• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    TRILOBYTE
    TRILOBYTE --- ---
    ZVIRATKO: Myslel jsem to na kdokoliv s pristupem k tomu mailu, ma automaticky pristup i tam co plati to heslo. To je fail.
    Jak uz tu padlo, muze to byt stylem vygenerovat, poslat, zahashovat a ulozit.
    ZVIRATKO
    ZVIRATKO --- ---
    TRILOBYTE: ano, muze, ale uz to neni soucast nejakeho dumpu.

    QUIP: ze je to blbost o tom zadna, ale pokud ten provozovatel neudela aspon to nutne minimum a nekdo ho hackne, tak to jde proste za nim. To same pokud to heslo posle emailem a nekdo se diky tomu k nemu dostane. Pokud se dostane na vic sluzeb se stejnou kombinaci user(email)/pass, tak si sice uzivatel muze rvat vlasy, ale vysetrovatel stejne da eshopu pokutu ze takhle ne.

    Je neco uplne jineho kdyz to heslo nekde lezi ve slozce "Archiv 2013" na mailserveru v plaintextu, nebo kdyz by nekdo musel kliknout na odkaz a resetovat ho, k te slozce muze mit realne pristup X lidi.
    QUIP
    QUIP --- ---
    ZVIRATKO: Nezatahuj do toho ukladani hesel v plaintextu a nebo unik hesel z databaze, to je jiny problem, nez ktery se tu ted resi.
    Pokud si uzivatel nastavuje stejne heslo na vice sluzeb, tak by ti zase kazdy z tvych odborniku, co by tam musel svedcit, rekl, ze je to blbost uzivatele. To opet nezkousej zamotavat do GDPR - nesouvisi to s tim.
    Taky se PIN k platebni karte posila v papirove obalce a pristup k ni ma vic lidi, nez kolik se potencialne dostane k nejakemu e-mailu po ceste. Stejne jako na zaklade GDPR nikdo nezakaze provoz e-shopu, ktere nepouzivaji HTTPS, i kdyz to znamena, ze prihlasovaci (a veskere ostatni) udaje od zakaznika do shopu a ze shopu k zakaznikovi putuji v nesifrovane podobne.

    Vubec se nechci prit o to, co je a neni fail, nebo best practice. Bezpecnosti webaplikaci a provozem serveru se zabyvam dlouhodobe a ty zminene nedostatky bych sam provozovatelum (ale i koncovym zakaznikum) vycital, ale porad si nemyslim, ze je to problem s ohledem na GDPR.
    A argumentovat "kdokoliv s pristupem k tomu mailu" je zcestny. K te e-mailove schrance nikdo jiny pristup mit nema. Pokud ma, je to chyba uzivatele. Me se zase nelibi, ze v dnesni dobe klesa uroven zabezpeceni internetoveho bankovnictvi, ktere se snizilo na uroven obycejneho webmailu - kdokoliv zna login a heslo, tak se tam prihlasi a projde si historii plateb atd.. Takze na to muzu rict, ze "kdokoliv s pristupem k tomu bankovnictvi..." oh wait, tam prece nikdo jiny pristup nema, nebo jo?
    TRILOBYTE
    TRILOBYTE --- ---
    ZVIRATKO: Kdokoliv s pristupem do mailu si muze to heslo zresetovat
    ZVIRATKO
    ZVIRATKO --- ---
    QUIP: smyslem GDPR je chranit uzivatelska data. Zaslani hesla do mailu znamena, ze kdokoliv s pristupem k tomu mailu, ma automaticky pristup i tam co plati to heslo. To je fail.
    Druhy fail je, prenaset heslo v plaintextu KDEKOLIV, predevsim v mailu. Maily se bezne nekde archivuji, kusy se jich objevuji v logach apod. Stejny fail je poslani obnoveneho hesla emailem (pokud neni vyzadovana zmena pri prvnim prihlaseni, coz bohuzel casto neni).
    Best practice je heslo zahashovat uz u klienta a vubec ho v ruce nemit.

