mboost-dp1
No Thumbnail
Ah ja, et bevis på at inhouse løsning er så meget bedre mht. datatilsyn end cloud løsninger, eller noget :p
#4
Password sendes vel kun ved login og create requests, så det er et ret sikkert gæt at det er login de har logget.
Og ja det er ret klassisk at logge sensitive data - udviklerne kan lide at logge alt fordi det hjælper ved troubleshooting - men visse oplysninger bør X'es ud.
Password sendes vel kun ved login og create requests, så det er et ret sikkert gæt at det er login de har logget.
Og ja det er ret klassisk at logge sensitive data - udviklerne kan lide at logge alt fordi det hjælper ved troubleshooting - men visse oplysninger bør X'es ud.
Derfor bruger man unikke adgangskoder.
Jeg skulle i den forbindelse kun bekymrer mig om min konto hos Salling Group.
Selv med min mail og adgangskoden hos dem, ville man ikke kunne få adgang til andet, end hvad jeg måtte have haft hos dem.
I forbindelse med at jeg ændret min adgangskode, stødte jeg på nogle kritiske problemer:
1. Du bliver ikke logge ud af appen ved ændring af din adgangskode. Med andre ord en der potentielt har uautoriseret adgang til ens konto, vil fortsat have det. Det i sig selv er på ingen måder godt.
2. Du bliver på intet tidspunkt, hverken ved log ind, eller ændring af kode, bedt om at bekræfte dit log ind med brud af totrinsgodkendelse, og jeg ser ingen steder hvor dette kan sættes op.
3. Du har ingen mulighed hvilke enheder din konto er logge på. Du kan derfor ikke engang fjerne et evt. log ind på en enhed du evt. ikke genkender.
Når man tænker på hvor meget personlig data de opbevarer, så er sikkerheden virkelig ikke særlig god. Det kunne være medierne skulle tag at kigge ind på det her, nu de alligevel er i gang med at skrive om dette.
Jeg skulle i den forbindelse kun bekymrer mig om min konto hos Salling Group.
Selv med min mail og adgangskoden hos dem, ville man ikke kunne få adgang til andet, end hvad jeg måtte have haft hos dem.
I forbindelse med at jeg ændret min adgangskode, stødte jeg på nogle kritiske problemer:
1. Du bliver ikke logge ud af appen ved ændring af din adgangskode. Med andre ord en der potentielt har uautoriseret adgang til ens konto, vil fortsat have det. Det i sig selv er på ingen måder godt.
2. Du bliver på intet tidspunkt, hverken ved log ind, eller ændring af kode, bedt om at bekræfte dit log ind med brud af totrinsgodkendelse, og jeg ser ingen steder hvor dette kan sættes op.
3. Du har ingen mulighed hvilke enheder din konto er logge på. Du kan derfor ikke engang fjerne et evt. log ind på en enhed du evt. ikke genkender.
Når man tænker på hvor meget personlig data de opbevarer, så er sikkerheden virkelig ikke særlig god. Det kunne være medierne skulle tag at kigge ind på det her, nu de alligevel er i gang med at skrive om dette.
Claus Jørgensen (2) skrev:Ah ja, et bevis på at inhouse løsning er så meget bedre mht. datatilsyn end cloud løsninger, eller noget :p
Cloud løsninger kan da have præcis de samme problemer.
Hvis det er lavet dumt, så er det jo dumt lige meget om det er cloud eller ej.
arne_v (5) skrev:#4
Password sendes vel kun ved login og create requests, så det er et ret sikkert gæt at det er login de har logget.
Og ja det er ret klassisk at logge sensitive data - udviklerne kan lide at logge alt fordi det hjælper ved troubleshooting - men visse oplysninger bør X'es ud.
Det har jeg ikke oplevet ... faktisk det modsatte, at man skulle kæmpe for at man bare loggede lidt om hvad der skete.
Dog har jeg aldrig oplevet endnu, at password er blevet logged ... 7,9,13 for det.
Heller ikke PII ... men det går selvfølgelig galt nu jeg nævner det :-)
CableCat (4) skrev:Mon ikke de er kommet til at logge kodeordet ved login. Det er en klassiker.
Jeg gad godt være i hjernen på en person der pludselig tænker det er godt lige at logge data fra et login request ... man bliver lidt skræmt når folk kalder det en "klassiker"
My point exactly :psyska (8) skrev:Cloud løsninger kan da have præcis de samme problemer.
Hvis det er lavet dumt, så er det jo dumt lige meget om det er cloud eller ej.
Men visse andre er ikke enige over i https://newz.dk/datatilsynet-doemmer-chromebooks-u...
syska (8) skrev:arne_v (5) skrev:
Password sendes vel kun ved login og create requests, så det er et ret sikkert gæt at det er login de har logget.
Og ja det er ret klassisk at logge sensitive data - udviklerne kan lide at logge alt fordi det hjælper ved troubleshooting - men visse oplysninger bør X'es ud.
Det har jeg ikke oplevet ... faktisk det modsatte, at man skulle kæmpe for at man bare loggede lidt om hvad der skete.
Dog har jeg aldrig oplevet endnu, at password er blevet logged ... 7,9,13 for det.
Heller ikke PII ... men det går selvfølgelig galt nu jeg nævner det :-)
Java - jul, log4j, log4j2, logback etc.
.NET - log4net, NLog etc.
PHP - log4net, Monolog etc.
Python - builtin
etc.
Der bliver logget meget.
Tilbage i 2004 så jeg logning af en gigabyte per time per server. Det var meget data at grep'e sig igennem.
Idag går sådan noget typisk i ELK eller lignende for at man kan finde noget.
Og når udviklere putter de log sætninger ind så er det ikke altid at de husker at maske sensitive data.
Husker de det kun i 99.9% af tilfældene så er der 0.1% som slipper igennem.
CableCat (4) skrev:Mon ikke de er kommet til at logge kodeordet ved login. Det er en klassiker.
Jeg ser din klassiker og forhøjer med en broadcast service der skal forblive unavngivet men som lavede og sendte Bigbrother her i Danmark.
Den ENESTE måde jeg kunne ændre mit password på hos dem var at ringe op til dem. Oplyse brugernavn og mundtligt fortælle dem hvad passwordet skulle være.
Der var ikke nogen mulighed på hjemmesiden overhovedet. Og jeg skulle ikke opgive mit nuværende password til dem..
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund