Szerteszana²

grin agymenései

Eladó a lekvárom?

2024-07-02 15:31 írta grin

Egy helyi fæcesbook csoportban zajló, majd kissé elfajuló vita kapcsán lette ideges attól, hogy a résztvevők egy része semmiféle konstruktivitást nem vitt az értelmetlen beszólásaiba, így most szokásomhoz híven átcsapok konstruktívba.

A kérdés:

Mi kell ahhoz, hogy legálisan árulhassam a saját magam által főzött lekvárt a kapuban (vagy nyilván szervezzem meg online, de helyben árusítással)?

Nos, ennek ugye alapvetően két vonzata van:

  1. Üzleti oldal (adózás, előállítási és kereskedelmi engedélyezés);
  2. Egészségügyi oldal (higiénia, növényvédelem, közegészségügy).

Üzleti oldal

Ahhoz, hogy legálisan magánszemély árusítson a legolcsóbb (és vélhetően legegyszerűbb) mód az őstermelői szám (régebben igazolvány) kiváltása. Ehhez számos forrás nyújt segítséget, de alapvetően ez kell hozzá:

  • NÉBIH FELIR szám: Online igényelhető a NÉBIH lapján. Ennek kiváltása díjmentes. Ez felel meg a régi „őstermelői igazolvány”-nak.
  • NAK regisztráció: az agrárkamarai regisztrációban a területileg illetékes falugazdász tud segíteni. Díjmentes.
  • Kormányhivatal: a helyi járási Élelmiszerlánc-biztonsági és Állategészségügyi Osztálynál kell regisztrálni a kistermelői nyilvántartásba. Ez állítólag az e-papíron történik, de mivel változott, érdemes a falugazdát megkérdezni. Szintén díjmentes. (Hivatkozott jogszabály: 60/2023. AM rend.)
  • NAV: az adóhivatalnak is vannak elvárásai, regisztrálni kell, illetve adószám fog hozzá kelleni. Az őstermelő egy bizonyos mennyiség alatt elég szolidan adózik, de nem akarok adótanácsadót játszani; a NAV lapján olvashatóak az útmutatók.

Az eddig ismert egyetlen költség a NAK kötelező tagsági díja, aminek minimális összege évente változik (nő), 2024-ben évi 6000 forint.

A fenti bejegyzéseket csak azért nem lehet tetszőleges sorrendben csinálni, mert van, hogy az egyik kéri a másik által adott számot, de ez menet közben is kiderül, és mivel online intézhető, sok idő sem megy el vele.

Egészségügyi oldal

Bár itt semmi hivatalos adminsztráció nincsen, de fontos tudni, hogy a hivatalok ellenőrzik a vonatkozó jogszabályok betartását. Ezek közül az alábbiakat érdemes szem előtt tartani:

  • Alapvető higiénia: aki élelmiszerrel foglalkozik, gondoljon mindig a tisztaságra, a kézmosásra, az eszközök és a terület tisztán tartására. A hivatal – főként bejelentés esetén – ellenőrizheti nem csak a terméket, de az előállításhoz használt környezetet is. Van, akinek alap, de nem árt mondani.
  • Növényvédőszerek: friss gyümölcsnél is és feldolgozásnál is lényeges, hogy egyrészt csak olyan szer használható, ami a megfelelő kategóriába esik (1. kat), másrészt azt el kell távolítani, mielőtt… bármi történik. Aki regisztrál, annál (jellemzően panasz esetén) nem csak az adott termékre, hanem általában is ellenőrzik, hogy betartják-e a növényvédőszerekre vonatkozó szabályokat, például használt-e gyomirtót (nem jó ötlet); javasolt permetezés esetén jegyzetet vezetni arról, hogy mikor, mivel, hogyan; ez nem kötelező, de jól jöhet, ha kérdezik.
  • Házi méretű esetekben (200 kg/hét alatt) nem kell engedély, HACCP, stb., „csak” normális körülményeket kell biztosítani.

Ennyi.

