A működése nem túl rejtélyes: az eddigi név+jelszó páros megmarad,
és mellé kell begépelni egy számot, amit egy program (jellemzően egy
mobiltelefonos applikáció) kiír.
A számot kiíró applikáció általában mobiltelefonon van, de
léteznek céleszközök illetve „desktop” számítógépes programok is,
amik ezt tudják. Nem kell neki
internet kapcsolat. Annyira van szüksége, hogy amikor beállítod az
ÜK+ -t akkor kapsz egy QR kódot (ami belül tartalmaz egy azonosítót) és
ezt az applikációval lepittyented. Az app ezt megjegyzi, ad neki
egy nevet (jellemzően az email címedet, amivel belépsz, de a legtöbb
app engedi, hogy nevet is adj neki, pl „Ügyfélkapu”), és ennyi.
Innentől kezdve amikor kinyitod az appot mindig ki fog neked írni
egy számot ami fél percenként frissül, és amikor épp be akarsz lépni,
akkor az épp látható számot beírod. (Nem kell kétségbe esni, ha
pont vált, még 20-30 másodpercig szokás a „régit” is elfogadni.)
Az két faktoros applikációk
Nagyon sok ilyen applikáció van. Vannak zárt forrásúak és vannak
nyíltak. Praktikusan a
nyílt forrást
javaslom, mert azt bárki tudja
ellenőrizni, hogy nem csinál semmi disznóságot a háttérben. Vannak
appok amik millió dolgot is csinálnak, és vannak, amik csak ezt az
egy funkciót, de azt jól. Van ami a hivatalos telefonos app shopból
letölthető és van, ami az alternatívakból.
Én az Aegist
(GooglePlay,
FDroid)
szoktam Androidra ajánlani, mert szép, biztonságos, könnyen kezelhető
és nyílt forrású, de egy csomó ilyen létezik, ami jó
(pl. FreeOTP,
vagy Ente Auth iOS-re és Androidra is).
Lehet használni a Google Authenticatort is, amit a pártállam
ajánlgat, de az egy fapados dolog (működik, de pl. nem titkosítja
a kódokat és a jelenlegi verzió már zárt forráskódú).
A lényeg, hogy bármilyen szabványos
„TOTP”
(ami az „Időalapú Egyszer Használatos Jelszó” angol kifejezés rövidítése) program
megfelel a célnak, akárki is csinálta.
Jellemzően ezeknek a programoknak semmiféle jogosultságra
nincsen szükségük (ha a QR-kódot kamerával akarod leolvasni,
akkor ideiglenesen kell neki kamera-engedély),
így ha olyat találsz ami jogosultságokat kér,
akkor keress másikat! Amúgy meg használd azt, ami tetszik.
Gondolatok a DÁP applikációról
AZ ÜK+ alternatívája az
Orbán-kormány által,
R. Antal
felügyelete alatt készülő, telepíthető, zárt forrású applikáció,
mely „Digitális Állampolgár” néven érhető el. Nevezzük ezt
DÁP appnak!
Nem szeretném részletesen kifejteni, hogy miért hatalmas probléma az,
hogy az authentikációs applikáció nem nyílt forrású, és azt, hogy ez
miért nem lenne ekkora probléma egy „nyugati demokráciában”, mint
mAgyarországon. A zárt forrású program működése rejtett és sajnos
van egy csomó olyan jogosultság, amit nem lehet visszautasítani és
egy rosszindulatú fejlesztő visszaélhet vele. Természetesen senki
nem feltételezi a pártállamról és a titkosszolgálatokat is irányító,
az Amerikai Egyesült Államok által is kiemelkedően korrupt politikusok
listára feltett R. Antal még büntetlen előéletű budapesti lakosról,
hogy az állami applikáció lehallgatna
újságírókat, kémkedne politikai ellenfeleik vagy civil aktivisták
ellen. Egy jogállamban, mint mAgyarország ez egyszerűen nem történhet
meg.
