Administracja publiczna w Polsce pomaga budować Google profile obywateli

Ponieważ od pewnego czasu w wielu tekstach można było przeczytać alarmujące "przypomnienia" dotyczące "usunięcia historii wyszukiwania" z Google wiele osób pewnie dowiedziało się w ten sposób, że Google dziś wprowadza "nową, jednolitą politykę prywatności". W efekcie konsolidacji zasad dot. prywatności spółka będzie mogła wykorzystać dane pozyskane w jednym serwisie wraz z danymi z innego swojego serwisu. W efekcie będzie mogła budować pełniejszy profil użytkowników. Ja zaś się zastanawiam dlaczego właściwie twórcy stron internetowych polskiej administracji publicznej decydują się na to, by przekazywać spółce Google informacje o obywatelach, którzy odwiedzają te strony?

Bo przecież kiedy obywatele odwiedzają stronę internetową Kancelarii Prezesa Rady Ministrów, to partia informacji na temat takich obywateli odkłada się w bazach Google, a to za sprawą wykorzystywanego w tym serwisie kodu Google Analytics. Dokładnie to samo narzędzie wykorzystywane jest na stronie Prezydenta RP. Tak samo jest w Centralnej Bazie Orzeczeń Sądów Administracyjnych tworzonej przez Naczelny Sąd Administracyjny, również w serwisie Ministerstwa Administracji i Cyfryzacji, ale co również chyba warto odnotować - także strony Generalnego Inspektora Ochrony Danych Osobowych wykorzystują to narzędzie. Ale aby zbierać informacje o odwiedzających nie trzeba od razu umieszczać kodu narzędzia analitycznego Google. Obywatele chcący zapoznać się z treściami zebranymi na stronach Biuletynu Informacji Publicznej (www.bip.gov.pl) - ze względu na wykorzystanie na tej stronie "wklejki" z mapą Google - zasilają danymi na swój temat bazy danych spółki.

Kod Google Analytics wklejony w stronę Generalnego Inspektora Ochrony Danych Osobowych

Kod Google Analytics wklejony w stronę Generalnego Inspektora Ochrony Danych Osobowych.

W tekście Google łączy dane w jeden profil cytowany jest Generalny Inspektor Ochrony Danych Osobowych, wedle którego "Google może nie wypełnić do końca obowiązku informowania swoich użytkowników o gromadzonych o nich danych". A ja się zastanawiam, czy administracja publiczna powinna pozwalać na to, by dane o obywatelach odwiedzających tworzone przez tą administrację strony były przekazywane gdzieś dalej.

To nie tak, że jakoś wybitnie się oburzam. Po prostu drapię się w łysą głowę... Drapię się w głowę również wówczas, gdy w powyższym kontekście czytam art. 51 Konstytucji RP:

Art. 51.

1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

Przeczytaj również: Czy "własne" serwisy internetowe administracji publicznej działają legalnie?, Pytania o charakter prawny serwisu internetowego Premiera przy okazji clippingu artykułów z The Economist oraz Jeden uczciwy serwis rządu zamiast chmury witryn marketingu politycznego ministrów.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

To jest bardzo słuszna

To jest bardzo słuszna uwaga. Jako laik ciekaw jestem, skąd się to wzięło? Czy przy tworzeniu stron administracji korzystano z szablonów, w których kod google analytics był zawarty "gratis", czy może ten kod został intencjonalnie dodany? W przypadku wklejek z mapą sytuacja jest przynajmniej zrozumiała - łatwiej wykorzystać komercyjną aplikację niż tworzyć własną.

Nie trudno zrozumieć przyczyny popularności Google Analytics

Użytkowanie zewnętrznych systemów analizy odwiedzin (bo przecież nie chodzi tylko o Google Analytics) może oczywiście budzić wątpliwości i to nie tylko w wypadku serwisów urzędowych. Tyle że administracja publiczna nie ma za bardzo wyboru.
Jeśli serwisy publiczne mają być rzeczywiście użyteczne, (a nie tylko być wypełnieniem formalnych wymogów) to stałe badanie ruchu i zachowań użytkowników jest absolutnie niezbędne.
Można oczywiście, zamiast przekazywać informacje zewnętrznym systemom/firmom analitycznym, samodzielnie badać logi serwera www. Tyle tylko, że to co oferują w tym zakresie aplikacje open source jest marnym cieniem tego czego należy oczekiwać od systemu analizy odwiedzin. (Ja przynajmniej nie spotkałem się z żadną godną uwagi darmową aplikacją tego typu – będę szczerze wdzięczny za sprostowanie mojego przeświadczenia). Zaś systemy komercyjne funkcjonują na pułapach cenowych niedostępnych dla 99 % jednostek administracji państwowej.

