• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    RATTKIN
    RATTKIN --- ---
    moje první cookie hláška, která vypadá tak že bych s tím snad i souhlasil

    ZVIRATKO
    ZVIRATKO --- ---
    bozi, jasam...

    Some opt-outs may fail due to your browsers cookies settings. If you would like to set opt-out preferences using this tool you must allow third party cookies in your browser settings.

    CHOBOT
    CHOBOT --- ---
    EXIS: Jak už jsem psal níže, je to starej, na míru psanej eshop, kde všechny změny jdou přes outsourcovanou firmu, takže běh na dlouhou trať. Pracuju na tom, ale jde to bolestivě pomalu a ztuha. Navíc ten eshop dělali kdysi dávno lidi, který měli nějakou ochranu osobních údajů naprosto v prdeli, a to jak ze strany zadavatele, tak zpracovatele.

    Já pochopitelně vím, že to není dobře, a taky pracuju na nápravě, jen jsem potřeboval navést, co pisateli připomínky správně odepsat.

    Následná diskuze každopádně za mě docela přínosná :)
    EXIS
    EXIS --- ---
    CHOBOT: Z hlediska GDPR to asi není napadnutelné. Stejně jako GDPR říká (interpretuju), že i náklady na technické zásahy do IS by měly být přiměřené a odpovídající povaze. Nicméně bych být Tebou alespoň z toho mailu to heslo odebral. Tohle se dělalo dávno a dneska už to opravdu neodpovídá standardu zabezpečení. Pokud vezmu v potaz to, že banky do úprav nasypaly cca 150-300 mil Kč, tak pokud ty do úpravy dáš pár tisíc/desítek tisíc, tak je to odpovídající. Zkrátka a dobře, pokud Tě to, že máš eshop živí, tak by si měl přijmout vhodné technická a organizační opatření, aby si zamezil potenciálním problémům. Ale pochopitelně, můžeš se na to celé vysrat, ale pak se nediv. ;)
    MVEK
    MVEK --- ---
    CHOBOT: Posílání hesla zpět se často uvádí jako bezpečnostní nešvar, takže bez ohledu na GDPR to by fakt chtělo odstranit, mail je snadno napadnutelný. A přece jen v e-shopu jsou uložené informace o adrese, které může útočník zneužít, i pokud už tam nejsou údaje o platební kartě apod., aby mohl nákup provést.
    RATTKIN
    RATTKIN --- ---
    CHOBOT: posílat zákazníkům zpět nešifrované heslo je velmi nesociální. plno lidí ještě pořád používá stejné nebo podobné heslo na víc webů a takhle jim ho vyzradíš.

    nechápu smysl posílat lidem jejich informace zpět, jako kdyby zapomněli kde bydlí?

    některý weby pokud nedokážou 1 řádku kódu zakomentovat, by měli radši zkrachovat.
    KOC256
    KOC256 --- ---
    QUIP:
    uz trochu mimo, ale toco prijde jako zapomnel jsem heslo by melo byt jednorazove platne... Takze bych to uplne nesrovnaval... :)
    TRILOBYTE
    TRILOBYTE --- ---
    ZVIRATKO: Myslel jsem to na kdokoliv s pristupem k tomu mailu, ma automaticky pristup i tam co plati to heslo. To je fail.
    Jak uz tu padlo, muze to byt stylem vygenerovat, poslat, zahashovat a ulozit.
    ZVIRATKO
    ZVIRATKO --- ---
    TRILOBYTE: ano, muze, ale uz to neni soucast nejakeho dumpu.

    QUIP: ze je to blbost o tom zadna, ale pokud ten provozovatel neudela aspon to nutne minimum a nekdo ho hackne, tak to jde proste za nim. To same pokud to heslo posle emailem a nekdo se diky tomu k nemu dostane. Pokud se dostane na vic sluzeb se stejnou kombinaci user(email)/pass, tak si sice uzivatel muze rvat vlasy, ale vysetrovatel stejne da eshopu pokutu ze takhle ne.

    Je neco uplne jineho kdyz to heslo nekde lezi ve slozce "Archiv 2013" na mailserveru v plaintextu, nebo kdyz by nekdo musel kliknout na odkaz a resetovat ho, k te slozce muze mit realne pristup X lidi.
    QUIP
    QUIP --- ---
    ZVIRATKO: Nezatahuj do toho ukladani hesel v plaintextu a nebo unik hesel z databaze, to je jiny problem, nez ktery se tu ted resi.
    Pokud si uzivatel nastavuje stejne heslo na vice sluzeb, tak by ti zase kazdy z tvych odborniku, co by tam musel svedcit, rekl, ze je to blbost uzivatele. To opet nezkousej zamotavat do GDPR - nesouvisi to s tim.
    Taky se PIN k platebni karte posila v papirove obalce a pristup k ni ma vic lidi, nez kolik se potencialne dostane k nejakemu e-mailu po ceste. Stejne jako na zaklade GDPR nikdo nezakaze provoz e-shopu, ktere nepouzivaji HTTPS, i kdyz to znamena, ze prihlasovaci (a veskere ostatni) udaje od zakaznika do shopu a ze shopu k zakaznikovi putuji v nesifrovane podobne.

