Dobre klikanie i pozyskanie - rozważania o danych Gemiusa

[konflikt Gemisa z Markiem Futregą]Niedawno informowałem o tym, że Gemius udostępniał de facto wyniki swoich badań, co wykorzystał Marek Futrega. "Poklikał on dobrze" (a pewnie pomógł sobie skryptem, który klikał za niego) i pozyskał udostępnione przez Gemiusa dane. Teraz pracownik Gemiusa (pod logiem tej firmy znajduje się hasło "myśl bez granic") zastanawia się czy pobranie tych danych, a następnie ich opublikowanie, było "zachowaniem naruszającym obowiązujące w Polsce normy prawa karnego lub cywilnego" i zachęca prawników do podjęcia próby rozstrzygnięcia tej kwestii...

W swoim serwisie, przy okazji opublikowania wyników dotyczących ponad czterech i pół tysiąca witryn internetowych, Marek Futrega pisał na temat ich dostępności: "Prawdopodobnie jest to zaniedbanie ze strony Gemiusa, że te dane są tam tak otwarcie dostępne. Zwykle zauważając coś takiego, wypada powiadomić od razu operatora witryny, a nie trąbić publicznie, i pewnie sam bym tak zrobił, gdyby nie to, że podobne sytuacje miały już miejsce nie raz. Gdybym po raz kolejny tak po prostu zwrócił uwagę na lukę, czułbym się jak darmowy kontroler jakości i antykompromitacji Gemiusa. Wcześniej zwracałem uwagi na błędy i luki, nie pisząc nawet o nich tutaj. Tym razem Gemius musi zapłacić za niedbalstwo. Publikacja częściowych wyników badania z jednego miesiąca nie jest chyba jednak wysoką ceną, bo spora ich częśc (nawet z informacjami o demografii) jest dostępna na stronach sieci reklamowych, do których należą witryny"...

W blogu Gemiusa można dziś przeczytać następujące zdania, które sygnowane są przez Sylwię Szmalec, Specjalistę ds. Public Relations: "Dyskusja w niewielkim gronie nad legalnością tego czynu pozostawia pewne wątpliwości. Kwestie włamań na serwery z wykorzystaniem luk i błędów programistów mogą stanowić ciekawy przedmiot badań dla prawników, stanowiąc przyczynek do stworzenia precedensu. Firma Gemius pragnie zadeklarować możliwość nawiązania współpracy z osobą lub grupą osób, które chciałyby podjąć się próby rozstrzygnięcia, czy pobranie danych z naszych serwerów było zachowaniem naruszającym obowiązujące w Polsce normy prawa karnego lub cywilnego, czy też było działaniem legalnym".

Pani Szmalec odnosi się oczywiście do faktu, że w serwisie Marka Futregi pojawiły się szczegółowe dane z badania Megapanel PBI/Gemius za czerwiec 2006, przy czym autorka wpisu chętnie linkuje do źródła, w którym te wyniki się pojawiły (wraz ze sposobem ich pozyskania). Czy jest to przemyślane działanie? Nie wiem. Wiem natomiast, że w ten sposób dane, co do których pracownik Gemisa zastanawia się, czy nie zostały pobrane i udostępnione niezgodnie z prawem (a jak wynika z powyżej cytowanego akapitu - wąskie grono zastanawiało się nad kwestią "włamań na serwery"!), stają się jeszcze bardzie publicznie dostępne. Czytelnicy zachęceni linkami z bloga przedsiębiorstwa, nawet gdyby nie czytali tekstu Marka Futregi, teraz już nie będą mieli wyjścia - klikną i zapoznają się z nimi.

Warto wspomnieć, że równolegle z opublikowaniem danych w serwisie Marka Futregi, na łamach IDG Piotr Ejdys, prezes Gemiusa, powiedział: "Oczywiście to nasze niedopatrzenie, iż z chwilą podjęcia decyzji o publikowaniu danych wyłącznie o dwudziestu największych witrynach, pozostałe dane nie zostały wykasowane".

Czy wobec tego doszło do naruszenia tajemnicy przedsiębiorstwa? „Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”. Tak mówi ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Jeśli dane były (to się zmieniło podobno) wystawione na serwerze w taki sposób, jak to opisał Marek Futrega (a potem potwierdził to prezes spółki Gemius), to nie dość, że nie można mówić o włamaniu, to również ciężko mówić tu o podjęciu "niezbędnych działań w celu zachowania ich poufności" przez przedsiębiorcę.

Znów mi się przypomina to doniesienie z 2005 roku, w którym pisałem jak Intentia International pozwała Reutersa, oskarżając pracowników agencji informacyjnej o hacking (a chodziło o opublikowanie raportu, który był na serwerze szwedzkiej spółki, ale dostępny nie w taki sposób, jak to się wydawało jej pracownikom). Uznali oni, że skoro nie ma linku do danego raportu, to znaczy, że nie jest on opublikowany... A przecież wystarczy, że da się takie dane wyciągnąć w prosty sposób, i nie mam na myśli jedynie okna używanej przez daną osobę przeglądarki i mechaniczne klikanie w udostępniane linki. Internet to nie tylko browsery www, ale i one dają pewne możliwości.

Należy przypomnieć jeszcze doniesienie o negocjacjach lekarzy z NFZ (por. Lekarze twierdzą, że NFZ włamywał się do serwisu). Gdzie jest administrator serwera? Czy kontroluje on dane, które za pomocą administrowanej przez siebie maszyny są udostępniane?

Z drugiej strony nie można pominąć tu historii wielokrotnie już przywoływanej w tym serwisie, tj. historii 24 letniego mieszkańca Kielc, który wyszukał na serwerze producenta „nieopublikowany” zdaniem tego producenta, niedokończony teledysk Depeche Mode. Chociaż potem biegły orzekł, że nie doszło do przełamania jakichkolwiek zabezpieczeń, to jednak historia skończyła się dla chłopaka skazaniem (jednak z powodów nieco odmiennej natury, o czym można przeczytać w komentarzach do tekstu: Historia oceni rok po wycieku "Precious".

Wracając do wątku - wydaje mi się, że nie można w opisywanym przypadku badania Megapanel PBI/Gemius mówić o tajemnicy przedsiębiorstwa. Podobnie - ciężko mówić o tajemnicy handlowej, o której mówi np. art. 39 porozumień TRIPS (tytuł tego artykułu brzmi "Ochrona informacji nie ujawnionej" i znów śmiem twierdzić, że gdyby Gemius informacji nie ujawnił - Marek Futrega nie mógłby jej pobrać za pomocą opisanych przez siebie metod).

Można by zatem postawić tezę, że skoro dane były publicznie dostępne - nie można mówić o zapoznaniu się z informacją, do których Marek Futrega nie był uprawniony, otwierając zamknięte pismo, itp, itd, cytując art. 267. §1 kodeksu karnego; w tym przepisie mowa też o przełamaniu jakichś szczególnych zabezpieczeń, a przecież nie było zabezpieczeń, bo za takie nie chciałbym uznawać ignorancji technologicznej szeroko pojętej publiczności internetowej, która akurat nie kliknęła w nieodpowiednie miejsce, albo nie korzysta w sposób zaawansowany z narzędzi i języków skryptowych wykorzystujących właściwości protokołów TCP/IP (Transmission Control Protocol/Internet Protocol)) i HTTP (Hypertext Transfer Protocol) oraz udostępnionych przez serwer webowy danych na tym serwerze. Zresztą takich skryptów czy szczególnego wykorzystania protokołu (w połączeniu nawet z komputerem) nie uznałbym również za „urządzenie specjalne” czy „podsłuchowe”, o których mowa w §2 przywołanego artykułu kodeksu karnego. Skoro nie było tajemnicy handlowej, zatem nie można też mówić o wypełnieniu dyspozycji art. 23. ust. 1. ustawy o zwalczaniu nieuczciwej konkurencji („kto, wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy...”).