Alapvetően ennyi. Ha az őstermelői engedély megvan, kicsengetted a hatezret a kamarának a semmiért, akkor nyugta ellenében (nyugtatömb: 500 Ft) árulhatod a saját gyümölcsödet vagy lekvárodat a kapuban, adott mennyiség alatt nem kell iparűzési adót fizetni, az SZJA vonzata is kedvező, és plusz járulékok is csak akkor vannak, ha azt más munkaadó (vagy hivatal) nem fizeti amúgy.

Ez nem vonatkozik a nagyobb mennyiségekre, nem vonatkozik arra, ha az árut nem helyben árulod, vagy piacra viszed. Az már másik kategória, annak nézz utána te magad.

És természetesen ez nem életszerű; vélhetően a legtöbb kapualjban árusító nagymama nem fog őstermelői számot kikérni és nyugtát sem hiszem, hogy ad. Mindegyik hivatalban somolyogva válaszoltak, amikor elmondtam a konkrét esetet, és sugallták, hogy nem mindennapos a kérdésem. Talán nem véletlenül.

Felhívott a Nagyfőnök, hogy utaljak egybilliárd forintot a Kajmán-szigetekre

2024-05-14 15:52 írta grin

Egy telefonbeszélgetés története

Egy amerikai közepes méretű cég könyvelőjének késő este csörgött a telefonja, az ügyvezető telefonszáma látszott.

Felvette, és az ügyvezető hívta, és azt mondta, hogy nagyon sürgős és fontos utalást kellene azonnal elindítania, írja le az adatokat, és intézze el. Lediktálta a számlaszámot, a nevet és hogy másfél millió dollárról lenne szó, ami a cégnél ritka, de nem példa nélküli utalás volt. A rövid beszélgetés végén (hiszen a könyvelő nem nagyon mert kérdezgetni a Nagyfőnöktől) a könyvelő elintézte és elindította az utalást.

Másnap délelőtt csörgött a telefonja. A könyvelés kérdezte, hogy mi ez az utalás? A könyvelő mondta, hogy a Főnök kérése, de a részleteket ő sem tudja. Nem tudja, hogy van-e számla, de biztos lesz.

Kicsit később csörgött ismét a telefonja, és a cégvezető titkársága kérte, hogy menjen be hozzá.

Nagyon kínos beszélgetés következett. A cégvezető nem kérte semmire, a könyvelő mutatta a hívást, a cégvezető pedig mutatta a telefonját, hogy arról senkit nem hívott egész este. A könyvelő állította, hogy a cégvezetővel beszélt, hiszen megismeri a hangját!

A pénzt egy offshore bank kapta meg, a címzett ismeretlen, a pénzt már átutalták máshova. A rendőrség széttárta a kezét.


Csodálatos dolog az AI technológia! Nem csak a kisdiákok házi feladatát lehet vele megcsinálni (hogy aztán a kisdiák semmit ne tanuljon belőle) de olyat is tud, hogy rövid hangmintából előre megírt szöveget kimondó az eredetitől nehezen megkülönböztethető hangot állítson elő. Sőt, olyan technológia is létezik, ami ugyanezt mozgóképpel kombinálja: elég egy pár kép az illető személytől, elég pár hangminta, és készen áll a videó (akár videochat), amin látszólag a személy azt mondja, amit a készítője a szájába adott. (Még ott nem tartunk, hogy beszélgetni lehessen vele, így megfelelően kell a szövegeket előállítani, hogy bármilyen reakcióra megfelelőek legyenek, pl. „ne kérdezgessen annyit, szalad az idő” vagy „intézze el és holnap odaadom a számlát hozzá, most el kell rohannom”).

A telefonszámok hamisíthatóságát az elmúlt fél évben sokan „élvezhették”, amikor akár „ismerőseik számáról” kaptak adathalász üzeneteket, sms-eket. Mindez együtt egy új, feltörekvő bűnözői magatartást hozott létre: a megszemélyesítéssel segített csalásokét.

Mit lehet ellene tenni?

