W dniu środa, 14 listopada 2012 12:14:38 UTC-5 użytkownik Grzegorz Niemirowski
napisał:
> e...@g...com <e...@g...com> napisał(a):
> > Po kazdej odpowiedzi typu "a po co" musialem na nowo wciagac spadniete
> > kalesony... ;) Widac ze podejscie do elementarnego bezpieczenstwa jest
> > jakie jest, czego skutki sa takie jak w tym poprzednim watku o uzyciu
> > SSLa.
>
> Ale to nie jest żadne elementarne bezpieczeństwo, tylko zaciemnianie na
> siłę, które czasami może trochę coś atakującemu lekko utrudnić.

Inaczej: mowiac "lekko utrudnic" odnosisz sie do wymyslonego przez siebie
modelu ataku, ktory co najwyzej jest jednym z mozliwych. Istnieja tez
inne modele, takie jak "chce sprawdzic czy Edek faktycznie jest cyklista i
masonem", lub "wlamalem sie do poczty pana X i sprawdze, gdzie sie
moge zalogowac", lub mase innych.

Z innej zupelnie strony, nawet w Polsce mamy ustawe o ochronie danych osobowych,
giodo itp., dyrektywy unijne etc., ktorych celem jest uszanowanie prywatnosci
osob w sieci, gdy te osoby chca takowa prywatnosc zachowac. Robiac strone,
na ktorej osoby nie sa wymienione z imienia i nazwiska a mozna sprawdzic
znajac email, czy dana osoba jest zarejestrowana nie szanuje sie prywatnosci
uzytkownikow strony. Jednym z glownych powodow, dla ktorych ochrona danych
osobowych u nas kuleje, dla ktorych sa kradzione pieniadze z kont bankowych jest
wlasnie takie nonszalanckie podejscie do bezpieczenstwa. A, bo to tylko
moze "lekko utrudnic", co mi tam ktos bedzie p...l, niech sobie antyvira
zainstaluja i maja nie marudzic. A kazda udostepniona niepotrzebnie informacja
w najlepszym razie niewiele zmienia, w gorszych zwieksza narazenie na ryzyko - nie
znajac wszystkich modeli ataku trzeba zalozyc to drugie.

Regula jest taka, ze udostepnia sie tyle co potrzeba i nic wiecej, bo kazda
dodatkowa informacja zmniejsza bezpieczenstwo. Jedynie czesc zabezpieczen
zaklada publicznosc czesci informacji, ale to jest chyba za trudny temat. Wiec
jak mozna przy rejestracji nie pisac "email jest zajety" to sie tego nie robi,
to prawie nic nie kosztuje.

--
Edek

do góry

W dniu środa, 14 listopada 2012 13:43:45 UTC-5 użytkownik Przemek O napisał:
> W dniu 2012-11-14 19:08, e...@g...com pisze:
>
> > W dniu środa, 14 listopada 2012 12:14:38 UTC-5 użytkownik Grzegorz Niemirowski
napisał:
> >> e...@g...com<e...@g...com> napisał(a):
> >>> Po kazdej odpowiedzi typu "a po co" musialem na nowo wciagac spadniete
> >>> kalesony... ;) Widac ze podejscie do elementarnego bezpieczenstwa jest
> >>> jakie jest, czego skutki sa takie jak w tym poprzednim watku o uzyciu
> >>> SSLa.

> >> Ale to nie jest żadne elementarne bezpieczeństwo, tylko zaciemnianie na
> >> siłę, które czasami może trochę coś atakującemu lekko utrudnić.

> > Dostepne dla kazdego sprawdzenie, czy g...@...com jest
> > zarejestrowany jest w rejestrze strony chorzynahiv.pl byloby fajne?
> > Co chcialbys "lekko utrudniac"?

> I co w tym niefajnego? Równie dobrze można przyjąć że jest niefajnie że
> można sprawdzić w rejestrach DG czy ktoś ma działalność czy nie. I to
> jest dostępne dla każdego. O ewentualnych konsekwencjach nie muszę mówić.

W DG tak jest "by design", tak ma byc. Odroznijmy decyzje od "jestem mastaha
i nie chce mi sie tego implementowac".

