Slo-Tech - Oglaševalske agencije in druga podjetja, ki se ukvarjajo s slednjem uporabnikom na internetu, so odkrili nov način sledenja uporabnikom, četudi ti uporabljajo blokiranje tretjih sledilnikov. V ta namen izkoriščajo sistem CNAME, ki omogoča ustvarjanje bližnjic do drugih domen v zapisih DNS. Medtem ko zapis A kaže na naslov IP, ki pripada posamezni domeni, CNAME kaže na drugo domeno. Tako se CNAME uporablja za ustvarjanje aliasov, ki pripadajo dejanski domeni (canonical name). Toda ker razširitve v brskalnikih nimajo dostopa do sloja zahtevkov, ki gre do DNS, ne morejo vedeti, da gre za aliase.

To odpira pot za novi način sledenja, ki se imenuje CNAME Cloaking. Strani, ki jih v to prepričajo ponudniki storitev za sledenje in oglaševanje, lahko ustvarijo nove poddomene (z naključnimi imeni), ki vsebujejo tretje sledilnike. Orodja za preprečevanje sledenja morajo za vsako spletno stran ugotoviti, katero poddomeno uporabljajo za streženje sledilnikov. To pa pomeni, da namesto enega...

Slo-Tech - Facebook je doživel nov vdor, ki pa ni bil hekerski, temveč klasični vlom. Neznani storilec je vdrl v avtomobil zaposlenega v Facebookovem računovodstvu, ki je imel v njem več diskov s podatki o zaposlenih. Šlo je za podatke o 29.000 nekdanjih in sedanjih zaposlenih, ne pa za podatke o uporabnikih. Na diskih so bile tudi plačilne liste, številke zdravstvenega zavarovanja (social security number) in podatki o delniških opcijah ter drugih nagradah. Podatki niso bili šifrirani, zaposleni pa ni imel pristojnosti, da jih odnese iz podjetja v svoj avto.

Vlom se je zgodil že 17. novembra, a je Facebook prizadete uslužbence obvestil šele sedaj. Da so diski pogrešani, so izvedeli 20. novembra, teden dni pozneje pa so ugotovili, kaj je bilo dejansko na njih. Facebook je incident tudi prijavil policiji, a diskov seveda še niso našli. Vsem prizadetim so ponudili dvoletno naročnino na storitev za spremljanje kraje identitete.

Tatvina prenosnih računalnikov ali diskov iz vozil ni tako redek...

Slo-Tech - Krepi se zavedanje, da oblačne storitve pomenijo, da imamo svoje podatke v računalniku nekoga drugega, s čimer se odrečemo delu nadzora nad njimi. Informacijski pooblaščenec v nemški zvezni državi Hessen je v skladu s tem odločil, da je v šolah uporaba Officea 365 (in drugih podobnih oblačnih storitev) nezakonita, ker ni možno zagotoviti varovanja osebnih podatkov. Gre za sklep večletnih javnih debat in preiskav.

Microsoft je pred leti v oblačne storitve v Nemčiji vložil več milijonov dolarjev. Predlani je informacijski pooblaščenec v Hessnu odločil, da je uporaba Officea 365 dopustna, če se zagotovi, da bodo vsi podatki ostali na nemškem ozemlju. Toda lani je Microsoft ugasnil nemški oblak, kar pomeni, da so se podatki ponovno začeli pretakati v ZDA. Ameriška...

ZDNet - Tamkajšnji senat je namreč odobril nadaljnjo obravnavo ustavnega amandmaja, ki bo, če bo sprejet, pravico do varovanja osebnih podatkov na digitalnih platformah uvrstil med temeljne pravice in svoboščine državljanov. Predlagatelji menijo, da je taka zakonska zaščita odgovornost vsake države, uvrstitev med ustavne norme pa pomeni, da država področju priznava določeno pomembnost.

Brazilija v tem pogledu sodi med naprednejše države, saj so tam v začetku leta ustanovili urad nacionalnega informacijskega regulatorja, podoben organ, kot ga poznamo v državah članicah EU. V uradu pripravljajo zakonodajni okvir s tega področja, obenem pa so zadolženi tudi za preganjanje in kaznovanje...