A másik gond, hogy a fejlesztők túltolták: az applikációt lehetetlen
feltelepíteni rootolt telefonra (miközben láthatóan fogalmuk nincsen,
hogy ez mit jelent és mik a pro- és kontra érvek), sőt, nem lehetséges
olyan telefonra sem telepíteni ahonnan a gazdája kivágta a gyári kínai
kémprogramokat és lecserélte azokat biztonságos forrásból ékező
ROM-ra. Mert basszátok meg, azért. A kínaiak meg az ruszkik amúgyis
nagy barátai a Kis Vezérnek.
Szintén probléma, hogy az applikációhoz internet szükséges, de
ez a vita messzire vezetne, így nem mennék bele, mert nem ez a
legfőbb gond.
Gyakori kérdések, röviden
Tudom-e az ÜK+-t használni másnak a számítógépén? - Igen, tudod.
Ugyanúgy, mint eddig használtad, beírod az emailt, a jelszót, és utána
előveszed az appot (nem kell internet), és beírod a számot, amit
kiírt. Ennyi.
A könyvelőm eddig az én nevemben lépett be, most hogy fog? - A könyvelőd
eddig minimum 2-3 jogszabályt megsértett ezzel, így nem is baj, hogy
nem fog menni. Ismerkedjen meg a NAV-os
UJEGYKE
(Egységes képviseleti adatlap a NAV-nál intézhető ügyekben az állandó képviselet bejelentéséhez)
illetve az
RNY (Rendelkezési Nyilvántartás)
fogalmával, és lépjen be a saját belépésével.
Tudom-e mobiltelefon nélkül használni? - Elvileg tudod, de nem
szerencsés, mert a 2 faktoros azonosítás egyik lényege az, hogy
a jelszó mellett (amit valaki megtudhat vagy ha felírtad ellophat)
legyen egy attól független eszköz, aminek nálad kell lennie, így ha
a jelszavad ellopták is az eszközt IS el kell lopniuk, és oda külön
be kell tudniuk lépni.
Ennek ellenére használhatod pl. a totp.app
vagy hasonló weblapokat, de mivel ezek jellemzően szintén titkosítatlanul
tárolják a kódot így ha valaki betör a gépedre akkor viszi a jelszót is
meg a második faktort is, így adtál egy pofont a szaramatáknak. Inkább ne.
A jelszótárolóm tud TOTP-t, az jó? - Nem ideális jelszókezelőben
(mint amilyen pl. a KeepassXC pw manager) tárolni a második faktort,
mert ha bármilyen okból valaki ki tudja nyerni a jelszót (pl. keyloggerrel
kinyerte a mesterjelszót) akkor viszi a második faktort is.
Ha összetöröm/elveszítem a telefonom, hogy tudok belépni? - általában
a pártállami rendszer is biztosít lehetőséget a pótlásra, jellemzően be
kell hozzá menni az ocsmányirodába.
Ha ezt meg akarod előzni, akkor ha van egy másik telefonod, akkor azzal
is lepittyented a QR kódot, és akkor van „2 tokened”.
Ha nincsen, de van nyomtatód, akkor ki tudod nyomtatni a QR-kódot papírra,
az is egészen biztonságos, mert nem fogják tudni letölteni a polcról a
gonosz hakkerök. Ha nincs más, akkor fogsz egy filctollat meg egy papírt és
a QR-kódot lerajzo… nnnna jó, vicceltem. De a lényeg, hogy ha a QR-kódot
elteszed azt ne tárold internetre kötött eszközön, és különösen ne küldd
fel másvalakinek a gépére (népszerű álnevén „felhő”, mint a google drive,
dropbox, akármi). Ha titkosítva tárolod, esetleg, de nem ideális.
Még van kérdésem, jöhet? - Ha nem végtelenül egyedi, akkor jöhet és
ideírom. Kereshetsz a ketfaktor kukac drop pont grin pont hu email címen,
vagy ha ismered más elérhetőségeimet, akkor ott. :-)
Utálni kell az ÜK+-t?
Nem. Információbiztonsági szempontból a 2-faktoros azonosítás jó dolog,
és az ÜK+ (vagyis a TOTP azonosítás) biztonságos és univerzális.
