Forum Πρωτοβάθμιας Φροντίδας Υγείας
ΠΦΥ -Εκπαίδευση => Συζητήσεις πάνω σε ιατρικά θέματα => Μήνυμα ξεκίνησε από: ΦΙΛΙΩ ΤΟΠΚΑΡΙΔΟΥ στις 18 Ιουλίου 2012, 22:39:19
-
ηθελα να ρωτησω αν καποιος συναδελφος εχει το συγκεκριμενο προγραμμα και την εμπειρια του.αξιζει να δωσω 600 ευρω ?
-
Όλο και κάποιος από την ΗΔΙΚΑ θα σου πει ναι και θα έχει τους λόγους του.
Βασικά ο λόγος που δεν το πήρα και προτίμησα να περάσω σε γραμματέα ήταν γιατί δεν είχα εμπιστοσύνη να τους εισάγω τον κωδικό μου στην ΗΣ
Γενικά κερδίζεις χρόνο αλλά όταν το σύστημα δουλεύει ανθρωπινά.
-
ηθελα να ρωτησω αν καποιος συναδελφος εχει το συγκεκριμενο προγραμμα και την εμπειρια του.αξιζει να δωσω 600 ευρω ?
Έχω συζητήσει με συνάδελφο που δουλεύει το medisto και είναι ευχαριστημένος, όταν λειτουργούν βέβαια το e-syntagografisi και το e-diagnosis.
Υπάρχει πάντως και ανταγωνιστής του www.medisto.gr , που λέγεται www.med-express.gr
-
Όλο και κάποιος από την ΗΔΙΚΑ θα σου πει ναι και θα έχει τους λόγους του.
...............
Όταν το κράτος με τον τρόπο του δημιουργεί μονοπώλια, όπως το e-syntagorafisi ή το e-diagnosis,
τότε ας περιμένει κανείς και υψηλά κόστη και άσχημη ποιότητα αλλά και διαφθορά και παρασιτισμό.
Το Κράτος ας αναλάβει το Πρωτόκολλο όχι το Ιατρικό Λογισμικό:
http://www.pfy.gr/forum/index.php/topic,2613.msg17439.html#msg17439
-
Η αντιγραφή της συνταγής λειτουργούσε εξ΄αρχής αλλά μας ζητήθηκε να απενεργοποιηθεί. Αν κοιτάξετε θα δείτε την επιλογή ανενεργή.
Περιμένω να μου απαντήσουν ποιος το ζήτησε......
-
Υποθεση!.
Αν με ένα πάτημα κουμπιού αντιγράφονταν οι συνταγές , πως θα δικαιολογούνταν το εικοσάρικο για συνταγογραφία?
Ερώτηση!
Γιατί σχεδόν κανένας ιδώτης δεν γράφει τρίμηνες?
-
Υποθεση!.
Αν με ένα πάτημα κουμπιού αντιγράφονταν οι συνταγές , πως θα δικαιολογούνταν το εικοσάρικο για συνταγογραφία?
Ερώτηση!
Γιατί σχεδόν κανένας ιδώτης δεν γράφει τρίμηνες?
Δεν το ζήτησαν οι ιδιώτες. Αυτοί πληρώνουν για να το έχουν.... Άλλοι το ζήτησαν σίγουρα. Υποψιάζομαι ποιοι αλλά θα περιμένω και την επίσημη απάντηση.
Προσωπικά σαν ιδιώτης όλη η χρόνια συνταγογραφία μου είναι τρίμηνες. Και στην γειτονιά που εργάζομαι είναι σχεδόν κανόνας και για τους υπόλοιπους ιδιώτες. Όταν θα δεις τα ονόματα μας σε εφημερίδες ως υπερσυνταγογράφους θα σε δω τι θα λες. Γιατί γιατρό του ΕΣΥ θα πρέπει να γράφει 800 συνταγές τη μέρα για να τον πουν υπερσυνταγογράφο.
-
Καλησπέρα. Θα ήθελα να ρωτήσω κάτι. Τον πατέρα μου που χρησιμοποιεί το Medisto τον προσέγγισαν από μια τοπική εταιρία που αναπτύσσει λογισμικό για διάφορους επαγγελματίες, και παράγει και ιατρικό λογισμικό. Ο πωλητής του είπε ότι τον ξενίζει ο ισχυρισμός ότι το Medisto και το MedExpress συνδέονται με την ηλεκτρονική συνταγογράφηση και περνάνε αυτόματα δεδομένα μεταξύ ηλεκτρονικής συνταγογράφησης και εφαρμογών, γιατί η ΗΔΙΚΑ δεν έχει δώσει API σε καμία εταιρία. Τι ακριβώς εννοεί; Αν η ΗΔΙΚΑ πραγματικά δεν έχει δώσει API σε καμια εταιρία, τότε το Medisto και το MedExpress πώς συνδέονται με την ηλεκτρονική συνταγογράφηση; Είναι αξιόπιστα και ασφαλή; Αν ο πωλητής έχει δίκιο και η ΗΔΙΚΑ δεν έχει δώσει API σε κανέναν, τότε τι συμβαίνει; Επίσης, είναι δυνατόν η ΗΔΙΚΑ να έχει δώσει API μόνο σε αυτές τις δυο εταιρίες κι όχι στις άλλες; Μπορεί να το κάνει; Επειδή έχουμε θορυβηθεί, θα θέλαμε να μάθουμε τι συμβαίνει και να βγάλουμε συμπέρασμα αν η επιλογή μας ήταν σωστή. Σας ευχαριστώ.
ΥΓ. Ο λόγος που μπαίνω εγώ κι όχι ο πατέρας μου είναι γιατί ο πατέρας μου λόγω ηλικίας δεν έιναι εξοικειωμένος με φόρουμ κ.α.
-
Καλησπέρα. Θα ήθελα να ρωτήσω κάτι. Τον πατέρα μου που χρησιμοποιεί το Medisto τον προσέγγισαν από μια τοπική εταιρία που αναπτύσσει λογισμικό για διάφορους επαγγελματίες, και παράγει και ιατρικό λογισμικό. Ο πωλητής του είπε ότι τον ξενίζει ο ισχυρισμός ότι το Medisto και το MedExpress συνδέονται με την ηλεκτρονική συνταγογράφηση και περνάνε αυτόματα δεδομένα μεταξύ ηλεκτρονικής συνταγογράφησης και εφαρμογών, γιατί η ΗΔΙΚΑ δεν έχει δώσει API σε καμία εταιρία. Τι ακριβώς εννοεί; Αν η ΗΔΙΚΑ πραγματικά δεν έχει δώσει API σε καμια εταιρία, τότε το Medisto και το MedExpress πώς συνδέονται με την ηλεκτρονική συνταγογράφηση; Είναι αξιόπιστα και ασφαλή; Αν ο πωλητής έχει δίκιο και η ΗΔΙΚΑ δεν έχει δώσει API σε κανέναν, τότε τι συμβαίνει; Επίσης, είναι δυνατόν η ΗΔΙΚΑ να έχει δώσει API μόνο σε αυτές τις δυο εταιρίες κι όχι στις άλλες; Μπορεί να το κάνει; Επειδή έχουμε θορυβηθεί, θα θέλαμε να μάθουμε τι συμβαίνει και να βγάλουμε συμπέρασμα αν η επιλογή μας ήταν σωστή. Σας ευχαριστώ.
ΥΓ. Ο λόγος που μπαίνω εγώ κι όχι ο πατέρας μου είναι γιατί ο πατέρας μου λόγω ηλικίας δεν έιναι εξοικειωμένος με φόρουμ κ.α.
Τι σημαίνει API;
-
API=Application Programming Interface
Είναι μια διεπαφή με την οποία ένα λογισμικό επικοινωνεί με ένα άλλο.
Για τους φαρμακοποιούς είναι σε λειτουργία στην πραγματική βάση. Μάλιστα ακόμη και ως γιατρός μπορείς να λάβεις μέσω του ΑΡΙ μια συνταγή εάν ξέρεις το barcode της. Τίποτα περισσότερο για τους γιατρούς προς το παρόν.
Τα medisto & med-express μιμούνται απλά τον web browser και κάνουν στο background ότι θα έκανε ο γιατρός με το ποντίκι.
-
Καλημέρα σας. Επανέρχομαι στο θέμα του meidisto και του medexpress. Ο κ. Κουναλάκης είπε ότι αυτές οι εφαρμογές μιμούνται τον web browser και κάνουν στο background ότι θα έκανε ένας γιατρός με το ποντίκι. Και πάλι όμως, με κάποιο τρόπο δεν πρέπει να επικοινωνούν αυτές οι εφαρμογές με την ηλεκτρονική συνταγογράφηση; Είχα μια κουβέντα με φίλο μηχανικό λογισμικού που δουλεύει σε μια εταιρία που με έδρα τη Θεσσαλονικη που φφτιάχνει και ιατρικό λογισμικό και μου είπε ότι χωρίς επίσημο, πιστοποιημένο και δημοσιοποιημένο API δε μπορεί κανείς να πει ότι παρέχει επίσημη, αξιόπιστη και ασφαλή μεταφορά δεδομένων από τη δική του εφαρμογή σε αυτές του κράτους κι άρχισε να μου εκθέτει μια σειρά ζητημάτων που ομολογώ ότι με τρόμαξαν. Τέλος πάντων, εγώ αποφάσισα να το ψάξω λίγο παραπάνω το θέμα και πήρα τηλέφωνο στην ΗΔΙΚΑ. Εκεί είναι που το πράγμα περιπλέκεται. Ένας προγραμματιστής της ΗΔΙΚΑ με τον οποίο μίλησα (το ωραίο είναι ότι μας πήρε εκείνος από το κινητό του τηλέφωνο κι όχι από υπηρεσιακό) επέμενε σε όλους τους τόνους ότι η ΗΔΙΚΑ δεν έχει δώσει API σε κανέναν κι ότι, για να χρησιμοποιήσω τα λόγια του, "όποιος ισχυρίζεται ότι η εφαρμογή του επικοινωνεί με αυτές του ΕΟΠΥΥ κι ανταλλάσσει δεδομένα μαζί τους εξαπατά τον κόσμο". Τα ανέφερα αυτά στο φίλο μου από την εταιρία λογισμικού και μου είπε γελώντας ότι τα ίδια του έλεγαν κι εκείνου και ότι τα ίδια έχουν πει και σ'αλλους συναδέλφους του από άλλες εταιρίες. Τι συμβαίνει τελικά; Τα medisto και medexpress έχουν πάρει εξουσιοδότηση και API από την ΗΔΙΚΑ για μεταφορά δεδομένων; Αν όχι, τότε είναι ασφαλή; Αν αύριο μπουν εδώ στο φόρουμ οι άνθρωποι αυτών των εταιριών και πουν ότι έχουν έγκριση κλπ εγώ ποιον να πιστέψω; τους προγραμματιστές των εταιριών που φτιάξανε τα medisto και medexpress ή την ΗΔΙΚΑ; Ποιος λέει την αλήθεια; Ποιος όχι;
-
Απλά και ξεκάθαρα ελληνικά:
α) ΔΕΝ υπάρχει ούτε καν σε κατάσταση δοκιμής ΑΡΙ για τους ιατρούς μέχρι και σήμερα. ΔΕΝ ΥΠΑΡΧΕΙ. Όταν θα υπάρξει θα δοθεί. Σε αυτή τη φάση μπαίνουν όλο και περισσότεροι φαρμακοποιοί στο ΑΡΙ που έχει φτιαχτεί μόνο για αυτούς.
β) Τα medexpress & medisto μιμουνται τον browser. Συνδέονται στο server σαν browser στέλνουν ότι θα στείλει και ο browser σου όταν το δουλεύεις εσύ και ότι λαμβάνουν το επεξεργάζονται και στο δείχνουν στην οθόνη. Ποιο είναι το πρόβλημα σε αυτό;
γ) Είναι ασφαλή; όσο έχεις εμπιστοσύνη στον κατασκευαστή του λογισμικού που δίνεις το password σου, τόσο ασφαλή είναι. Εάν φοβάσαι ότι μπορεί να σου υποκλέψουν το password σου δεν τα χρησιμοποιείς. Αλλά αυτό ισχύει για όλα.
