» »

Kdo vse ne priznava novega ZEKom

1 2
3
»

FrizzleFry ::

With all due respect, ampak po bitkah so vsi lahko generali. Direktiva je iz leta 2009, ne spomnim se, da bi se takrat kaj dosti pisalo, kakšna groza naj bi to bila, sedaj so pa v enem mesecu vsi hitri na tipkovnicah. Še v času sprejemanje ZEKom bolj ali manj tiho je bilo.

Matthai, sorry, ampak mešaš jabolka in hruške.

ad Prvič. Nehajmo se slepiti, da predstavljamo reprezentativen vzorec populacije. Moj fotr in tvoja soseda ne razlikujeta brskalnika od interneta, kaj šele piškotki, tor ipd. Ljudje na splošno NIMAJO POJMA o tem. Imajo pa, se strinjaš, enake pravice kot mi. Zakaj bi se morali sami braniti pred invazivnimi posegi drugih, če pa imamo po ustavi pravico, da lahko sami o tem odločamo? Zakaj v realnem svetu ne dopuščamo česa takega? A bomo po trgovinah hodili za ad blockerji, bomo po defaultu vključeni v klub zvestobe in bi se lahko le kasneje odjavili (opt-out)? Ja, morda je res 15 let prepozno (pa ni, ker tracking takrat imho ni bili niti približno takšen kot 2009), ampak kaj, a potem nikoli?

Pasivno sledenje je načeloma že regulirano, ker pomeni zbiranje osebnih podatkov. Če bi vsi blokirali vse piškotke in bi se oglaševalci zatekli k pasivnim metodam, bi tudi to imelo reakcijo EU. Ker tako kot pravim, na dolgi rok ne moreš imeti netransparentnih praks do potrošnikov, sploh če so vmes še človekove pravice, kot je pravica do informacijske samo-determinacije, ki jo ljudem teptaš.

ad Drugič.
Se strinjam glede perspektive, a potem bi to vprašanje preložili še za 15 let, ker imamo drugje težave.

Sicer pa, še nobenega pametnega predloga nisem prebral, samo jamranje - kako bi pa drugače spisali direktivo?

CyberDuck ::

Zgolj obvestilo nekje na strani, da se uporabljajo piškotki bi bilo dovolj! Sedaj moraš pa pisati imena piškotkov in zakaj se uporabljajo, lepo vas prosim. Šli smo v skrajnost...

poweroff ::

FrizzleFry je izjavil:

Direktiva je iz leta 2009, ne spomnim se, da bi se takrat kaj dosti pisalo, kakšna groza naj bi to bila, sedaj so pa v enem mesecu vsi hitri na tipkovnicah. Še v času sprejemanje ZEKom bolj ali manj tiho je bilo.

Slo-Tech je seveda pisal o tem, ampak večina novinarjev niti web adminov ni dojela zakaj gre. Dokler jih ni zadeva zadela v obraz. Darwinizem, ali kako se že temu reče... ;)

FrizzleFry je izjavil:

Zakaj bi se morali sami braniti pred invazivnimi posegi drugih, če pa imamo po ustavi pravico, da lahko sami o tem odločamo?

Se popolnoma strinjam. In podpiram takšno ureditev, čeprav sem imel tudi sam osebno nekaj malega dela z njo.

Pravim samo, da nismo rešili kaj dosti. Kot rečeno. S Panopticlick se sedaj da slediti tako, da se niti tisti, ki imamo znanje, ne moremo izogniti temu nadzoru. Prišli smo torej iz dežja pod kap.

FrizzleFry je izjavil:

Če bi vsi blokirali vse piškotke in bi se oglaševalci zatekli k pasivnim metodam, bi tudi to imelo reakcijo EU.

Točno to se že dogaja. Na trgu so že prve rešitve za to, so pa še razmeroma drage in malo razširjene. Zato ni dovolj, da se EU usede v naslonjač, si prižge cigaro in zadovoljno razmišlja kaj je naredila za uporabnike. Treba je ukrepati takoj. Ker čez 10 let bodo te rešitve že čisto preveč razširjene.

FrizzleFry je izjavil:

Se strinjam glede perspektive, a potem bi to vprašanje preložili še za 15 let, ker imamo drugje težave.

