Fórummal kapcsolatos észrevételek

[Szalon]

HA kivesszük a kockázatban állókat, akkor valóban lényegesen alacsonyabb a kockázat. DE mivel ezt nem lehet megtenni, ezért nem lehet a "többség" elvével élni. Éppen ezért ne is ebből az irányból próbáljuk megközelíteni a kérdést.

Már ne is haragudj, de pont erre irányulna a kérdésem, mivel ebből az irányból nézve, nem igazán kapok érdemi választ, csak terelést...

Ugyanis jelenleg 35.717 regisztrált fórumtag van, amit én 2 részre osztanék:
Az első csoport, akiknek valós -a lentebb általad is leírt példák szerint lehetséges problémájuk származhat, ezért kiemelt felelősségük, hogy hogyan kezelik a be és kilépéseiket a fórumra! Az első csoport áll egyrészt a 11 fős tulajdonosi kör/adminok/moderátorokból, valamint 43 kereskedő/gyártóból. A 43 kereskedő/gyártóból 2 törölve/tiltva, 18 valós és aktív cég van jelen, akik beléptek az elmúlt 1 éveben, van 9 olyan valós cég, akik az elmúlt min. 1 évben nem léptek be se, valamint 14 garázs DIY-er (no offens), mindenféle cég/számla/adózás nélkül működő személy. Gondolom, utóbbiaknak nem az lenne a legnagyobb csapás, ha valaki leakciózná a terméküket a nevükben, mert hivatalosan nem hiszem, hogy lenne, mármint termékük, amit számlával árusítanak... így őket átsorolnám a másik csoporthoz, azaz a normál felhasználókhoz.

Szóval az adott 35.717 felhasználóból gyakorlatilag 11+18 (itt van 1 átfedés is, ezért) összesen 28 főt érintHET amire egyébként nem volt még precedens, de elfogadom, hogy valós veszélyforrásként tekinthetünk rá, hogy nevükben írogatnak és problémájuk származhat belőle.

Viszont engem az érdekelne, hogy a maradék 35.689, vagyis a felhasználók 99.993%-át hogyan érintené negatívan, milyen GYAKORLATI veszély állhat számukra fenn a fórumon, amennyiben 24 óráról 72 órára növelnénk a kiléptetési időt??? Nekem ez volt már az első hozzászólásomban is a kérdésem...

De például ha átírja valakinek a hirdetési árát, akkor az fel sem fog senkinek tűnni, még a hirdetőnek sem, hiszen erről nem kap értesítést.

Ne haragudj, de ezt nem tudom érvként elfogadni, mivel 10 perces szerkesztési időkorlát vonatkozik egy mezei felhasználóra a hozzászólásának módosítására, így továbbra sem válasz a kérdésemre, hogy 24 órás kiléptetés 72 órára növelése az ilyen jellegű problémát bármiben is befolyásolná-e?!

Ha valaki beírja, hogy "kiárusítás van" mondjuk az egyik kereskedőnél, akkor arról sem fog senki tudni.

Értem, elfogadom, de ez a kérdés 28 személyt érint, de számoljunk a passzív kereskedőkkel és garázs DIY-erekkel is, így is 53 főt érintHET összesen. Az ő szemszögükből nézve, ajánlatos a manuális azonnali kilépést választani, amennyiben valós fenyegetésként tekintenek az ebből keletkezhető problémákra. Viszont számukra már a 24 órás kiléptetés is magas kockázatúnak tekinthető ennyi erővel, ha a legrosszabb forgatókönyvet vesszük figyelembe, akkor az egyedüli alacsony kockázatot a mindenki 0 perces kiléptetés jelentené... Szóval továbbra sem látom át, miben és mennyivel jelentene a jelenleg alkalmazott 24 órás kiléptetés 72 órára növelése magasabb kockázatot számukra? Mi olyan történhet esetükben is akár, ami az első 24 órában nem?

Mondjuk egy Felhasználó beregisztrál egy nyilvános PC-ről, és nem jelentkezik ki - valaki pedig belép és módosítja a hozzászólását. Bizonyítsa be valaki, hogy nem ő tette. Lehetetlen lesz.

Jogos, ezért van 10 perces szerkesztési idő, utána tudtommal okafogyott a felvázolt eset, ezért továbbra sem érzem relevánsnak abban a kérdéskörben, hogy ez, a 24 órás kiléptetés 72 órára növelésével érdemben változna bármennyit is kockázati szinten, vagy bármi egyéb szinten...

Ez arról szól, hogy amikor egy ilyen méretű Fórum Személyes adatokat kezel, akkor köteles felmérni a kockázatokat, és a magas kockázatokat köteles(!) alacsonyra csökkenteni. ENNEK a vizsgálatnak a részét képezi az, hogy meddig van nyitva felügyelet nélkül a Fórum, és ezért nem lehet erről "szavazással" dönteni.

Konkrétan, mi tenné a jelenleg 24 órás alacsony kockázatúnak nevezett kiléptetési időt magas kockázatúvá, ha 72 órára emeljük. Kérném, hogy a 24 óra alatt keletkezhető problémákat ne ide soroljuk, csak arra lennék kíváncsi, ami ami a 24. óra után extraként bekövetkezhet!

Én egyébként - őszintén szólva - a te problémádat értettem, de látod, azt megoldottuk. Innentől viszont nem egészen értem azt, hogy mi a gond azzal, hogy valaki rányom a felhasználónévre, beírja a böngésző a jelszót és már be is lépett... Ha letiltatnám a jelszó és a felhasználónév mezőt, akkor érteném a nehézséget, node így? Ráadásul a bankok éppen mostanában álltak át a mezei bejelentkezésről a két faktoros azonosításra - és nem véletlenül.

A problémám megoldódott, ezt ismételten köszönöm!
A folytatás részemről csupán abból - a számomra logikai bukfencből - fakad, hogy az általam feltett kérdésre, nem igazán kaptam még választ és próbálom máshogy is megfogalmazni. Nem dől össze a világ, ha minden marad így, csupán érdekel a miértje, hogy 24. óra utáni és 72. óra közötti 48 órában mi olyan extra történhet, ami alacsonyból magas kockázatúvá tenné a felhasználók veszélyeztetettségét?
Értem és elfogadom a felhozott érveidet, de ezek egytől egyik megállják a helyüket a jelenlegi, 24 órás kidobásnál is! Én az utána következő esetleges 48 órára lennék kíváncsi és szeretném megérteni.

[venomer]

Nem (csak) laikusoknak válaszolsz! Forr az agyvizem az ilyen reakciókra. Ezt - így, ebben a formában - biztos, hogy nem nyomod le a torkokon. Istenem, de bosszantó. A te érdeked szemben áll a fórumozókéval és egyébként a józan ésszel is jelen esetben. Legyen népszavazás az ügyről, erősen.

[wittao]

Erősen leredukálódott az emlékezz rám checkbox létjogosultsága.

Éppen ellenkezőleg, ezért jegyzi meg a rendszer a belépési adatokat, hogy ne kelljen újra begépeni.

Ez szuper, de ettől függetlenül mindig ezzel kell nyitnunk a fórumot, meg a nagy zöld közleménnyel.
Ezt nem lehetne mondjuk hetente, vagy két heti rendszerességre állítnani?

A másik, ha már a nagy zöld "leixelős ablak" szóba került: van rajta egy valami Youtube csatornára irányító link. Ezt nem tudom megnyitni, ha nem vagyok bejelentkezve, de amint bejelentkezem eltűnik, és hát most nincs időm kitúrni a fórum melyik bugyrában van az a link elrakva. Hol lehet azt megnézni? Mi az?

Köszi,
Viktor

[venomer]

Erősen leredukálódott az emlékezz rám checkbox létjogosultsága.

[avl2]

értem, hogy zavaro, hogy ujra be kell jelentkezni. en is jobban szeretnem, ha nem kellene.

de: mekkora kellemetlenseg ez ? neha nehany masodperc. akinek ez is sok, az ne jelentkezzen be. akinek ez a nehanyszor nehany masodperc soknak tünik, az probalja meg perspektivabol nezni, hasonlitsa valos nehezsegekhez

gondolom senki sem a sajat jokedveböl csinal(tat)ja ezeket a valtozasokat.

[AVX]

Látom jó kis balhék vannak időnként.
Csak hogy tiszta vizet öntsünk a pohárba.
Én kértem AT-t, hogy tegye rendbe a fórumot, hogy megfelelhessünk az idióta GDPR előírásoknak.
Tudom, hogy baromság az egész, de ettől még az AVX Kft-t jól megbüntetnék.
Nagyon nem szeretném, ha a kávés cégünk szívna emiatt. Több rendörségi ügy is volt 2019-ben.
A zsaruk nem túl jópofa kérdésekkel bombáztak csak amiatt, mert valakik átvertek valakiket itt a fórumon.
Ha azt érzem, hogy a cégünknek akár 1 Ft kára is keletkezik a fórum miatt, akkor fogom és lekapcsolom.
Már a cégünknek semmi szüksége sincs rá.
Én már jóideje csak a kávés részre szoktam írogatni, de enélkül is bőven meglennék.
Örülnék, ha egy jóideig megmaradhatna ez a fórum, de ha csak az állandó személyeskedések mennek, akkor semmi értelme.
Visszaolvastam a beírásokat, meg a törölteket is. Engem ugyanígy támadtam minden ok nélkül régen, mert megvettem a fórumot. Évekig kellett hallgatnom, hogy ez nem is az enyém, hanem az övék. 8 M Ft-ért vettem 2008-ban. Ott lett volna a lehetőség annó, hogy közösen összedobják az árát, de az úgy nem volt jó. Ingyen kell minden.

[Szalon]

Előszeretettel használom a "Hozzászólások az utolsó belépés óta" funkcióját a fórumnak, amit nagyon szeretek.

Ne azt a menüpontot használjad, hanem az "olvasatlan hozzászólások megtekintését" [Hamburger menü] Ez a funkció ugyanis nem függ attól, hogy mikor, VAGY HOGY HONNAN(!) léptél be, hanem, hogy még mit nem olvastál.

Nagyon köszönöm! Ezt a funkciót kerestem!

A többivel kapcsolatban viszont nem feltétlen értünk egyet!

Köszönöm a válaszod, érteni vélem a szándékot a 24 órás korlátozással kapcsolatban, viszont nem igazán kaptam arra választ, hogy jelen fórumnál, mennyivel nőne a veszélye annak, hogy valaki - mivel, ha jól értem, ez ellen véd elsősorban - helyett, azért, mert nem lépteti ki a fórum, más írogat a nick nevébe?

Mondok egy egyszerű példát. Vannak itt cégek, akik teljesen legálisan hirdethetnek.

Képzeljed el egy pillanatra, hogy valaki elkezd a nevükben ajánlatokat tenni. Ebben az esetben ki fogja tudni eldönteni, hogy az a hozzászólás valós, vagy csak átverés? Ebből simán lehetne egy GVH, vagy NAIH ügyet kreálni. És ez most egy olyan példa, amire az emberek MÉG nem gondolnak. Pedig kellene. Mert a pre-GDPR előtti időben azok a vállalkozások, akik ide írtak nem álltak kockázatban, kvázi egyszerű Felhasználók voltak. Most már nem azok. Viszont az a baj, hogy a Fórum motorja nem tud különbséget tenni, nem tud különböző időtartamú cookie-kat kezelni.

(az elmúlt bő 8 éves tagságom alatt még nem találkoztam olyannal, hogy valaki nevében más írogatott volna itt a fórumon! Ha esetleg volt ilyen, akkor meg tudnátok mondani, hogy mennyi ilyen eset volt, valamint, hogy milyen következményekkel járt?)

Most hogy más példát ne hozzak, ezek közé az esetek közé tartoznak azok is, amikor a Moderátorok módosítanak, vagy törölnek hozzászólásokat. És most képzeljed el, hogy egy Moderátor gépét feltörik, elfelejt kilépni egy publikus gépen, és valaki végigtrollkodja a Fórumot. Ez beláthatatlan következményekkel járna, és ennek talán a legenyhébb következménye lenne az, hogy a Fórum úgy ahogy van, eltűnik a netről.

