W dniu środa, 14 listopada 2012 17:34:50 UTC-5 użytkownik Przemek O napisał:
> W dniu 2012-11-14 22:41, e...@g...com pisze:
> > W tym przykladzie i tak i tak trzeba wyslac maila, wiec nie bardzo rozumiem,
>
> > co kogo mialoby denerwowac. Poza tym, gdziekolwiek bezpieczenstwo
>
> > ma jakies znaczenie strona ma swoje "privacy policy" i mozna tam
>
> > napisac, ze ma sie userow w doopie - wolno, a uzytkownik moze wybrac
>
> > inna strone, inny bank, albo zaakceptowac fakt, ze choc ukrywa
>
> > sie pod nickiem to jego prawdziwe dane sa dostepne a wyciag z konta moze
>
> > sobie ktos przejrzec. Wolna wola.
>
> Starasz siďż˝ chociaďż˝ zrozumieďż˝ co siďż˝ do Ciebie pisze? Bo mam co do tego
>
> w�tpliwo�ci. Je�li uwa�asz, �e czas oczekiwania na walidacj�
>
> wprowadzonych danych mo�e by� nieokre�lony, a w skrajnych przypadkach
>
> nie b�dzie �adnej informacji o b��dach, to mam nadziej�, �e nie trafie
>
> na Twoje aplikacje.

Zakladasz, ze ktos nie pamietajacy, ze ma tam konto zna haslo. Najczesciej
tak nie jest - wiec, jezeli poda istniejacy mail, to powinien dostac
od razu link "reset hasla". Wiec primo bez maila sie nie obedzie, secundo
fakt, mnie wkurzaja strony, z ktorych mail idzie dluzej niz 5 sek,
czyli trzeba zadbac o jego szybkie dostarczenie. Ja rozumiem co
piszesz, ale trzeba sobie calosc wyobrazic - co ci da info "juz masz konto",
jak w tej sytuacji i tak nie pamietasz hasla? Ja rozumiem, ze mozna miec
swoje preferencje co do zachowania stron i mozesz omijac te strony,
ktore ja akurat lubie (i vice versa) albo i nie. Ale takie szczegoly
jak ergonomia czy bezpieczenstwo nie sa intuicyjne i trzeba zaufac
autorom, jezeli sie ich nie rozumie.

> >> Poza tym poczytaj sobie ustaw� o danych osobowych i p�niej mo�emy
> >> rozmawiaďż˝.
> >> Wymy�lasz problem kt�ry nie istnieje lub jest nieistotny. Pomijaj�c ju�
> >> to, �e g...@...com nie musi by� tym Grzegorzem
> >> Niemirowskim :/

> > Ustawe znam, wiec sorry ale sobie nie pogadamy. Problem prywatnosci
> > istnieje jak najbardziej.

> Tak szczeg�lnie w kontek�cie adresu email, gdzie sama ustawa w jednym
> miejscu twierdzi �e adres jest danymi osobowymi i podlega rejestracji do
> inp.danych osobowych a w innym �e nie jest. A jeszcze p�niej t�umaczy
> �e to zale�y od kontekstu w jakim jest u�yty email. Problem jest z samym
> adresem email, kt�ry mo�e, ale nie _musi_ identyfikowa� jednoznacznie
> osobďż˝, a tylko w takim przypadku podlega on ochronie.
> Chcesz coďż˝ w tym temacie jeszcze dodaďż˝? Bo znaďż˝, nie zawsze znaczy
rozumieďż˝.

Dodam: prawo jest stosowane tak a nie inaczej. Mam nie najlepsze zdanie
o poziomie stosowania prawa.