Co się jednak stało? Ano - być może - doszło do pobrania bazy danych? Mam na myśli ustawę z dnia 27 lipca 2001 r. o ochronie baz danych, która stwierdzą m.in. w art 7: "Producent bazy danych udostępnionej publicznie w jakikolwiek sposób nie może zabronić użytkownikowi korzystającemu zgodnie z prawem z takiej bazy danych, pobierania lub wtórnego wykorzystania w jakimkolwiek celu nieistotnej, co do jakości lub ilości, części jej zawartości". Nieistotnej. Uznaję, że do „pobrania” i „korzystania” doszło zgodnie z prawem, skoro Gemius sam te dane udostępnił.

Jeśli Marek Futrega pobrał całość danych, albo istotną co do ilości lub jakości część rozpowszechnionej bazy danych, no to trzeba sprawdzić, czy aby nie zostały spełnione przesłanki dozwolonego użytku baz danych, gdyż na podstawie art. 8 - wolno korzystać z istotnej, co do jakości lub ilości, części rozpowszechnionej bazy danych: "(...) 2) w charakterze ilustracji, w celach dydaktycznych lub badawczych, ze wskazaniem źródła, jeżeli takie korzystanie jest uzasadnione niekomercyjnym celem, dla którego wykorzystano bazę...". Ale! "Nie jest dozwolone powtarzające się i systematyczne pobieranie lub wtórne wykorzystanie sprzeczne z normalnym korzystaniem i powodujące nieusprawiedliwione naruszenie słusznych interesów producenta".

O słusznych interesach producenta pisałem w przywołanej wyżej własnej notatce. Powołałem się na słowa prezesa Gemiusa, oraz na cel badania, by wykazać (czy słusznie?), że opublikowanie przeze mnie danych dotyczących oglądalności witryn rządowych nie narusza interesów Gemiusa, gdyż nie oferuje się na tych stronach reklam, stąd dane dotyczące witryn rządowych ciężko wykorzystać do planowania kampanii reklamowych (czy się mylę?). Pytanie brzmi - czy Gemius nadal sprzedaje dane sprzed pół roku?

Dziś rozmawiałem na temat badań czytelnictwa prasy i w czasie rozmowy dowiedziałem się od swojego adwersarza, że dane sprzed pół roku udostępniane są po prostu bezpłatnie (por. przykładowo Czytelnictwo prasy w I półroczu 2006; jeśli mam nieprawdziwe informacje odnośnie bezpłatnego udostępniania danych tego typu, to proszę o ich sprostowanie).

Co zatem z czerwcowymi badaniami Gemiusa? Pobieranie bez uprawnienia, a dodatkowo w celu osiągnięcia korzyści majątkowej (nota bene: Marek Futrega w swoim serwisie Stek nie prezentuje reklam) stanowi wykroczenie i zagrożone jest karą grzywny. Co do uprawnienia, to ustaliliśmy, że dane były ogólnie dostępne. W tym miejscu wypada jeszcze odesłać do pierwszych wyroków ETS na temat baz danych właśnie (por. Bazy danych: wyroki ETS)...

Oczywiście w tej sprawie można przywoływać jeszcze inne przepisy, w tym - przykładowo - przepisy kodeksu cywilnego o dobrach osobistych, jednak na razie powstrzymam się od dalszych komentarzy. Ciekaw jestem natomiast zdania czytelników na temat zaistniałej sytuacji.

Komentarze i doniesienia na podobne tematy gromadzę w działach bazy danych oraz linki i włamania, a także w dziale tajemnice.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Ciekawe wezwania wojenne

I jeszcze komentarze, z innych serwisów: IDG w tekście Gemius idzie na wojnę z Markiem Futregą?: "Wpis na firmowym blogu Gemiusa świadczy o tym, że konflikt z Markiem Futregą narasta. Dotychczas bloger krytykował firmę bezlitośnie, a ta pozostawała bierna. Wczoraj zdecydowała się na kontratak".

Sam Marek Futrega w swoim serwisie STEK, w notatce zatytułowanej Gemius szuka prawnika, będzie wojna: "...W tekście na blogu Gemiusa jest mowa m.in. o "włamaniach na serwery z wykorzystaniem luk i błędów programistów". W prywatnej korespondencji ze mną pobranie danych jest wprost nazywane kradzieżą i porównywane do pozbawienia kogoś materialnej rzeczy pod jego nieuwagę (równie niedorzeczne, co częste porównanie skopiowania mp3 do wyniesienie ze sklepu płyty CD). Jest też mowa o wejściu w posiadanie danych z audyt.gemius.pl bez wiedzy i zgody firmy...."
--
[VaGla] Vigilant Android Generated for Logical Assassination

dobra osobiste

Czytając o sprawie od tych 2-3 dni właśnie myślałem o art. 23 kc. Chyba faktycznie nie sposób tu mówić o włamaniu itd. - jeśli ktoś chce zabezpieczyć dane to je ukrywa troszkę sprytniej niż pod "niewidzialnym adresem" - ale zważywszy, że Marek Futrega *wiedział*, że dane nie są przeznaczone do publicznego rozpowszechnienia, że *zdawał sobie sprawę* z tego, że robi w ten sposób "kuku" Gemiusowi (swoista kara) - to można mu na pewno zarzucić brak dobrej wiary.

Hmm..

"...można mu na pewno zarzucić brak dobrej wiary". Zarzucić? W związku z jakimi przepisami?
--
[VaGla] Vigilant Android Generated for Logical Assassination

śmietnik internetowej historii

Jeżeli ktoś grzebiąc w śmietniku pod bankiem znajduje dane o stanie kont klientów tego banku to jakiekolwiek dywagacje na temat ewentualnych naruszeń prawa w oczywisty i logiczny sposób obierają za swój przedmiot dany bank i jego pracowników, a nie śmieciarza.

A maiori ad minus, byłoby wobec tego zupełnie nielogiczne (a już na pewno uwłaczające zasadzie sprawiedliwości) zastanawianie się nad istnieniem podstawy prawnej w sytuacji podobnego niedbalstwa dysponenta mniej wrażliwych danych.

Mielibyśmy się bowiem zastanawiać nad odpowiedzialnością osoby, która pozyskuje dane publicznie udostępnione za pomocą środka technicznego służącego do takiego udostępniania zgodnie z techniczną naturą tego środka oraz przez samego uprawnionego (producenta) danych.

Będzie tak tym bardziej w sytuacji udostępniania danych przez podmiot zajmujący się profesjonalnie świadczeniem usług polegających na wykorzystaniu tychże właśnie technicznych właściwości, co wyklucza wszelkie przypuszczenia nieświadomego udostępnienia lub niedbałego działania w tym zakresie.

Wobec tego - zakładając prawdziwość opisanego stanu faktycznego - dywagacje nad tym, czy "pobranie danych ... było zachowaniem naruszającym obowiązujące w Polsce normy prawa karnego lub cywilnego" uważam za stratę czasu.

Oczywiście, paragraf na człowieka zawsze się znajdzie. Było już w Polsce orzeczenie, że umieszczenie linku jest rozpowszechnianiem. Nic nie stoi wobec tego na przeszkodzie w wydaniu orzeczenia, że wpisanie linku "z palca" jest wykorzystaniem "hakerskiego narzędzia".

Co prawda jestem po stronie

Co prawda jestem po stronie Marka Futregi ale..

"Pewnego razu, kierując się ciekawością, wpisałem do przeglądarki adres, który różnił się od adresu ze statystykami Wikipedii tylko jedną cyfrą"
- cytat z bloga autora...

(...)

"Czy otwarcie stron na serwerze przez wpisanie ich adresu do przeglądarki (zamiast z kliknięcia myszką w link) jest już włamaniem na serwer?"
- cytat z bloga autora...

a gdyby byla powiedzmy strona:
strona.pl/index.php?art=1&pass=0
gdzie zmienna pass byla by nie filtrowana..

i bym zamienil np. na:
strona.pl/index.php?art=1&pass=0' or 1='1
wywolujac przez to sql injection to czy tez to by nie bylo wlamanie ?

jak juz wczesniej wspomnialem trzymam strone autora bloga.. jednak.. hmm do statystyk strony lasik.pl czy tez innych nie prowadzil zaden oficjalny link... a co za tym idzie.. byla to tresc dla wybranych..

mam identyczna sytuacje.. dokladne dane(pesel, adres zamieszkania itp) uczniow pewnej szkoly wyzszej sa bez problemu do wyciagniecia... wystarczy w url id zmienic na cyfre odpowiadajaca numerowi ucznia.. czy po powiadomieniu autorow strony, ktorzy i tak z tym nic nie zrobili moge opublikowac ta liste.. czy by to bylo zgodne z prawem polskim?
- raczej nie..

Dane osobowych z serweru uczelni podlegają ochronie ustawowej..

Dane osobowe z serwera uczelni podlegają ochronie ustawowej a dane statysyk ruchu na domenach takimi nie są. Wyższa Uczelnia ponosi odpowiedzialność za posiadane dane osobowe. Zapewne można próbować wyciągnąć sankcje od szkoły wyższej, gdyż nie właściwie zabezpiecza dane osobowe.

Po drugie należy rozdzielić kwestie zabezpieczenia danych i publikacji. Marek Futrega sam zwraca na to uwagę (...)jeśli powyższe było kradzieżą (przypominam, że chodzi o samo pobranie danych; późniejsza publikacja fragmentu to zupełnie inna kwestia), to mam następującą serię pytań retorycznych(...). Można mieć pretensje do kogoś, za to że po znalezieniu nie przyszedł do Banku z danymi znalezionymi na śmietniku a sobie zachował. I tyle może zrobić firma Geminus - mieć pretensje, o których pisze w blogu lub robi sobie kampanie (o czym niżej). Nie można karać za to, że ktoś znalazł i dotarł do danych. Tym bardziej, że dotarł przez googla, który je zaindeksował. Temat dostępu przez progamy, skrypty i przeglądarki byłu w tym poście poruszany. Aż dziw bierze, że specjaliści Geminusa od internetu nie używają prostej procedury robots.txt i nie wykluczają takowych materiałów.

Apel do Prezesa Firmy Geminus

Panie Prezesie, może warto zapłacić Panu Markowi Futredze za to czego nie robią Pana ludzie?

Warto uwzględnić to co pisze Pan Marek o takim szukaniu luk za kogośGdybym po raz kolejny tak po prostu zwrócił uwagę na lukę, czułbym się jak darmowy kontroler jakości i antykompromitacji Gemiusa. Właśnie słowo darmowy jest jednym z kluczy w tej historii. Problem polega na tym, że na zachodzie nikt nie oskarża ujawniajacych luki za to, że ujawnił i opublikował. Chwała idzie w eter. Nie płaci się za to. Jednak jest uznanie tak zwanej społeczności.
Mało tego to Geminus chce na tym zarabiać i zaczyna robić na tym swoją kampanię podług hasła - Nie ważne co o nas mówią, ważne aby mówili. Ten wątek jest tu poruszony wyczerpująco, jak to działa. A osoby zajmujące się PR i brandingiem wiedzą jakie pieniądze to jest warte. Zapewniam niezorientowanych czytelników - JAKIEŚ PIENIĘDZE NA PEWNO JEST!

Może kiedyś pojawi się publikacja typu:

Prezes FIRMY w podziękowaniu za innowacyjne usprawnienie bezpieczeństwa danych dla firmy, przekazał nagrodę/premię/stypendium Panu Markowi Futredze za swój wkład w rozwój firmy"

Korzyści dla firm i ich wizerunku są oczywiste - to temat na osoby post. Tym bardziej, że popularna metoda weryfikacji danych powszechnie dostępnych przez użytkowników jest ok, gdy otrzymując darmowe dane niejako darmowo i społecznie to udoskonalają. Jednak firma Geminus ZARABIA na tym - niech płaci takim ludziom jak Marek Futrega za innowacyjność, dociekliowść, kreatywność. Sama na tym zarabia i poprawia swój wizerunek.

Kończąc ten długi komenatrz oczywiście pozostaje odpowiedzialność za ew. użycie danych i publikacje lub sprzedaż. W przypadku danych statystycznych to nie ma ustawy tj. ustawa o ochronie danych osobowych. Jest prawo autorskie które samych danych nie chroni, gdyż to są dane wejściowe - dopiero raport opublikowany na podstawie tej technologii Geminusa będzie podlegał ustawie o ochronie praw autorskich i pokrewnych (ale jako, że prawnikiem nie jestem to proszę o ew. komenatrz i korektę do tej części wypowiedzi).

Reasumując:
Kontrowersyjne jest tylko i wyłącznie jak zwykle to co jest na styku różnich systemów:

  • Dane dostępne i znalezione poprzez szukarkę - przestępstwa nie ma.
  • Publikacja danych opracowanych samemu na podstawie znalezionej luki w zestawieniu bez pobierania korzyści majątkowych - przestępstwa nie ma.
  • Publiczne podanie tego faktu do wiadomości - przestępstwa nie ma.

Fakty:

  • firma robi sobie marketing przy okazji całego zamieszania;
  • Marek Futrega opublikował to w celu pokazania wykazania luki i jego korzyśc to tzw. uznanie społeczności.

Postulat:
Adresowany do prezesów i właścicieli firm - warto rozwijając nowoczesne technologie rozwijać również DOBRY wizerunek firmy wspierając ludzi aktywnych, twórczych i kreatywnych. Dużo się mówi na szkoleniach o strategiach win-win czy misji firmy. Łatwo pisać a trudniej realizować. Jednak na dłuższą metę to się opłaca. Trudno sobie wyobrazić lepszy przykład jak ten który powyżej zaproponowałem. ZA DARMO ;)

Ale czy jeśli działając w

Ale czy jeśli działając w warunkach:

Jeżeli ktoś grzebiąc w śmietniku pod bankiem znajduje dane o stanie kont klientów tego banku to jakiekolwiek dywagacje na temat ewentualnych naruszeń prawa w oczywisty i logiczny sposób obierają za swój przedmiot dany bank i jego pracowników, a nie śmieciarza.

opublikuję skany tych dokumentów w internecie bądź przedrukiem w prasie, to czy jest to naruszenie prawa czy też nie jest?
Chociaż być może wynikałoby to wyłącznie z przepisów o ochronie danych osobowych, zaś w przypadku kiedy informacje nie są danymi osobowymi - to nie ma mowy o odpowiedzialności?

