BKK e-ticket

> A szerver felé továbbított kérésben a kosárba rakáskor kell átírni egy számot, mert a böngésző küldi el a szervernek, hogy mennyibe kerüljön a bérlet.
- via Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni

Cleartext jelszótárolás


via https://twitter.com/vista_df

Valamint:

> "Úgy látszik magától nem csatlakozik a netre, és ezért mondták azt, hogy naponta legalább egyszer frissíteni kell a felületet. "

Ennek vajon mi értelme? Feltételezem van egy QR kód, azt leolvassa az ellenőr és központi szerver segítségével egyből látja a random id-hez tartozó adatokat. (persze lehetne digitális aláírással offline módon is csinálni, de ilyen űrtechnikát nem feltételezek)

Próbáltam keresni a rendszer kiépítésére szánt költséget, de a "BKK eticket millárd" -ra a google csak egy 2013-as cikket dobott ki:
> "A döntés értelmében a bank 54,5 millió euró értékben finanszírozza a projektet, amelynek bevezetése jövőre kezdődhet el. "

Hozzászólások

Tudod, nem az a fő gond, hogy a szakma szégyeneivel rakatták össze ezt az egészet (vagy kezdő juniorokkal), hanem az, hogy erre valszeg milliárdokat költöttek.

Mondok ennél főbb gondot is: akadunk sokan, akik akkor IS káanyáztak, amikor Fletóék csesztek el negyedmilliárdot kormányzati kommunikációt szolgáló, egyébként ingyenes szoftokra - de sokkal többen vannak, akik szakmai érzékenysége szelektív, és CSAK akkor káanyáztak.
A legeslegfőbb gond, hogy ez minden szakmai területen elmondható.
A bárányok hallgatnak, Clarice.

Ez valami szenzációs :D Nem hittem el mikor olvastam az indexen a cikket, de kipróbáltuk kollégákkal. Az egész rendszer nevetséges. teljesen kamu emailcímmel (aktiváló email nélkül), pár perc alatt ott voltunk az OTP oldalán ahol 1Ft-ot kért volna a rendszer a bérletért :D Nyilván nem vettem meg, de ez egy hatalmas vicc. Elképesztően kíváncsi lennék arra, hogy ezt kivel és mennyi pénzért csináltatták meg. Ez körülbelül egy középiskolai szintű programozás számtechórán. Bár én 16 évesen már büszkén megoldottam, hogy csak aktiváló email után tudott a kedves user belépni :)

De azért komolyra fordítva a szót: milyen ócska utolsó senkiházi céget sikerült ezzel a melóval megbízni ahhoz hogy POST paraméterben adjuk át a fizetendő összeget, és ez senkinek nem tűnik fel a fejlesztések, tesztelések során, kirakják productionbe és még ők ugatnak, hogy informatikai támadások érik őket. Hát édes istenem, ekkora istenverte lámákat az utóbbi 20 évben nem látott Közép-Európa...

Botrány? biztos lehetsz benne, hogy ennek az egésznek sem személyi, sem anyagi, sem jogi következményei nem lesznek.
Hacsak nem kikiáltanak a fejlesztés lánc alján egy junior coder-t bűnbaknak, ha már nagyon muszáj lesz csinálni valamit. De abban biztos lehetsz, hogy azokon a menedzsment szinteken, ahol azt kellett volna mondani, hogy "Ne már gyerekek, ez most komoly?!?!? Na üljetek szépen vissza a gép elé,és fussatok neki újra! dekurvagyorsan!!!", na ott semmiféle következménye nem lesz. Se megrendelői oldalon, se beszállítói oldalon...

sajnos látom, hogy _egyes_ állami IT projektek hogyan valósulnak meg - lenne kedvem kiálltani b@meg az nem az alagút vége fénye, hanem
szembe jön a vonat...

és egy-egy projekt átadás/lezárás kapcsán, "MEZTELEN a Király" - nincs kész, nem működik - Ezt hittem hogy a szocializmussal ennek _IS_ vége :-(

Da ha jól gondolom ehhez mind a kliens, mind a szerver oldalon kellett vátoztatni, és erősen kétlem a mély tesztelést. (Mondjuk ha belegondolok, a kliens oldali módosítás elhagyható, égül is elég, ha aa szerver nem veszi figyelembe az átküldött paramétert.)

Vajon hogy zajlott a sérülékenységi teszt: "Mancika, próbálja már megtörni!"

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

*keresi a hup szabályzatát, ahol az elvárások listázva vannak*
*not found*

Nézd, nem jutott épp eszembe, mert egyébként minden mással foglalkoztam. Ez van. A rosszindulatú visszakomment inkább gáz, mint hogy nem néztem utána, ráadásul ahogy látom hiába tettem volna.

Egyébként meséld még el, milyen kötelező eszközöket illik ismernie egy 10 éves hup regnek?

"A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

EZ BAZMEG!

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Ez nálam is kinyitotta a bicskát a zsebemben.

Erre szavak nincsenek.

TROLL:
Valakinek a tesójának az unohagúgának az öccsének a keresztapjának a lánya végzett 14 hónap alatt a programozó iskolában, szóltak neki, "alapíccsá tesó céget", mert van egy vaskos megbízásunk.

Ameg, összeprogramozott egy mondern felületet pár misiért. khm, milliárd inkább. Azt jóvan az úgy, majd a sajtó osztályon megmondják a tutit, hogy nem a rendszer a rossz, mert egy okleveles profi csinálta, hanem az emberek a hülyék, mert rosszul használják.

Ki is rakhattak volna egy nagy piros gombot "ne nyomd meg!!" felirattal, ami triggerel egy "rm -Rf /" -t a site-ot hosztoló szerveren. /Tuti úgyis root alatt fut, hogy megoldjanak vele pár jogosulltsági gondot :D/
Aztán ha valaki megnyomja, beperlik, mert oda vótt há' íva, hogy ne nyomd meg tesa. :D

ctrl+u után még wordpress-t is látok.
Remélem a WP frissítésre is kötöttek egy vaskoks megbízási szerződést, hogy frissítve legyen. :)

----------------------------------------
o.-

Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/5.6.26
Ebbol kb kitaltalhato, hogy CentOS 7 futik alatta. Viszont a PHP maga 5.6.26 ... eleg regi es jopar CVE is jott ki ra...

Nem ertem egy Prod rendszer miert hirdeti magarol pontosan, hogy micsoda. Emlekeim szerint 1 parameter atirasaval nem mond tobbet magarol csak, hogy Apache ...

De akkor is az a hozzaallas, hogy feljelentunk mindenkit, de hagyjuk a tervezesi, implementalasi, alapvetoen rosszul mukodo oldalunkat futni... Nevetseges...

Önmagában a szoftververzió nem jelent egy CentOS-en vagy Debian-on vagy Ubuntun foltozatlanságot. Szeretik meghagyni a kiadáskori verziót, de ettől függetlenül backportolgatják a biztonsági és hibajavításokat. Az más kérdés, hogy a megfelelő production konfig már az adminon múlik.

Ezzel a backportolassal teljesen tisztaban vagyok.

Mas kerdes, hogy nem az adminon mulik egy ilyen helyen. Megfelelo technikai specifikacionak kellene leteznie minden alrendszerre aminek ki kellene ternie a minimalis biztonsagi beallitasokra. Itt bele kene tartozzon, hogy nem hozzuk orszag vilag tudtara, hogy milyen verziot hasznalunk (dolgozzanak meg erte)... De hat ez a BKK-nal neha nagyobb helyeken sem megy zokkenomentesen...

Sikertörténet!!!

Sql injekció majd meggyógyítja:)

csak egy szó: szégyen

és a legjobb az egészben,ahogy korábban is írta valaki, a felelősök úgy sem lesznek elővéve.

Azért azt az apró pici tényt elfelejtetted, hogy a(z egyébként nem olvasott email cimre történő) "bejelentése" után azonnal szaladt a sajtóhoz és ebből kirobbant az elmúlt évek egyik legnagyobb ilyen jellegű cirkusza.

Valószinű inkább emiatt jelentették fel és nem azért, mert csendben megkereste őket és szólt nekik a problémáról.

"szaladt is a sajtóhoz elmondani a részleteket, hogy mindenki tudjon lopni."

Többször el lett mondva, hogy előbb a bkk-nak szólt, és akkor írt a sajtónak, amikor nem kapott választ. Cikkekben volt, srác is nyilatkozta, stb. Itt is le volt írva többször. Mi a francért kell tényként ilyeneket állítani ezek után is????

Persze, nálunk is van olyan telefonszám/email, amin 24/7/365 adnak supportot, de ennek a felhívása/megcímzése nem olcsó mulatság. Nem ismerem a BKK ügyfélszolgálatot, de ha tippelnem kéne, hajnali kettőkör felhívva őket max abban (nem) tudnak segíteni, hogy az automata benyelte a pénzedet. De ahogy fentebb írtam, igazából fogalmam sincs, ha valaki jobban tudja, cáfoljon meg nyugodtan.

A főnök meg már fut is "személyesen megtenni a büntetőfeljelentést", mert ők így javítják a hibákat.
Igazából körvonalazódik itt két-három-négy-öt állításhalmaz (az "elkövetőé", a bkk-é, a t-systems-é, a sajtóé, a politikai oldalaké, meg akit még kihagytam), amik néhány mellékes pontban akár még fedik is egymást.
Ezek között kellene megtalálni az igazságot, a tényleges eseményekre való rálátás nélkül. Mert itt kb. mindenki másodkézből származó információk, meg a saját világnézete alapján ítélkezik, és megy neki az összes többinek.
Közben meg:
-pár napja még úgy volt, hogy nem szólt nekik
-pár napja úgy volt hogy a noreply emailre küldte a jelentést, amit nem néz senki
-pár napja úgy volt hogy egyszerre szólt a sajtónak meg a bkk-nak
-a bkk-vezér tegnapelőtt azt mondta hogy 45 perccel utánuk velük egyidőben szólt a sajtónak aztán még ugyanabban az interjúban két óra negyvenöt percet, meg négy órát is mondott, mellesleg rákente az egész szart a t-systemsre.
-meg úgy is volt, hogy amikor "riasztott a biztonsági rendszer" akkor T-József "személyesen tett feljelentést", amihez csak "át kellett adni a logokat a nyomozóhatóságnak" aztán már mennek is illedelmesen kopogtatni reggel hétkor, természetesen a logok alapján. Nemám azért, mert az újságban látták, ki az, hanem a logok alapján.
-egyébként meg azóta 5-600 kibertámadás éri őket. Remélem, minden esetben mentek kopogtatni a nyomozók, hiszen a sikeres felderítéshez csak a logokat kell átadni...
-meg azt is mondták, hogy az adatok biztonságban voltak link1 link2

Közben meg van egy olyan, hogy adatvédelmi törvény, meg -állítólag- folyik már az ügyben az adatvédelmi szabályokra vonatkozó vizsgálat is. Lehet tenni a tippeket, hogy mekkora ívben lesz elkenve.

Az állítások helyett a tényekkel célszerű kezdeni. A legelső tény, hogy az e-ticket rendszer egy trágyadomb volt amikor élesítették. Először azzal kellene foglalkozni, hogy a „gyártó” miért gondolta úgy, hogy egy használatra alkalmatlan „terméket” ad át*. Utána azzal, hogy a hibák kiderülése után a BKK milyen intézkedéseket tett a gyártó felé, annak érdekében, hogy a hibákat kijavítsa. Esetleg azzal is, hogy a BKK miért nem tett feljelentést a hibás teljesítés miatt, hiszen közpénzből készült a sz@r.

Ezek a problémák akkor is léteznének, ha senki nem vett volna 50 Ft-ért jegyet. Ha ezeken túl vagyunk már, akkor majd lehet foglalkozni a „hacker” tevékenységével, illetve az erre adott válaszlépésekkel.

*: Ennek két oka lehet: Hihették azt, hogy nincs egyetlen olyan leendő jegyvásárló, aki észreveszi a hibákat. Aki ilyet feltételez, az valamilyen álomvilágban él. Ennél valószínűbb, hogy azt hitték, ebből nem keletkezhet semmilyen káruk, hátrányuk. Az már biztos, hogy erkölcsi káruk keletkezett az ügyből. Anyagi és más következményekről még nem volt szó.

ha hittek volna bármit is, nem mennek bele ebbe az üzletbe. - egyik részről sem -

keletkezett egy politikai nyomás, itt a vizesvb, - ki vizezte be? - át kell adni, mert ez csak egyszer van, nem úgy mint a várkertbazár.

no ezt elvállalták.
nemkelletvó'na.

de ki tudta előre. megbuktak, most visznek magukkal mindenkit, akinek láthatóan köze volt a dologhoz.

azok akik elrendelték, kijárták, kizsarolták, most sem láthatóak, és nem is fogják vállalni a politikai felelősséget, sőt nagy örömmel fognak asszisztálni a felelősségrevonásban.
akit meg majd most felelősségre vonnak, nem fog árulkodni, mert... ki tudja miért?