> > To byl przyklad informacji, ktora ktos moze chciec zatrzymac w tajemnicy.
> > Rozumiem, ze najchetniej wpisalbys do ustawy monitoring w toaletach,
> > ale ja jestem przeciwny (w koncu toaleta to potencjalne miejsce gwaltu,
> > no i kto nie gwalci w toalecie nie ma nic do ukrycia, prawda?)
>
> Za to Ty wola�by� �eby ka�dy przed wyj�ciem zak�ada� torb� na
g�ow� i
>
> zakrywa� tablice rejestracyjne, �eby przypadkiem nie ujawni� swoich
>
> danych osobowych, a nie daj Bo�e je�li sprzedawczyni z warzywniaka by
>
> Ci� rozpozna�a. Od razu proces o naruszenie prywatno�ci.

Fair enough, skrajnosc za skrajnosc.

> >> Inna bajka �e zdobywanie jej za pomoc� sprawdzania emaili
> >> rejestracyjnych na r�nych stronach jest co najmniej nieefektywne.

> > Udowodnij. Problem z brakiem bezpieczenstwa najczesciej sie bierze stad,
>
> Co mam udowadnia�? Trzeba by� debilem �eby obstuka� wszystkie portale
> rejestruj�c jaki� tam adres �eby wyszuka� czy by� mo�e kto� kt�rego

> email by� mo�e wskazuje na dan� osob� jest tam zarejestrowany.

Ludzie robia wiele debilniejszych rzeczy. To raz, a dwa, ze przy tym podejsciu
nie bedzie captcha, nie?

> Je�li kto� jest amatorem to mo�e b�dzie si� tak pr�bowa� bawi�,
> "zawodowiec" ma na to lepsze sposoby

> > ze ktos implementujac nie wpadl na to, ze zostawia dziure, ktora
>
> > sie wykorzystuje ot tak po prostu. Wedlug mnie opinie typu
>
> > "jazda na punkcie bezpieczenstwa czy prywatnosci" sa bardzo szkodliwe,
>
> > bo niektorzy nie rzoumieja o co chodzi, slyszalem nawet kiedys
>
> > zdanie, ze "poprawna implementacja SSLa to jakies skrzywienie
>
> > na punkcie bezpieczenstwa". Czy ty sie dziwisz, ze ktos stworzyl SSLa?
>
> > Bo mi sie przydaje, w formie dzialajacej tak jak byl zaprojektowany.

> SSL ma siďż˝ nijak do adresu email i jego weryfikacji w procesie
>
> rejestracji. Nie por�wnuj prawdziwych problem�w z wyimaginowanymi.

Ja mam na mysli innego rodzaju analogie. Bezpieczenstwo i prywatnosc
prawie nigdy nie opieraja sie na jednym elemencie. Nawet male
drobiazgi moga wplywac na calosc w sposob, ktory bez analizy calosci
jest nie do przewidzenia. To tez oznacza, ze calosc jest istotna,
a male elementy sa tylko trybikami w maszynie, i bez nich moze nie dzialac.
Uzytkownik nie bedzie wiedzial, ktory element jest istotny, jak
i nie bedzie wiedzial tego nikt, kto nie posiedzi nad tym na tyle
dlugo, zeby ogarnac calosc i powiazania. Dotyczy to zarowno systemow
o publicznie znanej konstrukcji, jak i tych okreslanych czasami
jako "security by obscurity" - bezpieczne, bo nikt nie wie jak dzialaja.

> PS. Nie pochodzisz mo�e ze stan�w (albo masz co� z nimi wsp�lnego).
> Podej�cie do bezpiecze�stwa masz podobne.

Jakie ja mam podejscie do bezpieczenstwa wg. Ciebie? Wyobrazamy sobie
rozne stronki a OP nic konkretnie nie powiedzial. Ja wychodze
z zalozenia, ze skoro o to pyta, to, ech, no i jednak widzi potrzebe
i odpowiadanie "no ale po co" bez znajomosci zastosowania do nikad
nie prowadzi. No i na marginesie: ja po prostu nie lubie takiego
olewactwa, pracowalem z roznymi nacjami i Polacy tak maja, ze
"co mi tam ktos bedzie p..l".

--
Edek