--
Olgierd
http://olgierd.wordpress.com

pobieranie a rozpowszechnianie

Odróżnijmy dwie rzeczy - na razie podniesiono larum o pobranie, a nie o rozpowszechnianie (por. cytat z bloga). Uważam, że udostępnienie do pobrania ucina dyskusję na temat ewentualnej odpowiedzialności za pobranie. Owszem, jeżeli zostawię otwarty samochód to nie usprawiedliwia to złodzieja, ale wrzucenie ubrań do pojemnika "publiczna zbiórka dla biednych" raczej wyłącza ewentualne roszczenia o zwrot ubrania, jeżeli już dopuszczamy takie porównania z rzeczami materialnymi.

Kocyk na głowie?

Fakt, że artykuł naukowy nie jest cytowany w przypisach innych autorów nie oznacza jeszcze, że nie został opublikowany. To a propos linków. Nie linki prowadzące do danego materiału znajdującego się na serwerze webowym decydują czy materiał jest publicznie dostępny. Posłużyłem się przykładem artykułu niechętnie, skoro przedpiszcy odwołali się do takich analogii (otwarte samochody, śmietniki banków, etc.), które - w moim odczuciu - nie mają wiele wspólnego z problemem, o który tu chodzi (opublikowanie czegoś, co mogłoby ewentualnie być uznawane za hmm.. szeroko pojętą własność intelektualna, przy czym trzeba uwzględnić przepisy obowiązujące powszechnie w tym względzie, a dotyczące dozwolonego użytku, który w przypadku baz danych jest inaczej skonstruowany niż w przypadku prawa autorskiego), ewentualnie kwestia naruszenia tajemnicy przedsiębiorstwa (terminu definiowanego ustawowo). W Powyższej notatce opisałem tok rozumowania, który prowadzić musi do tego, by odebrać przedmiotowym danym walor tajemnicy przedsiębiorstwa, ze względu na brak przynajmniej dwóch przesłanek konstrukcyjnych: "nieujawnienie do wiadomości publicznej" oraz "co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności". Oczywiście - niewiele ma to wspólnego z otwartym samochodem.

Co do przykładu z linkiem, w którego strukturze zaszyte są parametry dostępu: stoję na stanowisku, że tego typu "zabezpieczenie" nie jest żadnym zabezpieczeniem. Proszę też pamiętać, że nie mówimy o zamkniętych drzwiach, a o sferze informacji. System prawny jeszcze nie do końca sobie radzi z paradoksem: „ochrony publicznie znanej tajemnicy”. Tego typu problemy będą coraz częstsze, tak jak coraz bardziej wyedukowane w zakresie technologii będą osoby korzystające z Sieci. Jednak nie na próżno w przypadku informacji poufnej mowa jest o kancelarii tajnej, gwarantującej określony sposób poufności/tajności, co nie dotyczy jedynie pierwszego piętra, monitorowanych studzienek, specjalnych drzwi, etc. Mowa jest w takim kontekście o polityce bezpieczeństwa uwzględniającej również bezpieczeństwo osobowe (monitorowanie dostępu do pomieszczeń, uprawnienia dostępowe do systemu, nawet to, czy administrator danych jest lub nie jest alkoholikiem, w ankietach są nawet pytania o to, kiedy ostatnio dany człowiek, który ma mieć dostęp do poufnych danych zażywał narkotyki).

Nie można - moim zdaniem - do tego tematu podchodzić w kategoriach małego dziecka, które zarzucając sobie kocyk na głowę uznaje (w swoim przekonaniu pewnie racjonalnie), że zniknęło. Dlatego właśnie wpisanie "&pass=1" nie może być, w mojej opinii, uznawane przez jakiekolwiek "włamanie". I tu również serdecznie prosiłbym o odnoszenie się do przepisów, w szczególności przyszłych komentatorów prosiłbym o pochylenie się nad stosownymi przepisami (w szczególności przepisami kodeksu karnego). Chodzi zwłaszcza o kwestie "bycia uprawnionym", oraz "przełamania ... innych szczególnych zabezpieczeń". Cały czas proszę o pamięć, że nie mówimy tu o fizycznym (realnie i geograficznie istniejącym miejscu, a o sferze bardziej ezoterycznej - o dostępie do informacji). Jeśli informacja „położona jest” na maszynie, która „wpięta jest” do infrastruktury internetu, „leży” na serwerze, którego przeznaczeniem jest zdalne prezentowanie określonych treści (w różnych warstwach- treści, prezentacyjnej, semantycznej, etc) pod wskazanym w odpowiednim polu przeglądarki adresem, to nie jestem w takim przypadku skłonny uznać, że mamy w istocie do czynienia z informacją poufną. Proszę również wyobrazić sobie sytuację, w której ktoś będzie karany za to (uwaga - przerysowuje, ale celowo), że dysponuje receptorami i korzysta z nich.

Dostałem również maile. Odniosę się do jednego z nich:

…Dlatego, jeśli nie da się jednoznaczeni określić granicy "zabezpieczone"/"publiczne", to może podejść do sprawy z innej strony? Skoro Gemius nie publikuje (linkuje) tych danych, ani nie określa ich statusu (publiczne/niepubliczne), to może należy uznać je za niepubliczne/poufne?

I tu zadam pytanie odwołując się do innej mojej notatki, którą wcześniej opublikowałem w serwisie. Czy ma być uznany za "poufny" oraz przez to ignorowany fakt istnienia zasobów, które pokazałem przy okazji notatki o serwisie Prezydenta RP (por. Uwagi do serwisu prezydent.pl)?

Mam na myśli np. poniższy zrzut ekranowy:

Screenshot jednej z części serwisu Prezydent.pl

Czy przełamałem zabezpieczenia? Komputer, dostęp do serwisu. Fakt, że mogłem do tego "ekranu" dotrzeć musi oznaczać, że nie są to "poufne" dane. Chyba, że nie wypada krytykować sposobu wykonania serwisu internetowego Prezydenta mojego kraju. To jednak jest odrębna od poufności kwestia.

Uwagi przedstawione powyżej są aktualne również w przypadku tego, co widać na tym obrazku, chociażby Kancelaria Prezydenta była przekonana (a nie może być, gdyż już ten obrazek pokazywałem publicznie i dla pewności przesłałem webmasterowi link do komentarza), że takich efektów działania przeglądarki nie ma. One są, tak jak treści wskazane w określonym wystroju, z określonymi stylami, grafikami, etc.. są opublikowane w serwisie znajdującym się w domenie prezydent.pl

I jeszcze. Jeśli brakuje w danym serwisie linku, to przecież wystarczy zrobić taki link. Można też zrobić link do konkretnego pliku. Można wykorzystywać nowe produkty wyszukiwawcze, takie jak Google Code. I robię link (gdyby ktoś uzależniał publikację od linku): do wyniku wyszukiwania...

IDG: "Nowe narzędzie Google Code Search umożliwiło przeszukiwanie kodu źródłowego na niespotykaną dotąd skalę. Przy okazji użytkownikom udało się znaleźć wiele ciekawych fragmentów - hasła, przekleństwa oraz dziury, o których wiedzieli autorzy kodu".

Czyżby hacking?

A dam inny przykład. Czy jestem hackerem, jeśli wejdę bezpośrednio na jedną z subdomen w domenie idg.pl i tam pokaże mi się przedstawiony poniżej widok. Wyjaśniam: poniżej widać dostępne bez żadnych zabezpieczeń pdf'y z kolejnymi wydaniami pism wydawanych przez IDG. W sumie poinformowałem o tym zasobie IDG jakieś pół roku temu i sobie teraz o tym przypomniałem, a następnie sprawdziłem czy załatali tę "dziurę". Czy jest to hacking? czy podlinkowanie wprost do tego "zasobu" narazi na szkody wydawnictwo, które sprzedaje egzemplarze swojego pisma, a niektóre artykuły w serwisie, dajmy na to Computerworld, dostępne są po pewnym czasie odpłatnie? Być może tam odpłatnie, ale tu - w pełnych wersjach PDF'ów bezpłatnie.

Screenshot niektórych zasobów IDG

Ale nie podam publicznie pod jakim adresem widać to, co widać, bo bardzo lubię IDG. A skąd wiem, że to tam jest? ;) Sprawdzam co jakiś czas skąd przychodzi ruch do tego serwisu. Sprawdzam też czasem hosty, które często odwiedzają moje zasoby. Ot i cała tajemnica.

tabelki ze statystyk

Zakładam jedynie, że skoro pół roku temu powiadomiłem redakcje, że tak właśnie jest i nic się z tym nie stało, to najwyraźniej nie jest to informacja poufna, prawda? Zakładam nawet, że nie jest to poufna informacja, chociażbym nie powiadomił redakcji o tym, że to jest dostępne. Po prostu te zasoby są publicznie dostępne i tyle (nawet bez działającego linku do tych zasobów). Gdybym umieścił pobrane z tego źródła PDF'y na swoim serwerze - pewnie naruszyłbym normę prawa autorskiego. Wyżej starałem się jednak dać do zrozumienia, że dozwolony użytek baz danych i utworów w rozumieniu prawa autorskiego różni się konstrukcyjnie. Nie wszystkie też bazy danych są utworami w rozumieniu prawa autorskiego, gdyż - przykładowo - odnotowanie w jednej tabeli ile było odsłon stron w jakimś serwisie - nie ma raczej waloru działalności twórczej. Jest to proste zestawienie pewnych "faktów", które nie mogą być inne, i na które "twórca" mógł nie mieć żadnego wpływu. Jednak te ostatnie zdania piszę z pewną ostrożnością - ze względu na metodologię. Ale jeśli wyniki są zależne od autorskiej metodologii - to czy dane wynikowe są prawdziwe?

--
[VaGla] Vigilant Android Generated for Logical Assassination

0' ...

To takie pytanie... Wpisanie z palca dodatkowych "znaczkow" moze byc dzialaniem, ktore zaburza dzialanie aplikacji (zamiast 0 lub 1 zawsze spelniony warunek 1=1) i ... niszczy cala baze wpisujac wszedzie bzdurne wartosci...

Taka sytuacja sie moze zdarzyc. I co wtedy ? Prawo cywilne i proces o zniszczenie informacji i straty finansowe ?

Zmierzam do tego aby nie generalizowac oceny wpisywanych zmian do parametrow...

A swoja droga .... Rozpowszechnianie tez moze byc wymiernie wyliczona strata (nie sledze az tak uwaznie tej sprawy aby stwierdzic czy tutaj tez tak jest).

I jeszcze...

I jeszcze adekwatny związek przyczynowy, szkoda, działanie, a być może przyczynienie się poszkodowanego do powstania lub zwiększenia szkody, a jeszcze stopień winy... Poza wszystkim od pewnego czasu próbuje się dowiedzieć od mądrych osób ile może być warta informacja, na przykład jak wycenić dostęp do informacji publicznej, albo jak wycenić szkodę w przypadku ujawnienia informacji damnum emergens & lucrum cesans. Czy w ten sposób, że ktoś sprzedawał dostęp do informacji i w wyniku jej ujawnienia nie będzie jej już sprzedawał, a zatem w prosty sposób utracone korzyści pojawiają się z cennika? Wiem, że to nie takie proste. "W społeczeństwie informacyjnym informacja ma wartość ekonomiczną" – to banał, o ile się nie potrafi jej (informacji) wycenić, a raczej nie tyle jej, co jej ujawnienia albo nieudostępnienia. Ale jak napisałem w notatce, która rozpoczęła wątek - jest jeszcze kilka kwestii, które można by rozważać. A być może Marek Futrega mógłby po prostu w trybie art. 189 kpc domagać się od sądu ustalenia prawa do opublikowania danych. Ciekawy jestem co by powiedział sąd.
--
[VaGla] Vigilant Android Generated for Logical Assassination

No, nie zgrywaj się....

Nie chcę się czepiać, ale...
Istnieje poważna różnica pomiędzy wpisaniem do URL-a legalnej wartości parametru, a próbą wstrzyknięcia w ten sposób kodu (JS, SQL, czasem nawet PHP). Prawdę mówiąc, moim zdaniem jest to taka różnica, jak pomiędzy użyciem młotka do wbicia gwoździa w drzwi (nawet jeśli wiesz, że po drugiej stronie opiera się o nie sąsiad i zrobisz mu w ten sposób krzywdę), a użyciem rzeczonego młotka do wbicia komuś gwoździa w głowę.
Prawdę mówiąc, IMAO osoba która tworzy site tak łatwy do zhakowania przez script injection sama sobie jest winna. Tak samo jak osoba która zamyka drzwi na skobel zamiast na zamek. Ale tu mamy inny przypadek - otóż osoba owa NIE WSTAWIŁA DRZWI, a nawet nie postawiła tabliczki "Teren prywatny, wstęp wzbroniony". Skoro nie postawiła, to wstęp nie jest wzbroniony, chyba jasne. Inaczej mógłbym rozbić sobie namiot na kawałku nie ogrodzonego trawnika należącego do mojej firmy (ale nie oznakowanego w żaden sposób), w tym namiocie położyć teczkę ze strategią rozwoju firmy i pozywać każdego, kto wejdzie do rzeczonego namiotu (dla uproszczenia, jest to namiot - altanka a nie mieszkalny), o kradzież tajnych dokumentów.

Jiima

istota dyskusji

To bardzo cenne, VaGla, że wzywasz do konkretnej dyskusji i przytaczania dokładnych przepisów oraz instytucji prawnych. Fakt, że przykłady ze śmieciarzami i samochodami są nikle powiązane z dyskutowanym stanem faktycznym.

Proponuję jednak nie tracić z oczu ogólnego techniczno-społeczno-ekonomicznego kontekstu prawa. Jest on bowiem taki, że protokoły Internetowe służą do publikowania a nie do ukrywania treści. Młotkiem śrub się nie wkręca i tyle. Poza tym, prawo pełni funkcję służebną w stosunku do rynku i społeczeństwa. Zarówno rynek, jak i społeczeństwo z działalności osób takich jak szukający dziury w całym majsterkowicze (hakerzy) korzystają. Rynek - bo wpływa tam więcej informacji umożliwiającej lepszą wycenę usług. Społeczeństwo - bo dzięki ujawnieniu czyjegoś niedbalstwa jesteśmy w stanie zorganizować nasze relacje bardziej korzystnie i efektywnie.

