mpapec wrote:
U slučaju da se MitM uspio spojiti na našu konekciju, opet imamo bar dvije osnovne priče:
Porezna potpisuje poruku da se trgovac osigura od mogucnosti ako porezna u nekom slucaju inzistira na tome da nisu oni izdali JIR nego ga je trgovac sam izmislio.Da takvih stvari je bilo da porezna pita za dokaz od-do, ali tu nam ne može pomoći da li kontroliramo ili ne potpis od porezne. Tu nam pomaže jedino dobro organizirani log files po mogućnosti u UTF-8 formatu, kako bi se mogle napraviti verifikacije potpisa.
Sa potpisom se znaci stiti trgovac (a valjda i programska kuca) od porezne uprave.
Dal mozda neko misli da takav scenario nije moguc kod nas u hr? :-)
U slučaju da se MitM uspio spojiti na našu konekciju, opet imamo bar dvije osnovne priče:
- Prva je priča na koju ne možemo utjecati.. slanje ne ispravnih podataka u poreznu. U koliko on pročita naš zahtjev i uspije dekodirati privatni certifikat korisnika (što bi navodno trebao biti manji problem) može poreznoj dostaviti hrpu ne točnih podataka, a u koliko to ne uspije može poreznoj poslati isti XML bezbroj puta, a po novom duplikacije su prilična smetnja i tlaka?
-
Druga priča je, da je JIR stigao sa Marsa i mi zapišemo JIR koji nije ispravan. Tu sada imamo situaciju da je moguće da je porezna zaprimila račun i generirala JIR kojeg mi nismo dobili. U slučaju bilo koje greške ili problema sa certifikatom sa kojim uspoređujemo potpis porezne dobivamo duplikacije koje kasnije postaju problem jer moraju biti maknute sa dodatnom obradom.