Sok különböző dolgora kérdeztél rá:

  • a szállító azért adta át mert
    • szerződésben kb első helyen rögzített dolog volt a szállítás ideje. (index cikk)
    • a $ nagy részének kifizetését ehhez kötötték (gondolom)
  • "használatra alkalmatlan"
    • ~ mivel a nyilvános használat előtti nap (?) volt "a belső teszt" (index), gondolom közben ki se derült hogy mekkora foshalom az egész
    • kiváncsi vagyok rá, hogy a 3 hónap fejlesztési idő alatt a bkk mennyire nézte meg akármilyen szempontból a készülő cuccot, vagy szállításkor tákolták tovább
    • ha a managereknek a bónusza bármilyen formában összefuggesbe hozhato a hataridovel akkor a darabokban levő szarkupacot is megpróbálják áttolni ami soha nem futott és egyértelműen összeomlik a második látogatónál
    • ugyancsak érdekelne a timeline amit a bkk felállított, meg az arcok véleménye akik a követelményeket ill arra válaszul a rendszertervet összerakták^1 (megrendelő & szállító részéről is), bár valószínűleg NDA alatt vannak a részleteket illetően a hibák kiderülése után
  • "intézkedések"?
    • van rá biztos SLA hogy sürgősség & súlyosság alapján kategorizálva mennyi idő alatt adnak ki javítást/funkció módosítást
  • hibás teljesítés?
    • Van egy átadás-átvételi folyamat amit szabályoz a szerződésük. gondolom az abban levő összes pontot kipiálták majd boldogan jelentették hogy akkor harcra kész az egész végülis minden rublika zöld. Tehát a bürökráciamotor és az implementációt magasról leszaró (rosszabb esetben ahhoz semennyire nem értő) projektvezetők boldogan pacsiznak és fellélegeznek hogy a sikerre ítélt projektet átküzdötték az akadályon, mindenki jelentheti a főnökének hogy minden tökéletes. ott is kizöldítik az excelben a cellát és boldogság, újabb sikerdíj behúzva.
  • **c) halovány fingjuk sem volt arról hogy mit követtek el, szolgalelkűen implementálták amit eléjük toltak (a programozók), ezért vetettem fel (^1)
    anyagi, erkölcsi stb. kára annak kéne keletkezzen aki
  • a lehetetlen határidőre bevállalja a projektet
  • átveszi és kirakja élesbe (elvégre a bkk felé ő felelős érte hogy átvette miután megbizonyosodott róla hogy a követelményeket mind teljesíti)

Mivel a szerződést nem ismerjük így erről túl sokat nem érdemes vitatkozni. Legfeljebb amin el lehet gondolkodni: ha a teljesítés megfelelt a szerződésben foglaltaknak, akkor az(oka)t a személy(eke)t aki(k) a BKK részéről aláírta('k) a szerződést, egyből elküldjék 100 év gályarabságra, vagy előtte legyen bírósági tárgyalás is.

Semmi értelme 1 embert keresztrefeszíteni az egész projekt-szervezet mulasztásai miatt.

Én jobban örülnék neki ha sikerülne feltárni a különböző szinteken a hibákat és mindenhol megfogalmazni a reális ajánlásokat amiket betartva hasonló kolosszális szarhalom összerakása elkerülhető lenne.

A "felelősségrevonás" helyett a "felelősségvállalás"-nak kéne 'menőnek' lennie:
- igen a [választott konkrét issue]-t én b@sztam el, de már éjt-nappallá téve tekerek rajta hogy kijavítsam és x,y,z módon biztosítom hogy hasonló kreténség ne jusson ki az éles rendszerbe.
A bkk-s probléma csak csepp a tengerben, az lenne előremutató ha ebből adódóan lennének lépések amik hatására az egész folyamat "jobb" lesz.

Tudom naív ötlet ezt még felvetni is...

Ehelyett lesz megint néhány szerencsétlen akit megfenyítenek/kirúgnak de maga a szervezet,módszerek,működés,motivációk stb. marad ahogy volt majd legközelebb előző nap kiadják egy független cégnek tesztelésre, és majd rájuk lehet mutogatni..

"és akkor írt a sajtónak, amikor nem kapott választ."

Haha, éppen most hebeg-habog, hogy de ő már 14-én 14:49-kor irt a jó cimre (bkk@bkk.hu) a bkk meg állitja, hogy egyszerre küldte az indexnek is levelet, 16:31-kor már kint volt a cikk az indexen. Tehát ha a bkk igazat mond, akkor 0 másodpercet várt válaszra mielőtt rohant a sajtóhoz (ocsmány húzás), ha pedig az indexesek 0 mp-et alatt irták meg a cikket akkor 2 órát(!) sem várt a válaszra.

"nincs olyan, hogy fair - az élet nem patika mérleg - egy tapasztalatlan 18.éves srác"
Remelem leszel olyan helyzetben, hogy egy software-ben hiba lesz es a keszito nem tudja lereagalni, mert pont egy "tapasztalatlan 18.éves srác" talalta, aki szetkurtolte a vilagnak a hibat. Emiatt neked pl. penz vagy barmi mas hatranyod szarmazik. Remelem akkor is ugyan ezt mondod. Nem, nekem nincs semmi kozom ehhez.
Az, hogy 18 eves, teljesen mindegy. Csak, hat ha ezek utan egy igazi hacker kezd el kutakodni, mert egy "tapasztalatlan 18.éves srác" talalt hibat, akkor o is fog. Csak hat o mar nem fog olyan "etikus lenni". Lasd

Az lehet, de az nem egy 2017-ben bevezetett új rendszer volt (remélem). Itt a jelszó visszaküldése plain textben is csak a kezdő lökést adta meg a "tesztelésekhez" :) Ha az nincs, lehet senkinek nem jut eszébe 50Ft-ért bérletet venni vagy megpróbálni adminként belépni, vagy ha igen, nem az első napokban.

b)-hez mondok egy regi (2009 koruli) sztorit, @leho figyelj:

Ceges menzat vivo ceg kajarendeloje annyira el volt baszva, hogy a prepaid egyenleged NOVELNI tudtad a rendelesek random hozzaadasaval-lemondasaval. Nyilvan volt minta benne. Jelezve lett a problema, ropke 2 het(?) alatt meg is oldottak, majd ra ket het mulva VISSZAKERULT A HIBAS KOD. Hogy is mondjam, utana sokan ingyen ebedeltek evekig, amig le nem csereltek a ceget (es ezzel a rendelo weboldalt). ES NEM TUNT FEL A CEGNEK SOHA. (Igen, igy nagybetuvel.)

Ne nevezzük már etikus hekkernek azt, aki nem az. Ez klasszikus szürkekalapos húzás volt.

Gray hats The hardest group to categorize, these hackers are neither good
nor bad. Generally speaking, there are two subsets of gray hats—those that are
simply curious about hacking tools and techniques, and those that feel like it’s
their duty, with or without customer permission, to demonstrate security flaws
in systems. In either case, hacking without a customer’s explicit permission
and direction is a crime.

CEH All-in-one exam guide, page 6

Szépen teleszartad a topic-ot ezzel a bullshit-tel. Senkit nem érdekel hogy gray vagy white, a lényeg az, hogy nem károkozási céllal, nem nyereség elérése céljából csinálta amit csinált, ÉS utána értesítette az "áldozatot" arról, hogy akkora lyuk van a rendszerén hogy az űrből is látszik.

A TechCrunch szépen leírta: "Hungarian hacker arrested for pressing F12"

Akkor most a ballibmédia jelen állítása szerint mégse értesítette az indexet 0-2 órával a BKK után?

Mert ezt mintha (véletlen!) kihagytad volna a timelineodból ;(

Továbbá igen, már elmondtad az álláspontodat: lehessen mindent előzetes egyeztetés nélkül hekkelgetni, fuck jogbiztonság & shieet o/

Lazán kapcsolódik: bökjed csak ide a saját és munkáltatód IP-it, kthx

"Akkor most a ballibmédia jelen állítása szerint mégse értesítette az indexet 0-2 órával a BKK után?"

A - jelenleg - bákákászopkodó és tészisztemsz-mentegető lakájmédia csicskasajtó álláspontja szerint minden fasza, nincs itt semmi látnivaló, jó áron vettek fasza rendszert, csak azpk a csúnya hekkerek.
Értem hogy hogy te ezt jóízűen elfogyasztottad, ugyanakkor egy személyes adatokat kezelő, közpénzből megvett, és amúgy borzalmasan túlárazott rendszer minősége igenis közérdek.

"Mert ezt mintha (véletlen!) kihagytad volna a timelineodból ;("

Lényegtelen a téma szempontjából, ezért nem szerepel a timeline-on. Nem titkok kiszivárogtatásával vádolják, hanem "hekkeléssel".

"Továbbá igen, már elmondtad az álláspontodat: lehessen mindent előzetes egyeztetés nélkül hekkelgetni, fuck jogbiztonság & shieet o/"

Továbbá: hazudsz, ahogy szoktál.

"Lazán kapcsolódik: bökjed csak ide a saját és munkáltatód IP-it, kthx"

Nem kérted elég szépen.

viszont azokat kirúgják, ha észreveszik,
ezeket meg az orosz kormány megdicséri.

nem mind1

valamint amióta a magyar állam központilag nyilvántartja a szig-eket, és ellenőrizni is tudja helyben és azonnal, megemelkedett az értéke a szig. sz., név, lakhely... adatbázisoknak.

+ az 'etikus hacker' meg magyar volt, - legalábbis magyar állampolgár :) - nem pediglen yenki.
hacsak nem egy ilyen adatbázisból csinált magának személyit, lakcímkártyát, bankkártyát meg ilyesmit:)))) de az a gyanúm, akkor nem szívózott volna a bkk-val

Pont leszarni való h fair v. sem! Ez a legkevesebb. Mindenféle értesítés nélkül is totálisan igaza lenne. Akik súlyos milliókért ezzel az izé..vel álltak elő, azok nem érdemelnek fair eljárást. Élő adásban kellett volna bemutatni, hogy mennyire primitív az egész...még itt értesítgetni őket, meg kivárni míg reagálnak...anyjuk faszát.

Semmilyen törésről nincsen szó! Csak Neked meg a főnöködnek vannak ilyen tévképzetei. Ha a nyitott ajtón betéved valaki az nem betörés. Ilyen primitív rendszert nem lehet megtörni, mivel semmi nem állt ellen. A rendszerének a megtöréséről olyan valaki beszélhet elsősorban, aki mindent megtett annak a rendszernek a védelmében, de minimálisan a legelemibb dolgokban nem vétett olyan orbitálisat, mint akik ezt E-ticketet legyártották.

Az ajtó csukva volt, legfeljebb a zár volt rettenetes primitiv. Attól az még betörés.
De mondok neked még meglepőbbet: az atm nyilásán ottfelejtett pénz zsebre rakása is lopás és elvisznek érte a rendőrök, pedig annál könnyebb pénzszerzés nemigen van. Nemhogy ajtó, de semmi sem védi azt a pénzt, mégsem teheted el.

Nincs a btk-ban olyan kitétel, hogy "mindent" meg kell tenni a rendszer védelmében.

Milyen főnököm? Jól vagy? :)

Valóban döbbenetes, hogy mennyire nincsenek tisztában alapvető törvényekkel sem.
(azzal már nem is akartam sokkolni, hogy ha a szomszéd reggel munkába menet konkrétan tárva-nyitva felejti az ajtaját és ezt látod, akkor sem mehetsz be)

De vigyázz miket irsz, nehogy neked is hirtelen főnököd, meg gazdád legyen :)

A legmókásabb eleme eme jelenségnek, hogy ezek a szerencsétlenek ("hasznos idióták" néven találhatóak meg a szakirodalomban) feltettek egy ubuntut, elolvastak két hamis 24/index cikket, de szívük szerint már személyesen újraírnák a Btk. IT-re vonatkozó részeit, legalábbis.

muh poor 18yo babbies ;((((

Ráadásul az etikus hekkerség az nem valami jolóság, hanem egy szakma, és a szakma művelőjének ismernie kell a jogi hátteret. Azért megnézném a magát etikusnak gondoló hekker fejét , amikor a srác okosházában meghekkelné valaki a tűzhelyét, és úgy demonstratíve melegítene egy kicsit. Vagy az autó zárjának ugrókódját pentesztelné valaki.

Mondjuk, engem érdekelne, hogy tényleg "zár"-nak számít-e az url...
Jegyrendelés közben a macska ráugrik a billentyűzetre, a kurzor pont az url-en van, szám átíródik... a kérdés, ki a hibás, én, a macska, vagy a bkk? És elvárható-e, hogy tudatlanul még a rendelés előtt agyoncsapjam a macskát, hogy nehogy véletlenül feltörődjön a zár? (és elvigyenek)

Nem a guide mondja meg - bár a CEH Exam Guide nem amatőr hülyegyerekek munkája - hanem a törvényi háttér. Írásbeli szerződés nélkül NEM VAGY etikus hekker. Ez grey hat, ami büntetHETŐ, a megtámadotton múlik, hogy kezeli.

Ha valaki elmenne a lakásodhoz "etikus" hekkelni a zárat, vagy akár csak az otthoni wifit, rögtön más lenne a leányzó fekvése.

na azért szép is lenne hogy ha kizárólag azon múlna egy-egy tett megítélése hogy lett-e belőle botrány.
pl normális ember számára a gyilkosság no-go kategóriás cselekmény és nem változtat a helyzeten hogy véres kézzel rajtakapják az illetőt vagy csak évek múlva derül ki.
A tettet kell megítélni nem pedig a körülményeket amik övezik. a shitstormnak ami elszabadult nem kéne kihatása legyen a tett megítélésére!

Szerinted milyen felelősségvállalásra lehet számítani egy olyan világban ahol mindenki a botrányfaktortól függően cselekszik csak? Ha kellemetlen. Pont elég hogy félelemtől vezérelve meg a saját seggének/székének védelmében cselekszenek szerencsétlen emberek. nem ezt kéne szorgalmazni&bátorítani.. Pláne hogy általában ez kaotikus önpusztító rendszerek kialakulásához vezet, legyen szó államigazgatásról vagy céges világról stb.

Mennyivel jobban megy azokon a helyeken ahol kordában&minimális létszámon tudják tartani az efféle gondolkodásmódú embereket..

Rosszul látod. Ha pl az általam felügyelt rendszerek bármelyikében valaki hibát találna és privátban engem értesitene, akkor valószinűleg megköszönném, vagy akár meg is jutalmaznám. Ellenben ha az értesitésem után pár órával szaladna a sajtóhoz és pontosan kiadná, hogyan lehet feltörni a rendszeremet, akkor biztos lehetsz benne, hogy pénzt nem sajnálva mindent megtennék, hogy leültessék, vagy irdatlanul megfingassák.

Úgyhogy igen, nagyon is számit, hogy méltányosan jár-e el, vagy csak 5 perc hirnevet keres magának.

Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért. Nem tévedtél el egy picit? :)

Más értetlennek is javasoltam már: törögess internetes rendszereket kéretlenül, jelentgesd a felfedezéseidet a sajtóban. Csak jól végződhet a történet, sok sikert hozzá, hajrá! :)

azért van az hogy mára valahogy mind a bkk, mind a t visszavett az arcából, mert a bkk az ugye egy állami vállalat, és akikkel most ujjat húzott, az a nép.

a t-nél pedig pluszban ott van a piac. ami egyből 0-ra irta a népszerűségét a facen. kezdetnek :)
ami kihat majd a megrendeléseire, ami pedig a tulajdonosokra..

már most látható, hogy a deutsche telekom is megsínyli.
vagyis hátrább az agyarakkal:)

Miért én szerinted állami vállalat vagyok, vagy mi közöm van nekem ezekhez a marhaságokhoz amikor ideraktál?

A t azért vett vissza az arcából, mert iszonyat béna rendszert adott ki a kezei közül, igy nem nagyon ugrálhat és nem azért, mert legális volna felnyomni bármilyen rendszert. Ha mondjuk egy bonyolultabb XSS-el törik meg, ami már nem triviális, akkor biztos lehetsz benne, hogy ők se sajnálnák a pénzt, hogy rendesen megszivassák a gyereket.

'Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért.'

mert ahogy mindenkit, egyszer, - v. többször is - utolérhet valami amitől neked is vissza kell venned az arcodból, és más javaslatára kell(ene) halhatnod :))
ez a közöd hozzá.

"törögess internetes rendszereket kéretlenül"
Feltores meg mindig nem volt. Gondolom nem vagy informatikus ha ennyire kevered a dolgokat. Ami nem is problema. :)

"Majd te megmondod, hogy mit csinálhatok a rendszereimmel és kit jelenthetek fel, amikor törvényt sért. Nem tévedtél el egy picit? :)"
Javaslat volt inkabb, mert rosszul allsz a dolgokhoz. Tehat azert, mert esetleg egy balfasz vagy nem feljelenteni kell, hanem valtozni.

Kevin Mitnick is CSAK AZÉRT kapott 5 év börtönt kegyelemből, mert
nem pénzért csinálta.
A bíró szerint, ha anyagi haszonszerzés vezérelte volna a Boeing,
Nokia, Fujitsu, Motorola, Sun Microsystems stb. gyártók oldalainak feltörésénél, akkor már csak 150 év és szabadulna.Tudod yenkiknél összeadják az elkövetéskor használt módszereket,
aztán beszorozzák vagy 8-al.
Azért jönnek ki ilyen 120 éves ítéletek, ami magyar szemmel elképzelhetetlen.
Amiért nálunk max 5 évet adnak fiataloknak.

Most azon kívül h ezt fennen hangoztatod itt, van valami alapja annak, h miért kéne a pénzelt etikus hekkerek önérdekű madárnyelvét definitíve elfogadnunk? Bizonyára rontja a boltot a pénzelt etikus hekkerek számára, h az etika nem írásbeli engedély függvénye.
Itt a "sebezhetőség" fogalma teljes mértékben tisztázatlan. Ennek kihasználására való hivatkozás egy olyan blődség, amit kb az etikus-hekker orrfolyamot kitalpalóknak rághatnak a szájába.

Ebben az a legszomorúbb, hogy keleteurópai programozók készítik több hires vagy hírhedt cég szoftwereit és az állam nem képes felhajtani két-három embert, aki egy normális munkát elvégezzen.
Erre a válasz is egyszerű, nem fizetik meg az embert. Az elköltött pénz olyanok zsebében landol mint Mészáros vagy Vajna (semmi személyes, a két név csak példa) és nem azokéban akik a munkát elvégzik.
Ez a BKK semmiség a román egészségi kártyához képest, ami már 4-5 éve, mióta beindult, hetente omlik össze és senki nem tudja/akarja rendbetenni.

Isten hozott a Balkánra, a bolygó egyik legkorruptabb térségébe.

...nem képes felhajtani két-három embert...Erre a válasz is egyszerű, nem fizetik meg az embert...
Egyik feltételezésed sem felel meg a valóságnak. Igenis megtalálják azt a 2-3 embert. Nagyon keresniük sem kell, hiszen ott vannak a közvetlen közelükben. Családon belül, ha a családban nincs elég ember, akkor ott a szomszéd, ráadásul neki is vannak családtagjai. És a probléma máris megoldást nyert. Ráadásul meg is fizetik őket. Sőt, túl is. Milliók, estenként milliárdok tűnnek el fizetődnek ki. Erre mindent lehet mondani, csak azt nem, hogy nem fizetik meg az embert rendesen. Még akkor is marad egy szemmel jól látható összeg, ha 30~60%-át vissza kell osztani.

Ezek után komplett kamikaze, aki a kliens alkalmazást felrakja a telefonjára, és várhatóak kisebb robbanások is leolvasáskor.

Botrányos kivitelezés, ráadásul semmi értelme az egésznek. Bérlet helyett telefont vehetek elő a személyi mellé. Ennek minimális értelme pont, hogy jegyeknél lenne, nem bérletnél, hirtelen eszembe jut, hogy nincs jegy/lejárt a bérlet, megveszem egy útra, és kész, még azonosítással sem kellene szórakozni.

Amúgy azt hiszem, illetve nagyon remélem, hogy ez az eticket nem az az eticket, amivel 15 éve szenvednek lassan, és tényleg milliárdokat költenek rá. Az elméletileg olyan valami lesz, mint az Oyster, és mindig jövőre kezdik telepíteni. Szerintem odafent rájött valaki 1-2 hónapja, hogy ugyan a "bűnös város" szisztematikus szivatására jó volt a tökölés, de a nagyvezír prezentálni akar a külföld felé, rohadt gyorsan össze kell dobni valami eticket szerűt, mert kiröhögnek, hogy 2017-ben papírfecnivel szaladgálunk. Most majd röhögnek máson.

Az megvan, hogy egy rakás bérletes az okostelefon átlátszó tokja alá rakja be a bérletét, és mutatja fel? Na, most ezt sikerült neten vásárolhatóvá tenni, ami előrelépés lenne, de a megoldás gyakorlatilag veszélyes a BKK-ra.

Az Oyster-hez hasonló pedig ez lenne, legutóbbi tervek tudtommal:

http://rigo.bkk.hu/

Egyébként ilyen rendszerek nincsenek már NFC-s telefonokra, vagy valami hasonló? Megint egy kártyát vinni, tudom, vannak olyan tokok, amibe becsúsztatható hátulra 2-3 kártya, de én purista vagyok ebben.

(Politikai szálra: el ne hidd már, hogy ez tényleg Budapestről szól, ez csak mégegy lehetőség a pénzlopásra, elnézést, megmentésre.)

Igen, sokan csinálják, mert ott nem baszogatnak azzal, hogy hol a személyi. Lásd indexes cikk, hogy telefonnál meg igen, mert ezt könnyebb hamisítani/megosztani. Aztán lehet, hogy majd itt is leszoknak róla.

NFC-s helyett én sokkal jobban örülnék olyan megoldásnak, mint Londonban: beregisztrálom a paypasses bankkártyát, és viszontlátásra. Innentől telefonnal is megy, ha van olyan bankkártyád.

Nem kell regisztralni a kartyadat hanem csak hasznalni, fizeteskent fogja lekonyvelni, akkor kell csak regisztralni ha latni akarod merre jartal, ez ceges kartyanal erdekes csak ugye, maganszemelynek felesleges, en is csak siman a telommal fizetek aztan kesz

Amugy az is lehet h akkora hatalmas osszeget kapott erte a fejleszto mint a vizes vb kabalafigurajanak a tervezoversenyen a gyoztes (550khuf + afa) amiert egy joerzesu fejleszto/dizajner le se ul hogy nekialljon, de egy szomszed verpistike mar megorul es tolja ki magabol a hulyesegeket

nem a BTK, van egy EU-s törvény: "GDPR"

"Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról"

- amely itthon 2018.05.25. napján lép életbe és abban pontosan le van írva a felelősség és
a incidens esetén a büntetés is pl: közigazgatási bírság, amely a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át teheti ki.

Ez alapján - ha majd hatályos lesz - egy ilyen "baki" simán vizsgálat, bírság - kártérítésig lehet vinni...

Majd meggondolják, hogy milyen "haveri" cégnek adnak ki olyan munkát, ahol szamélyes adatkezelés van..

„Majd meggondolják, hogy milyen "haveri" cégnek adnak ki olyan munkát, ahol szamélyes adatkezelés van..”

Most: Havercég „megcsinálja” jó pénzért a munkát a BKK, azaz az előfizetők pénzéből. Sikerül, ahogy sikerül. Ha javítani kell a szoftvert, akkor azért újabb pénzt lehet felvenni. Havercég jól jár, adófizetők fizetnek.

Jövőre: Havercég „megcsinálja” jó pénzért a munkát a BKK, azaz az előfizetők pénzéből. Sikerül, ahogy sikerül. Ha javítani kell a szoftvert, akkor azért újabb pénzt lehet felvenni. Havercég jól jár, adófizetők fizetnek. Ha valaki bepereli a BKK-t, a fenti törvényre hivatkozva, akkor a BKK-ra kiróják a büntetést, amit a befizet az adófizetők pénzéből. A javítást pedig megrendeli a havercégtől. Havercég még jobban jár.

Mit kell ezen meggondolni? Nincs olyan, hogy a BKK pénze, csak olyan van, hogy az adófizetők pénzéből (költségvetési pénzek, jegybevételek) a BKK-nak juttatott pénz. Ha a BKK veszteséges lesz, akkor a veszteséget is az adófizetők pénzéből kell finanszírozni.

