» »

Transparentna Slovenija #2: Razkriti tekači Istrskega maratona

Transparentna Slovenija #2: Razkriti tekači Istrskega maratona

Mapa spletne strani Istrski-maraton.si je bila široko odprta v splet

Slo-Tech - Društvo Istrski maraton, ki je organizator istoimenskega maratona na slovenskem Primorju, za svojo spletno stran uporablja platformo Wordpress. Organizatorji mednarodnega dogodka (spletna stran je tako v Slovenščini kot Italijanščini in Angleščini) so imeli podobno »učinkovito začito« na spletni strani kot spletna trgovina Kidstar.si. Če je uporabnik k URL naslovu spletne strani dodal »/uploads«, je lahko dostopal do vseh računov in dobavnic (popravek: do 10 predračunov generiranih v spletni trgovini), ki jih je društvo izdalo.



Tako je lahko kdorkoli, brez dodatnega računalniškega znanja, dostopal do osebnih podatkov udeležencev maratona in kupcev izdelkov, ki jih društvo prodaja prek spleta.
Primeri računov strank:






Informacije o varnostnem incidentu smo pred objavo članka posredovali Informacijskemu pooblaščencu, z objavo pa počakali do umika spornih vsebin s spleta.

Dopolnitev s strani organizatorja: Zaradi spregleda je bilo le izjemno kratek čas možno dostopati do izključno 10 predračunov spletne trgovine, ki je urejena v sklopu spletne strani Istrskega maratona. Iz teh predračunov je vidno, da so posamezniki naročili tekaško majico ali ovratno rutico. Nikakor ne moremo sprejeti vaših trditev, da je možno dostopati do računov in podatkov tekačev Istrskega maratona. Seznam prijavljenih tekačev je objavljen in viden cel čas na naši spletni strani, s to objavo se tekači strinjajo že ob prijavi.

52 komentarjev

strani: « 1 2

#000 ::

Pri straneh z wordpresom ni za pričakovati učinkovitih zaščit, saj te strani večinoma delajo "wanabe" developerji in začetniki.
Se trudim da ne hranim trolov.

harvey ::

V čem je sploh logika imeti predračune/račune v mapi na strežniku?
Degoo 100Gb Free Backup Storage
https://degoo.com/g/aJlhm7b| signup 3Gb+
------

#000 ::

harvey je izjavil:

V čem je sploh logika imeti predračune/račune v mapi na strežniku?


Generirani PDF-i kateri se pošljejo na email pri nakupu, katere se pa pozabi brisati :)
Se trudim da ne hranim trolov.

Bwaze6 ::

Mislim da bi se morali Slo-techovci nehati posluževati nevarnih hekerskih orodij (kot je Google Search) in prenehati dobronamernim firmam uničevati popolnona delujoče sisteme shranjevanja podatkov.

Kdo bo plačeval za vse te popravke?

/s

war-dog ::

harvey je izjavil:

V čem je sploh logika imeti predračune/račune v mapi na strežniku?

Da uporabnik lahko sname račun, če ga pri sebi (mailbox) zbriše?
Object reference not set to an instance of an object.

c3p0 ::

#000 je izjavil:

Pri straneh z wordpresom ni za pričakovati učinkovitih zaščit, saj te strani večinoma delajo "wanabe" developerji in začetniki.


Primer enega, več kot 100 strani naredil v WP in jih vzdržuje, ne ve pa kaj je wp-config.php, brez pretiravanja. Ko se kaj zalomi, je tu restore.

kotnikd3 ::

Čakam novico, v kateri bo pisalo, da lahko na www.nlb.si/klik/kotnikd3/stanje z zahtevkom GET preverimo stanje na mojem računu, z zahtevkom POST pa ...

GizmoX ::

kotnikd3 je izjavil:

Čakam novico, v kateri bo pisalo, da lahko na www.nlb.si/klik/kotnikd3/stanje z zahtevkom GET preverimo stanje na mojem računu, z zahtevkom POST pa ...
Morda ne bo potrebno dolgo čakati - prihaja PSD2.;)
udirač => uni. dipl. inž. rač.

RegulusDraco ::

ma koga zavrata brigajo te reči?!

Dobra imena firm se uničuje samo zato ker je parim slo-techovcem na smrt dolgčas in zdaj na veliko iščejo napake povsod -.-


Ja, web developerji so ena taka trapasta bitja, ki večinoma reči delajo šlampasto in na pol, ker drugače ne morejo konkurirat poceni študentski delovni sili, ki dela klavrne wordpress strani.....ampak te strani so pač vse kar stranka želi plačat.
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

Janez00 ::

RegulusDraco je izjavil:

ma koga zavrata brigajo te reči?!

Dobra imena firm se uničuje samo zato ker je parim slo-techovcem na smrt dolgčas in zdaj na veliko iščejo napake povsod -.-


Ja, web developerji so ena taka trapasta bitja, ki večinoma reči delajo šlampasto in na pol, ker drugače ne morejo konkurirat poceni študentski delovni sili, ki dela klavrne wordpress strani.....ampak te strani so pač vse kar stranka želi plačat.


Resno?
Ne gre za dolgčas in zlonamerno početje, gre za opozarjanje na problem, ki se ga premalo problematizira. Ali celo pometa podpreprogo. Kot bi to ti naredil, očitno.

Ah ampak ne, za naša življenja je bolj pomembno, kako je Kobal naredil plagiat. Ali kako je Plestenjak nekaj rekel.

