Názory k článku Pracovníci zákaznické podpory měli přístup ke všem účtům na Facebooku

...je u nás všeobecně velmi nízké. Už z principu věci je jasné, že vždy musí mít někdo přístup ke všem datům, otázkou je jen zda ten přístup má jeden člověk, deset nebo všichni z podpory. Samozřejmě lze implementovat víceúrovňovou správu, ale vždy tam bude ten master admin. Od toho je pak logování událostí, aby bylo jak kontrolovat, co tam dělá.

A o tom, že ta neznalost se netýká jen cloudu mne přesvědčují vyděšené pohledy top manažérů poté, co jim suše oznámím, že třeba jejich admini (ale nejenom oni) si mohou přečíst veškerou jejich poštu, pokud ji nemají šifrovanou. :)

Musia mať! Tak isto ako operátori na infolinke operátora, operátori na infolinke banky, kde sa človek identifikuje ID kódom a na základe toho sa operátor dostane k účtu, tak isto ako zdravotné poisťovne, lekári majú prístup k zdravotným záznamom, tak isto ako učitelia v škole majú prístup ku školským záznamom. Bez možnosti prístupu nemôže existovať funkcia administrátora, výkonnej zákazníckej podpory.

Ony se i ty logy dají přepsat nebo vymazat :-D.

Systém, do něhož nebude mít ani jeho tvůrce žádnou možnost zasahovat a nějakým způsobem ho zneužívat, je úplně stejná pitomost jako kniha, jejíž obsah nezná ani její autor :-D.

Protože ať se ta data ukládají kamkoliv, pak vždy existuje způsob, jak tam ten přístup získat a nemusí to být nutně skrze webovou aplikaci, ale jde to i přímo.

Jediná možnost, jak by se nikdo nemohl dostat k datům uživatelů by bylo jednoduše šifrování. Uživatelé by museli mít klasické RSA šifrovací klíče a zprávy prostě šifrovat.

Ovšem třeba takové věci jako kdo má koho v přátelích - to by zabezpečit nešlo, jelikož s tím aplikace facebooku potřebuje dál pracovat a musí mít přístup k nešifrovaným databázím.

To je to isté ako keď sa zdravotnícky personál dostane do zdravotných záznamov. Preto existuje lekárske tajomstvo. Dostať sa môže, s kolegami konzultovať môže, ale informácie nesmie predávať nepovolanej osobe.

Tak určitě...

jo neže to by takový admin už musel mít holku :) navíc toto je to nejmenší, ale já jsem slyšel i jiné příběhy a tam už nešlo o nějaké vztahy a podobné nedůležité prkotiny

Z principu samozrejme nemusi, administrator napriklad vubec nepotrebuje videt data. A existuji systemy, kde to tak i funguje.

Tady zjevne nekdo vubec netusi, jak tyhle veci funguji. Ani system sam nemusi mit pristup k vlastnim datum. Pristup je dan klicem, ktery pouziva uzivatel. A system se bez prislusneho klice proste k tem datum nedostane a nedostane se k nim ani vyvojar systemu, stejne jako administrator (ten se prevazne k datum nedostane vubec, protoze to nanic nepotrebuje).

Samo, zdrojaky takovych veci jsou auditovany a rozhodne se neco takoveho nepouziva zcela bezne.

Meles kraviny. Operator v bance se rozhodne neprihlasi k tvymu uctu jako ty. Cokoli udela, tak udela pod svym uctem.

Jsem správcem systému, kde nikdo nemá přístup ke všemu. Každý si musí žádat o časově přiděléné role k administraci různých částí systému (jsou jich stovky). Každý má časově omezené právo jen na něco a každou žádost o novou roli schvalují živí lidé. Myslím, že to vcelku eliminuje nějaké hromadné zneužití dat. Ale taky zvyšuje administrativní zátěž a vše dost zpomaluje. Nicméně v bezpečnosti dat to pomáhá. Ale chápu, že u nefiremního softwaru se to při relativně malém počtu uživatelů neřeší. Uživatelé chtějí systém použít, až pak se možná zeptají jak funguje. Firmy se nejdřív ptají a pak systém možná použijí.