Mam zresztą zasadniczą wątpliwość czy „Nowa, jednolita polityka prywatności” dotyczy danych analizowanych przez Google Analytics. Google nie jest chyba nawet w stanie powiązać danych o wizytach odkładanych przez Google Analytics z danymi o zachowaniu konkretnych (logowanych) użytkowników swoich usług.
Być może inna sytuacja występuje gdy ktoś udostępnia usługę w rodzaju Google Maps, w takiej sytuacji użytkownik serwisu (zalogowany już na swoje konto Googla) może być jednoznacznie zidentyfikowany i podpada pod „Nową, jednolitą politykę prywatności”

Inna kwestia to generalne pytanie czy dane typu, numer IP i powiązane z nimi informacje o zachowaniu na stronie, w ogóle są danymi osobowymi.

Darmowa alternatywa

Ja osobiście nie lubię Google Analytics. Oczywiście przeglądanie logów serwera www bywa czasami nieocenioną pomocą, ale dla osób nie siedzących w temacie to raczej masochizm. Z darmowego oprogramowania zdecydowanie polecił bym Piwik
http://pl.piwik.org/
Nie jest to dokładnie to samo co Google Analytics, ale dla mnie to rozwiązanie nawet lepsze (osobiście nie za bardzo wierzę w dane prezentowane przez Google. Kilka razy miałem dowody na to, że prezentowane przez nich dane są mało precyzyjne).
Natomiast co do samego IP i danych osobowych. Google o ile wiem nie udostępnia informacji o IP, ale pewnie zbiera takie informacje. Piwik takie dane pokazuje. Dodatkowo widać tam zazwyczaj rodzaj systemu operacyjnego, wersję przeglądarki, zainstalowane wtyczki, rozdzielczość ekranu itd. Dodatkowo Google lubi zostawiać ciasteczka w przeglądarkach i na tej podstawie mogą zidentyfikować kto odwiedza dany serwis. Uwaga Piotra Waglowskiego jest więc bardzo słuszna, w ten sposób Google może prawdopodobnie powiązać odwiedzających portale z innymi usługami (np. kontem e-maila). Portale rządowe powinny więc zdecydowanie unikać takich rozwiązań jak Google Analytics. Zresztą podobna uwaga dotyczy Facebooka i przycisków "Lubię to"). To też prawdopodobnie jest mechanizm szpiegujący.

Systemów analizy odwiedzin

Systemów analizy odwiedzin http://piwik.org, ciężko mi powiedzieć jak wypada w porównaniu do Google Analytics, ale zawsze można obejrzeć (jest na licencji GPLv3).

Istnieją co najmniej dwie

zen's picture

Istnieją co najmniej dwie przyzwoite aplikacje do analizy odwiedzin: Open Analytics i Piwik. Wydaje mi się, że w zupełności wystarczyłyby dla potrzeb administracji publicznej. Gdyby mechanizmy współpracy działały lepiej, można się pokusić o stworzenie na ich bazie usługi dla wszystkich zainteresowanych urzędów.

--
Tomasz 'Zen' Napierala

Miałem na myśli aplikację opartą na analizie logów

Takie rozwiązanie uważam za bardziej eleganckie i wiarygodne od systemów opartych na java scriptowych trackerach.
Ale zgadzam się oczywiście, że trudno ten warunek traktować jako wymóg, tym samym jest to jakaś alternatywa.

Własny GOV-Analytics

Może - skoro promujemy ideę centralizacji (a przynajmniej spójnego zarządzania) serwisów internetowych administracji państwowej -- wtedy warto byłoby pomyśleć o naszym własnym, polskim, nazwijmy to "gov-analytics"?

Nie bardzo widzę tu

Nie bardzo widzę tu problem, bo narzędzia o których tu mowa nie gromadzą informacji na temat konkretnego użytkownika. Nie identyfikują go, nie łączą jego odwiedzin z jakimś profilem Google czy odwiedzinami na innej domenie (poza "referrerem"). Dane są statystyczne. Pojedynczy użytkownik tam niewiele znaczy, bo poza tym, że można sobie sprawdzić, jaki ma system, z jakiego jest kraju, jaki ma monitor itd. nie kojarzy się go z nikim. Nawet adres IP niekoniecznie jest zapisany w całości, wklejony w artykule kod z GIODO usuwa ostatni oktet.

To wszystko wynika nie tylko z polityki prywatności, ale też z uwarunkowań technicznych i tego jak te wykorzystywane w internecie rozwiązania zostały zaprojektowane.

Teraz moje pytanie, czy dalej ktoś ma się martwić, a instytucje publiczne powinny mieć zakaz korzystania z jakiegokolwiek produktu prywatnej firmy, a zamiast tego, do prowadzenia statystyk, które pełnią kluczową rolę w utrzymaniu serwisu powinny ogłaszać przetargi i za każdym razem zamawiać jakiś ubogi produkt za publiczne pieniądze?

Oczywiście zapraszam do dyskusji ;)

Ja problem widzę

Ja widzę problem. W Google Analytics administrator portalu wprawdzie IP raczej nie zobaczy, ale to nie oznacza, że Google tych danych nie zbiera. Dodatkowo usługi Google zostawiają zazwyczaj tzw. ciasteczka w przeglądarce użytkownika. Na podstawie tych ciasteczek można go zidentyfikować i powiązać np. z jego kontem e-mail. W ten sposób pracownicy Google mogą prawdopodobnie określić bardzo precyzyjnie, że użytkownik Adam Kowalski mający konto adam.kowalski@gmail.com w dniu 2 marca 2012 o godzinie 10:00 odwiedzał portal rządowy xxx, interesował go konkretnie artykuł yyy, potem udał się na inny portal rządowy i tam interesowała go ustawa zzz, itd.

W ten sposób można śledzić nie tylko zwykłych obywateli. A co jeśli np. jakiś parlamentarzysta będzie pracował nad konkretną ustawą? W ten sposób można wyśledzić przecież co dane osoba kolejno robiła w Internecie, czyli nawet przewidzieć nad jaką ustawą parlamentarzysta pracuje i jakie zapisy mogą się tam znaleźć.

Czy to nie jest niepokojące?

Dodatkowo usługi Google

Dodatkowo usługi Google zostawiają zazwyczaj tzw. ciasteczka w przeglądarce użytkownika. Na podstawie tych ciasteczek można go zidentyfikować i powiązać np. z jego kontem e-mail.

Pisałem o tym, ale widzę, że niejasno. To co Pan napisał jest nieprawdą. Przeglądarki ograniczają dostęp do ciasteczka tylko dla domeny dla której zostało ono zapisane. Jeśli umie Pan powiązać dane z Analytics z prywatnymi danymi, które są przechowywane w bazach danych Google czy innego usługodawcy, to chętnie wysłucham jak to się robi. Jakikolwiek przykład, może być np. powiązanie ciasteczek z analytics na stronie GIODO z adresem email na gmailu, tak jak Pan stwierdził. Kto by tego miał dokonywać?

Przeglądarki ograniczają

Przeglądarki ograniczają dostęp do ciasteczka tylko dla domeny dla której zostało ono zapisane.

A tą domeną jest np. google-analitics.com .

[cool story]
Pouczające może być ustawienie jako avatar na jakimś forum obrazka ze swojego serwera.

Taki obrazek też może zostawić cookie - w domenie serwera z którego pochodzi...

Jeszcze bardziej pouczające może być używanie obrazków z własnego serwera na różnych stronach - i porównanie informacji z logów i cookie.
[/cool story]

To można zrobić obrazkiem. Plikiem js można zrobić praktycznie wszystko.

To wszystko Google

Faktycznie przeglądarki ograniczają dostęp do ciasteczek tylko do domeny dla której zostały napisane. Ale ciasteczka pochodzą od Google i domeny wszystkich tych usług należą do Google. Tak wiec dla pracowników Google powiązanie danych z Analytics z prywatnymi danymi to tylko niewielki problem techniczny. Na dodatek chyba już sobie z tym problemem poradzili, to sugeruje przecież ich nowa polityka prywatności. Czyli pracownicy Google mają dziś teoretycznie wszystkie możliwości o których wspomniałem.

