väärennytty papereita. Reaaliaikaisuus ja tarkistus takaavat sen, että väärennöstä ei voi tehdä, Kivelä sanoi.
 
HiTec sanoi:
https://www.is.fi/kotimaa/art-2000007913854.html

"Toisen ihmisen maksukortin vilauttamista ei voi aukottomasti estää, mutta teko on lain mukaan maksuvälinepetos."

Millä logiikalla toisen maksukortin vilauttamista päätteelle koronastatuksen todentamistarkoituksessa voisi pitää maksuvälinepetoksena?

Rikoslaki kun määrittelee maksuvälinepetoksen seuraavasti:

"Joka, hankkiakseen itselleen tai toiselle oikeudetonta taloudellista hyötyä..."

Eihän kyse ole taloudellisen hyödyn tavoittelusta.


 
Koko tämä ajatuskin terveystietojen edes osittaisesta levittelemisestä ympäri maailman on järkyttävä. Se, kun kerran avataan, niin siinä ei tule olemaan mitään rajaa.

Verkkokauppaan on kyllä pitänyt saada kaupankäyntiä hankaloittamaan monimutkaiset vahvat tunnistamiset, mutta maksukortin käyttäjää ei käytännössä tunnisteta mitenkään ja nyt sen kortin tunnistetiedoilla pitäisi sitten saada pääsy terveystietoihin.

Kas, kun ei velvoiteta kaikkia niitä, joilla ei ole rokotettu, ompelemaan vaatteisiinsa koronavirusmerkki, niin kaikki vastaantulijat tietävat varoa.
 
Penguin sanoi:
Kas, kun ei velvoiteta kaikkia niitä, joilla ei ole rokotettu, ompelemaan vaatteisiinsa koronavirusmerkki, niin kaikki vastaantulijat tietävat varoa.

Tässä olisi ajatusta. Samalla kannattaa rokottamattomat keskittää  turvallisiin aidattuihin leireihin, jolloin pahasta maailmasta ei leviä virus näihin rokottamattomiin raukkoihin.

Tähän kohtaan sellainen hymiö ettei kukaan vaan ota liian tosissaan.
 
Mites tän koronapassin pitäisi toimia? Meillä nyt muutama jantteri töissä pääsi vihdoin muuttamaan suomeen EU:n ulkopuolelta ja olivat koittaneet mennä syömään ravintolaan Isossa Omenassa. Eivät päässeet ravintoloihin sisään vaikka heillä on koronatodistus. Kuulemma kelpaa vain EU:n sisäinen todistus. Porukka kuitenkin on lomaillut nyt Suomesta EU:n ulkopuolella niin tuskin ovat kokkailleet omia eväitä vaan käyneet ravintoloissa.
 
No niin, sosiaali ja terveysministeriön sivuilta löytyikin tieto, että EU:n ulkopuolinen passi kelpaa 23.12. alkaen. Ehkä ravintoloitsijat eivät vain olleet tästä tietoisia.

Joulukuun 23. päivästä lähtien EU:n ulkopuoliset koronatodistukset kelpaavat Suomessa koronapassina. Toiminnanharjoittajat saavat tarkistaa EU:n ulkopuoliset todistukset manuaalisesti ilman koronatodistuksen lukija -sovellusta. Kyseessä on väliaikainen lakiin säädetty pykälä.
 
Kale sanoi:
Toiminnanharjoittajat saavat tarkistaa EU:n ulkopuoliset todistukset manuaalisesti ilman koronatodistuksen lukija -sovellusta.
Se lukija-appi kun kertoo ettei passi kelpaa, niin ihanko oikeasti luulet että portsaria asia yhtään sen enempää kiinnostaa minkä valtakunnan passi on kyseessä, varsinkin jos tosiaan manuaalisesti joutuisivat sen tarkistamaan, aikaansa siihen tuhraamaan. Moniko noista edes tietää mistä ja miten se tarkistettaisiin? ???

flat,750x,075,f-pad,750x1000,f8f8f8.jpg
 
Mä en nyt montaa kertaa ole paikoissa käynyt missä passi on tarkastettu niin joka kerta on tarkastettu manuaalisesti vaikka on ollut applikaatio käytössä. Mutta näin täällä maalla. Tyhmäähän se on ravintoloiden jättää myymättä kun muutenkin kärvistelevät. Käskin kavereita soittamaan jatkossa jos eivät saa ruokaa. Lupasin hoitaa keskustelun ravintolan kanssa.

vespa68 sanoi:
Riittäisiköhän ihan lukea mitä siinä todistuksessa sanotaan.  :D

Juurikin näin.