Možno ste niektorí z vás zachytili zaujímavú reakciu spoločnosti Azet, ktorá ju vyjadrila na svojej domovskej stránke Aktuality.sk pod názvom “Vynašli koleso“. Samozrejme, že celý text je pekným PR pre spoločnosť, ktorá takto maskuje svoju absolútnu neschopnosť.
V poslednom mojom článku “Zoznamka.azet.sk: Štvrť milióna emailov voľne k dispozícii (Doplnené)” sa mnohí vyjadrili negatívne voči môjmu zverejneniu e-mailových adries a ich následné prepojenie na inzeráty. V tomto článku by som rád oficiálne vyjadril postoj a dôvody, prečo som to tak urobil, ako aj reagoval na niektoré urážlivé vyjadrenia spoločnosti Azet.
Prečo som celú chybu zverejnil
Tí, čo ste čítali diskusiu a minulý článok viete, že som sa dlhodobo so spoločnosťou Azet snažil v dobrom komunikovať. Výsledkom pokusov trvajúcich pol roka bolo, že som sa dočkal urážlivých komentárov zo strany samotných Azeťákov, ktorí si z oznamovaných zraniteľností nič nerobia. Jedinou možnosťou ako Azet donútiť zaoberať sa bezpečnosťou bolo urobiť niečo, čo nezapadne len tak prachom.
Mnohí sa pýtali, prečo som vybral niektoré z e-mailových adries a dokonca ich prepojil s inzerátmi. Dôvod bol jediný. Bola to jediná možnosť, ako dokázať, že táto laická chyba môže mať vážne následky a že spoločnosť ju už dlhodobo ignoruje. Mnohým tento postup nevoňal, sám som z neho nebol nejak extrémne nadšený. Mne najbližšia osoba mi tento postup vyčítala ešte pred publikovaním celého článku, bohužiaľ som nevedel nájsť žiadnu inú cestu, ako poukázať na absolútne laxný prístup Azetu k otázkam bezpečnosti.
Ďalší mi vyčítali publikáciu POC skriptu. Keďže bola zraniteľnosť, resp. chyba veľmi jednoduchá, nebolo potrebné vyrábať skript. Bola to však jediná možnosť, ako dotlačiť spoločnosť Azet k okamžitej reakcii. Tá prišla až o niekoľko hodín, napriek tomu, že už o zraniteľnosti dlhšie vedeli. Každopádne netrvalo jej odstránenie niekoľko dní, či mesiacov (alebo nikdy?), ako sme zvyknutí. Skript si splnil svoj účel. To že sa neskôr objavili celé zoznamy emailových adries ma síce mrzí, ale snáď to bude veľmi dobrým poučením do budúcnosti.
Aj keď viem, že mnoho ľudí nesúhlasilo s formou, ako som tieto informácie publikoval, dodnes neprišiel nikto s iným riešením, ako sa dopracovať k rovnakému konečnému efektu bez menších “strát”. Niekto navrhoval screenshoty. Pravidelní čitateľa určite vedia, že som fanúšik POC screenshotov, v tomto prípade však nebolo možné využiť tento spôsob prezentácie objavených zraniteľností. Spoločnosť Azet je známa prekrúcaním a popieraním faktov (ostatne ani tentokrát neostala nič dlžná svojej povesti) a screenshoty by boli okamžite označené za falzifikáty. Pravdou je, že dnes nie je najmenší problém upraviť web “on the fly” aj napríklad za pomoci rozšírenia FireBug pre prehliadač Firefox a urobiť screenshot. Video je tou lepšou formou ako potvrdiť objavenú zraniteľnosť, stále však platí presne to isté, čo pri screenshotoch. Iná metóda mi nenapadla a tak som zvolil takú cestu, aby sa tento fakt nedal poprieť. I keď sa o to Azet pokúsil, myslím, že mu to vôbec nevyšlo.
Ak máte nápad, ako to v budúcnosti urobiť, možno lepšie, šetrnejšie, sem s ním.
Čo na to Azet
Ak ste čítali prvú oficiálnu správu spoločnosti Azet, určite ste zostali šokovaní. Ich arogantnosť, ktorou táto správa zapácha, je až neuveriteľná.
Do systémov spoločnosti Azet.sk sa nepodarilo týmto útokom vniknúť. Práca s e-mailovými adresami bola takýmto spôsobom navrhnutá a naprogramovaná.
Veľmi zaujímavé tvrdenie, keď v zápätí v inom vyhlásení povedala spoločnosť Azet, že ja som bol ten, kto odcudzil emailové kontakty a postúpil ich tretej strane. Každopádne, ak si druhý najnavštevovanejší portál na Slovensku myslí, že takto má vyzerať funkcionalita pre prácu s e-mailovou adresou, tak je to viac než zaujímavé.
E-mailový kontakt pri pridávaní inzerátu je kontaktný a Azet.sk sa nezaväzuje, že ho nezverejní.
Ešte včera som si len náhodou popri súkromnej konverzácií s Ivanom Debnárom pozrel pravidlá, ktoré má spoločnosť Azet na svojej stránke a zostal som v absolútnom šoku. V týchto pravidlách sa uvádza.
SÚKROMIE POUŽÍVATEĽA
1. Prevádzkovateľ sa zaväzuje neposkytovať súkromné údaje používateľa žiadnej tretej strane.
2. Súkromnými údajmi používateľa sa na účely týchto pravidiel rozumejú všetky údaje, ktoré nie sú verejne prístupné ostatným používateľom alebo nie sú inak zdieľané (napríklad údaje, pri ktorých bolo používateľom uvedené „nezverejniť“ a pod.) a pošta, a to aj v prípade, ak je zdieľaná. IP adresa počítača a časy prístupov (Logy) používateľa sa nepovažujú za súkromný údaj používateľa.
Obhajobou spoločnosti Azet bolo v tomto prípade, že sa jedná len o poštu v ich emailovej službe a nie iných emailoch. Naneštastie pre spoločnosť Azet sú však pravidlá rovnaké pre celý portál, pretože sa zobrazujú v pätičke stránky aj na stránke Zoznamka.sk. To znamená, že užívatelia vôbec nenadobudli falošný pocit, že ich údaje budú v bezpečí, ale zabezpečiť ho sa zaviazal samotný Azet!
E-mailové adresy sa bežne zverejňujú aj na iných stránkach a je na užívateľovi, ktorú poskytne.
…
Popísaný postup vyťahovania adries z HTML kódu webových stránok je vo svete bežne používaný spamermi, ktorí takto získavajú e-mailové adresy a ďalej ich zneužívajú. Nejedná sa teda priamo o bezpečnostnú chybu stránky Zoznamka.azet.sk.
Na blog.ziak.sk sa objavilo veľmi pekné prirovnanie:
Ak bude pedofilov 20%, bude to štandardný model správania sa, lebo je to bežné.
Ja som použil prirovnanie miernejšie.
Ak je bežný veľký počet smrteľných dopravných nehôd, tak dajme preč pásy, však načo tam sú, keď je to bežné?
Azet má skutočne zaujímavú predstavu o prístupe a spracovaniu dát užívateľov. Ale pokračujme.
Zistiť si e-mailovú adresu prakticky kohokoľvek je veľmi jednoduché – stačí si vyhľadať formát používaných adries v spoločnosti alebo inštitúcii a pridať meno, komu chceme napísať.