  1. A hamisított telefonszám nem tud hívást fogadni, a hamisított email nem tud emailt fogadni. A beszélgetés után hívjuk fel azt, akiről szó van és ellenőrizzük, hogy tényleg ő volt-e az, aki például thai szűzlányokat ajánlott fel megvételre SMS-ben, vagy kölcsönt kért a beteg kutyája sürgős Ausztráliába szállításához.
  2. Ha az ügyviteli út nem teszi lehetővé, hogy egy átvert személy egyedül, akaratlanul kárt tudjon okozni, mert a folyamatokba be van építve a kötelező ellenőrzés (akár 2 faktoros azonosítás, akár több személy általi ellenőrzés) akkor az átverés nem tudja elérni a célját. Kifejezetten fontos ez akkor, amikor a főnök-beosztott viszony miatt a dolgozónak nincs sok lehetősége tiltakozni: ha többes az ellenőrzés, akkor automatikusan és kötelezően megtörténik, és nem kell miatta senkinek sem személyes konfliktust felvállalnia az Atyaúristennel.
  3. A furcsa vagy szokatlan kéréseket mindig ellenőrizzük más úton vagy módon, esetleg egy másik kolléga segítségével! Úgyis ritkák, belefér! Semmit nem csinálunk ellenőrzés nélkül, akkor sem, ha azt egy „fontos ember” kéri. Mindenki tévedhet (jelen sorok írója is): segítsük a vezetőket is abban, hogy minden rendben menjen. A dupla ellenőrzés életet menthet.

És mindig gyanakodjunk a világra, mert sajnos veszélyes üzem.


Egy kapcsolódó blogbejegyzés a digitális környezetben levő partnerek ellenőrzéséről szól.

Firefox, Google Drive vs. NS_ERROR_INTERCEPTION_FAILED

2024-04-04 12:53 írta grin

This is a geeky English entry. Kind of making notes for everyone.

Problem space

The original problem is that Google Drive in Firefox (almost irrelevant which version but this one's Nightly) cannot load "Details" and "Activity" sidebar content, instead I get "Couldn't load details. Try again." instead of the content.

The problem seems deterministic usually, so it does not load whether you sacrifice a black rooster on full moon, dancing naked in the middle of the enchanted forest or not; however it may happen that it just loads, once, or a few times, then it's gone again.

When I have tried to connect it to addons it resulted nothing: yes, it is related to the fact that my Firefox is packed with antispam extensions but no, it is not caused by "any" of those, at least I can open a new session, activate all extensions and the side panel would work just fine.

Now that I'm closer to the secret I should probably start removing them in reverse order to actually pinpoint it to one or a few but… the real problem seems to be something else.

Looking for hints

I'll not detail you my search, but the result was that the problem is not present

  • in anonymouse mode
  • without extensions
  • in other browser (namely chromium, but it uses a different class of extensions anyway)
  • in a completely new browser session with the same set of extensions!

The last made it very confusing. So I started looking around and found that maybe it is related to the NS_ERROR_INTERCEPTION_FAILED error in the Firefox console. This is a very useful error message if the purpose is to maximise confusion and minimise any chance to fix any problems, since the error message means that there was an unspecified problem with an unspecified part of an unspecified extension (or maybe even Firefox core) when it have tried to intercept (hook) the page loading. Awfully helpful (awhelpful? helpawful?).

So I started to google it (look, ma, it's a verb now!), and found almost nothing. But one page was kind of suspicious, namely an error report for the venerated NoScript from 2022, which described a pretty convoluted problem they have fixed there:

Fetch requests initiated by service workers (such as those used by Spotify to cache album covers locally) were not reported in the UI: it's something quite tricky, because service workers have no associated tab, hence NoScript would need to keep track of all the tab containing documents which may be using the service worker and report back to all of them. Therefore you could not notice that scdn.com (set to DEFAULT because you use the full address UI listing and surgically enabled only https://open.scdn.co) was the destination of fetch requests to retrieve images, which were blocked because you unchecked the "fetch" capability from the DEFAULT preset.