Prawo powinno takie działania nagradzać, a nie karać. Co więcej, wyżej opisany ogólny kontekst istotnie wpływa nie tylko na postulaty co do prawa, ale i na interpretację prawa obowiązującego. Jakiekolwiek zatem byśmy nie przytoczyli konkretne przepisy wcześniej musimy sobie rozważania umieścić w tym kontekście. Moim zdaniem, prowadzi to do wniosku, że wszelkie wykorzystanie podmiotowego prawa wyłącznego w celu ukrycia odpowiedzialności za lub nawet samego faktu nienależytej staranności, niewiedzy itp. byłoby po prostu niesprawiedliwe.

Ale może błądzę - naczytałem się amerykańskich kejsów, gdzie sędziowie cytują profesorów ekonomii (a poza tym np. Hamleta, Alicję w Krainie Czarów itp.). Jak na razie nie odnalazłem jednak podobnego podejścia do prawa w polskiej praktyce orzeczniczej, która skupia się raczej na cytowaniu KPC. Innymi słowy - powtarzam - nie będę zdziwiony gdy "link z palca" okaże się przełamaniem zabezpieczeń.

"Dlatego właśnie wpisanie

"Dlatego właśnie wpisanie "&pass=1" nie może być, w mojej opinii, uznawane przez jakiekolwiek "włamanie"."

Czyli Twoim zdaniem... jesli zrobie sobie link:
http://prawo.vagla.pl/admin.php?pass=1

i uzyskam prawa do admina systemu to znaczy, ze moge w nim zmieniac, kasowac co chce?
przeciez ja tylko przerobilem link.. nie wiedzialem, ze ta strona nie jest przeznaczona dla mnie... myslalem, ze moge sobie zmieniac testowac jak chce...
czy jesli ktos "przerobi" link np. serwisu wp.pl i podmieni zawartosc strony glownej to to nie bedzie wlamanie do systemu ? przeciez on tylko "przerobil" link...

Tak

Zgadzam sie z Krzysztofem. Nie obawialbym sie jednak tego, ze:

"link z palca" okaże się przełamaniem zabezpieczeń.

Jezeli sprawa dotyczyla by tylko i wylacznie "linka z palca" a nie dodatkowo i przykladowo nielegalnego oprogramowania ujawnionego przez bieglego. W tym przypadku szukalbym lepszego adwokata i skorzystal z instancyjnosci postepowania.
Nie chce sie wypowiadac na temat "sprawy kieleckiej".

Zmiana parametru linku

Witam Was serdecznie.
Przypadkiem trafiłem na tą dyskusję i zaciekawiło mnie stwierdzenie iż zmiana parametru linku np. z 0 na 1 nie jest niczym złym - i nie jest tzw. działaniem hackerskim.

I w związku z tym nasunęło mi się pytanie.
Otóż posiadam stronę internetową, na której są gry - i załużmy, że postanowiłem zrobić konkurs na najlepszego gracza, w którym można wygrać nagrodę.
Zapisywanie wyniku zrobiłem za pomocą metody GET i w ten oto sposób do pliku php przesyłane są zmienne: plik.php?wynik=xxxx&login=xxxx

A zatem ktoś "sprytny" może sprawdzić za pomocą prostego programu, jakie zmienne są wysyłane i do jakiego pliku - czy zatem jeśli zmieni on ręcznie wartość wynik=xxx na taką, która zapewni mu zwycięstwo, to czy nadal uważacie, że jest to zgodne z prawem? Czy w tym momencie nie narusza się prawa - przecież sztucznie został zmieniony wynik na korzyść gracza.

W przypadku gemiusa Marek Futrega zamiast wygrać nagrodę otrzymał informacje, które mogą być więcej warte niż nie jedna nagroda.

Odnosząc się do rzeczywistego świata (nie wirtualnego), to sytuacja jest podobna do takiej:
- jest muzeum, w którym są obrazy znanego malarza. Aby wejść musimy kupić bilet, ale widzimy, że oprócz drzwi otwarte jest również okno. Wchodzimy przez okno i nie płacimy za bilet. Czy to jest w porządku?

Osoba, która wygrała w

Osoba, która wygrała w taki sposób nie narusza żadnego prawa, co najwyżej 'REGULAMIN' konkursu i nie jest to hackowanie w żadym stopniu, po prostu pisaniem stron powinny się zajmować osoby, które mają pojęcie o swojej pracy.

I nie mów, że w tak oczywisty sposób przesyłasz dane, może lepiej wziąść do ręki jakąś książkę o PHP?

Zmiana parametru linku

I tutaj właśnie można porównać to do czegoś innego, bo z takim podejściem dojdziemy do wniosku, że kobiety są gwałcone bo mają mini spódniczki i jest to ich winą, bo ubieraniem powinni zajmować się ludzie, którzy się na tym znają ;)

Jak dla mnie gemius ma powody do niezadowolenia i uważam, że Marek Futrega nie zrobił nic dobrego publikując tę listę. Mógł te informacje zachować dla siebie - fakt ich pobrania nie jest aż takim złym działaniem w mojej opinii, gdyż nie miało to żadnych bezpośrednich korzyści dla niego. Natomiast upubliczenie to już zupełnie inna sprawa - dzisiaj na blogu reklam nie ma, ale skąd pewność, że kiedyś się nie pojawią? Ludzie i tak już będą częściej jego blog odwiedzać - nie mamy pewności, że kiedyś autor blogu tego nie wykorzysta...
A drugi aspekt sprawy jest taki, że nie każdy z właścicieli stron internetowych mógł być zadowolony z tego, że te dane zostały upublicznione (a nie tylko gemius).

ps. Nie wysyłam wyników metodą GET (to było założenie teoretyczne), ale nie umiem ich zabezpieczyć na tyle, by w 100% mieć pewność, że nikt nie oszukuje. I co - też sam sobie jestem winny?

Historia lubi się powtarzać...

Nie wszyscy już to pamiętają, ale kiedyś był taki portal, który nazywał się Arena.pl. W 2000 roku zorganizował on konkurs "Arena Grand Prix". Główną nagrodą w konkursie był Audi TT, a sam konkurs polegał na poszukiwaniu przez użytkownika ikony symbolizującej nagrodę na stronach śp. portalu Arena. Pisałem o tym w 2000 roku i dziś jestem w sumie ciekawy jak się zakończyła sprawa wniosku do prokuratury, o którym tam jest mowa. Wedle informacji, które dziś starałem się zdobyć na ten temat (powrót do historii z 2000 roku to prawie jak wywoływanie duchów) - sprawa "mogła zakończyć się umorzeniem postępowania", chociaż pewności co do tego nie ma. Wiadomo również, że chłopak do którego dotarli organizatorzy konkursu, był podobno przesłuchiwany przez prokuraturę, a jego "włamanie" miało polegać na "zwiększeniu szans wygrania" przez manipulację URL'ami, w tym na doprowadzeniu do wpisania wartości w obsługujących konkurs bazach danych. Informacje, którymi dziś dysponuję potwierdzają, że takie manipulowanie "było możliwe przez wykorzystanie luk i błędów w skryptach portalu"...

Rozumiem też intencje tych, którzy dokonują ocen etycznych lub innych działań w omawianej wyżej sprawie, jednak z punktu widzenia systemu prawa karnego proszę pamiętać, że istnieje zasada "nullum crimen sine lege", a w przypadku naruszenia normy prawa cywilnego również należy odnosić się do konkretnych przepisów. Być może ktoś chciałby pokusić się o przedstaienie jakiejś teorii związanej z naruszeniem takich norm prawnych, nie ograniczając się do stwierdzeń: zrobił dobrze, zrobił źle.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Tak

nie umiem ich zabezpieczyć na tyle, by w 100% mieć pewność, że nikt nie oszukuje. I co - też sam sobie jestem winny?