Mivel iparági szabványokat használ, nyílt forrású és a módszer
egyszerű és jól átlátható, ez az egyik legfájdalommentesebb de mégis
kellően biztonságos módja a második faktornak. Sokkal jobb, mint az
email (az email jelszót lopják, mint autópálya-építésnél a sódert)
vagy az SMS (SMS-t eltéríteni a bűnözői tanfolyamok első hetében
tanítják meg a delikvenseket), nem kell hozzá semmi (internet
vagy extrém jogosultságok, maximum egy engedély a kamerához, ha a QR kódot
lepittyentve akarod) és egyszerűbb, mint a biztonságosabb
módszerek.
Még nem tudjuk, hogy mi nem fog működni az ÜK+ -szal,
hiszen az összetákolt törvény és a rohamtempóban átnyomott app
jelenleg mankóval sem tud megállni a lábán. Ha álmodozunk, akkor
minden ami ment eddig Ügyfélkapu belépéssel, ezután is menni fog.
Ha realisták vagyunk, akkor a szolgáltatások nagy része menni fog,
más részük semennyire és visszaugrunk egy évtizeddel és papíron
kell intézni, és egy része hol megy hol nem és órákat kell elcseszni
ahhoz, hogy működésre bírjuk, vagy szakemberek segítségét kell
kérni. Mint most is, ugye.
Utálni kell a DÁP-ot?
Nem mondom, hogy nem, mert egy
jó koncepció esztelen, szakmaiatlan,
korlátolt szemléletű törvénybe húzása, elfogadhatatlan határidőkkel
és általában az állampolgárok teljes mértékű leszarásával.
Ideális esetben egy ilyen jogszabályt megelőz egy fél éves szakmai
konzultáció jogászokkal, informatikusokkal, biztonsági szakértőkkel,
majd készül egy megoldás, amit a legszélesebb körben lehet használni,
tisztán a szükséges funkcionalitással és átláthatóan (ez a jelenlegi
szovjet irányítású, a lakosság minden bizalmát évek óta elveszített
kormány esetében sajnos alapvető feltétel lett volna).
(DÁP: Nemzethy Digitális Állampolgárság Magyar Kormány Módra.)
Bár már múltkor a Wise Business-es
postban írtam a BinX-ről de páran megkértek, hogy külön is szedjem ki,
meg ugye szokás szerint írjam már oda, hogy „akkor most ez jó?” vagy nem.
Ez már azért is vicces, mert nálam azért igen nagy mennyiségben vannak
a pénzügyekhez sokkal jobban értő emberek, bár tény, hogy nálam
tudatlanabbak is léteznek, legalábbis ezt írja az újság.
Ez a post részletekben tehát tartalmazni fogja a már egyszer leírtakat
is, picit frissítve.
Mi a BinX?
A saját oldalukon részletesen leírják, hogy
hogyan definiálják önmagukat, én ugyanezt pongyola módon tenném meg.
Egyrészt ez egy valódi, magyar pénzügyi szolgáltató; megfelel a magyar
törvényeknek (bizonyos tekintetben meghackelve azokat), illetve az ide
vonatkozó EU szabályoknak (amikkel meghackeli a korrupt és sorvadó
magyar rendszert); megfelel a pénzügyi cégekre vonatkozó pénzügyi
biztonsági és stabilitási feltételeknek (tőke és ügymenet). Másrészt
tele van modern megoldásokkal, és tényleg energiát fektet abba, hogy
ügyfélközpontú legyen, már amennyire ez üzletileg megéri neki. :-)
A cég ötlete azon alapul, hogy a magyar kormány gazdaságellenes
megszorító intézkedései miatt fojtogatja a bankrendszer(en át a lakosságo)t,
és ezt próbálják kikerülni azzal, hogy nem bankot csináltak, hanem
az EU digitálispénz-direktíva
alá eső szolgáltatót. Így bizonyos
megszorítások alá nem esnek be, és van esélyük versenyezni a nagy
bankokkal is.