Slo-Tech - Microsoft je naslednje v vrsti podjetij, ki so ugotovila, da obvezno menjanje gesel vsaka dva meseca (ali kaj podobnega) ni dobra varnostna praksa. Zato bodo iz novih inačic Windows 10 Version 1903 (19H1) ter Windows Server v1903 odstranili politiko poteka veljavnosti gesel. To pomeni, da gesla ne bodo več privzeto potekla, temveč bodo organizacije same vpeljale druge načine zaščite pred nepooblaščenim dostopom. To so na primer večstopenjska avtentikacija, zaznavanje napadov s poizkušanjem gesel, zaznavanje neobičajnih prijav, uvedba seznamov prepovedanih (prelahkih) gesel itd. Microsoft teh taktik ne bo vsiljeval, jih bo pa predlagal.

Zavedanje, da prisilno menjanje gesel v rednih časovnih intervalih ne prispeva k varnosti, se je okrepilo v zadnjih...

Slo-Tech - Več kot 100.000 zaposlenih v Googlu je razpršenih po 150 mestih v več kot 50 državah po svetu, kar prinaša svojevrstne izzive pri usklajevanju. Da bi odgovorili na večno vprašanje, ali so oddaljene ekipe prav tako učinkovite in tudi primerno nagrajene, so dve leti analizirali 5600 zaposlenih v ZDA, Aziji, Evropi, Afriki in na Bližnjem vzhodu. Rezultati dvoletne študije so ovrgli hipotezo, da so te ekipe manj učinkovite od centralnih ekip, so pa pokazali, da jih je treba znati pravilno voditi. Oddaljene ekipe se namreč lahko počutijo odrinjene.

V Googlu so namreč ugotovili, da na 39 odstotkih sestankov sodelujejo ljudje iz več mest, na 30 odstotkih sestankov pa...

Beta News - Amazon je obvestil za zdaj še neznano število uporabnikov, da sta bila zaradi tehnične napake njihovo ime in poštni naslov nekaj časa javno objavljena na njihovi spletni strani. V podjetju za zdaj ne želijo odgovarjati na vprašanja, koliko uporabnikov je bilo prizadetih in od kje prihajajo. Njihovo špartansko obvestilo (na sliki) je tako edini način, da izveste ali ste morda med žrtvami tudi vi. Prizadeti uporabniki se sicer na družabnih omrežjih oglašajo iz Evrope in ZDA, iz vsega skupaj pa je moč razbrati, da gre za zasebne in ne poslovne uporabnike.

Amazon sicer zagotavlja, da je napaka odpravljena in da ni prišlo do vdora na njihovo spletno stran ali katerikoli del sistema ter da ni nobene potrebe po zamenjavi uporabniškega gesla. Čeprav bi resnici na ljubo nepridipravi dogodek lahko izkoristili...

Slo-Tech - Funkcija Do Not Track (DNT), ki si jo je pred sedmimi leti izmislila Mozilla za prenos informacij do spletne strani, da obiskovalec ne želi sledenja, se obnese bolj klavrno. Čeprav študije kažejo, da jo uporablja približno četrtina uporabnikov interneta, je večina spletnih strani ne spoštuje.

Zamisel je idealistična in plemenita. Ko odkljukamo to možnost, sporočimo spletni strani, da ne želimo sledenja. Ta bi to morala spoštovati kot džentelmenski dogovor, čeprav je nihče ne more prisiliti v to. In tako večina strani najde izgovore, da tega ne spoštujejo. Najprej so bili problematični brskalniki, ki so privzeto vključili DNT, češ da to ne more odsevati volje uporabnika. Ko se je ta problem rešil, so se našli izgovori....

Slo-Tech - Dva tedna po obsežnem informacijskem napadu na Facebook je podjetje objavilo nekoliko bolj natančne posledice incidenta. Konkretno je bilo ogroženih 30 milijonov uporabniških računov. Od tega so 15 milijonom odnesli podatke o njihovem imenu in kontaktni telefonski številki oz. elektronski pošti ali pa kar oboje. Enako velja za naslednjih 14 milijonov, le da so napadalci pri njih dostopali tudi do podatkov o njihovem spolu, jeziku, partnerski zvezi, religiji, napravah s katerimi dostopajo do Facebooka, izobrazbi, rojstnem datumu, zadnjih desetih obiskanih krajih, mestu njihovega trenutnega bivanja in njihovih zadnjih petnajstih iskalnih poizvedbah. Preostali milijon uporabnikov je bil samo ogrožen, njihovih podatkov ni videl nihče.

