Как стать автором
Обновить

Комментарии 54

Девелоперы решили, что двойной base64 дважды надёжнее.
Надёжней только двойной rot13 :)
Они-то ещё не знают, что на самом деле надёжнее — три раза!
жалко не двойной Xor…
А что, у нас хоть один закон о тайне работает для простых людей?
С Нивеей по явному нарушению 152ФЗ рассматривают уже несколько месяцев. «Навоз и ныне там».
Вы еще предложите на РЖД попенять…
Если вопрос «Есть 152 ФЗ, но кто должен следить за его исполнением?» не был риторическим, то, например, на сайте Роскомнадзора граждане могут оставлять жалобы на его нарушение в электронной форме: "Сформировать обращение"
Возможность пожаловаться, к огромному сожалению, далеко не равна возможности реально исправить какую-либо ситуацию этой жалобой.
А если возможностью не воспользоваться, то результата точно не будет.
НЛО прилетело и опубликовало эту надпись здесь
Ваше утверждение — софизм (истинное с точки зрения логики утверждение, которое ведет или должно вести к ложному выводу). Вы намеренно жонглируете законами формальной логики, которая не распространяется на данную ситуацию. Реальная практика показывает истинное назначение этих новомодных форм для жалоб: «утилизировать» недовольство граждан, создав видимость, что их кто-то слушает. В ситуации массового использования этих форм (то есть, буквально, следования тому, что вы предлагаете) происходит вот это.
А как называется жонглирование длинными, серьезно выглядящими определениями и приписывание собеседнику заведомо неприглядных дел, которые он не совершал?
Вы приводите ссылки из серии «всёплохомывсеумрем» (хотя в ситуации с лавиной одинаковых обращений надо и можно было грамотно её разрулить). А я пользуюсь возможностями обращений к госорганам (местная администрация, гибдд) и получаю нужный мне результат.

Вот позицию fdsc я понимаю и принимаю. Человек делал то, что мог. Результата не достиг и пока не знает какие еще шаги предпринять. А вы просто жалуетесь на жизнь.
Ну вот откуда вы знаете, что я не пробовал делать то же самое? Пробовал, неоднократно. Без всякого результата.
А трепаться по поводу того, что все вокруг «не пробовали, а только жалуются» — это вообще детский сад форменный. Ссылку я привел не из разряда «мы все умрем» — это вполне себе факт, который иллюстрирует реальную позицию чиновников по этому вопросу. Факты, как известно, пальцем не раздавишь. А фантазировать о мнимой эффективности этого метода можете сколько угодно.
Интересно, как проблема, описанная по приведённой вами ссылке, решается в США и Европе…
Тут смотря что вы называете проблемой.
Для начала, она решается путем законных выборов в парламенты и органы местного самоуправления, от чего ситуации «война» между гражданами и разными ветвями власти не носит такого масштабного характера. А далее, в разных вариантах, существуют методы реализации законодательных инициатив, от пресловутых швейцарских референдумов до голосований за различные меры в США (вот, например, список мер, которые будут вынесены на ближайшее голосование в штате Орегон — в каждом городе или графстве могут быть еще свои). Соответственно, по вопросам каких-то существующих проблем можно обращаться к своему конгрессмену, мэру, в полицию, в суд. И поскольку это все люди прямо или косвенно зависят от выборов, игнорировать обращения граждан для них чревато. Эксцессы — бывают, но идеального на свете не существует, строго говоря. И сами граждане не идеальны — могут вот, например, повестись на страшилки про GMO и принять в отдельно взятом штате отдельные требования к маркировке продуктов (дополнительно к существующим), что выльется только в дополнительные расходы на эту маркировку.

А в России эти порталы стали чуть ли не единственной теоретической возможностью выразить свое мнение и на что-то повлиять (несмотря на то, что существенная часть обращений, которые неудобны чиновникам, так или иначе игнорируется). Потому в России это действительно принимает формы почтовых бомбардировок, а в странах с более развитой системой управления такого не происходит, так как есть другие рычаги воздействия.
К большому сожалению, именно так и есть в ряде случаев. И печально то, что небольшие компании, от которых не зависят, например, жизнь, здоровье и репутация граждан, подходят к этому куда серьезнее… А когда информацией уже завладели чьи-то загребущие руки и использовали ее, уже может быть все равно, можно ли где-то оставить жалобу.
«Каждая российская компания, подвергнувшаяся кибератаке, теряет в среднем 3,3 миллиона долларов за год. „