Ne pravim, da bi morali zaradi tega čakati z direktivo. Pravim pa, da se ne smemo slepiti, da smo na področju zasebnosti dosegli kakšen velik premik in ob tem pustiti, da gre Prism afera gladko mimo. Spet - treba je ukrepati takoj.
sudo poweroff

Ales ::

Glede ukrepanja se popolnoma strinjam. V prvi vrsti je potrebno izkoristiti inercijo, ki je nastala ob implementaciji tega zakona in poskrbeti, da bo dejansko implementiran v praksi.

Veliko obiskanih slovenskih strani krši zakon, oz. je strani neustrezno prilagodila. Začeti bi bilo potrebno tukaj in to podpreti z izobraževanjem uorabnikov strani. Potem nadaljevati z manjšimi spletnimi mesti.

Glede fingerprintinga brskalnikov - pa saj to je zajeto tudi s tem zakonom, a ni?

Shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, je dovoljeno samo pod pogojem...

Če torej spletno mesto dostopa do podatkov, shranjenih v terminalski opremi uporabnika (fingerprint brskalnika, itd.), to spada pod uredbe tega zakona. Ali ne tolmačim prav?

Druga stvar je, kako detektirati tako početje. Vsekakor je precej težje izsledljivo, kot je nastavljen piškotek ali ID uporabnika v URL-ju ali kodi strani.

poweroff ::

Ne. ID se generira iz tvojega unikatnega podpisa brskalniškega okolja. Nič se ne shranjuje v terminalsko opremo uporabnika.

Po domače povedano - kot bi nekdo na podlagi tvojega glasu ali osebnega videza izračunal tvoj fingerprint.

Zaznati... praktično nemogoče.
sudo poweroff

Daedalus ::

ID se generira iz tvojega unikatnega podpisa brskalniškega okolja.


Okoli tega se verjetno da priti. Odvisno predvsem, kaj sestavlja unikatni podpis brskalniškega okolja. Links, please.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

poweroff ::

Obstajajo plugini, ampak vprašanje ali si želiš stalno deinštalirati fonte, spreminjati resolucijo zaslona, itd. Da se, ampak je bistveno bolj komplicirano kot blokada cookijev.

Sicer se pa sprašujem kakšno izbiro imam? Če se s cookiji ne strinjam, mi toliko časa mori po zaslonu da lahko samo neham brati stran ali pa klknem "soglašam". Freedom of choice...

link: panopticlick.eff.org.
sudo poweroff

Daedalus ::

Podatke, ki jih browser pošilja naokoli, se da spoofati.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

čuhalev ::

Recimo s tem: https://addons.mozilla.org/en-us/firefo...

Sicer je potem malo bedno, ker se spletne strani prilagodijo ,,verziji" browserja in vse izgleda nekaj na pol.

poweroff ::

Kot rečeno, spoofanje je trenutno proti blokadam cookijev znanstvena fantastika.
sudo poweroff

Ales ::

poweroff je izjavil:

Ne. ID se generira iz tvojega unikatnega podpisa brskalniškega okolja. Nič se ne shranjuje v terminalsko opremo uporabnika.

Po domače povedano - kot bi nekdo na podlagi tvojega glasu ali osebnega videza izračunal tvoj fingerprint.

Zaznati... praktično nemogoče.

Razumem, kako deluje, profesionalno se ukvarjam s spletnimi tehnologijami in tudi živo se zanimam za s tem povezane stvari... Kar hočem reči je, da zakon obravnava tudi branje, ne samo pisanje.

Pravi "ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika"... Brez da bi se spuščal na nivo protokolov itd., čisto poljudno napisano:

1) uporabnik izrecno zahteva URL
2) brskalnik se poveže na spletno mesto
3) spletno mesto prebere podatke, ki jih brskalnik pošlje

Do tukaj vse jasno in tudi legitimno in legalno, saj so to podatki, ki služijo za prenos sporočila po elektronskem komunikacijskem omrežju, nujno potrebni za zagotovitev storitve informacijske družbe, uporabnik je to izrecno zahteval. Ampak tukaj se zadeva zaplete.