Εάν σκοπεύεις να τα χρησιμοποιήσεις κοιτάς απλά και το browser εάν αυτά που έκανες με ένα από αυτά είναι αυτά που βλέπεις και στην ιστοσελίδα του e-syntagografisi.
Τέλος.
-
Δημήτρη, θα μπορούσες να αναφέρεις τι εννοείς "μίμηση browser" και ποια η διαφορά με την επικοινωνία μέσω API. Επίσης αν έχεις σχετικό link για το πρώτο.
Απότι διαπίστωσα αδρά, τα δύο προγράμματα δεν κάνουν πολλά παραπάνω από τα original sites, παρά μόνο ίσως ότι κρατάν αρχείο των παραπεμπτικών εξετάσεων που δεν προσφέρεται ακόμα από το e-diag. Επίσης σε αρχάριους και αργούς χρήστες μπορεί να φαίνεται πιο φιλικό ιδίως στην αρχή.
Αν η ανάπτυξη τέτοιου συστήματος όντως δε χρειάζεται API, τότε θα μπορούσε να ενσωματηθεί σε υπάρχοντα λογισμικά ιατρείου χρησιμοποιώντας ολόκληρη τη βάση δεδομένων των ασθενών και να προκύψει έτσι ένα πλήρες πακέτο. Όμως πρέπει να είναι γνωστή η γλώσσα επικοινωνίας με τον server (login, retrieve, update κτλ) και αυτή δεν είναι διαθέσιμη, οπότε πιθανόν να έγινε διαφυγή τους ως insider job. Αν κάνω λάθος. πες μου που μπορούμε να βρούμε αυτή τη γλώσσα και θα σας κάνω εγώ ένα σύστημα που θα διαβάζει τα μάτια σας...
-
Μίμηση browser σημαίνει:
Καταγράφω την επικοινωνία που κάνει ο browser με το e-syntagografisi.gr και κατόπιν φτιάχνω ένα λογισμικό που στέλνει ότι θα έστελνε ο browser σε https και από την ιστοσελίδα που λαμβάνω αντλώ την πληροφορία που θέλω και δείχνω στο χρήστη αυτό που θέλω. Αυτό σημαίνει ότι ακολουθεί και μιμείται τα πάντα που κάνει ο browser από τα cookies, τα sessions, τα δεκάδες requests-συνδέσεις με το e-syntagografisi, κλπ. Κάθε παραμικρή αλλαγή στην ιστοσελίδα σημαίνει και αλλαγή του κάθε medisto-medexpress
H ΗΔΙΚΑ χρησιμοποιεί το Oracle ADF που μπορείς να βρεις εδώ: http://www.oracle.com/technetwork/developer-tools/adf/overview/index.html
ΑΡΙ σημαίνει:
Το λογισμικό του χρήστη έχει δικό του περιβάλλον όπου ο χρήστης συμπληρώνει την συνταγή, κατόπιν το λογισμικό φτιάχνει ένα xml αρχειο και κατόπιν με 1 και μόνο ένα request-σύνδεση με το e-syntagografisi στέλνει την συνταγή, παίρνει το barcode από το e-syntagografisi και το ίδιο το λογισμικό φτιάχνει το Pdf που τυπώνεται. Με ένα άλλο αντίστοιχο request στέλνεις στο e-syntagografisi το κωδικό μιας συνταγής και σου επιστρέφει σε xml μια συνταγή με βάση τα epsos & HL7 CDA.
Για παράδειγμα στην παρούσα φάση το λογισμικό των φαρμακοποιών κάνει άντληση μιας συνταγής με το εξής request:
URL: http://hostname/ broker/api/[username]/prescriptions/get/[prescriptionid]?signature=[signature]
Method GET: Returns 200 OK & XML (cda xml), 401 Unauthorized, ή με σειρά από errors σε περίπτωση μη ύπαρξης συνταγής
-
Ευχαριστώ για την ανάλυση.
Αν δεν κάνω λάθος λοιπόν, η μίμηση είναι δυνατή με "reverse engineering" των μεμονωμένων https κλήσεων και η κρυπτογράφηση δεν το επηρρεάζει, ενώ το API σχετίζεται με την εσωτερική αρχιτεκτονική της βάσης και παραμένει κρυμένο. Συνεπώς δεν διέρρευσε κάτι από πλευράς της ΗΔΙΚΑ.
Οπότε έχω την εξής ερώτηση: έστω ότι αποκαλύπτουμε και προσομοιώνουμε όλες τις κλήσεις προς τη βάση του e-synt, θα ήταν δυνατό αυτή να λειτουργήσει πάνω σε ένα δικό μας AMP-stack (Apache-Mysql-Php); Το σύστημα θα λειτουργούσε ταυτόχρονα με τη βάση του e-synt (μέσω του ανάλογου προτοκόλου) και μια τοπική (μέσω php), όπως φαίνεται ότι κάνουν τα εν λόγω προγράμματα.
Και επίσης υπάρχει add-on του firefox που απλοποιεί την ανίχνευση κλήσεων ή πρέπει να χρησιμοποιηθεί το wireshark;
-
Γεια χαρά και απο μένα! Μπαίνω στη διαδικασία να συμμετάσχω στο topic γιατί το συζητούσα με έναν νέο ιατρό ξάδερφο, που τον απασχολεί το θέμα. Ως προγραμματιστής με κάποια εμπειρία ανάπτυξης εφαρμογών για το δημόσιο θα μπορούσα να βοηθήσω λιγάκι..
Καταρχήν το link για το ADF της ORACLE δέν έχει καμία σχέση με "μίμηση browser" είναι ένα framework της oracle. Οπότε σε καμία περίπτωση δεν αποτελεί απάντηση για το request του κυρίου tsoukase για link σε κάτι που να παραπέμπει-εξηγεί-παραδειγματίζει μια λειτουργία μίμησης browser.
Δεύτερον δεν υπάρχει η έννοια της μίμησης browser στην κοινότητα των προγραμματιστών διότι δεν είναι σαφής. Τί μίμηση είναι; Ο browser ναί είναι ένας client αλλά άλλο πράγμα είναι να συνδεθεί πάνω στον server με τα διαπιστευτήρια του ιατρού και άλλο να γράψει κατευθείαν πάνω στον server. Άν ο browser-εφαρμογή γράφει κατευθείαν στην βάση δεδομένων του server, τότε η εφαρμογή που όπως λέτε "μιμείται τον browser" έχει λάβει απο τους κυρίους που διαχειρίζονται τον server το username και password με δικαιώματα πρόσβασης στην βάση δεδομένων, και την ip και το port που ακούει ο server οπότε κύριοι σε αυτή την περίπτωση κάποιος άνοιξε την πόρτα στους κατασκευαστές αυτού του λογισμικού, και το username του γιατρού το ζητάνε απλά για να μπορούν μέσα στο χάος των εγγραφών όλων των ιατρών της Ελλάδας να δούνε σε ποιανού τον λογαριασμό θα γράψουν. (Δέν με αφορά και δεν γνωρίζω και ούτε ισχυρίζομαι οτι αυτό είναι μεμπτό ή παράνομο αυτά τα ξέρουν στην ΗΔΙΚΑ απλά λέω οτι για να γράψει κάποιος στην βάση κατευθείαν, έχει και τα credentials τα οποία πήρε απο αυτούς που διαχειρίζονται τον server της e-συνταγογράφηση).
Στην περίπτωση που η εφαρμογή για την οποία συζητάτε ΔΕΝ γράφει κατευθείαν πάνω στην βάση, αλλά χρησιμοποιώντας το cookie του γιατρού που έχει συνδεθεί στην e-συνταγογράφηση περνάει παραμέτρους μέσα απο τα URL τότε μπορείτε να το κάνετε κι εσείς αρκεί να ξέρετε όλα τα ονόματα μεταβλητών που παίζουν μπάλα με reverse engineering. Άν δέν μπορείτε να δείτε απο το firebug το wireshark ή ότι άλλο προτιμάτε, τα ονόματα των μεταβλητών όλων των πεδίων που εμπλέκονται τότε κάποιος πήγε σε μέντιουμ και τα έμαθε έγκυρα και αξιόπιστα. :D
Έχοντας δει προγράμματα του δημοσίου και τα υψηλά στάνταρ ασφαλείας τους, τουλάχιστον με αυτά που είχα δουλέψει εγώ στο παρελθόν (δεν είχανε σχέση με την υγεία), με πιάνει κλαψίγελος όταν σκέφτομαι οτι ένας οργανισμός του δημοσίου δέχεται να περνάνε request απο προγράμματα με το έτσι θέλω. Στην περίπτωσή σας ότι και να ισχύει θα ζητούσα απο τον αρμόδιο φορέα με τον πλέον επίσημο τρόπο να πάρει θέση πιστοποιώντας οτι ΝΑΙ αυτά τα προγράμματα δουλεύουν σωστά ή ΟΧΙ. Γιατί το προϊόν του reverse engineering είναι τόσο καλό όσο και ο δημιουργός του, και εσείς ώς ιατροί δεν πρέπει να κόβετε φάτσες για το ποιός προγραμματιστής σας γεμίζει το μάτι και ποιός όχι, αλλά να παίρνετε εγγυήσεις απο τους αρμόδιους οτι το τάδε και το τάδε δουλεύουν μια χαρά και να έχετε το κεφάλι σας ήσυχο!
Αυτά απο μένα και ελπίζω πραγματικά στο καλύτερο, γιατί απο τους φορείς του δημοσίου που γνωρίζω εγώ και που έχουν να κάνουν με ανάπτυξη λογισμικού έχω μόνο καλές εντυπώσεις.
-
@hathat2
Δεν ξέρω τι προγραμματιστής είσαι, αλλά από το γράψιμο σου το αντικείμενο που συζητάμε δεν το γνωρίζεις ούτε στο 1%. Θα ήθελα να το γράψω πιο ωμά και με το ζόρι κρατιέμαι. Είσαι καλοδεχούμενος στη συζήτηση όταν μάθεις κατ αρχήν τι είναι μια web εφαρμογή όπως αυτή του e-syntagografisi.gr.
@tsoukase
Η κρυπτογράφηση δεν το επηρεάζει και μπορείς να χρησιμοποιήσεις τον firefox για να κάνεις καταγραφή των https κλήσεων χωρίς να είναι απαραίτητο το wireshark.
Στο link σου έχω βάλει το ADF της Oracle καθώς όλος ο κώδικας είναι βασισμένος σε αυτό και θα σε βοηθήσει να καταλάβεις πως γίνονται πολλά από τα συνήθη όπως sessions, έλεγχος εγκυρότητας πεδίων, κλπ καθώς οι περισσότερες μεταβλητές που στέλνονται στα URL είναι κατά το ADF.
Θεωρητικά θα μπορούσες να χρησιμοποιήσεις την php για να κάνεις όλες τις κλήσεις. Πρακτικά όμως νομίζω ότι η php θα έχει προβλήματα σε κλήσεις που έγιναν timeout και γενικότερα ένα local λογισμικό με Non-blocking tcp stack θα ήταν καλύτερο για το χρήστη.
Αντίθετα το ΑΡΙ θα είναι σαφώς καλύτερο για την php καθώς εκεί ο αριθμός των https κλήσεων που γίνονται είναι ελάχιστος. Και προς τα εκεί θα πρέπει να στραφούμε.
Σε αυτή τη φάση, όμως μπορείς να υλοποιήσεις μέσω του API την άντληση συνταγής (εάν ξέρεις το barcode της), είναι δε το μόνο κομμάτι που λειτουργεί και για γιατρούς.
