WWW ]>Восьмая часть моей серии о KSeF]> Я описал факт, доказанный аудитом, что ворота WAF видят общедоступные данные JSON, которые возвращают API системы. Но почему эти данные могут быть извлечены из зашифрованного XML-счета? Я отвечаю на этот вопрос так, как понимает обыватель.
Представьте себе простое зарегистрированное письмо. Конверт запечатан — по дороге никто не читает письмо. И все же снаружи должен быть отправитель, адресат, город, номер партии. Без этих нескольких разоблачений письмо никуда не дойдет. Курьер видит эти данные не потому, что государство хочет ему что-то раскрыть, а потому, что построить систему доставки невозможно.
С KSeF идентичен, только вместо конверта у нас есть сетевой протокол, а вместо буквенного счета-фактуры. Содержание самого документа может быть зашифровано, подписано, упаковано в последующие слои криптографии. Однако учетная программа пользователя в любом случае должна получить основную информацию: номер счета, идентификаторы сайта, суммы, даты, тип документа. Без этого вы не можете показать список счетов, взимать налог или забронировать операцию. Система без этих данных была бы безопасной, но бесполезной.
Это и есть цель WAF. Это не таинственная прослушка, а охранник, стоящий на пути между пользователем и сервером Минфина. Любой запрос и ответ должны пройти через него, так как любая заинтересованная сторона проходит охрану при входе в офис. Поэтому, если данные необходимы на стороне пользователя программы, они обязательно проходят через контрольно-пропускной пункт. Охранник видит их не потому, что кто-то решил показать его ему, а потому, что он стоит на том месте, через которое проходит всякое общение.
Это не является особенностью KSeF. Так работает современный интернет в целом. Электронный банкинг, магазины, государственное управление, облачные сервисы — везде шифрование заканчивается на уровне защиты, а внутри системы данные становятся читаемыми, потому что их нужно обрабатывать. Вы не можете рассчитывать налог на зашифрованные номера. Вы не можете найти документ, который система не видит.
Поэтому публичный JSON в API 2.0 KSeF является не исключением или дырой, а следствием цели системы. Данные видны для шлюза WAF, потому что они должны быть видны для пользовательского приложения. А так как между одним и другим есть защитный слой, то и она может. Вся эта архитектура не ошибочна — она умна и разумна, это делается по хорошей практике проектирования подобных систем.
Во всем этом есть только одна ошибка: посредник, охранник, который за ним наблюдает, не является системой, принадлежащей оператору KSeF, а является внешним, иностранным, разведывательным субъектом. Это как польские офисы нанимали охранников, чтобы охранять входы в ряды через посредника, который занимается разведкой, и эти охранники были бы его агентами. Вся конструкция входных ворот и вся инфраструктура связаны с этим правильно, хорошо, мудро. Единственным недостатком является то, что за это отвечают агенты иностранной разведки.
Grzegorz GPS Шиверски
]>t.me/CanalBlogeraGPS]>
]>Twitter.com/gps65]>
PS. Часть VIII. Что еще видит Имперва? Больше метаданных: ]>x.com/gps65/status/2023001255132434749]>
Теги: GPS65, финансы, экономика, налоги, бизнес, интеллект