--
Edek

do góry

On 2012-11-14 11:04, Roman W wrote:
> W dniu środa, 14 listopada 2012 05:17:43 UTC użytkownik Karol Y napisał:
>> Witam,
>>
>> Sporo serwisów społecznościowych pozwala na kontrolę prywatności przez
>> swoich użytkowników. I tak mogą oni np. wyłączyć z profilu publicznego,
>> widzialność e-maila.
>>
>> Ale ten sam e-mail, gdy wpiszemy podczas rejestracji, jest pokazany jako
>> już zajęty i trach! Jeżeli znamy właściciela maila, to już wiemy że jest
>> zarejestrowany w serwisie.
>>
>> Mielibyście drodzy grupowicze pomysł, jak załatać taką podatność?
>
> Banalnie: nie wyswietlac wiadomosci "mail jest zajety". Przy kazdej probie
> rejestracji wyswietlac tylko "dziekujemy za zgloszenie checi rejestracji,
> szczegoly znajdziesz w mailu wyslanym na podany przez Ciebie adres". I w
> mailu pisac albo "potwierdz rejestracje" albo "hmm, chyba juz sie
> rejestrowales z tego adresu".
>
I mamy zwiekszanie upierdliwosci rejestracji w imie nie potrzebnej
ochrony prywatnosci. Sorry trzeba brac odpowiedzialnosc za swoje
dzialanie, a nie uciekac w anonimowosc. Do rejestracji nikt nie zmusza.


Pozdrawiam

Marek

do góry

W dniu 2012-11-14 19:54, e...@g...com pisze:
>>> Dostepne dla kazdego sprawdzenie, czy g...@...com jest
>>> zarejestrowany jest w rejestrze strony chorzynahiv.pl byloby fajne?
>>> Co chcialbys "lekko utrudniac"?
>
>> I co w tym niefajnego? Równie dobrze można przyjąć że jest niefajnie że
>> można sprawdzić w rejestrach DG czy ktoś ma działalność czy nie. I to
>> jest dostępne dla każdego. O ewentualnych konsekwencjach nie muszę mówić.
>
> W DG tak jest "by design", tak ma byc. Odroznijmy decyzje od "jestem mastaha
> i nie chce mi sie tego implementowac".

Odróżnijmy sytuację gdy coś niesie ze sobą realne zagrożenie
bezpieczeństwa od "widzimisię" i pokazania jaki to ja jestem mastaha i
sobie zaimplementuje pierdołę która na dłuższą metę będzie wszystkich
denerwować.

Poza tym poczytaj sobie ustawę o danych osobowych i później możemy
rozmawiać.
Wymyślasz problem który nie istnieje lub jest nieistotny. Pomijając już
to, że g...@...com nie musi być tym Grzegorzem
Niemirowskim :/

Poza tym w DG nie jest tak "by design" ale jest tak od jakiegoś czasu.
Zresztą czym się różni wiedza o tym czy ktoś prowadzi DG czy jest chory
na HIV? W pewnych przypadkach taka wiedza jest potrzebna.

Inna bajka że zdobywanie jej za pomocą sprawdzania emaili
rejestracyjnych na różnych stronach jest co najmniej nieefektywne.

pozdrawiam,
Przemek O.

do góry

On 2012-11-14 19:54, e...@g...com wrote:
> W dniu środa, 14 listopada 2012 13:43:45 UTC-5 użytkownik Przemek O napisał:
>
>> I co w tym niefajnego? Równie dobrze można przyjąć że jest niefajnie że
>> można sprawdzić w rejestrach DG czy ktoś ma działalność czy nie. I to
>> jest dostępne dla każdego. O ewentualnych konsekwencjach nie muszę mówić.
>
> W DG tak jest "by design", tak ma byc. Odroznijmy decyzje od "jestem mastaha
> i nie chce mi sie tego implementowac".
>
To zaloz ze jest tak by design. Chronic nalezy te dane ktore sa wrazliwe
a nie wszystkie bo sa ludzie co maja lekkie odchylki na punkcie
prywatnosci. Zobacz np. absurdalne afery z google street view, o
systemach monitoringu nie wspominajac.


Pozdr

Marek

do góry

W dniu 2012-11-14 20:10, Marek Borowski pisze:
> On 2012-11-14 19:54, e...@g...com wrote:
>> W dniu środa, 14 listopada 2012 13:43:45 UTC-5 użytkownik Przemek O
>> napisał:
>>
>>> I co w tym niefajnego? Równie dobrze można przyjąć że jest niefajnie że
>>> można sprawdzić w rejestrach DG czy ktoś ma działalność czy nie. I to
>>> jest dostępne dla każdego. O ewentualnych konsekwencjach nie muszę
>>> mówić.
>>
>> W DG tak jest "by design", tak ma byc. Odroznijmy decyzje od "jestem
>> mastaha
>> i nie chce mi sie tego implementowac".
>>
> To zaloz ze jest tak by design. Chronic nalezy te dane ktore sa wrazliwe
> a nie wszystkie bo sa ludzie co maja lekkie odchylki na punkcie
> prywatnosci. Zobacz np. absurdalne afery z google street view, o
> systemach monitoringu nie wspominajac.