Nem szeretnék további "ötleteket" adni, feltételezem, hogy a fentiekből már érezheted, hogy sokkal többről van szó, amint amit a jó szándékú emberek el tudnak képzelni. A GDPR pedig többek között éppen arról szól, hogy azoknak a kötelessége ezen elgondolkodni és a kockázatokat minimalizálni akik a Személyes adatokat kezelik. És itt van a lényegi változás, ez 2018 május 25 előtt nem pont így nézett ki. Ezért nem releváns az, hogy mennyi ilyen eset volt korábban, mert csak az számít, hogy ilyen eset ne fordulhasson elő, vagy annak a kockázata minimális legyen.

Értem a fenti példád, elméleti síkon el is tudom fogadni. A fenti két csoportban említett személyek úgy gondolom töredékét teszik ki a normál felhasználóknak. Akik céges kereskedői/moderátori tevékenységet (is) folytatnak itt, azok gondolom már most is tisztában vannak a felelőségükkel, illetve véleményem szerint elég gyorsan és hatékonyan fel lehet(ne) hívni figyelmüket a kérdéskörre, hogy saját érdekük miatt, lépjenek ki a fórumból, tevékenységük után! Amennyiben nem teszik meg, úgy ilyen és olyan következményekkel számolhatnak, amennyiben bekövetkezne az, ami az elmúlt években konvergált a 0-hoz...

Viszont én még mindig nem érzem, hogy egy átlag felhasználónak valós problémát jelenthetne az, ha mondjuk 72 óránként kell belépnie. Úgy gondolom, aki vissza akar élni egy felhasználó fiókjával, az a 24 órás kidobás mellet is pont ugyanúgy meg fogja tudni tenni, mintha 72 órás lenne ez az időtartam. Én elfogadom, hogy szerinted a 24 óra a max, de úgy látom, sokak elé feleslegesnek tűnő akadályokat görgettek ezzel. Én a normál felhasználókra értve kérdezném, hogy milyen konkrét veszély állna fenn egy 72 órás kidobás mellet, ami a jelenlegiben nem áll fenn?

Továbbá van a fórumon moderátori tevékenység, ami úgy gondolom elég gyorsan közbelépett eddig is szükség esetén. Nyilván, ha észlelnék, hogy egy felhasználó a fórum szabályzatának ellentétesen cselekszik - teleszórja a fórumot kamu hirdetésekkel, korhatáros tartalommal...stb, azt megfelelő módon tiltanák...pihire küldenék...

Szóval számomra kicsit túlszabályozottnak érződik a mostani rendszer, értem én, hogy attól, mert eddig nem volt egy visszaélés sem, még nem jelenti azt, hogy ne következhetne be, de akár egy próba időre nem lehetne kipróbálni, hogy mi lenne mondjuk egy kicsit nagyobb időkorláttal? (mondjuk 1 hét próbaidőszakra 72 órára felemelni?)
A kereskedőknek/modiknak és akik nem érzik magukat biztonságban, azoknak továbbra is megadatik a lehetőségük a korlátlan kilépésre!

[Szalon]

A helyes kérdés az, hogy azt vizsgáljuk meg, hogy egyáltalán bejelentkezve maradhasson-e egy Felhasználó, miután lejár a munkamenete, avagy kinyomja a böngészőt.

Bármilyen furcsa is elsőre, de valójában ez az a véglet, ami az alapértelmezett biztonsági beállítás lenne, mert minden ettől eltérő beállítás növeli a kockázatokat. Abban tehát tulajdonképpen teljesen igazad van, hogy nem a 24 vs. 72 óra az, ami önmagában is számottevő kockázat növekedéssel járna, hanem az, hogy nem léptetünk ki senkit automatikusan. Éppen ezért azt kell megvizsgálni, hogy mi az az időtartam, ami még éppen megindokolható abból a szempontból, hogy ne betarthatatlan, valóban felesleges bosszantásnak érezzék azt a Felhasználók.