Baja ::

dobro ime so si sami zapravili. tako ali tako bo folk cez teden dni pozabjo in gremo naprej po starem.

potrebno bi bilo obvstiti vse prizadete (še poseba glede SBI), potem pa bi se mogoče kaj premaknilo ko bi folk nardil štalo.

edit: a niso dolžne te firme same obvestit oškodovancev?

Zgodovina sprememb…

  • spremenil: Baja ()

Bwaze6 ::

Dobro ime?

Če tako obratujeta Ljubljanski klinični center in Bolnišnica Izola, je to pač državni standard. Zakaj bi bil potem ob dobro ime?

>:D

Looooooka ::

Ce se bomo primerjali z najslabsimi in ne z najboljsimi bomo verjetno vedno na sprejemljivem polozaju.

RegulusDraco ::

Janez00 je izjavil:

RegulusDraco je izjavil:

ma koga zavrata brigajo te reči?!

Dobra imena firm se uničuje samo zato ker je parim slo-techovcem na smrt dolgčas in zdaj na veliko iščejo napake povsod -.-


Ja, web developerji so ena taka trapasta bitja, ki večinoma reči delajo šlampasto in na pol, ker drugače ne morejo konkurirat poceni študentski delovni sili, ki dela klavrne wordpress strani.....ampak te strani so pač vse kar stranka želi plačat.


Resno?
Ne gre za dolgčas in zlonamerno početje, gre za opozarjanje na problem, ki se ga premalo problematizira. Ali celo pometa podpreprogo. Kot bi to ti naredil, očitno.

Ah ampak ne, za naša življenja je bolj pomembno, kako je Kobal naredil plagiat. Ali kako je Plestenjak nekaj rekel.



samo zdolgočasen geek bo šel preverjat kje lahko dostopa do podatkov, do katerih ne sme dostopat. Običajen človek tega ne bo delal.

Tako da problem je samo v zdolgočasenih slo-techovcih ki so zdaj postali social justice warriorji.

Želite rešiti problem? nehajte zaposlovat študente za izdelavo spletnih strani.
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

Baja ::

ko se bodo na googlu znajdli tvoji občutljivi podatki, boš hitro obrnil ploščo.

imagodei ::

#000 je izjavil:

Pri straneh z wordpresom ni za pričakovati učinkovitih zaščit, saj te strani večinoma delajo "wanabe" developerji in začetniki.

Pa saj do zdaj smo menda že ugotovili, da Wordpress sam po sebi niti ni problematičen - če ima podjetje spletno stran za predstavitev in za osnovno komunikacijo z javnostjo. Problem je, ko se šalabajzerji brez ustreznega znanja lotijo v Wordpressu postavljat spletno stran, ki na tak ali drugačen način gosti tudi dokumente z občutljivo vsebino, osebnimi podatki...
- Hoc est qui sumus -

RegulusDraco ::

Baja je izjavil:

ko se bodo na googlu znajdli tvoji občutljivi podatki, boš hitro obrnil ploščo.


ne, ne bom. Še vedno bom trdil da je problem v študentski delovni sili na kateri sloni slovenska izdelava spletnih strani.

Spletne trgovine niso problem. Problem so web-developerji, ki so tako sranje naredili. Običajno pa spletna trgovina ne naredi sama trgovine ampak najame neko firmo............

In mi se zdaj lahko pizdimo kot zmešani, pa to ne bo rešilo niečsar. Spletna trgovina bo najela drugo firmo za izdelavo spletne trgovine in spet bo nek random študent naredil skrpucalo.

Ker če firme, ki izdelujejo spletne strani ne bi zaposlovale študentov, bi bile popolnoma nerentabilne.


_ničesar_ ne bomo dosegli s kurcanjem specifičnih spletnih strani....oni s tem nimajo _ničesar_. Izdelovalci so krivi.
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

boolsheat ::

RegulusDraco je izjavil:

Baja je izjavil:

ko se bodo na googlu znajdli tvoji občutljivi podatki, boš hitro obrnil ploščo.

In mi se zdaj lahko pizdimo kot zmešani, pa to ne bo rešilo niečsar. Spletna trgovina bo najela drugo firmo za izdelavo spletne trgovine in spet bo nek random študent naredil skrpucalo.

Ker če firme, ki izdelujejo spletne strani ne bi zaposlovale študentov, bi bile popolnoma nerentabilne.


_ničesar_ ne bomo dosegli s kurcanjem specifičnih spletnih strani....oni s tem nimajo _ničesar_. Izdelovalci so krivi.


Ne drži - bolj kot se bo "kurcalo" višji bo standard manj bo tega. Ne bo pa to čez noč... Ne bodi tako kratkoviden... Hvala bogu, da so se začeli pojavljati ti članki slo-techu...

Zgodovina sprememb…

  • spremenil: boolsheat ()

Baja ::

nima veze kje je problem. če se na njega ne bo opozarjalo se ne bo nič spremenilo.

ti pa pizdiš čez geeke, medtem ko so iskalniki tole že vse lepo poindeksirali pa še kakšen ocr cez spustili. zdaj pa paciente iz izole posiljujejo z reklamami za zdravila.

imagodei ::

RegulusDraco je izjavil:

samo zdolgočasen geek bo šel preverjat kje lahko dostopa do podatkov, do katerih ne sme dostopat. Običajen človek tega ne bo delal.

Ta, al pa nekdo, ki ti želi namerno škodovat. Morda tudi kakšne 3-črkovne agencije, ki na veliko zbirajo prosto dostopne podatke. Podjetja, ki se specializirajo za zbiranje in obdelavo osebnih podatkov, pa ki imajo SW, ki samodejno preverja spletne strani za tako vsebino, zadaj pa AI, ki analizira tako zbrane PDF-e, OCR-ja vsebino...