Nézzük röviden az előnyöket:
megfelel a magyar jogszabályoknak, így például ad magyar bankszámlaszámot,
a cégbíróság elfogadja pénzforgalmi számlának, be is jegyzi automatikusan,
illetve a NAV sem panaszkodik,
megbízható céges (és emberi) háttér van mögötte,
21. századi technológiával dolgoznak nem csak a kirakatban (app), hanem
a cégen belül is (lentebb írok róla),
kedvezményes költségstruktúra (legalábbis 2024-ben ami ismert),
mélyen integrált a szamlazz.hu rendszerével, és képes egy csomó
mindent automatizálni (de ehhez a legmagasabb díjcsomagú
számlázzhu előfizetés szükséges, anélkül csak alapszintű bankkapcsolatot nyújt),
ad bankkártyát is, ha kéred,
leírják, hogy a könyvelő
hogy könyvelje, milyen szabályok szerint,
nem orbán (vagy kiskutyája pénztáros lölö) a tulajdonos.
Mit nem tud, milyen plusz dolgokról érdemes tudni?
Tegyük hozzá, hogy az itt mindig kérdés, hogy szükséged
van-e ezek bármelyikére, mert ha nem, akkor ez csak érdekesség.
csak céges ügyfeleknek elérhető, pontosabban:
egyéni vállalkozók,
egyéni cégek,
betéti társaságok,
közkereseti társaságok,
kft-k, és
részvénytársaságok.
(Ennek az oka, hogy csak ezeket a nyilvántartásokat tudják automatizáltan
elérni.)
a szamlazz.hu alapszintű bankkapcsolaton túli integrációt csak a
legmagasabb díjú csomagjukkal tudja,
nincs hitel vagy betét,
nincs devizaszámla, váltás vagy utalás,
a bankkártya fenntartás drága, nincs (ingyenes) digitális bankkártya,
nincs fizetési kérelem (de lesz),
ha a könyvelőd nem nagyon modern, nem túl nyitott és nem annyira
szeret dolgozni, akkor magyarázni kell neki, hogy miért ilyen fura
ez a kivonat, hogy mindent kétszer tartalmaz mindent kétszer
tartalmaz (azért, mert mindig történik egy „elektronikus pénz
átváltás” és egy „banki művelet”).
Én indulása óta használom, bár kicsi forgalommal, de eddig kifejezetten
jók a tapasztalataim, és merem őket ajánlani.
Mi a bankokkal szemben az…?
Előnyük: Az alacsony díjak, az online jelenlét, a 19. századi helyett 21. századi
technológia, a bottal piszkálás helyett érdemben reagáló ügyfélszolgálat,
és kellemesen kinéző színösszeállítás. :-)
Hátrányuk: szűkebb ügyfélkör, csak alapszolgáltatások,
nincs deviza,
nehezebb reagálniuk arra, amikor véres narancssárga lófejjel ébrednek, ha
sikeres lenne az üzlet.
Mi a Revolut/Wise-zal szemben az…?
Előnyük: magyar cég, a magyar szabályozási környezetbe integráltak,
értenek a magyar jogszabályokhoz és pénzügyi folyamatokhoz, nem esnek
banki szabályozások alá így egy csomó megszorítást az
ügyfeleik megúszhatnak (ejtsd: tranzakciós adó, extraprofit adó).
Hátrányuk: mint a bankok esetében, a lófejet kivéve, mert az
magyar sajátosság.
Ez a 21. századi dolog ilyen nehezen megfogható, írok egy pár konkrét,
első kézből származó példát.
A regisztráció teljesen online, cégekről beszélünk.
Nem kell „befáradni”, és bevinni „30 napnál nem régebbi cég- és
nemibeteggondozó kivonatot”, „ügyvédileg 15 napon belül ellenjegyzett
műzli minőségi tanúsítványt” meg a Sátán tudja még mit.
Konkrétan az azonosítás az új személyi NFC azonosításával történik
NFC mobiltelefonnal, az adatokat pedig online lekérik és ellenőrzik.
