-
1. Data: 2002-11-30 20:52:29
Temat: (in)security polskich portali
Od: Maciek Uhlig <m...@u...edu.pl>
Bedac zarejestrowanym uzytkownikiem jednego z polskich portali, korzystalem
wczoraj z jego uslug. W pewnym momencie zobaczylem w formularzu na ekranie
dosc szczegolowe dane osobowe innego uzytkownika. Juz nie pisze o tym, ze
mimo kilkukrotnego wylogowywania sie z w/w portalu nadal bylem w nim
zalogowany.
Napisalem na adres obslugi technicznej tego portalu priorytetowy list
nastepujacej tresci:
"W zwiazku z zagrozeniem bezpieczenstwa danych osobowych na serwerze [...]
prosze o pilny kontakt osobe odpowiedzialna za security portalu."
Minelo 12 godzin. Jak dotad nikt sie nie zglosil, aby poznac szczegoly. Sam
nie wiem, czy mnie to dziwi, czy tez nie. Wiem jednak jedno: juz nie chce
byc uzytkownikiem tego portalu.
Czekam na komentarze: jak uwazacie, czy wszystkie polskie portale stoja tak
marnie z security i obsluga techniczna?
PS. nie podaje o jaki portal chodzi, bo jestem ciekaw, jak sprawa bedzie sie
rozwijac ;-)
Maciek
-
2. Data: 2002-11-30 21:59:13
Temat: Re: (in)security polskich portali
Od: Wojciech Skrzypinski <u...@h...pl>
Maciek Uhlig <m...@u...edu.pl> wrote in
news:Xns92D579DC7922muhligusedupl@155.158.102.7:
/ciach.../
> Czekam na komentarze: jak uwazacie, czy wszystkie polskie portale
> stoja tak marnie z security i obsluga techniczna?
A moze zglosisz sie do tamtego uzytkownika i jakis procesik albo cos ? :-)
W.
-
3. Data: 2002-12-01 08:41:19
Temat: Re: (in)security polskich portali
Od: Lukasz Trabinski <l...@l...wsisiz.edu.pl>
Maciek Uhlig <m...@u...edu.pl> wrote:
>
> Czekam na komentarze: jak uwazacie, czy wszystkie polskie portale stoja tak
> marnie z security i obsluga techniczna?
>
> PS. nie podaje o jaki portal chodzi, bo jestem ciekaw, jak sprawa bedzie sie
> rozwijac ;-)
Pewnie ktoś coś sportalił :)
Zresztą coś podobnego już było:
http://www.pm.waw.pl/~jslupski/interia/
--
*[ Łukasz Trąbiński ]*
SysAdmin @wsisiz.edu.pl
-
4. Data: 2002-12-01 08:42:05
Temat: Re: (in)security polskich portali
Od: "Tomasz Nowak" <t...@n...netventure.pl>
Maciek Uhlig <m...@u...edu.pl> wrote:
>
>
> Minelo 12 godzin. Jak dotad nikt sie nie zglosil, aby poznac
szczegoly.
> Sam nie wiem, czy mnie to dziwi, czy tez nie.
Jezeli tym portalem jest Onet, to mnie to wcale nie dziwi.
> PS. nie podaje o jaki portal chodzi, bo jestem ciekaw, jak sprawa
> bedzie sie rozwijac ;-)
Ale potem podaj, ku przestrodze.
--
Tomek
-
5. Data: 2002-12-04 13:36:23
Temat: Re: (in)security polskich portali
Od: Obcy <o...@w...pl>
On Sat, 30 Nov 2002 20:52:29 +0000 (UTC), Maciek Uhlig
<m...@u...edu.pl> wrote:
>Bedac zarejestrowanym uzytkownikiem jednego z polskich portali, korzystalem
>wczoraj z jego uslug. W pewnym momencie zobaczylem w formularzu na ekranie
>dosc szczegolowe dane osobowe innego uzytkownika.
A jakiez to szczegolowe dane Wielce Szanowny Kolega zobaczyl.
Typowe urzedowe dane czyli dane niezbedne i narzucone polskim
prawem - imie i nazwisko, adres, numer dowodu osobistego ,
numer Pesel itp. identyfikatory wymagane prawem i nadawane urzedowo
z mocy tego prawa.
Ja tez wpisywalem takie dane miedzy innymi przy zakladaniu kont
e-mail i wiem co tam sie wpisuje,
To sa dane urzedowe ktore musimy podawac na kazde zadanie i nie
sa one chronionymi danymi osobowymi.
Chronione dane osobowe to cos zupelnie innego.
Danymi chronionymi moze byc to ze zona zwraca sie do nas 'pieseczku'
a my do zony 'ty stara krowo' - ich podawanie nikt od nas nie wymaga.