Vse skupaj se je začelo...

Europa.eu - Evropska komisija je napovedala nova pravila, ki natančno določajo obveznosti telekomunikacijskih operaterjev v primeru izgube ali kraje osebnih podatkov. Operaterji imajo sicer že od leta 2011 dolžnost, da nacionalne organe in svoje naročnike obveščajo o kršitvah, sedaj pa so predpisi bolje in natančneje definirani.

Tako bodo morala podjetja odslej v roku 24 ur po odkritju kršitve o tem obvestiti nacionalne organe. Če v tem času popolno razkritje ne bo tehnično izvedljivo, bo zadostovalo tudi razkritje začetnih podatkov, preostale pa bodo morali posredovati v naslednjih 72 urah. Hkrati bodo morala navesti, katere informacije so bile prizadete in kakšni so ukrepi za preprečitev ponovitve....

Yahoo News - Težave z implementacijo standarda DNT (do not track) v Internet Explorerju 10 se nadaljujejo. Problem ostaja privzeta vključitev te možnosti v IE 10, zaradi česar se pojavljajo pomisleki, ali dejansko izraža željo uporabnika. Tako je tudi Yahoo napovedal, da DNT v IE10 ne bodo spoštovali.

DNT se vpeljali, da bi lahko uporabniki izrazili svoje želje glede sledenja. Kdor ne želi, da mu spletne strani sledijo s piškotki, stalno hrambo (persistent storage) ali kako drugače, v brskalniku vključi DNT in spletne strani mu (vsaj v teoriji) ne bodo sledile oziroma ga poskušale enolično...

Google - Plačevanje za spletne vsebine je ta hip eden večjih problemov, ki pretresajo časopisno industrijo. Za razliko od papirja so vsebine na spletu tipično brezplačne, uporabniki pa so tega navajeni, tako da bodo raje šli drugam, kakor investirali v plačilo po članku ali mesečno naročnino (paywall, ala nytimes ali piano), oziroma vsaj tako se zdi. Kot eno od rešitev se že dlje časa omenjajo mikroplačila, vendar se ta niso nikoli zares prijela.

Google je medtem mnenja, da lahko zaradi ogromne baze podatkov o spletnih uporabnikih ponudi konkretno in ekonomsko vzdržno alternativo - plačevanje spletnih vsebin z izpolnjevanjem kratkih spletnih anket, povezanih s pravkar gledano vsebino. Ankete dobavijo in plačajo zunanji naročniki, prej oglaševalci, zdaj podjetja, željna tržnih raziskav.

"Surveywall", kot se storitvi "Google...

Slo-Tech - Lani smo prvikrat poročali o novosti, ki jo vpeljala Mozilla in se je do danes dobro prijela. Gre seveda za zloglasno funkcijo DNT (do not track), ki je v brskalniku lahko vključena ali izključena. Če brskalnik dvigne zastavico DNT, potem oglaševalci na spletni strani obiskovalcem ne smejo slediti (s pomočjo piškotkov, persistent storagea ali kako drugače). Podporo standardu so napovedali vsi vodilni proizvajalci brskalnikov, oglaševalci pa so se zavezali, da bodo DNT upoštevali, nadzor pa bo vršila ameriška Zvezna trgovina za trgovino (FTC). Stvari pa so se zapletle z Internet Explorerjem...

Computerworld - Dropbox je izpolnil obljubo, ki so jo dali po izgubi osebnih podatkov pretekli mesec, in uvedel dvostopenjsko avtentifikacijo. Doslej je bil dostop do računa mogoč izključno z uporabniškim imenom (elektronski naslov) in geslom, ki ju napadalci relativno lahko prestrežejo oziroma pridobijo s socialnim inženiringom ali zlonamernimi aplikacijami. Da bi to preprečili ali vsaj otežili, so uvedli preverjanje istovetnosti s SMS-kodo oziroma namenskimi programi.

Kdor bo želel uporabljati novo varnostno storitev, bo moral svojega odjemalca najprej posodobiti na verzijo vsaj 1.5.12. Potem bo na spletni strani Dropbox v svojem računu na zavihku...