    GDPR vyzaduje ochranu aspon do urovne lege-artis, rekl bych ze pokud by realne doslo k uniku hesel, a pomoci toho hesla se nekdo dostal k XY (klidne jine sluzbe) tak to muze jit za provozovatelem toho webu, protoze kazdy odbornik, ktery by tam musel svedcit, rekne, ze je ten provozovatel nezodpovedny kokot kdyz ty hesla nekde v plainu ma nebo posila.
    QUIP
    QUIP --- ---
    SWALLOW2: Ja ani nehodnotim, jestli se to tak delalo, dela, bude delat, nebo jestli je to dobry napad / spatny napad, tady se bavime o bezpecnostnim riziku ve vztahu ke GDPR a v tom pripade tvrdim, ze poslat uzivateli na jeho e-mailovou adresu heslo, ktere prave vyplnil do registracniho formulare, neni porusenim zadneho narizeni GDPR. A pokud se pletu, budu rad, kdyz mi nekdo ukaze opak.
    SWALLOW2
    SWALLOW2 --- ---
    QUIP: Nevím, podle mne už se to tak prostě nedělá, pokud už z nějakého důvodu posles heslo mailem ( třeba při tebou zminene zapomenuti hesla) tak by jsi měl být ihned vyzvan k změně hesla. A argumentace, že se to tak delalo ... no delalo, také jsme měli poštovní holuby ..
    QUIP
    QUIP --- ---
    CHOBOT & ZVIRATKO: Rekl bych, ze vam oboum uniklo, ze se to heslo na e-mail posle pri registraci a tudiz to vubec nemusi znamenat, ze by se nekde ukladalo v plaintextu, protoze se do e-mailu posle to, co uzivatel vyplnil v registraci. Nemusi to byt to, co je v DB.
    Setkal jsem se s timhle uz nekolikrat a pokud je ukladani hesel v hashovane podobe, tak tohle projde i auditem. Je to na podobne urovni, jako ze si nekdo klikne na "zapomnel jsem heslo" a prijde mu na e-mail nove heslo, se kterym se muze prihlasit. Argumentovat pak tim, ze "kdyby se mi nekdo naboural do e-mailu tak se mi tam muze prihlasit" je blbost. Kdyby ti nekdo z kapsy ukradl klice, tak se ti muze dostat domu...
    Zaslani hesla na zacatku pri registraci je na stejne urovni, jako link pro potvrzeni, ze vyplneny e-mail je tvuj - pokud tam uzivatel vyplni spatny e-mail a prijde to nekomu jinemu, kdo na to klikne a tim se prihlasi do e-shopu, neni to chyba nikoho jineho, nez uzivatele.
    To uz bych za vetsi bezpecnostni hrozbu povazoval to, ze vetsina (velkych) webu ma predzaskrtnute "trvale prihlaseni z tohoto pocitace". Coz mi opravdu pripada jako naprosta debilita, ale kdo chce kam...
    ZVIRATKO
    ZVIRATKO --- ---
    CHOBOT:
    "In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default."

    takze v podstate v rozporu s GDPR jsi
    CHOBOT
    CHOBOT --- ---
    ZVIRATKO: Já samozřejmě vím, že to není úplně košer, ale tak zásadní problém to neni a postihovanej za to snad nemůžu být už vůbec. Ale u 15 let starýho eshopu se transformace do moderní doby nedělaj úplně lehce a zabere to čas, a priority jsou samo jinde.

    Díky za relevantní odpověď.
    ZVIRATKO
    ZVIRATKO --- ---
    CHOBOT: myslim ze po pravni strance nebudes zodpovedny kdyz mu nekdo s tim heslem vleze na X dalsich webu, ale kdybys mel ten eshop spravne udelanej tak to ten zakaznik neresi
    auditem by to ale rozhodne neproslo

    takze naprosty souhlas s VODNIK
    CHOBOT
    CHOBOT --- ---
    VODNIK: skvěle, děkuji za tvůj názor. A teď bych ještě poprosil odpověď na můj dotaz :)
    VODNIK
    VODNIK --- ---
    CHOBOT: eshop, který mi pošle zpátky heslo u mě automaticky skončil, protože to znamená, že ho uchovává v čitelné podobě. A to je zvěrstvo, zcela bez ohledu na GDPR
    CHOBOT
    CHOBOT --- ---
    Právě mě zaskočil zákazník připomínkou a moc nevím, jak na to zareagovat: po registraci na mém eshopu přijde zákazníkovi na zadaný email souhrn zadaných informací, včetně loginu a hesla. On mi tvrdí, že to porušuje zásady gdpr, pze kdyz se mu nekdo naboura do emailu dostane se i k jeho údajům na mém webu.
    Přijde mi to jako blbost, ale netuším, jaký článek nařízení mám na tohle aplikovat. Má pravdu a mám tenhle systém zrušit, nebo plácá?
    Díky za navedení.
    EXIS
    EXIS --- ---
    KASUMI: takže jak jsem psal (myslím) :))) Prostě nahrazuje to informační povinnost, tedy prsotě každej kdo nedělá něco náhodně (jakože jednou za život vyvezu děti mejch kámošů na hory), tak to prostě musí plnit
    KASUMI
    KASUMI --- ---
    ad KASUMI:
    KASUMI:


    tak jsem mela ted nejaky seminar mj na gdpr a resili jsme tady ty zaznamy a povinnost jejich zpracovani dle 30/5
    podle UOOU se pry zpracovani tyka v podstate vsech
    pry to tak vyklada i wp 29

    tze ta da dam daa..
    ADAMIRA
    ADAMIRA --- ---
    NEVADA_: ano tak tady to pro změnu... není problém GDPR.
    NEVADA_
    NEVADA_ --- ---
    Pokud ten zákaz nebo ta směrnice (nebo obojí) nejsou důsledkem něčí paniky nad GDPR.
    ADAMIRA
    ADAMIRA --- ---
    OTAKAR: Ale to není problém GDPR.
    HARALD
    HARALD --- ---
    OTAKAR: Tak to klidně být může. Ale příčinou pak není gdpr.
    Kliknutím sem můžete změnit nastavení reklam