Nemôžem viac než súhlasiť. Akurát, najskôr by som musel to meno, či priezvisko poznať a nie ho zistiť z e-mailovej adresy. Veľmi chabý argument, ktorý do takejto správy ani nepatrí.
Najlepšie na záver.
Otázne je zverejnenie emailových kontaktov a vraj s nimi súvisiacimi inzerátmi na blogu synopsi, kde nie je možné reálne preukázať väzbu a môže ísť o vážne ohováranie a poškodzovanie mena dotknutých osôb.
A napriek tomu, že som schválne prepojil emaily a inzeráty, Azet sa opätovne odvolal na to, že som si to celé vymyslel. Samozrejme až potom, ako opísané chyby odstránili. Neskôr mi však bolo oznámené, že bolo myslené spojenie konkrétnych osôb s danými emailami. Ja som však nikdy nikde netvrdil, že sú to tie konkrétne osoby. Ja som vypísal emaily a prepojil ich s inzerátmi. Nič viac, nič menej.
Zaujímave je aj to, že ma Azet označil za zlodeja, ktorý poskytol emaily tretím stranám. Rád by som verejne upozornil zodpovednú osobu zo spoločnosti Azet, aby si zopakovala, čo to tretia strana je.
- 1. strana - užívateľ azetu
- 2. strana - azet
- 3. strana - ja
- 4. strana - moji čitatelia
Upozorňujem, že emaily boli voľne dostupné na stránke. Nebolo nutné nejakým spôsobom hackovať sa do databáz, alebo akokoľvek dané emaily odcudziť. V tom prípade by logika Azetu platila. V tomto prípade však Azet emaily verejne publikoval vo verejne dostupnom html kóde.
Výsledok a dôsledky
Aký je záver tejto kauzičky? Azet je v pohode, trošku to prehrmelo a ide sa ďalej. Najviac dotknutí sú samotní užívatelia, k čomu som sa sám pričinil. Na Slovensku veľmi chýba legislatíva, ktorá by podobné pochybenia trestala a umožňovala poškodením efektívne sa chrániť. Bohužiaľ, na Slovensku je to tak.
Nie však úplne. Ako ma vyviedlo niekoľko mojich čitateľov z omylu, za osobný údaj je podľa zákona “428/2002 Z.z. §3″:
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
V duchu tejto informácie podávam dnes oznámenie pre porušenie ochrany osobných údajov spoločnosťou Azet na Úrad pre ochranu osobných údajov.
Rovnako zvažujem podať trestné oznámenie na spoločnosť Azet vo veci ohováranie a možno ďalších na základe oficiálneho stanoviska, ktoré zaujali pre server mediálne.sk. Ja som sa však k stanovisku dostal skôr, ako stihli poprosiť o jeho nezverejnenie a odpustenie. Poradím sa s právnikmi a uvidím, aké kroky budú najvhodnejšie. Určite vás o ďalšom postupe budem informovať.
Nakoniec by som chcel odpovedať tým, ktorí ma obvinili z umelo vytváranej reklamy.
Áno, som majiteľ webu synopsi.com, ktorý ponúka rôzne služby spojené s tvorbou, analýzou a ochranou webu. Služby, ktoré sú ponúkané cez synopsi.com sú však outsorcované, čiže sú posúvané tretím stranám, ktoré ja považujem za najkvalitnejšie na našom trhu. Neposkytujem štandardne žiadnu z vypísaných služieb, osobne občas robím analýzy, ale skôr vrámci voľného času. Rovnako návštevnosť blogu je, dovolím si tvrdiť, jednou z najlepších na Slovensku v blogosfére. Samozrejme, že mi aj toto odhalenie prinieslo ďalších čitateľov, ich počet však nepresahuje ani 30% z pôvodných čitateľov. Tento blog nepíšem ani kvôli sláve, o tú ja vôbec nestojím. Všetky tu publikované odhalenia robím z dôvodu zvýšenia povedomia o bezpečnosti, ako aj zvýšenia samotnej bezpečnosti webov na Slovensku a v Čechách.
A na úplný záver linky na tých, kde bola kauza preberaná a kde by ste sa mohli dočítať ďalšie, veľmi zaujímavé názory:
Azet tvrdí, že anonymitu v Zoznamke negarantoval, v podmienkach používania tvrdí opak
Vynašiel koleso, odkázal Azet kritikovi bezpečnostnej politiky portálu
To není chyba, to byl úmysl
Koľko bude trestných oznámení na Azet.sk ? (Zoznamka.sk)
azet.sk kašle na užívateľov!
Z Azetu uniklo štvrť milióna e-mailov
Zoznamka na Azete: E-mailové adresy boli prístupné každému (Doplnené)
Zoznamka.azet.sk nabízí volně dostupné maily svých uživatelů
Tisíce etických otázok po tretíkrát a naposledy
A-zet nesklamal (neprekvapil)
Podkest Lolo Foxa Epizóda 41
1 deň na internete
Štátni úradníci na Zoznamke (TV Markíza)
No a ako som sľúbil, tu je skript, ktorý som si vytvoril pre zobrazovanie hidden polí ako normálnych, spolu s malým upozornením.
Auto-Hidden Input Viewer - skript je určený pre rozšírenie GreaseMonkey pre prehliadač Firefox. Stačí ho len nainštalovať a o zvyšok sa postará už sám. Odporúčam mať posledné verzie Firefoxu aj GreaseMoneky.
uvedomte si ze ujo chce skvalitnit web priestor na slovensku, ale kedze je tu system aky je, tak mu budu stale hadzane polena pod kolena. snad bude vyhravat ten kto ma viac pravdy ako penazi
Obavam sa, ze s napadnutim Azetu za porusovanie Zákona o ochrane osobných údajov neuspejes, pretoze podla mna e-mail ani v spojeni s udajmi v inzerate nenaplna znaky osobnych udajov… Takze prajem vela zdaru :-) (nie ironicky)
Na chyby na internete by sa malo upozornovat co najskor, aby nemohli byt zneuzite. Autor na chybu len poukazal, nijako jej odhalenie nezneuzil vo svoj prospech (okrem teda zvysenia navstevnosti na svojom blogu). Spolocnost mala na toto upozornenie promptne zareagovat a chybu odstranit. Toto koniec koncov aj spravili, no zabudli sa podakovat. Suhlasim s abraxasom.
skript pre greasemonkey..
pohodlnejsi a vypocetne menej narocny je developer plugin, javascript je evil :-)
Vdaka za ten script, hladal som ho. Článok som viac menej očakával:)
Bude zaujimave sledovat, ci sud prizna porusenie ochrany OU v tomto pripade. IMHO Azet si s podobnymi vecami nezacne lamat hlavu pokial mu niekto nesposobi vypadok sluzby (prachov).
Dobre ze si napisal tento clanok. Dokedy bude Azet klamat svojich pouzivatelov?
To sa dalo zo strany Azetu ocakavat, ze nakoniec vsetko zvalia na teba. Myslim, ze to co si spravil bolo spravne a treba ukazovat na taketo problemy. V kazdom pripade zelam pevne nervy, nakolko podla stanovisk Azetu ide o ludi bez chrbtovej kosti
E-mail nie je osobny udaj. Ani ak ho skombinujes s ip adresou, vekom v inzerate a textom “mlady sexi inzinier hlada zenu na sex”. Urad pre ochranu osobnych udajov je jeden vtipny organ.