Хочу подвергнуться кибератаке! Может хоть так миллионы попрут…
Миллионы в минус не прикольно… А ведь они попрут!!! Осторожней с желаниями…
Где 1111111 номер договора. А остальные цифры? Пока не ясно.
Скорее всего это просто мусор для «более лучшей» защиты
Т.е. пачка денег на видном месте прикрытая газеткой. Оригинально.
И у них почти получилось.Я в первые пару секунд даже думал что это исходный хэш ибо первые символы похожи на hex-коды
На самом деле совсем непонятно что мешало сделать обычную авторизацию по номеру договора и фамилии на основе кук. Или была нужна уникальная ссылка, по которой можно перейти и посмотреть результаты без авторизации? В таком случае это уже само по себе дыра в безопасности (security via obscurity), но хотя бы зашифровать ссылку могли.
Согласен.Банальный хэш усложнил бы перебор результатов. А так даже непонятно можно ли будет «впаять» статью за взлом хакеру который эти результаты соберет.
НЛО прилетело и опубликовало эту надпись здесь
На всякий случай подскажу — впаять можно и легко. Закон не регламентирует степень и надежность защиты.
Наверно за доработку не платили…
Хоть бы контрольную сумму добавили, ей-богу. И в случае несовпадения отдавали бы фейковые результаты анализов.
Вы себе даже не представляете, что твориться с ИБ в больницах и поликлиниках… это полный швах. Я не раз видел шары со всеми документами учреждения, которые были доступны на запись из интернета, просто потому, что были организованы на компьютере, используемом в качестве шлюза. Понятия ИБ там не существует в принципе, да и должностей таких нет.
всего-то надо было в базе держать guid наряду с номером ордера и вставлят его вместо 111111.

Уж подобрать гуид задача почти нереальная
> У нас вследствие разгильдяйства, я сказал бы даже раздолбайства такого, которое превратилось уже в государственную угрозу
Нельзя делать столько орфографических ошибок в слове «политику».
Главная проблема правоприменения по нормативке по персональным данным ИМХО в том, что нарушением является по сути несоответствие формальным требованиям, а не реальные факты разглашения данных. То есть вас могут наказать на n тысяч рублей (именно n, а не N) за отсутствие необходимой организационно-распорядительной документации, но в случае «слива» ПДн десятков тысяч людей ничего особенного не происходит.
Бизнес работает по риск-ориентированной модели. Не сделал бумажек — вплоть до приостановки деятельности. Украли ПДн — ничего страшного.

Есть 152 ФЗ (текст закона), но кто должен следить за его исполнением?


Основными регуляторами в этой области являются РосКомНадзор, ФСТЭК и ФСБ (отсортировал по уменьшению субъективной степени вовлеченности в процесс).
К сожалению даже благие попытки привлечь экспертов (alukatsky) к законотворству заканчиваются ничем.
Ну почему ничем? Опыт работы с ФСТЭК вполне удачный. На трех регуляторов счет 1:2 — вполне себе удачное соотношение
Что уж говорить, если в некоторых интернет-банкингах по такому принципу выписка формируется. Меняешь id — получаешь выписку другого клиента
а есть примеры к «Каждая российская компания, подвергнувшаяся кибератаке, теряет в среднем 3,3 миллиона долларов за год. „?
Я думаю, забыли добавить звездочку «по результатам опроса yandex, mail.ru и вконтакте».
ну тогда уж не «каждая», а «total cost». Ну и жаль что без конкретики, а то все знают как у нас считают расходы.
НЛО прилетело и опубликовало эту надпись здесь
А, спасибо за разъяснения
This year’s annual study was conducted in the United States, United Kingdom, Germany,
Australia, Japan, France and for the first time, the Russian Federation, with a total benchmark
sample of 257 organizations.
Т.е. «каждая из российской части специально отобранных 257 организаций».
Как минимум, мне не приятно, когда такая деликатная сторона моей жизни как медицина доступна третьим лицам