Az idézett törvény a nem állami tulajdonú vállalatok számára jelent csak veszélyt. De csak akkor ha nem havercégek.

nem állítottam, hogy csak állami tulajdonú cégre vonatkozik, SŐT...
és az se egyszerű munkamenent, amit leírtál, mert egy projektre egyszer van pénz - nem lehet kisírni pót költégvetést..

A törvény mindenkire vonatkozik, aki személyes adatot kezel: google inc.-től a XY Vízmű kft.-ig vagy a könyvelőkig.
pld. nem tudom, hogy fog megfelelni, az a könyvelő prg, ami pl. DBF-ben tárolja titkosítás nélkül az adatokat ???

Eleg megnezni az allashirdeteses topicban(niif/kifu) "magyarorszag legnagyobb openstack clustere" promot. 1x megkaptak palyazati penzt, elkoltottek. Nagyjabol fut valami. De 500-as erroron kivul mast nem latsz belole. Most, hogy vizsgalat van majd lehet valaki kezd vele valamit, de miota megepult hasznalhatatlan. Tehat eddig nem tortek magukat. Hozza sem nyultak projecthatarido utan :)

És ez ellentmond annak, hogy szerintem lehet ugyanarra a projektre többször is pénzt kapni? Abból, hogy kap még 1x, 2x, 10x pénzt, nem következik, hogy dolgozni is fog a 2., 3., 10. pénz után. (Nyilván valaki fog, hisz le lesz papírozva - márpedig a papírt is gyártja valaki - de az nem kifejezetten tekinthető értéktermelő munkának.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Egy offline szoftver es egy online szolgaltatas tamadhatosaga es ugymond vonzosaga egeszen mas. Titkositas megvalosithato, legalabbis reszben, filerendszer szinten, ami legalabb az adathordozo elvesztese ellen ved. Masreszt egy konyvelonel jellemzoen nyilvanosan amugy is hozzaferheto adatok szerepelnek es ugy egeszben uzleti titkot kepeztek. Kivetel lehet a maganszemelyek adatai, bar akkor is a szolgaltatas nyujtasahoz elengedhetetlenul kello adatok.

" Nincs olyan, hogy a BKK pénze, csak olyan van, hogy az adófizetők pénzéből (költségvetési pénzek, jegybevételek) a BKK-nak juttatott pénz. Ha a BKK veszteséges lesz, akkor a veszteséget is az adófizetők pénzéből kell finanszírozni."

Konkrétan érdekes lenne, ha a vezetők, döntéshozók fizetése nőne/csökkenne arányosan attól függően, hogy jól megy a cégnek, vagy sem. Bár csak létezne valami szervezet ami ezt betartatja velük.

Igen ez is a pakettben volt, de a fenti felvetés (eredményalapú premizálás) kapcsán nem erre céloztam, hanem erre:

A kormányzati teljesítmény értékelő rendszer lényege, hogy szoros kapcsolatot teremt az értékeltek által végzett munka minősége és mennyisége, illetve a kifizetett jutalmak között, és megteremti a kötelező visszacsatolást főnök és beosztott között. A rendszerben a vezető és a beosztott közösen határoz meg célokat, és közösen értékeli, hogy azok valóban megvalósultak-e. "Vezető és vezetett között tehát nemcsak lehetőség van a folyamatos visszacsatolásra, hanem kötelezővé is válik, hogy a főnök szemtől szemben véleményt formáljon kinek-kinek a munkájáról" - mondta Szetey Gábor.

https://www.hrportal.hu/hr/januartol-indul-a-kormanyzati-teljesitmeny-e…

Magától értetődik, hogy a csinovnyikok nagytestvért kiáltottak, ez szervezetelméletileg így természetes.
Az érdekesebb (de az is természetes), hogy a korabeli konstruktív ellenzék ezt IS támadta - a nagytestvérezés és buzizás között alterálva.
A méltán lejtőn álló Fletó meg nem mert beleállni, mert úgy hiányzott neki a végrehajtásban a passzív vagy akár aktív rezisztencia lehetősége, mint ablakos tótnak a hanyattesés.

Ma meg ilyesfélét gondolni is minimum sorosbérencség volna.

De nem mondom, hogy ebben nincs semmi pozitív: pl. ha Mikszáth feltámadna, nem érné kulturális sokk.

Úgy tudom, hogy ez a teljesítmény-értékelő rendszer valamilyen formában továbbél most is a közigazgatásban.

Ami érdekes számomra, hogy a köz- és államigazgatási szervezetek között nagyon nagyon különbség van az elvégzett munka minőségében, olyan, mintha nem lenne egységes minőségbiztosítás mögötte.
Valahol azt látom, hogy szervezett, jó és folyamatosan fejlődő infrastruktúrával (NAV, okmányirodák), valahol még mindig a Kádár rendszer köszönt vissza (egészségügy, földhivatalok).

"Úgy tudom, hogy ez a teljesítmény-értékelő rendszer valamilyen formában továbbél most is a közigazgatásban."

Lenn a végeken.
El tudod képzelni, hogy a számonkérendő pénz felével elszámolni képtelen, de legalább az operatív munkát (IS) akadályozó KLIK-ben a fejméreten kívül bárkit bármire mértek?

Teljesítményértékelésre van külön rendszer (emlékeim szerint egy .net-es remekmű) közmunkások kezelik mert az osztályvezető nem ért hozzá vagy nem akar. Más kérdés, hogy mondjuk IT-nél ha eltérítenek se keresed meg amit normális helyen adnának. De eltéríteni meg amúgy se fognak mert nincs rá pénz (ahogy ITra sincs)

(nem mintha újat mondana az ittenieknek, de a fenti károk listájához:)

... tehát annak, aki regisztrált, és olyan jelszót használt, amit máshol is használ, annak most sokmindene nyitva van gyakorlatilag bárki előtt. Csodás. Tényleg reménykedek még, hogy az app is okozott valami jó kis adatvesztést a telefonokon vagy hasonló, és akkor ezzel sikerült is überelni az úszó EB állványzatát, amit ugrótoronynak mertek nevezni.

Nemzetközi sajtóban megjelentünk már?

Én őszintén nem értem miért így próbálták megoldani, miért nem egy NFC-s megoldással próbáltak előrukkolni. A megoldás kísérőjel lehetne ugyanazon az elven működő nfc-s kártya azoknak, akiknek nincs telefonjuk, és hurrá, le lehetne váltani a klasszikus jegyrendszert (ami fasza dolog lesz, most, hogy nemrég állították üzembe a megannyi új jegyautomatát. Nem kellett volna összehangolni ezeket?

Persze tipikus, hogy ilyen választ adnak, miszerint: "A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

Próbálják befolyásolni. Nyilván a próbálkozások miatt szar a rendszer :)

A javítás előtti állapot - amikor a vásárló mondhatta meg, hogy mennyiért veszi meg a jegyet/bérletet - az a BKV/BKK tesztje volt, amivel az utazóközönséget szondáztatta mg, hogy szerintük mennyit ér a szolgáltatás. És miután kiderült, hogy az utazóközönség nagy számban az eredetileg közponilag beállított áron vette a jegyet/bérletet, nyugodtan hátra lehetett dőlni, hisz jól lőtték be az ár/érték arányt.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Az lesz a csoda ha eddig még nem bányászta ki senki a useradatokat belőle.

Az egyik facebook csoportban írták, hogy simán le lehet kérdezni az ÖSSZES felhasználó által megadott user/password/szemigszám kombinációt, plaintext-ben, kódolatlanul.

Tehát ha véletlenül olyan jelszót adtatok meg itt, amit máshol is használtok, akkor érdemes lenne jelszót cserélni...

Témába vágó videó a programozói etikáról, avagy: ha a programozók nem csinálnak "céhet" maguknak, akkor hamarosan valami tökkelütött bürokrata teszi ezt meg, és azzal mindenki nagyon rosszul jár majd.

GOTO 2017 -- The Scribe's Oath -- Robert "Uncle Bob" Martin

https://www.youtube.com/watch?v=Tng6Fox8EfI

azért mert nagy cég, nem jelenti azt hogy minden ami kezükből kimegy profi. sőőt! ellenkezőleg a bürokrácia fellegvára lehet, mire ott végig megy a legkisebb hibajavítás is.
Gondolom senki annál a cégnél nem érzi magáénak a BKK jegyvásárlást. A vezetőknek meg holt mind1 mivan, a BKK úgy is fizet, meg úgyse értik mi az hogy "plaintext".

(Ha már public program pl. bubi telefonos appját is egy átlag hobbi programozó jobbat dobna össze.)

Nem jelenti, hogy ami kimegy a kezük alól az profi, de erősen megrenditi azt az elképzelést, hogy a szomszéd pistikére sózták rá a feladat és átjátszottak neki sokmilliárdot érte. Ha a bkk a T-től rendelte meg a rendszert és ezt a szemetet kapta érte, akkor ott nem valószinű, hogy a bkk a hibás.

Az erre költött összegnek a töredékéért tudnak magán cégek csináltatni maguknak normális működő megoldásokat, akár T-vel, akár mással. Valahogy mindig az állami megrendeléseknél van a gond. Ez azért elgondolkoztató...
De persze ha a böllérkés jó végén állsz, akkor a disznótor is lehet jó móka (már akinek!)

tekintettel arra hogy gondlom a tsystems nem a polcról vette le a rendszert hanem volt egy kezdeti fejlesztés, annak a követelményspeckójába bele kellett volna írni az auditot. csak a sok zseni mánáger biztos kihúzta volna a tételt mert olyan költség amit meg lehet "spórolni" úgyse tűnik fel senkinek a végén, pláne ha értelmes emberek tervezték & implementálták az alkalmazást.
Ha nem volt ilyen követelmény akkor a bkk -is- hibás.

amúgy meg igenis a megrendelő felelőssége is hogy ne egy kalap szart vigyen haza: üzleti etika? lehet feltételezni de nem érdemes rá számítani. a mindenek feletti profitmaximalizálásból adódik hogy a minimumot épphogy teljesítő rendszereket szállítanak, nem pedig "jó megoldás"-t (amit saját magadnak alkotnál)

(főleg használt) autót vásárlás után is elviszed szervízbe hogy megnézze egy hozzáértő.
házat se fotó alapján veszel meg mert a leírás alapján ez jó lesz neked...

Nekem ez már nagyon erőltetett, megpróbálhatod ráhúzni a bkk-ra a vizes lepedőt, de jogilag biztos nem állja meg a helyét ez. Nem a szomszéd pistikét bizták meg, hanem egy óriás multit a rendszer kifejlesztésével, a rendszer elkészült, működik, teljesiti a követelményeket, a userek tudják használni. Hogy egyébként feltörhető (volt, mert már javitották), az abszolut nem a megrendelő hibája, ez a T felelőssége.

Azert business oldalrol mi mindig mindent elkovettunk a T-nel (nem T-Systems "csak" Telekom), hogy terdre kenyszeritsuk a fejlesztok alkotasait. Szenne hekkeltunk mindig mindent frontend oldalrol, ki milyen csomagokat hogyan tud rendelni illetve milyen anomaliakat tud eloidezni (letesitesi helyek idopontok visszatorlesek kedvezmenyekkel trukkozes etc).

Ha talaltunk ilyesmit az nyilvan show stopper volt es ulhettek vissza egy kicsit kodolni. Szoval igenis nekik is van valamennyi felelosseguk.

1. Az erdőben sétálva egy lepkét megláttam,
Színes szárnyain sebesen szállt.

2. Oda se figyeltem, elkaptam hirtelen.
Színes szárnyain már nem szállt.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

3. Verdeset szerényen,hogy nyugtassam, s megvédjem
Ujjaim hegyével ápolám.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

4. Nem nyugszik szegényke, ezért hát mit tegyek,
Tenyerem ütését kiállá.

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

5. Hát te még mindig élsz, nem lehet kislepkém,
Hogy dögölj meg, ököllel verlek én!!!

Refr.: Nem fogsz te pillangó szállni, virágról virágra szállni (2x)

[élt túl sok évet]..

Elso beszolasom az volt a projekt kapcsan hogy tan nem egy Siebel-t kene elkezdeni takolni mert ultra szopas lesz.

Ssssss ez joleszezigy volt a valasz. Ok good luck with it. Aztan elkezdtek fogyni a milliardok (igen nem milliok milliardok csak hogy aki nem volt benne az is erzekelje mekkora love egy SAP meretu Brand rendszert customizalni :D )

Azt se ertettem, hogy a mar majdnem mukodo (80%) ICDB-t amit szinten csilliardokbol fejlesztettek miert kellett legyilkolni de valoszinu ez mar politika logika nincs sok benne...