Suhlasim s tym, ze niekto musel poukazat na to, ze azet.sk ma “dieru”, ktora vlastne nie bug, ale feature (aspon podla azetu). V podstate suhlasim aj so sposobom akym si na celu vec poukazal.
Fascinuju ma argumenty typu “to napisal kvoli zvyseniu navstevnosti svojho webu/blogu”.
Kua, vsak ked napisem nieco zaujimave a ludi to ku mne pritiahne, asi ich to pritiahlo preto, ze im to nieco dava. Davam im to, co chcu. Co je na tom zle?!
“Lide nejsou blbi, z toho vychazejme.”
Ak nahodou zavadzam, v titulku alebo v popise na nejakom odkazovacom serveri, tak sa ku mne pozru a viac uz nepridu. A zapamataju si - “to je ten klamar”. Ked naopak dostanu to, co hladaju, vratia sa.
Pekny clanok. Skoda, ze si ho neprecita vacsina tych 13-rocnych dievcat a nadrzanych chlapcov, ktori tvoria vacsinu uzivatelov azetu. Ale asi by im to bolo jedno, kde by travili hodiny casu, ak nie a azete…
Myslim si, ze kazdy kto ma rozum ten portal uz davno nepouziva.
Ešte upozorním na to, že k stanovisku Azetu na aktuality.sk nie je povolená diskusia - prečo asi? :)
Odkaz autorovi clanku:
Chlapce, nerob zo seba vacsieho magora ako si.
Asi by ti nezaskodilo keby si sa vratil ku skole a dostudoval si urcite veci.
V bezpecnosti si sice expert, ale pravo, etika a prirodzena inteligencia ti asi nic nehovori.
Vies ono nie vzdy staci byt len majster sveta na hodine vypoctovej techniky niekde na strednej skole :)
niekto: dalsi azetak sa nam ukazal? mne toho treba dostudovat este velmi vela. zato vy ste za mnou v uzadi az tak, ze vas predbiehaju uz aj ti, co si len nedavno prvykrat sadli za pocitac, co je povedzme si uprimne, hanba. dneska vide novy clanok zo serie fd. dalsia krasna ukazka, aky obmedzenci pracuju v azete
neviem ci si to niekto uvedomil, ale vdaka tymto a inym chybam azetu je tu velka prilezitost urobit konkurencny projekt, ktory by sa mohol prezentovat okrem ineho prave bezpecnostou, ved kto by chcel aby sa jeho data valali kadekde.
Sledujem uz dlhsie diskusiu, a zda sa mi ze kazdy kto si povie nazor, ktory sa tebe nepaci je azetak.
Rubes privisoko, len pozor aby si nepresekol co nemas. Alebo si zhanas ubytovanie na par rokov, lebo z intraku ta vyhodili? :)
No a tie tvoje tzv “sudne podania” to je asi len for nie? alebo si to posielal na lamparen? Tam by to mozno s privretim oka zobrali.
“Tak dlho sa po vodu chodi……”
Ohladom Azetu no comment,,,robili to takto vzdy,,a aj budu…by sme sa asi dostali do dalsieho milenia keby pohli s prepacenim ritami a priznali si chybky krasy..
loomlak: hehe, nie kazdy. iba ti, co maju rovnaku ip ako ludia z azetu :) aj mnoho inych ludi napisalo kritiku a nikdy som ich za azetakov neoznacil. azetaci chodia von cez jednu pevnu ip a tak je celkom lahke ich identifikovat.
co sa tyka udani, uz som napisal kam pojdu, ak nevies citat, nemal by si sa snazit o diskusiu ;)
Vzhladom na to, ze som zatial nemal tu cest komunikovat s ludmi z Azetu, nemyslim, ze by som ti vedel presne povedat, ci je tvoj postup adekvatny alebo nie. Na druhej strane vsak treba povedat, ze komunikovat sa da vzdy a s kazdym, je to len otazka snahy. V tvojom pripade sa mi ale zda, a beriem to za celkom pochopitelne, ze komunikacia s Azetom je zla uz od jej zakladov a ani jedna z dotknutych stran sa nesnazi o to, aby sa to zlepsilo. Teda aspon nie tou spravnou cestou, pretoze sa pri kazdom takomto probleme povazujete, poviem to mierne obrazne, za uhlavnych nepriatelov..
Nedavno si tu mal clanok, v ktorom si opisal stretnutie s majitelmi/prevadzkovatelmi nejakeho webu, ktory si kritizoval. Bolo uzasne, ba priam dojemne citat, ako dobre ti to vsetko vyslo. Preco sa to iste neda spravit ak s Azetom? Preco si konecne nedohodnote postup toho, ako pri takychto pripadoch postupovat?
Ciastocne mi je jasne, ze aj tento, aj vela dalsich tvojich clankov je vo svojej podstate claim s presne tymto odkazom, no ako sam vidis, takto to nefunguje. Viem si z vlastnej skusenosti predstavit, ze to moze byt sposobene vylucne chybou na ich strane. Ale. Z mojho pohladu, a vlastne ako si sam napisal aj z tvojho, doslo k najvacsiemu poskodeniu na strane uzivatelov. A okrem par uradnikov, ktorych cinnost v praci budu mozno kontrolovat a preverovat, to v prostredi slovenskeho internetu tak ci onak nikoho neohrozi a aj ich samotne poskodenie bude tym padom minimalne. Jedine ak tak formou spamu, no prepojenie s uvedenym pripadom nevytraceujes. Ani ty, ani Azet pritom nemate moznost uspiet pri podavani staznosti ci zalob.
Otazne je potom podla mna len to, ako postupovat v buducnosti. POC skripty su sice pekne, no osobne by som ich neposkytoval verejne. Plne dostacujuce su screenshoty, videa a popis logickej struktury skriptu, pripadne uvedenie jeho narocnejsich casti. V tomto aktualnom pripade bolo to, co si spravil v poriadku, kedze islo v podstate o “malickost”, ktora cinnost Azetu nijak neovplyvnila a neovplyvni. V buducnosti by ale mohlo dojst k tomu, ze tu spravnu mieru neodhadnes, alebo budes zalovany za vymysel skryty za usly zisk.
Tentokrat si ale v dostatocnej miere rozviril vody, takze myslim, ze nastal spravny cas na to, aby ta pri vhodnom sposobe oslovenia brali vazne. Dolezite bude postupovat korektne, na oboch stranach. Drzim ti teda, co sa tohto tyka, vsetky palce na rukach aj na nohach :)
Nazdar oooo (BTW sry, za blbu otazku ale uz dlhsie sa kcem spytat, ktory z tych dvoch z Barcampu si - ten s prezentaciou WEB security alebo ten hacker na konci?), zopakujem co si pisal vyssie s moznym riesenim.
Ak máte nápad, ako to v budúcnosti urobiť, možno lepšie, šetrnejšie, sem s ním.
Tvoje riesenie na upozornenie problemu boli sice tvrde, no netvrdim ze nespravne. Zoznam clankov ukazuje na slusnu odozvu.
Navrhoval by som ist na to v buducnosti inak a sice nie hned poskodit obete AZ. Ked uz si ziskal tie adresy, navrhujem, aby si vyuzil samotne obete v tvoj prospech.
Proste by si na tie adresy poslal mejly s upozornenim, ze doslo k uniku preto-a-preto, zodpovedny je ten-a-ten. To ale nie je cele. Dalej by si nasadil nejaky druh ultimata, ze ak chyba nebude do cca 14 dni odstranena (budes priebezne checkovat), ziskane adresy zverejnis. Tym vlastne donutis samotnych uzivatelov na AZ zatlacit (ostava verit, ze aspon 10% bude kontaktovat AZ).