Po co szukać tak daleko? Miałem ostatnio sytuacje, że musiałem coś
zawieźć znajomemu mieszkającemu na dużym blokowisku. Byłem u niego może
raz parę lat temu, bez problemu znalazłem blok i numer mieszkania bo
przy domofonach były spisy mieszkańców. Teraz tego nie ma i zrobiłem
niepotrzebną rundę, bo on telefonu nie odbierał, ja nie znałem
dokładnego numeru mieszkania... I gdzie tu jest sens? A jak bandzior
będzie chciał mu dokopać to i tak dowie się gdzie ktoś mieszka.

W każdym razie komplikuje to życie uczciwym ludziom, a bandytom
(hakerom) i tak nie przeszkadza bo mają na to skuteczniejsze sposoby.

pozdrawiam,
Przemek O.

do góry

On 14.11.2012 20:02, Marek Borowski wrote:
>> Banalnie: nie wyswietlac wiadomosci "mail jest zajety". Przy kazdej
>> probie
>> rejestracji wyswietlac tylko "dziekujemy za zgloszenie checi rejestracji,
>> szczegoly znajdziesz w mailu wyslanym na podany przez Ciebie adres". I w
>> mailu pisac albo "potwierdz rejestracje" albo "hmm, chyba juz sie
>> rejestrowales z tego adresu".
>>
> I mamy zwiekszanie upierdliwosci rejestracji w imie nie potrzebnej
> ochrony prywatnosci. Sorry trzeba brac odpowiedzialnosc za swoje
> dzialanie, a nie uciekac w anonimowosc. Do rejestracji nikt nie zmusza.

W sumie to wyświetlając komunikat a nie wysyłając mail zwiększasz
upierdliwość. Skoro wpisujesz drugi raz ten sam mail przy rejestracji to
jako _ułatwienie_ wysłałbym coś w stylu:
"Posiadasz już konto w tym serwisie.\nJeżeli nie pamiętasz hasła kliknij
tutaj.".

Wysłanie maila zapewnia że user się w nim nie pomylił (przypadkowo, czy
celowo) i naprawdę używa tego konta więc i tak warto je zrobić.


--
Pozdrawiam
Michoo

do góry

W dniu 2012-11-14 21:34, Michoo pisze:

>> I mamy zwiekszanie upierdliwosci rejestracji w imie nie potrzebnej
>> ochrony prywatnosci. Sorry trzeba brac odpowiedzialnosc za swoje
>> dzialanie, a nie uciekac w anonimowosc. Do rejestracji nikt nie zmusza.
>
> W sumie to wyświetlając komunikat a nie wysyłając mail zwiększasz
> upierdliwość.

Jeśli dla Ciebie natychmiastowa walidacja poprawności jest zwiększeniem
upierdliwości (vs czekanie ileś tam na meila) to chyba nie mamy o czym
rozmawiać.

> Skoro wpisujesz drugi raz ten sam mail przy rejestracji to
> jako _ułatwienie_ wysłałbym coś w stylu:
> "Posiadasz już konto w tym serwisie.\nJeżeli nie pamiętasz hasła kliknij
> tutaj.".

A po co taki komunikat? Nie lepszy że ktoś próbuje drugi raz założyć
konto na ten email?

> Wysłanie maila zapewnia że user się w nim nie pomylił (przypadkowo, czy
> celowo) i naprawdę używa tego konta więc i tak warto je zrobić.

A nieotrzymanie maila z potwierdzeniem o czym świadczy? Że user się
pomylił wpisując adres, że skrypt na serwerze się wywalił, że serwis
zdążył już się zwinąć, że dane nie zostały jeszcze przetworzone, że
email się "zgubił"? Trochę więcej tych niepewności, a najgorsze że
czekamy i nie wiadomo co się dzieje, czy rejestrować się ponownie, czy
może jeszcze chwilę poczekać.

pozdrawiam,
Przemek O.

do góry

On 2012-11-14 21:34, Michoo wrote:
> On 14.11.2012 20:02, Marek Borowski wrote:
>>> Banalnie: nie wyswietlac wiadomosci "mail jest zajety". Przy kazdej
>>> probie
>>> rejestracji wyswietlac tylko "dziekujemy za zgloszenie checi
>>> rejestracji,
>>> szczegoly znajdziesz w mailu wyslanym na podany przez Ciebie adres". I w
>>> mailu pisac albo "potwierdz rejestracje" albo "hmm, chyba juz sie
>>> rejestrowales z tego adresu".
>>>
>> I mamy zwiekszanie upierdliwosci rejestracji w imie nie potrzebnej
>> ochrony prywatnosci. Sorry trzeba brac odpowiedzialnosc za swoje
>> dzialanie, a nie uciekac w anonimowosc. Do rejestracji nikt nie zmusza.
>
> W sumie to wyświetlając komunikat a nie wysyłając mail zwiększasz
> upierdliwość. Skoro wpisujesz drugi raz ten sam mail przy rejestracji to
> jako _ułatwienie_ wysłałbym coś w stylu:
> "Posiadasz już konto w tym serwisie.\nJeżeli nie pamiętasz hasła kliknij
> tutaj.".
>
No nie bardzo, bo po pierwsze SMTP to nie Instant Messenger i maile moga
dochodzic z opoznieniem, po drugie rejestracja a aktywacja rejestracji
to dla mnie dwa rozne procesy (wykonywane w roznych programach) ktorych
nie musze dokonywac od razu po sobie. A wymuszanie i mieszanie tego to
upierdliwosc. Pozatym kilka razy mi sie zdazylo iz okazywalo sie przy
rejestracji iz jednak mam konto w danym serwisie.