Uporabnik je poslal npr. podatek o svojem IP-ju z namenom, da sporoči kam spletno mesto pošlje odziv. Poslal je podatek o nameščenih fontih z namenom, da spletno mesto ustrezno prikaže font. Isto glede jezika, itd.

Za prenos sporočila po elektronskem komunikacijskem omrežju ali za zagotovitev storitve informacijske družbe so torej to edini nameni, za katere lahko spletno mesto te podatke uporabi.

V kolikor pa spletno mesto te podatke uporabi za to, da iz njih generira unikaten ID obiskovalca, to ni nujno potrebno za zagotovitev storitve informacijske družbe, ki jo naročnik ali uporabnik izrecno zahteval. To torej ne spada pod 2. člen ZEKom-1 in upravljalec mora pridobiti predhodno soglasje.

Nimam prav?

Glede detekcije pa seveda ni kaj reči. Praktično nemogoče. Jaz bi se proti temu v prvi vrsti boril na strani terminalske opreme uporabnika, s čim boljšo anonimizacijo poslanih podatkov.

poweroff ::

Hmm, morda imaš celo prav. Vprašanje za Pooblaščenko.

Bega me le to, da te podatke brskalnik sam sporoča (svojo verzijo, fonte, itd. - zato se tudi reče "browser chattering"). Torej ne gre za dostopanje v klasičnem smislu.
sudo poweroff

Gregor P ::

Jaz to razumem kot osebni podatek oz. nek niz značilnosti, ki lahko privedejo do tega, da je oseba vsaj določljiva, če ne že kar določena.:8)
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

matejdro ::

Fonte moraš ročno prebrati z javascriptom in jih poslati, enako z seznamom pluginov. Tisto, kar browser sam pošlje pa ni dovolj za fingerprint. https://panopticlick.eff.org/browser-un...

Zgodovina sprememb…

  • spremenil: matejdro ()

Ales ::

Okej, moram resnično pogledati, kaj se kot minimum pošilja pri komunikaciji spletnega mesta in brskalnika, da bom pravilno obveščen.

poweroff je izjavil:

Hmm, morda imaš celo prav. Vprašanje za Pooblaščenko.

Bega me le to, da te podatke brskalnik sam sporoča (svojo verzijo, fonte, itd. - zato se tudi reče "browser chattering"). Torej ne gre za dostopanje v klasičnem smislu.


Tehnično gledano gre v vsakem primeru za request / response / request... itd. Enkar ko prideš na nivo protokolov, je dostopanje samo request za podatki in posledično response. Mislim, da bi moralo biti kljčuno s kakim namenom se kaj pošlje (velja tako za request kot za response).

Če IP ni obveščena o teh primerih, bi jo morda morali resnično dodatno informirati.

FrizzleFry ::

Evo pa spet - udri ga v tehnikalije, pa stran od bistva.

Glavni point je, da se bodo morali trackerji počasi zavedati, da na dolgi rok njihov netransparenten model ni obstojen. Ne moreš zaupanja v oglaševanje in zbiranje podatkov temeljiti na obskurnosti in prelaganju odgovornosti na uporabnike. Kot če bi bil po defaultu včlanjen v klub zvestobe, ki bi te profiliral in ciljno oglaševal, ti bi se pa lahko branil z nekimi dodatki. "saj vas zastonj spustimo v našo trgovino!" Oglaševalci se lahko otepajo kolikor hočejo, a enkrat bodo morali uvideti, da je konec tega modela (razen, če, kot sem rekel EU poklekne pred ameriškim korporacijskim kapitalom na račun človekovih pravic; žal tudi likley scenario). Tona ljudi dela na do-not track-standardu...kje bodo pa dinarčki za ogašeavalce, če bi ga vsi uporabniki imeli?

Pasivno slednje. Torej bo tudi to napadeno, če ni - kot rečeno - posredno že urejeno z zakonodajo o varstvu osebnih podatkov. Če ti namreč loge spletnega strežnika uporabljaš zato, da enolično razilkuješ med uporabniki (tido če te ne zanima njihovo ime/identifiakcija) in jim na tej podlagi serviraš prilagojene oglase - ja to pa že pade pod obstoječo direktivo in zakon o varstvu osebnih podatkov. Torej si spet na privolitivi. Sooner or later, they will have to face it.