Daj vediet, ci sa ti to paci, ci nie.
No tak potom budu tvoje podania na 99% preproxovane priamo do smetneho kosa :-)
Splietas tu jedno cez druhe, len aby si si niekde odvetral svoje osobne spory.
Co ta tam nechceli zaplatit? A ako tak o tebe citam asi viac firiem bolo preto zlych, lebo nevyhodili prachy za tvoj “uzasny” bezpecnostny audit.
souhlasim, ze je hloupost zverejnovat e-mailove adresy uzivatelu, kdyz to nebylo naprosto nutne a slo tuto situaci resit elegantneji. na druhou stranu, aby byl tento clanek objektivni, bylo by nutne napsat podobny pamflet na mnoho komunitnich serveru, nejen Azet.sk, ale i cesky XChat a mnohe dalsi. rozhodne je hloupost hajit svoji chybu argumentem, ze i profily ostatnich serveru lze vykradat, ale pokud to v konecnem dusledku odnese pouze Azet.sk, pak se jejich reakci zas tolik divit nelze.
re ososbne udaje: email nie je klasifikovany ako osobny udaj… neviem ci sa ti nieco v tomto smere zadari.
osobne by som vyuzil ich vyhlasenie o sukromi uzivatela, a to cast “…rozumejú všetky údaje, ktoré nie sú verejne prístupné ostatným používateľom…” co je aj emailova adresa. zaroven vsak treba dokazat ze Azet o chybe vedel, a s vedomim ze porusuje pravidlo ku ktoremu sa zaviazal, chybu ignoroval.
Azet to vsak moze otocit a bude tvrdit ze email zverejneny bol, hoci nie vizualne, ale bol sucastou html dokumentu - tym obide svoje vyhlasenie o sukromi uzivatela (btw to je napisane ozjal lisiacky, a povedal by som ze je to zamer prave kvoli takymto situaciam). V mojej reakci na tvoj predchadzajusi clanok som sice spomenul sud, ale to skor v suvislosti ze by taka kauza vrhala zle svetlo na Azet, ale nemyslim ze mas realnu sancu to vyhrat. Samozrejme nepoznam znenie zaloby, cize sa nemozem relevantne vyjadrit, ale…
Kazdopadne myslim ze sa v tom treba dalej vrtat a hlavne to cele medializovat. Treba si uvedomit ze rozhodnutia Azetu su realizovne vylucne na zaklade financnych otazok, a teda treba podniknut kroky, ktore by realne mohli ohrozit prijmy tejto splocnosti. Prave medializaciou sa to dosiahnut da.
No a ked uz sa tu tolko prepiera tvoj sposob poukazania na tuto chybu, tak si do teba “kopnem” aj ja. Ak by sa medzi tymi mailami nachadzal aj moj, veru hneval by som sa a zrejme dalsie vety by som uz nenapisal ;-) . Na druhej strane vsak treba zvazit aj ine okolnosti, ako napr nedostatocna legislativa, ktora taketo diletantstvo povoluje. No a kedze nie su legalne prostriedky, ktore by Azet prinutili riesit bezpecnost ich webovych sluzieb a z dobrej vole to nie su ochotni spravit, co teda? Inymi slovami ucel svati prostriedky a verejne schvalujem tvoj postup.
A nazaver - ak to chces dalej medializovat mailni mi, mozno by som vedel s tym helpnut.
cau oooooooooooooooo :) uz sa tesim na ten dalsi clanok, v poslednej dobe sa na SK nete nic extremne nedeje, som zvedavy na tie reakcie :) good luck
Trosku psychologicke okienko :)
oooo: si autor clanku. To, co napises a publikujes ako clanok znamena, ze si za tym stojis (To by mali diskuteri pochopit). Myslim ze vyznieva dost neprofesionalne, ak sa zaoberas a dokonca reagujes na anonymne a obzvlast smiesne (a osocujuce) komentare pod clankom. Ja si myslim, ze nemas za potrebi zahadzovat sa spekulaciami, ktore pisatelia vymslia v diskusii, ci nejako sa nadradovat nad nich ci dokonca im dokazovat, ze aj tak nemaju pravdu. Tvoj clanok hovori za vsetko a kto ho nepochopil, je to iba jeho problem. Ak zacnes reagovat na popudive komentare, stavias sa do profesionalnej urovne ludi, na ktorych komentare reagujes. A checkovat IP ci je dany uzivatel z azetu a ci nie detto. Nad niektorymi tvojim reakciami v diskusii naozaj rozmyslam, ci ich pise rovnaky clovek, co napisal clanok. Pokial ta ludia zhodnotia podla clanku ako cloveka, ktory danej veci rozumie a vie co robi, v diskusii im dokazes, ze nevies podradit osobne pohnutky a vlastnosti profesionalnemu cielu.
Ked ta niekto osocuje ci obvinuje, je to v prvom a zaroven poslednom rade iba jeho problem vnimania a osobej vyspelosti. Treba sa profesionalne povzniest, pretoze ti ludia ta mozu chciet urazit, ale je len na tebe, ci si to prispustis a tym im to dovolis. Tym ze reagujes na ich prispevky im iba ukazes, ze trafili na cistlive miesto tvojej osobnosti. Ak reagovat nebudes, budu vediet, ze na teba nemaju a uz to skusat nebudu.
Preto, ako autor clanku by som v diskusiach regoval iba na veci, ktore sa do clanku nevosli ci boli opomenute. Bud diplomat a nenic v diskusiach to, co si postavil v clanku.
mna by iba zaujimalo, preco si taky ochotny nastavovat aj vlastny krk za to, aby si upozornil na zlu bezpecnost nejakej stranky…
Ked niekto zneuzije ich chybu vo svoj prospech tak ty si to pokladas za vinu? (lebo to neopravili na zaklade tvojich upozorneni)
Myslis ze tym niekomu pomahas? Komu? uzivatelom? tym uzivatelom ktori veselo rozhadzuju svoje emaily, osobn. info atd. hoci kde? ver mi, tym je to uplne jedno….
Ak to robis pre dobro vsetkych a na podporu bezpecnosti internetu tak bud sa totalne nudis alebo to je prave naopak, pre svoje dobro=reklamu…
mizu: tvoj nazor si vazim a dakujem ti zan. co sa tyka POC, je to urcita forma, ako dokonale ilustrovat jednoduchost takychto zranitelnosti a ich skutocnu silu. prikladom su XSS ci CSRF zranitelnosti, ktore patria dnes medzi tie skutocne najhorsie.
azet som kontaktoval mnohokrat, ich arogancia a ignoracia nepozna hranice. napriek tomu som sa dostal do kontaktu uz s jednou osobou, s ktorou sa uz komunikovat da, vdaka comu som aj ja urobil mierne ustupky v publikovani. dnes odhalim dalsiu zo sialenych zranitelnosti azetu, tentokrat vsak azet dostane kopiu clanku este pred jeho uverejnenim.
preco som nezvolil video, screenshoty atd. som napisal.