    Vubec se nechci prit o to, co je a neni fail, nebo best practice. Bezpecnosti webaplikaci a provozem serveru se zabyvam dlouhodobe a ty zminene nedostatky bych sam provozovatelum (ale i koncovym zakaznikum) vycital, ale porad si nemyslim, ze je to problem s ohledem na GDPR.
    A argumentovat "kdokoliv s pristupem k tomu mailu" je zcestny. K te e-mailove schrance nikdo jiny pristup mit nema. Pokud ma, je to chyba uzivatele. Me se zase nelibi, ze v dnesni dobe klesa uroven zabezpeceni internetoveho bankovnictvi, ktere se snizilo na uroven obycejneho webmailu - kdokoliv zna login a heslo, tak se tam prihlasi a projde si historii plateb atd.. Takze na to muzu rict, ze "kdokoliv s pristupem k tomu bankovnictvi..." oh wait, tam prece nikdo jiny pristup nema, nebo jo?
    TRILOBYTE
    TRILOBYTE --- ---
    ZVIRATKO: Kdokoliv s pristupem do mailu si muze to heslo zresetovat
    ZVIRATKO
    ZVIRATKO --- ---
    QUIP: smyslem GDPR je chranit uzivatelska data. Zaslani hesla do mailu znamena, ze kdokoliv s pristupem k tomu mailu, ma automaticky pristup i tam co plati to heslo. To je fail.
    Druhy fail je, prenaset heslo v plaintextu KDEKOLIV, predevsim v mailu. Maily se bezne nekde archivuji, kusy se jich objevuji v logach apod. Stejny fail je poslani obnoveneho hesla emailem (pokud neni vyzadovana zmena pri prvnim prihlaseni, coz bohuzel casto neni).
    Best practice je heslo zahashovat uz u klienta a vubec ho v ruce nemit.

    GDPR vyzaduje ochranu aspon do urovne lege-artis, rekl bych ze pokud by realne doslo k uniku hesel, a pomoci toho hesla se nekdo dostal k XY (klidne jine sluzbe) tak to muze jit za provozovatelem toho webu, protoze kazdy odbornik, ktery by tam musel svedcit, rekne, ze je ten provozovatel nezodpovedny kokot kdyz ty hesla nekde v plainu ma nebo posila.
    QUIP
    QUIP --- ---
    SWALLOW2: Ja ani nehodnotim, jestli se to tak delalo, dela, bude delat, nebo jestli je to dobry napad / spatny napad, tady se bavime o bezpecnostnim riziku ve vztahu ke GDPR a v tom pripade tvrdim, ze poslat uzivateli na jeho e-mailovou adresu heslo, ktere prave vyplnil do registracniho formulare, neni porusenim zadneho narizeni GDPR. A pokud se pletu, budu rad, kdyz mi nekdo ukaze opak.
    SWALLOW2
    SWALLOW2 --- ---
    QUIP: Nevím, podle mne už se to tak prostě nedělá, pokud už z nějakého důvodu posles heslo mailem ( třeba při tebou zminene zapomenuti hesla) tak by jsi měl být ihned vyzvan k změně hesla. A argumentace, že se to tak delalo ... no delalo, také jsme měli poštovní holuby ..
    QUIP
    QUIP --- ---
    CHOBOT & ZVIRATKO: Rekl bych, ze vam oboum uniklo, ze se to heslo na e-mail posle pri registraci a tudiz to vubec nemusi znamenat, ze by se nekde ukladalo v plaintextu, protoze se do e-mailu posle to, co uzivatel vyplnil v registraci. Nemusi to byt to, co je v DB.
    Setkal jsem se s timhle uz nekolikrat a pokud je ukladani hesel v hashovane podobe, tak tohle projde i auditem. Je to na podobne urovni, jako ze si nekdo klikne na "zapomnel jsem heslo" a prijde mu na e-mail nove heslo, se kterym se muze prihlasit. Argumentovat pak tim, ze "kdyby se mi nekdo naboural do e-mailu tak se mi tam muze prihlasit" je blbost. Kdyby ti nekdo z kapsy ukradl klice, tak se ti muze dostat domu...
    Zaslani hesla na zacatku pri registraci je na stejne urovni, jako link pro potvrzeni, ze vyplneny e-mail je tvuj - pokud tam uzivatel vyplni spatny e-mail a prijde to nekomu jinemu, kdo na to klikne a tim se prihlasi do e-shopu, neni to chyba nikoho jineho, nez uzivatele.
    To uz bych za vetsi bezpecnostni hrozbu povazoval to, ze vetsina (velkych) webu ma predzaskrtnute "trvale prihlaseni z tohoto pocitace". Coz mi opravdu pripada jako naprosta debilita, ale kdo chce kam...
    ZVIRATKO
    ZVIRATKO --- ---
    CHOBOT:
    "In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default."

    takze v podstate v rozporu s GDPR jsi
    CHOBOT
    CHOBOT --- ---
    ZVIRATKO: Já samozřejmě vím, že to není úplně košer, ale tak zásadní problém to neni a postihovanej za to snad nemůžu být už vůbec. Ale u 15 let starýho eshopu se transformace do moderní doby nedělaj úplně lehce a zabere to čas, a priority jsou samo jinde.

    Díky za relevantní odpověď.
    ZVIRATKO
    ZVIRATKO --- ---
    CHOBOT: myslim ze po pravni strance nebudes zodpovedny kdyz mu nekdo s tim heslem vleze na X dalsich webu, ale kdybys mel ten eshop spravne udelanej tak to ten zakaznik neresi
    auditem by to ale rozhodne neproslo

    takze naprosty souhlas s VODNIK
    CHOBOT
    CHOBOT --- ---
    VODNIK: skvěle, děkuji za tvůj názor. A teď bych ještě poprosil odpověď na můj dotaz :)
    VODNIK
    VODNIK --- ---
    CHOBOT: eshop, který mi pošle zpátky heslo u mě automaticky skončil, protože to znamená, že ho uchovává v čitelné podobě. A to je zvěrstvo, zcela bez ohledu na GDPR
    Kliknutím sem můžete změnit nastavení reklam