-
Κύριε tsoukase η προσωπική μου άποψη είναι μην προσπαθήσετε να κάνετε reverse enginnering σε κάτι το οποίο δεν γίνεται για ακαδημαϊκούς ή ερευνητικούς σκοπούς, ή το πολύ για κάνα σπάσιμο iPhone... ;) Εσείς μπορεί να βλέπετε request κλπ αλλά δεν ξέρετε τί άλλα trigger, sequence και ειδικές κλήσεις καλούνται σε περιπτώσεις που δεν ανιχνεύθηκαν κατα την έρευνά σας. Εδώ προγράμματα που βγαίνουν ολοκληρωμένα, που σχεδιάζονται με πλήρη επίγνωση της ανάλυσης απαιτήσεων μέχρι και την διαδικασία του release και πρώτα βγαίνουν σε beta για να πιάσουν περιπτώσεις που δεν φαντάστηκαν οι δημιουργοί τους. Αυτό δείχνει οτι το να ισχυριστείς οτι έπιασες όλο το usecase είναι υπερφίαλο ακόμα και όταν εσύ σχεδιάζεις το σύστημα, πόσο μάλλον στο reverse engineering. Αυτή τουλάχιστον είναι η προσωπική μου άποψη σαν επαγγελματίας προγραμματιστής που έχει συνεργαστεί με την ΓΓΠΣ στην ανάπτυξη της web εφαρμογής για ανταλλαγή δεδομένων μέσω XML για την μισθοδοσία του Ελληνικού δημοσίου της Ενιαίας Αρχής Πληρωμών από την μεριά του πελάτη - οργανισμού - εκκαθαριστή.
Σε κάθε περίπτωση όπως ένας άσχετος δεν πρέπει να γίνεται ιατρός του σαββατοκύριακου και να παίρνει αράδα φάρμακα γιατί νομίζει οτι κατάλαβε τί αρρώστια έχει έτσι και ένας μη έχων την γνώση του συγκεκριμένου συστήματος δεν πρέπει να στέλνει data σε ένα σύστημα δημόσιας υγείας (το οποίο είναι εκμετάλλευση τρύπας στην ασφάλεια ότι και να λέτε δεν θα ξεχάσουμε και αυτά που ξέρουμε για να μήν παρεξηγηθούν μερικοί) επειδή παρασύρθηκε απο την γοητεία του προγραμματισμού και των εργαλείων.
-
@hathat2, προς το παρόν, αν και είμαι φοιτητής πληροφορικής στο Ανοικτό Πανεπιστήμιο, δεν μπορώ και δεν έχω χρόνο να ασχοληθώ με την ανάπτυξη οποιουδήποτε συστήματος διαχείρησης του e-synt. Αλλά σας βεβαιώ ότι αν είχα τη δυνατότητα θα το έπραττα, καθώς η εφαρμογή φαίνεται απλή (login και κλήσεις σε μία τεράστια βάση) και επίσης δεν υπάρχει νομικό εμπόδιο. Το αν οι κλήσεις γίνονται απευθείας, μέσα από cookies ή σε εσωτερικό στάδιο δεν είναι δύσκολο να αποκαλυφθεί και να ακολουθηθεί ανάλογα για την ανάπτυξη. Δεν είμαστε υπεύθυνοι για την ασφάλεια του συστήματος, την integrity της βάσης, την αποθήκευση των δεδομένων κτλ, παρά μόνο επικοινωνούμε με θεμιτό τρόπο αλλά πιο αυτοματοποιημένα από την original εφαρμογή. Δεν βλέπω που μπορεί να υπάρχει κίνδυνος, αν αυτά που λαμβάνουμε είναι τα αναμενόμενα από αυτά που στέλνουμε. Πχ σε μια λίστα συνταγών που έχουμε γράψει αντί να ανοίγουμε μία-μία για να δούμε το περιεχόμενό τους, μπορούμε να δημιουργήσουμε ένα button που το κάνει αυτόματα.
Δημήτρη, θα επιθυμούσα όπως όλοι μας να υπάρχει API για γιατρούς και αυτό των φαρμακείων δεν ενδιαφέρει. Οταν ανέφερα το AMP-stack εννοούσα, αν είναι δυνατόν η PHP να στέλνει ένα request για όλη τη συνταγή (πχ συνταγογράφηση) σε ένα non-blocking TCP-socket που θα είχαμε αναπτύξει και αυτό με τη σειρά του να επικοινωνεί με τον κατάλληλο τρόπο με το e-synt.
Για αρχή θα ήθελα να έχω μια ιδέα για ένα τέτοιο socket. Αν κατάλαβα καλά από το Technical του Oracle ADF, μας ενδιαφέρει το View Layer, όπου λέει: "For Web based interface Oracle ADF offers a rich set of over a 150 Ajax enabled JSF (JavaServer Faces) components that simplified the creation of dynamic and appealing user interfaces". Συνεπώς θα εντόπιζες το interface στην συνεργασία ADF-Faces και Ajax για την ανάπτυξη "Rich clients";
Ευχαριστώ και τους δύο!
-
Και με το captcha τι γίνεται; Παρακάμπτεται;
-
Δημήτρη, θα επιθυμούσα όπως όλοι μας να υπάρχει API για γιατρούς και αυτό των φαρμακείων δεν ενδιαφέρει. Οταν ανέφερα το AMP-stack εννοούσα, αν είναι δυνατόν η PHP να στέλνει ένα request για όλη τη συνταγή (πχ συνταγογράφηση) σε ένα non-blocking TCP-socket που θα είχαμε αναπτύξει και αυτό με τη σειρά του να επικοινωνεί με τον κατάλληλο τρόπο με το e-synt.
Για αρχή θα ήθελα να έχω μια ιδέα για ένα τέτοιο socket. Αν κατάλαβα καλά από το Technical του Oracle ADF, μας ενδιαφέρει το View Layer, όπου λέει: "For Web based interface Oracle ADF offers a rich set of over a 150 Ajax enabled JSF (JavaServer Faces) components that simplified the creation of dynamic and appealing user interfaces". Συνεπώς θα εντόπιζες το interface στην συνεργασία ADF-Faces και Ajax για την ανάπτυξη "Rich clients";
Για το ADF, ναι. Για το AMP-stack, η ιδέα για ένα ξεχωριστό non-blocking κομμάτι κώδικα εκτός Αpache δεν είναι κακή και ουσιαστικά θα μπορούσε να είναι ένας ενδιάμεσος που θα αντικατασταθεί μελλοντικά από το ΑΡΙ. Για την ακρίβεια, θα μπορούσες να το κάνεις σε PHP cli εάν θέλεις, αν και κρατώ τις επιφυλάξεις μου...
@Danae
Την τελευταία φορά που είχα δει το medisto, σου παρουσίαζε το captcha να το συμπληρώσεις και απλά φρόντιζε να δημιουργεί "κίνηση" ώστε να μην κάνει timeout το session και να σε πετάει έξω. Το ΑΡΙ δεν έχει session και κάνεις authendication με τον ίδιο τρόπο που κάνουν και τα Amazon Web Services με κρυπτογράφηση HmacSHA256.
-
Μπορείς να δεις την παρουσίαση του Σφυρόερα εδώ: http://www.idika.gr/files/presentations/mdd_presentation.pdf
-
Σηκώνουμε τα μανίκια, κλείνουμε τα τηλέφωνα, αποχαιρετάμε στο Σαββατοκύριακο και τρώμε τις Faces μας...
http://docs.oracle.com/cd/E18941_01/tutorials/jdtut_11r2_56/jdtut_11r2_56.html
-
Όταν εκτυπώνεται μια συνταγή ή παραπεμπτικό μέσω του e-syntagografisi ή e-diagnosis αντίστοιχα
είναι δυνατόν για τους διαχειριστές του e-syntagografisi ή e-diagnosis να δούνε από ποιον υπολογιστή εκτυπώθηκε αυτή η συνταγή ή παραπεμπτικό;
(με την βοήθεια του IP adress αυτού του υπολογιστή);
Σε περίπτωση που το παραπάνω είναι δυνατόν, τότε δεν νομίζω ότι θα τολμήσουν οι διαχειριστές του όποιου medisto ή med-express, να εκμεταλευτούν για κακό σκοπό το password που τους εκμυστηρεύεται κάποιος Ιατρός/πελάτης τους.
-
Ναι είναι δυνατό αλλά δεν σημαίνει τίποτα πρακτικά εάν με εισαγγελική παραγγελία δεν πας να κάνεις έλεγχο.
Η συντριπτική πλειοψηφία των υπολογιστών δεν έχει σταθερή ΙΡ, τα ασυρματα stick δεν έχουν ΙΡ ανά περιοχή αλλά μοιράζουν σε όλη την Ελλάδα, και το σύστημα ΗΣ μόνο εντός σύζευξις μπορεί να βρεθεί εύκολα η ΙΡ του μηχανήματος του γιατρού.
προσωπικά στο ιατρείο έχω ζητήσει static IΡ για το φόβο των Ιουδαιων.
-
...............
προσωπικά στο ιατρείο έχω ζητήσει static IΡ για το φόβο των Ιουδαιων.
Πως ζητά κανείς static IP ;
-
Αυτο με την ip γιατι γινεται; γιατι να μη μπορω να συνταγογραφησω απο οποιονδήποτε υπολογιστη;
-
...............
προσωπικά στο ιατρείο έχω ζητήσει static IΡ για το φόβο των Ιουδαιων.
Πως ζητά κανείς static IP ;
To ζητάς από τον Internet provider σου. Συνήθως περιλαμβάνεται στα επαγγελματικά πακέτα.
Αυτο με την ip γιατι γινεται; γιατι να μη μπορω να συνταγογραφησω απο οποιονδήποτε υπολογιστη;
Δεν σε περιορίζει να μπαίνεις από διαφορετικούς υπολογιστές. Απλά, δεν αλλάζει συνεχώς η ΙΡ που χρησιμοποιείς και αυτό είναι ένα επιχείρημα για να ξεχωρίσεις σε τυχόν πρόβλημα τι έγινε από το ιατρείο σου και τι όχι. Τώρα, εάν οι τυποι του medisto ή του med-express αποφασίσουν να κάνουν παιχνίδι υπάρχει τρόπος να το κάνουν και να γίνει από τη δική σου ΙΡ.
Αυτός ήταν ο λόγος που στο ΑΡΙ είχα προτείνει στην ΗΔΙΚΑ να υπάρχει ένα μηνιαίο log που να μπορείς να δει ο κάθε χρήστης τι έχει κάνει το λογισμικό του. Αυτό φυσικά είναι εφικτό με το ΑΡΙ αλλά όχι με τα πιθηκάκια medisto & med-express
-
Αυτο με την ip γιατι γινεται; γιατι να μη μπορω να συνταγογραφησω απο οποιονδήποτε υπολογιστη;
Δεν σε περιορίζει να μπαίνεις από διαφορετικούς υπολογιστές. Απλά, δεν αλλάζει συνεχώς η ΙΡ που χρησιμοποιείς και αυτό είναι ένα επιχείρημα για να ξεχωρίσεις σε τυχόν πρόβλημα τι έγινε από το ιατρείο σου και τι όχι. Τώρα, εάν οι τυποι του medisto ή του med-express αποφασίσουν να κάνουν παιχνίδι υπάρχει τρόπος να το κάνουν και να γίνει από τη δική σου ΙΡ.