> Wysłanie maila zapewnia że user się w nim nie pomylił (przypadkowo, czy
> celowo) i naprawdę używa tego konta więc i tak warto je zrobić.
>
>
To juz jest aktywacja/weryfikacja konta - zupelnie co innego.


Pozdrawiam

Marek

do góry

W dniu środa, 14 listopada 2012 14:06:34 UTC-5 użytkownik Przemek O napisał:
> W dniu 2012-11-14 19:54, e...@g...com pisze:
> >>> Dostepne dla kazdego sprawdzenie, czy g...@...com jest
> >>> zarejestrowany jest w rejestrze strony chorzynahiv.pl byloby fajne?
> >>> Co chcialbys "lekko utrudniac"?
> >> I co w tym niefajnego? Równie dobrze można przyjąć że jest niefajnie że
> >> można sprawdzić w rejestrach DG czy ktoś ma działalność czy nie. I to
> >> jest dostępne dla każdego. O ewentualnych konsekwencjach nie muszę mówić.

> > W DG tak jest "by design", tak ma byc. Odroznijmy decyzje od "jestem mastaha
> > i nie chce mi sie tego implementowac".

> Odróżnijmy sytuację gdy coś niesie ze sobą realne zagrożenie
> bezpieczeństwa od "widzimisię" i pokazania jaki to ja jestem mastaha i
> sobie zaimplementuje pierdołę która na dłuższą metę będzie wszystkich
> denerwować.

W tym przykladzie i tak i tak trzeba wyslac maila, wiec nie bardzo rozumiem,
co kogo mialoby denerwowac. Poza tym, gdziekolwiek bezpieczenstwo
ma jakies znaczenie strona ma swoje "privacy policy" i mozna tam
napisac, ze ma sie userow w doopie - wolno, a uzytkownik moze wybrac
inna strone, inny bank, albo zaakceptowac fakt, ze choc ukrywa
sie pod nickiem to jego prawdziwe dane sa dostepne a wyciag z konta moze
sobie ktos przejrzec. Wolna wola.

> Poza tym poczytaj sobie ustawę o danych osobowych i później możemy
> rozmawiać.
> Wymyślasz problem który nie istnieje lub jest nieistotny. Pomijając już
> to, że g...@...com nie musi być tym Grzegorzem
> Niemirowskim :/

Ustawe znam, wiec sorry ale sobie nie pogadamy. Problem prywatnosci
istnieje jak najbardziej.

> Poza tym w DG nie jest tak "by design" ale jest tak od jakiegoś czasu.
> Zresztą czym się różni wiedza o tym czy ktoś prowadzi DG czy jest chory
> na HIV? W pewnych przypadkach taka wiedza jest potrzebna.

To byl przyklad informacji, ktora ktos moze chciec zatrzymac w tajemnicy.
Rozumiem, ze najchetniej wpisalbys do ustawy monitoring w toaletach,
ale ja jestem przeciwny (w koncu toaleta to potencjalne miejsce gwaltu,
no i kto nie gwalci w toalecie nie ma nic do ukrycia, prawda?)

> Inna bajka że zdobywanie jej za pomocą sprawdzania emaili
> rejestracyjnych na różnych stronach jest co najmniej nieefektywne.

Udowodnij. Problem z brakiem bezpieczenstwa najczesciej sie bierze stad,
ze ktos implementujac nie wpadl na to, ze zostawia dziure, ktora
sie wykorzystuje ot tak po prostu. Wedlug mnie opinie typu
"jazda na punkcie bezpieczenstwa czy prywatnosci" sa bardzo szkodliwe,
bo niektorzy nie rzoumieja o co chodzi, slyszalem nawet kiedys
zdanie, ze "poprawna implementacja SSLa to jakies skrzywienie
na punkcie bezpieczenstwa". Czy ty sie dziwisz, ze ktos stworzyl SSLa?
Bo mi sie przydaje, w formie dzialajacej tak jak byl zaprojektowany.

--
Edek

do góry