Ennek a vizsgálata során én abból indultam ki, hogy kétféle Felhasználó létezik:

- az egyedi belépők, akik csak benéznek, mennek, néha visszatérnek,
- a Fórum lakói, akik itt töltik az idejük meghatározó részét.

Nézzük meg ezt a két csoportot ebből a szempontból:

- az első csoport számára nincs jelentősége az időtartamnak, hiszen akármennyit állítunk be, a többséget akkor is ki fogja léptetni mire visszanéz valamiért.
- a második esetben viszont olyanokról beszélünk, akik sokszor írnak, sokat írnak tehát értéket hoznak létre. Ezzel sokszor saját maguk sincsenek tisztában, nem fogják fel azt. Éppen ezért egyáltalán nem mindegy, hogy ezek az adatok hogyan vannak védve például attól, hogy illetéktelenek írjanak Hozzászólásokat valakinek a nevében.

Éppen ezért nyilvánvaló, hogy nekünk a második esetre kellett koncentrálni, mégpedig abban az értelemben, hogy arra is oda kell figyelnünk, amire a Fórum lakók, az állampolgárok, az érintettek még nem gondolnak. Ezért nem lehetett tovább "korlátlanra" állítani a bejelentkezést.

Azt tehát már tudjuk a fentiek alapján, hogy a 0-[korlát] közé kell esnie az időtartamnak. Mielőtt ezt meghatároznánk, nagyon fontos, hogy akármit választunk, azt meg kell tudni indokolni, nem lehet bemondásra választani. Nézzük akkor ebből az irányból!

Mi lehet az az időtartam, ami alatt biztosan megszakítaná a munkamenetét a felhasználó és ami biztosan hosszabb, mint ameddig egy huzamban bejelentkezve marad - és amit a Fórum motorja is tud értelmezni? És máris látható: Valójában órákról lehet csak beszélni, hiszen biztos az, hogy valaki aludni is fog 24 órán belül. Ennek megfelelően az az időtartam, ami biztosan olyan, hogy azt folyamatosan senki sem tölti ki*, és biztosan nem dobálja ki egy napon belül többször is a rendszer - ami valóban szerfelett bosszantó lenne - akkor látható, hogy valójában csak egyetlen értelmezhető és indokolható válasz marad fenn:

A 24 óra, azaz az egy nap.

A kevesebb bosszantás, a több nem indokolható kockázat növekedés. Amikor valaki bekapcsolja a gépet/telefont/böngészőt, akkor igazán nem tart sokáig a mentett jelszó bemásolása, ez naponta egyszer nem lehet indok arra, hogy kifejezett Felhasználó bosszantásnak legyen minősíthető.

És akkor így a végére csak egy gondolatébresztőként szeretném megjegyezni - és ezt valóban vedd tiszteletnek mert elgondolkodtattál, köszönöm -, hogy ha a logikádat követve megemelnénk mondjuk 72 órára az időtartamot, akkor vajon elégedettség lenne? Talán belátod te is: Nem. Akkor az lenne, hogy "jó, OK, hogy most 72 óra, de miért nem egy hét?" És ha megemelnénk mi lenne? "OK, hogy most egy hét, de miért nem egy hónap"? Az emberek már csak ilyenek, és ez így van jól. [No offense] Viszont éppen ezért érdemes megfigyelni azt, hogy a teljesen jó szándékú érvelés miért nem alkalmazható ezekben az esetekben. Azért, mert a jó szándékú emberekkel szemben a rosszhiszeműek visszaélnének azzal. És ha egyszer engednénk és 72 óra lenne, akkor nem lenne megindokolható, hogy miért nem több. Ezért muszáj ragaszkodni egy olyan időtartamhoz, ami védhető, alátámasztható, és mellesleg megfelel a jogszabályoknak is.