Je pa seveda razumljivo, da se bodo otepali, dokler bo to finančno ugodneje oz. možno.

Spc ::

Čista bedarija, vse slovenske spletne strani te zdaj posiljujejo z temi pop up-i, na večina straneh lahko samo izbereš "se strinjam" in nič drugega, zakaj torej sploh obvestilo če nima uporabnik možnosti "ne"?
To si je lahko samo bedak tak zakon izmislil.
 

Spc ::

Daedalus je izjavil:

Podatke, ki jih browser pošilja naokoli, se da spoofati.

Obstaja kakšen mod recimo za firefox ali drug browser, ki prepreči pošiljanje browser podatkov ?
 

stb ::

Spc je izjavil:

Daedalus je izjavil:

Podatke, ki jih browser pošilja naokoli, se da spoofati.

Obstaja kakšen mod recimo za firefox ali drug browser, ki prepreči pošiljanje browser podatkov ?

Obstaja dodatek za Firefox: FireGloves
 nastavitve

nastavitve

Ales ::

Spc je izjavil:

Čista bedarija, vse slovenske spletne strani te zdaj posiljujejo z temi pop up-i, na večina straneh lahko samo izbereš "se strinjam" in nič drugega, zakaj torej sploh obvestilo če nima uporabnik možnosti "ne"?
To si je lahko samo bedak tak zakon izmislil.


Ne krivit zakona za napačno implementacijo... Tole, da imaš samo "se strinjam", je kršenje zakona.

Zgodovina sprememb…

  • spremenil: Ales ()

ender ::

Ales je izjavil:

Ne krivit zakona za napačno implementacijo... Tole, da imaš samo "se strinjam", je kršenje zakona.
Tudi če je implementacija pravilna, za 99,9% uporabnikov to ne spremeni nič - ker imajo zdaj itak (skoraj) vse strani to obvestilo, se bodo uporabniki preprosto navadili, da kliknejo še en "V redu" več, da nadležno obvestilo izgine.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

s1m0n ::

Če so piškotki za prijavo itd je verjetno dovolj, da je le obvestilo, da se strinjaš, če pa imaš dodatne stvari, analitika, socialni vstavki... pa je potrebna možnost izklopa le-teh.

stb ::

Spletna mesta bi lahko inicialno upoštevala uporabnikove izrecne želje tudi brez prikaza nadležnih dialogov.
Bodisi z upoštevanjem Do not track (DNT) http headerja ali prek javascript vmesnika navigator.doNotTrack.

W3C specifikacija: http://www.w3.org/TR/tracking-dnt/
Testna stran: http://www.browserleaks.com/donottrack

raufnk ::

poweroff je izjavil:

... Bega me le to, da te podatke brskalnik sam sporoča ...

Ampak po drugi strani brskalnik sam od sebe sporoča tudi piškotke ... tudi če jih spletna stran ne zahteva.

Recimo, da je spletna stran pred zakonom uporabljala piškotke, nato pa je bilo upraviteljem lažje jih odstraniti, kot pridobiti soglasje. Brskalnik bo tiste stare piškotke še vedno z veseljem sporočal sam od sebe, pa jih nihče več ne bere.
lp raufnk

Zgodovina sprememb…

  • spremenil: raufnk ()

poweroff ::

Ne, piškotke zahtevaš.
sudo poweroff

raufnk ::

Kako to misliš?
Njihov zapis res zahteva stran ... ko pa v brskalniku enkrat obstajajo, pa jih ta pošilja z vsakim svojim requestom za tisto stran in ni važno, če jih kdo na drugi strani hoče ali ne.
lp raufnk

Zgodovina sprememb…

  • spremenil: raufnk ()

raufnk ::

Primer: neka stran uporablja piškotke, jaz pa domeno odkupim (samo domeno, ne strežnike). Vsi uporabniki, ki so dobili piškotke na prejšnji strani in nato obiščejo še mojo novo stran, mi bodo njihovi brskalniki avtomatsko poslali vse obstoječe domenske piškotke, čeprav jih jaz nisem zahteval.
lp raufnk

Ales ::

To je res, brskalnik to počne "sam".