Slashdot - Dobre novice iz Redmonda: Internet Explorer 10, napovedan za začetek prihodnjega leta za Windows 7 in 8, bo imel že v privzeti namestitvi vključeno zastavico DNT (Do-not-track). Dobra posledica tega je, da oglaševalci (če jim seveda zaupamo) ne bodo smeli slediti spletni aktivnosti IE uporabnika skozi vključke (fb, twitter, google analytics, idr.) na različnih spletnih straneh.

Prvič smo o tem brali junija, vendar si je zaradi burnega odziva W3C delovne skupine, posebej predstavnice Mozille (ki vodi standard) Microsoft takrat hitro premislil. Natančna kronologija dogodkov je na na voljo na ZDNetu, ampak v bistvu je šlo za to, da jim je Aleecia M. McDonald iz Mozille zabrusila, da češ kaj se pa gredo. Po privzetem vključen...

Slo-Tech - Dva tedna nazaj smo pisali o potencialni kraji baze e-poštnih naslovov nekaterih, predvsem evropskih Dropbox uporabnikov, ki so potem na svoje račune nenadoma začeli dobivati spam. Incident bi najbrž šel mimo neopažen, če med prizadetimi uporabniki ne bi bilo številnih, ki so za Dropbox uporabljali specifični email naslov oz. alias, tako da takšen naslov v roke spammerjev ni mogel priti drugače kot z vpletanjem omenjenega ponudnika. No, Dropbox je obljubil, da bo raziskal, in zgleda so. Njihov odgovor ponuja zanimivo lekcijo iz varnosti gesel ter diskovja na spletu.

Kot pišejo na svojem blogu, se je vse skupaj začelo s krajo uporabniških podatkov na neki tretji strani (ne piše kateri), nakar so tamkajšnji...

The Verge - Dva dni nazaj so Dropboxovi evropski uporabniki utrpeli krajši 20-minutni izpad storitve, kmalu po tem pa so na uporabniškem forumu začele deževati pritožbe o nenadnem navalu spama, predvsem od evropskih ponudnikov internetnih igralnic in športnih stavnic. Med pritožniki je veliko uporabnikov, ki pravijo, da za Dropbox uporabljajo poseben, unikaten e-poštni naslov (npr. yahoo! mail alias), ki edini prijema spam in ki ni nikjer drugje v uporabi, namigujoč, da se je nekaj resnega moralo zgoditi prav pri Dropboxu. Resnega v smislu kraje baze uporabniških podatkov.

Upravitelji strani so se, po lanskem valu nenehnih težav (glej spodaj) odzvali še kar hitro. Za začetek pravijo, da je torkov izpad storitve...

Bloomberg - Kot poroča Bloomberg, se Google z nedavno potezo zaobhajanja varnostnih nastavitev v brskalniku Safari ni najbolj zapisal pri ameriškem tržno-potrošniško-informacijskem inšpektoratu Federal Trade Comission. Grozi jim kazen nad 10 milijoni dolarjev, prva sploh v taki višini za kršitve zasebnosti na spletu, potem pa najbrž še en postopek zaradi podobnih mahinacij v brskalniku Internet Explorer. Širše gledano je pod vprašanjem njihova zaveza spoštovanja opt-out sistema Do-Not-Track, ki ga skupaj z drugimi proizvajalci brskalnikom pospešeno predstavljajo kot sprejemljivo rešitev za varovanje spletne zasebnosti.

Če na hitro spomnimo (glej tudi slikco): Applov spletni brskalnik Safari po privzetem...

Slashdot - Vsa večja spletnišča, npr. Facebook, Bing, Googlova družina (iskalnik, Gmail, blogi, skupine, strani z google ads/analytics aka pol interneta), ustvarijo znaten del svojih prihodkov z oglaševanjem, pri čemer je pomembno, da uporabniku prikažejo čim bolj relevantne oglase, ker se s tem verjetnost klika bistveno poveča (ti. behavioral advertising). V ta namen je treba o uporabniku vedeti čim več, zlasti katere spletne strani išče/obiskuje, in to daljše časovno obdobje. Sledenje se izvaja na podlagi uporabniškega imena (če je prijavljen), piškotkov, IP naslova, informacij v zaglavju, referrerju, barvah že obiskanih povezav in verjetno še (marsi)čem. Podatke sistematično zbirajo in obdelujejo, nakar...