Nic zdrowego

Dane zbierane przez google mogą być konsolidowane np z innymi statystykami i w ten sposób użytkownik wchodząc sobie np na google zobaczy tekst: "Witaj xxx, byłeś wczoraj tutaj, również oglądałeś ostre filmiki na innej stronie". Nam się wydaje, że internet jest anonimowy, ale nie zawsze, zawsze zostaje jakiś ślad. Myślę, że wykorzystywanie google analytics to dzisiaj standard. Niech administracja wyda na oprogramowanie statystyk miliony to wtedy odezwą się inni którzy będą krzyczeć, a dlaczego wydawać miliony skoro jest google.

Tak samo dlaczego administracja nie powinna wykorzystywać map google, to że w okienku jest powiedzmy reklama to nie znaczy stricte że reklamuję ten produkt, używają produktu w celu informowania społeczeństwa. I tu teraz znowu pytanie, dlaczego nie kupią sobie map, albo obrazka nie zrobią?

Jak dla mnie google zmierza do uzależnień w globalnej sieci, powolnymi krokami stajemy się zakładnikami google, aż pewnego dnia stwierdzimy że nie chcemy żyć w takim świecie. My dajemy coś google, a google daje coś nam, i dziękuje im za gmail.

P.s dlaczego portal vagla.pl przekazuje innym nasze dane??

mapy i inne

VaGla's picture

Administracja publiczna może korzystać z tych map, którymi już państwo dysponuje: geoportal.gov.pl. Administracja publiczna działa na nieco innych zasadach niż obywatele i inne podmioty (np. spółki, stowarzyszenia, fundacje, etc.). W pewnym uproszczeniu: o ile obywatele muszą robić to, co im prawo wyraźnie nakazuje oraz mogą robić to, co przez prawo nie jest zakazane, to administracja publiczna działa w warunkach zasady legalizmu, a więc może robić tylko to, co prawo przewiduje (nie może robić zaś tego, o czym prawo nie wspomina).

--
[VaGla] Vigilant Android Generated for Logical Assassination

Zastanawia mnie inny aspekt.

Zastanawia mnie inny aspekt. Otóż przynajmniej w teorii każda strona powinna posiadać "politykę prywatności", w której określa jakie dane zbiera i na co.

Jeśli wchodzę na stronę urzędu, który nic nie wspomina o tym, że moje dane udostępnia pośrednio google to co wówczas?

Oczywiście o ile w ogóle posiada stronę z polityką prywatności, bo na szybkiego obejrzałem kilkanaście stron urzędowych i na żadnej takiego info nie znalazłem.

Polityka prywatności...

"Otóż przynajmniej w teorii każda strona powinna posiadać "politykę prywatności""

A gdzie jest taki wymóg? Poważnie pytam. Google to AFAIR publikuję politykę prywatności na podstawie California Online Privacy Protection Act... Nie sądzę by prawo stanu Kalifornia obowiązywał polską administrację publiczną.

zobacz warunki korzystania z usługi

przed umieszczeniem kodu google analytics na swojej stronie zgadzasz się na warunki udostępniania usługi (polska wersja: http://www.google.com/intl/pl/analytics/tos.html), a tam w punkcie 7 (POUFNOŚĆ) jest między innymi:

"Na Witrynie Internetowej Użytkownika zostaną umieszczone zasady ochrony prywatności, które zawierać będą informacje o plikach "cookies", zbierających anonimowe dane o ruchu."

--
pozdrawiam
i.o.

Nie widzę problemu

Google zbierają tylko te informacje, które użytkownik im udostępnia. Jeśli nie korzystamy z produktów Google (czyli nie zaakceptowaliśmy warunków usług) to jedyne co Analytics dostanie to informacje o IP oraz te podane przez przeglądarkę.

Jeśli komuś nawet to przeszkadza to wystarczy zablokować URL Analytics w przeglądarce (AdBlock+ dla Firefoksa) lub w routerze.

Moim zdaniem problem nie istnieje a artykuł jest szukaniem sensacji.

Jakbym szukał sensacji

VaGla's picture

Jakbym szukał sensacji, to bym pewnie inaczej zatytułował notatkę i pewnie nie napisał, ze się drapię w łysą głowę.

Tymczasem opublikowałem właśnie kolejny tekst: Przejmujemy państwo: skąd wziąć statystyki oglądalności poszczególnych serwisów administracji publicznej?

--
[VaGla] Vigilant Android Generated for Logical Assassination

Czyli Twoim zdaniem

Czyli Twoim zdaniem rozwiązaniem problemu mechanizmów szpiegujących na stronach rządowych jest zainstalowanie i skonfigurowanie wtyczki do Firefoxa? A jak ktoś FF nie używa? Albo jak ktoś kiedyś założył sobie jednak konto na Google i to konto jest mu potrzebne (bo Google w wielu tematach to monopolista), a teraz nagle okazuje się, że jest szpiegowany tam gdzie nie powinien, to co ma zrobić? Równie dobrze możesz napisać, że problem nie istnieje bo jak ktoś nie chce być szpiegowany to niech nie używa Internetu. Albo to chyba nie wszystko, niech nie wychodzi z domu bo Google jeździ z kamerami i bez pozwolenia filmuje?
Moim zdaniem w tak strategicznych sprawach jak portale rządowe (parlament, rząd itd.) nie powinno być mowy o statystykach Google. Tylko własne rozwiązania na własnych serwerach - to nie powinno podlegać dyskusji. Dodatkowo oczywiście warto się zastanowić, czy tym razem firma Google nie idzie za daleko z tym szpiegowaniem.

Dyskutować

VaGla's picture

Dyskutować można, a nawet trzeba, tylko konkluzywnie.
--
[VaGla] Vigilant Android Generated for Logical Assassination

rozwiązaniem problemu

rozwiązaniem problemu mechanizmów szpiegujących na stronach rządowych

Prosiłbym o wskazanie tych mechanizmów szpiegujących, bo chyba żyjemy w innych światach.

jak ktoś kiedyś założył sobie jednak konto na Google, a teraz nagle okazuje się, że jest szpiegowany tam gdzie nie powinien, to co ma zrobić?

Jeśli nie zgadza się na warunki korzystania z usługi i na politykę prywatności to niech nie korzysta z usługi. Serio, istnieje świat poza Google. Z wyszukiwarki można korzystać anonimowo, z youtube i wielu innych tak samo. Providerów mailowych jest na pęczki. Argument "Równie dobrze możesz napisać [...] niech nie używa Internetu" jest kompletnie bezzasadny.

jeździ z kamerami i bez pozwolenia filmuje?

Czyli ja potrzebuję czyjeś pozwolenie, żeby nacisnąć nagrywanie będąc na ulicy czy jakimkolwiek innym publicznym miejscu i żeby potem ten film wrzucić do internetu? Bardzo ciekawe podejście, ale proponuję się zapoznać lepiej z sytuacją, bo nie tak to wygląda...

Moim zdaniem w tak strategicznych sprawach jak portale rządowe (parlament, rząd itd.) nie powinno być mowy o statystykach Google. Tylko własne rozwiązania na własnych serwerach - to nie powinno podlegać dyskusji.

Serio? Nie powinno podlegać dyskusji? Bo Ty tak postanowiłeś? Nie przedstawiając nawet przekonywujących argumentów? Brak mi słów na taką postawę - "nie powinno podlegać dyskusji" - brak słów.

Skoro tak się domagasz

Skoro tak się domagasz odpowiedzi:

Mechanizmem szpiegującym z całą pewnością są skrypty GA, są faktycznie na podanych powyżej stronach, to łatwo sprawdzić. Google w usłudze GA właścicielowi portalu udostępnia statystyki pozbawione informacji o konkretnych użytkownikach (kiedyś tak było, obecnie nie sprawdzałem). Ale naiwnością jest uważanie, że Google takich informacji nie zbiera. Zresztą jak nawet nie zbierają, to zawsze mogą to zacząć robić, technicznie to prosta sprawa (proponuje zapoznać się z darmową alternatywą).

Na rynku wyszukiwarek jest tylko jeden monopolista. Potem długo nic i dalej kilka innych prawie nie liczących się pozycji. Stron na których są umieszczone skrypty GA jest niestety też bardzo dużo. Trudno przeglądać dziś Internet nie trafiając na usługi Google.

Jeśli chcesz komuś zrobić zdjęcie i potem bez wiedzy tej osoby umieszczać je w Internecie to radzę Ci dobrze się zastanów.

art. 23 Kodeksu Cywilnego
"Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach."

Prawo autorskie
"Art. 81.
1. Rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie.
2. Zezwolenia nie wymaga rozpowszechnianie wizerunku:

1) osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych, zawodowych,
2) osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza."

Dodatkowo umieszczanie skryptów GA na strategicznie ważnych dla kraju stronach www jest nieprofesjonalne. W ten sposób rozszerzony zostaje krąg osób mających dostęp do skryptów umieszczonych na tych portalach o osoby z firm trzecich. Na dodatek serwery Google są poza terenem naszego kraju. Moim zdaniem jest to nieprofesjonalne i zwyczajnie głupie, zwłaszcza, że istnieje zupełnie darmowa i to bardzo solidna alternatywa.

sam sobie odpowiedziałeś czemu może jeździć z kamerą

pozwolę sobie zacytować:

"2. Zezwolenia nie wymaga rozpowszechnianie wizerunku:
[...]
2) osoby stanowiącej jedynie szczegół całości takiej jak zgromadzenie, krajobraz, publiczna impreza."

street view nie robi zdjęć konkretnym osobom, lecz przestrzeni publicznej.

--
pozdrawiam
i.o.

Jedynie?

jedyne co Analytics dostanie to informacje o IP oraz te podane przez przeglądarkę

Jedynie? A to, że GA jest skryptem ściąganym z zewnętrznego serwera, który w każdej chwili (np. dla konkretnego IP, albo konkretnej strony rządowej) może być podmieniony i zamiast "nieszkodliwego" zacząć dokładnie logować działania usera, np. wpisywane loginy i hasła albo treści widoczne tylko po zalogowaniu?

Tak chyba sie nie da

Tego się chyba nie da zrobić. Głowy bym za to nie dał, bo już wiele razy widziałem jak miało się nie dać i jednak się dało. Ale to chyba by nie było takie proste. Ale oczywiście umieszczenie tam skryptów GA jest wielką niezręcznością, bo ostatnie zmiany podejścia Google do polityki prywatności dają im olbrzymie możliwości śledzenia konkretnych osób.

Da się

Wprowadzanie w błąd

To o czym piszesz nie ma nic wspólnego z tematem. Atak "man-in-the-middle", gdzie pośredniczący serwer fałszuje odpowiedzi protokołu DNS. Jeśli ktoś korzysta z serwera proxy, który nie jest godny zaufania, to akurat możliwości jest więcej niż ta jedna.

Nie ma nic wspólnego z tematem, bo to co podałeś, to atak który mógłby chcieć wykonać tylko ktoś niezwiązany z Google, nie znam się na prawie, ale prawdopodobnie jest to karalne.

Temat jest o tym czy rząd zgadza się na przekazywanie Google informacji o użytkownikach. A nie o tym czy użytkownicy niezaufanych proxy narażają się na atak man-in-the-middle.

To tak jakbyś napisał, że rząd zawinił, bo ktoś stworzył phishingową stronę ZUSu czy innego urzędu i wyciąga informacje o obywatelach...

Ok, zabrakło jednego zdania

Ok, zabrakło jednego zdania wyjaśnienia (wydawało mi się to oczywiste ).

Opisywany atak pokazuje podmianę pliku ga.js serwowanego użytkownikowi na spreparowany zawierający keylogger.

Wniosek: google tym bardziej może posłać zamiast zwykłego ga.js plik z keyloggerem.

czysto teoretycznie

przy założeniu że google może podejmować działania przestępcze (bo tym byłaby taka podmiana), można wymyślić bardziej wyszukane ataki (np. przekierowanie z wyników wyszukiwania na "wirtualny internet" z podmienioną treścią).

--
pozdrawiam
i.o.

Inna kwestia - BlackBerry

Jest jeszcze jednen ciekawy problem w kontekście "przekazywania danych gdzieś dalej".

Otóż kilka lat temu w mediach pojawiła się informacja o tym, że w MSZ (tak jak i w MON) wprowadzono dla części pracowników BlackBerry.