Az ügyfelet ezen túl (Know Your Customer; KYC) videós azonosítással
is ellenőrzik.
Az ügyfélszolgálat preventív. A kérdésekre is válaszolnak
és gyorsan, de amikor regisztráltam, bénáztam az NFC-vel (ugye a mobilon
a kínai ROM helyett LineageOS van, emiatt picit oda kell figyelni, hogy
mit engedélyezek), és a második–harmadik próbálkozásomnál csörgött a
teló, hogy látják, hogy bénázok, és tudnak-e segíteni. Ez nagyon
megható volt, mert 1) figyeli valaki, 2) van rá ügymenet, hogy
mit reagáljon, 3) fontos nekik, hogy az ügyfelük legyek. Minden
ügyfeles kérdés után kaptam visszaellenőrzést, hogy mennyire sikerült
hatékonyan kiszolgálniuk.
Természetesen online megkapom a számlákat, kivonatokat, mindent.
Azt hiszed, hogy ez az alapeset? Hagyományos bankszámlád van-e? ;-)
Alkalmazza a legfrisebb jogi és üzleti lehetőségeket, nyilván a
saját üzleti érdekében is, de az ügyfeleket igencsak segítve.
Fontos közlemény: nem vagyok velük semmilyen üzleti kapcsolatban, és
nem kértek meg, hogy ezt megírjam. Pontosabban, mivel régi kedves
ismerős az egyik alapító még régebben megkért, de mondtam, hogy én csak
saját tapasznyalat alapján tudok írni, emiatt nem is írtam róla. De azóta
összejött a tapasztalat.
A másik ok az, hogy 2025-től – nagy valószínűséggel – megszűnik a
bevezető ár, és árat fognak emelni, de a 2024-ben szerződő ügyfelek
elvileg 2025 végéig még élvezhetnek 2024-es díjakkal. Részemről ez
közszolgálat.
Ha új kötésnél jelzitek, hogy nálam olvastatok róla, akkor… pont
semmi nem fog történni. Minden általam küldött új ügyfél után jóváírnak nekem
kezdetben nulla forintot, ami ügyfelenként 1%-al növekszik.
Na de tréfát félretéve: jó, és a számlavezetés ingyenes, és tippelem,
az is fog maradni, mert ez ilyen alapnak tűnik ebben az esetben. De
nem vagyok jó. S.
2025. január 31.-el megszűnik a Wise ingyenessége egy csomó műveletre.
Ez az alaphír. Bár semmi érdekem nem fűződik ahhoz, hogy védjem a Wise-t,
mégis pár dolgot már sokszor leírtam mindenféle vitában, gondoltam, hogy
idemásolgatom inkább, hogy mit érdemes erről elmondani.
minden banki, hitelező, befektetési vagy pénzváltó tevékenység során
átutalás, beszedés, fizetés, postai befizetés, csekk beváltás,
készpénz ki- és befizetés, pénzváltás, kölcsön és hitel, jutalék és
díj, vagy bármilyen számláról kifizetés után.
Tehát ugye valaki dolgozik, ebből levonják a jövedelemadót, a TB-t
meg a többi adót; majd levonják többször a tranzakciós illetéket (a cégtől,
a magánszemélytől utaláskor is meg kivételkor is); ezután már csak
világbajnok áfát kell kifizetni. De hát a megszorítások már csak ilyenek,
akkor is, amikor a köztévében ezt „sikeres gazdasági kiigazításnak”
nevezik (vesd össze: „katonai művelet” és „háború”).
Eredetileg az adó minden tranzakció 0.3%-a, maximum 6000 Ft
volt. Fővezérünk megmondta, hogy ez ideiglenes, éa nagyon alacsony. Szinte
nem is megszorítás, csak amolyan megszorításocska.
De a Kárpátok Második Géniusza
gondolt arra, hogy a populizmus lényege az, hogy „nem az emberek fizetik
hanem a gonosz XYZ”, ezt lehet mindenütt harsogni, és így 2024. év végéig
a kormány „megtiltotta”, hogy a kivetett adót közvetlenül a lakosságra
hárítsák. Így ez nem is történt meg, hanem gyakorlatilag megszűntek a
bankoknál az ingyenes díjcsomagok, illetve minden díj emelkedett,
szóval nem az emberekkel fizettete meg, csak az emberek fizették.