Srigi: ten prvy, stacilo si pozriet video na markize.
ten napad ako som to mohol urobit je velmi zaujimavy a povedal by som ze asi jediny dobry. skoda ze som ho nepoznal skorej (ze mi skorej nenapadol). ak sa stane podobna situacia, skusim to tak. s tymi emailami to moze byt problem, lebo by to bolo pravdepodobne povazovane za spam (stale by ma niekto obvinil z tvorenia reklamy atd.). ale napad je to vyborny, mozno ho len spravit malinko inak.
loomlak: ako vidim, dosiel si sem len rypat. clanok si asi necital. bezpecnostne audity robi outsourcovana spolocnost a nie ja. nikdy som azetu, ani ness a ani nikomu z tychto spolocnosti audit neponukol. nemam na to dovod.
Emkei: clanok je objektivny voci azetu. nemal som cas sa venovat vsetkym zoznamkam. azetu sa venujem plosne, nie priamo jednej z ich sluzieb.
divamys: poznas ma uz dlho. vies, ze mi nejde o cistu slavu, ci zisk z tejto, alebo inych kauziciek. preco a ako som to urobil som opisal v tomto clanku, uz nemam co dodat.
gabriel: dakujem za prispevok. je to blog, su to moje nazory, nejde o profesionalne medium. tam by som takyto postoj urcite zaujal. v diskusii im oponujem z uplne inych dovodov. ludia co tuto diskusiu citaju potrebuju poznat vsetky fakty okolo aby si urobili vlastny nazor a aby ho neznicili pobudovia. to, ci je ten a ten z azetu je pre mna skor zabavka, takto aspon presne viem, ako sa k danej spolocnosti postavit. podla toho, akych ma spolocnost zamestnancov je mozne posudit aj jej kvalitu.
absolutne mi nevadi ze ma urazuju, pokial to robia aspon trosku vecne. komentare su moderovane a ja sa snazim nemazat co najviac z tych, ktore by aspon mohli nieco povedat. zvysok zvysoka ignorujem. to ze sa im snazim vysvetlit nejake skutocnosti alebo ze im ukazem ze na to sami nemaju je len moj osobny bonus, ktory mozno nevyznieva profesionalne, ale mam z neho dobry pocit :)
Dmitrij: aj to je nazor. skoda ze si tam nepridal tretiu moznost: naivitu a privelke srdce :) dufam, ze patrim zrovna do tejto kategorie. myslim, ze som vysiel z inych pomerov (vdaka spolocnosti kde som posobil a kde externe posobim dodnes). tam nas navadzali na iny typ spravania. to ze nastavujem krk je sice pravda, ale verim, ze to bude mat nejaky zmysel. casom mozno zmenit ponimanie bezpecnosti aspon u niektorych a ti to prenesu dalej. ako vidis, reklamy na blogu vela nie je a aj to je len kontextova. ina reklama mi nijakym financnym sposobom nepomoze, byt na titulkach ma nijako nelaka. ak tym vsak pomozem aspon zopar ludom, urobim to rad
ak to je uprimna odpoved tak ok, len to neprehanaj s tou dobrotou, lebo vsetkeho vela, skodí…
Dik za da script.Uz sa tesim na ten dnesni clanok,dufam ze ti z azetu z neho neokresaju ked si im ho poskytol vopred.A myslim ze nech by si ten clanok o azete uz napisal akokolvek vzdy sa najde niekto ,podla koho by sa to dalo napisat lepsie.
Ten článok im išiel na schválenie/cenzúru alebo na to aby sa stihli zariadiť? (rýchlo chybu opraviť, začať pripravovať prehlásenie o tom že za to zasa nemôžu etc.)
Som velmi rad, ze je tu niekto, ako oooo. Len tak dalej;)
Ides Rasto!
Drzim autorovi blogu palce. Myslim, ze Azet(aci) sa aj vo svojich oficialnych vyjadreniach namiesto podakovania spravaju ako arogantni a neomylni *****. Mimochodom, viete ze Azet neumoznuje (ani na poziadanie) zmazanie uzivatelskeho uctu ? Podobny pripad bol aj s Facebook-om kedysi.
ooo: ” gabriel: dakujem za prispevok. je to blog, su to moje nazory, nejde o profesionalne medium. tam by som takyto postoj urcite zaujal. v diskusii im oponujem z uplne inych dovodov. ludia co tuto diskusiu citaju potrebuju poznat vsetky fakty okolo aby si urobili vlastny nazor a aby ho neznicili pobudovia. ”
Suhlasim a je super ze si zaujal tento postoj.
clanok budem pisat az vo vecernych/nocnych hodinach, som dost vytazeny a nie vsetko stiham hned. kazdopadne, clanok pojde azetu kvoli upozorneniu, nie pre cenzuraciu. to druhe by som nikdy neurobil, nemam na to najmensi dovod.
dakujem vsetkym, ktori sa ma snazia podporit, cenim si to.
super clanok,bol by som sice oznacitelny za azetaka aj ked nemam 15 a netravim tam 24hpd ale si myslim ze je dobre poukazat na nedomyslenost urcitych sluzieb azetu .. skoda len ze vyznam takehoto clanku si uvedomi asi len male percento uzivatelov stranky azet.sk …-.
ps: este ze si zverejnil tie e-@dresy lebo asi ani to male percento by sa nenaslo :)) (cest vynimkam)
mimochodom,nejake infos o dnesnom vypadku azetu? zeby nejaky ten upgrade bol na plane? :))
oooo: Ja rozumiem tvojim postojom co sa tyka tejto afery a bezpecnosti a fandim ti.
Svojou odpovedou na moj prispevok si si vsak vyvodil niektore zavery ktore nie su pravdou a ktore som nikdy nenapisal. Zamienas si profesionalitu cloveka s profesionalnym mediom. Ja som poukazoval na to prve, ty si reagoval na to druhe. Ja som predsa nikde nenapisal ani nenaznacil, ze toto je profesionalne medium. Ja som pisal vylucne o tvojom postoji k danej problematike a spravani sa. Spravanie predsa nema nic spolocne z miestom kde sa nachadzame. To, ze je toto “len blog” neznamena, ze by si sa mal spravat inak, ako by to bolo v “serioznam” mediu, kedze obhajujes rovnake principy a pravdy.
Hadam profesionalita a spravanie cloveka nepodieha miestu a casu tak ako si to napisal. To snad nie!
Ok, nebudem tu mutit vodu, pre tuto kauzu nepodstatnymi vecami.
oooo: Díky za pokusy o zlepšování stavu oboru ve kterém žijeme :), čím víc lidí od webu uslyší a uvidí na příkladech co je to XSS&spol, tím víc si aspoň něco z toho zapamatuje a zapřemýšlí jestli podobná díra není i u nich. Hodně štěstí!
Gabriel: profesionalita nema veru nic s miestom a casom. zle som to pochopil, tak som to aj zle napisal. vo vysledku vsak, myslim, ze som svoj postoj nezmenil. niekde som poopravil chybne informacie, inak je to stale o tom istom. ale uz sme sa o tom dost nakecali, stacilo :)
keff: tiez si myslim, dakujem
Článek i některé komentáře se mi líbí, tak jsem se rozhodl napsat taky pár postřehů, i když jsem tak trochu nepatřím, v téhle problematice jsem laik.
Něco ke komunikaci:
Pokud od někoho něco chci, je jeho právo nereagovat, nebo to ignorovat. Jiná situace je, pokud někoho upozorním na něco, co by měl řešit ve vlastním zájmu, pak normální reakce je, že daná osoba poděkuje, nebo maximálně se zařídí podle toho a nekomunikuje, není to ideální, ale v případě Azetu by to bylo dostatečné. Cokoliv jiného mi přijde jako amaterizmus.
To, že došlo ke zveřejnění adres mi přijde tedy ok. Vlastně se tím tolik nestalo, jak říká Azet. Pokud by ale nebyla chyba u nich. Oni by měli svěsit hlavu a přiznat barvu.
Jinak se ztotožňuju s názorem Gabriela, tenhle blog je aspoň pro mě na daleko větší úrovni než většina webů s nálepkou profesionálních. Osobně trochu nerozumím tomu škatulkování. Na blogu se napíše názor, na seriozním webu se napíše nezaujatý postoj, což je ovšem taky názor, tentokrát se to bere jako názor “redaktora”. Výsledek je tentýž, rozhodující kritérium je proto kvalita informací. Něco jako čistě objektivní obsah neexistuje, je to stejné jako pojem pravda. V opačném případě by to mohli psát roboti. Tam ale chybí osobnost, což je pro mě rozhodující faktor, jestli něco číst nebo ne. Omlouvám se, dostal jsem se mimo téma . Každopádně jsem za praktické ukázky, pokud někdo strká hlavu do písku před vlastním problémem. S těma soudama bych ubral, nemá to smysl a trvá to občas hodně dlouho.
Cav synopsi uz sa tesim na tu novu zranitelnost azetu. Snad sa naucim nieco nove :)
azet by mal ist do horucich pekiel
Podla mna keby takto nepostupoval tak by sa to nidky nevyriesilo.Momentalne ma ani nic nenapada ako by sa inak dalo postupovat v takomto pripade.Nieze by boli radi, ze ich niekto upozorni na chybu a ze ju hned nezneuzije, ale oni ju radsej odignoruju a poslu ta kade lahsie.
oooo: takže, oceňujem článok. Podľa mňa na základe e-mailu mohlo dôjsť k odhaleniu identity, takže sa v tomto prípade môže jednať o osobný údaj, ktorý viedol k určeniu osoby. Nad trestným oznámením by som dlho pouvažoval, mohlo by ísť o krivé obvinenie, na to treba dávať pozor. Ak už niečo, tak jedine oznámenie o skutočnostiach, ktoré môžu naznačovať spáchanie trestného činu.
No a tie všeobecné podmienky Azetu sú síce všeobecné a podľa nich zrejme nedošlo k porušeniu týchto podmienok, pretože:
- oni verejné údaje nechránia, a ako sám tvrdíš, maily boli verejne prístupné. Tak ako si ho sám “videl”, mohol ho vidieť aj používateľ.
- chránia iba súkromné, pozor nie osobné údaje…
Ak aj však svoje podmienky neporušili, mohli porušiť zákon o ochrane osobných údajov. A to sa v prípade nášho úradu nazdávam, že ak si podanie akokoľvek fundovane napísal, tak tomu neporozumejú…
filip: precitaj si tie podmienky prosim este raz. oni sa zavazuju, ze chrania sukromne udaje a za tie povazuju aj postu (teda email). zverejnenim porusili svoje zavazky. podla kompetentnej osoby moze byt email povazovany za osobny udaj (teda emailova adresa) v pripade, ze obsahuje napriklad meno a priezvisko, alebo podobne.
trestne oznamenie davam na uplne inom zaklade. v jednej oficialnej sprave ma oznacili za zlodeja a tvrdili, ze podaju trestne oznamenie. potom urychlene volali, aby to dane medium nedalo von, no ja uz som to mal v rukach. podla pravnikov to je zalovatelne, cize podam niekolko zalob. ci uz prejdu a ci budu uspesne, to neviem, to ukaze cas.
podnet na uoou sa tiez chysta, tam to je ale od podania mimo mna.
Oooo kedy sa dostanes k slubovanemu clanku o dalsich fatalnych zlyhaniach Tupca a kol. z azetu? Meskas uz 24 hodin :)
Clovek odide na tyzden od compu a hned nastava chaos-stres-panika.. (a asi 2000 spamov co som musel natiahnut do postoveho klienta ;-)
Dusi: pracujem na nom, len mam aj svoj zivot (a som priserne lenivy)
Zdravim.
Mozno bude moj prispevok trocha ot (nakolko som necital tych dokopy cca 200 commentov v tychto 2clankoch, ale:
1) Gratulujem, naozaj paradny ulovok
2) Velka spolocnost ktora sa da povedat ze vyuziva postavenie leadra kasle na kvalitu ktorej nizka uroven nie je hned badatelna pre pouzivajucich
3) Inac, celkom pekny kukuc.Reportaz v telke, clanok zo sme (a backlink ;) ) parada, ale nezabuda sa nech na to ze si zaroven pekne zaklincoval hruby postoj azetu aj k Tebe (podla Tvojich slov) a aj postoj k bezpecnosti (ich)
4) Pokracovanie - vysetrovanie- zamestnanci budu asi celit neakym nemilym dosledkom , iste Ta budu mat radi ;) (mozno budu posielat vianocne pozdravy)
Ale celkovo, jeden dobry clanok spravil docela velky rozruch, ktory sa masmediami rozsiril az po “koncovych uzivatelov internetu” …
Podobny humbuk si pamatam akurat z kauzy nbusr:nbusr123@nas_urad.sk
oooo: Ale tou postou sa naozaj mysli iba obsah, tam nemozme povedat, ze sa jedna o sukromny udaj v zmysle tych podmienok. adresa je nieco ine ako posta. Inak e-mail ako taky nemoze byt osobnym udajom sam osebe ani ked obsahuje meno a priezvisko. To zavisi od pripadu k pripadu a je to vec dokazovania.
Filip: prave to, ze zavisi od pripadu k pripadu nemozes povedat, ze to nie je osobny udaj. pockame si na verdikt uoou. co sa mysli postou len hadas, co by si robit nemal. neviest to ani ty, ani ja a okrem zadavatelov nik. kedze vsak nespecifikovali presne co to vobec posta je (pre mna to je napriklad aj adresa), ktore je jednoducho sucastou akejkolvek posty (rovnako mailovej, tak aj fyzickej). to, ze to povazujes ty za nieco ine je absolutne nedolezite. dolezite je, ze to mohlo zmiast uzivatelov rovnako, ako to zmiatlo mna. keby sme boli v usa, nemusime podobne veci riesit. tam by uz azet plakal.
Ludia pracujuci vo firmach vyfasuju “sluzbonu” emailovu schranku, ktora dodrziava pravidla, ze rovno z emailu je vycitatelne meno a priezvisko drzitela. Konto sluzi na firemnu komunikaciu a komunikaciu s klientami. Nie su upozornovany,ze sluzi VYHRADNE k tomuto ucelu. Zamestnavatelia (statna sprava obzvlast) to opominaju. Uzivatelia internetu vo firmach totiz nie su nijako pouceni, ako maju emailovu schranku pouzivat a ako maju s vecami poskytnutymi firmou zaobchadzat. Mozno to znie komicky a kde kto povie: “Mna chcete ucit ako ma posielat e-maily a ako zaobchadzat s emailovou adresou. Co som deb*l?”
A prave aj o to ide. Preposielanie kvant zabavnych videi, vtipov, poplasnych emailov (nizka uroven uvedomenia si uzivatelov sposobuje dalsie rozposielanie takychto emailov a absoultne nerozmyslanie, ze to co preposielaju je logicka hlupost ci nepravda), publikovanie firemnych emailovych kontaktov kdekolvek na webe (a ich zaradenie do databaz spam serverov - a nasledne zatazovanie spam filtra danej institucie), vybavovanie sukromnych veci pocas prac. doby (priklad pouzitia emailovej adresy v zoznamke, zakladanie akychkolvek uzivatelskych kont na internete) a chatova komunikacia s kamaratmi pocas bezneho pracovneho dna “kde vypadneme cez vikend” alebo “co mam vecer staremu navarit”.
Hlupost pri zaobchadzani firemneho emailu ma same nevyhody, co ma napadaju tak:
NEVYHODY:
- obsah firemneho email-u moze kontrolovat (mozno aj filtrovat) zamestnavatel. Je to rovnake, ako ked pouzivate jeho firemne auto, mobil… Vyuzivate jeho konektivitu k netu ktoru plati, takze ma pravo kontrolovat aj objem prenesenych dat (velke prilohy emailov). Neviem ako je to pravne osetrene v SR, ale snad sa lady nejako pohnu.
- ak zamstnanec zo zamestnania odide, zvacsa straca k emailovemu uctu okamzity pristup (aby ho nemohol zneuzit). Vsetka sukromna komunikacia (aj odpovede z azet zoznamky) su k nicomu.
- automaticke odpovede o nepritomnosti v praci - admin nejedneho servera, kde ma uzivatel ucet s takymto emailovym kontaktom, sa zrejme iba pousmeje, ked pri mailing listu spatne obdrzi taketo odpovede automatu.
- sukromne uzivatelske ucty registrovane na firemny email. kontakt zarucuju, ze po urcitom case bude tato emailova adresa nedostupna - uzivatel si tak nebude vediet obnovit heslo ak ho zabudne, ci adminom sa vratia emaily napr. z mailing listu.
- drviva vacsina ludi nievie co je Blind Carbon Copy (BCC). Nie je problem pri obdrzani zabavneho emailu z firemneho emailu najst zoznam email kontaktov, od kotrych email pochadza aj komu dalsiemu je urceny. Skvela moznost pre zamestnavatela zistit, kto vsetko sa takymito vecami v prac. dobe zabava.
- zamestnanec sa musi vo firemnej schranke prehrabavat zbytocnymi sukromnymi a pracovnymi emailami. Urobi si totalny chaos a znizuje tak svoju vykonnost v praci.
- ked niekto prijima email z firemneho konta, ten zvycajne obsahuje povinne signatury, upozornenia o dovernosti obsahu a pod. Osobne mi pride celkom komicke, ked mi pride email, kde je jedna sukromna veta a pod tym 20-30 riadkov pre mna nepotrebneho balastu.
- ak ma zamestnanec pristup na firemny email iba z firemnej siete, tak zrejme ten clovek nema doma net a mimo prace ho nevyuziva z coho vyplyva aj nizke povedomie o jeho pouzvani a dosledkoch.
VYHODY: nijake mi nenapadaju.
Z tohoto celeho vyplyva, ze za to, ze ti uzivatelia a ich emailove kontakty spolu s aktivitami sa objavili v clanku na takomto blogu znamena, ze sa spravali hlupo, hrubo nezodpovedne k emailu, ktory im poskytol zamestnavatel. Rovnako za nevedomost moze aj zamestnavatel, ktory by rad, aby jeho zamestnanci v praci pracovali ale nie je schopny nic urobit pre to, aby boli zamestnaci riadne pouceni. Aj posielat emaily a pouzivat emailove konto je vec, ktoru sa treba naucit. Obzvlast etika posielania (vyplnovanie subjektov, mazanie dlhociznej historie komunikacie v tele emailu, pouzivat okrem “TO” aj “BC” a “BCC” atd.)
Gabriel: vyborny komentar, z toho hned aj urobim clanok (ako si najdem trosku casu). Nieco na sposob: ako narabat s emailami (sukromne, pracovne) a heslami. dakujem ti za tento komentar
Ono všechno co má nevýhody, má taky z druhého konce výhody:
1) pokud zaměstnavatel filtruje aktivity zaměstnanců, musí daná osoba používat například jen firemní mail v práci. Pokud se zaměstnanec nudí, tak mu nic jiné než firemní mail nezbývá.
2) na mnoha místech jsou admini s velkým množstvím volného času, soukromá korespondence bývá zajímavá a zaměstnavatel o tom většinou ani neví(co všechno admin dělá nebo nedělá).
Samozřejmě tyhle výhody jsou trošku o něčem jiném, každopádně Gabriel to napsal moc hezky :-))
oooo: dobre, priznajme, že poštou sa rozumie aj adresa (analógia s bežnou poštou). Azet sa teda v tých podmienkach zaviazal neposkytnúť poštu tretím stranám. Lenže samotná adresa sa nedá zahrnúť pod pojem pošta. Pošta prestáva byť poštou, ak stráca svoj obsah, ktorým je prenášaná informácia. Podľa tejto logiky by sme mohli prenasledovať človeka za spáchanie trestného činu vyzradenia poštového tajomstva, ak zverejní adresu niektorej fyzickej osoby.
filip: ak sa druha strana zaviaze nevyzdradit akekolvek data o tebe, kde presne povie, ze medzi tieto udaje pre nu patri aj to, ci si chlap alebo zena a urobi to, jedna sa o porusenie podmienok. rovnaky pripad a logika nastava aj v tomto pripade, kedy sa azet zaviazal chranit postu a nic dalsie neuviedol. nepresna specifikacia sa v zamori trestala obrovskymi zalobami, ktore spolocnosti poprehravali. u nas, samozrejme, sa to nepodari, napriek tomu, to necham na uoou
oooo: Oni sa nezaviazali nevyzradiť akékoľvek údaje, iba tie neverejné a tiež poštu… Adresa nie je pošta, je len jej súčasťou. Existuje síce zásada od väčšieho k menšiemu: ak sa niekto zaviaže konať viac, tým sa zaväzuje konať aj menej. Lenže túto zásadu možno použiť iba pri okolnostiach, ktoré spolu súvisia druhovo, časovo alebo inak. No a adresu, ktorú ty si zistil, tak tá nebola súčasťou žiadnej pošty. Treba si uvedomiť, že okrem pojmov obsahuje každý záväzok aj kopec nevyslovených ujednaní, ktoré sa výslovne neuvádzajú. A ja vidím, že účelom tých podmienok je chrániť poštu, teda komunikáciu a tá zostala uchránená. Zásadu od väčšieho k menšiemu by som použil, ak by sa vyzradila adresa (alebo časť pošty) iba ako časť KOMUNIKÁCIE, pretože iba tak možno chápať účel podmienok Azetu.
No a k tomu zámoriu: nepresná špecifikácia sa “trestá” všade. Ale samozrejme vždy inak. To je tak rôznorodé, že každý štát tohto sveta (aj každý jeden z tých amerických), má inak upravené podmienky fikcií (či už pozitívne alebo negatívne fikcie). Aj u nás sa v prípade pochybností použije výklad priaznivejší. No vždy je naprv treba prihliadať na účel dohody, bez toho nie je možné ďalej rozmýšľať.
Iná by bola situácia, neviem, či to tak v Azete majú, že by si používateľ pri e-mailovej adrese mohol zaškrtnúť “nezverejňovať”, to už by bolo porušením podmienok.