So, hmm. Giorgio Maone (PBUH) said that they had a problem with service workers not being able to follow stuff scattered throughout plenty of tabs? So, let me see, what happens if I simply create a clean session in the same configured firefox (I am using Conex so I can create session groups) and open Drive from there?

Yep, damn, it worked. It seems to work.

Solution or workaround

While I don't have time to research this now further I can say that the fix is simple: do not open multiple tabs for the same site (Google Drive) in the same session (where the service workers are shared, I presume), and it will work, no "Couldn't load details. Try again." anymore. Probably this could be caused and fixed by fiddling with the specific settings of various spam blocker extensions (my guess would be uMatrix and uBlock Origin but there are other strong contenders), but right now I'm okay with opening a separate session for Drive and let it rest. And how I wish the error message would be more specific, at least point to the extension (or hook) which fails, or even better tell me about the specific error how what is failing.

Hope it helps. Someone. Index this, Google, thxbye.

Ellenőrizd azt, hogy kivel beszélgetsz

2024-03-08 18:04 írta grin

Megint informatikáról és biztonságról szeretnék neked mesélni.

Az egész arról jutott eszembe, hogy jött egy hír, hogy az AI-hamisított (deep fake) videók miket mutogatnak, meg az AI hamisított képek, üzenetek, akármik. A probléma, hogy amikor egy híres ember kér tőled valamit egy vidóban, vagy hallod a hangját, akkor lehet, hogy az valójában nem is ő. Erről az egészről meg az ugrott be, hogy mesélnem kellene egy méltatlanul hanyagolt, sőt, gyakran legyintéssel elhessegetett biztonsági módszerről, méghozzá a másik fél azonosításáról.

Elöljáróban: azt talán tudod te is, hogy vannak azok a rendszerek, amik titkosítanak, vagyis megoldják azt, hogy az üzeneteidet (írásodat, képeidet, hangodat vagy videótartalmadat) idegenek ne tudják megnézni, megismerni. Ez a rész viszont nem segít abban, hogy mi van, ha a másik oldal mégsem az, akinek állítja magát?

A digitális aláírások ismerősek lehetnek. Ez a valóságban úgy működik, hogy annak, aki aláír van egy titkos számosorozata (ez lehet sok minden, nem lényeges, hogy épp egy jelszó vagy egy hosszú krixkrax-sorozat egy file-ban), a számítógép pedig fogja az aláírandó szöveget (hangot, videót, akármit), kiszámít belőle egy olyan mintát, ami csak arra a file-ra igaz (ha bárki megváltoztatja, a minta nem fog stimmelni), és utána ebből a mintából meg a titkos számsorozatból csinál egy olyan számsorozatot, amit csak a titkot ismerő ember képes előállítani és csak az adott file-ra igaz: ez a digitális aláírás. Egyrészt „nem lehet” (pongyolán fogalmazok, elnézést a kriptográfusoktól) hamisítani, mert nem ismeri senki más a titkos számokat, másrészt „nem lehet” észrevétlenül megváltoztatni sem a file-t, mert akkor nem fog stimmelni a minta, és a mintát sem lehet hamisítani mert ahhoz is a titkos számok kellenének. Ha még egy időpont is része a mintának, akkor azt sem lehet hamisítani, hogy mikor készült az aláírás.

Pár szó az end-to-end titkosításról, vagyis arról, amikor két pont között titkosítjuk a forgalmat és így az üzeneteket továbbító rendszerek sem képesek azt elolvasni/megismerni vagy megváltoztatni. Ez jelenleg a legnagyobb biztonságot adó hozzáállás, nem is szeretik az uralkodó politikusok és erőszak-szervezeteik. Azt fontos megjegyezni hogy ez csak arra vonatkozik, hogy a továbbítás közben az üzenetek nem megismerhetőek de semmit nem tud arról mondani, hogy a két végén megbízható rendszer van-e (vagyis jellemző módon nincs-e a mobiltelefonon állami kémprogram vagy illegális megfigyelés); ha az üzenetet már megismerik, mielőtt titkosítaná a program akkor… annyi volt, mindegy, milyen biztonságos az eljárás. Mivel ez ellen semmilyen továbbítási titkosítás nem véd, most ne erről beszélgessünk.