RegulusDraco je izjavil:

Tako da problem je samo v zdolgočasenih slo-techovcih ki so zdaj postali social justice warriorji.

Želite rešiti problem? nehajte zaposlovat študente za izdelavo spletnih strani.

Saj se po eni strani strinjam s tem; pa tudi s tem, kar je BigWhale zapisal v povezani novici:
Sicer sem zlo gorec zagovornik GDPRja in zakonov o varstvu osebnih podatkov ampak taksni javni linci nekih mikro podjetij so neumnost. Resno, ce bi radi naredili kaj dobrega, potem taksnim podjetjem pomagajte, da bodo stvari uredili tako kot jih morajo. Tukaj je pa precej ocitno, da se sami ne vedo kaj bi morali narediti in je povsem realna moznost, da jih je tudi izvajalec nategnil.

Ampak problem je tule v resnici drugje. Gre za odnos do varnosti v IT-ju oziroma v splošnem tudi za odnos lastnikov podjetij in direktorjev do področja IT-ja. Problematika je sicer širša, direktorji IT velikokrat vidijo kot strošek. "Varčuje" se na opremi, strežnikih, backupu in osebju - managerji ravno dovolj malo poznajo IT, da delajo škodo, ko mislijo, da vedo bolje od strokovnjakov. Direktorji se zgražajo že, ko se kupuje prenosnike za zaposlene v vrednosti 1.000 € - zakaj le, če pa dobiš v Hoferju prenosnik za 450 € že z DDV-jem?! Menjava strežnika? Zakaj le, saj smo ga menjali 5 let nazaj - a ne bo zdržal še 2 leti? Moderna požarna pregrada? Kaj pa je narobe z Asus routerjem za 100€ - direktorju ga je postavil sosedov mulec in ful dobr dela, še VPN funkcijo ima!

Prav v manjših podjetjih pride to še bolj do izraza - večje firme vseeno po pravilu imajo kompetentne IT managerje, ki vodstvu znajo argumentirat zahtevat ureditev področja - čeprav izjeme zagotovo obstajajo. V manjših podjetjih je pa hitro dobro. In ista logika kot sem jo opisal v prejšnjem odstavku (zakaj ne prenosnik iz Hoferja, zakaj ne Asus požarne pregrade za 100 €) se uporablja tudi pri iskanju rešitev za B2C komuniciranje prek spleta. Najcenejši ponudnik, ne glede na kompetence.

In če nas večinoma ne briga, kako direktor neke poljubne firme "varčuje" na strežnikih in prenosnikih za svoje zaposlene, nas bi pa še posebej moralo zanimat, kako varuje, ko se tiče osebnih podatkov njihovih strank. Vzrok za oba problema je isti, ko pa enkrat pride do zajeba, je pa impakt pri osebnih podatkih precej širši kot pa pri odpovedi strežnika.
- Hoc est qui sumus -

RegulusDraco ::

Baja, ni res.


Če jaz naročim krovca da mi naredi streho na hiši in jo naredi za en drek tako da voda teče k sosedu me bo sosed pizdil...prav.... jaz bom naročil novemu krovcu da to popravi, pa to ne bo naredilo ničesar, ker bo drugi krovec tudi za en drek.

In prejšnjega krovca bo za mano najelo še na tisoče ljudi, ker nihče ne bo vedel da je za en drek.

Lahko skurcate lastnika hiše, lahko pa direktno izvajalca del.


In pri spletnih straneh praktično vedno piše kdo jih je naredil. Kurcajte izvajalce, ne lastnike strani.

imagodei je izjavil:

RegulusDraco je izjavil:

samo zdolgočasen geek bo šel preverjat kje lahko dostopa do podatkov, do katerih ne sme dostopat. Običajen človek tega ne bo delal.

Ta, al pa nekdo, ki ti želi namerno škodovat. Morda tudi kakšne 3-črkovne agencije, ki na veliko zbirajo prosto dostopne podatke. Podjetja, ki se specializirajo za zbiranje in obdelavo osebnih podatkov, pa ki imajo SW, ki samodejno preverja spletne strani za tako vsebino, zadaj pa AI, ki analizira tako zbrane PDF-e, OCR-ja vsebino...

RegulusDraco je izjavil:

Tako da problem je samo v zdolgočasenih slo-techovcih ki so zdaj postali social justice warriorji.

Želite rešiti problem? nehajte zaposlovat študente za izdelavo spletnih strani.

Saj se po eni strani strinjam s tem; pa tudi s tem, kar je BigWhale zapisal v povezani novici:
Sicer sem zlo gorec zagovornik GDPRja in zakonov o varstvu osebnih podatkov ampak taksni javni linci nekih mikro podjetij so neumnost. Resno, ce bi radi naredili kaj dobrega, potem taksnim podjetjem pomagajte, da bodo stvari uredili tako kot jih morajo. Tukaj je pa precej ocitno, da se sami ne vedo kaj bi morali narediti in je povsem realna moznost, da jih je tudi izvajalec nategnil.