Ennek persze megint az a lényege, hogy „a gonosz bank fizessen”,
mintha a bank bevételei nem az emberek pénzéből jönnének.
2024. decembertől a megszorításocska kicsit jobban megszorításocskázik,
és Viktorunk felemelte azt 0.45%-ra (ez más szavakkal 50%-os
adóemelés), illetve a maximumot 20 000 Ft-ra (ami
csekély, csak mintegy 330%-os adóemelés).
És akkor jön 2025, amikor immár senki nem emlékszik a törvény
bevezetésekori felháborodásra, meg hogy NemAzEmberekFizetikMeg,
így megszűnik az áthárítás tilalma. Őszinte döbbenet minden hithű
fideszes arcán, amikor megtudja, hogy a bankok most pedig kivetik
ezt az állami adót az ügyfelekre. Viktor persze hangosan röhög, mert
egyrészt ez olyan nyilvánvaló volt mint a déli napfény, másrészt
pedig az adó az előző adó miatt megemelt díjcsomagokhoz hozzáadódik,
így az emberek kvázi kétszer fizetik meg a megemelt adót.
Zse-ni-á-lis és unortodox! Egyszerre!
Jó, jó, de Wise…?
Ó igen, elnézést, elkalandoztam!
Szóval a Wise utalás, átvezetés, és minden tranzakció ingyenes volt.
Mivel a Wise része a magyar bankrendszernek
(erről már írtam korábban)
így a kormány rajtuk is behajtja a megemelt adókat, és 2025-től az adókat
már nem köteles a Wise fizetni, nyilván nem hülye, nem is fogja.
Hogy néznek ki a megemelt Wise díjak?
0.45%, és maximum 20000 Ft az utalások és küldések után, 0.9% a készpénzfelvétel után.
Csak összehasonlításképp, mennyit vesz el a kormány a Wise-tól?
0.45%, és maximum 20000 Ft az utalások és küldések után, 0.9% a készpénzfelvétel után.
Hát ennyire gonosz a Wise. Vagy, ennyire gonosz… valaki.
Ja, és még egy érdekesség: „A Wise ezen műveletei a világon mindenütt ingyenesek;
az egyetlen kivétel Magyarország.”
Nem tudom, hányan szoktak „ritkán de akkor aztán kéne” CAD-et
használni. Nekem néha kell, és a klasszikus „autocadszerű” döntésem
általában (Debian Linux alatt) a Freecad.
Na de nem erről akartam írni, hanem egyre inkább megszerettem
speciális feladatokra a SolveSpace nevű fura
jószágot.
Aki ismeri a GeoGebrat az könnyebben el
tudja képzelni (aki nem, a GeoGebra/geometry egy iskolai oktatórendszer,
amivel geometriai szerkesztéseket lehet elvégezni ugyanúgy, mintha
papíron csinálná az ember, csak sokkal pontosabban).
A lényege az, hogy nem pontosan felrajzolom az alakzatot, kiméregetve
a méreteit, hanem felrakom a skiccet, majd elkezdek rá
feltételeket (korlátozásokat, „constraints”) feltenni. Például,
hogy ez az oldal vízszintes, ez a két szakasz 45°-ot zár be egymással,
ez a másik kettő egyforma hosszú (akármennyi is legyen az), és még pár
nagyon egyszerű feltétel. Ő pedig kiszámolja, hogy a
feltételeknek hogyan felel meg a rajz, és úgy alakítja (ha
lehetséges).
Például van egy szoba, aminek a legtöbb fala szokványos, de az egyik
egy 45 fokos falat is tartalmaz, és szerettem volna tudni, hogy mekkorák
a szakaszok úgy, hogy tudom a többi fal méretét, meg a ferde
fal méretét (mivel az egy adott méretű ajtó). Megadom amit tudok, 3 fal,
merőlegesek, a negyedik falban 3 törés (vízszintes, 45°, függőleges, rá
meredek vízszintes), a ferdének a hosszát, és pakk! – kész. És
utána meg tudom mérni a programmal a hiányzó adatokat, a falak méretét,
sőt, az alapterületet is.