W blokach znikly spisy lokatorow, znikly wpisy w tabliczkach
przy domofonach - wkrotce znikna nazwy ulic, ksiazki telefoniczne
a powszechna praktyka bedzie odmowa podawania imienia i nazwiska i
okazania dowodu tozsamosci policjantowi w czasie kontroli drogowej.
Tubylcy beda ukrywali swoje wyksztalcenie, zawod i muner rejestracyjny
swojego samochodu itd. itp. I dopiero bedzie wesolo.
Wzywalem raz karetke do faceta ktory lezal na schodach w mojej
klatce - odmowiono przyjazdu. Gdy zazadalem podanie nazwiska
rozmowcy z pogotowia to odmowiono mi powolujac sie na ... ochrone
danych osobowych.
Tubylcy zawsze mieli sklonosc do zbiorowego obledu i nie nalezy sie
tym przejmowac bo to nieuleczalne.
Kazdy Tubylec moze wejsc do sadu gospodarczego i bez tlumaczenia
sie przegladac dane zarejestrowanych tam firm w tym "dosc
szczegolowych danych osobowych" wlascicieli tych firm.
Warto pomyslec dlaczego tak stanowi (przedwojenne) prawo ?
-
6. Data: 2002-12-04 18:11:52
Temat: Re: (in)security polskich portali
Od: m...@m...eu.org
In article <2...@4...com>, Obcy wrote:
> Typowe urzedowe dane czyli dane niezbedne i narzucone polskim
> prawem - imie i nazwisko, adres, numer dowodu osobistego ,
> numer Pesel itp. identyfikatory wymagane prawem i nadawane urzedowo
> z mocy tego prawa.
[...]
> To sa dane urzedowe ktore musimy podawac na kazde zadanie i nie
> sa one chronionymi danymi osobowymi.
A nie przypadkiem na kazde zadanie osob upowaznionych?
A adres email jest chroniona dana osobowa?
> W blokach znikly spisy lokatorow, znikly wpisy w tabliczkach
> przy domofonach - wkrotce znikna nazwy ulic, ksiazki telefoniczne
> a powszechna praktyka bedzie odmowa podawania imienia i nazwiska i
> okazania dowodu tozsamosci policjantowi w czasie kontroli drogowej.
A policjant nie jest osoba upowazniona? To on ma strzec prawa, a jako taki
ma dostep do informacji zastrzezonej dla innych ludzi.
> Wzywalem raz karetke do faceta ktory lezal na schodach w mojej
> klatce - odmowiono przyjazdu. Gdy zazadalem podanie nazwiska
> rozmowcy z pogotowia to odmowiono mi powolujac sie na ... ochrone
> danych osobowych.
To prosisz o inne dane pozwalajace go jednoznacznie zidentyfikowac podczas
pisania skargi, np numer sluzbowy, jesli cos takiego maja.
> Kazdy Tubylec moze wejsc do sadu gospodarczego i bez tlumaczenia
> sie przegladac dane zarejestrowanych tam firm w tym "dosc
> szczegolowych danych osobowych" wlascicieli tych firm.
Osoba prowadzaca firme ma byc godna zaufania. Aby kazdy chcacy robic
interesy z ta firma oraz osoba ja prowadzaca mogl uniknac naduzyc musi moc
wiedziec z kim na prawde te interesy robi. Jesli nie chcesz podawac swoich
danych osobowych robiac interesy, to znaczy ze cos ukrywasz.
Uczulam na odroznienie osoby upowaznionej do wylegitymowania Obywatela, od
kazdej innej osoby. Jesli np kupujesz imienny bilet okresowy w komunikacji
zbiorowej, to podajesz te dane. Jesli nie chcesz podac danych, to nie musisz
tego robic, albo kupujesz bilet na okaziciela, albo nie korzystasz z uslug
tej firmy przewozowej.
Podobnie dostarczajac uslugi Internetowe podajesz swoje dane chociazby
przy wypelnianiu wniosku o adresy IP. Potem mozesz, ale nie musisz wymagac
od klientow podawania swoich danych Tobie. Jesli tego od nich nie wymagasz,
to Ty jestes jedyna osoba, ktora mozna pociagnac do odpowiedzialnosci
w przypadku naduzyc. Jesli znasz dane osobowe swoich uzytkownikow, to mozesz
oczyscic _siebie_ (jako administratora maszyny/puli adresow) z takowych
zarzutow, wskazujac na osoby faktycznie winne. Jesli jednak juz bierzesz
dane osobowe od uzytkownikow, to jestes ustawowo(*) zobowiazany zapewnic im
ochrone, aby osoby zupelnie niezwiazane z Twoimi klientami nie weszly w ich
posiadanie.
(*) - chyba, ze zaznaczysz, ze mozesz je rozdac, sprzedac itp i klienci sie
na to zgodza.
Pozdrawiam
Adam
do góry
Freelancer: jak pracuje, ile zarabia, skąd ma zlecenia?