Co to oznacza? Ano tylko tyle, że *maile służbowe* przechodzą przez serwer jakiejś prywatnej firmy. Podkreślam - maile - nie jakieś na wpół zanonimizowane statystyki!

Myślę, że warto by poprosić odpowiednie instytucje o stanowisko w tej sprawie.

Skąd jest ta informacja?

To ciekawe, a jakiś link do źródła dostaniemy? Bo ja nigdy o tym nie słyszałem. Tzn o tym, że MSZ zamówił BB. Faktycznie to rozwiązanie jest trochę kontrowersyjne. W tym rozwiązaniu poczta dochodząca do serwerów pocztowych jest zaciągana przez serwery firmy RIM. Dalej to trafia poprzez nasze sieci komórkowe na sam telefon BB u klienta. Tyle udało mi się ustalić przy okazji pewnego projektu (zdaje się, że po drodze u klienta jeszcze może być czasami coś doinstalowane do serwera pocztowego). Wiem, że firma RIM jest z Kanady. A serwery mają ...

inetnum: 178.239.80.0 - 178.239.87.255
netname: RIMBLACKBERRY3
descr: Research In Motion UK Limited
country: GB

... nie wiem dokładnie gdzie, ale raczej nie w naszym kraju. Nie wiem tylko czy po drodze poczta nie jest szyfrowana. Na pewno może być szyfrowana pomiędzy serwerem pocztowym, a serwerami RIM. Ale czy jest szyfrowana pomiędzy serwerem pocztowym, a telefonem użytkownika? Myślę, że faktycznie warto ich o to zapytać.

P.S.
Jeszcze coś mi się przypomniała w temacie BB. Na tym rozwiązaniu może być obsługiwana nie tylko sama poczta, ale też system pracy grupowej typu MS Exchange czy Lotus. W tym wypadku telefon może mieć chyba dostęp do dokumentów umieszczonych na serwerze klienta. Gdyby MSZ miało to tak rozwiązane bez dodatkowych zabezpieczeń typu szyfrowanie ...

Źródło

Tutaj można znaleźć opublikowane przez MSZ sprostowanie informacji prasowej dotyczącej tematu.

Tutaj jest też informacja o BlackBerry w MSZ (wraz z informacją, że w kilku krajach ze względów bezpieczeństwa zaprzestano korzystania z niego).

Tu jest za to informacja o BB w MON.

"Z BlackBerry korzystali

"Z BlackBerry korzystali też Francuzi, ale w 2007 r. uznali, że amerykańskie służby mogą dzięki niemu wykradać ich tajemnice. Michalewski zauważa jednak, że BlackBerry jest jedynym dostępnym na rynku komercyjnym urządzeniem tego typu, które ma certyfikat bezpieczeństwa NATO, dlatego nie ma powodów, żeby rezygnować z jego korzystania przez urzędników państwowych. "

Czyli np. Francuzi baja się szpiegowania CIA. My się nie boimy bo jesteśmy w NATO (Francja o ile pamiętam nie jest).

Tak czy inaczej CIA może nas szpiegować i np. przy podpisywaniu ACTA oni mają praktycznie wszystkie informacje o naszych poczynaniach. Ale taka jest decyzja polityczna i już.

No właśnie Vagla ja to

No właśnie Vagla ja to jest z tą "polityką prywatności"? Strony urzędowe muszą ją u siebie posiadać? Czy jakieś art. tego wymagają? W sumie nie znam strony które nie zbiera danych osobowych (IP to też dana) więc chyba uodo ma tu zastosowanie?

Przepraszam za trochę off

Przepraszam za trochę off topic.
Patrzę na stronę http://sejmometr.pl/posiedzenia/9/glosowania
Chciałem zobaczyć wyniki głosowania i ... nic nie ma. Zastanawiam się jak to jest w dzisiejszych czasach społeczeństwa informacyjnego, że wczorajszych głosowań nie można jeszcze dzisiaj zobaczyć na stronie. Rozumiem, że sejmometr pobiera dane ze strony sejmu (tam wyników tez nie znalazłem), ale to znaczy chyba, że coś w tym informowaniu nie gra tak jak powinno.

GOV.UK

This site uses ‘cookies’ and Google Analytics. Closing this page sets a cookie so you don’t see it again. There’s more information on cookies at AboutCookies.org.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>