Picit szokni kell azt, hogy ha elrontja az ember a feltételeket és a
program nem képes azt kiszámolni (általában igaza van, néha viszont túl
bonyolultra sikerül a dolog, akkor másképp kell megoldani), akkor vissza
kell lépni a jó állapotig és próbálkozni.
Ezen túl a program még millió dolgot tud, ugyanezen az elven: képes
2D rajzokból (valódi) 3D alakzatokat készíteni, és azokkal mindenféle
műveletet végezni (metszés, összeolvasztás, vagy akár a térfogatuk
kiszámítása). Nagyon másképp kell vele haladni mint egy szokványos CAD
eszközzel, de cserébe nagyon érdekes, amikor „kiadja” a végereményt a
megfelelően feltételekkel ellátott adattömeg. (Például meg tudtam nézni
vele az egészen trükkös módon kapcsolódó tetőnk két részének
metszésvonalának a hosszát illetve egy adott síkkal metszés utáni
körvonalát.)
Lehet vele mozgó alkatrészeket is szimulálni (rögzített pontok körül
2D vagy 3D forgatás, egyszerre mozgó pontok, stb.), érdekes dolgokra jó,
mint például megválaszolni a kérdést, hogy „melyik oldalon mekkora hely
kell a harmonika-ajtónak”?
Szokatlan a kezelőfelülete is, de egy idő után egészen logikus.
A Debian-ban megtalálható alapból, de le is tölthető a weblapjáról, ahol a dokumentáció és a
tutorialok is megtalálhatóak. De megy Vindóz®on is, meg aPple gépeken
(ÓSX) is.
(Akit érdekel, ugyanitt lehet olvasni magáról a PS-ról.)
Nagyon röviden a kukikról („sütik”, avagy idegenszívűen: cookie):
cookie:
ezt mindenki ismeri: tetszőleges kis adatcsomag, amit a
böngésző tárol, és a website le tudja kérni, tartalma bármi lehet a
user azonosítótól a teljes userprofilig, és tovább a végtelenbe. Ami
mindig van, az egy név és
egy adattartalom;
de a browser általában
tárol még egy csomó dolgot (attribútum), ilyenek például:
domain: alapértelmezett a küldő pontos hostneve, ekkor csak ő
kérheti le; ha meg van adva, akkor ez lehet hostnév (www.example.hu), a
host domainje (*.example.hu), vagy a host domainje alatti subdomain
(analitycs.example.hu);
path: url-en belüli path (/ugyfelkapu);
lejárat: a cookie érvényessége;
http/https korlátozás (csak itt vagy ott menjen).
host cookie: a domain egyetlen host (nem domainre vonatkozik): csak
az adott host tudja használni;
normal: több host, subdomain is tudja használni az adott domain
alatt (pl: *.example.hu, megy a www.example.hu, ugyfelkapu.example.hu,
avh.example.hu alatt);
3rd party cookie: olyan cookie, ami egy másik domainre
vonatkozik.
Ránézésre ez utóbbi nem lehetséges (a www.example.hu nem tud cookie-t csinálni a
tracker.gov.hu részére), de ha a www.example.hu weblapon van egy mosolygó
bráner
kép a tracker.gov.hu-ról akkor a kép be tud állítani magának
egy saját cookie-t a *.gov.hu-ra, és mivel a lekéréskor kapott egy
Referer fejlécet azt is le tudja tárolni (és beletenni a cookie-ba),
hogy milyen weblapról jött a kérés. Így a végén lesz a user
browserében egy kuki, amit a teljes .gov.hu tud használni, és benne
lesz, hogy ő szuptóber 42.-én a www.example.hu/csinosfiúk_fiúknak/ lapot
olvasta. Amikor belép az ugyfelkapu.gov.hu-ra akkor az nyilván le
tudja olvasni a saját kukiját, és végig tudja nézni, hogy ki a kedves
ügyfél és milyen weblapokat nézegetett. Not nice.
