ΠΦΥ -Εκπαίδευση > Συζητήσεις πάνω σε ιατρικά θέματα
medisto
Danae:
Καλημέρα σας. Επανέρχομαι στο θέμα του meidisto και του medexpress. Ο κ. Κουναλάκης είπε ότι αυτές οι εφαρμογές μιμούνται τον web browser και κάνουν στο background ότι θα έκανε ένας γιατρός με το ποντίκι. Και πάλι όμως, με κάποιο τρόπο δεν πρέπει να επικοινωνούν αυτές οι εφαρμογές με την ηλεκτρονική συνταγογράφηση; Είχα μια κουβέντα με φίλο μηχανικό λογισμικού που δουλεύει σε μια εταιρία που με έδρα τη Θεσσαλονικη που φφτιάχνει και ιατρικό λογισμικό και μου είπε ότι χωρίς επίσημο, πιστοποιημένο και δημοσιοποιημένο API δε μπορεί κανείς να πει ότι παρέχει επίσημη, αξιόπιστη και ασφαλή μεταφορά δεδομένων από τη δική του εφαρμογή σε αυτές του κράτους κι άρχισε να μου εκθέτει μια σειρά ζητημάτων που ομολογώ ότι με τρόμαξαν. Τέλος πάντων, εγώ αποφάσισα να το ψάξω λίγο παραπάνω το θέμα και πήρα τηλέφωνο στην ΗΔΙΚΑ. Εκεί είναι που το πράγμα περιπλέκεται. Ένας προγραμματιστής της ΗΔΙΚΑ με τον οποίο μίλησα (το ωραίο είναι ότι μας πήρε εκείνος από το κινητό του τηλέφωνο κι όχι από υπηρεσιακό) επέμενε σε όλους τους τόνους ότι η ΗΔΙΚΑ δεν έχει δώσει API σε κανέναν κι ότι, για να χρησιμοποιήσω τα λόγια του, "όποιος ισχυρίζεται ότι η εφαρμογή του επικοινωνεί με αυτές του ΕΟΠΥΥ κι ανταλλάσσει δεδομένα μαζί τους εξαπατά τον κόσμο". Τα ανέφερα αυτά στο φίλο μου από την εταιρία λογισμικού και μου είπε γελώντας ότι τα ίδια του έλεγαν κι εκείνου και ότι τα ίδια έχουν πει και σ'αλλους συναδέλφους του από άλλες εταιρίες. Τι συμβαίνει τελικά; Τα medisto και medexpress έχουν πάρει εξουσιοδότηση και API από την ΗΔΙΚΑ για μεταφορά δεδομένων; Αν όχι, τότε είναι ασφαλή; Αν αύριο μπουν εδώ στο φόρουμ οι άνθρωποι αυτών των εταιριών και πουν ότι έχουν έγκριση κλπ εγώ ποιον να πιστέψω; τους προγραμματιστές των εταιριών που φτιάξανε τα medisto και medexpress ή την ΗΔΙΚΑ; Ποιος λέει την αλήθεια; Ποιος όχι;
Δ. Κουναλάκης:
Απλά και ξεκάθαρα ελληνικά:
α) ΔΕΝ υπάρχει ούτε καν σε κατάσταση δοκιμής ΑΡΙ για τους ιατρούς μέχρι και σήμερα. ΔΕΝ ΥΠΑΡΧΕΙ. Όταν θα υπάρξει θα δοθεί. Σε αυτή τη φάση μπαίνουν όλο και περισσότεροι φαρμακοποιοί στο ΑΡΙ που έχει φτιαχτεί μόνο για αυτούς.
β) Τα medexpress & medisto μιμουνται τον browser. Συνδέονται στο server σαν browser στέλνουν ότι θα στείλει και ο browser σου όταν το δουλεύεις εσύ και ότι λαμβάνουν το επεξεργάζονται και στο δείχνουν στην οθόνη. Ποιο είναι το πρόβλημα σε αυτό;
γ) Είναι ασφαλή; όσο έχεις εμπιστοσύνη στον κατασκευαστή του λογισμικού που δίνεις το password σου, τόσο ασφαλή είναι. Εάν φοβάσαι ότι μπορεί να σου υποκλέψουν το password σου δεν τα χρησιμοποιείς. Αλλά αυτό ισχύει για όλα.
Εάν σκοπεύεις να τα χρησιμοποιήσεις κοιτάς απλά και το browser εάν αυτά που έκανες με ένα από αυτά είναι αυτά που βλέπεις και στην ιστοσελίδα του e-syntagografisi.
Τέλος.
tsoukase:
Δημήτρη, θα μπορούσες να αναφέρεις τι εννοείς "μίμηση browser" και ποια η διαφορά με την επικοινωνία μέσω API. Επίσης αν έχεις σχετικό link για το πρώτο.