Sam sobie odpowiedziales. Skonsultuj sie z kims kto umie. Unikniesz chociazby posadzenia o niedbalstwo.

Tak czy siak to temat rzeka. A porownania do "mini spodniczek" maja sie jak piesc do nosa. Czasami pasuja do stosowanej argumentacji ale kazdy sie zastanawia czy odpowiednio.

Ps.
Piotr pozdrowienia z Dublina.

Takie zabezpieczenie nie istnieje.

Skonsultuj sie z kims kto umie. Unikniesz chociazby posadzenia o niedbalstwo.

I tutaj właśnie jest taki problem, że konsultowałem się z wieloma osobami i czytałem wypowiedzi wielu osób na różnych (nie tylko polskich) forach internetowych i jeśli o zabezpieczenie wyników chodzi, to odpowiedź była jedna: "W 100% nie da się tych wyników zabezpieczyć. Można jedynie utrudnić ten proceder, by trwało dłużej odnalezienie sposobu, w jaki można te wyniki zmienić."

I dlatego uważam, że nie to, jak jest dana aplikacja zabezpieczona powinno być kryterium, ale to na co zezwala lub nie zezwala osoba, która daną aplikację wyprodukowała.
A jeśli nie ma prawa, które zabezpieczało by producentów od tego typu nieporządanych działań, to być może powinno się to prawo zmienić.

Niestety nie jestem prawnikiem i pewnie nigdy nie będę, więc nawet nie próbuje się wdawać w dyskusję na temat 'czy to jest zgodne z prawem' - od tego są bardziej zaznajomieni z tym ludzie i poczekajmy, aż może ktoś taki się wypowie ;)

Gemius też podpisuje umowy z klauzulą poufności...

Na stronie Gemiusa znajduje się wzór umowy gemiusTraffic Professional. Zgodnie z tym wzorcem: Usługodawcą jest Gemius, zaś usługobiorcą przedsiębiorca zawierający z Gemiusem umowę. Elementy tej umowy są następujące (a przypuszczam, że część umów była pewnie modyfikowanym wzorcem, część pewnie jedynie wypełnionym):

§ 2 Przedmiot umowy

1. Przedmiotem niniejszej umowy jest realizacja badania na witrynie http:// ......................... należącej do Usługobiorcy.

§ 3 Nieujawnianie informacji

1. Strony zobowiązują się traktować postanowienia niniejszej umowy jako poufne. Bez uprzedniej pisemnej zgody drugiej Strony, żadna Strona nie ogłosi publicznie, ani nie ujawni informacji o technicznych ani handlowych szczegółach dotyczących umowy.

2. Dane dotyczące ruchu na witrynie stanowią Informacje Poufne i bez pisemnej zgody Usługobiorcy, z zastrzeżeniem zapisów zawartych w § 5 p. 6, nie będą ujawniane przez Usługodawcę osobom trzecim.

3. Obowiązek zachowania poufności dotyczy wszystkich pracowników umawiających się Stron, którzy będą mieli dostęp do Informacji Poufnych w związku z realizacją przedsięwzięcia, o którym mowa w § 2.

4. Ograniczenia dotyczące ujawniania Informacji Poufnych nie obowiązują w sytuacji, gdy zostaną upowszechnione w wyniku okoliczności nie naruszających postanowień niniejszej umowy oraz jeżeli wymaga tego prawo polskie.

(...)

§ 5 Prawa i obowiązki Usługodawcy
(...)
6. Usługodawca ma prawo wykorzystywać dane gromadzone w trakcie badania do celów analiz dotyczących całego Internetu lub jego wybranej części. Wyniki tych analiz prezentowane będą zawsze w postaci zagregowanej i nie pozwalającej na odtworzenie źródła danych.
(...)

Nie ma tego w opublikowanym wzorcu, jednak myślę sobie, że niejednemu z kontrahentów mogło przyjść do głowy umieszczenie klauzuli kar umownych w zawieranej umowie, na mocy której ktoś zbiera informacje na temat pozycji danej witryny (przedsiębiorstwa) na rynku internetowym. Gdyby ktoś się "włamał" i "upowszechnił", to być może byłaby to sytuacja, w której dane "zostały upowszechnione w wyniku okoliczności nie naruszających postanowień niniejszej umowy". Tu postawię może trzykropek...

--
[VaGla] Vigilant Android Generated for Logical Assassination

Dwa źródła danych

Piotr, nie wiem, co miałeś na myśli w "trzykropku", ale...

Te statystyki witryn, które są publikowane w ramach badania Megapanel PBI/Gemius mogą pochodzić z dwóch źródeł: jednym jest właśnie badanie skryptami (gemiusTraffic professional), drugim - badanie panelowe (program monitorujący ruch internautów, którzy wyrażą na to zgodę).

Witryny z badania gemiusTraffica mają możliwość decydowania o tym, czy chcą, by ich statystyki były ujawniane w wynikach Megapanel PBI/Gemius (wiem, że np. niektóre banki nie wyrażają na to zgody). Jeśli nie chcą, wtedy wyniki dla ich witryn pochodzą z badania panelowego i są w wynikach Megapanelu odpowiednio oznaczone (podobno czerwonym kolorem, choć nigdy nie widziałem).

A jak to się stało, że nie ma kurnika?

Trzykropek dałem, ponieważ nie mam żadnej wiedzy na temat podpisywanych przez Gemiusa umów, ani też klauzul, które się w nich znajdują. Dywagacyjka opiera się jedynie na udostępnionym wzorcu umowy, w którym znajduje się klauzula poufności. Stąd po prostu nie rozpisywałem się na temat możliwości jakie niesie ze sobą taka interesująca sytuacja, by nie pójść w takich dywagacjach zbyt daleko. Zwłaszcza, że Gemius na swoich stronach, w części zatytułowanej Nasi Partnerzy przedstawił loga ważnych i cenionych serwisów.

Z tego co wyżej napisałeś, to by wynikało, że w zebranych przez Ciebie Marku danych oraz w tym, co opublikowałeś w pliku, powinien się znaleźć kurnik.pl, a nie widzę go w zestawieniu. Dlaczego?
--
[VaGla] Vigilant Android Generated for Logical Assassination

Kurnik pod o2.pl

Statystyki Kurnika liczą się pod o2.pl (jak Tlenu, Tlenofonu, Kafteterii itp.), z którym współpracuję, stąd jego brak w zestawieniu.

Prawo a moralność

Bardzo ciekawe wywody prawne. Myślę, że wiele razy jeszcze przyjdzie się mierzyć prawnikom z tego typu sytuacjami i nie będą to sprawy ani łatwe ani oczywiste.

Jednak najbardziej interesuje mnie etyczna strona tej sprawy. Mówiąc po ludzku - czy jeśli p. Futrega zauważy leżący na chodniku portfel a po otwarciu okaże się, że są w nim pieniądze i dowód osobisty to czy potraktuje to jako "udostępnienie"?

A czy jeśli ktoś z nas pojedzie do Niemiec, gdzie zwyczajem było pozostawianie otwartych samochodów z kluczykami, to wykorzysta "szansę" i przejedzie się "udostępnionym" samochodem?

