Gå til innhold

16. mai ble det full kriseberedskap i Evry etter datalekkasje. Rotårsaken kan påvirke alle norske selskaper


Anbefalte innlegg

Og realiteten er at Microsoft ikke samler inn så mye, og de sender ikke alt til Redmond. Dersom du virkerlig stiller inn Windows 10 - så kommer den knapt med et pip hjem. Hva Microsoft kan beskyldes for er at de gjennom å sette som standard at man skulle sende en del data hjem og ikke motsatt - at du selv må aktivere mer informasjonsflyt enn knapt et pip.

Dersom Microsoft ikkje hadde sendt eit pip heim, hadde ingen hatt dette problemet.

 

Det er helt feil at folk ikke har sjekket hva Microsoft sender hjem. Folk har sjekket til de grader, rett og slett fordi Microsoft gjorde den tabben ved lanseringen av Windows 10 at de ikke var helt ærlige på hva salgs datautveksling de gjorde - det stod faktisk ikke det samme i personvernsvilkårene den gangen. 

No skriv jo Microsoft at dei samlar inn og brukar alt, so då er det inengting å skrive om.

 

Realiteten er at om Microsoft (og Google for den del) hadde gjort ting akkurat slik som du påstår - så hadde det faktisk skapt et ramaskrik. Ikke nok med det - Microsoft hadde fått så hard medfart i en del EU-organer at selskapet hadde brukket ryggen.

Kvifor i all verda skulle dei det? Microsoft gjer jo ikkje noko ulovleg, so lenge brukarane godtek vilkåra. Dei som ikkje ynskjer å dele alt med Microsoft, kan jo berre la vere å bruke Microsoft-produkt. Verre er det ikkje.
Lenke til kommentar
Videoannonse
Annonse

 

Dette veit du tydelegvis ingenting om, og eg skal la vere å gå i detaljar.

 

....

 

Det er ikkje ei mogeleg oppgåve. Når brukarar eksplisitt ynskjer å dele desse dataane, kan ikkje Evry hindre det utan å gjere ting meiningslaust vanskeleg for brukarane.

Det er trivielt for Evry å beskytte dette innholdet, det er faktisk så enkelt at det er fullstendig skivebom at de har latt det ligge helt åpent.

 

Brukeren ville ikke en gang merket noen forskjell, det eneste Evry hadde trengt å gjøre var å passe på at innholdet kun var tilgjengelig for autoriserte brukere, ikke for søkemotorer.

 

Det er ikke Microsoft, eller andre søkemotorer sitt problem at tjenesteleverandøren lar innhold ligge helt åpent, slik at det kan både indekseres og vises for Gud og hvermann. Det er ei heller nettleseren som har problemet, selv om den sender inn alle lenker som besøkes for indeksering, ettersom søkemotoren umiddelbart burde truffet en 403 Forbidden, ikke det faktisk innholdet.

 

Har man det minste snev av innsikt i hvordan dette fungerer, så fremstår det åpenbart at Evry har gått på en smell ved å ikke implementere noen form for sikkerhet rundt innhold som aldri burde vært åpent tilgjengelig til å begynne med.

 

Og for ordens skyld, så vet jeg hva jeg snakker om !

 

 

HØR HØR! Endelig en som skjønner litt!

Endret av dizx
Lenke til kommentar

 

 

Nei. Det er absolutt ikkje Evry sin feil. Evry kan ikkje hindre brukarar i å laste ned desse sidene og dele dei med Microsoft, som Microsoft-brukarar godtek når dei skriv frå seg personvernet.

 

Passord er heller ikkje mykje hjelp i, sidan Microsoft samlar inn både brukarnamn og passord, og kan bruke det på same måte som dei brukar innhaldet i annan kommunikasjon. Om dei gjer det veit eg ikkje, men brukarar av Microsoft-produkt har eksplisitt godteke at Microsoft gjer det. Difor kan heller ikkje Microsoft klandrast, berre brukarane,

Kan ikke Evry hindre en søkemotor å indeksere innhold? Akkurat. Sett deg tilbake på skolebenken og lær deg litt om elementær sikkerhet på Internett. Håper for all del du ikke er utvikler.