Filip: mozes sa stat obahjcom azetu. pekne vysvetlene vsetko tak, ako by to paslo im. nikde nie je napisane, ze sa pod pojmom posta mysli komunikacia. to si si domyslel ty, mozno oni, mozno niekto dalsi. dalsi ludia si pod pojmom posta predstavi aj adresu, je to ich chyba, ze nespecifikovali konkretne. k niecomu sa zaviazali a to nedodrzali. vsetko ostatne su dohady a domienky upravene tak, aby vyhovavali tej ktorej teorii. preto este raz opakujem: nehajme to na uoou. potom sa mozeme dohdadovat o tom kto ma a kto nemna pravdu a co je spravne a co nie.
Len tak dalej Synopsi :) Konecne sa aj Azet spamätal a naozaj nechápem, ako mže byť taká veľká internetová firma taká sprostá a arogantná. To však svedčí aj o inteligencii jej osadensta, od používateľov až po manažment a administrátorov.
Niet viac čo dodať. Skrátka choré.
Ach jaj, vedieť aspoň zlomok z toho čo ty, tak by som bol macher… snažím sa učiť php a tieto veci čo ty, ale dajak mi to nejde do hlavy :(. Každopádne dobrá práca. Ešte by si ale mohol napísať niečo o tom, si zabezpečiť stránky a v štýle pre úplných laikov :)
oooo: ja nechcem byť obhajcom azetu, iba sa ti snažím vysvetliť elementárne právne pojmy a inštitúty platné na území našej republiky. Ty ich nechceš pochopiť. Ja to nikdy nenechám na nejaký UOOU. Nech rozhodne hociako, môj názor to nezmení. A moje názory nie sú dohady, to je čisto logický postup v súlade so zásadami výkladu práva. Ak nie je špecifikovaný niektorý pojem, použije sa vždy analógia s inštitútom podobným, prípadne sa použije gramatický obsah pojmu (pozri hociktorý slovník slovenského jazyka, tam nájdeš vysvetlenie pojmu pošta), ak aj tuto nie sme úspešní, až potom prichádza na rad logický výklad (až vtedy možno aplikovať zásady od väčšieho k menšiemu, v pochybnostiach v prospech, a ďalšie). Viac k tomu nie je čo dodať.
To čo si niekto všetko môže predstaviť pod pojmom pošta je síce pekné, ale to by sme teda už len vyzerali, keby si každý pod jasnými pojmami predstavoval čo by len chcel. U nás, narozdiel od anglosaských právnych systémov, znášajú nejasnosť dohodnutých podmienok obe zmluvné strany. Samozrejme, neplatí to absolútne, sú príklady, kedy to tak nie je, ale skôr to je ochrana práv nadobudnutých dobromyseľne.
Napríklad v UK znáša nejasnosť podmienok kúpnej zmluvy kupca, je to tam ustálené. U nás máme občiansky zákonník, ktorý oni nemajú, pretože tam majú obyčajové právo. Porovnávať USA, UK a Slovnesko, Nemecko, Rakúsko, Čechy, to nie je možné, to sú úplne odlišné svety.
Filip: ja nic neporovnovam, povedal som, ze keby! sme boli v usa, tak sa o tomto nedohadujeme.
nie ze to nechcem pochopit, ja to hlavne chapat nemusim. pretoze mi je nazor absolutne nanic, ked uoou povie nieco ine. pre mna sa vsak bude vzdy posta spajat s adresou (je to proste jej sucastou, bez coho by fungovat nemohla). ked si precitas komentare ludi na osobne udaje v minulom clanku zistis, ze aj adresa (fyzicka) je osobny udaj. takze tu narazame na koliziu. ked je fyzicka adresa osobny udaj, preco by nemala byt aj ta emailova? napriklad taky paypal funguje vdaka emailovej adrese, funguje dost zasadne vdaka emailovej adrese, chrania ho ako oko v hlave. potom nevidim dovod, preco by to malo byt inak aj v tomto pripade.
oooo: Jasné v tomto máš pravdu, ja sám sa stotožňujem s tým, že aj e-mail môže byť osobný údaj a Azet má v takom prípade povinnosť ho chrániť. Lenže to nevyplvýva z podmienok používania Azetu, ale zo zákonov. Preto tam vidím priestor na rozhodnutie UOOU o tom, že práva porušené boli. Ja osobne by som tak na mieste konajúceho úradníka spravil. Áno, toto rozhodnutie nechám na UOOU. Nič viac nič menej. Len by som svoj odpor voči Azetu nestaval na nejasných podmienkach, ak mohlo dôjsť k jasnejšiemu porušenie zákonov. Takže, potom v pohode, počkám si aj ja, som zvedavý.
Filip: fajn, rozpory vyriesene. pevne verim, ze sa k podaniu dostanem uz dnes, popripade zajtra, som totalne vytazeny a uz neviem co skor. nie som schopny dostat sa k slubovanemu clanku, co ma dost mrzi. ale dnes to snad vide, drzim si palce :)
toto mi dal azet volne na stiahnutie:
http://rapidshare.com/files/130396341/azet-zoznamka-inzeraty-public.txt.bz2.html
he. neuverejnim tu systematicky zhromazdene adresy uzivatelov, ale citove vylevy, ako azet ohrozuje uzivatelov a sucasne skript, co to vyparsuje a o par dni odkaz od mozno anonyma na tie adresy. akoze ja nic. ja muzikant. ja bezpecnostny expert. dalej hovorim, ako mi ide o sukromie uzivatelov azetu, ale tu vypisem(ja viem, ze boli v HTML kode) adresy, ktore pochadzali zo statnych institucii. ako keby ti ludia mali mat mensie sukromie, ako ostatni. od azetu to bola nedbalost, o ktorej par ludi roky vedelo, ako som sa docital kade tade, ale od teba to bol jasny umysel. nevies nahodou, ako to dopadlo s tou firmou, co vytahala z facebooku 200 tis. profilov a zalovali ju?
roman: aspon je vidiet ake velke su tvoje pravne znalosti. inak by si tento komentar nenapisal. viem ako to dopadlo s tou spolocnostou, akurat ze si nepochopil rozdiel medzi tymito pripadmi. uz som to vysvetloval tolkokrat, ze ak si to doteraz nepochopil, nemas nadej.
netvrdim, ze ta bude azet zalovat, tak, ako tamtych facebook. tvrdim len, ze ja tiez mozem mat daky nazor na nieco a siahodlho ho prezentovat/vsvetlovat, ale ked vacsina ludi bude mat iny nazor, darmo sa budem obhajovat, ze som neurobil nic zle, ked ich mojim konanim poskodzujem. a ako to teda prosim ta dopadlo v tom spore s facebookom?
roman: ja som nikoho neposkodil, uz som to tu vysvetlil mnohokrat. poskodenie je len na moralnej urovni, toho som si vedomy a vobec sa tomu nebranim. inak myslis asi toto. to nedopadlo nijak. myspace na podobnom pripade vysudil mnozstvo penazi.
moj nazor a nazor vacsiny je irelevantny, dolezity je zakon a ten som naporusil, ako ti ktorych si spominal.
dik za odpoved
musím podotknúť, že som tento blog objavil len nedávno, takže som si stihol prečítať len zopár článkov. No musím povedať, že sa veľmi dobre čítajú, sú na vysokej úrovni a srší z nich inteligencia autora :)
Good luck aj naďalej! S radosťou si budem čítať ďalšie a ďalšie príspevky.