Mindezt ugy hogy korabban mar beszoptak az OSS-el

Borítékok vezetőtől az utódnak, amelyeket krízisben kell sorszám szerint kinyitni:

Boríték 1: MINDENT KENJ RÁM!
Boríték 2: SZERVEZZ ÁT!
Boríték 3: KÉSZÍTS 3 BORÍTÉKOT!

Legalább 40 éves klasszikus, de a legnagyobb multinál is pont úgy működik, mint hajdan a Porfészek MGTSz-nél.

Még egyszer kérdezem, milyen felelőssége van a bkk-nak? Jogi?
Mert ti - nagyon helyesen - tudtok pentestet csinálni, mielőtt átvesztek egy munkát, ők meg nem tudtak/akartak? Milyen törvényt sértettek meg ezzel?

Ráadásul SaaS-ban, lehet a forrást se látták, nem is érdekli őket. Kértek egy rendszert x funkcióval, megkapták, működik az x funkció. Ha hibásan működik, akkor a T javitsa ki. Kijavitotta, saján renoméját jól megtépázta a T a balhéval, ennyi a történet.

[előfeltevés:tényleg_leakelt_minden_személyes_adatot]
Jogi, ugyanis az adatvédelmi nyilatkozatukban (http://bkk.hu/apps/shop/bkk_shop_adatkezelesi_tajekoztato.pdf) önmagukat nevezik meg adatkezelőnek (4. pont).

Az 5.3. miatt ráadásul pénzügyi felelősségük is van ("A BKK az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt megtéríti.")

Ráadásul:

Az ilyen fenyegetésektől megvédendő a BKK megtesz minden tőle elvárható óvintézkedést, ennek keretében a rendszereket megfigyeli annak érdekében, hogy minden biztonsági eltérést rögzíthessen és bizonyítékkal szolgálhasson minden biztonsági esemény esetében

Innentől az üzemeltető T-re mutogatás sem áll, mert említés szintjén sem szerepelnek az adatvédelmi tájékoztatóban, sőt az 1.2-es pontban "önálló adatkezelő"-nek titulálják magukat.
[/előfeltevés]

Szerk.: T-re mutogatás kettő pont nulla (bár semmit nem jelent): a shop.bbk.hu által mutatott IPv4 cím az Invitelhez tartozik a RIPE szerint :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

pont mivel óriás multiról van szó ezért a felelősségek még inkább átláthatatlanok. nem húzok lepedőt senkire, de ha nem értek valamihez akkor a tervezéshez is megbízok szakembert pl építkezés. a kivitelezést meg rábízom egy másik szakemberre. és igyekszem annyira a közelülben lenni folyton amennyire lehet hogy tuti ne legyen gányolás. ez nem jogilag ez vagy az hanem a saját jól felfogott érdekem.

Ha meg segghülye vagyok valamihez és kiadok minden kontrollt a kezem közül akkor legalább olyan szerződést írok amiben kellő eszközök vannak arra hogy az érdekeimet és az üzembiztos működést garantálni lehessen.
Na ebben is van felelőssége a megrendelőnek.

Persze mondhatod azt hogy miért trágyadombot szállít a nagy szoftverház, de ha a trágyadomb megfelel a követelményeknek: alakra, működésre a szagról meg nem kötöttél ki semmit akkor az bizony a saját marhaságod.. hogy elfogadtad és hogy használod is (nem kevés $ért). a cég az cég: a leírt elvárt minimum követelményeket jó esetben teljesíti.

Ennek az eldöntéséhez azért ismerni kéne a specifikációt.

Az ügyfél valamit kér, a fejlesztő valamit szállít. Jó esetben amit az ügyfél kér, azt teljesíti.

Ha az ügyfél nem kért valamit, akkor elméletileg az a jó, ha a fejlesztő nem implementálja azt - viszont nem ártana felhívni a megrendelő figyelmét, hogy figyi, ezt nem így szokták.

Az is lehet, hogy az ügyfél konkrétan azt kérte, ami minden kommentelő szerint hülyeség. Persze ilyenkor is érdemes szólni, de nekem pl. volt már olyan ügyfelem, ahol elmondtuk, hogy amit kérnek, azzal mi a gond, elmondtuk, hogy ezt hogyan szokás csinálni, és annak mi az előnye, mire ők azt mondták, hogy értik, de szeretnék, ha mégis úgy lenne, ahogy kérték.

Egyébként ha nekem kéne tippelnem, azt mondanám, hogy kért a BKK egy rendszert. A T készített egy proof of concept implementációt, aztán mondjuk határidő vagy csak ostobaság miatt a BKK kitalálta, hogy hát ha már működik, akkor kiteszik élesbe.

PoC bemutatja a funkciót. A funkció az, hogy lehet jegyet és bérletet venni, és képernyőn megjelenik QR kóddal.

Mivel az igazi termék általában nem a hipp-hopp összedobott PoC foltozgatásával, hanem 0-ról megírásával (gyakran más programnyelven) készül el, ezért teljesen mindegy, hogy a PoC-ben milyen baromságok vannak.

Csak annyi a célja, hogy megmutassa, hogy az adott architektúrán az, amit kitaláltak, akár működhet is.

Már csak meg kell írni. :-)

más tartalmat társítunk akkor a fogalomhoz.

én működő de még messze nem tökéletes megoldást, te meg valami show-off [#*!?]-t nevezel ennek. egy kattintgatható statikus html lapokból álló akármi szerinted megfelelő poc egy ügyviteli rendszerhez pl?

gyakorlatilag amit említesz azt kb frontend app-oknál tudom elképzelni de ott is inkább sales demora lehet (? ha egyáltalán lehet) használni, de arra is csak vetítésnek hisz pont te írod hogy még a felhasznált tech stack se az alatta mint amit validálna: proof of concept: ez így egyben működhet, elvileg erről szól. felületnél is ha nem azzal generálod a felületet amivel később fogod, tuti nem lesz ugyanolyan..

egy kattintgatható statikus html lapokból álló akármi szerinted megfelelő poc egy ügyviteli rendszerhez pl?

Szerintem attól proof of concept valami, hogy bemutatja, hogy az adott elképzelés működni tud. Ehhez az összes kapcsolódást és architekturális elemeket használnia kell, hiszen ha nem használja ezeket, akkor nem tudja bizonyítani, hogy működik az elképzelt koncepció.

Azt feltételezem, hogy egy ügyviteli rendszer része az, hogy mondjuk egy adatbázisból kiolvasson adatokat, kilistázza, így-úgy rendszerezze.

Így, ebben az esetben nem mondanám ezt megfelelőnek.

A statikus html oldal frankó a UX és a grafikai dizájn valamint a munkafolyamatok lépéseinek bemutatására.

Hogy valós példát mondjak: volt egy feladat, időnként valami távoli szerverre feltöltött több fájlt be kellett tölteni valami adatbázisba és ezekből összeállítani különféle jelentéseket.
A PoC egy nagyon gyorsan összerakott python program volt, ami csak limitált adatmennyiséggel tudott dolgozni, lassú volt, viszont megmutatta, hogy az elképzelés működhet, 1-2 korláttal (bizonyos adatokat nem lehetett összekombinálni a bejövő fájlok adattartalma miatt).
Egy csomó edge case, pl. hibás bemeneti fájlok, hiányzó bemeneti fájlok, adatismétlés, hálózati hiba, rossz jelszó, ez-az, nem volt kezelve benne.
A végső megvalósítás úgy emlékszem, C++-ban született meg, és mindenféle trükkös hiba esetekre is felkészült.

Olyan példám is van, ahol a PoC nem tárta fel, hogy gond lesz:
Egy csapat készített egy PoC-t: az előre eltervezett architektúrán végrehajtotta a feladatot: egy cég adatainak betöltése Oracle adatbázisba, aztán egy weboldalon az adatok kereshetősége.
Ment.
Az ügyfél kitalálta, hogy akkor ez menjen élesbe. Úgy számolták kell egy kis faragás, hogy több céget kezeljen, de a kód nagy része kész.
Csak aztán kiderült, hogy a példa cég adatmennyiségével elbírt ugyan, de más cégek nagyobb adatmennyiségét több, mint 24 óra betölteni, és egyébként a cucc nem skálázódik, szóval a kereső weboldal egyszerre az elvártnál kb. 2 nagyságrenddel kevesebb embert tud kiszolgálni.
Egy darabig vergődtek, de aztán megértették, hogy új architectúra kell.

És számos olyan példát is láttam, ami hasonló volt ahhoz, amit te gondolsz: a PoC nem volt más, mint a végleges architektúrán a végleges programnyelven valaki összerakott gyorsan egy megoldást, ami egy-két esetet korlátozott adatmennyiséggel végigvitt.
A gond mindig akkor volt, amikor a megrendelő azt hitte, hogy akkor ezzel kész is van a fejlesztés, mehet élesbe és eladhatjuk az elektronikus bérleteket vagy akármit a publikumnak.
Közben meg ha a fejlesztőnek, architectnek azt mondod, hogy PoC lesz, akkor arra mennek rá, hogy hamar kész legyen a cucc, nem arra, hogy minden NFR-t kielégítsen és minden speciális esetet is kezeljen.
Szóval kb. simán el tudom képzelni, hogy pont ez történt a BKK-nál is.

Úgy gondolom, hogy a BKK-s PoC-nek pl. tartalmaznia kellett valami adatbázist, hogy a felhasználók regisztrálhassanak, tartalmaznia kellett valami működő fizetési megoldást, hogy a felhasználók megvásárolhassák a jegyet vagy bérletet, és végül meg kellett jelenítenie a jegyet/bérletet, úgy, hogy a felhasználó felmutathassa ellenőrzésre.
Az, hogy az adatbázisban jelszót tárolnak, vagy hash-t pl. az szerintem egy olyan részlet, amit a PoC után, a rendes implementáció közben kellene pl. egy IT security-höz értő architectnek definiálnia.

Remélem, érthető, hogy mit próbálok magyarázni

" Az, hogy az adatbázisban jelszót tárolnak, vagy hash-t pl. az szerintem egy olyan részlet, amit a PoC után, a rendes implementáció közben kellene pl. egy IT security-höz értő architectnek definiálnia."

Nagyon remelem, hogy nem sullyedt az informatika olyan szintre, hogy ehhez architect kelljen.

Ez a szint ami a T-nel produkaltak az valahol egy retardalt fogyatekos junior php24 ora alatt programozo alatt van joval. A mostani altalanos iskolai oktatasban levo programozasban magasabb a szint mint amit ebben a PoCben produkaltak.

A megrendelőnek eleve elő kell írnia az iparági standardok szerint fejlesztést (nem csak a végterméknek, hanem a fejlesztés folyamatának is ennek megfelelően kell történnie).
Ezen felül teljes kártérítési felelősségre kell szerződnie (azaz ha a vállalkozó nem tartja be az általa vállaltakat, akkor akár a megbízási összegnél nagyobb kárt is leverhet rajta a megrendelő - mivel a rendszer éves forgalma több, mint amibe kerül a rendszer, így ez valós lehetőség) és/vagy kötelezően elő kell írni (közvetlenül vagy közvetve) a független auditálást. Persze ha csak az első eset van, akkor is a vállalkozó elemi érdeke, hogy saját hatáskörben megbízzon egy független auditort. Mert ha ezt nem teszi, egy perben nem tudja könnyen bizonyítani, hogy jól csinálta a dolgát, és egy milliárdos kártérítésbe simán csődbe is mehet a cég.

Azért "végigkattintani" illik. És ha egy jelszóemlékeztető levélben visszakapom a saját plaintext jelszavamat, akkor aki kicsit is hozzáértő az sikít, hogy ezt így nem szabad élesbe engedni. A bkk oldaláról vagy nem volt ilyen, vagy volt csak felülbírálták a véleményét felülről. Szóval itt egyértelmű a bkk felelőssége.

Másrészt meg az ő nevük alatt, az ő domainjükön megy a rendszer, és az ő termékeiket veszik meg rajta és ebből nekik lesz bevételük. Szerintem teljesen logikus, hogy a megrendelő akár 3. féllel is ellenőrizteti a rendszer biztonságát.

Szerintem te még mindig kevered a jogi felelősséget (ami itt nem nagyon merülhet fel) a szakmai felelősséggel. HA(!) ért a megrendelő hozzá, akkor csinálhat penetration test-et, de nem köteles. A megrendelőnek annyi a dolga, hogy kipróbálja a kért funkciók működnek.

Az a hulladék amit kiadott a T, az az ő felelőssége. Ki is javitotta, igy szakmailag nincs mit pörögni a dolgon a tovább, hogy ez mekkora arcvesztés nekik (a T-nek, nem a BKK-nak) az már egy másik kérdés.

Szerintem az általam _a_ _bkk-nak_ megadott kezeléséért a bkk a felelős jogilag. Én - tudomásom szerint - a bkk-nak adtam meg az adataimat azért, hogy a bkk szolgáltatását megvehessem a bkk-tól. És innen kezdve a kutyát nem érdekli, hogy az nagy té vagy a babámfasza bété fejleszti vagy üzemelteti azt a szarhalmot, a bkk felelős érte, pont.

Persze, beperelheted őket, ha téged kár ért, ők meg majd behajtják a T-n. De én nem kárról beszéltem, hanem arról, hogy attól még, hogy a megrendelő nem ért hozzá és átvesz egy könnyen törhető, de működő rendszert, azért jogilag nem felelős. Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta.

"Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta."

Pedig kellene hogy legyen ilyen előírás.
A bkk alapvetően egy monopol szolgáltató, nem igazán tudod kikerülni a szolgáltatását (*), tehát a "piacon megbukik ha szar" elv semmiképp sem érvényes rá.
Márpedig az ilyen monopol/oligopol piacokon igenis komoly előírásoknak kellene megfelelni szerintem, amiben az is benne van, hogy egy ilyen lyukas szart nem teszünk production-be.
Akkor se ha kezdődik a vizes vb...

Jövőre már él az EU direktíva, akkor a hasonló baklövéseknek már következményei lesznek. A következmények nélküli bénázás napjai meg vannak számlálva.

"The following sanctions can be imposed:

- a warning in writing in cases of first and non-intentional non-compliance
- regular periodic data protection audits
- a fine up to 10,000,000 EUR or up to 2% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater (Article 83, Paragraph 4)
- a fine up to 20,000,000 EUR or up to 4% of the annual worldwide turnover of the preceding financial year in case of an enterprise, whichever is greater (Article 83, Paragraph 5 & 6)"

már ha végrehajtják még akkor itthon a brüsszeli azaz luxemburgi bírósági ítéleteket...

Nem kell hozzá értsen, nincs törvény, ami előirná neki, hogy márpedig pl. penetration test-et kellene neki csinálnia rajta.

Nem. Olyan törvény van, ami az "elvárható gondosság" nevű felelősségi kört telepíti a cég vezetőire. Ennek meg lehet felelni úgy, hogy ért hozzá az illető és a saját szaktudására alapoz, vagy úgy, hogy a felelősséget továbbdelegálja. Ez utóbbi ugye lehet egy megfelelő beosztott/aligazgató megbízása a feladattal, vagy egy külső vállalkozás felkérése. Az biztosan nem az elvárható gondosság, ha semmit nem tesz, és vakon bízik benne, hogy majd nem lesz gond. Szóval, multis szleng szerint: a főnöknek védenie kell a seggét, kell a papír.

"A BKK sajnálattal tapasztalta, hogy a tegnap elindított új online értékesítési csatorna sikeres bevezetését és rendeltetésszerű használatát folyamatos informatikai támadással próbálják befolyásolni."

"A BKK sajtóosztálya a T-Systems felé mutogatott, hogy őket kérdezzük a rendszer működéséről, el is küldtük nekik a kérdéseinket, és őszintén kíváncsiak vagyunk rá, hogy mennyi pénzből, milyen határidővel dolgoztak, és hogy ők maguk milyen színvonalúnak találják ezt a munkát."

Nah itt az első "incidens". Úgy tűnik tényleg "Komplex probléma a hazai informatikai biztonság kérdése".

Az Oyster tul egyszeru es mukodo megoldas volt ahhoz hogy foglalkozzanak a lemasolasaval. Meg a vegen elegedetten hasznalnak pff...

Tudja fene. Errefele eleg sok helyen hasznaljak mind a harom megoldast.

QR kodos e-ticket, papir alapu magnescsikos, amit elol bedugsz, felul meg kijon, meg RFID/NFC a plasztikkartyanak, amit csak lecsippantassz.

Mindez egy keszuleken.

Nem lehet, hogy otthon is egy ilyen integralt rendszert tesztelnek/keszitenek, es ennek az elso allomasa kerult ki elesbe most?

Mar ugye csak kerdem, hogy pl. NFC keptelen telefonnal hogyan szeretnel "okosjegyet" hasznalni, ha nem QR koddal?

Csak kerdem, ha a reptereken megfelelo a QR kodos beleptetes, akkor neked miert is "felesleges okorkodes" ez a BKK reszerol?

egy reptéren napi 1x vagy max, és amúgy sorban állsz (pl. screening miatt)

egy metrólejáraton 0.3 sec alatt akarsz átjutni. Gondolj bele, ha csak 1 másodperc lenne egy QR kód leolvasása, validálása, és a zöld fény felvillantása. Mekkora sorok lennének?

van egy futó projekt az oyster lemásolására, akkor miért költünk egy másikra is?

"NFC keptelen telefonnal hogyan szeretnel "okosjegyet" hasznalni, ha nem QR koddal?"

Ez tényleg nem értem miért probléma. Ennyi erővel mondhatnánk, hogy nem mindenkinek van okostelefonja, ami alkalmas a QR kód megjelenítésére. Kisebb réteg, de létező. Ők is utaznak most valahogy :) Nekik most alternatívaként a klasszikus jegy van, NFC-seknek is lehet. De valójában erre sincs szükség. Miért nehéz elképzelni azt, hogy az NFC-s beléptetés alapja egy szimpla kártya, ami helyettesíthető NFC képes telefonnal?

A QR kód pedig azért felesleges ökörködés, mert már eleve volt terv korábban egy másik rendszerre (lásd rigo kártya). Tehát ez egy felesleges köztes lépés volt. Ez olyan, mint amikor nekiállsz főzni, és amíg készül a kaja csinálsz egy szendvicset. Csak épp ez a szendvics marha sokba került, és el is vette az ember étvágyát.

Ráadásul látjuk a gyakorlatban, hogy lassú egy fő ellenőrzése qr kóddal. Reptereken más a helyzet, ott egy beszállásra van egy csomó idő szánva.

"Nem lehet, hogy otthon is egy ilyen integralt rendszert tesztelnek/keszitenek, es ennek az elso allomasa kerult ki elesbe most?"

Egyébként simán lehet, de tudod, arrafelé van erre pénz, errefelé meg nincs. Errefelé egy jó rendszert kellett volna építeni.

NFC mentes okostelefonosként szerintem sokkal nagyobb az a réteg, akinek nincs okostelefonja vagy egyáltalán mobilja, mint az nfc-mentes okostelefonos. Még milennial szoftverfejlesztő ismerőseim közül is nem egy szaladgál butatelefonnal, nem hogy az öregebbek. És akkor ott van még egy olyan réteg, akinek van okostelefonja, de nincs mobilnetje, náluk is ki van lőve a mostani qr kódos rendszer.

egyszer letenni a kulcsot a telefonra vs folymatos online kapcsolat baromira nem ugyanaz

ha Átlag Józsi mobilnet nélkül is ragaszkodik az e-jegyhez, ráadásul otthoni és munkahelyi wifi-hozzáférése sincs, akkor még mindig beülhet a helyi mcdonalds-ba kulcsot generálni az ingyenwifin

Jó és most van olyan megoldás, hogy folyamatos kapcsolat nélkül működjön? Nincs. Én ezt írtam. Akkor meg miről is beszélünk?

A linkelt hsz meg arra vonatkozott, hogy ezzel csak tolod a problémát, de nem oldod meg. Mert most nem magát a qr kódot fogják megosztani, hanem az azt generáló kulcsot. A kulcs alapú OTP ugyanis nem erre lett kitalálva. Egy banki loginnál az eszköz gazdája érdekelt abban, hogy más ne tudjon belépni a felhasználójával, ezért védeni fogja a kulcsot.

Itt viszont pont, hogy nincs bizalmi kapcsolat a felhasználó és a szerver között, csak a szolgáltató érdekelt abban, hogy más ne használja a kulcsot, a felhasználó meg abban, hogy egy áráért minél több bérletet kapjon. Magyarul átmásolja a kulcsot az asszony telefonjára, és hajukra kenhetik az amúgy divatos, csak épp másra való security technológiát.

Mi ez a telefonos baromsag es miert nincs ertelme? Biztos, hogy nincs ertelme? Atgondoltad az osszes use-case-t, es az alapjan allitod, hogy soha, semmilyen korulmenyek kozt nem erte meg erre penzt kiadni? Ezt a rigo kartyat megis hogy szeretned okostelefonnal hasznalni, ha abban nincs NFC? Csak nem QR koddal? Biztos, hogy az integralt jegykezelo automatakon nem lesz optikai leolvaso kifejezetten erre a celra, hanem fel ev utan megy a levesbe az egesz? Egyaltalan, tudnad nekem linkelni a BKK eziranyu strategiajat (nem valami marketing anyagot), amibol a sommas velemenyedet leszurted?

Nincs értelme, mert a tárca helyett, amiben ott a bérlet és az igazolvány, most vehetik elő az emberek a telefont és a tárcát, mert kell az igazolvány. Hatalmas áttörés! Honnét veszed, hogy okostelefonnal akarnék használni egy nyomorult bérletet? A rigo meg sokkal több annál, hogy papír helyett kártyát/telefont mutogatsz, a lényege a díjszabás.

"Nincs értelme, mert a tárca helyett, amiben ott a bérlet és az igazolvány, most vehetik elő az emberek a telefont és a tárcát, mert kell az igazolvány."

Biztos, hogy nem tervezik ennek is a modernizalasat is, es ez csak egy atmeneti allapot?

"Honnét veszed, hogy okostelefonnal akarnék használni egy nyomorult bérletet?"

Honnan veszed, hogy en nem? Sot, tovabb megyek, meg a telefont se szeretnem elohalaszni, sokkal jobb lenne, ha az Apple Watch lenne hasznalhato erre.

"A rigo meg sokkal több annál, hogy papír helyett kártyát/telefont mutogatsz, a lényege a díjszabás."

Hurra, de ez most hogy jon ide? Arrol beszelgetunk jelenleg, hogy van-e ertelme a QR kodos "bohockodasnak" vagy nincs.

Londonban pl. a buszokon ügyesen meg tudták oldani, hogy csak NFC-s csippantás van. Bankkártyával, telefonnal, oyster kártyával lehet csippantani, ki mit szeret használni.

Plusz ott a sofőr, ha valakinek van egy papír vonatjegye vagy mondjuk egy olyan igazolványa, amivel ingyen utazhat, a humán intelligencia megoldja.

csak a boardinghoz kell igazolvany

Az utolso 10-bol 8 beszallasomnal nem kellett sem utlevel, sem igazolvany. 3 evvel ezelott kollega Becsbol eljutott Gibraltarig a felesege utlevelevel, csak ott akadt fent, leven nem schengeni ovezet es ki kellett nyitni ellenorzesre :)

--
L

Egyszeri beléptetésnél lehet ellenőrizni egy központi szerverrel, hogy használták-e már, és ha igen, akkor nem engedi be többet. BKV bérletnél meg egy hónapig/hétig/napig folyamatosan érvényesnek kell lennie, maximum gépi tanulást engedhetsz rá a logokra, hogy adott felhasználási minták esetén hányan használhatják ugyan azt a bérletet.

Ennek ebben a formában biztosan nincs értelme, legalábbis közpénz ezért semmiképp se érte meg adni - kivéve azoknak, akik 8-9-10 számjegyű összeget tettek zsebre és megiratták egy pistikével 1 hét alatt.

Ez a sw kb. 1-2 nap alatt megbukott: nem validálják server oldalon az input, plaintext tárolnak jelszót, azt plaintext elküldik, simán lenyúlható a teljes adatbázis, és még a telefonos gui is szar.

Ez az a szint, amit egy "bevezetés a webprogramozásba I" tárgyánál jóindulattal talán elfogadnak kettesre, de fölötte karó mindenhol, már ha a tanár kicsit is ad magára.

Ezt a rendszert be kell csukni, ki kell dobni, és - ha van értelme - hozzáértőkkel újraterveztetni és újrairatni. Ez valószínűleg olcsóbb és biztonságosabb, mint ha egy sort is meghagysz abból a kódból vagy tervből, ami ilyen.

Ez a RIGO szép lenne - ha már 5+ éve működne! 2017-ben már tényleg ne kezdjünk el még egy meg még egy ilyen-olyan kártyát rásózni az emberekre! Telefonos app - ugyan modernebb lenne NFC-vel, de a QR kódot is lehet jól használni, Milánóban pl. qrvajól működik.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Ehh. Az elektronikus jegynek nem az lenne az értelme, hogy menőn a telefonod lóbáld, hanem hogy pl ne kerüljön 3-4-szer annyiba egy sok átszállásos utazás, mint kétszer akkora távot lemetrózni egy jeggyel. Hogy ugyan azt a bérletet meg napijegyet mostantól telefonon mutogathatom ezen semmit sem segít.

Ha értelmesen csinálják, és az infok alapján van rá remény, akkor plusz kártya csak annak kell, akinek nincs új személyije vagy diákigazolványa, ha meg nem vesz bérletet, akkor londoni mintára mehet a paypass kártya, napi limittel.

Nem vagyok elég öreg, ráadásul bevándorló budapesti. Nem az a lényeg, hogy mi volt, vagy hogy mit lehetne, a lényeg, hogy nincs, RIGO-val meg lesz. Olyan mondjuk szerintem sosem volt, hogy bevittem egy marék használt jegyet, hogy "csókolom, többet utaztam mint gondoltam, kérem vissza a napijegy ára feletti részt".

Halkan kerdem. A MAV mar letezo infrastrukturajaval hogy szeretned osszeintegralni a BKV epp kiepulo felben levo rendszeret?

Nem ertek hozza, de nekem logikusnak tunik az elovarosi vonatok integralasa a varosi tomegkozlekedesbe. Ha szerinted ez hulyeseg es/vagy a MAV-nak kellene lecserelnie a mar meglevo QR kodos rendszeret, erdeklodve varom, hogy miert is.

Most már nagyon idegesitő kezd lenni, hogy minimális gazdasági hozzáértéssel vívod a szélmalomharcod.

A MÁV QR kódos rendszere 2013 elején indult. Az akkor beszerzett telefonok legkésőbb jövőre nullára lesznek írva. Az újak beszerzésénél már lehet NFC képeset venni.

Persze ha vadiúj nem NFC-s telefonokat kellene lecserélni, még az is mindig SOKKAL olcsóbb lenne, mint TIZENSOKEZER eszközön változtatni, potenciálisan hónapokkal tovább tolva a rigo bevezetését.

Mostmar nagyon idegesito kezd lenni, hogy kotekszel :)

Latod, en csak annyit mondok, hogy ez van, a MAV-nak ott a QR kodos rendszere, 2013-ban indult, tehat valamilyen szinten tesztelve van mar. Nem tudom, hogy mennyi ertelme lenne ezt hirtelen lecserelni egy olyan rendszerre, amivel semmilyen tapasztalatuk nincs (ld. post). Tudod, csak az basz fel, hogy ebben a topicban csak a mocskolodas, a hulyezes, a lefitymalas jott, de abba egyikotok se gondolt bele, hogy mi van, ha ez a rendszer nem csak "villantani kell a vizes VB-re", hanem esetleg egy nagyobb, komplexebb megoldas elso hirnoke.

Termeszetesen nem latok bele a BKK es a MAV kozti szerzodesekbe, nem tudom milyen cegkozi strategiaval operalnak, de az a hangnem ami itt lemegy az egyreszt gusztustalan, masreszt a rossz szandekusag es egyaltalan, a gondolkozas teljes hianya valami verlazito.

Foleg amikor emberek tenyek hianyaban sommasan kijelentik, hogy az "egesz rendszernek semmi (ismetlem SEMMI) ertelme".

Hulyezz le nyugodtan, szerintem kettonk kozul nem en vagyok az :)

Nem akarom lecserélni. Talán képes két applikáció futni egy telefonon a kalauzoknál.

Gazdasági hozzánemértést nem tekintem úgy, hogy hülye lenne a másik, szóval köszönöm a minősítést, ennek kacifántos körülírása helyett esetleg használhatnád a googlit. Például az nemzeti egységes jegyrendszerről olvasgatni. Főleg mert engem nem érdekelt annyira, így még az is lehet, a végén azt találod benne, hogy a qr kód a világ legmenőbb dolga, ezért mindenhol az lesz.

Ez meg a rigo kivitelező neve: Scheidt&Bachman. Hasonlóképp úgy ajánlom, hogy csak átfutottam a honlapjukat, lehet találsz rajta qr kódos megoldást, hogy az orrom alá dörgöld, ha már ennyire lelkes vagy.

Lehet. De nem az a kérdés, hogy technológiailag megoldható-e, hanem hogy érdemes-e erre pénzt áldozni. Mint már többször leírtam, a bkk-nál tizensokezer eszköznél kellene pluszban qr-kód technológiát venni, a mávnál meg az elővárosi vonatokra az amúgy is csereérett telefonok helyett nfc-set venni. Nagyságrendi különbség, lehet nem is egy. Lehet x éve még én is ráizgultam volna, hogy "uu legyen qr kód is", csak mióta havonta kisebb vagyonokat fizetek az államkasszába, kevésbé vagyok toleráns az értelmetlen pénzszórással szemben.

Gyorsan utananeztem, az OBB (Osztrak vasuttarsasag), a DB (Nemet vasuttarsasag) + UK ben a vasuttarsasagok mind QR kod alapu e-ticket rendszert hasznalnak (tobbi orszagnak most nem nezek utana). Mostmar csak azt kene kideriteni, hogy van-e valami EU direktiva az e-ticket rendszerek atjarhatosagarol (a vasut, es a tagallamok kozt integralt vasut az EU-nak amugyis strategiai fontossagu).

Ha az EU azt mondja, hogy a vonatokon marpedig QR kodos e-ticket kell, akkor most a MAV kezdjen el ketfajta megoldast hasznalni (hello belepteto kapuk az orszag teruleten szetszorva), vagy egyszerubb, ha a BKV keszul fel mindketto kezelesere a MAV-hoz kepest toredek helyszinen?

Mielott azzal jossz, hogy "dehat nincsenek is belepteto kapuk", gyorsan tedd hozza meg azt, hogy "meg".

Ember! Te jársz tömegközlekedéssel vagy vonattal? Én elég gyakran.
A vonaton nagy tömegben a kalauz általában sz*rik a QR-kódra, legalábbis simán megcsinálja, hogy csak az egyiket olvassa le, és a többit elhiszi. A vonat nagy tömege meg reggelente a BKV ritkább járatainak felel meg. Már az NFC-t is csodálni fogom, ha bírja pl. az Örs vezér terén reggel a metrónál, de a QR-kód-olvasókat kb. 1 nap után döntené le a népharag.

En azt probalom megfejteni, hogy a BKK miert rukkolt elo a QR kodos megoldassal. Szamomra a "villantanak az uszo VB-re" nem megfelelo valasz. Szerintem ennel logikusabb ervek vannak a hatterben, amit az egyszeru forumozo ugy nez ki nem igazan lat at. Szeretnek a vegere jarni a felinformaciok alapjan, hogy vajon tenyleg csak elszortak csilliardnyi penzt a nagy semmire, vagy esetleg egy komplex, integralt, europai szintu megoldast szeretnenek kihozni belole a vegen (implementacios hibak meg mindig nem erdekelnek; see the big picture; think outside of the box, ahogy a muvelt angol mondana).

"En azt probalom megfejteni, hogy a BKK miert rukkolt elo a QR kodos megoldassal."

Az a baj, hogy nem ez jött le abból amit írtál. Illetve ha ezt próbálod, akkor miért a QR kód mellett ágaskodsz ahelyett, hogy konkrétan ezt fejtegetnéd. Ráadásul itt pont hiába keresed a választ, amennyire tudom senki nem érintett közvetlenül az oldalon az ott folyó ügyekbe, úgyhogy max mindannyiunknak véleménye van az esetről, konkrétumokkal meg azzal szolgálhatunk, amit te is olvashatsz máshol.

"Szamomra a "villantanak az uszo VB-re" nem megfelelo valasz."

Szíved joga véleményt formálni erről a kérdésről, én is csak azt tudom elmondani, hogy mit érzek a dologgal kapcsolatban. Az, hogy mi a logikus, és hogy mi történik ténylegesen, annak pedig nincs egyáltalán köze egymáshoz. Főleg nem ebben az országban.

"vagy esetleg egy komplex, integralt, europai szintu megoldast szeretnenek kihozni belole a vegen"

Lehet, hogy ezt akarják, de erre nincs pénz ebben az országban. Csak a fővárosi tömegközlekedést tekintve volna egy csomó más hely, ahol arra a pénzre nagyobb szükség van, amit erre kidobnak. Tudod, én ha egyedül dolgozom egy projekten, tudom a határaimat, és kompromisszumokkal állok neki a fejlesztésnek. Te meg azt mondod, hogy legyen ez is, meg az is, amikor se pénz, se tehetség nincs hozzá (látszólag?)

> Az a baj, hogy nem ez jött le abból amit írtál.

Szerintem egyertelmu voltam.

> senki nem érintett közvetlenül az oldalon az ott folyó ügyekbe, úgyhogy max mindannyiunknak véleménye van az esetről

Igazabol ez haborit fel igazan. Fogalom nelkul mocskolodnak emberek, anelkul, hogy belegondolnanak a valoszinu okokba.

> Az, hogy mi a logikus, és hogy mi történik ténylegesen, annak pedig nincs egyáltalán köze egymáshoz. Főleg nem ebben az országban.

Nyilvan, ha ilyen attitud uralkodik a mediaban, forumokon, akkor minden szarul fog festeni. Ha vagdalkozas es fikazas helyett az emberek elkezdenenek gondolkodni, lehet mas lenne a hangulat.

> Lehet, hogy ezt akarják, de erre nincs pénz ebben az országban. Csak a fővárosi tömegközlekedést tekintve volna egy csomó más hely, ahol arra a pénzre nagyobb szükség van, amit erre kidobnak.

Nem ismerem a megterulesi mutatokat, adnal forrast?

Szerintem itt a többség nem mocskolódik, csak szimplán a tényeket közli.

Amikor van készülőben egy rendszer, és nincs pénz arra, hogy menjen a légkondi, hogy a hármas metró ne életveszélyes legyen, akkor nem állunk neki egy qr kódos rendszert csinálni. Ez nem mocskolódás, hanem logikus érvelés. Még ha nem is értesz vele egyet.

Az sem mocskolódás, hogy nevetünk a rendszer nyilvánvaló és fájdalmas hibáin. Ehhez a részéhez viszont pont értünk, és nem fogalmatlanul alkotunk véleményt.

Ha az emberek elkezdenének gondolkodni... Gondolod, hogy attól jobb lesz a helyzet. Szerintem pont akkor döbbennének rá többen, hogy igen nagy gondok vannak. Na de ne keverjük ide a politikát. Nem kell ahhoz agytrösztnek lenni, hogy belássuk, hogy ha a vadiúj metrók lerohadnak heti szinten, akkor a pénzt nem egy új, harmadik fajta jegyrendszer bevezetésére kellene költeni, ráadásul nem olyanra, aminek nyilvánvalóan bizonyított hibái vannak.

"Ha az EU azt mondja, hogy a vonatokon marpedig QR kodos e-ticket kell"

Nem mondja.

"akkor most a MAV kezdjen el ketfajta megoldast hasznalni"

A máv qr kódot használ.

"(hello belepteto kapuk az orszag teruleten szetszorva)"
"Mielott azzal jossz, hogy "dehat nincsenek is belepteto kapuk", gyorsan tedd hozza meg azt, hogy "meg"."

Itt mire gondolt a költő?

"vagy egyszerubb, ha a BKV keszul fel mindketto kezelesere a MAV-hoz kepest toredek helyszinen?"

Te valami alternatív valóságban élsz, hogy neked a bkv a töredék helyszín a máv _elővárosi_ vonalaihoz képest?

> Nem mondja.

Pedig a tobbi orszag peldajabol ugy nez ki, hogy megis mondja.

> Itt mire gondolt a költő?

me'g

> Te valami alternatív valóságban élsz, hogy neked a bkv a töredék helyszín a máv _elővárosi_ vonalaihoz képest?

Szoval akkor a MAVnak legyen egy elovarosi NFCs rendszere, meg legyen egy QR kodos rendszere az orszag tobbi reszere? Eszednel vagy?

"Szoval akkor a MAVnak legyen egy elovarosi NFCs rendszere, meg legyen egy QR kodos rendszere az orszag tobbi reszere? Eszednel vagy?"

Többször is leírtam, hogy mit akarok, ha ennyi idő alatt nem jutott át a tűzfalon, akkor feladom, további jó élevezkedést a qr kódos okostelefonra.