Láthatóan a 3rd party cookie
egyrészt alapvető a domaineken átívelő
nyomkövetéshez (ez tipikusan a profilozáson alapuló, központosított
gigászi reklámcégek és állami elnyomó szervek érdeke; de szükséges
lehet a több domaint használó káoszweblapok esetében is, mint amilyen
a Microsoft® legtöbb szara), másrészt egy privacy rémálom.
Erre rájöttünk már elég régen (RFC2109,
RFC2965)
de még a drámai nyomkövető-business előtt a jóhiszemű
RFC6265
engedélyezte a 3rd party cookie használatot. Egészen a 2000-es évekig, amikor eszkalálódni
kezdett a nyömkövetisizmus.
Ekkor a browserek fokozatosan bevezették a 3rd party cookie tiltást,
ez mára szinte minden browser része. Vajon miért, de a Microsoft®
esetében ez jellemzően ki van kapcsolva (fentebb említett okból), de a
Chrome és a Firefox általában javasolja vagy bekapcsolja. Az, hogy
pontosan mit értenek 3rd party alatt az a gyártótól függ, hiszen ha
nem akar mindent tiltani akkor lavírozni kezd a „mi tartozik bele”
kérdés körül.
Közben sok minden történt (localstorage
a browserben,
XSS [cross-site
vulnerability, amikor az egyik weblap illegálisan adatokat nyer vagy
továbbít egy független weblapra/ról] támadások, leginkább) és lassan
megjelentek a sandboxok, ahol egy adott weblap korlátozott mértékben
tud idegen weblapokkal adatokat cserélni (még az adott browseren
belüli tabok esetében is, illetve ott sem).
A Google ezt (3p-cookie és browser sandbox) szeretné kombinálni
(Privacy Sandbox,
amihez hasonló létezik a Firefoxban is), és azt
tervezték, hogy teljesen tiltják a 3rd party cookie-t 2025-től. Amikor
elkezdték a külső tesztelést rájöttek, hogy ez nekik is nagyon fáj,
nem tudják kikerülni, így visszaléptek a teljes tiltástól. Az a terv,
hogy a userre bízzák, hogy akar-e 3rd party cookie-t, de még ők sem
tudják, hogy hogyan, mert ez szörnyűséges felhasználói élményt
eredményezne (azok a szerencsétlen hibbantak, akik például Microsoft®
Háromszázhatvanöt™ használnak azok a használat során 30-40 ilyen
jóváhagyást vagy elutasítást kellene, hogy tegyenek, mert ennyi
ide-oda 3rd party hivatkozással kerülhetnek szembe), így gondolom erre
próbálnak valami jót kitalálni. Good luck.
A végeredmény a „normál” weblapok szempontjából nem annyira kritikus:
ha csak saját domain alatti kukikat használt, akkor semmi nem történik;
ha 3rd party kukija volt, akkor a userek jelentős része (szinte
mindenki aki Firefoxot használ és a többiek egy része) eddig is
letiltotta azt, most vélhetően még többen nem fogják engedélyezni, és
fokozatosan csökken a domaineken keresztüli nyomkövethetőség cookie-n
megvalósított változata. Mivel a nyomkövetésnek még N+1 megoldása van
(amit a browser készítők egy része aktívan igyekszik megelőzni) így ez
sem hozza el az adatvédelmi kánaánt, de megnehezíti a userek
domaineken átívelő nyomkövethetőségét;
a tisztességes versenyzőknek a megoldás, hogy nem keverik a saját
domainjeiket (cég.hu és cég.com, például magyar weblap akar trackelni
a nemzetközi cég servereire), hanem mindent átmozgatnak a saját
domainjük alá (ugye a domain nem egyenlő a fizikai serverrel).
Normális esetben – szerintem – nincs szükség 3rd party cookie-ra, és azért is
érdemes kerülni mert mint említettem: a browserek jelentős része
alapból tiltja.