Köszönöm a válaszod, érteni vélem a szándékot a 24 órás korlátozással kapcsolatban, viszont nem igazán kaptam arra választ, hogy jelen fórumnál, mennyivel nőne a veszélye annak, hogy valaki - mivel, ha jól értem, ez ellen véd elsősorban - helyett, azért, mert nem lépteti ki a fórum, más írogat a nick nevébe? Értem, hogy meg kell határozni egy időtartamot, értem azt is, hogy sosem lehet mindenki kedvébe járni, de számomra a következő miatt bosszantó: (aztán, könnyen lehet, hogy nem is ez miatt áll fenn... )

3 eszközön szoktam a fórumot látogatni:

• Mobil (iPhone - safari böngésző - face id-s védelem)

• MacBook - (safari - minden bekapcsolásnál - alvásból felébresztésnél jelszóval védve)

• irodai asztali PC (Win - Chrome böngésző - 2 perces alvó idő után jelszó kérés, természetesen minden bekapcsolásnál is

Előszeretettel használom a "Hozzászólások az utolsó belépés óta" funkcióját a fórumnak, amit nagyon szeretek. Viszont, nekem napjában többször is be kell jelentkeznem minden eszközön a fórumba, így van olyan, hogy a szeretett funkció hibásan működik - vagyis nem működik hibásan, csak a funkcióját számomra nem látja el megfelelően, mivel valamiért kevesebb hozzászólást listáz, mint amit valójában nem olvastam el. Nem tudom, mennyire érthető, de a lényeg, hogy példának okáért az irodai eszközön belépek 14:55-kor a fórumba, keletezett 138 hozzászólás az utolsó bejelentkezésem óta, elkezdem a végéről időrendbe megnyitni a számomra érdekes témákat, de mondjuk az egyik témában rengeteg új hozzászólás született, ezért fél óra elteltével 15:25-kor, csupán a 138 új hozzászólásból a 114-ig olvastam el. Mivel 15:30-kor el kell mennem az irodából, ezért legközelebb 16:30kor a mobilomról lépek be a fórumba, ahol megnyomva a szeretett "Hozzászólások az utolsó belépés óta" gombot, 15 új hozzászólást mutat... persze ilyenkor tudom, hogy ez nem a valós mennyiség, ezért végigböngészem a számomra érdekes topikokat egyesével is, viszont, van, amikor nem annyira nagy mennyiségű az eltérés és simán kiesik 5-10-15 hozzászólás, mivel van olyan, amikor meg tökéletesen működik az eszközök közötti váltás! Persze nem a világ vége, viszont így sajnos maradtam már le olyan termék hirdetéséről, amit szerettem volna vásárolni viszont 1-2 évente szokott csak felbukkanni, így a nyitó hozzászólás elmulasztása után, sajnos a jegelve volt számomra az első észlelt (gyakorlatilag pedig a 2.) hozzászólás....

Ez simán lehet, hogy nem a cookies és 24 órás kiléptetésből fakad, ez esetben lehet, hogy máshová kellene mozgatni hozzászólásom, viszont a fentebbi probléma számomra egy valós használati probléma, amire nem jöttem még rá, hogy hogyan tudnám kiküszöbölni. Erre létezik valami megoldás? Ezen egyáltalán tudna segíteni egy ritkább kiléptetés?

(az elmúlt bő 8 éves tagságom alatt még nem találkoztam olyannal, hogy valaki nevében más írogatott volna itt a fórumon! Ha esetleg volt ilyen, akkor meg tudnátok mondani, hogy mennyi ilyen eset volt, valamint, hogy milyen következményekkel járt?)

[Szalon]

Elfogadom, hogy jelenleg így működik a fórum jelenleg, viszont érdeklődnék, hogy mi változna akkor, ha mondjuk 24 órás bejelentkezést megnövelnénk 48, vagy esetleg 72 órára? Nem vagyok informatikus, ezért valaki elmagyarázná konyha nyelven, hogy konkrétan mennyivel lenne egy 72 órás újra beléptetés veszélyesebb? Hogyan érintené ez a felhasználókat? Milyen kár érheti őket? Gyakorlatiasan, nem elméleti síkon és jelen fórumra vonatkozóan szeretnék választ kapni, amit előre is köszönök az illetékeseknek!

[white-tiger]

Kösz, a gépen ha nem vagyok vak könnyebben megtaláltam volna

[white-tiger]

Ok, és azt hol? ...