 

Rett på personåtak att, for å dekkje over din eigen inkompetanse og manglande leseforståing, ser eg. Eg har vore på internett sidan 1993, og ikkje mista so mykje som ein byte data ved eit uhell. Heldigvis, for eg sjonglerer bitcoin for fleire millionar kroner kvar dag, og utviklar programvare for det. Dersom eg hadde vore dum nok til å fråseie meg retten til alle mine data til Microsoft, slik som "offera" her har gjort, hadde eg vore ein fattig mann i dag.

 

Kan du forklare korleis Evry kan hindre brukaren å sende data han har lasta ned vidare til Microsoft? Eg kan ikkje hindre nokon i å sende data dei har lasta ned frå meg vidare til andre. Det er heller ikkje mi oppgåve. Dersom dei ynskjer det, skal ikkje eg nekte dei. Hugs at desse brukarane har gjeve sitt eksplisitte samtykkje til å dele all kommunikasjonen sin med Microsoft.

 

 

LOL. Hvem skal jeg angripe, om ikke personen, som lirer av seg dette paranoide våset. Du tror tydeligvis at Microsoft tar en kopi av hele nettsiden de ser på skjermen din, sender det avgårde og indekserer innholdet. Tror ikke internett er rette stedet for deg.

Forresten, moren min har også vært på internett siden 1993. Hun skjønner, om mulig, enda mindre enn deg.

Det finnes flere i denne tråden som skjønner hva som har skjedd, og hvordan dette foregår. Dette er amatørmessig fra Evry. Hverken mer eller mindre.

Lenke til kommentar

 

Hvis det er det andre, at edge sender url'en som brukeren besøker til bing for indeksering, så skal vel ikke det ha noe å si sålenge det kreves autentisering for å få se innholdet.

Hvordan tror du at f.eks en url til en efaktura fra nettbanken din fungerer ?

Jo, den fungerer slik at når du trykker på lenken i nettbanken, så maskingenereres det opp en 'sikker' url som du videresendes til, der del av denne maskingenererte url'en er påloggingsinformasjon for å få sett fakturaen din. Det betyr at det eneste som trengs for å se fakturaen er den url'en som dukker opp i browseren, og som da Edge ser at du har 'besøkt'. Edge sender denne url'en til BING, og dersom crawleren er litt 'hissig', vil den fint klare å hente ut din faktura før den maskingenererte URL'en ikke lenger virker (det er tidsstyrt). Slik har eFaktura hos NETS fungert i mange år, og det er mange andre som benytter tilsvarende løsning som en 'simpel' SSO-løsning der du sendes videre mellom nettsteder etter å ha logget deg på ett sted (f.eks i nettbanken). Det at Edge/BING nå har endret spillereglene for hva de faktisk indekserer og laster ned/tilgjengeliggjør er vesentlig. Slikt innhold har aldri vært besøkt mer enn en gang (maskingenerert url, ny for hver gang du åpner efakturaen), så at Bing nå plutselig synes det er en 'verdifull' side å indeksere/presentere i et søkeresultat er jo ganske spesielt... Før måtte man faktisk ha en del treff på en url før en søkemotor var interresert i å laste ned og presentere den i sine søkeresultater...

 

Men uansett endrer dette 'gamet' for mange, og så lenge M$ ikke forteller detaljer om hva de faktisk gjør, er det ikke så lett for de som skal presentere sikret innhold for legitime brukere (eksempelvis deg, etter du har logget inn i nettbanken).

 

 

Dette er ikke unikt for Bing. 

 

http://lmgtfy.com/?q=site%3Anif.no+GetAttachment+faktura

 

 

Poenget er nok at disse lenkene fungerte i all evighet (før noen tenkte på det). Dette er bare amatørmessig.

Om man sender et token til en server, bør det inneholde et timestamp, så krypteres dette sammen med token. Mange måter å løse dette på. De kunne jo feks benyttet https://identityserver.io/

 

Sjekk ut denne videoen: 

Endret av dizx
Lenke til kommentar

 

Og realiteten er at Microsoft ikke samler inn så mye, og de sender ikke alt til Redmond. Dersom du virkerlig stiller inn Windows 10 - så kommer den knapt med et pip hjem. Hva Microsoft kan beskyldes for er at de gjennom å sette som standard at man skulle sende en del data hjem og ikke motsatt - at du selv må aktivere mer informasjonsflyt enn knapt et pip.

Dersom Microsoft ikkje hadde sendt eit pip heim, hadde ingen hatt dette problemet.

 

Det er helt feil at folk ikke har sjekket hva Microsoft sender hjem. Folk har sjekket til de grader, rett og slett fordi Microsoft gjorde den tabben ved lanseringen av Windows 10 at de ikke var helt ærlige på hva salgs datautveksling de gjorde - det stod faktisk ikke det samme i personvernsvilkårene den gangen. 

No skriv jo Microsoft at dei samlar inn og brukar alt, so då er det inengting å skrive om.

 

Realiteten er at om Microsoft (og Google for den del) hadde gjort ting akkurat slik som du påstår - så hadde det faktisk skapt et ramaskrik. Ikke nok med det - Microsoft hadde fått så hard medfart i en del EU-organer at selskapet hadde brukket ryggen.

Kvifor i all verda skulle dei det? Microsoft gjer jo ikkje noko ulovleg, so lenge brukarane godtek vilkåra. Dei som ikkje ynskjer å dele alt med Microsoft, kan jo berre la vere å bruke Microsoft-produkt. Verre er det ikkje.

 

 

Unnskylde at jeg sier det - men er du ikke i stand til å lese.

- Punkt 1: Microsoft skriver i klartekst at avhengig av produkt/tjeneste så kan de sende hjem informasjon.

- Punkt 2: Produktet Microsoft Windows 10 virker uten at man har opprettet en konto hos Microsoft og selv om man har stilt inn slik at man ikke kommuniserer med Redmond i det hele tatt. Dvs at man kan bruke Microsoft produkt uten å kommunisere med Redmond. Men som jeg alt har poengtert - dette er ikke standardoppsettet - dessverre.

- Punkt 3: Realiteten er at det har vært "mange" ramaskrik allerede - høsten 2015 var det artikkel etter artikkel på internett om manglende personvern og data som ble sendt tilbake. Microsoft har møtt flere ganger i personverkomiteen i EU pga problemstillingen og pga dette kan ikke Creators Update av Windows 10 installeres uten at du faktisk slår av eller på informasjonsdeling med Microsoft.

 

Så i stedet for å bruker personvernsvilkårene som fasit på at Microsoft sender hjem alt, og ikke ha sett den viktige tekstbiten "avhengig av produkt/tjeneste så kan" så bør du installere Windows 10 uten Microsoft konto, sjekke hvor tight du faktisk kan gjøre installasjonen osv. Det er en grunn til at det amerikanske forsvaret faktisk har bestemt seg for Windows 10, samt anbefaler alle sine ansatte og bruke Windows 10 privat.

  • Liker 1
Lenke til kommentar

 

 

 

Nei. Det er absolutt ikkje Evry sin feil. Evry kan ikkje hindre brukarar i å laste ned desse sidene og dele dei med Microsoft, som Microsoft-brukarar godtek når dei skriv frå seg personvernet.

 

Passord er heller ikkje mykje hjelp i, sidan Microsoft samlar inn både brukarnamn og passord, og kan bruke det på same måte som dei brukar innhaldet i annan kommunikasjon. Om dei gjer det veit eg ikkje, men brukarar av Microsoft-produkt har eksplisitt godteke at Microsoft gjer det. Difor kan heller ikkje Microsoft klandrast, berre brukarane,

Kan ikke Evry hindre en søkemotor å indeksere innhold? Akkurat. Sett deg tilbake på skolebenken og lær deg litt om elementær sikkerhet på Internett. Håper for all del du ikke er utvikler.

 

Rett på personåtak att, for å dekkje over din eigen inkompetanse og manglande leseforståing, ser eg. Eg har vore på internett sidan 1993, og ikkje mista so mykje som ein byte data ved eit uhell. Heldigvis, for eg sjonglerer bitcoin for fleire millionar kroner kvar dag, og utviklar programvare for det. Dersom eg hadde vore dum nok til å fråseie meg retten til alle mine data til Microsoft, slik som "offera" her har gjort, hadde eg vore ein fattig mann i dag.