Αυτός ήταν ο λόγος που στο ΑΡΙ είχα προτείνει στην ΗΔΙΚΑ να υπάρχει ένα μηνιαίο log που να μπορείς να δει ο κάθε χρήστης τι έχει κάνει το λογισμικό του. Αυτό φυσικά είναι εφικτό με το ΑΡΙ αλλά όχι με τα πιθηκάκια medisto & med-express
Κατανοητό αλλά το λέω για άλλο λόγο. Πολλοί αγροτικοί επειδή στα χωριά που καλύπτουν δεν υπάρχει ηλεκτρονική συνταγογράφηση, παίρνουν τα βιβλιάρια των ασθενών και συνταγογραφούν είτε στο ΚΥ, είτε στο νοσοκομείο, είτε σπίτι τους. Έναν γνωστό μου λοιπόν, τον πήραν τηλέφωνο (από την ΗΔΙΚΑ) και του έστειλαν και μέηλ, για να του πουν ότι η διεύθυνση από την οποία συνταγογραφεί δεν είναι "γνωστή" στο σύστημα. Κοινώς δε θα πρέπει να συνταγογραφεί από το σπίτι. Και ρωτώ, γιατί να μη μπορεί να συνταγογραφήσει από το σπίτι, τη στιγμή που πολλές φορές η εφαρμογή κατά τη διάρκεια της ημέρας δε λειτουργεί, τα χωριά δεν έχουν υπολογιστές και ιντερνετ, και στο ΚΥ οι υπολογιστές μπορεί να είναι "πιασμένοι" από τους εφημερεύοντες ή άλλους αγροτικούς που θέλουν να συνταγογραφήσουν;
-
Προσωπικα εχω συνταγογραφησει μερικες φορες απο το σπιτι.Μαλιστα σε τηλεφωνικη επικοινωνια που ειχα με την ΗΔΙΚΑ(?) πριν 4 μηνες περιπου μου ειπαν πως δεν εχει σημασια απο που συνταγογραφω.Το ειχα ρωτησει τοτε γιατι δεν ειχα κομπιουτερ στο ιατρειο και συνταγογραφησααρκετες φορες στο κοινοτικο γραφειο
Στην τελικη εξαλλου η σφραγιδα και η υπογραφη σου θα μπουν οποτε δε νομιζω να εχει σημασια ΠΟΥ αλλα ΠΩΣ-ΤΙ-ΓΙΑΤΙ
Ενταξει, η χοντραδα θα βεβαια ειναι να παει καποιος και να συνταγογραφησει πχ σε φαρμακειο (ξερεις ,γιατρε εχω κανα 2-3 συνταγες,ξεπλυνε τες σε παρακαλω μια και εισαι εδω!Να,γραψτες στο κομπιουτερ μου να μην τρεχεις....)
-
Καταρχήν μπορείς να συνταγογραφείς από ένα ιστιοπλοϊκό στη μέση του ωκεανού με δορυφορικό internet χωρίς καμία άδεια. Η φύση του συστήματος το επιτρέπει, αν ήθελαν να το περιορίσουν θα μπορούσαν με πολλούς τρόπους (πχ λίστα IP).
Πολύ συνοπτικά, η σύνδεση με την ΗΔΙΚΑ γίνεται μέσω ενός αριθμού "hops" (περίπου 3-10) μεταξύ του χρήστη και του συστήματος. Το πρώτο hop ανιχνεύει που βρίσκεται ο χρήστης αλλά η πληροφορία αυτή βρίσκεται στα Logs του IP provider και θεωρείται (τουλάχιστον στην Ελλάδα και προς το παρόν) επτασφράγιστο μυστικό, όπως ο τραπεζικός λογαριασμός. Το τελευταίο hop που βλέπει η ΗΔΙΚΑ δεν έχει καμία σημασία. Οι ελληνικοί IP providers προστατεύουν συνήθως ικανοποιητικά τους πελάτες τους, όχι σαν τους γερμανικούς που τρέμουν με κάθε καταγγελία και τους στήνουν στο απόσπασμα. Για να ανακαλυφθεί η θέση του χρήστη πρέπει να εξαναγκαστεί ο IP provider να ανοίξει τα Logs και πρέπει να εγερθεί εισαγγελική διαδικασία, να περάσουν οι διευθυντές τα ταμπού νοοτροπίας και να κρυφτεί το γεγονός από τα ΜΜΕ. Μέχρι σήμερα μόνο ο Κούγιας κατόρθωσε κάτι τέτοιο εκ μέρους της ευγενούς πελάτισάς του Τζούλιας Αλεξανδράτου και να ξεσκεπάσει και τελικά να κλείσει το θρυλικό torrent site gamato.info.
Το καλύτερο είναι να αφεθεί η λειτουργία του IP addressing ως έχει, δηλαδή dynamic και χωρίς proxy, γιατί μπορεί κατά λάθος ή από hackers να προσβληθεί (πχ. να φανεί ότι είσαι σε άλλο σημείο από το φυσικό). Η ελευθερία του να γίνεται συνταγογράφηση από οπουδήποτε, σε συνδυασμό με την πρωτοφανή (σε σχέση με άλλα δεδομένα) προστασία των IP addresses μας νομίζω δεν απαιτεί περαιτέρω τροποποίηση.
-
Είμαι σίγουρος ότι με αυτά που γράψαμε ο αδαής έχει μπερδευτεί.
Ο αρχικός μας φόβος ήταν πως αποτρέπουμε/πιάνουμε τον κλέφτη του password ενός γιατρού που εκδίδει συνταγές στο σύστημα εν αγνοία του γιατρού.
Σαν γνώση για να προχωρήσουμε παρακάτω αποδεχόμαστε ότι η ΗΔΙΚΑ βλέπει σε κάθε σύνδεση που γίνεται στο server την κωδικοποιημένη διεύθυνση (ή IP διεύθυνση) που έχει το μηχάνημα που συνδέεται στο server της Ηλεκτρονικής Συνταγογράφησης (ΗΣ). Η διεύθυνση αυτή μπορεί να είναι η ΙΡ διεύθυνση του ADSL router μας και είναι μοναδική παγκοσμίως ή μια διεύθυνση της μορφής 10.χ.χ.χ που είναι η ΙΡ διεύθυνση του υπολογιστή μας εάν μπαίνουμε μέσω Σύζευξις ή η διεύθυνση ενός proxy server μέσω του οποίου βγαίνουν στο Internet παρά πολλοί υπολογιστές όπως συμβαίνει με τα κινητά & τα ασύρματα 3G sticks.
Στην περίπτωση του adsl router η ΙΡ διεύθυνση που παίρνει μπορεί να είναι δυναμική ή στατική. Στατική σημαίνει ότι έχει πάντα την ίδια. Δυναμική σημαίνει ότι κάθε φορά που ο ADSL router συνδέεται στο ADSL δίκτυο παίρνει και άλλη ΙΡ διεύθυνση που ΔΕΝ είναι βάση τοποθεσίας αλλά βάση των διαθέσιμων ΙΡ διευθύνσεων που έχει εκείνη την ώρα ο πάροχος του Internet. Οι ΙΡ διευθύνσεις που χρησιμοποιεί κάθε πάροχος είναι καθορισμένες για τον πάροχο.
Στην περίπτωση του 3G όλα τα κινητά πρακτικά φαίνεται να συνδέονται από μια ΙΡ διεύθυνση (αυτή του proxy server της εταιρίας κινητής τηλεφωνίας) και αυτό μπορούμε να το δούμε σε κάποιες περιπτώσεις και αλλού.
Η ΗΔΙΚΑ διατηρεί σε κάθε σύνδεση που γίνεται στο server της την ΙΡ διεύθυνση από την οποία φαίνεται να προέρχεται η κλήση, δηλαδή την ΙΡ διεύθυνση που περιγράφουμε παραπάνω. Πρακτικά αυτό σημαίνει ότι σε κάθε έκδοση/ακύρωση/αναζήτηση συνταγής η ΗΔΙΚΑ έχει καταγράψει και μια ΙΡ διεύθυνση από την οποία έγινε. Έως εδώ όλα καλά.
Ας υποθέσουμε ότι μια ωραία μέρα χτυπά το τηλέφωνο και ο διευθυντής του ΕΟΠΥΥ στην περιοχή σας κατηγορεί για μια συνταγή με viagra σε νεαρά ασφαλισμένη του ΕΟΠΥΥ και εσείς πέφτετε από τα σύννεφα γιατί ποτέ δεν θυμάστε να έχετε γράψει τέτοια συνταγή. Τι κάνετε; Πρέπει να προσπαθήσετε να αποδείξετε ότι δεν είστε εσείς.
1. Θα πρέπει να μάθετε από την ΗΔΙΚΑ ποια είναι η ΙΡ διεύθυνση που καταγράφηκε.
2. Εάν είναι της μορφής 10.χ.χ.χ θα πρέπει να πρέπει να απευθυνθείτε στο Σύζευξις για να μάθετε που ανήκει αυτή η ΙΡ διεύθυνση. Εάν όχι, θα πάρετε τον κάθε Κούγια δικηγόρο για να ξεκινήσει εισαγγελική παραγγελία και να βρεθεί σε ποιον πάροχο ανήκει αυτή η διεύθυνση και το δύσκολο λόγω προσωπικών δεδομένων σε ποιο συνδρομητή του παρόχου ανήκει όπως περιέγραψε ο tsoukase. Αν πέσετε στην δεύτερη περίπτωση, θα έχετε απενεργοποιημένο τον κωδικό σας στην ΗΔΙΚΑ, θα σας διαπομπεύει ο κάθε δημοσιογράφος, να μην πω και η ΗΔΙΚΑ, μέχρι να αποδείξετε ότι δεν είστε ελέφαντας. Χώρια που στο τέλος, μπορεί να καταλήξει σε ΙΡ διεύθυνση που εκείνη τη στιγμή την είχε το ασύρματο κάποιου καφέ και άντε ξανά η ίδια διαδικασία για να βρεθεί από τυχόν κάμερες ποιος μπορεί να είναι ύποπτος.
Πρακτικά, σε αυτή την περίπτωση βολεύει είτε να εργάζεσαι εντός σύζευξις είτε η συντριπτική πλειοψηφία των συνταγών σου να βγαίνει από 1-2 συγκεκριμένες ΙΡ διευθύνσεις, πάντα αν είναι δυνατόν. Κάθε εξαίρεση πρακτικά, θα είναι κάτι που το θυμάσαι. Και βασικά, έχεις το επιχείρημα ότι να όλες οι συνταγές μου είναι από εκεί, μήπως αυτή που καταγράψατε δεν είναι δική μου ευθύνη αλλά έχει υποκλαπεί το password;
Δεν σας λέω ότι το παραπάνω επιχείρημα σας τεκμηριώνει, καθώς υπάρχουν πάμπολλες λύσεις για να σας υποκλέψει κάποιος τον κωδικό σας ακόμη και από τον υπολογιστή σας, καθώς η https σύνδεση σίγουρα δεν είναι απόλυτα ασφαλής. Και καλά το e-syntagografisi που με πολύ ψυχαναγκασμό μπορείς να το παρακολουθείς αναζητώντας και βλέποντας μια-μια τις συνταγές, με το e-diagnosis τι γίνεται;;;
Και το κερασάκι: Τα medisto & med-express εάν ο κατασκευαστής τους ή κάποιος προγραμματιστής της εταιρίας τους αποφασίσει να κάνει κάτι, μπορεί να το κάνει κάλλιστα από τον Η/Υ σας, μέσα από το ίδιο το λογισμικό, χωρίς να φαίνεται τίποτα στην οθόνη σας και χωρίς να μπορείτε να το καταλάβετε. Και εκεί να δω πως θα αποδείξετε ότι δεν είστε ελέφαντας.
Το συμπέρασμα: Πρέπει στην καρτέλα κάθε γιατρού στο e-syntagografisi/e-diagnosis να υπάρχει μια οθόνη που να μπορείς να δεις τι διαδικασίες (έκδοση/ακύρωση/αναζήτηση συνταγής) φαίνεται ότι έγιναν από το λογαριασμό σου την τελευταία εβδομάδα, ώστε να μπορείς να παρακολουθείς τι φαίνεται ότι έκανες. Αυτό είναι απαραίτητο για να έχεις άμεσα μια εικόνα τι έχει γίνει.
Νομίζω ότι μπορεί να καταλάβει κανείς με πόσο επαγγελματισμό έχει γίνει το συγκεκριμένο έργο και πόσο γραμμένους έχουν τους γιατρούς.....
-
Χρησιμοποιώντας το συγκεκριμένο λινκ http://whatismyipaddress.com/ (υπάρχουν και πολλά άλλα) βλέπω στο ιατρείο ότι έχω λάβει κατά καιρούς IP από Λάρισα, Βόλο, Θεσσαλονίκη, Ηράκλειο, Κω (αλλά ποτέ από τη Χίο που βρίσκεται!) Υπάρχει τρόπος (απλός όχι μέσω εισαγγελέων κλπ) να φανεί από τη συγκεκριμένη ΙΡ ότι ο υπολογιστής βρίσκεται στη Χίο;
Επίσης μην ξεχνάμε ότι υπάρχει και το team viewer οπότε μπορεί κάποιος να χειριστεί υπολογιστές που βρίσκονται οπουδήποτε στην Ελλάδα και να εκδώσει συνταγές χωρίς να βρίσκεται μπροστά στον υπολογιστή που τις εκδίδει.
-
Στο e-synt υπάρχει η δυνατότητα να δεις τι ακριβώς έχει κάνει ο χρήστης, στο e-diag ακόμα όχι.
Το να βρούμε την IP address και μέσω αυτής την τοποθεσία αυτού που συνταγογράφησε με το δικό μας λογαριασμό μπορεί να είναι από εύκολο ως πολύ δύσκολο και συνήθως είναι το δεύτερο. Η έρευνα όμως δε θα βασιστεί σε αυτό αλλά σε άλλα: αν υπήρξε διαφυγή password, περιεχόμενο και αριθμό συνταγών, ώρα και μέρα, ποιος τις εκτέλεσε κτλ. Σαν εξιχνίαση ανθρωποκτονίας δηλαδή...
Η είσοδος μέσω του site της e-synt είναι γενικά ασφαλής, ενώ μέσω άλλων (πχ medisto) εν δυνάμει τελείως ανασφαλής. Σαν να κάνεις ανάληψη στην πρώτη περίπτωση από ΑΤΜ της τράπεζας και στη δεύτερη από μηχανή φρουτακίων καζίνου...
Πρακτικά, όσο το password είναι κρυφό και η πρόσβαση στο σύστημα γίνεται από το e-synt δεν θα υπάρξει κανένα πρόβλημα, όπως και στα secure logins οποιουδήποτε site. Συνεπώς δύο συμβουλές: συχνή αλλαγή password (που ούτως ή άλλως μας εξαναγκάζει το σύστημα) και ποτέ δεν εισάγουμε το password με κάποιον πάνω από το κεφάλι μας. Θα αφήνατε κάποιον να δει το pin σας στο ΑΤΜ?
-
Φυσικά υπάρχει και η option η ΗΔΙΚΑ να διαβάζει MAC address (μοναδική ανά τον κόσμο διεύθυνση-ταυτότητα του μηχανήματος από το οποίο μπαίνεις η οποία δεν αλλάζει και ανατίθεται από τον κατασκευαστή της κάρτας δικτύου). Έτσι ο ιατρός θα έχει και δυνατότητα να φτιάξει λίστα έμπιστων μηχανημάτων τα οποία χρησιμοποιεί. π.χ. το σταθερό του μηχάνημα στο σπίτι, το laptop του και ένα tablet είναι τα μόνα μηχανήματα από τα οποία ο ιατρός tsoukase μπορεί να μπαίνει στο e-syntagografisi. Όπως στο facebook δηλαδή και στο gmail που αυτές οι τεχνολογίες υπάρχουν εδώ και καιρό.
Δεν εκτιμώ ότι αυτή την στιγμή η ΗΔΙΚΑ το κάνει, (για την ακρίβεια ποντάρω ότι έχω ότι ΔΕΝ το κάνει) αλλά καλό είναι να μπει και λίγη μαύρη μαγεία για την ασφάλεια...
Για το ενδεχόμενο του μηχανήματος που στέλνει συνταγές από wirless ενός καφέ τώρα, αν ο ISP κρατάει πίνακες με τις αντιστοιχίες IP-MAC address που έχει δώσει (που εδώ αντίστοιχα είμαι βέβαιος οτι το κάνει), κάνεις cross-reference για μια MAC address με όσες πιθανές IP πήρε. Βρίσκεις μια IP που ήταν χρεωμένη σε κάποιο συνδρομητή (γιατί με το laptop του ο κακόβουλος σίγουρα μπήκε και απο το σπίτι του κάποτε, ή απο την δουλειά του) και την βγάζεις την άκρη. Όμως για το ενδεχόμενο ο admin του medisto όπως λές να κάνει κάτι απο το μηχάνημά σου όντως δεν υπάρχει γιατρειά.
Γιαυτό και οτιδήποτε εκτός API, όταν γράφει στο ΕΣΥ είναι κενό ασφάλειας, σαν αυτά που αφήνουν εκατοντάδες χιλιάδες συνταγές να πέφτουν στο σύστημα και μετά να ψαχνόμαστε εθνικά για το πού παν τα τρία.
-
Φυσικά υπάρχει και η option η ΗΔΙΚΑ να διαβάζει MAC address (μοναδική ανά τον κόσμο διεύθυνση-ταυτότητα του μηχανήματος από το οποίο μπαίνεις η οποία δεν αλλάζει και ανατίθεται από τον κατασκευαστή της κάρτας δικτύου). Έτσι ο ιατρός θα έχει και δυνατότητα να φτιάξει λίστα έμπιστων μηχανημάτων τα οποία χρησιμοποιεί. π.χ. το σταθερό του μηχάνημα στο σπίτι, το laptop του και ένα tablet είναι τα μόνα μηχανήματα από τα οποία ο ιατρός tsoukase μπορεί να μπαίνει στο e-syntagografisi. Όπως στο facebook δηλαδή και στο gmail που αυτές οι τεχνολογίες υπάρχουν εδώ και καιρό.
Δεν εκτιμώ ότι αυτή την στιγμή η ΗΔΙΚΑ το κάνει, (για την ακρίβεια ποντάρω ότι έχω ότι ΔΕΝ το κάνει) αλλά καλό είναι να μπει και λίγη μαύρη μαγεία για την ασφάλεια...
Για το ενδεχόμενο του μηχανήματος που στέλνει συνταγές από wirless ενός καφέ τώρα, αν ο ISP κρατάει πίνακες με τις αντιστοιχίες IP-MAC address που έχει δώσει (που εδώ αντίστοιχα είμαι βέβαιος οτι το κάνει), κάνεις cross-reference για μια MAC address με όσες πιθανές IP πήρε. Βρίσκεις μια IP που ήταν χρεωμένη σε κάποιο συνδρομητή (γιατί με το laptop του ο κακόβουλος σίγουρα μπήκε και απο το σπίτι του κάποτε, ή απο την δουλειά του) και την βγάζεις την άκρη. Όμως για το ενδεχόμενο ο admin του medisto όπως λές να κάνει κάτι απο το μηχάνημά σου όντως δεν υπάρχει γιατρειά.
Γιαυτό και οτιδήποτε εκτός API, όταν γράφει στο ΕΣΥ είναι κενό ασφάλειας, σαν αυτά που αφήνουν εκατοντάδες χιλιάδες συνταγές να πέφτουν στο σύστημα και μετά να ψαχνόμαστε εθνικά για το πού παν τα τρία.
Την MAC address την ξέρει μόνο ο router σου και ΣΙΓΟΥΡΑ ΟΧΙ ο server που συνδέεσαι (πχ e-syntagografisi.gr). Δεν μπορεί με κανένα τρόπο να τον μάθει η ΗΔΙΚΑ, εκτός εάν πάρεις τον υπολογιστή σου και πας να συνδεθείς στο ίδιο subnet με το cloud που έχουν φτιάξει. Πέρα από αυτό υπάρχει και το MAC-spoofing.
Και εσείς, ειδικός στους υπολογιστές;
-
Η Google πάντως μια χαρά κατέγραφε MAC addresses με τα οχήματα του Streetview ("κατά λάθος"): http://www.theregister.co.uk/2010/04/22/google_streetview_logs_wlans/
Και δεν είναι μόνο η Google που το κάνει αυτό: http://hardware.slashdot.org/story/08/09/12/1255218/locate-any-wifi-router-by-its-mac-address
-
Η Google πάντως μια χαρά κατέγραφε MAC addresses με τα οχήματα του Streetview ("κατά λάθος"): http://www.theregister.co.uk/2010/04/22/google_streetview_logs_wlans/
Και δεν είναι μόνο η Google που το κάνει αυτό: http://hardware.slashdot.org/story/08/09/12/1255218/locate-any-wifi-router-by-its-mac-address
Όταν είσαι στο ίδιο subnet, δεν μεσολαβεί gateway και η διακίνηση γίνεται σε επίπεδο layer 2, δηλαδή ARP με την χρήση των MAC addreses.
Ένα wifi είναι στην πραγματικότητα ένα ασύρματο subnet με gateway (συνήθως) το access point. Πού είναι το παράλογο, μια χαρά μπορείς να καταγράψεις τις MAC που κυκλοφορούν σε ένα subnet... Μετά το gateway-router όμως, περνάμε σε layer 3 και εκεί οι MAC δεν υπάρχουν.
Επόμενος...
-
Δεν ξέρω, αλλά ο διάσημος χάκερ Samy Kamkar λέει εδώ κάποια ενδιαφέροντα πράγματα για την καταγραφή MAC addresses:
https://www.securityweek.com/hacker-uses-xss-and-google-streetview-data-determine-physical-location
-
Δεν ξέρω, αλλά ο διάσημος χάκερ Samy Kamkar λέει εδώ κάποια ενδιαφέροντα πράγματα για την καταγραφή MAC addresses:
https://www.securityweek.com/hacker-uses-xss-and-google-streetview-data-determine-physical-location
Μόνο που ο boyfriend σου πρέπει να έχει αφήσει το router με την default address, να έχεις router belkin, dlink ή verizon DSL router, χωρίς να έχει αλλάξει τον default κωδικό πρόσβασης, και φυσικά να πάει να κατεβάσει την συγκεκριμένη ιστοσελίδα που έχει το συγκεκριμένο javascript σκριπτάκι....
Και έστω ότι βρήκε την MAC address.... Αν ο router δεν είναι ασύρματος για τον πιάσει το αυτοκινητάκι της google? Τότε σίγουρα το boyfriend σου δεν κινδυνεύει από τον μελαψούλι Samy αλλά από την γειτόνισσα με τα ωραία μήλα......
Αντί να πάτε να μάθετε μια σταλιά πως δουλεύει το OSI, γράφετε ότι κοτσάνα σας βγάζει το google....
Είπαμε: Επόμενος...
-
Και ποιος εμποδίζει κάποιον να βάλει ένα τέτοιο σκριπτ σε ένα κατά τα άλλα μια χαρά σάιτ; Κι επίσης, μόνο συγκεκριμένων εταιριών τα ρούτερ μπορούν να δεχτούν ανίχνευση της MAC address τους; Για να μην πω για το ότι όλοι έχουν ενεργοποιημένα (είτε ξεχασμένα είτε επίτηδες) τα ασύρματα... Σε όλα τα σπίτια και γραφεία που έχω δει τα ρούτερ έχουν και ασύρματο δίκτυο ενεργοποιημένο. Κι επίσης, νομίζω ότι ειδικοί και επαγγελματίες σε θέματα ασφάλειας υπολογιστών όπως ο Kamkar ή κάποιος άλλος αντίστοιχος είναι πολύ πιο αρμόδιοι να μιλήσουν για τέτοια θέματα από ένα γιατρό που τυχαίνει να ασχολείται και με υπολογιστές... Φιλικά πάντα. :-\
-
Και ποιος εμποδίζει κάποιον να βάλει ένα τέτοιο σκριπτ σε ένα κατά τα άλλα μια χαρά σάιτ; Κι επίσης, μόνο συγκεκριμένων εταιριών τα ρούτερ μπορούν να δεχτούν ανίχνευση της MAC address τους; Για να μην πω για το ότι όλοι έχουν ενεργοποιημένα (είτε ξεχασμένα είτε επίτηδες) τα ασύρματα... Σε όλα τα σπίτια και γραφεία που έχω δει τα ρούτερ έχουν και ασύρματο δίκτυο ενεργοποιημένο. Κι επίσης, νομίζω ότι ειδικοί και επαγγελματίες σε θέματα ασφάλειας υπολογιστών όπως ο Kamkar ή κάποιος άλλος αντίστοιχος είναι πολύ πιο αρμόδιοι να μιλήσουν για τέτοια θέματα από ένα γιατρό που τυχαίνει να ασχολείται και με υπολογιστές... Φιλικά πάντα. :-\
Ανεξαρτήτως του εάν είσαι γιατρός ή όχι, αν παρακολουθήσεις την ομιλία στο link που παραθέτεις, και εφόσον γνωρίζεις το αντικείμενο, θα δεις ότι το javascript που παρουσιάζει ο samy κάνει http κλήσεις στην default διεύθυνση ΙΡ του router που περιμένει να βρει και προσπαθεί από την σελίδα του router που δείχνει τους συνδεμένους clients να αντλήσει την mac address του router και όσων συνδέονται σε αυτή. Άρα το να έχεις ενεργοποιημένο το ασύρματο στο router σου με μια άλλη ΙΡ διεύθυνση ή με άλλο password από το default στο router αρκεί για να μην μπορεί να δει τίποτα το script του.
Το javascript από μόνο του δεν μπορεί να δει layer 2 και συνεπώς δεν μπορεί να δει καμιά MAC διεύθυνση.
Next please.......
-
Και πόσοι γιατροί ξέρουν ή ασχολούνται να κάνουν αυτές τις ρυθμίσεις; Θα κάτσει δηλαδή ο πατέρας μου που είναι άνω των 50 και απεχθάνεται τους υπολογιστές να τα κάνει; Ή ο άλλος που τον υπολογιστή στο ιατρείο τον έχει μόνο για να διαβάζει troktiko;
Κι επίσης, γιατί νομίζετε ότι όλοι όσοι λένε κάτι επιπλέον ή διαφορετικό από αυτό που λέτε προσπαθούν να σας την πουν; Τι νοοτροπία είναι αυτή;
-
Και πόσοι γιατροί ξέρουν ή ασχολούνται να κάνουν αυτές τις ρυθμίσεις; Θα κάτσει δηλαδή ο πατέρας μου που είναι άνω των 50 και απεχθάνεται τους υπολογιστές να τα κάνει; Ή ο άλλος που τον υπολογιστή στο ιατρείο τον έχει μόνο για να διαβάζει troktiko;
H ιστορία ξεκίνησε με θέμα την ασφάλεια σε περίπτωση υποκλοπής του password και πόσο δύσκολο (σε πρακτικό επίπεδο) είναι να ελέγξεις την προέλευση αυτού που συνδέεται. Τελικά, φτάσαμε να μιλάμε για κάτι που δεν βγαίνει έξω από subnet και που η μόνη προσφορά του να το μάθεις είναι να δεις τι μάρκα είναι μια συσκευή ή που βρίσκεται στην χώρα εάν υπάρχει μια βάση δεδομένων που να έχει τέτοια πληροφορία. Εάν δε, ο χρήστης που συνδέεται αποφασίσει να κοροϊδέψει τον server που του στέλνει το javascript είναι απλά παιχνίδι να το κάνει. Άρα για τι ασφάλεια συζητάμε....;
Κι επίσης, γιατί νομίζετε ότι όλοι όσοι λένε κάτι επιπλέον ή διαφορετικό από αυτό που λέτε προσπαθούν να σας την πουν; Τι νοοτροπία είναι αυτή;
Είναι φορουμ για επαγγελματίες υγείας και σε θέμα εκτός θέματος έχω διαβάσει τις απίστευτες μπαρούφες που θα μπορούσε να πει κανείς από αυτο-προσδιοριζόμενους επαγγελματίες και εκπαιδευτικούς πληροφορικής. Μήπως γιατί ότι μπαρούφα δεν μπορούν να την πουν σε ένα τεχνικό φορουμ έρχονται και την λένε εδώ;Πειράζει να πάνε να την γράψουν εκεί να δούμε το αποτέλεσμα;
-
1) Όπως είπα αυτό ήδη γίνεται σε πολύ διάσημα site όπως gmail και facebook άρα μην προσπαθείς να με πείσεις ότι δεν γίνεται γιατί φαίνεσαι έτσι ημιμαθείς και ο κόσμος μπορεί να απορρίψει άλλες σωστές σου τοποθετήσεις. Είναι κρίμα γιατί προσπαθείς πραγματικά αξιόλογα.
2) Get you informatics from a computer engineer. Ένα java applet, ένα activeX object μέχρι και flash αν και άθλιο, μπορεί να διαβάσει την MAC address και φυσικά μπορεί να την στείλει σε όποιον server θες.
3) Αν σε ενδιαφέρει και εσένα το θέμα της ασφάλειας πρότεινε το στην ΗΔΙΚΑ και ας μην καταλαβαίνεις πώς γίνεται με τις υπάρχουσες γνώσεις. Το φάσμα της πληροφορικής είναι τεράστιο και ένας καλός πληροφορικός το πρώτο που παραδέχεται είναι πως δεν είναι ο καλύτερος και δεν τα ξέρει όλα.
ΥΓ(αν ο client είναι ΙΕ -δεν ξέρω μέχρι ποιά έκδοση- μπορείς να μάθεις πολλά πράγματα με js)
-
1) Όπως είπα αυτό ήδη γίνεται σε πολύ διάσημα site όπως gmail και facebook άρα μην προσπαθείς να με πείσεις ότι δεν γίνεται γιατί φαίνεσαι έτσι ημιμαθείς και ο κόσμος μπορεί να απορρίψει άλλες σωστές σου τοποθετήσεις. Είναι κρίμα γιατί προσπαθείς πραγματικά αξιόλογα.
2) Get you informatics from a computer engineer. Ένα java applet, ένα activeX object μέχρι και flash αν και άθλιο, μπορεί να διαβάσει την MAC address και φυσικά μπορεί να την στείλει σε όποιον server θες.
3) Αν σε ενδιαφέρει και εσένα το θέμα της ασφάλειας πρότεινε το στην ΗΔΙΚΑ και ας μην καταλαβαίνεις πώς γίνεται με τις υπάρχουσες γνώσεις. Το φάσμα της πληροφορικής είναι τεράστιο και ένας καλός πληροφορικός το πρώτο που παραδέχεται είναι πως δεν είναι ο καλύτερος και δεν τα ξέρει όλα.
ΥΓ(αν ο client είναι ΙΕ -δεν ξέρω μέχρι ποιά έκδοση- μπορείς να μάθεις πολλά πράγματα με js)
ΥΓ2 Και επειδή καλή είναι η θεωρία αλλά σαν να βλέπεις τα μούτρα του αλλουνού όταν καταρίπτεται ΔΕΝ ΕΧΕΙ πάρε το παρακάτω σώστο σαν html άνοιξέ το με explorer και έλα πες μου ο επόμενος ύστερα.....
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Getting MAC Address From Javascript(IE Only)</title>
<script language="javascript">
function showMacAddress(){
var obj = new ActiveXObject("WbemScripting.SWbemLocator");
var s = obj.ConnectServer(".");
var properties = s.ExecQuery("SELECT * FROM Win32_NetworkAdapterConfiguration");
var e = new Enumerator (properties);
var output;
output='<table border="0" cellPadding="5px" cellSpacing="1px" bgColor="#CCCCCC">';
output=output + '<tr bgColor="#EAEAEA"><td>Caption</td><td>MACAddress</td></tr>';
while(!e.atEnd())
{
e.moveNext();
var p = e.item ();
if(!p) continue;
output=output + '<tr bgColor="#FFFFFF">';
output=output + '<td>' + p.Caption; + '</td>';
output=output + '<td>' + p.MACAddress + '</td>';
output=output + '</tr>';
}
output=output + '</table>';
document.getElementById("box").innerHTML=output;
}
</script>
</head>
<body>
<input type="button" value="Show MAC Address" onclick="showMacAddress()" />
<div id="box">
</div>
</body>
</html>
-
Δηλαδή είναι τόσο εύκολο να ανιχνευτεί η MAC address κάποιου ρούτερ;
-
1) Όπως είπα αυτό ήδη γίνεται σε πολύ διάσημα site όπως gmail και facebook άρα μην προσπαθείς να με πείσεις ότι δεν γίνεται γιατί φαίνεσαι έτσι ημιμαθείς και ο κόσμος μπορεί να απορρίψει άλλες σωστές σου τοποθετήσεις. Είναι κρίμα γιατί προσπαθείς πραγματικά αξιόλογα.
2) Get you informatics from a computer engineer. Ένα java applet, ένα activeX object μέχρι και flash αν και άθλιο, μπορεί να διαβάσει την MAC address και φυσικά μπορεί να την στείλει σε όποιον server θες.
3) Αν σε ενδιαφέρει και εσένα το θέμα της ασφάλειας πρότεινε το στην ΗΔΙΚΑ και ας μην καταλαβαίνεις πώς γίνεται με τις υπάρχουσες γνώσεις. Το φάσμα της πληροφορικής είναι τεράστιο και ένας καλός πληροφορικός το πρώτο που παραδέχεται είναι πως δεν είναι ο καλύτερος και δεν τα ξέρει όλα.
ΥΓ(αν ο client είναι ΙΕ -δεν ξέρω μέχρι ποιά έκδοση- μπορείς να μάθεις πολλά πράγματα με js)
Το (1) δεν το απαντάω καθόλου. Κλασική φράση δικηγόρου όταν προσπαθεί να διαφύγει....λάθρα. Η κατήχηση αλλού.
Στο (2), activeX μάλλον μόνο εσύ και οι κινέζοι το χρησιμοποιούν ακόμη. Ξέχασες να αναφέρεις ότι οτιδήποτε με activex δεν τρέχει καν σε firefox, opera, safari, chrome και φυσικά σε mac, linux, κλπ. Μόνο σε ΙΕ τρέχει, και φυσικά στις τελευταίες εκδόσεις σε ρωτάει πριν τρέξει τα περισσότερα. Σε παλαιές εκδόσεις του ΙΕ μέχρι και τον σκληρό μπορούσες να φορμάρεις εάν το δεις έτσι. Γι αυτό και ο ΙΕ είναι για τα πρόβατα χρήστες. Εγώ τον τρέχω μόνο μέσα σε virtualbox. Για το flash επίσης έχει τελειώσει σαν εργαλείο... προσωπικά δεν το έχω καν πλέον στο browser μου. Τέλος για την java δεν νομίζω ότι θα τα καταφέρεις εκτός κι αν έχει ο χρήστης καμιά θεόπαλια έκδοση full στα bugs. Εάν έχεις κανένα applet να το κάνει βγάλε το, με ενδιαφέρει.
(3) Το θέμα της ασφάλειας σε ένα τόσο σοβαρό site όπως είναι το e-syntagografisi απαιτεί σοβαρούς επαγγελματίες πληροφορικής. Να σου πω ότι δεν υπάρχουν; Και ειδικά στην ΗΔΙΚΑ φαίνεται ότι δεν έχουν καμιά ικανότητα να πιάσουν το θέμα. Υπάρχουν σοβαρές υλοποιήσεις που χρησιμοποιούνται χρόνια τώρα σε άλλους τομείς. Θα κοστίσουν κάτι το ελάχιστο παραπάνω από ότι σήμερα σε όλους μας τους εμπλεκόμενους αλλά θα έχουμε ασφάλεια που ο της πληροφορικής εν ελλάδι θα δυσκολεύεται να κατανοήσει ακόμη και το πως λειτουργούν. Οι προτάσεις μου έχουν γίνει σε τεχνικό επίπεδο και αφορούν smartcards που αλλάζουν σε τακτά διαστήματα opcode. To κόστος είναι εφάπαξ 50-80 ευρώ ανά χρήστη και το παιχνίδι είναι πλέον για ελάχιστους....
Και για να τελειώσουμε με την ιστορία της MAC address: Έστω ότι ένας γιατρός δηλώσει 3 MAC από τις οποίες μπαίνει. Αυτός που θα φτάσει να του κλέψει το password, πιστεύεις ότι δεν θα ξέρει από MAC-spoofing. Ακόμη και τα windows πλέον σου επιτρέπουν να αλλάξεις την MAC address της κάρτας σου...
Και το κερασάκι για να κλείσουμε: Το stackoverflow το ξέρουν εδώ και χρόνια και κάποιοι γιατροί..... Πήγαινε να πουλήσεις μούρη αλλού...
http://stackoverflow.com/questions/10277440/getting-the-mac-address-of-a-client-with-a-browser
Δηλαδή είναι τόσο εύκολο να ανιχνευτεί η MAC address κάποιου ρούτερ;
Ποιο router; Εκεί έχεις κολλήσει εσύ;
Επόμενος....
-
Πρότεινα στο φόρουμ ένα ακόμα μέτρο ασφάλειας που να αξιοποιεί την MAC γιατί νόμισα ότι σας ενδιαφέρει.
Το έκανα διότι βλέπω καθημερινά δύο κολοσσούς να το κάνουν (gmail - facebook).
Με αμφισβήτησες λέγοντας ότι δεν γίνεται και με ειρωνεύτηκες σε επόμενα post σου. Συγκεκριμένα είπες:
"Την MAC address την ξέρει μόνο ο router σου και ΣΙΓΟΥΡΑ ΟΧΙ ο server που συνδέεσαι (πχ e-syntagografisi.gr). Δεν μπορεί με κανένα τρόπο να τον μάθει η ΗΔΙΚΑ, εκτός εάν πάρεις τον υπολογιστή σου και πας να συνδεθείς στο ίδιο subnet με το cloud που έχουν φτιάξει."
Σου απέδειξα ότι κάνεις λάθος πέρα ως πέρα με αντιπαράδειγμα στην πιο εύκολη μορφή που μπόρεσα να βρω σε λιγότερο από 2 λεπτά καθώς σου εμφάνισα μέσα σε μεταβλητή js την mac σου.
Το Gmail και το facebook το κάνουν από οποιαδήποτε πλατφόρμα θες με τελείως άλλη τεχνολογία.
Άρα γίνεται.
Εκτός αν θες να μας πεις ότι δεν το ζούμε τόσο καιρό σε αυτές τις δυο πλατφόρμες....
Τέλος. Αν δεν το καταλαβαίνεις δεν σημαίνει ότι είναι σωστό να το απορρίψεις.
Δεν χρειάζεται να απαντήσεις άλλο ξέρω ότι είσαι πολύ καταρτισμένος για γιατρός αλλά αν είσαι τόσο αφοριστικός με άτομα και τεχνολογίες που δεν ξέρεις θα βρίσκεσαι απένταντι απο κώδικα όπως ο παραπάνω που αποδεικνύει ότι κάνεις λάθος.
-
Πρότεινα στο φόρουμ ένα ακόμα μέτρο ασφάλειας που να αξιοποιεί την MAC γιατί νόμισα ότι σας ενδιαφέρει.
Το έκανα διότι βλέπω καθημερινά δύο κολοσσούς να το κάνουν (gmail - facebook).
Με αμφισβήτησες λέγοντας ότι δεν γίνεται και με ειρωνεύτηκες σε επόμενα post σου. Συγκεκριμένα είπες:
"Την MAC address την ξέρει μόνο ο router σου και ΣΙΓΟΥΡΑ ΟΧΙ ο server που συνδέεσαι (πχ e-syntagografisi.gr). Δεν μπορεί με κανένα τρόπο να τον μάθει η ΗΔΙΚΑ, εκτός εάν πάρεις τον υπολογιστή σου και πας να συνδεθείς στο ίδιο subnet με το cloud που έχουν φτιάξει."
Σου απέδειξα ότι κάνεις λάθος πέρα ως πέρα με αντιπαράδειγμα στην πιο εύκολη μορφή που μπόρεσα να βρω σε λιγότερο από 2 λεπτά καθώς σου εμφάνισα μέσα σε μεταβλητή js την mac σου.
Το Gmail και το facebook το κάνουν από οποιαδήποτε πλατφόρμα θες με τελείως άλλη τεχνολογία.
Άρα γίνεται.
Εκτός αν θες να μας πεις ότι δεν το ζούμε τόσο καιρό σε αυτές τις δυο πλατφόρμες....
Τέλος. Αν δεν το καταλαβαίνεις δεν σημαίνει ότι είναι σωστό να το απορρίψεις.
Δεν χρειάζεται να απαντήσεις άλλο ξέρω ότι είσαι πολύ καταρτισμένος για γιατρός αλλά αν είσαι τόσο αφοριστικός με άτομα και τεχνολογίες που δεν ξέρεις θα βρίσκεσαι απένταντι απο κώδικα όπως ο παραπάνω που αποδεικνύει ότι κάνεις λάθος.
Μέτρο ασφαλείας που γίνεται spoofing με μια απλή εντολή δεν είναι μέτρο ασφαλείας. Μέχρι στιγμής δεν είδα κώδικας που προτείνεις να δουλεύει σε κάθε browser και να βρίσκει MAC. Περιμένω ακόμη αν κατορθώσεις να βρεις. Είπες για java applets, για flash.....ξέχασες; Απλά δοκίμασε το πριν το παρουσιάσεις....θα είναι κρίμα να τα χώνω εάν δεν δουλεύει.
Χρησιμοποιώ και facebook & gmail. Δεν έχω βρει κάπου στον κώδικα της ιστοσελίδα τους κάτι που να δείχνει ότι ανιχνεύουν MAC address σε κάθε browser. Αντίθετα, έχω δει ότι χρησιμοποιούν κατά κόρο cookies & την ΙΡ από την οποία φαίνεται ότι συνδέεσαι. Σβήσε τα cookies και θα δεις ότι αμέσως και το facebook & το gmail σου ζητάνε να ξανασυνδεθείς.
Εάν πιστεύεις το αντίθετο, γράψε μας σε ποιο αρχείο js και με ποιο κομμάτι κώδικα το facebook & gmail ανιχνεύουν την MAC address. Ιδού η ρόδος...
Δυστυχώς άτομα σαν και σένα με έχουν κάνει να έχω αυτή την αντίδραση. Και εάν δεν δω στοιχεία που να αποδεικνύουν αυτά που λες, θα το επιβεβαιώσεις άλλη μια φορά. Περιμένω.
-
Αν εσύ προσπαθείς να συμαζέψεις τα ασυμάζευτα και θες κώδικα που να παίζει και σε πλυντήριο, ή θες τον κώδικα της google και του facebook που το κάνει (άκου τι ζητάει ο άλλος ΧΑΧΑΧΑΧΑΧ λες και είμαστε στο δημοτικό!!!) δικό σου πρόβλημα!
Έχε όποια αντίδραση θες στην τελική. Δεν είσαι στην ομάδα μου οπότε το αν θα μάθεις τρία πράματα σε πρακτικά επαγγελματικά project πέρα από θεωρητικάτζες δεν με αφορά.Θα με αφορούσε αν συνεργαζόμασταν.
Και για να μην ξεχνιόμαστε:
Είπες ότι αν δεν κουμπωθώ πάνω στο subnet τους δεν βλέπουν mac.
Με τον ισχυρότερο τρόπο που υπάρχει στα μαθηματικά (το αντιπαράδειγμα) σου απέδειξα ότι δεν ξέρεις τι λες! Τόσο απλά.
-
Αν εσύ προσπαθείς να συμαζέψεις τα ασυμάζευτα και θες κώδικα που να παίζει και σε πλυντήριο δικό σου πρόβλημα!
Έχε όποια αντίδραση θες στην τελική. Δεν είσαι στην ομάδα μου οπότε το αν θα μάθεις τρία πράματα σε πρακτικά επαγγελματικά project πέρα από θεωρητικάτζες δεν με αφορά.Θα με αφορούσε αν συνεργαζόμασταν.
Και για να μην ξεχνιόμαστε:
Είπες ότι αν δεν κουμπωθώ πάνω στο subnet τους δεν βλέπουν mac.
Με τον ισχυρότερο τρόπο που υπάρχει στα μαθηματικά (το αντιπαράδειγμα) σου απέδειξα ότι δεν ξέρεις τι λες! Τόσο απλά.
Θα ίσχυε εάν έπαιζε το παράδειγμα σου. Και επειδή υπάρχει java σε πλυντήρια, δεν σημαίνει ότι πρέπει να παίζει εκεί.
Μου δείχνεις κάτι το οποίο παίζει μόνο στο 25% των χρηστών (http://en.wikipedia.org/wiki/Usage_share_of_web_browsers) αν και εφόσον είναι μηδενική η ασφάλεια του...
Σου δείχνω site του χώρου σου που λέει ότι μόνο σε ΙΕ παίζει πλέον σήμερα και μόνο με ανοικτό το activex.
Τσατίζεσαι....
Άλλος ένας στο club.
Επόμενος....
-
Είχες μια θεωρία.
Στην κατέρριψα.
Χώνεψε το.
-
Δες τι πρότινες:
Φυσικά υπάρχει και η option η ΗΔΙΚΑ να διαβάζει MAC address (μοναδική ανά τον κόσμο διεύθυνση-ταυτότητα του μηχανήματος από το οποίο μπαίνεις η οποία δεν αλλάζει και ανατίθεται από τον κατασκευαστή της κάρτας δικτύου). Έτσι ο ιατρός θα έχει και δυνατότητα να φτιάξει λίστα έμπιστων μηχανημάτων τα οποία χρησιμοποιεί. π.χ. το σταθερό του μηχάνημα στο σπίτι, το laptop του και ένα tablet είναι τα μόνα μηχανήματα από τα οποία ο ιατρός tsoukase μπορεί να μπαίνει στο e-syntagografisi. Όπως στο facebook δηλαδή και στο gmail που αυτές οι τεχνολογίες υπάρχουν εδώ και καιρό.
Δεν εκτιμώ ότι αυτή την στιγμή η ΗΔΙΚΑ το κάνει, (για την ακρίβεια ποντάρω ότι έχω ότι ΔΕΝ το κάνει) αλλά καλό είναι να μπει και λίγη μαύρη μαγεία για την ασφάλεια...
Για το ενδεχόμενο του μηχανήματος που στέλνει συνταγές από wirless ενός καφέ τώρα, αν ο ISP κρατάει πίνακες με τις αντιστοιχίες IP-MAC address που έχει δώσει (που εδώ αντίστοιχα είμαι βέβαιος οτι το κάνει), κάνεις cross-reference για μια MAC address με όσες πιθανές IP πήρε. Βρίσκεις μια IP που ήταν χρεωμένη σε κάποιο συνδρομητή (γιατί με το laptop του ο κακόβουλος σίγουρα μπήκε και απο το σπίτι του κάποτε, ή απο την δουλειά του) και την βγάζεις την άκρη. Όμως για το ενδεχόμενο ο admin του medisto όπως λές να κάνει κάτι απο το μηχάνημά σου όντως δεν υπάρχει γιατρειά.
Κατάφερες να δείξεις ότι στο 25% των χρηστών με τρύπια ασφάλεια στον ΙΕ μπορεί να γίνει. Και λες το ακόλουθο:
Είχες μια θεωρία.
Στην κατέρριψα.
Χώνεψε το.
που το στηρίζεις σε μια φράση που έγραψα σκεπτόμενος κάθε χρήστη που πρέπει να καλύπτει η ΗΔΙΚΑ, μεταξύ αυτών και τους Mac και όχι μόνο όσους τρέχουν ένα διάτρητο ΙΕ:
Την MAC address την ξέρει μόνο ο router σου και ΣΙΓΟΥΡΑ ΟΧΙ ο server που συνδέεσαι (πχ e-syntagografisi.gr). Δεν μπορεί με κανένα τρόπο να τον μάθει η ΗΔΙΚΑ, εκτός εάν πάρεις τον υπολογιστή σου και πας να συνδεθείς στο ίδιο subnet με το cloud που έχουν φτιάξει. Πέρα από αυτό υπάρχει και το MAC-spoofing.
Και εσείς, ειδικός στους υπολογιστές;
Και μετά από όλα αυτά είσαι χαρούμενος, που η πρόταση που έγραψες δεν στέκει αλλά κατάφερες να πείσεις ότι στο τύπο και όχι στην πραγματικότητα ότι έκανα λάθος.
Ο καθένας την δουλειά του και ο βλάχος τα τυριά του.
Από τυριά τουλάχιστον, ξέρεις;
-
Τελικά είχε απόλυτο δίκιο ο πατέρας μου (γιατρός στο επάγγελμα) σε όσα αρνητικά έλεγε και λέει για τους γιατρούς....
-
Τι να πεις Δανάη μου! Δεν βγήκαμε όλοι από το ίδιο μέρος στην ζωή αυτή....
Πες στον μπαμπά σου (γιατί γιαυτό μπήκες και ρώτησες) οτι η επίσημη θέση του κράτους είναι "Δεν δίνω επίσημο και πιστοποιημένο τρόπο επικοινωνίας της συνταγογράφησης με προγράμματα πληροφορικής" ας πράξει το προφανές.
-
Αφού όμως το κράτος δε δίνει επίσημο και πιστοποιημένο τρόπο επικοινωνίας με τις εφαρμογές του σε καμία εταιρία πληροφορικής και όπως είπε πιο πριν (http://www.pfy.gr/forum/index.php/topic,3910.msg34416.html#msg34416) ο tsoukase τα προγράμματα που ισχυρίζονται ότι το κάνουν είναι εν δυνάμει ανασφαλή, τότε οι γιατροί τι επιλογές έχουν; Να περνάνε ό,τι είναι να περάσουν σε μια κανονική εφαρμογή και, όταν με το καλό ξαναδουλέψει το e-synt, να κάνουν copy-paste; Να μην έχουν καθόλου εφαρμογή τήρησης ιατρικών αρχείων; Και με τη σύμβαση του ΕΟΠΥΥ εκείνη που μας ήρθε και λέει ότι οι γιατροί είναι υποχρεωμένοι να έχουν ιατρικό λογισμικό, αλλιώς δε θα πληρώνονται στην ώρα τους τι γίνεται;
-
Το λογικό είναι αφού όπως λές είσαι υποχρεωμένη να πάρεις εφαρμογή, να διαλέξεις μια που να μην σε αρμέγει οικονομικά και να την πάρεις. Υπάρχουν αρκετές στην αγορά από όταν ήμουν φοιτητής, και προσωπικά θα διάλεγα μια cloud based υπηρεσία για να μην έχω το νταβατζιλίκι των αδειών χρήσης ανάλογα με τις εγκαταστάσεις στους υπολογιστές. Πιστεύω ότι πρώτοι οι επαγγελματίες πληροφορικής θα ήθελαν να έχουν ένα API αλλά αφού το κράτος δεν δίνει την δυνατότητα να το κάνεις αυτόματα τι άλλο να πει κανείς...
Εδώ και χρόνια στην εκπαίδευση χιλιάδες υποψήφιοι κάνουν κάθε καλοκαίρι χαρτιά για ωρομίσθιους και αναπληρωτές χειρόγραφα στην πιο απλά υλοποιήσιμη φόρμα. Φέτος εδέησαν και μηχανογραφήθηκαν.
Τώρα για το αν ο ΕΟΠΥΥ δει ότι δεν τα βγάζει πέρα και αποφασίσει να σπάσει τα νεύρα στον κοσμάκη-ιατρό που κάνει την δουλειά του και αρχίσει να ζητάει τιμολόγια αγοράς ιατρικού λογισμικού για να τους πληρώσει δεν ξέρω. Πλέον στην καθημερινότητα, προσωπικά δεν με εκπλήσσει τίποτα και αναμένω από μεριάς νομοθεσίας την πιο αρπακτική λογική.
-
mac address: [FF] - [FF] - [FF] - [FF] - [FF] - [FF]
αποτελείται από τρεις πρώτες ομάδες δεκαεξαδικών ψηφίων όπου δείχνουν σύμφωνα με το πρότυπο τα στοιχεία του κατασκευαστή της κάρτας δικτύου και από ακόμα τρείς ομάδες δεκαεξαδικών ψηφίων που είναι ένας μοναδικός αριθμός που χαρακτηρίζει την κάρτα δικτύου σε 1 μόνο subnet ενός δικτύου είτε ασύρματο είτε ενσύρματο. Αν ήταν πραγματικά μοναδικό δεν θα υπήρχε λόγος για τις IP addresses. Τρείς ομάδες δεκαεξαδικών ψηφίων μας δίνουν το συνολικό νούμερο των 65535 πιθανών συνδυασμών για κάθε κατασκευαστή κάρτας δικτύου...
Με δεδομένο ότι ένας κατασκευαστής καρτών δικτύων βγάζει τουλάχιστον 100.000 κάρτες σε γραμμή παραγωγής καταλαβαίνουμε αυτόματα ότι είναι αδύνατον ΚΑΘΕ κάρτα δικτύου να πάρει μοναδικό MAC address αριθμό σε ένα δίκτυο και οτι φαινόμενο duplicates ή και παραπάνω μπορεί πολύ εύκολα να παρουσιαστεί.. όπως και γίνεται... η μοναδικότητα στο subnet ενός δικτύου, του κάθε υπολογιστή δίνετε από τον συνδυασμό MAC address και IP Address. Μιας και μιλάμε για εσωτερικά δίκτυα άρα εσωτερικές LAN IP's καταλαβαίνουμε αυτόματα ότι ένας υπολογιστής δεν μπορεί να αναγνωριστεί επ' ακριβώς από ένα σύστημα server στην άλλη μεριά του πλανήτη.
Δεν σκεφτήκατε σαν "καθηγητές" αυτά τα απλά στοιχεία και δεν σκεφτήκατε ότι με κάθε HOP δλδ την διαμεσολάβηση από router σε router μέχρι να φτάσετε στον τελικό προορισμό αλλάζει η MAC address... ακόμα και με script να έπαιρνε κάποιος την mac address από ένα μηχάνημα τι ουσιαστική πληροφορία μας δίνει; απλά ένα τίποτα μιας και δεν μπορεί να αξιοποιηθεί μιας και η MAC address αξιοποιείται εσωτερικά από το ίδιο το δίκτυο. Ταυτοποίηση και πιστοποίηση ΔΕΝ μπορεί να γίνει με MAC μιας και το πρώτο πράγμα που κάνει κάποιος επιτήδειος είναι να την αλλάξει.
Δεν χρειάζεται να με ευχαριστήσετε που σας άνοιξα τα μάτια αλλά οι "καθηγητές" πρέπει να αρχίσετε να πιάνετε και κανά βιβλίο πότε πότε... αλλιώς σκίστε τα βιβλία σας και τα πτυχία σας και αφήστε τα σε άτομα που το έχουν όπως ο κ. Κουναλάκης. Κλαψίγελος όπως είπε και ο ίδιος για αυτούς που προσπαθήσαν να τον πείσουν για το αντίθετο. Φυσικά δεν επιτίθεμαι σε όλους έσας τους δήθεν καθηγητές αλλά αν ανοίγατε και ένα βιβλίο για κάθε φορά που πάτε να την πείτε σε κάποιον που ξέρει περισσότερα από εσάς, ίσως να μην έιχαμε φτάσει σε αυτό το σημείο στην ελλάδα σε όσα έχουμε φτάσει.
Ξέρω ότι είναι παλιό το thread αλλά επιθυμώ να ρωτήσω τον κ. Κουναλάκη αν έχει φτιάξει κάποιου είδους υλοποίηση σχετικά με την σύνδεση στην ΗΔΙΚΑ σε επίπεδο API για τους γιατρούς. Εσωτερικά στην Ηδικα όλοι δηλώνουν άγνοια για API γιατρών άρα θεωρώ πως η υλοποίηση των εφαρμογών έχει γίνει με μπόλικο regular expression και μίμηση browser. Προφανώς μια εφαρμογή σε αυτό το επίπεδο θα σπάει με την παραμικρή αλλαγή στον κώδικα HTML που βγάζει το web-interface της ηδίκα. Πρίν αρχίσω να γράφω μια τέτοια εφαρμογή(γιατί αρκετοί γιατροί έχουν πρόβλημα, του να πρέπει να γίνονται manually αρκετές διαδικασίες και να σπαταλάτε πολύτιμος χρόνος σε άχρηστες διαδικασίες πχ. διασύνδεση e-prescription -> e-ΔΑΠΥ) πρέπει να ξέρουμε αν όντως υπάρχει κάποιο API που χρησιμοποιούν αυτές οι εταιρείες ανεπίσημα. Ευχαριστώ εκ των προτέρων όσους δώσουν βοήθεια πρακτική.
-
H αλήθεια είναι ότι κάθε κατασκευαστής καρτών έχει τρεις 8bit αριθμούς στην MAC address. Αυτό μας δίνει 2 εις την (8x3)=16777216 πιθανούς συνδυασμούς και όχι 65535. Αυτό γιατί θα μας την πέσουν οι προηγούμενοι και θα είναι κρίμα. Από εκεί και πέρα η MAC address δεν είναι ορατή παρά μόνο με κάτι θεόπαλιους Internet Explorer. Και φυσικά, εκτός subnet όπως περιγράφεις απλά δεν υπάρχει.
Τώρα εσύ γράφεις τόπος εργασίας ΗΔΙΚΑ και ρωτάς εάν η ΗΔΙΚΑ έχει ΑΡΙ για τους γιατρούς; Λίγο περίεργο δεν είναι;
Tespa
Μέχρι σήμερα η ΗΔΙΚΑ δεν έχει ΑΡΙ για τους γιατρούς αλλά μπορείς να χρησιμοποιήσεις το ΑΡΙ των φαρμακοποιών με κωδικό ιατρού για να κατεβάσεις συνταγές που γνωρίζεις τον κωδικό τους και έχουν γραφτεί από σένα.
Τώρα δεν νομίζω ότι κανένας κάνει regexpr το html source. Όλοι δουλεύουμε με κάποιο browser component το οποίο μπορούμε και το επηρεάζουμε ενώ λειτουργεί σαν browser. Όλοι μας σχεδόν χρησιμοποιούμε το CEF http://code.google.com/p/chromiumembedded/ αλλά ακόμη και αυτοί που θέλουν να γράψουν σε php κώδικα υπάρχει το Selinium http://docs.seleniumhq.org/
Welcome to the club και καλό κουράγιο....
-
καταρχάς είμαι σοχ και δευτερον το κοιτάω και από άποψη ασφάλειας.. προς το παρον γνωρίζω οτι για τους γιατρούς δεν υπάρχει API και μόνο για τους φαρμακοποιούς.. Αν υπάρχει bug που το εκμεταλεύονται ή αν όλα γίνονται νόμιμα. Επειδή ποτέ δεν ξέρεις a little research never harms... :P
Έπειτα είδα την υλοποίηση του medisto η οποία έχει γίνει σε .NET περιβάλλον με μπόλικες ενσωματώσεις στον κώδικά τους κώδικα open source και το background work να το υλοποιεί στην μηχανή του firefox/chrome;
Για τέτοιες υλοποιήσεις υπάρχει και η αποδοχή εδώ της ηδίκα σχετικά αλλά επειδή API δεν το βλέπουμε σύντομα, προσπαθώ να βοηθήσω κάποιον γνωστό μου γιατρό για να βγάζει πιο γρήγορα αποτελέσματα σε επαναλαμβανόμενες διαδικασίες και δεν σκοπεύω να φτιάξω ένα ολοκληρωμένο project - full υλοποίηση παρά κάτι πολύ μικρότερο σαν μικρός αυτοματισμός κάποιων διαδικασιών.
Ευχαριστώ θερμά για την βοήθεια σου.
ΥΓ. τα όποια προβλήματα χρηστικότητας-απόκρισης του συστήματος τα έδωσα εσωτερικά στους προγραμματιστές - υπεύθυνους του έργου και η απάντηση που πήρα ήταν ας μη πώ τι... γι αυτό και θέλω να φτιάξω κάτι το οποίο θα βοηθήσει τόσο εμένα όσο κι άλλους... Τέσπα να'σαι καλά και καλή συνέχεια.. :)