Απότι διαπίστωσα αδρά, τα δύο προγράμματα δεν κάνουν πολλά παραπάνω από τα original sites, παρά μόνο ίσως ότι κρατάν αρχείο των παραπεμπτικών εξετάσεων που δεν προσφέρεται ακόμα από το e-diag. Επίσης σε αρχάριους και αργούς χρήστες μπορεί να φαίνεται πιο φιλικό ιδίως στην αρχή.
Αν η ανάπτυξη τέτοιου συστήματος όντως δε χρειάζεται API, τότε θα μπορούσε να ενσωματηθεί σε υπάρχοντα λογισμικά ιατρείου χρησιμοποιώντας ολόκληρη τη βάση δεδομένων των ασθενών και να προκύψει έτσι ένα πλήρες πακέτο. Όμως πρέπει να είναι γνωστή η γλώσσα επικοινωνίας με τον server (login, retrieve, update κτλ) και αυτή δεν είναι διαθέσιμη, οπότε πιθανόν να έγινε διαφυγή τους ως insider job. Αν κάνω λάθος. πες μου που μπορούμε να βρούμε αυτή τη γλώσσα και θα σας κάνω εγώ ένα σύστημα που θα διαβάζει τα μάτια σας...
Δ. Κουναλάκης:
Μίμηση browser σημαίνει:
Καταγράφω την επικοινωνία που κάνει ο browser με το e-syntagografisi.gr και κατόπιν φτιάχνω ένα λογισμικό που στέλνει ότι θα έστελνε ο browser σε https και από την ιστοσελίδα που λαμβάνω αντλώ την πληροφορία που θέλω και δείχνω στο χρήστη αυτό που θέλω. Αυτό σημαίνει ότι ακολουθεί και μιμείται τα πάντα που κάνει ο browser από τα cookies, τα sessions, τα δεκάδες requests-συνδέσεις με το e-syntagografisi, κλπ. Κάθε παραμικρή αλλαγή στην ιστοσελίδα σημαίνει και αλλαγή του κάθε medisto-medexpress
H ΗΔΙΚΑ χρησιμοποιεί το Oracle ADF που μπορείς να βρεις εδώ: Δεν είναι ορατοί οι σύνδεσμοι (links).
Εγγραφή ή Είσοδος
ΑΡΙ σημαίνει:
Το λογισμικό του χρήστη έχει δικό του περιβάλλον όπου ο χρήστης συμπληρώνει την συνταγή, κατόπιν το λογισμικό φτιάχνει ένα xml αρχειο και κατόπιν με 1 και μόνο ένα request-σύνδεση με το e-syntagografisi στέλνει την συνταγή, παίρνει το barcode από το e-syntagografisi και το ίδιο το λογισμικό φτιάχνει το Pdf που τυπώνεται. Με ένα άλλο αντίστοιχο request στέλνεις στο e-syntagografisi το κωδικό μιας συνταγής και σου επιστρέφει σε xml μια συνταγή με βάση τα epsos & HL7 CDA.
Για παράδειγμα στην παρούσα φάση το λογισμικό των φαρμακοποιών κάνει άντληση μιας συνταγής με το εξής request:
URL: Δεν είναι ορατοί οι σύνδεσμοι (links).
Εγγραφή ή Είσοδος broker/api/[username]/prescriptions/get/[prescriptionid]?signature=[signature]
Method GET: Returns 200 OK & XML (cda xml), 401 Unauthorized, ή με σειρά από errors σε περίπτωση μη ύπαρξης συνταγής
tsoukase:
Ευχαριστώ για την ανάλυση.
Αν δεν κάνω λάθος λοιπόν, η μίμηση είναι δυνατή με "reverse engineering" των μεμονωμένων https κλήσεων και η κρυπτογράφηση δεν το επηρρεάζει, ενώ το API σχετίζεται με την εσωτερική αρχιτεκτονική της βάσης και παραμένει κρυμένο. Συνεπώς δεν διέρρευσε κάτι από πλευράς της ΗΔΙΚΑ.
Οπότε έχω την εξής ερώτηση: έστω ότι αποκαλύπτουμε και προσομοιώνουμε όλες τις κλήσεις προς τη βάση του e-synt, θα ήταν δυνατό αυτή να λειτουργήσει πάνω σε ένα δικό μας AMP-stack (Apache-Mysql-Php); Το σύστημα θα λειτουργούσε ταυτόχρονα με τη βάση του e-synt (μέσω του ανάλογου προτοκόλου) και μια τοπική (μέσω php), όπως φαίνεται ότι κάνουν τα εν λόγω προγράμματα.
Και επίσης υπάρχει add-on του firefox που απλοποιεί την ανίχνευση κλήσεων ή πρέπει να χρησιμοποιηθεί το wireshark;
Πλοήγηση
[0] Λίστα μηνυμάτων
[#] Επόμενη σελίδα
Μετάβαση στην πλήρη έκδοση