Uživatelé, co se dělo? :)

Že se zaměstnanci seznamu na lide.cz připojovali pdo falešnými účty je patrné i z videa seznam se bezpečně, které se promítalo na školách.
Vyznění je jasné: admini ve vašem zájmu vystupují pod falešnou identitou a hledají pachatele trestných činů a úzce spolupracují s policií ČR a poskytnou jí veškeré vaše údaje (je otázka jestli na její příkaz o který pomalu sami poprosí nebo i bez příkazu policie... :D).

Prostě pochybuji, že na seznamkách typu lide.cz má člověk soukromí.
Já tam občas píšu i soukromé věci ale s vědomím že si je admini můžou číst a že mohou uniknotu ven...

Existují jistě lepší způsoby seznamování, ale co se týká internetové komunikace, tak u těch bezpečnějších a lepších způsobů seznamování bývá mizivý počet lidí - zbalit holku na MUC XMPP konferenci prostě nebude snadné - protože tam těžko někoho ženského pohlaví kdo není IT maniak nebo matfizačka najdete.. :)

Facebook je o řád horší, protože tam často lidé mají vyplněné profili podle skutečnosti a mají tam o sobě ještě více informací a pohybují se tam více, než na těch seznamkách...

Přístup ke všem částím systému musí mít minimálně systém samotný. Vzhledem k tomu, že ten, kdo jej programoval mu musel nějaký přístup udělit, tak jej může použít sám a získat tak přístup ke všemu, k čemu má přístup systém - tedy KE VŠEMU :-).

Práva administrátora nikdy nejsou v žádném systému nejvyšší možná práva. Už jenom proto, že je-li někdo tvůrcem systému, tak pokud cokoliv potřebuje, prostě to do něj doplní :-D.

Zvlášť u webových aplikací jako je Facebook, kde uživatelé vidí jenom výstup, ale v životě se nedostanou ke kódu, takže systém může mít 1001 backadoorů a pokud nebudou stačit, dodělá se dalších 2500 :-D. A i kdyby snad nebyly žádné, pak tvůrce FB má možnost použít přístupy přímo webové aplikace a do databází prostě hrábnout ručně úplně mimo ni.

"mají vyplněné profili"
Pěkné :-)

Jenze on je zasani rozdil v tom, ze ten banker je tim, komu je ta informace urcena - jde o vztach klient vs banka, kde banker je zastupcem banky. Kdezto na FB to co tam kdo dava/pise/... je (nekdy) urceno jen nejakymu omezenymu okruhu osob.

Sam sem adminem internetovyho fora a samo jako admin muzu ... klido cist data z DB. Ale ruka by mi upadla, kdybych si sel cist neci PM. To me proste naprosto nezajima - jde o neverejnou komunikaci => at si tam pise kdo chce co chce. Pokud mi ale nekdo postne do verejny casti treabas porno, tak mu to proste smaznu.

Na tom forku je totiz zcela zrejmy, co je verejny a co soukromy. Na FB si spousta ovci mysli, ze komunikuji soukrome ... ale neni to pravda.

ano, také jsem slyšel, a nejen na seznamkách, ale prý do emailů také lezou

Nevěřím.

Jako bychom si nepamatovali staré causy z českých "seznamek", kde si opupínkovaní admini manipulací s uživatelskými účty a "skrytými" fotkami řešili svoje sexuální frustrace.

Jen se zeptejte uživatelů, co se na takových serverech dělo a možná ještě děje!

"Vztahy mezi Losse a jejím bývalým zaměstnavatelem se vyostřili" - kdyžtak ti vztahové se vyostřili

V letech 2007 - 2009 jsem delal na jedne (cca top 3-4 v CR) seznamce administratora a schvaloval jsem fotky, ktere uzivatele nahravali. I tam bylo bezne se jako admin dostat do profilu, zprav a zamcenych alb.

A například bankéři snad nemají přístup k částkám a všem transakcím svých klientů? Pracovníci, kteří spravují hypotéky snad nevidí váš plat a to, jak splácíte? To mi třeba přijde jako poněkud pikantnější.
Žijeme prostě v "big brother" době. Já jsem s tím osobně smířen.