[OT] Zvedavy Google?

Milan B. milan@bastl.sk
Úterý Červen 9 18:01:59 CEST 2009 

Dovolim si male zamyslenie na temu bezpecnosti ...

Zda sa mi az neuveritelne, s akou lahkovaznostou niekto (nemyslim tym 
Vas osobne, ide o autorov webov vseobecne) spusta na svojich webovych 
strankach cudzie skripty. Predsa ga.js je skript ulozeny na cudzom 
servri, google ho moze kedykolvek zmenit a nikto netusi, kedy sa to stane.

Ak by som bol Vas zakaznik a mal od Vas web, tak by som sa spytal:
- urobili ste podrobnu analyzu toho skriptu, co presne robi, ake 
informacie zbiera a ako s nimi naklada?
- ak aj ano, ako casto kontrolujete, ci sa ten skript zhoduje so 
skriptom, na ktory ste urobili audit?
- ak ano, akym sposobom zablokujete zmeneny skript, aby sa nespustal az 
do ukoncenia novej analyzy/auditu?
- pouzivate ten skript aj na strankach, ktore su pristupne len po 
prihlaseni  a mozu obsahovat osobne alebo doverne informacie?
- ak ano, ako zabezpecite, aby skript neodosielal ziadne z tychto 
osobnych alebo dovernych informacii, zobrazenych na stranke (v pripade 
ze nemonitorujete zmenu skriptu, resp. nemate vyriesene jeho blokovanie)

Zajtra ma mozno napadnu dalsie ...

Napriklad www.mcu.cz - asi vsetci poznaju - spusta ga.js aj na stranke 
nastaveni uzivatela, kde si clovek moze menit heslo ... mozem mat 
istotu, ze jedneho dna google neziska moje nove heslo?

Aby bolo jasne, nemam nic proti zbieraniu statistik - pokial by ho 
realizoval vyhradne prevadzkovatel stranky vlastnymi prostriedkami - 
napriklad aplikacia obsahujuca podobnu funkcnost ako GA by bezala na 
jeho vlsastnom servri. Vyhrady mam najma proti tomu, ze sa nahrava a 
spusta neauditovany skript, ktory sa moze hocikedy zmenit a informacie 
(nevieme ake) sa poskytuju tretej strane.

-m-

Pavel Kutina wrote:
> Ctu si tuhle debatu a tohle je jeden z nazoru, pod ktery se s chuti 
> podepisu...
>
> Jako jeden z "oboru cinnosti" delam weby, GA mam nasazene na vsech bez 
> vyjimky a je to velmi prinosne, at uz odhalovanim ptakovin (jakoze se 
> uzivatel nedostane v rozumne dobe tam, kde ho chci mit), nebo prave onim 
> statistickym prehledem, co se tyka pouzivanych browseru, rozliseni a ruznych 
> webovych technologii (a -nejen- podle toho se samozrejme resi ruzne 
> "optimalizace" a browsery, ve kterych probiha nejake masivnejsi testovani).
>
> K tomu zdrzovani: Kod GA se da (resp. ma) zasit az do paty stranky, tesne 
> pred ukoncovaci tag </body>, jinymi slovy - pokud mam rozumne napsanou 
> stranku, pak to znamena, ze na GA to doleze, az kdyz je vsechno ostatni 
> zobrazene, v tu chvili, poklud ma uzivatel vetsi latenci, mu nic nebrani 
> odkliknout se jinam. Jestli to ma nekdo zapsane v hlavicce, je pravda, ze to 
> muze zdrzovat - ale za to nemuze GA, ale tupej webdesigner.
>
> Co se tyka sledovani a sbirani dat - nez prisel system GA, tak cloveku nejak 
> nezbejvalo, nez si na tohle psat vlastni knihovny a tezit data od uzivatele 
> po svem, neznaly se mohl celkem divit, co vsechno se da z PC vycucnout. GA 
> to sledovani zcela jiste neumoznil, jen vyuzil a zjednodusil jeho nasazeni - 
> a programatorum usetril spoustu casu a nervu, protoze dela hezke grafy pro 
> kravataky, ktere neni jinak uplne trivialni malovat a ktere kravataci 
> obvykle vyzaduji (i kdyz je jim to casto na nic).
>
> Pavel Kutina
>
>
> ----- Original Message ----- 
> From: "Petr Zahradnik" <clexpert@clexpert.cz>
> To: "HW-news" <hw-list@list.hw.cz>
> Sent: Tuesday, June 09, 2009 3:49 PM
> Subject: Re: [OT] Zvedavy Google?
>
>
> Puvodni zprava ze dne 9.6.2009 od Pavel Troller:
>
>   
>> Pokud jedu ve svém oblíbeném browseru (konqueror), půlka stránek mi
>> nefunguje.
>>     
>
> K cemu je takovy browser, at uz obliben nebo neobliben, kdyz neukaze
> pulku stranek?
>
>   
>> Pro moji platformu (Linux) nejsou některé technologie vůbec dostupné
>> (např. VB a další rozšíření IE). A právě mám pocit, že tato
>> technologie jede proti mně, neboť místo aby se tvůrci stránek
>> snažili být plně kompatibilní s uznanými standardy, tak se opřou o
>> takovouhle statistiku a vyjde jim, že takových kuriozit, jako jsem
>> já, je pod 1% a že se na ně zvysoka vy***ou a budou "optimalizovat"
>> web jen pro ty, kterých je většina.
>>     
>
> Ano, presne tak. Proc bych mel travit hodiny a hodiny casu (a utracet
> tak sve penize) tim, aby se me stranky ukazaly jednomu cloveku z
> tisice, ktery si oblibil cosi, co ani neznam? :-)
>
>   
>> I proto mi tento sběr dat vadí - mně jako uživateli webu rozhodně
>> nepomůže.
>>     
>
> Vzdyt vlastne myslime a jedname uplne podobne, mozna i stejne. Ty
> odmitas platit penize za prenos dat na analyticky server, ktery mi
> jako majiteli webu poskytuje statistiku a dalsi informace nutne pro
> jeho dalsi rozvoj, ja zase odmitam platit penize za to, aby sis mohl
> browsovat na cemsi, co nikdo jiny nepouziva :-)
>
> Petr Zahradnik, pocitacovy expert
>
> ==========================================================
> Petr Zahradnik, Computer Laboratory
> Obvodova 740/14, 400 07 Usti nad Labem
> telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
> web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
> ICQ: 21215917, MSN: clexpert@clexpert.cz
> ==========================================================
>
>
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list@list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list 
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list@list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>

Další informace o konferenci Hw-list