Najprej spletno mesto v headerju HTTP responsa nastavi piškotek (Set-Cookie: ...), kasneje brskalnik vsakič pošilja ta piškotek nazaj kot del HTTP request headerja (Cookie: ...).

Piškotek se torej nastavi samo enkrat in nikoli več ne zahteva, brskalnik ga pošilja sam. Tako je specificaran protokol (RFC 6265).

Skratka, če se je vmes spremenila vsebina spletnega mesta ali celo lastnik domene, tega brskalnik ne more vedeti. Piškotek bo brskalnik pošljal še naprej, dokler ta ne poteče ali pa dokler ga v brskalniku nekdo ne pobriše. V praksi imajo nekateri piškotki expire več let v prihodnosti... No, samo spletno mesto lahko tudi naknadno npr. nastavi expire time piškotka v preteklost in tako povroči praktično takojšen izbris v brskalniku.

V wiresharku se nastavljanje in vračanje piškotka lepo ujame s filtrom
http.set_cookie || http.cookie

nsignific ::

Medtem ko se strinjam, da je najbolj črn scenarij zlorabe teh podatkov lahko hud, je v praksi... kaj? Namesto random reklam vidiš reklame, ki te morda, vsake toliko, dejansko zanimajo.

Vse skupaj je popolnoma analogno ameriški čezmerni reakciji na terorizem. Brez slabe vesti lahko rečem, da je vse skupaj malce noro. Še posebej ko vidim v katere smeri se vsake toliko diskusija zasuče tudi tukaj, na Slo-techu.

Manu ::

Znano je, da podatki, ki so zbrani glede tvoje uporabe spleta ostanejo na internetu praktično za vedno. Govorim predvsem o podatkih za katere ne veš, da se zbirajo o tebi.

Ti podatki niso pomembni sami po sebi (razen za vohunjenje ali države ali pa podjetij nad posameznikom). Zato je bolj smiselno, da jih ni, torej da se sploh ne zapišejo. Zaradi tega, ker jih ni, ne bo splet nič manj uporaben se pa zmanjša njihova zloraba.

Mislim, da ne gre za pretirano reakcijo. Toliko se govori o pravicah avtorjev, da razpolagajo s svojim delom kakor oni hočejo (in dejansko gredo zadeve v to smer, kot lahko vidimo pri novi politiki zaračunavanja programske opreme Adobeja in sposoja oz. prodaja iger za igralne konzole), tako da je prav, da ima posameznik kontrolo glede podatkov, ki se zbirajo o njem.

Ni lep občutek, ko nekdo ve nekaj o tebi, medtem ko ti o drugih ne veš nič. Ti podatki se lahko tudi zlorabijo in škodujejo karieri in osebnemu življenju. Zasebnost je torej pomemben element kvalitetnega življenja.

Zakaj bi podjetja sploh karkoli vedela o tebi? Je to nujno potrebno? Ne. Zato so ti zakonski predpisi pravzaprav na prijazen način povedat podjetjem, naj pazijo kaj zbirajo in kaj počnejo s podatki, ki profilirajo posameznika.

Nekaj člankov o zlorabi podatkov s strani vladnih uslužbencev in podjetij: Google balances privacy, reach, How Companies Now Know Everything About You, Abuse of personal data in Bulgaria, Data Abuse.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

Spc ::

Bolj ko gledam te slovenske strani bolj so nadležni z temi okni in pop-upi.
Hvala bogu obstaja hide element za ad block plus.
8-)
 

trizob ::

Kaj pa podatki, ki jih strani shranjujejo na naše računalnike potom Flash-a?

http://www.macromedia.com/support/docum...
1 2
3
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Transparentna Slovenija #7: Tudi spletna stran ZD Nova Gorica si zasluži nekaj ljubez

Oddelek: Novice / Zasebnost
3410767 (6944) aerie
»

Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (2)

Oddelek: Novice / Omrežja / internet
4414894 (11534) MrStein
»

Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (3)

Oddelek: Novice / Zasebnost
199203 (6937) primoz4p
»

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Oddelek: Novice / Zasebnost
3014107 (11677) ExtraBacon
»

ZEKom-1 po dveh tednih (strani: 1 2 )

Oddelek: Novice / Zasebnost
9319779 (14716) jype

Več podobnih tem