Ampak problem je tule v resnici drugje. Gre za odnos do varnosti v IT-ju oziroma v splošnem tudi za odnos lastnikov podjetij in direktorjev do področja IT-ja. Problematika je sicer širša, direktorji IT velikokrat vidijo kot strošek. "Varčuje" se na opremi, strežnikih, backupu in osebju - managerji ravno dovolj malo poznajo IT, da delajo škodo, ko mislijo, da vedo bolje od strokovnjakov. Direktorji se zgražajo že, ko se kupuje prenosnike za zaposlene v vrednosti 1.000 EUR - zakaj le, če pa dobiš v Hoferju prenosnik za 450 EUR že z DDV-jem?! Menjava strežnika? Zakaj le, saj smo ga menjali 5 let nazaj - a ne bo zdržal še 2 leti? Moderna požarna pregrada? Kaj pa je narobe z Asus routerjem za 100EUR - direktorju ga je postavil sosedov mulec in ful dobr dela, še VPN funkcijo ima!

Prav v manjših podjetjih pride to še bolj do izraza - večje firme vseeno po pravilu imajo kompetentne IT managerje, ki vodstvu znajo argumentirat zahtevat ureditev področja - čeprav izjeme zagotovo obstajajo. V manjših podjetjih je pa hitro dobro. In ista logika kot sem jo opisal v prejšnjem odstavku (zakaj ne prenosnik iz Hoferja, zakaj ne Asus požarne pregrade za 100 EUR) se uporablja tudi pri iskanju rešitev za B2C komuniciranje prek spleta. Najcenejši ponudnik, ne glede na kompetence.

In če nas večinoma ne briga, kako direktor neke poljubne firme "varčuje" na strežnikih in prenosnikih za svoje zaposlene, nas bi pa še posebej moralo zanimat, kako varuje, ko se tiče osebnih podatkov njihovih strank. Vzrok za oba problema je isti, ko pa enkrat pride do zajeba, je pa impakt pri osebnih podatkih precej širši kot pa pri odpovedi strežnika.





Dokler obstajajo študentske spletne agencije bodo ljudje vedno njih najemali, ker so cenejši.

Ljudje na izvajalce spletnih strani gledajo kot na vulkanizerje...koga briga kako je narejeno? Sej to zna narediti človek brez izobrazbe, gume pa se itak stakne nekje na internetu poceni.

Ali se da ultimat izvajalcem spletnih strani ali pa se ne bo spremenilo nič. Ljudje bodo vedno vzeli najcenejšo rešitev, drugače spletna trgovina ni rentabilna.
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

RegulusDraco ::

In ja, sčasoma potem taki spletni razvojniki zrastejo v razvijalce, ki delajo spletne strani za pomembnejše stranke.

In če so si nekoč dovolili nekaj narediti poceni, brez da bi imeli spodnjo mejo sprejemljivega...zakaj bi bilo tam kaj drugače?
A coding sequence cannot be revised once it's been established.

imagodei ::

RegulusDraco je izjavil:

ni res.


Če jaz naročim krovca da mi naredi streho na hiši in jo naredi za en drek tako da voda teče k sosedu me bo sosed pizdil...prav.... jaz bom naročil novemu krovcu da to popravi, pa to ne bo naredilo ničesar, ker bo drugi krovec tudi za en drek.

In prejšnjega krovca bo za mano najelo še na tisoče ljudi, ker nihče ne bo vedel da je za en drek.

Lahko skurcate lastnika hiše, lahko pa direktno izvajalca del.


In pri spletnih straneh praktično vedno piše kdo jih je naredil. Kurcajte izvajalce, ne lastnike strani.

No, na področju varovanja osebnih podatkov ne bo šlo tako zlahka. Če imajo z izvajalcem kakšno pogodbo - zagotovo. Če jim je izvajalec spletno stran postavil leta 2014 po točnih specifikacijah (EDIT: od takrat pa z njimi nima nobene zveze več), pa se stvari malo zakomplicirajo.

A imamo pri nas to zakonsko rešeno - a se mora izvajalec pri postavljanju spletnih strani, za katere ve, da bodo gostile tudi dokumente z osebnimi podatki, držat kakšnih zakonov, standardov? A je izvajalec vedel, da bo npr. izolska bolnišnica gor imela izvide od pacientov? Je izvajalec vedel, da bodo na proteini.si uploadali račune svojih stran v omenjeno mapo?
- Hoc est qui sumus -

Zgodovina sprememb…

  • spremenil: imagodei ()

RegulusDraco ::

saj dostop ni bil omogočen preostalim uporabnikom. Razen če so preostali uporabniki zlorabili stran in prišli do teh dokumentov na netrivialen način, ki je praktično enakovreden vdrtju v hišo skozi slučajno odprto okno.


jebiga, saj je bilo okno odprto, saj je vstop v hišo s tem dovoljen? right? nope.

Jebiga, še vedno ni krivda na strani lastnika spletne strani ampak na strani izvajalca. Lastnik strani ne ve nič o izdelavi spletne strani, niti kaj vse se lahko zgodi niti kaj vse rabi. to mora urediti izvajalec. VEDNO.
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

imagodei ::

Vsaj pri teh dveh zadnjih dveh omenjenih incidentih si do računov ostalih strank prišel precej trivialno - samo izbrisal si zadnji del svoje povezave, to je, številko svojega računa:



Ni treba bit posebej spreten, niti posebej zloben. Lahko si samo neroden.
- Hoc est qui sumus -

Baja ::

jebiga, saj je bilo okno odprto, saj je vstop v hišo s tem dovoljen? right? nope.


in zato puščaš vrata in okna vedno na stezaj odprta. right? nope!

lahko pa pustiš tudi avto odklenjen in ključe notri, pol pa prijavi krajo. me zanima kaj bo zavarovalnica rekla.

Zgodovina sprememb…

  • spremenil: Baja ()

RegulusDraco ::

imagodei je izjavil:

Vsaj pri teh dveh zadnjih dveh omenjenih incidentih si do računov ostalih strank prišel precej trivialno - samo izbrisal si zadnji del svoje povezave, to je, številko svojega računa:



Ni treba bit posebej spreten, niti posebej zloben. Lahko si samo neroden.


prav, še vedno je kriv tisti, ki je to sprogramiral in ne tisti ki je to plačal ker ni vedel da to ni dobro.
A coding sequence cannot be revised once it's been established.

imagodei ::

RegulusDraco je izjavil:

Jebiga, še vedno ni krivda na strani lastnika spletne strani ampak na strani izvajalca. Lastnik strani ne ve nič o izdelavi spletne strani, niti kaj vse se lahko zgodi niti kaj vse rabi. to mora urediti izvajalec. VEDNO.

Narobe. Če je izvajalec postavil spletno stran za predstavitev podjetja, kasneje se je pa en wannabe IT strokovnjak v podjetju odločil, da bi lahko račune strank dali kar na spletno stran in jim pošiljali maile s povezavo, se to izvajalca sploh ne tiče.

Lastnik podjetja je odgovoren za osebne podatke svojih strank, s katerimi razpolaga. Če ni prepričan, da nekaj počne prav, se je treba obrnit na zunanje strokovnjake.

Pismo, a če lastnik podjetja nabavi viličarja za prekladanje palet v skladišču; potem pa ga uporablja za dostavno vozilo v cestnem prometu in gre z njim na avtocesto - a je tudi odgovornost na dobavitelju, ker mu ni razložil, da z viličarjem ne sme na avtocesto?
- Hoc est qui sumus -

RegulusDraco ::

Baja je izjavil:

jebiga, saj je bilo okno odprto, saj je vstop v hišo s tem dovoljen? right? nope.


in zato puščaš vrata in okna vedno na stezaj odprta. right? nope!

lahko pa pustiš tudi avto odklenjen in ključe notri, pol pa prijavi krajo. me zanima kaj bo zavarovalnica rekla.



ja ane...še vedno gre za ilegalno uporabo avta, če ga odpelje tisti, ki tega ne bi smel naredit.
A coding sequence cannot be revised once it's been established.

boolsheat ::

RegulusDraco je izjavil:


jebiga, saj je bilo okno odprto, saj je vstop v hišo s tem dovoljen? right? nope.


Se pravi je google (in vsi iskalniki dejansko) v prekršku, ker indeksira stvari, ki so odprte? :))

RegulusDraco ::

imagodei je izjavil:

RegulusDraco je izjavil:

Jebiga, še vedno ni krivda na strani lastnika spletne strani ampak na strani izvajalca. Lastnik strani ne ve nič o izdelavi spletne strani, niti kaj vse se lahko zgodi niti kaj vse rabi. to mora urediti izvajalec. VEDNO.

Narobe. Če je izvajalec postavil spletno stran za predstavitev podjetja, kasneje se je pa en wannabe IT strokovnjak v podjetju odločil, da bi lahko račune strank dali kar na spletno stran in jim pošiljali maile s povezavo, se to izvajalca sploh ne tiče.

Lastnik podjetja je odgovoren za osebne podatke svojih strank, s katerimi razpolaga. Če ni prepričan, da nekaj počne prav, se je treba obrnit na zunanje strokovnjake.

Pismo, a če lastnik podjetja nabavi viličarja za prekladanje palet v skladišču; potem pa ga uporablja za dostavno vozilo v cestnem prometu in gre z njim na avtocesto - a je tudi odgovornost na dobavitelju, ker mu ni razložil, da z viličarjem ne sme na avtocesto?


take spletne trgovine nimajo nobenega IT strokovnjaka no. To so vse naredili zunanji izvajalci.

Da o prijavi na istrski maraton ne govorimo....kaj mislite da imajo tam univerzitetnega IT strokovnjaka zaposlenega? Dajmo no, sej ste zmešani.
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

Baja ::

ja ane...še vedno gre za ilegalno uporabo avta, če ga odpelje tisti, ki tega ne bi smel naredit.


ja, ampak, a nebi raje videl, da se v avto vsede en geek, vzame ven ključe, zaklene in jih nese na policijo?

ne, ti še ga boš tožil! GTFO!

imagodei ::

RegulusDraco je izjavil:

imagodei je izjavil:

Vsaj pri teh dveh zadnjih dveh omenjenih incidentih si do računov ostalih strank prišel precej trivialno - samo izbrisal si zadnji del svoje povezave, to je, številko svojega računa:



Ni treba bit posebej spreten, niti posebej zloben. Lahko si samo neroden.


prav, še vedno je kriv tisti, ki je to sprogramiral in ne tisti ki je to plačal ker ni vedel da to ni dobro.

Če jim je to prodal kot varno rešitev za pošiljanje računov strankam, zagotovo. Če jim je naredil spletno stran po specifikacijah za predstavitev podjetja in predvidel uploads mapo za to, da bodo gor nalagali cenike za svoje proizvode, nekaj let kasneje je pa eden od zaposlenih, ki "se mal na računalnike spozna" sam popravljal spletno stran in naredil podmapo racuni, kamor so potem začeli nalagat račune za stranke, pa izvajalec nima nič s tem. Kaj praviš?
- Hoc est qui sumus -

RegulusDraco ::

boolsheat je izjavil:

RegulusDraco je izjavil:


jebiga, saj je bilo okno odprto, saj je vstop v hišo s tem dovoljen? right? nope.


Se pravi je google (in vsi iskalniki dejansko) v prekršku, ker indeksira stvari, ki so odprte? :))


Pomojem je, ja. Zakaj bi google imel pravico OCRjat vse kar lahko najde? Ampak to je že preveč za to debato. Trenutno je dejstvo samo to, da so izvajalci krivi da je spletna stran slaba, ne pa lastnik strani.

Baja je izjavil:

ja ane...še vedno gre za ilegalno uporabo avta, če ga odpelje tisti, ki tega ne bi smel naredit.


ja, ampak, a nebi raje videl, da se v avto vsede en geek, vzame ven ključe, zaklene in jih nese na policijo?

ne, ti še ga boš tožil! GTFO!


Seveda ga bom tožil. Zato ker je vsem ostalim povedal da se na tak način da ukrasti avto.

ali daj samo prijavo in ne objavi novice ali pa ne naredi ničesar.

imagodei je izjavil:

Če jim je naredil spletno stran po specifikacijah za predstavitev podjetja in predvidel uploads mapo za to, da bodo gor nalagali cenike za svoje proizvode, nekaj let kasneje je pa eden od zaposlenih, ki "se mal na računalnike spozna" sam popravljal spletno stran in naredil podmapo racuni, kamor so potem začeli nalagat račune za stranke, pa izvajalec nima nič s tem. Kaj praviš?



Točno to. Vsak, ki ima 5 minut časa lahko nekaj serje po "spletnih straneh", ker za to ni treba izobrazbe.
Zakaj bi potem izvajalcem spletnih strani plačevali hude hude zneske za kvalitetne strani, če lahko vsak sam nekaj spaca?

imagodei je izjavil:

Če jim je naredil spletno stran po specifikacijah za predstavitev podjetja in predvidel uploads mapo za to, da bodo gor nalagali cenike za svoje proizvode, nekaj let kasneje je pa eden od zaposlenih, ki "se mal na računalnike spozna" sam popravljal spletno stran in naredil podmapo racuni, kamor so potem začeli nalagat račune za stranke, pa izvajalec nima nič s tem. Kaj praviš?


Točno to. Vsak, ki ima 5 minut časa lahko nekaj serje po "spletnih straneh", ker za to ni treba izobrazbe.
Zakaj bi potem izvajalcem spletnih strani plačevali hude hude zneske za kvalitetne strani, če lahko vsak sam nekaj spaca?
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

imagodei ::

RegulusDraco je izjavil:

take spletne trgovine nimajo nobenega IT strokovnjaka no. To so vse naredili zunanji izvajalci.

Exactly. Ampak, ko imajo pravne težave, se obrnejo na pravnike, ne na soseda, ki v gostilni pozna celo slovensko zakonodajo na izust!

In kot je Matthai zapisal v prejšnji temi - na področju davčnih blagajn, ki smo jih uvedli pred par leti, ni nobene težave. Tam nihče ni iskal enega "študenta računalništva", da bi mal nakucal kodo. Vse trgovine imajo rešitev uveljavljenih podjetij, vse špila, kot mora. Za osebne podatke pa... Bomo mal po domače, kar sami zrihtal.
- Hoc est qui sumus -

RegulusDraco ::

zato ker izvajalci to dovolijo!

Pri davčnih blagajnah se tega ni dovolilo. Nihče ni mogel kar sam nekaj spacat. Pri osebnih podatkih pa se vse kar dovoli. Tudi stranki se preda spletno stran v urejanje, namesto da bi bil ta del kode zaklenjen pri izvajalcu.

Vse se dovoli stranki, samo da je račun na koncu cenejši, da se premaga študentske spletne agencije ki imajo najnižje možne račune za izdelavo spletnih strani. Standardov pa nobenih.

ampak ja, gremo kurcat lastnike strani, mogoče s tem spremenimo svet.

mah zadost je blo.
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

imagodei ::

RegulusDraco je izjavil:

Pomojem je, ja. Zakaj bi google imel pravico OCRjat vse kar lahko najde?

Well, tako nekako deluje internet. Vse kar je javno dostopno, se privzeto dojema kot javno dostopno. Včas se izkaže, da gre za zajeb, ampak ... V osnovi je to ideja World Wide Weba. Česar nočeš dat na splet, ne daš na splet ampak imaš "doma zaklenjeno v omari".

RegulusDraco je izjavil:

Točno to. Vsak, ki ima 5 minut časa lahko nekaj serje po "spletnih straneh", ker za to ni treba izobrazbe.
Zakaj bi potem izvajalcem spletnih strani plačevali hude hude zneske za kvalitetne strani, če lahko vsak sam nekaj spaca?

Za mariskaj ne rabiš izobrazbe. Tudi za programerja ne-spletnih rešitev ne. Ampak to ne pomeni, da ti ni treba poznat zakonodaje, če področje, s katerim se ukvarjaš, to zahteva. Odgovornost za custom orodja, ki jih uporabljajo v podjetju, pa mora nosit podjetje. Če orodje ni narejeno po specifikacijah, ga mora podjetje zavrnit - izjema so redke, recimo da ob normalno skrbnem pregledu ne moreš opazit napake v delovanju.

Vsekakor pa v letu 2019 ni nobenega izgovora, da je podjetje lahko tako malomarno, da račune nalaga na javno dostopno spletno stran. Ker za to gre - za malomaren odnos to osebnih podatkov.
- Hoc est qui sumus -

Zgodovina sprememb…

  • spremenil: imagodei ()

Matwic ::

Bolj me zanima, kaj je to nek plug-in na wordpressu, ki idiotsko shanjuje uploadane dokumente v javno mapo? Vsa razkritja v zadnjih dnevih so med seboj izjemno podobna, kaj je nek "tutorial" objavljen kje, ki priporoča to, nek široko uporabljen plug-in, ali isti izvajalec za vse te strani? Če je to neka funkcija, ki kreira PDFje, da jih potem pošlje po e-pošti, je spet čisto nerazumno, da so tej PDFji v javni mapi (pravilno: neka mapa, da katere ima dostop PHP in upravitelj strani, da jih lahko tudi on enostavno prenese k sebi).

Pač načeloma je zaželjeno, da so uploadane zadeve dostopne samo temu namenjeni osebi, pa naj bodo to kakršnikoli uploadi. Za javne cenike in podobno lahko uporabnik še vedno čisto lepo uploada zadeve znotraj wordpressa in dobi čisto lepo povezavo za deljenje (ali pa celo lepše, vstavi potem to povezavo na za to namenjeno podstran).

Tukaj imate tudi tako čudaške primerjave z avti in odklenjenimi vrati. Če že, je to podobno temu, da bi nekdo na oglasno desko prilepil pok 50 listov z zasebnimi informacijami in začetno stranjo, potem pa rekel, da je bilo mišljeno, da se pogleda samo prvo stran in, da če prelistaš ostale objavljene strani si pa v prekršku.

imagodei ::

RegulusDraco je izjavil:

zato ker izvajalci to dovolijo!

Ne, ti bom kar Matthaia citiral iz sosednje teme:

Matthai je izjavil:

Zakaj pa vsak podjetnik pomisli na to, da bo moral imeti davčne blagajne in vodit računovodstvo? Čeprav se na davčno področje ne spozna. Pač, se izobrazi, ali pa kupi ustrezno rešitev. In to tako, ki je preverjena, ne od nekega šalabajzerja. In tudi tisti, ki rešitve prodajajo, stojijo za tem. Vedo kaj delajo.

Zakaj?

Zato, ker so kazni, ker je nadzor in se je ljudem to vsedlo v kri.

Ja, vsak podjetnik se pobriga, pozanima, kako mora vodit računovodstvo in kako morajo bit urejene davčne blagajne. Nekateri podjetniki se pa ne pobrigajo, kako morajo biti urejeni osebni podatki. Ker do sedaj ni bilo treba. Ker kazni ni bilo oziroma so bile redke, pa še to nizke. Enkrat je vsega lepega konec.

Jaz sicer nisem za neke drakonske kazni za tale mikro podjetja; je pa treba jasno pokazat, da v letu 2019 tovrstnega divjega zahoda na področju varovanja osebnih podatkov ne dopuščamo več. Za začetek morda zadostujejo opozorila, zelo kmalu pa bo treba z gorjačo nad kršilce.

RegulusDraco je izjavil:

Pri davčnih blagajnah se tega ni dovolilo. Nihče ni mogel kar sam nekaj spacat. Pri osebnih podatkih pa se vse kar dovoli. Tudi stranki se preda spletno stran v urejanje, namesto da bi bil ta del kode zaklenjen pri izvajalcu.

No, daj no. :\ Zakaj pa jaz ne bi mogel nekaj spacat za davčne blagajne za lastno podjetje? Kamot lahko, mora sicer odgovarjat nekim specifikacijam, predvsem pa mora pit vodo tudi, kadar me pride obiskat inšpektor.

Kamot tudi samemu sebi vodim računovodstvo, če se čutim tako sposobnega. Večina pač ni, ko podjetje preraste izdajo nekaj računov na mesec - in takrat imajo dost jasne pameti, da poiščejo spodoben računovodski servis (ali zaposlijo računovodkinjo). Tisti, ki tega ne storijo in zamujajo roke in ne delajo v skladu z zakonodajo, hitro padejo v nemilost in gre država nad njih z gorjačo.
- Hoc est qui sumus -

Zgodovina sprememb…

  • spremenil: imagodei ()

Mehmed ::

imagodei je izjavil:

Vsaj pri teh dveh zadnjih dveh omenjenih incidentih si do računov ostalih strank prišel precej trivialno - samo izbrisal si zadnji del svoje povezave, to je, številko svojega računa:



Ni treba bit posebej spreten, niti posebej zloben. Lahko si samo neroden.

Ce imas kako opero z vzganimi mouse gestures pa si naslonjen na levi gumb ko potegnes navzgor in levo te pelje na levo stran /. Ne rabis biti ne radoveden, ne zlonameren, ne neroden, dost je da ti gumb zasteka za trenutek ali pa zaspis z misko v roki.

Cr00k ::

RegulusDraco je izjavil:

saj dostop ni bil omogočen preostalim uporabnikom. Razen če so preostali uporabniki zlorabili stran in prišli do teh dokumentov na netrivialen način, ki je praktično enakovreden vdrtju v hišo skozi slučajno odprto okno.


jebiga, saj je bilo okno odprto, saj je vstop v hišo s tem dovoljen? right? nope.

Jebiga, še vedno ni krivda na strani lastnika spletne strani ampak na strani izvajalca. Lastnik strani ne ve nič o izdelavi spletne strani, niti kaj vse se lahko zgodi niti kaj vse rabi. to mora urediti izvajalec. VEDNO.


Ne se smesit in dajati neprimerljivih primerjav... Ni bilo okno odprto in nihče ni šel nepovabljen v hišo, dokumenti so bili po celi ulici razmetani... če pa že potegnemo analogijo s trgovinami, pa je tako kot bi vse račune in osebne podatke kupcev vrteli na TVju v izložbi, pa si lahko vsak pogleda ko gre mimo in če kdo dovolj časa stoji tam, lahko vse prepiše/skopira/poindeksira. Na netu, je pa vse skup mal hitrej...
root@whitehouse.gov

BigWhale ::

Cr00k je izjavil:

Ni bilo okno odprto in nihče ni šel nepovabljen v hišo, dokumenti so bili po celi ulici razmetani... če pa že potegnemo analogijo s trgovinami, pa je tako kot bi vse račune in osebne podatke kupcev vrteli na TVju v izložbi, pa si lahko vsak pogleda ko gre mimo in če kdo dovolj časa stoji tam, lahko vse prepiše/skopira/poindeksira. Na netu, je pa vse skup mal hitrej...


Ne, tud tko ni. :) Je nekak tko, kot bi ti rekli, da mas svoj racun v sobi 15 v tretjem predalu iz leve. Ti bi sel pa v sobo 17 in odprl vse predale.

Samael ::

RegulusDraco je izjavil:

Jebiga, še vedno ni krivda na strani lastnika spletne strani ampak na strani izvajalca. Lastnik strani ne ve nič o izdelavi spletne strani, niti kaj vse se lahko zgodi niti kaj vse rabi. to mora urediti izvajalec. VEDNO.

Daj, ne sprenevedaj se. Krivda? Tebi pa res odgovarja ta mentalna akrobacija, a? Kaj če bi raje govoril o odgovornosti. ODGOVORNOST je na strani lastnika spletne strani / trgovine. Tebe, kot stranko, ki v sex shopu online naroči orjaški črni xl dildo (zgolj primer), ne zanima, kdo jim je postavil stran in to naročiš v dobri veri, da ima trgovina odgovoren odnos do tvoje zasebnosti in ti podatki ne bodo javno deljeni s širnim svetom. Vse ostalo je navadno sprenevedanje, kjer zanikaš odgovornost prodajalca / izvajalca dejavnosti do stranke.

Cr00k ::

BigWhale je izjavil:

Cr00k je izjavil:

Ni bilo okno odprto in nihče ni šel nepovabljen v hišo, dokumenti so bili po celi ulici razmetani... če pa že potegnemo analogijo s trgovinami, pa je tako kot bi vse račune in osebne podatke kupcev vrteli na TVju v izložbi, pa si lahko vsak pogleda ko gre mimo in če kdo dovolj časa stoji tam, lahko vse prepiše/skopira/poindeksira. Na netu, je pa vse skup mal hitrej...


Ne, tud tko ni. :) Je nekak tko, kot bi ti rekli, da mas svoj racun v sobi 15 v tretjem predalu iz leve. Ti bi sel pa v sobo 17 in odprl vse predale.


Ni, ker ne smeš v sobo 17...:)
root@whitehouse.gov

Samael ::

Cr00k je izjavil:

BigWhale je izjavil:

Cr00k je izjavil:

Ni bilo okno odprto in nihče ni šel nepovabljen v hišo, dokumenti so bili po celi ulici razmetani... če pa že potegnemo analogijo s trgovinami, pa je tako kot bi vse račune in osebne podatke kupcev vrteli na TVju v izložbi, pa si lahko vsak pogleda ko gre mimo in če kdo dovolj časa stoji tam, lahko vse prepiše/skopira/poindeksira. Na netu, je pa vse skup mal hitrej...


Ne, tud tko ni. :) Je nekak tko, kot bi ti rekli, da mas svoj racun v sobi 15 v tretjem predalu iz leve. Ti bi sel pa v sobo 17 in odprl vse predale.


Ni, ker ne smeš v sobo 17...:)

Ja, jaz bi prej rekel, da greš v sobo 15, kot ti je naročeno, pa iz radovenosti (ali pa po nesreči, ker nisi dovolj pozoren) odpreš še kakšen drugi predal iz leve.

MrStein ::

Kje je problem? Če ni zaklenjeno, je namenjeno svetovni javnosti. Ali?
Teštiram če delaž - umlaut dela: ä ?

Baja ::

na internetu, ja.

ne vem zakaj ste eni tako trdi. tako kot moras v RL poskrbeti za varnost dolocenih dokumentov, moras tudi na internetu.

a majo kje v kaki trgovino mapo z računi v razstavnem prostoru, po kateri lahko naključni obiskovalci brskajo kdo in od kje je kaj kupil za par let nazaj?

Redorange ::

Bi se bilo za pozanimat kdo je te strani postavil, ker če imam trgovino predvidevam da nekoga za to najamejo in je tudi prav da za tako šlamparijo odgovarja.

Evolve ::

še en glup članek... way to go slo-teh
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Transparentna Slovenija #3: Mednarodni velikan z belo tehniko razkril podatke svojih

Oddelek: Novice / Varnost
353784 (308) ZigaZiga
»

Transparentna Slovenija #2: Razkriti tekači Istrskega maratona (strani: 1 2 )

Oddelek: Novice / Varnost
524767 (480) bbf
»

Ljubljanski maraton

Oddelek: Loža
372442 (675) LeQuack
»

Dostop do prebivališča in legitimacija varnostnikov (strani: 1 2 )

Oddelek: Problemi človeštva
575441 (3742) Lakotnik29
»

Varnost nekaterih spletnih trgovin

Oddelek: Omrežja in internet
442468 (1388) BigWhale

Več podobnih tem