Nem, en ebbe kotottem bele:

> ... ráadásul semmi értelme az egésznek. Bérlet helyett telefont vehetek elő a személyi mellé. Ennek minimális értelme pont, hogy jegyeknél lenne, nem bérletnél, hirtelen eszembe jut, hogy nincs jegy/lejárt a bérlet, megveszem egy útra, és kész, még azonosítással sem kellene szórakozni.

https://hup.hu/node/154459#comment-2121154

Itt mar sok volt olvasni az itteni kozosseg amokfutasat, ahelyett, hogy megprobalnanak rendszerben gondolkodni.

Ne vedd fel a Dabóczi pofátlan stílusát, ez a szál már rég nem erről szólt. Hanem arról, hogy nem sikerült felfognod azt az eszmefuttatást, hogy az ELŐVÁROSI kallerek olyan telefont kapjanak, amivel a qr kód MELLETT a rigot IS tudják majd olvasni. Talán a saját mondandód mantrázása helyett szánj időt néha az értő olvasásra is.

Amit te csinálsz, az nem rendszerben gondolkodás, hanem wishful thinking a pénzügyi oldal és gazdasági racionalitások teljes sutba dobásával.

Teny, hogy

- a MAV QR kodot hasznal 2013 ota
- nyugatabbra a vasuttarsasagok (es nemely tomegkozlekedesi vallalat) mind QR kodot hasznalnak
- a BKK-nak meg nincs e-ticket rendszere, csak terveznek egyet bevezetni, ami valoszinuleg RFID/NFC-re epul (RIGO)
- a BKK bevezette a QR kodos megoldast
- a QR kodos leolvasas ugyanolyan gyors, mint az NFC/RFID
- reptereken QR kodot hasznalnak
- az EU a kulonbozo kozlekedesi megoldasok konvergenciaja mellett tette le a voksat

A maradekot logikazd ki.

> ráadásul a fele értelmetlen illetve nem világos, hogy miről beszélsz..

Szolj, ha meg mindig nem.

Te csak latszolag nem erted a komplex rendszerek mukodeset.

Viszont legyszives mutass mar ra arra, hogy hol kampanyoltam az NFC/RFID _ELLEN_?! Az egesz rohadt topicban arrol van szo, hogy sirtok, mint a furdos kurvak, hogy "jajj kidobott penz, meg jajj vizesvebere villantani, megy a levesbe az egesz fel ev mulva", aztan amikor probalom megmagyarazni a mogottes logikat, hogy ez integralt rendszer lesz a vegen (tenyekkel megtamasztott) _valoszinuleg_, akkor meg nekem estek, mint tot az anyjanak.

Ertem en, hogy faj a kognitiv disszonancia, meg nem lehet megint nagyokat rugni a fovarosba/BKK-ba/egyaltalan az orszagba, de talan sokkal tobbre jutnank, ha allando fikazas helyett belegondolnatok a mogottes indokokba, es nem rogton a rosszat felteteleznetek. Van eleg rossz a vilagban anelkul is, nem kell meg tobb mondvacsinalt problemat generalni.

Te a QR mellett kampányolsz, hogy a BKV-nak azt (is) kellene kezelnie, mert a MÁV…
De nem, nem kell kezelnie. Ha a MÁV kezelni akarja az NFC-t, megoldja. De ha a BKV-nál az NFC-s rendszer bevezetése után QR-t is akarnak, akkor azt mindenhol el kell fogadni, azt pedig tényleg ajánlom megnézni, mi van reggel pl. az Örs vezér terén. Egy általában QR-rel működő rendszert egyszerűen elmosna a népharag, én az NFC-sben is kételkedek, hogy emberi sebességű lesz.

Tehát az NFC-s rendszer bevezetése _után_ a QR-kódosnak egyszerűen nincs helye.

(És igen, kidobott pénz: havi 22-25 millió. Ez alaphangon 3000 teljes árú havi bérlet ára. Feleslegesen. Mert ezt a rendszert aztán nem integrálják sehová, megy a levesbe.)

> Te a QR mellett kampányolsz, hogy a BKV-nak azt (is) kellene kezelnie, mert a MÁV…

Ertelmezd mar legyszi amit irok. En nem kampanyolok mellette, hanem indoklom, hogy miert is vezethette be a BKK ezt

> Egy általában QR-rel működő rendszert egyszerűen elmosna a népharag, én az NFC-sben is kételkedek, hogy emberi sebességű lesz. Tehát az NFC-s rendszer bevezetése _után_ a QR-kódosnak egyszerűen nincs helye.

Remek erveles. Esetleg probaltal mar ilyet, mert en nem egyszer utaztam QR koddal vonaton, es semmi ilyesmi nem volt. Se a belepteto kapunal nem volt fennakadas, se az ellenorrel. De nem veletlen linkeltem a videot a belepteto kapurol, gyakorlatilag megallas nelkul lehet atsetalni rajta. Ha neked ez nem eleg gyors, akkor nem tudom, legyen gondolatolvaso a kapu, vagy mi?

> Mert ezt a rendszert aztán nem integrálják sehová, megy a levesbe

Ugyan tevedhetek is. De en ezt nem tartom valoszinunek.

"Esetleg probaltal mar ilyet, mert en nem egyszer utaztam QR koddal vonaton, es semmi ilyesmi nem volt."
Rendszeresen. És amióta egyre többen, a kalauzok egyre inkább nem tökölnek az összes jegy leolvasásával.
És mégegyszer: a vonat nem tömegközlekedés. Szerintem egy nap nem utazik annyi ember az országban vonaton, mint csak a 2-es vagy 3-as metrón.

"De nem veletlen linkeltem a videot a belepteto kapurol, gyakorlatilag megallas nelkul lehet atsetalni rajta"
Te, marketingvideót én is tudok csinálni, bár én figyelnék, hogy a háttérben ne látszódjanak azok az emberek, akiknek láthatóan lassabban megy a dolog, mint a begyakorolt „színésznek” :D

1. Ezt pont en irtam nekes, hogy miota :)
2. Alairt szerzodesek vannak az europai fejlesztesi bank es egy nemet ceg fele. Az tobb honap csuszast okozott, hogy az e szemelyit belevegyek, mert a banknak is jova kellett hagynia. Biztos, hogy rfidre epul.
3. Sajnos. Haromhavonta egy uj busz araert. Es kb te vagy itt az egywtlwn, akinwk egyetelmuen tetszik.
4. Hurra. Papirberletet felvillantani is. Ja nem, mert ott a tokban egybol mellette a szemelyi.
5. Reptee tovabbra is egyszeri beleptetes, a berlet meg nem.
6. A linkelt dokumentumban a qr betukapcsolat egyszer sem szerepel. Koszi.

7. Amit tovabbra is basztal megtenni, az a gyarto honlapjanak atnezese, illetve a nejp-nek valo utana nezes.

Gazdasagi indokot meg tovabbra sem tudsz hozni tobb szazmillio elbaszasara, illetve alairt szerzodesek felbontasara a qr kod miatt.

1. Es? Az informacio, az informacio. Bizom benned annyira, hogy ebben a kerdesben bamondasra is hiteles forraskent tekintsek rad
2. Azert megneznem azt a szerzodest, itt mar jobb biztosra menni
3. Mi tetszik nekem?
4. valahol vagy elcsusztal a szamolassal, vagy nem ertem
5. nem tudom, en a buszra is csak egyszer szallok fel, meg a metrora is
6. Ja, nem tudtam, hogy ennyire keptelen vagy konkret dolgoktol elvonatkoztatni, es a mogottes folyamatokat latni

7. Minek? gelei mar utananezett. Nem akarok kocsog lenni, de most neked kene huznod erre valamit, mert a "lehet" az nem kielegito.
https://hup.hu/node/154459#comment-2122015

Gazdasagi indok arra, hogy miert is jo egy europai integralt rendszerben lenni? Hmm...

Fentebb kifejtettem a hivatkozásodra válaszolva, szerinted nem kontextusban: a QR-kód KURVA LASSAN KEZELHETŐ az NFC-hez képest. Ez tény.
Az EU pedig nem mondja meg, hogy milyen módon kezeljenek jegyet közlekedési vállalatok. (Ha szerinted igen, akkor neked szólt az Állítsuk meg Brüsszelt! kampány, viszont eme célközönséggel felesleges vitatkozni.)

https://hup.hu/node/154459#comment-2121738

> Az EU pedig nem mondja meg, hogy milyen módon kezeljenek jegyet közlekedési vállalatok. (Ha szerinted igen, akkor neked szólt az Állítsuk meg Brüsszelt! kampány, viszont eme célközönséggel felesleges vitatkozni.)

Nem-e?

https://ec.europa.eu/transport/sites/transport/files/themes/its/road/ac…

>"Ha az EU azt mondja, hogy a vonatokon marpedig QR kodos e-ticket kell"
>Nem mondja.

The EU has an ambitious strategy for rail: the creation of a single, efficient and competitive market for rail throughout Europe. It aims to achieve this through:

Opening rail markets;
Promoting competition;
Tackling barriers to market entry;
Harmonisation of technical specifications (interoperability)
Harmonisation of safety standards and certification.
The European Commission has put forward several legislative "packages"– successive steps towards a common legal framework for infrastructure management and operations.

ORR's involvement in European policy has two main elements:

Influencing the formation of EU law, so that the best possible result is achieved for the UK rail industry;
Implementation of EU law, in the best way for the UK.
So far we have had success in achieving EU legislation that is compatible with the UK model, and implementation has not been disruptive for the UK rail industry.

http://www.orr.gov.uk/about-orr/what-we-do/the-law-and-our-duties/eu-law

Cáfolat: az az Interoperability nagy valószínűséggel nem az az interoperability, amire te gondolsz, hanem az, hogy milyen tengelytávval mehetnek a vonatok, milyen szélesek lehetnek, milyen magasságúak lehetnek, a síneken mekkora lehet a legnagyobb szintkülönbség, hol lehet üríteni a WC-t stb.
http://www.era.europa.eu/Core-Activities/Interoperability/Pages/home.as…

Vagyis azok a dolgok, amik ahhoz kellenek, hogy a határon ne kelljen mindenkit lerugdosni a vonatról és átültetni egy másikba...

pl. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32014H0881 - nézd végig a táblázatot.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

"Under ideal circumstances, a passenger should be able to plan and book a trip across Europe using different transport modes as easily as making a common domestic journey using only one transport mode. One-click search, one-click booking, and one-click payment and travel entitlement issuance.

...

Secondly, the customer should additionally have easy (one-stop-shop) access to online booking, payment and ticketing services, allowing for the conversion of such journey plans into purchased trip entitlements, including additional assistance in the case of delay or interruption of travel services (on-trip information, advice and re-accommodation).

...

Most transport operators offer online travel information, booking and ticketing as part of their customer service and sales strategy. The user can browse the schedule and fare database, usually of one transport operator at a time, and filter search results by various items via the transport operators’ website. Subsequently, they can book the preferred itineraries on the same webpage. The e-ticket can either be downloaded or be delivered by email. E-tickets contain unique QR-codes and bar codes for validation on the train or at the airport."

https://ec.europa.eu/transport/sites/transport/files/themes/its/studies…

Ugyanonnan:

On the one hand, paying via NFC is faster and less complicated because no visual
information is to be transmitted
. On the other hand, security and fraud risk may be an issue regarding the possibilities of hacking into a wireless system. Therefore, reliable security systems need to be implemented. Whereas there is always a certain risk that someone might be able to gain access to a secure connection, this risk does not occur with bar and QR-codes, because a visible connection is necessary for validation. As bar and QR-codes are often hard to read with handheld-scanners, a product innovation making use of light signals is available for a limited number of smartphones.

While a smartphone and mobile payment app are required to use such systems, credit card companies have invented the contactless credit card. This works very similar to the solution using NFC-enabled smartphones, but is not dependent on a working smartphone or even a mobile Internet connection. However, the risks are the same. The RFID chip may be scanned by third parties; hence the risk of fraud is equally high

(kiemelés tőlem)

ui.: és egyébként az idézett szöveged továbbra is csak azt állítja, amit eddig mi sem tagadtunk: vonaton és repülőn működik a QR, mert nincs szükség nagy áteresztőképességre.
ui 2.: Az állandóan hivatkozott leolvasódra: a mai napig van, hogy a lényegesen egyszerűbb sima vonalkódokkal küzdeni kell és a végén marad a pötyögés a boltokban, pedig annak a technológiának a tökéletesítésére volt pár évtized (és a nyomtatás [megjelenítés] kontrollált eszközzel történik)...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)