 

Kan du forklare korleis Evry kan hindre brukaren å sende data han har lasta ned vidare til Microsoft? Eg kan ikkje hindre nokon i å sende data dei har lasta ned frå meg vidare til andre. Det er heller ikkje mi oppgåve. Dersom dei ynskjer det, skal ikkje eg nekte dei. Hugs at desse brukarane har gjeve sitt eksplisitte samtykkje til å dele all kommunikasjonen sin med Microsoft.

 

LOL. Hvem skal jeg angripe, om ikke personen, som lirer av seg dette paranoide våset. Du tror tydeligvis at Microsoft tar en kopi av hele nettsiden de ser på skjermen din, sender det avgårde og indekserer innholdet. Tror ikke internett er rette stedet for deg.
Kvifor skal eg tru det, når eg har skrive det motsette i fleire svar til deg her? Sei meg, kvifor spreier du slikt møl her i kommentarfeltet når du ikkje kan lese? Ber du mor di om hjelp til å skrive det som fell deg inn?

 

Eg har til dømes skrive:

Mikrosoft har indeksert dei fleste nettsider frå før, so i dei fleste tilfelle skulle det vere nok å sende URLen. Elles kan du kutte ut ein heil del data (CSS, Javascript, grafikk, markup) og komprimere sidene grundig før sending. Veldig lite data må overførast. Det som tek mest plass er bilete, lyd og video; data med låg prioritet for indeksering.

Ein PDF inneheld som regel veldig mykje rask, og Bing treng berre teksten for å gjere innhaldet søkbart. Personvernvilkåra til Microsoft seier tydeleg at dei samlar inn data om nettsider du er innom, og dei avgrensar seg ikkje til noko. Dei kan òg dele dette med andre Microsoft-tenester og annonsørar. Bing er ei Microsoft-teneste.

Dersom andre Microsoft-brukarar les like dårleg som deg, er det kanskje ikkje rart at dei vert overraska av at Microsoft indekserer filene. Det er i so fall deira problem. Dei kunne fylgt betre med på skulen, eller bede ein vaksen om hjelp. Be ein vaksen om hjelp sjølv til å lese kva eg har skrive, so slepp du å drite deg so loddrett ut.

 

Dersom du er naiv nok til å tru at Microsoft treng ein kopi av heile sida som synt på din skjerm for å indeksere ho, so har du sanneleg mykje å lære! Kanskje du forstår litt meir når du er ferdig med grunnskulen. I mellomtida bør du vere forsiktig når du diskuterer med folk som kan meir enn deg.

 

Forresten, moren min har også vært på internett siden 1993. Hun skjønner, om mulig, enda mindre enn deg.

Det forklarer det meste. Tippa ho gjekk på uiversitetet då, og fekk deg i 2007.

 

Det finnes flere i denne tråden som skjønner hva som har skjedd, og hvordan dette foregår. Dette er amatørmessig fra Evry. Hverken mer eller mindre.

 

Evry gjer ikkje anna enn å gje brukarane den tenesta dei ber om. Det er brukarane som gjev Bing lov til å indeksere sidene. Evry kan ikkje hindre det, og har ingen rett til å hindre det, so lenge brukarane har overdrege retten til bruk av materialet til Microsoft.
Lenke til kommentar

 

 

Og realiteten er at Microsoft ikke samler inn så mye, og de sender ikke alt til Redmond. Dersom du virkerlig stiller inn Windows 10 - så kommer den knapt med et pip hjem. Hva Microsoft kan beskyldes for er at de gjennom å sette som standard at man skulle sende en del data hjem og ikke motsatt - at du selv må aktivere mer informasjonsflyt enn knapt et pip.

Dersom Microsoft ikkje hadde sendt eit pip heim, hadde ingen hatt dette problemet.

 

Det er helt feil at folk ikke har sjekket hva Microsoft sender hjem. Folk har sjekket til de grader, rett og slett fordi Microsoft gjorde den tabben ved lanseringen av Windows 10 at de ikke var helt ærlige på hva salgs datautveksling de gjorde - det stod faktisk ikke det samme i personvernsvilkårene den gangen. 

No skriv jo Microsoft at dei samlar inn og brukar alt, so då er det inengting å skrive om.

 

Realiteten er at om Microsoft (og Google for den del) hadde gjort ting akkurat slik som du påstår - så hadde det faktisk skapt et ramaskrik. Ikke nok med det - Microsoft hadde fått så hard medfart i en del EU-organer at selskapet hadde brukket ryggen.

Kvifor i all verda skulle dei det? Microsoft gjer jo ikkje noko ulovleg, so lenge brukarane godtek vilkåra. Dei som ikkje ynskjer å dele alt med Microsoft, kan jo berre la vere å bruke Microsoft-produkt. Verre er det ikkje.

 

 

Unnskylde at jeg sier det - men er du ikke i stand til å lese.

- Punkt 1: Microsoft skriver i klartekst at avhengig av produkt/tjeneste så kan de sende hjem informasjon.

- Punkt 2: Produktet Microsoft Windows 10 virker uten at man har opprettet en konto hos Microsoft og selv om man har stilt inn slik at man ikke kommuniserer med Redmond i det hele tatt. Dvs at man kan bruke Microsoft produkt uten å kommunisere med Redmond. Men som jeg alt har poengtert - dette er ikke standardoppsettet - dessverre.

- Punkt 3: Realiteten er at det har vært "mange" ramaskrik allerede - høsten 2015 var det artikkel etter artikkel på internett om manglende personvern og data som ble sendt tilbake. Microsoft har møtt flere ganger i personverkomiteen i EU pga problemstillingen og pga dette kan ikke Creators Update av Windows 10 installeres uten at du faktisk slår av eller på informasjonsdeling med Microsoft.

 

Så i stedet for å bruker personvernsvilkårene som fasit på at Microsoft sender hjem alt, og ikke ha sett den viktige tekstbiten "avhengig av produkt/tjeneste så kan" så bør du installere Windows 10 uten Microsoft konto, sjekke hvor tight du faktisk kan gjøre installasjonen osv. Det er en grunn til at det amerikanske forsvaret faktisk har bestemt seg for Windows 10, samt anbefaler alle sine ansatte og bruke Windows 10 privat.

Med all respekt å melde: Går det an å være så naiv?

 

Etter flere år med ulike avsløringer om hvordan NSA opererer og hvordan Microsoft og andre samarbeider i ulike kapasiteter. Tror du virkelig at hvis Microsoft kan samle inn data om brukerne, at dette bare er begrenset til ytterst få tilfeller der dette utelukkende gagner brukeren? Dette er en rund formulering, og det er ikke et uhell. De samler inn data de ønsker å samle inn, uvisst hva det er.

Endret av LOH8PDYL
  • Liker 1
Lenke til kommentar

Evry gjer ikkje anna enn å gje brukarane den tenesta dei ber om. Det er brukarane som gjev Bing lov til å indeksere sidene. Evry kan ikkje hindre det, og har ingen rett til å hindre det, so lenge brukarane har overdrege retten til bruk av materialet til Microsoft.

 

 

Herved er du "komiske Ali".. haha s*** ass. 

 

Tror du bør lese hva NSM selv skriver, så KANSKJE du skjønner hvordan dette henger sammen. 

 

https://nsm.stat.no/aktuelt/sokbare-persondata-i-sokemotorer/

  • Liker 1
Lenke til kommentar

 

 

Og realiteten er at Microsoft ikke samler inn så mye, og de sender ikke alt til Redmond. Dersom du virkerlig stiller inn Windows 10 - så kommer den knapt med et pip hjem. Hva Microsoft kan beskyldes for er at de gjennom å sette som standard at man skulle sende en del data hjem og ikke motsatt - at du selv må aktivere mer informasjonsflyt enn knapt et pip.

Dersom Microsoft ikkje hadde sendt eit pip heim, hadde ingen hatt dette problemet.

 

Det er helt feil at folk ikke har sjekket hva Microsoft sender hjem. Folk har sjekket til de grader, rett og slett fordi Microsoft gjorde den tabben ved lanseringen av Windows 10 at de ikke var helt ærlige på hva salgs datautveksling de gjorde - det stod faktisk ikke det samme i personvernsvilkårene den gangen.

No skriv jo Microsoft at dei samlar inn og brukar alt, so då er det inengting å skrive om.

 

Realiteten er at om Microsoft (og Google for den del) hadde gjort ting akkurat slik som du påstår - så hadde det faktisk skapt et ramaskrik. Ikke nok med det - Microsoft hadde fått så hard medfart i en del EU-organer at selskapet hadde brukket ryggen.

Kvifor i all verda skulle dei det? Microsoft gjer jo ikkje noko ulovleg, so lenge brukarane godtek vilkåra. Dei som ikkje ynskjer å dele alt med Microsoft, kan jo berre la vere å bruke Microsoft-produkt. Verre er det ikkje.

 

Unnskylde at jeg sier det - men er du ikke i stand til å lese.

- Punkt 1: Microsoft skriver i klartekst at avhengig av produkt/tjeneste så kan de sende hjem informasjon.

 

Samstundes som dei skriv om dei fleste enkeltprodukta at dei gjer det. Dette er uansett lite interessant. Poenget er at dei kan det og dei gjer det fordi dei kan.

 

- Punkt 2: Produktet Microsoft Windows 10 virker uten at man har opprettet en konto hos Microsoft og selv om man har stilt inn slik at man ikke kommuniserer med Redmond i det hele tatt. Dvs at man kan bruke Microsoft produkt uten å kommunisere med Redmond. Men som jeg alt har poengtert - dette er ikke standardoppsettet - dessverre.

Ulike Windows-produkt er ikkje mi ekspertise. Sist eg var vitne til ein Wintendo-installasjon, for mange versjonar sidan, måtte ein inn med lisensnøklar og styr. Maskina klagde om ho ikkje fekk kontakt med ein tenar som godtok desse. Kan hende dei har komme til vitet no, for ein slik Wintendo-installasjo var vanvittig omstendeleg for einkvar som har installert skikkelege operativsystem. Om denne tenaren ligg fysisk i Redmond eller ikkje er ganske uinteressant.

 

- Punkt 3: Realiteten er at det har vært "mange" ramaskrik allerede - høsten 2015 var det artikkel etter artikkel på internett om manglende personvern og data som ble sendt tilbake. Microsoft har møtt flere ganger i personverkomiteen i EU pga problemstillingen og pga dette kan ikke Creators Update av Windows 10 installeres uten at du faktisk slår av eller på informasjonsdeling med Microsoft.

Dersom det er slik at Windows ikkje kan installerast eller oppdaterast utan at brukaren akrivt gjer eit val, er det i alle fall ingen tvil om at dette er brukarane som ynskjer å dele informasjonen. Evry har ingenting med å hindre brukarane i å gjere det brukarane eksplisitt har uttrykt ynskje om.

 

Så i stedet for å bruker personvernsvilkårene som fasit på at Microsoft sender hjem alt, og ikke ha sett den viktige tekstbiten "avhengig av produkt/tjeneste så kan" så bør du installere Windows 10 uten Microsoft konto, sjekke hvor tight du faktisk kan gjøre installasjonen osv. Det er en grunn til at det amerikanske forsvaret faktisk har bestemt seg for Windows 10, samt anbefaler alle sine ansatte og bruke Windows 10 privat.

Ja, eg reknar med at det USAnske forsvaret har full tilgong til informasjonen som Microsoft samlar inn. Microsoft er jo ein viktig samarbeidspartnar fro NSA, i fylgje lekkasjane frå Snowden. Endret av Sturle S
Lenke til kommentar

Dette er et alvorlig overtramp fra Microsoft sin side.

 

Det er ingen tvil om at Evry og andre kan beskytte disse nettsidene slik at de ikke er tilgjengelig bare med en «hemmelig lenke». Det burde de har gjort, og det er vel det de gjør nå.

 

Når det er sagt så er det jo en masse legitime bruksområder for denne praksisen som ikke lar seg løse med å passordbeskytte (uten å forringe brukeropplevelsen). Her risikerer jeg å dele et fotoalbum eller ei Dropbox-mappe med en noldus som sitter med Microsoft Edge, og så skal liksom Microsoft forbeholde seg retten til å indeksere bildene og filene mine og dele de med verden!?

 

Dette er også helt klart ulovlig i de fleste land Microsoft opererer i. Men de videreformidler selve lovbruddet til brukeren. De lurer brukeren til å godta betingelser som deler dette med Microsoft, og så begår brukere lovbruddet ved å dele innhold med Microsoft som brukeren selv ikke har tillatelse til å dele. Og den som har delt vet ikke at brukeren har gjort det før han finner privat eller sensitiv informasjon i Bing!

 

Og helt på siden: I norsk avtalerett er det sånn at vilkår som kan framstå som urimelige, og som ikke er etablert bransjepraksis, og som ikke påpekes eksplisitt av selger (f.eks. Komplett hvis du kjøper Windows fra de), eller på annet hvis strider mot ufravikelige lover som forbrukerkjøpsloven og personopplysningsloven, ikke er gyldige i norsk rett. Det betyr at store deler av vilkårene til Microsoft og andre internasjonale aktører ikke gjelder i Norge (og mange andre land), selv om de er oversatt til norsk, og selv om Microsoft selv forsøker å håndheve de. Så denne dataoverføringen kan være ulovlig selv om det står i vilkårene.

Endret av LOH8PDYL
  • Liker 2
Lenke til kommentar

Dette er et alvorlig overtramp fra Microsoft sin side.

 

Det er ingen tvil om at Evry og andre kan beskytte disse nettsidene slik at de ikke er tilgjengelig bare med en «hemmelig lenke». Det burde de har gjort, og det er vel det de gjør nå.

Enig i overtrampet. Det MS nå har gjort, som de ikke har gjort tidligere, er å 'ranke' sider som kun har vært besøkt en eneste gang så høuyt at de finner det 'nyttig' å laste ned siden for å indeksere innholdet. På tross av at det kun har vært en eneste forespørsel mot den aktuelle siden (den som er 'gjemt' bak en 'hemmelig' lenke).

Det er dette som tidligere har vært ansett som 'sikkert nok', men ikke lenger er det fordi MS har endret på hva de mener bør indekseres. De har nok 'alltid' samlet opp disse hemmelige lenkene, men det er først nå de da har sendt disse videre til en crawler for å laste de ned.

 

Det er 'nesten umulig' å unngå å bruke slike 'hemmelige' url'er, all den tid dette er den 'normale' måten å fortelle en web-tjener at "brukeren som har denne lenken er autentisert av oss, og har autorisasjon til å se innholdet". Alle lenker i nettbanken din mot visning av efaktura fungerer f.eks slik (da sier enttbanken at du er autentisert og autorisert, og sender deg videre til det fakturahotellet som har lagret selve fakturadokumentet ditt). Det har vært 'normalt' å sikre disse slik at de går ut på tid etter en kort stund, og det gjøres nok i de aller fleste tilfeller. De lenkene som er på denne måten som ikke sikres med tidsutløp, er f.eks de lenkene som blir laget når du skal dele et album eller et dokument hos Google eller Dropbox.

Lenke til kommentar

 

Det er dette som tidligere har vært ansett som 'sikkert nok', men ikke lenger er det fordi MS har endret på hva de mener bør indekseres. De har nok 'alltid' samlet opp disse hemmelige lenkene, men det er først nå de da har sendt disse videre til en crawler for å laste de ned.

 

 

Nei, slike lenker uten noen form for beskyttelse mot søkemotorroboter og ingen eller veldig lang utløpsdato, har aldri vært ansett som "sikkert nok", utenom kanskje av Evry.

 

Igjen, lenker til fakturahotell er beskyttet, det samme er de fleste andre slike tjenester, inkludert Google og Dropbox.

At Evry har lagt ut sensitiv data helt åpent tilgjengelig for alle og enhver, også robotene til Bing, er ene og alene deres egen feil.

  • Liker 2
Lenke til kommentar
1) Hvordan ser du for deg at du skal kunne åpne en efaktura fra nettbanken din uten bruk av 'hemmelig' URL ?

2) Mener du at samtlige banker og samtlige fakturahoteller skal gå inn en SSO-løsning ala DIFI ?

3) Og at samtlige fakturahoteller skal implementere full brukerdatabase med personnummer og tagge enhver efaktura med personnummeret til brukeren ?

4) Eller tenkte du at man skal bruke bank-id en gang til for hver faktura man ønsker å se på fra nettbanken ?

 

 

1) Hva med sånn som de fleste andre gjør det, med autentifikasjonssjekk i en nedlastingsfil i stedet for direkte URLer? 

Det gjør vi, og det gjør nettbanken min. Du får ikke lastet ned en fil fra nettbanken min eller arbeidsgiveren min dersom man ikke er logget på. Dette er ikke noe hokus pokus, det er enkleste form for session-håndtering. 

 

2) Irrelevant. 

 

3) Irrelevant. 

 

4) Det trenger man ikke. Se 1). 

  • Liker 1
Lenke til kommentar

 

 

Med en enkel «site:»-kommando dukket det opp 25 400 søkeresultater på et fakturahotell som tilhører den norske IT-giganten i søkemotoren Bing

 

 

Kanskje dere bør gjøre en oppfølgingssak eller flere. Bing er ikke de eneste som kan gjøre site:-søk på norske organisasjoner, og Sparebank1 er ikke de eneste som bør se over hva som er tilgjengelig over nett. 

 

For eksempel tror jeg man finner mer enn man bør på google-søket site:nif.no GetAttachment faktura

 

 

Nå skal vi ikke være overdrevent kritiske her, NIF har tross alt kun brukt noen hundre millioner på IT de siste åra.

 

 

Tydeligvis noen som har litt for mye penger det der.

  • Liker 1
Lenke til kommentar

1) Hvordan ser du for deg at du skal kunne åpne en efaktura fra nettbanken din uten bruk av 'hemmelig' URL ?

Vil det funke å sende den hemmelige delen i POST data?

 

Såklart IE kan plukke opp dette også, men det ville skapt store problemer å crawle linker med denne informasjonen.

Lenke til kommentar

 

1) Hvordan ser du for deg at du skal kunne åpne en efaktura fra nettbanken din uten bruk av 'hemmelig' URL ?

Vil det funke å sende den hemmelige delen i POST data?

 

Såklart IE kan plukke opp dette også, men det ville skapt store problemer å crawle linker med denne informasjonen.

 

 

Hemmeligheten er ganske riktig mindre synlig da. Men det vil fortsatt være security by obscurity, og dersom siden som inneholder den nødvendige POST-dataen for forespørselen er den som indekseres, er man like langt. Videre er det sånn med løsninger basert på obscurity, at i det øyeblikket noen innser hvordan data er skjult, er det ikke en hemmelighet lengre.

 

Pålogging er fortsatt løsningen.

Endret av tommyb
Lenke til kommentar
Pålogging er fortsatt løsningen.

Og hva, presis, mener du er forskjellen mellom "pålogging" og bruk av post-data til å sende en hemmelig nøkkel? Det blir akkurat det samme. Pålogging er bare sending av brukernavn og passord (den hemmelige nøkkelen) som post-data.

 

 

 

og dersom siden som inneholder den nødvendige POST-dataen for forespørselen er den som indekseres, er man like langt.
I tilfellet med nettbank, som var det jeg svarte på, er man allerede pålogget, så det blir ikke noe problem.
  • Liker 2
Lenke til kommentar

 

Pålogging er fortsatt løsningen.

Og hva, presis, mener du er forskjellen mellom "pålogging" og bruk av post-data til å sende en hemmelig nøkkel? Det blir akkurat det samme. Pålogging er bare sending av brukernavn og passord (den hemmelige nøkkelen) som post-data.

 

Jeg vet ikke hva du vil fram til. I en pålogging ligger aldri post-data lagret i en indekserbar html-fil. Med mindre du med vilje og viten skriver om en login-side til å innholde hemmeligheten, da kan den igjen indekseres. I tillegg er det altså to forskjellige hendelser, pålogging og filnedlasting, og det går ikke an å indeksere to handlinger som én URL.

 

Å ha én indekserbar URL eller side som inneholder en hemmelighet, på et system som bedriver indeksering av slike URLer/filer, betyr at man ingen hemmelighet har.

 

Det stemmer at nettbank-eksemplet ikke er et problem, med mindre de som i faktura-tilfellet, lar være å faktisk sjekke påloggingen.

Endret av tommyb
Lenke til kommentar

I en pålogging ligger aldri post-data lagret i en indekserbar html-fil.

Nei, men det har jeg heller ikke foreslått at det skal gjøre her heller.

 

Det stemmer at nettbank-eksemplet ikke er et problem,

Det var det jeg hadde en løsning på, så da er vi enige.
Lenke til kommentar

Kanskje IT-Norge stoler litt for mye på MS? Tester de ikke browseren for utgående kommunikasjon når de tar i bruk en ny versjon av den? Spesielt der bedriften håndterer sensitiv informasjon gjennom browser, er vel det en test case som burde ligge som default?

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...