Azt már kevesebben tudják, hogy a legtöbb valódi titkosítást és biztonságot biztosító rendszer (tipikusan end-to-end titkosítással) a digitális aláírásokhoz hasonló ellenőrzési lehetőséget kínál. Ennek a lényege az, hogy amikor csatlakozol valakihez az első alkalommal akkor kapsz egy a partneredre jellemző titkos mintát, ami teljesen egyedi módon azonosítja őt. Ebből azt nem tudod, hogy ő kicsoda, de azt igen, hogy ha üzenetet kapsz a jövőben ezzel a mintával (ami vagy az üzenetet, vagy az üzenetet továbbító csatornát, csoportot, chatret azonosítja) akkor azt „ez az eszköz” vagy „ez az ember” küldte.

Ezt az alapszintű biztonságot nyújtja például a WhatsApp vagy a Signal azon értesítése, hogy „megváltozott a partnered azonosítója”. Ez azt jelenti, hogy bár a partner ugyanazon a néven látszik, de az üzenet nem arról az eszközről érkezett, amiről előtte! A biztonságtudatos ember ilyenkor egy másik csatornán (például élőben vagy telefonon) rákérdez, hogy „te cseréltél-e telefont, vagy nem”, és ha nem, akkor valaki hallgatózik.

Azonban ennél ezek a rendszerek sokkal többet is kínálnak! Vagyük példának a Signalt (ami jelenleg az egyik legbiztonságosabbnak tekintett, független kommunikációs platform). Itt például minden beszélgetésnél ha rábök az ember a beszélgetés fejlécére (vagy bemegy a PöttyPöttyPötty»Chat settings alá) van egy „View safety number” menü, ami mutat egy hosszú betű-szám sorozatot és egy QR kódot könnyítésnek. Ez a szám és kód azonosítja a beszélgetést, és a csatorna mindkét végén ugyanaz. Ha tehát odamész az ismerősödhöz és mindketten belementek a beszélgetésetekbe, akkor mindketten ugyanazt a számot kell, hogy lássátok (és ebben segít a program is a QR kóddal, amivel gyorsan lehet ellenőrizni). Ha nem ugyanazt látjátok akkor nem egymással beszéltek, hanem valaki mással, aki hallgatózik és közvetít köztetek! Ha pedig stimmel a kód, meg lehet jegyeztetni a programmal! Ez a legjobb módszer, mivel innentől bármikor megváltozik, a program azonnal nagyon hangosan tiltakozni fog, hogy sérült a kapcsolat biztonsága! És akkor is, ha semmi titkosat vagy szörnyűt nem beszélget az ember jobb, ha azzal beszél, akivel gondolja, hogy beszél, és nem valaki mással.

Ehhez hasonló rendszert használ a WhatsApp is, hasonló kódokkal (ugyanaz az alapja a rendszernek, mint a Signalnál). Egy másik, hasonló azonosítási módszer a Matrix hálózaté, ahol bárkire rábökve van egy „Verify” (ellenőrzés) menü, amit kiválasztva és az ellenőrzést elindítva mindkét oldal kap egy csomó emojit. Ez – mint az előző esetekben – mindkét oldalon egyezik, és így az ember például felhívja az ismerősét és beolvassa, hogy „kacsa, fagyi, mikulás, hal, államkasszával a zsebében offshore bank felé yachtozó lölö, kapa, kasza”, a másik pedig ha ugyanezt látja akkor mindenki örül, és leokézza. Innentől ezek az ismerősök kapnak egy zöld pipát, mindenki más meg vörös felkiáltójelet, ráadásul ez a rendszer képes kezelni azt, ha az illetőnek több eszköze is van, és egyenként is lehet őket ellenőrizni vagy éppen nem megbízhatónak jelölni és törölni az ellenőrzését.

