» »

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Sejni piškotki v Psihiatrični bolnišnici Ormož

Slo-Tech - Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana, namenjeno naročanju pacientov na preglede preko spleta, ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov. Ta določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri prenosu zdravstvenih podatkov preko spleta se je Informacijski pooblaščenec lotil že pred nekaj leti. Zato smo lahko na Slo-Techu z dostopom do informacij javnega značaja pridobili odločbo številka 0612-190/2010/ z dne 1. 3. 2011. V njej je IP-RS neznanemu zavezancu (iz odločbe izhaja, da gre za bolnišnico) odredil, da mora pri elektronskem naročanju na spletni strani zavarovati prenos osebnih podatkov z uporabo uveljavljenih kriptografskih metod.

Kaj to pomeni v praksi? Državni nadzornik je v okviru inšpekcijskega pregleda ugotovil, da spletna stran zavezanca za elektronsko naročanje ne uporablja uveljavljenih kriptografskih metod za zagotovitev zaupnosti in celovitosti podatkov, se ne izkazuje z zaupanja vrednim digitalnim potrdilom, sam prenos podatkov med brskalnikom uporabnika in spletnim strežnikom zavezanca pa ni zavarovan HTTPS. Zato po mnenju IP-RS zavarovanje osebnih podatkov pri elektronskem naročanju med prenosom ni bilo skladno z zahtevami Zakona o varstvu osebnih podatkov.

Tako leta 2011. In kakšno je stanje danes?

Površen pregled spletnih strani slovenskih bolnišnic razkrije, da HTTPS šifriranja pri naročanju pacientov preko spleta ne uporabljajo vsaj tri bolnišnice. Posledično lahko pridemo do zaključka, da se v zadnjih šestih letih na tem področju ni prav veliko spremenilo.

Splošna bolnišnica Celje
Prva bolnišnica, ki ne uporablja HTTPS povezav je Splošna bolnišnica Celje. Med obveznimi podatki, ki jih morajo vnesti pacienti, ki se želijo prijaviti na posege in preglede, je med drugim tudi zdravstvena diagnoza. Seveda poleg imena, priimka, naslova, kontaktov ter številke kartice zdravstvenega zavarovanja.

Splošna bolnišnica Celje uporablja samo HTTP



Spletna stran sicer sploh nima podpore za HTTPS; če do spletne strani Splošne bolnišnice Celje skušamo dostopati preko HTTPS, nas strežnik preusmeri na spletno stran Inženirske zbornice Slovenije.

Psihiatrična bolnišnica Ormož

Psihiatrična bolnišnica Ormož



Naslednja bolnišnica, ki pri naročanju preko spleta nima HTTPS podpore je Psihiatrična bolnišnica Ormož.

Psihiatrična bolnišnica Ormož nima HTTPS podpore



Pri njih je poleg ostalih podatkov potrebno obvezno vnesti tudi EMŠO. Tudi ta spletni strežnik sploh nima podpore za HTTPS. Če skušamo dostopati do korena spletnega strežnika, pa se znajdemo na privzetem Plesk Parallels panelu.

Dostop do korena spletnega strežnika preko HTTPS...



Bolnišnica Postojna

Bolnišnica Postojna uporablja samo HTTP



Tretja bolnišnica, ki smo jo "zalotili" brez HTTPS podpore, je Bolnišnica Postojna. Pri njih je pri naročanju preko spleta poleg imena, priimka, datuma rojstva, ipd. potrebno obvezno vnesti še datum zadnje menstruacije ter predvideni rok poroda.

Nepodpora HTTPS pri Bolnišnici Postojna



Tudi ta strežnik nima podpore za HTTPS povezave, v primeru, da želimo do korena spletišča dostopati preko HTTPS, pa nas strežnik preusmeri na Plesk upravljalski vmesnik.

Dostop do Bolnišnice Postojna preko HTTPS nas preusmeri na skrbniško stran



Prioritete, prioritete...
Po naših neuradnih podatkih, naj bi Informacijski pooblaščenec na področju zdravstva po našem prvem članku na temo HTTPS v zdravstvu že pričel s preverjanjem, ali slovenske zdravstvene ustanove v primeru naročanja na preglede preko spleta uporabljajo HTTPS šifriranje. To je vsekakor dobrodošla novost, saj so pri Informacijskem pooblaščencu do sedaj imeli drugačne prioritete.