[white-tiger]

Elérhetőség lehet hogy nem, de akkor még nem volt kötelező, úgy emlékszem. Mindegy, csak mást
nem töröltetek ki, ezért nem értettem.
A saját hirdetéseim meg tudom valahol nézni “egyben”?
Üdv,
WT

[white-tiger]

Volt feladva Supra Swift és Wireworld Starlight 7 kábel és más hirdetésem is.
Nem találom, meg tudnád mondani töröltétek-e?
Üdv,
WT

[csandaz]

Én is hozzáteszem a két forintom.

A kényelem és a biztonség mindig is ütközött és mindig ütközni fog.
Szerintem a napi bejelentkezéssel semmi gond nincs, elvileg amikor a számítógéped bekapcsolod is bejelentkezel (ajánlom, hogy legyen jelszó a gépen) Ezzel kezded el a munkamenetet amikor feljössz az oldalra.

Gondolom, senki se szeretné ha banki oldalán lenne egy új funkció, hogy "tarts bejelentkezve". A probléma, amin sokan vagy lustaságból, vagy tudatlanságból elsiklanak, hogy pl.: az AVX és a banki oldal vagy bármelyik oldal ugyanolyan fontos, mivel arc/név nélkül léphetsz fel az oldalra, fontos tudni, hogy ki vagy. Az interneten minden bejelentkezésnek ugyanolyan fontosnak kell lennie, mert bárki, bárhonnan megteheti a nevedben.

Mindenkinek a saját kötelessége, hogy vigyázzon az adataira. Sokan félreértik a GDPR-t, nem egy kényelmetlen kötelesség, hanem egy eszköztár, hogy jobban vigyázhass az adataidra és igenis ránevel a biztonságra az interneten. Ezt igenis nevelni és tanulni kell, ugyanúgy mint a való életben.

Előre elnézést kérek akit megsértenék és akinek nem inge annak szoknyája, de az oldal zöme nem kapta meg azt a neveltetést amit én is csak érintőlegesen kaptam meg (1988-ban születtem, de fiatalnak számítok az oldalon) és a szakmámból vettem fel a tudást.
Ez most meglátszik, hogy az embereket nem érdekli, nem akarja megérteni és nem tartja fontosnak az adatai védelmét.

Igenis kötelezni kell és kötelezni fogjuk, hogy legalább minimálisan vigyázz az adataidra. Lehet, hogy elmented a felhasználó neved és jelszavad az othoni gépeden, de onnantól teljesen a te felelősséged a gépedet és vagyonodat védeni. Ugyanúgy mint az ősöreg "jelszó emlékeztető", ott is a felelősség rajtad van, hogy az email címed biztonságban legyen.

Pontosan ugyanúgy kell vigyázni minden adatodra, jelszavaidra az interneten, mint a lakáskulcsodra. (ott is "minden alkalommal be kell jelentkezned")

[csandaz]

Sokmindent látok a képen! De mit "kellene" látni?

[robi20064]

En konkretan senkire, de hogy a kolto kire gondolt az mar a screenshot homalyaba vesz

[wittao]

A szoros nagyi azert elegge buntet

Hairy Potterre gondolsz?

[robi20064]

A szoros nagyi azert elegge buntet

[kábelman]

szégyen, hogy ilyen megtörténhet ezzel a szigorral és a magyarázat nélküli pálfordulással, stb ...

kérdés, hogy egyáltalán megjelenik a csatolt kép és ha igen, észreveszi valaki, hogy mi nem stimmel?

[robi20064]

Kerlek helyezd at ezt is. Mar majdnem azt hittem hogy az Off-ban landolt

[robi20064]

Kedves AT,

Nem vagyok a kollegad, szerencsere :) Nem vagyok ideges sem, mondjuk ez meg nem szerencse kerdese. Semmit sem akarok erobol megoldani, a masik oldalt / alternativ velemenyt szerettem volna felvazolni a szamodra, illetve pontositani bizonyos teves elkepzeleseidet alapveto internetes technologiakat illetoen, de mint azt mar tobb esetben lathattam toled a forumon, tegad leginkabb a sajat allaspontod erdekel es pont. Mondjuk nem fog nehezemre esni egyutt elni ezzel a tudattal :)

Egyuttal sok szerencset es tovabbi jo munkat kivanok a szemelyes adatok vedelmeben vivott hadjaratodhoz.