Rozumiem, gdyby "odkrycie" zostało dokonane przez osobę nie mającą pojęcia o Gemiusie i jego pracach. W tym przypadku jednak sytuacja do złudzenia przypomina mi "portfel z dowodem osobistym". Te dane to efekt czyjejś pracy, wysiłku i również wydanych pieniędzy. I jest to doskonale wiadome p. Futredze. Mimo to, decyduje się on na ujawnienie tych danych.

Czy nie mieliście nigdy sytuacji, że ktoś wysłał wam przez pomyłkę maila z ważną lub tajną informacją (np. umową handlową albo ofertą przetargową)? Co wtedy zrobiliście - albo co byście zrobili? Wykorzystali tę informację dla swoich celów? Sprzedali informację konkurencji?

A może odpowiedź jest oczywista...

Pozdrawiam i życzę przemyśleń.

Ciekawość można poskromić...

Czy nie mieliście nigdy sytuacji, że ktoś wysłał wam przez pomyłkę maila z ważną lub tajną informacją (np. umową handlową albo ofertą przetargową)? Co wtedy zrobiliście - albo co byście zrobili? Wykorzystali tę informację dla swoich celów? Sprzedali informację konkurencji?

Owszem... Zdarza się czasem, że zbieżność albo raczej podobieństwo adresu e-mail (te nieszczęsne podkreślniki) powoduje zabłądzenie cudzego e-mail'a do mojej skrzynki...
Ale pewnie tylko moja głupota albo brak wścibstwa powoduje, że nawet e-mail traktuję niczym korespondencję i nie naruszam jej prywatności, to znaczy nie otwieram załączników. Treści "ciała" e-mail'a nie sposób nie przeczytać, bo jest otwartym tekstem :) ale w przypadku załączników to już ewidentnie trzeba świadomie podjąć decyzję o ich otwarciu...

Dlatego w dobrym tonie powinno być pisanie w e-mail'u choć kilku grzecznościowych słów, aby odbiorca mógł się zorientować, że list trafił omyłkowo.

Nagminnym jednak i to w urzędach jest wysyłanie e-mail'a z załącznikiem lub załącznikami, ale bez tematu i krótkiej treści. A potem darcie szat, że ktoś otworzył załącznik... A niby jak miał się przekonać, że to nie do niego ??? Nazwa plikowa załącznika najczęściej nic nie wyjaśnia...

Co prawda inną kwestią jest czy odbiorca omyłkowego listu otworzy załączniki czy nie, ale to dywagacje natury etycznej :)

Przy okazji listów omyłkowo wysłanych... Chyba jednak pomysł urealniony w Rozporządzeniu do Ustawy o Informatyzacji, a dotyczący Elektronicznej Skrzynki Podawczej jest strzałem w tzw. dziesiątkę... Tylko pozostaje jeszcze kwestia kancelarii... Z tym to w różnych instytucjach publicznych bywa różnie... Najczęściej jest tak, że obniżenie cen fax-ów, komputerów, dostępność powszechna do internetu sprawia, że obowiązki kancelarii zostały rozmyte na poszczególne konta e-mail w instytucjach publicznych.

W sumie jak to nieraz już pisałem na tym forum... Szkoda, że zasada demokratyzacji opiera się w polskich realiach na zasadzie "sam sobie wymyśl, a kontrolujący i tak wyciągnie sankcje"... Szkoda, że w przypadku jednostek publicznych nikt nie chce opracować jednolitych, ramowych zasad związanych z bezpieczeństwem informacji. Sama Ustawa to za mało, brak jest rzeczowej i konsekwentnej jej wykładni. Wykładni w której nie ma miejsca na dywagacje w sprawach oczywistych.
Zastanawiającym jest fakt, że jednostki publiczne choć są instytucjami państwowymi, to jednak nie mają ujednoliconego prawa w obszarze bezpieczeństwa informacji, bo przecież to różne resorty. Tylko czy informacja w zasobach informatycznych jako taka zależy od resortu ??. O ile trafnie postrzegam, to jedynie treść informacji jest zależna od resortu. Komputery są takie same albo przynajmniej zbliżone w kwestii klawiatur i urządzeń peryferyjnych...
Brak takich "odgórnych" regulacji czy wykładni, zapewne jest konsewkencją obaw przed posądzeniem o utrudnianie pracy urzędom... Ale do czasu... Aż pojawią się skargi Petentów skutkujące procesami...

Czy trzeba na to czekać ?? Udając jak dziecko pod kocykiem ?? "skoro ja nie widzę, to mnie nie widać..."

Chyba prościej zapobiegać niż leczyć... A przynajmniej taniej... :) Że o standaryzacji rozwiązań nie wspomnę... I nie chodzi tu o monopol dostawcy, bo sprzęt oraz oprogramowanie dostarczają różne firmy. Chodzi tylko o ścisłe określenie granic w jakich jednostki publiczne muszą się poruszać aby informatyzacja zadziałała kiedyś wogóle.

Pozdrawiam.

otwarte drzwi

w pierwszej chwili sadzilem ze Furtega Marek ma racje, jak zwykle gdy kogos mniejszego wiekszy trenuje prawem. Ale po chwili wydaje sie czym innym pobrac dane, by przed innymi pochwalic sie z rezultatow a zupelnie czym innym ciekawosc i szkoda ..

.. o ile internet jest ewenementem i nie wszystkie analogie z zycia mozna powielac .. o tyle pobranie w sposob nie oczywisty i upublicznienie danych wydaje sie nie do konca legalne .. tak jak zostawienie uchylonych drzwi nie pozwala wejsc bezkarnie na prywatny teren. Coz jesli wlasciciel nie zareaguje na informacje ze ma otwarte mieszkanie, to nie przywlaszcza sie jego rzeczy by zareagowal, czy nie robi fotografi "wnętrz" by za kare pokazac sasiadom.

Bowiem o ile tu krzywda nie dzieje sie Geniusowi na skutek skopiowania danych (poza oplatami za "niechciany" transfer) i wszelkie (ograniczone) proby zabezpieczen uwazam za calkiem dopuszczalne. O tyle upublicznienie moglo wyrzadzic juz szkody wyzszej wartosci. Wiec nijak nie moge sie zgodzic ze bylo to dzialanie ma pozostac bezkarne bo powodowane wrodzonymi zdolnosciami, niejako naturalne. Swoja droga gatunek "odkrytej" dziury wydaje zreszta watpliwej wartosci, jak i wielka wydaje sie byc omylnosc zarzadzajacego.

Wyrzadzenia krzywd nie mozna tlumaczyc w ten sposob, dokonanych przez zdesperowanego "odkrywce", jak nie jest dozwolone prawnie bicie mniejszych przez wiekszych.

Skoro mowa o winie to i kara .. no coz .. niewielka. Ale to juz dla profesjonalistow w prawie.

Pozdrawiam

smiechu warte

ja bym sie tym totalnie nie przejmował skoro coś jest dostępne w necie i można na takie coś wejść to nic sie nie stało. po to serwery firm maja np blokadę ip czy tez dopuszczają komputery tylko z określonych serwerów by coś ważnego nie weszło w posiadanie kogoś "złego":)

miałem ostatnio taka sytuacje ze przez przypadek wszedłem w newsy XXXX i tez zmieniając ostatnia cyfrę przejrzałem maile i newsy jeden po drugim na ich serwerze i nie zrobiłem tego nie legalnie BO skoro ktoś udostępnia coś w internecie (publicznie) to niech nie ma pretensji ze ktoś to czyta.. TOTALNY ABSURD!

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>