Iz letnega poročila IP-RS za leto 2015 (letno poročilo za leto 2016 še ni dostopno) namreč izhaja, da so leta 2015 na podlagi prejetih prijav v zasebnem sektorju opravili 57 ogledov spletnih strani in sicer večinoma v zvezi s spletnimi piškotki (glej stran 43). Da se Informacijski pooblaščenec precej ukvarja s spletnimi piškotki je sicer vidno tudi iz dejstva, da so leta 2013 izdali tudi Smernice o uporabi piškotkov na spletnih straneh. Zdi se torej, da so bili za IP-RS (vsaj do nedavnega) spletni piškotki eden glavnih problemov zasebnosti na spletu.

Po drugi strani pa na spletni strani IP-RS najdemo tudi Smernice za zavarovanje osebnih podatkov v informacijskih sistemih bolnišnic. Podrobno branje dokumenta razkrije, da v njem HTTPS šifriranje ni nikjer omenjeno, dolžnost zavarovanja prenosa zdravstvenih podatkov preko spleta pa je omenjena zgolj na splošno.

Bolnisnica Postojna - obvestilo o piškotkih

Splošna bolnišnica Celje - obvestilo o piškotkih



Prioritete našega uradnega varuha zasebnosti smo lahko opazili tudi pri našem pregledu. Dve izmed treh bolnišnic, ki pri naročanju pacientov ne uporabljajo nobene zaščite, sta na spletu imeli obvestilo o spletnih piškotkih. Obvestila nima le Psihiatrična bolnišnica Ormož, res pa je, da uporablja zgolj sejne piškotke.



Očitno so pretekle aktivnosti Informacijskega pooblaščenca v zvezi s piškotki dosegle svoj namen. Zdaj pa je morda čas, da vodstvo IP-RS posveti čas tudi drugim vidikom spletne varnosti in morda pripravi tudi kakšne smernice na področju uporabe šifrirnih mehanizmov na spletu. Vprašanje je namreč, ali je naša zasebnost na področju zdravstva zaradi obvestil o piškotkih kaj bolj zaščitena, kot bi bila, če obvestil ne bi bilo. Kaj pomaga zagrinjanje oken z zavesami, če pa so vrata odprta na stežaj?

Tu pa pridete na vrsto vi. Če je kdo od vas/vaših bližnjih pri kateri od navedenih bolnišnic preko spleta oddal svojo napotnico, potem lahko na Informacijskega pooblaščenca poda prijavo.

30 komentarjev

carota ::

Neodgovorno razkritje!

Mislim na to, da se IP ukvarja s piškotki namesto s čim pametnim.

OK.d ::

Kakor drugje je naše zdravstvo v k... tudi na spletu:P
LPOK.d

Jux ::

Onkološki ima tudi prijavo prek http. Poslati je treba napotnico.
web&blog&etc: http://lukabirsa.com

zmaugy ::

A to ima vsaka ordinacija svojega IT provajderja? A se IT/nabavni oddelki posameznih bolnic nič ne pogovarjajo med sabo?

poweroff ::

Jux je izjavil:

Onkološki ima tudi prijavo prek http. Poslati je treba napotnico.

Kje to vidiš?

Jaz vidim HTTPS: https://www.onko-i.si/za_javnost_in_bol...
sudo poweroff

Primoz ::

@Matthai: vmes se je vklopilo :D

Drugače pa certifikat kupljen prejšnji teden :P
There can be no real freedom without the freedom to fail.

Zgodovina sprememb…

  • spremenil: Primoz ()

l0wc4 ::

Ja in sedaj bodo s vklopom HTTPS vse bolnišnice rešile vse težave tega sveta. Ne bodo. To, da so zdaj na vrat na nos šli kupovat certe, da so jim zunanje IT firme, to namestile, je ponovno davkoplačevalce stalo X tisoč EUR. Tako, da razen tega, da se je to šlampasto poštimalo, ni bilo narejeno čisto nič drugega.