Sok ember ezt nem veszi komolyan, hiszen semmi titkosról nem beszél az ismerősével, minek kellene őt ellenőriznie? Nos, például azért, hogy ne kerülj olyan helyzetbe, hogy az „ismerősöd” nagy bajban van és segítséget kér, hogy mondjuk utalj pénzt egy számlaszámra, és utána derül csak ki hogy ő nem tud az egészről semmit. Ebben a helyzetben jó az, ha a program figyelmeztet, hogy az üzenet ugyan látszólag az ismerőstől jön, de azt valójában nem ő küldte. Ugyanezt az ellenőrzést megkapjuk például a Signal esetében hang- és videohívásnál is.

Érdemes megemlíteni a webes tanúsítványokat is, ha már digitális aláírásokkal kezdtem: a weblapok (és internetes szolgáltatások) gyakran használnak olyan digitális aláírásokat, amit egy tanúsító szervezet valamilyen módon ellenőrzött. Ez akkor fontos, ha nem tudjuk ellenőrizni az adott helyet üzemeltetőt egyenként, de cserébe (valamennyire) megbízunk a szervezetben, aki ezt az ellenőrzést helyettünk elvégezte. Ez lehet simán annyi, hogy ellenőrizték, hogy az üzemeltető valóban hozzáfér az adott weblaphoz vagy géphez, de lehet teljes ellenőrzés is, ahol bekérték a cégpapírokat, beszéltek a vezetőkkel és kértek egy hivatalosan aláírt szerződést (ezek a kiterjesztett biztonságú [Extended Verification; EV] tanúsítványok, amiket a böngészők általában teljes zöld háttérrel mutatnak). Ezekre is fontos odafigyelni, illetve meg is lehet általában a böngészőkben nézni (kis lakat vagy pajzs ikonra kattintva) hogy kinek a nevére adták ki pontosan a tanúsítványt. Törött/piros/kinyitott lakattal rendelkező oldalnak még a napszaknak megfelelő köszönést is csak előzetes meggondolás után küldjük el, amit mond, az meg annyira megbízható mint a kormány ígéretei amit az utcán egy rosszarcú ismeretlen állít.

Szóval, összefoglalásképp azt akartam mondani, hogy ha lehet, használj olyan kommunikációs csatornákat amik biztonságosak; ellenőrizd az ismerőseidet akkor, amikot felveszed őket először és hogy érdemes azokat, akik fontosak (közeli ismerősök) leellenőrizni akár csak egy sima telefonhívással és a kód egyeztetésével. Mert számíthat. Ha ezt mindenki megtenné, kicsit jobb lenne a világ.

Reagan, Brezsnyev és Kádár utaznak a repülőn

2024-03-05 10:01 írta grin

Reagan, Brezsnyev és Kádár utaznak világ körüli úton a repülőn, mikor egyszer csak Reagan gondol egyet, kinyitja a kis ablakot és kidugja a kezét. A többiek döbbenten nézik, ő meg vigyorogva azt mondja:

– Na, itt repülünk épp Amerika felett!

– Na mondd már, honnan tudod?

– Hát, a kezembe nyomtak egy mikrochipet!

A másik kettő hosszú arccal magába néz. Nem telik bele pár perc, Brezsnyev elvtárs is odagurul az ablakhoz, és kezét kidugva közli:

– Most pedig pont itt vagyunk a Szovjetunió felett!

A másik kettő hangosan tiltakozik:

– Honnan gondolod, hogy épp ott lennénk?

– Hát onnan, hogy egy üveg vodkát nyomtak a markomba!

Csend. Kádár elvtárs gondolkozik, gondolkozik, majd felragyog az arca, odamegy ő is, és kidugja a kezét.

– Na de most pedig itt repülünk szép hazám, Magyarország felett.

Na erre már kitör a botrány:

– Honnan tudnád, János bátyám, hát a te országod olyan piciny, miből gondolod, hogy pont ott lennénk?

– Honnan, honnan... hát nyilvánvaló, mert ellopták a karórám.

Szerteszana²

Szerteszana²

grin agymenései