Mirki, mam pytanie zwiazane z ochrona danych osobowych w internecie. Dokonalem zamowienia w sklepie internetowym i podałem swoje dane adresowe (żeby móc otrzymać paczkę od nich). Od sklepu dostałem maila z informacjami dotyczącymi zamówienie oraz linka, pod którym mogę otworzyć moje zamówienie. Problem w tym, że by obejrzeć szczegóły zamówienia na ich stronie, nie jest wymagane żadne uwierzytelnienie - czyli tak naprawdę każdy może przeczytać moje dane! Jedyne co potrzeba to odpowiedni link. Przy użyciu małego skryptu można by wygenerować wiele takich linków i zdobyć dane wielu osób. Jak powinienem rozwiązać sprawę? Poinformować ich i poprosić o zabezpieczenie moich (a właściwie wszystkich) danych czy raczej od razu zgłosić to gdzieś? #prawo #bezpieczenstwo #daneosobowe #januszebezpieczenstwa
@rasiakg: zawsze należy najpierw poinformować właściciela problematycznej strony. W razie braku zainteresowania powiedzmy w przeciągu 48h zgłaszać dalej.
@rasiakg: To zależy od tego jak skonstruowany jest ten link, bo wiesz. "Wystarczy odpowiedni link" może być tak samo lub bardziej bezpieczne jak "wystarczy odpowiedni login i hasło" - szczególnie jeżeli częścią linku jest dajmy na to 256-o bitowy w pełni losowy token
jeżeli pkt 2 to hash jakichś informacji to małoprofesjonalnie, ale pytanie jakich informacji. Jak 32 znaki jakieś dane losowe to jeszcze pytanie z jakiego zakresu. Tak czy siak base64 to to pewnie nie jest bo byłoby albo 29 albo 33 znaki... ale jeżeli jest to coś zbliżonego do base64 to może to być około 160-o bitowa losowa wartość. Jeżeli jest to hex (znaki 0-9A-F) to nadal jest to 128 bitów. Jeżeli porównamy
@rasiakg: Dopóki nie potrafisz zgadnąć prawidłowego hasha to jest to równie bezpieczne jak zabezpieczenie hasłem dopóki komus nie udostępnisz swojego linka.
#prawo #bezpieczenstwo #daneosobowe #januszebezpieczenstwa
Link zawiera tylko dwa parametry:
- numer zamówienia (5 cyfr)
- hash: 32 losowo (?) wygenerowane znaki alfanumeryczne
Czy uważasz, że to wystarczające zabezpieczenie?