Kot drugo, ja bolnišnice in podobne ustanove imajo svoje IT oddelke, ki velikokrat štejejo natanko 2 človeka in še ta sta v popolno breme bolnišnici (v živo slišal od ene direktorce bolnišnice). Sedaj smo s takimi članki še tem revežem 100x bolj zagrenili življenje, ker je to delo padlo na njih in ravno ta dva, sta bila prejšnji teden pri zagovoru pri direktorju ustanove, ki jima je je..l mater, ker je vse to prišlo na SLO-TECH in verjetno še kam.

Morda, bi končno nekdo v tej hebeni državi napisal članek o tem, kako je tukaj informatika nizko cenjena, da smo ITjevci povsod nujno zlo in hebena stranka, ki prav tako kakor gasilci, policaji in reševalci delamo 23/7, da jim sistemi laufajo. To, da laufajo šlampasto pa ni vedno odvisno od nas, saj je za določene stvari potrebno dati X.000,00 EUR, ki si jih raje eni stlačijo v svoje lastne žepe.

poweroff ::

Ne razumem zakaj bi plačeval težke denarje za 5 minut dela?

Generiranje certifikata - minuta.
Generiranje optimalnega HTTPS configa s pomočjo spletne storitve - minuta.
Podpisovanje z Let's Encrypt - 2 minut in brezplačno.
Implementacija vsega skupaj na strežnik - minuta.

Mimogrede, SSL test Onkološkega instituta je odlično A: https://www.ssllabs.com/ssltest/analyze...

Razlog je pa po moje v tem, da so zadevo delali na Agendi. Očitno ima Linux pozitiven vpliv na razvoj možganskih kapacitet sistemcev...
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

Markoff ::

Naslednja bolnišnica, ki pri naročanju preko spleta nima HTTPS podpore je Psihiatrična bolnišnica Ormož.

Hmm, kako pomenljivo.

Iz letnega poročila IP-RS za leto 2015 (letno poročilo za leto 2016 še ni dostopno) namreč izhaja, da so leta 2015 na podlagi prejetih prijav v zasebnem sektorju opravili 57 ogledov spletnih strani in sicer večinoma v zvezi s spletnimi piškotki (glej stran 43).

And that's how the cookie crumbles!
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • spremenilo: Markoff ()

l0wc4 ::

poweroff je izjavil:

Ne razumem zakaj bi plačeval težke denarje za 5 minut dela?

Generiranje certifikata - minuta.
Generiranje optimalnega HTTPS configa s pomočjo spletne storitve - minuta.
Podpisovanje z Let's Encrypt - 2 minut in brezplačno.
Implementacija vsega skupaj na strežnik - minuta.

Mimogrede, SSL test Onkološkega instituta je odlično A: https://www.ssllabs.com/ssltest/analyze...

Razlog je pa po moje v tem, da so zadevo delali na Agendi. Očitno ima Linux pozitiven vpliv na razvoj možganskih kapacitet sistemcev...


Govoriš, kot da ne veš kako tečejo določeni procesi v JU. A s tem, da TI konstantno pljuvaš po vsem kar ni TI, ne delaš usluge IT stroki.

Vem kdo si, vem česa si sposoben in česa ne. In glede na to, da veš vse, veš tudi to, da to kar si zgoraj napisal, skoraj da ni mogoče razen, če bi resnično vse to pomenilo totalno katastrofo in bi bila zadeva nujna. Sedaj pa si mislijo dobesedno tole "jao spet tej geeki" ....

stb ::

Šifriranje SMTP prometa namenoma zanemarjate?
Nekatere inštitucijo ta kanal priporočajo za naročanje zdravnikom.
Če povem več bo pa to že kdo smatral za neodgovorno razkritje...

SeMiNeSanja ::

stb je izjavil:

Šifriranje SMTP prometa namenoma zanemarjate?
Nekatere inštitucijo ta kanal priporočajo za naročanje zdravnikom.
Če povem več bo pa to že kdo smatral za neodgovorno razkritje...

Sem se zadnjič pogovarjal z nekom, ki je, če se prav spomnim, sam testiral, koliko SMTP strežnikov na svetu podpira STARTTLS ukaz. Bil sem presenečen, ker je omenjal neko zelo visoko številko (nekje proti 80%?).