Да ничего, не волнуйтесь — мобильные операторы с точностью до 30 метров определяют местоположение Вашего телефона. Ну а про то, хранятся ли эти данные где-то — это Вы сами догадайтесь)
«Могут определить» != «Определяют»
Если Вы посмотрите презентации таргетированной смс-рекламы, которую официально предоставляют операторы, то поменяете свое мнение на противоположное
Может быть расскажите как она устроена? Я не видел, но я догадываюсь о чем вы, и примерно представляю как это может работать. Я думаю данные практически анонимны, потому, что используются — это да, но не собираются. Точнее не обязательно собираются и хранятся — это просто никому не нужно.
Да, почему бы и нет!) Так вот, есть у них такая услуга — замер называется. Суть ее заключается в том, что я могу запросить их сделать рассылку по тем номерам телефонов, которые 22 августа 2014 года были в определенном месте в определенное время. Ну, по крайней мере, менеджер предлагал мне именно такую услугу. Конечно, это используется только для рассылки — на руки мне эти номера не выдадут, однако, это на 100% подтверждает тот факт, что эти данные именно хранятся.
А, ну если именно так, то это конечно уже совсем другое дело. Я представлял несколько иную услугу.
Если они действительно такие логи хранят… становится совсем стрёмно.
То что за мной могут следить всякие гос.учреждения меня не так беспокоит ибо сделать с этим что-то я не могу (только если в одних часах уехать в Монголию).
А вот представляться во всяких шаражкиных конторках теперь буду Кукуцапольем каким-нибудь
Разрабатывали 2 разных приложения для 2-х разных компаний, которые в свою очередь специализируются на ПО для медицинской среды (в том числе для государственных учреждений и имеют федеральный уровень). Были поражены низчайшим уровнем безопасности доступа к API в том и том случае.
Кто занят в веб-разработке почему такие, не побоюсь этого слова, профнепригодные веб-разработчики имеют заказы?

Дешево и быстро?
НЛО прилетело и опубликовало эту надпись здесь
Не руководству надо сообщать, а в ФСТЭК — этот орган является одним из регуляторов и блюдит за соблюдением озвученного закона.
Был у нас такой сайт — «Мои садики», на котором принуждали несколько раз в год перерегистрировать ребенка чтобы оставаться в очереди на садик, ну и смотреть очередь за одно. Работал по HTTP, все было захаркодено, но не это главное — главное, что таким образом искусственно раздувалась очередь и можно было легко откатиться назад в очереди. Меня это не устраивало и я написал через госуслуги заявление о нарушениях.

Через 3 дня мне пришел ответ, с огромным количеством воды, но суть в том что вмоем заявлении усматриваеются нарушения других ФЗ.
В итоге через неделю сайт закрыли и перетащили на госуслуги, а в администрации нагоняй дали похоже, так как в марте мой ребенок был 2642 и мне говорили, что я нерадивый папаша и не перерегистрируюсь на этом сайте и поэтому двигаюсь медленно, а через 2 недели уже был 31-й.

Я для себя уяснил одно: если хочешь чтобы система работала — нужно заставлять ее работать.
Всем похер, потому что похер конечному пользователю.
Мне сложно представить, чтобы сейчас хотя бы 1 из 1000 человек при выборе мед учреждения учитывал его репутацию по ИБ.
Было бы из чего выбирать. У нас на область один единственный иммунолог, и тот в платной клинике. Если я выбираю где лечиться, то я выбираю по квалификации врача в первую очередь. А если вдруг внезапно окажется, что подходящих врачей не один и оба доступны, и к обоим можно записаться на ближайшее время, а не «через три месяца», то тогда можно вспомнить про ИБ.
Позволю себе предположить, что аппелировать к исполнительной власти здесь бессмысленно, так как эта власть сегодня довольно таки убога, не всеведуща в нюансах и не вездесуща в пространстве. Но проблема не столько в контролирующих органах, сколько в самосознании производителя. Как говаривал некто — думайте о деле, а не о прибыли. Но частенько выходит наоборот.
К сожалению, приходится констатировать: уровень ответственности производителей, и как следствие качество их продукции, резко упали в последнее время. Но, к счастью, ещё остаются единичные проблески. Не лишним будет и намекнуть, что именно это свойство характера нивелируется пресловутыми «готовыми решениями», ставшими столь популярными в последнее время. Начинающий, и ещё «не тёртый» предприимчивый молодой человек, скорее всего, пользуется ими направо и налево, наивно полагая, что раз оно готовое — то оно до мелочей продуманное. Применяет, мало вдаваясь в анатомические тонкости этого «решения». И подобный механизм «производства», ведь, затрагивает не только web-разработку.
Довольно болезненно, плоды познаются и в сфере информационной безопасности, за которую отвечает именно разработчик, и которую заказчику проверить достаточно трудно в силу своей некомпетентности, и который, в свою очередь, понадеялся на компетентность разработчика, откровенно считая, что заплатил за это.
Чтобы использовать что-то, это что-то, было бы не лишним изучить, не только со стороны «использования». Без, хотя бы, элементарного знания элементарных принципов той вселенной, в которой работает это «решение», получить качественную «продукцию» — есть чистая случайность.
Есть другая сторона медали. Как бы вы не защищали удаленный доступ к своим мед.анализам, в мед.учреждение всегда может прийти сторонний дядя и за деньги их получить, ну или через гос.органы также за деньги. Как это случилось недавно с одним человеком: urfo.org/moskow/497708.html
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории