[OT] Zvedavy Google?

Pavel Kutina hw@prelude.cz
Úterý Červen 9 18:19:24 CEST 2009


Zaplat pambu mam mene paranoidni zakazniky (to je vyhoda toho, ze si je 
clovek muze vybirat, narozdil od toho, kdo se mu prijde podivat na stranky).

Zabezpeceni proti zmene skriptu, jeho audit a rozborku neresim - vzhledem k 
verejne dostupnosti tohoto kodu a vzhledem k dostatecne paranoie, panujici v 
IT, predpokladam, ze nekdo z milionu uzivatelu by si zverejneni "podvratne 
cinnosti googlu" nenechal pro sebe. (Teda vlastne asi nechal, urcite by ho 
spojenymi silami CIA, FBI a Mossad urcite zahlusli driv, nez by stihnul 
kriticky email odeslat, vidite, tahle moznost mne nenapadla, asi se nad tim 
musim vazne zamyslet.)

Co se tyka sledovani pristupu u uzivatelskych dat - sleduji se pouze sekce, 
kde jejich sledovani muze  prinest nejak smysl, na strance s osobnimi udaji 
to nevidim jako nutne (i kdyz se zde opet nabizi otazka, co by se stalo, 
resp. co se deje, kdyz to nekdo sleduje na cele siti defaultne. U googlu 
musi mit velmi zazobane operatory, kdyz si po celem svet chodi nakupovat 
atd. na cizi ucty - a jeste maji na to, aby uplatili veskere represivni 
slozky, ktere by jim za to casem sly po krku...).

Bankovni aplikace nedelam, na to se mam moc rad - a na specialozovanych 
redakcnich systemech nebo nejakych rezervacnich systemech si ten operator od 
Googlu fakt moc nevydela.

Pavel Kutina



----- Original Message ----- 
From: "Milan B." <milan@bastl.sk>
To: "HW-news" <hw-list@list.hw.cz>
Sent: Tuesday, June 09, 2009 6:01 PM
Subject: Re: [OT] Zvedavy Google?



Dovolim si male zamyslenie na temu bezpecnosti ...

Zda sa mi az neuveritelne, s akou lahkovaznostou niekto (nemyslim tym
Vas osobne, ide o autorov webov vseobecne) spusta na svojich webovych
strankach cudzie skripty. Predsa ga.js je skript ulozeny na cudzom
servri, google ho moze kedykolvek zmenit a nikto netusi, kedy sa to stane.

Ak by som bol Vas zakaznik a mal od Vas web, tak by som sa spytal:
- urobili ste podrobnu analyzu toho skriptu, co presne robi, ake
informacie zbiera a ako s nimi naklada?
- ak aj ano, ako casto kontrolujete, ci sa ten skript zhoduje so
skriptom, na ktory ste urobili audit?
- ak ano, akym sposobom zablokujete zmeneny skript, aby sa nespustal az
do ukoncenia novej analyzy/auditu?
- pouzivate ten skript aj na strankach, ktore su pristupne len po
prihlaseni  a mozu obsahovat osobne alebo doverne informacie?
- ak ano, ako zabezpecite, aby skript neodosielal ziadne z tychto
osobnych alebo dovernych informacii, zobrazenych na stranke (v pripade
ze nemonitorujete zmenu skriptu, resp. nemate vyriesene jeho blokovanie)

Zajtra ma mozno napadnu dalsie ...

Napriklad www.mcu.cz - asi vsetci poznaju - spusta ga.js aj na stranke
nastaveni uzivatela, kde si clovek moze menit heslo ... mozem mat
istotu, ze jedneho dna google neziska moje nove heslo?

Aby bolo jasne, nemam nic proti zbieraniu statistik - pokial by ho
realizoval vyhradne prevadzkovatel stranky vlastnymi prostriedkami -
napriklad aplikacia obsahujuca podobnu funkcnost ako GA by bezala na
jeho vlsastnom servri. Vyhrady mam najma proti tomu, ze sa nahrava a
spusta neauditovany skript, ktory sa moze hocikedy zmenit a informacie
(nevieme ake) sa poskytuju tretej strane.

-m-

Pavel Kutina wrote:
> Ctu si tuhle debatu a tohle je jeden z nazoru, pod ktery se s chuti
> podepisu...
>
> Jako jeden z "oboru cinnosti" delam weby, GA mam nasazene na vsech bez
> vyjimky a je to velmi prinosne, at uz odhalovanim ptakovin (jakoze se
> uzivatel nedostane v rozumne dobe tam, kde ho chci mit), nebo prave onim
> statistickym prehledem, co se tyka pouzivanych browseru, rozliseni a 
> ruznych
> webovych technologii (a -nejen- podle toho se samozrejme resi ruzne
> "optimalizace" a browsery, ve kterych probiha nejake masivnejsi 
> testovani).
>
> K tomu zdrzovani: Kod GA se da (resp. ma) zasit az do paty stranky, tesne
> pred ukoncovaci tag </body>, jinymi slovy - pokud mam rozumne napsanou
> stranku, pak to znamena, ze na GA to doleze, az kdyz je vsechno ostatni
> zobrazene, v tu chvili, poklud ma uzivatel vetsi latenci, mu nic nebrani
> odkliknout se jinam. Jestli to ma nekdo zapsane v hlavicce, je pravda, ze 
> to
> muze zdrzovat - ale za to nemuze GA, ale tupej webdesigner.
>
> Co se tyka sledovani a sbirani dat - nez prisel system GA, tak cloveku 
> nejak
> nezbejvalo, nez si na tohle psat vlastni knihovny a tezit data od 
> uzivatele
> po svem, neznaly se mohl celkem divit, co vsechno se da z PC vycucnout. GA
> to sledovani zcela jiste neumoznil, jen vyuzil a zjednodusil jeho 
> nasazeni -
> a programatorum usetril spoustu casu a nervu, protoze dela hezke grafy pro
> kravataky, ktere neni jinak uplne trivialni malovat a ktere kravataci
> obvykle vyzaduji (i kdyz je jim to casto na nic).
>
> Pavel Kutina
>
>
> ----- Original Message ----- 
> From: "Petr Zahradnik" <clexpert@clexpert.cz>
> To: "HW-news" <hw-list@list.hw.cz>
> Sent: Tuesday, June 09, 2009 3:49 PM
> Subject: Re: [OT] Zvedavy Google?
>
>
> Puvodni zprava ze dne 9.6.2009 od Pavel Troller:
>
>
>> Pokud jedu ve svém oblíbeném browseru (konqueror), půlka stránek mi
>> nefunguje.
>>
>
> K cemu je takovy browser, at uz obliben nebo neobliben, kdyz neukaze
> pulku stranek?
>
>
>> Pro moji platformu (Linux) nejsou některé technologie vůbec dostupné
>> (např. VB a další rozšíření IE). A právě mám pocit, že tato
>> technologie jede proti mně, neboť místo aby se tvůrci stránek
>> snažili být plně kompatibilní s uznanými standardy, tak se opřou o
>> takovouhle statistiku a vyjde jim, že takových kuriozit, jako jsem
>> já, je pod 1% a že se na ně zvysoka vy***ou a budou "optimalizovat"
>> web jen pro ty, kterých je většina.
>>
>
> Ano, presne tak. Proc bych mel travit hodiny a hodiny casu (a utracet
> tak sve penize) tim, aby se me stranky ukazaly jednomu cloveku z
> tisice, ktery si oblibil cosi, co ani neznam? :-)
>
>
>> I proto mi tento sběr dat vadí - mně jako uživateli webu rozhodně
>> nepomůže.
>>
>
> Vzdyt vlastne myslime a jedname uplne podobne, mozna i stejne. Ty
> odmitas platit penize za prenos dat na analyticky server, ktery mi
> jako majiteli webu poskytuje statistiku a dalsi informace nutne pro
> jeho dalsi rozvoj, ja zase odmitam platit penize za to, aby sis mohl
> browsovat na cemsi, co nikdo jiny nepouziva :-)
>
> Petr Zahradnik, pocitacovy expert
>
> ==========================================================
> Petr Zahradnik, Computer Laboratory
> Obvodova 740/14, 400 07 Usti nad Labem
> telefon: 475 501 627, mobil: 602 409 601, fax: 475 511 338
> web: http://www.clexpert.cz, e-mail: clexpert@clexpert.cz
> ICQ: 21215917, MSN: clexpert@clexpert.cz
> ==========================================================
>
>
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list@list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list@list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>

_______________________________________________
HW-list mailing list  -  sponsored by www.HW.cz
Hw-list@list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list 




Další informace o konferenci Hw-list