Predvidevam, da do tega pride zato, ker SMTP strežniki niso tako zelo izbirčni glede certifikatov in se nič ne pritožujejo čez avtomatsko nameščene self-signed certifikate. Načeloma ti pomagajo, da se sporočilo prenese v kriptirani obliki. Ne zagotavljajo pa, da je bilo sporočilo dejansko oddano na strežnik, kateremu je bilo namenjeno. Vendar v svetu SMTP-ja je to spet trivialna zadeva, ker se lahko sporočila reroutajo preko tretjih strežnikov...

Dejanska zaščita torej na koncu spet zavisi od tega, če smo sami zakriptirali posredovano vsebino ali ne. Potem pa še vedno ostane vprašanje, če bo prejemnik sploh v stanju, da dešifrira tako posredovano sporočilo.

l0wc4 ::

Najbolje, da gredo vsi na Protonmail. :D
Ali pa si vsi postavimo strežnike po vzoru Lavabita.
https://darkmail.info/downloads/dark-in...

SeMiNeSanja ::

Popravek: - mislim, da je bilo testiranih top 1000 ali top 10000 svetovnih domen glede STARTTLS-a.

Glede na to, da so to TOP domene, se lahko pričakuje, da so tu zadeve vsaj kolikor toliko bolje pošlihtane, kot pri miljonih domen na koncu lestvice.
Istočasno pa mnoge domene na repu lestvice uporabljajo mail storitve svojih providerjev, Googla, Office365 ipd., kjer so zadeve tudi nekoliko bolj urejene.

poweroff ::

l0wc4 je izjavil:

Govoriš, kot da ne veš kako tečejo določeni procesi v JU.

Natančno vem kako potekajo stvari v JU. In tudi vem, da ni nujno, da je tako.

Poznam kar nekaj primerov, ko so ljudje v JU stagnirali in nismo zmogli ničesar. Ko so pa prišli v zasebni sektor, oziroma, ko so šli na svoje, so pa pokazali neverjetno voljo do življenja in delavnost. Zakaj tega ne pokažejo v JU me ne zanima, vem pa, da je večina v JU sposobna delavnosti. Bo pač časov lagodnega življenja konec.

stb je izjavil:

Šifriranje SMTP prometa namenoma zanemarjate?
Nekatere inštitucijo ta kanal priporočajo za naročanje zdravnikom.

Ne, ne zanemarjamo. Pride na vrsto. Pa ni samo šifriranje problem pri mail serverjih... Še zdaleč ne. :))

Lahko pa ti narediš analizo in spišeš.
sudo poweroff

SeMiNeSanja ::

Pri mail serverjih je že to zanimivo, da so večinoma odprti na pop3 in imap proti svetu. Če strežnik potem ne zaklepa uporabniških imen in IP naslovov v primeru poskusa brutforce napada, potem šele lahko zadeva postane zanimiva.... Lahko kar pozabiš na STARTTLS in podobno.... Dovolj, da imaš kakšne uporabnike, ki ne vedo, kaj je to 'šibko geslo'....

l0wc4 ::

poweroff je izjavil:


Poznam kar nekaj primerov, ko so ljudje v JU stagnirali in nismo zmogli ničesar. Ko so pa prišli v zasebni sektor, oziroma, ko so šli na svoje, so pa pokazali neverjetno voljo do življenja in delavnost. Zakaj tega ne pokažejo v JU me ne zanima, vem pa, da je večina v JU sposobna delavnosti. Bo pač časov lagodnega življenja konec.

Vidiš in tu je težava - ker te ne zanima, ker ga je lažje pljunit in mu zabit nož v hrbet. Kaj pa če je ta oseba le nemočna pri določenih odločitvah? Kot sem rekel, napiši članek o tem, kako je IT v JU podcenjen, kje so vzroki za to, katera zunanja podjetja so uničila IT v JU ipd. To bo TOP bran članek in ne samo na SLO-TECHu ampak marsikje drugje. Občasno se kaj pojavi na PodČrto, ampak tam napisano je zelo zelo daleč od resnice.

