Populære Google-produkter lekker posisjonsdata

[Harald Brombach (digi.no)]

Populære Google-produkter lekker posisjonsdata

[spiff42]

Det virker som utviklingen av nye webteknologier de siste årene har gått på bekostning av sikkerheten. På tide å bremse litt og at utviklere bestemmer seg for om det de skal lage er en webside eller en app, i stedet for at "alt" av lokale ressurser skal være tilgjengelig for en tilfeldig nettside. 

Som i dette tilfellet når WebRTC utnyttes for å scanne lokalnettet, og det ikke er deaktivert som utgangspunkt fordi "det kan forstyrre legitime aktiviteter". Da har vi allerede gått langt i feil retning.

Endret 19. juni 2018 av spiff42

[Simen1]

Det virker som utviklingen av nye webteknologier de siste årene har gått på bekostning av sikkerheten.

Sikkerhet i personvernøyemed har knapt vært tema. Tjenesteleverandører har fråtset i info, fraskrevet seg alt ansvar og krevd vanvittige inngrep i privatliv og info de ikke har noe med (som posisjonsinfo, lese meldingene dine, etc) gjennom brukervilkår som bevisst er laget så lange og kompliserte at nesten ingen leser de. Det har vært helt ville lovløse tilstander og folk har fram til nylig ikke hatt noen framtredende organ som forsvarer sine interesser og de har som privatpersoner absolutt null forhandlingskort mot vilkårene til de store tjenestetilbyderne. EU stopper heldigvis mye av galskapen med GDPR. Sammenlign gjerne med hvordan samfunnet har utviklet seg opp gjennom historien. Hvordan småkongers småkriger og teritorier har blitt samlet til nasjoner med grunnlover og siviliserte samfunnsstrukturer. Det er noe sånt som er i ferd med å skje med Internett nå.

[Gjest Slettet+987123849734]

 

Det virker som utviklingen av nye webteknologier de siste årene har gått på bekostning av sikkerheten.

Sikkerhet i personvernøyemed har knapt vært tema. Tjenesteleverandører har fråtset i info, fraskrevet seg alt ansvar og krevd vanvittige inngrep i privatliv og info de ikke har noe med (som posisjonsinfo, lese meldingene dine, etc) gjennom brukervilkår som bevisst er laget så lange og kompliserte at nesten ingen leser de. Det har vært helt ville lovløse tilstander og folk har fram til nylig ikke hatt noen framtredende organ som forsvarer sine interesser og de har som privatpersoner absolutt null forhandlingskort mot vilkårene til de store tjenestetilbyderne. EU stopper heldigvis mye av galskapen med GDPR. Sammenlign gjerne med hvordan samfunnet har utviklet seg opp gjennom historien. Hvordan småkongers småkriger og teritorier har blitt samlet til nasjoner med grunnlover og siviliserte samfunnsstrukturer. Det er noe sånt som er i ferd med å skje med Internett nå.

Ja, det som er i ferd med å skje med internett nå er at regimene rundt om kring i verden ønsker en mye strengere kontroll over hva som er der. Dette gjør man på forskjellige måter, men en fellesnevner er at man bruker argumentasjon som går utpå at "dette gjør vi for å beskytte deg" mens det i realiteten er kun for å beskytte regimet. Eu med GDPR er i så måte intet unntak. Det virker forlokkende i nåværende form, men det kommer til å bli utvidet, på samme måten som eøs avtalen.

[Simen1]

GDPR vil beskytte på alle nivåer, ikke bare internasjonale og nasjonale interesser. Det vil beskytte organisasjoner og bedrifter mot blant annet industrispionasje og kompetanse-kapring, men også helt ned til personlige interesser (utnytting av privat info til markedsføring/individprising osv)

[spiff42]

GDPR vil beskytte på alle nivåer, ikke bare internasjonale og nasjonale interesser. Det vil beskytte organisasjoner og bedrifter mot blant annet industrispionasje og kompetanse-kapring, men også helt ned til personlige interesser (utnytting av privat info til markedsføring/individprising osv)

 

GDPR hjelper jo ikke mot at uærlige aktører utnytter sikkerhetshull som omtalt i denne artikkelen. De som bruker dette til skadevare eller utpressing bryr seg neppe om GDPR.

[Simen1]

Jo, det reduserer kraftig skadeomfanget av slike angrep siden innsamlet materiale reduseres kraftig ved hjelp av GDPR.

 

GDPR betyr blant annet at man skal ha saklig grunn til å lagre ting. Før GDPR ble også alt mulig usakelig lagret. GDPR betyr at noen stilles til ansvar når det skjer lekkasjer. Det betyr at databehandlere har mye sterkere incentiv til å ta sikkerhet på alvor. Altså færre hull og utnyttelser. GDPR betyr også at man får rett til å slette data om seg selv. Tidligere kunne alt mulig bli lagret til evig tid. Nå reduser man selv mengden info som kan lekkes.

[spiff42]

Jo, det reduserer kraftig skadeomfanget av slike angrep siden innsamlet materiale reduseres kraftig ved hjelp av GDPR.

 

GDPR betyr blant annet at man skal ha saklig grunn til å lagre ting. Før GDPR ble også alt mulig usakelig lagret. GDPR betyr at noen stilles til ansvar når det skjer lekkasjer. Det betyr at databehandlere har mye sterkere incentiv til å ta sikkerhet på alvor. Altså færre hull og utnyttelser. GDPR betyr også at man får rett til å slette data om seg selv. Tidligere kunne alt mulig bli lagret til evig tid. Nå reduser man selv mengden info som kan lekkes.

Ja, om GDPR fungerer som det skal så bør det lekke mindre sensitive data ved innbrudd hos bedrifter.

Men GDPR har nok mindre å si for nettlesere og standardiseringsforum som W3C når de utarbeider nye teknologier. Hverken W3C eller Google er vel en databehandler for det jeg har liggende på min egen maskin. Så det vil i beste fall være en indirekte påvirking som kommer etter hvert som en følge av at bransjen tenker på sikkerhet på en annen måte.