SeMiNeSanja ::

Jaz sem pa prepričan, da bi Matthai pro bono prišel vklopiti https in zgenerirati tisti certifikat, samo da bi ga vprašali ;((

estons ::

l0wc4 je izjavil:

Vidiš in tu je težava - ker te ne zanima, ker ga je lažje pljunit in mu zabit nož v hrbet. Kaj pa če je ta oseba le nemočna pri določenih odločitvah? Kot sem rekel, napiši članek o tem, kako je IT v JU podcenjen, kje so vzroki za to, katera zunanja podjetja so uničila IT v JU ipd. To bo TOP bran članek in ne samo na SLO-TECHu ampak marsikje drugje. Občasno se kaj pojavi na PodČrto, ampak tam napisano je zelo zelo daleč od resnice.


+1

poweroff ::

l0wc4 je izjavil:

Vidiš in tu je težava - ker te ne zanima, ker ga je lažje pljunit in mu zabit nož v hrbet. Kaj pa če je ta oseba le nemočna pri določenih odločitvah?

Ja, kult nemočne žrtve je v Sloveniji zelo razširjen.

Ta nemočna žrtev lahko interno opozarja. Lahko pokaže malo samoinciativnosti. Lahko gre delat drugam.

Lahko pa tiho trpi, samo potem mora sprejeti tudi druge posledice.

l0wc4 je izjavil:

Kot sem rekel, napiši članek o tem, kako je IT v JU podcenjen, kje so vzroki za to, katera zunanja podjetja so uničila IT v JU ipd. To bo TOP bran članek in ne samo na SLO-TECHu ampak marsikje drugje. Občasno se kaj pojavi na PodČrto, ampak tam napisano je zelo zelo daleč od resnice.

Zakaj pa ti ne napišeš takega članka?

Verjetno zato, ker je lažje piti pivo za šankom in udrihati po tipkovnici.
sudo poweroff

l0wc4 ::

l0wc4 je izjavil:


Verjetno zato, ker je lažje piti pivo za šankom in udrihati po tipkovnici.

Ker kolikor berem, pišeš ti kar precej po Slo-Techu in to je bil le predlog. Ni potrebno da se počutiš napadenega saj nisi nemočna žrtev. Lahko pa vedno napadeš tudi močnejše in ne samo šibke, ki se morda res niso sposobni branit. To, da sem predlagal, da ga ti napišeš je bila pohvala, saj sem očitno želel omeniti, da si sposoben razkriti take in drugačne nepravilnosti, ker imaš dovolj znanja in veš pisat. Jaz znanje imam, ne vem pa zadev zapisati na način, da bodo ljudem predstavljene na način, da bi bilo le to zanje zanimivo.

Naj ti bo izziv razkrinkati nesposobne vodje IT-ja v slovenski JU.

hruske ::

Da ne bo pomote - zaposleni v JU niso žrtve. Javno izpostavljanje nepravilnosti včasih komu znotraj JU pomaga, da nadrejenemu upraviči sanacijo obstoječega sranja, ker sicer ti ne razumejo čemu se nekaj sploh dela, ampak vidijo samo strošek in določenih ukrepov pač ne podprejo dokler za njih ni politične volje.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator

l0wc4 ::

hruske je izjavil:

Da ne bo pomote - zaposleni v JU niso žrtve. Javno izpostavljanje nepravilnosti včasih komu znotraj JU pomaga, da nadrejenemu upraviči sanacijo obstoječega sranja, ker sicer ti ne razumejo čemu se nekaj sploh dela, ampak vidijo samo strošek in določenih ukrepov pač ne podprejo dokler za njih ni politične volje.


+1

Ampak, da pride do tega traja zelo zelo zelo dolgo.

Markoff ::

hruske je izjavil:

Da ne bo pomote - zaposleni v JU niso žrtve. Javno izpostavljanje nepravilnosti včasih komu znotraj JU pomaga, da nadrejenemu upraviči sanacijo obstoječega sranja, ker sicer ti ne razumejo čemu se nekaj sploh dela, ampak vidijo samo strošek in določenih ukrepov pač ne podprejo dokler za njih ni politične volje.

Strokovno se temu reče, ko se verjetnost udejanjenja tveganja približuje gotovosti, se stvari začnejo hitro premikati.
Po drugi strani se skoraj vsi bojijo ZJN/DRK in če nečesa ne moreš zelo konkretno upravičiti, se tega raje ne greš.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

krjul ::

zmaugy je izjavil:

A to ima vsaka ordinacija svojega IT provajderja? A se IT/nabavni oddelki posameznih bolnic nič ne pogovarjajo med sabo?

Skoraj tako je, ja. Dobavitelji se borijo proti temu, da bi se zdravstveni zavodi združevali pri nabavah strojne ali programske opreme. Tako lahko vsakega posebej olupijo. Microsoft si je leta prizadeval in prepričeval posamezen zavod, da pristopi k EA, na koncu pa naredil akcijo in se sistematično lotil tega preko združenja in dobil kar lep odziv.
IT oddelki v zdravstvu pa so za management samo ena od podpornih služb - nujno zlo, kot ostale administrativne službe (nabava, kadrovska, finance ...). Vsi tukaj zaposleni sodijo v skupino J po ZUJF-u in so najslabše plačani. Poleg tega se ne da zaposlovati novih ljudi (tudi zaradi ZUJF-a). Če že upravičiš zaposlitev in dobiš dovoljenje, dobiš pa zaradi pogojev (plače predvsem) ... hecne ljudi na razgovor. Glumce ali pa čisto frišne iz šole, ki bi bili kar takoj neki vodje. In tako postanejo IT oddelki proxy-ji med potrebami zavoda in dobavitelji. Kak PC še znajo pošraufat in printer zamenjat, ostalo pa outsourcing.
Zdravstveni delavci so svoja, višja kasta.
Plus ustanovitelj bolnic (sekundarni nivo) je Ministrstvo, ustanovitelj zdravstvenih domov (primarni nivo) pa občine. Če že pride do nekega sodelovanja med zavodi, je to med tistimi na istem nivoju. Drugače se preveč krešejo interesi, zakomplicirajo postopki nabave ipd.

poweroff ::

Aja, pa če smo že pri dvornih IT dobaviteljih. Na KPK smo naredili analizo: https://pravokator.si/wp-content/upload... - glej prosojnici 9 in 16. Če se prav spomnim, je bilo narejeno tudi eno malo bolj obsežno poročilo prav na temo IT v javni upravi, ampak tisto je ostalo na KPK.
sudo poweroff

poweroff ::

LOL: slovenske bolnišnice še vedno ne na HTTPS, pornografske spletne strani pa na HTTPS testu kar z oceno odlično!
sudo poweroff

Saul Goodman ::

poweroff je izjavil:

LOL: slovenske bolnišnice še vedno ne na HTTPS, pornografske spletne strani pa na HTTPS testu kar z oceno odlično!


porno industrija je za razliko od slovenskega zdravstva serious business! :))

Sinissa ::

Saul Goodman je izjavil:

poweroff je izjavil:

LOL: slovenske bolnišnice še vedno ne na HTTPS, pornografske spletne strani pa na HTTPS testu kar z oceno odlično!

:)
porno industrija je za razliko od slovenskega zdravstva serious business! :))


Točno to. Zaupanje je denar. + Ljudi bolj skrbi, kdo ve, katere pornografije gledajo, kot to, kdaj so naročeni na neki pregled. Za njih so to bolj senzitivni podatki, tako da nič LoL.

ExtraBacon ::

Sej tut sam IP-RS nima ustrezno nastavljenega web strežnika. Manjka jih naprimer HSTS header, tako da MITM napad z sslstrip ni problem. Piškotki tudi nimajo "secure" in "httponly" zastavice (toliko o temu, da so stručkoti za piškotke).


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sodišče EU: Če imate Facebookove vtičnike na svoji spletni strani, ste soodgovorni za (strani: 1 2 )

Oddelek: Novice / NWO
7324028 (16433) hfvby65
»

Transparentna Slovenija #7: Tudi spletna stran ZD Nova Gorica si zasluži nekaj ljubez

Oddelek: Novice / Zasebnost
3411703 (7880) aerie
»

Transparentna Slovenija #5: Spletni trgovini s spolnimi pripomočki razkrili svoje kup (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
12550654 (28368) Saul Goodman
»

Ima bolnišnica Izola problem z razumevanjem delovanja interneta? (strani: 1 2 )

Oddelek: Novice / Zasebnost
7227296 (20251) MMKK
»

Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (2)

Oddelek: Novice / Omrežja / internet
4416403 (13043) MrStein

Več podobnih tem