[robi20064]

A bongeszod altal eltarolt cookie-t a same-origin miatt mas weboldal nem fogja ellopni

Kivéve, ha például sérülékeny a böngésző, ha script fut rajta, satöbbi.

Tehat John Doe belep az AVX-re mint XY es utana pontosan annyi joga van mint XY-nak, max posztolhat a neveben hacsak XY nem admin.

Tehát:

#: Megerősíted, hogy posztolhat a nevében. Köszönöm, ezt állítottam.
#2: Megerősítetted, hogy ha vannak jogosultságai, akkor azokat is megszerzi az, aki belép a rendszerbe. Köszönöm, ezt állítottam.
#3: Ha belépett, tudja a felhasználó nevet (ez azt hiszem, egyértelmű), tudja az e-mail-címet, és az összes adatot, ami a profil oldalon megadásra került.

Köszönöm, erről beszéltem, nekem ezeket a kockázatokat kellett kezelnem. Ezért lett bevezetve a lejárati idő.

A hash-elt adatok nem szemelyes adatok

Ez nem vitat tárgya, azok. Álnevesített Személyes adatok, sőt mi több, személy azonosításra alkalmas adatok ebben az esetben. Ebből a szempontból az, hogy ez a folyamat irreverzibilis, az senkit sem érdekel, mert ez egy definíció és nem vita tárgya.

Forditsuk meg a kerdest egy picit, tegyuk fel hogy az AVX felhasznalok ujra tobb hetes vagy honapos lejaratot kapnak a bejelentkezesi cookie-hoz, szerinted konkretan mi ebben a riziko?

A magasabb kockázat. Az, amit kötelező alacsony szintre csökkenteni.

Ha serulekeny a bongeszo akkor sokkal tobb adatot tudhatnak meg maganak a gep segitsegevel mint az AVX cookie altal, de felesleges ebbe belemenni. Szamodra nics jelentosege hogy mennyi HA szukseges egy esemeny lehetseges bekovetkezesehez mindaddig amig az bekovetkezhet.

Az angol definicio szerint:

"Device IDs, IP addresses and Cookies are considered as personal data under GDPR. According to the definition of the PII, they are not PII because there are anonymous and cannot be used on their own to identify, trace, or identify a person."

Ahogy latom te azt az elvet koveted hogy minden rizikot amit minimalizalni lehet azt automatikusan kotelezo is, attol fuggetlenul hogy ennek mennyi a valoszinusege vagy hogy ez adott esetben milyen mellekhatasokkal jar(hat) az oldal felhasznaloinak. Ergo alacsony riziko minden esetben a felhasznalo barminemu kenyelme helyett/elott lesz. Ez is egy lehetseges megkozelites, csak nem biztos hogy a "torzskozonseg" szamara is tetszo lesz - vegul is ez itt nem a NASA. Erre majd lehet azt mondani hogy ezek a szabalyok, akinek nem tetszik a NWO az keressen masik homokozot.

Bizom benne hogy mindenfele statisztikat is gyujtotok szorgalmasan az uj elvek bevezetesevel parhuzamosan, csak hogy egyszeruen es konnyen kimutathato legyen ha fel ev mulva esetleg par tucat aktiv felhasznalonal (es dupla annyi neppernel) tobb nem marad itt.

Reszemrol ennyi, minden tovabbi csak felesleges hitvita lenne.

[robi20064]

Az a gond hogy sok csusztatas es teves informacio van abban amit a cookie-krol es kezelesukrol leirtal. Egyreszt egy random internetes oldal nem tudja csak ugy beolvasni egy masikhoz tartozo cookie-kat a same-origin policy miatt.

Tehát egészen röviden összefoglalva: Azt írod, "igen, valóban el lehet lopni ezeket az adatokat".

Én pedig ezt állítottam, nem pedig azt, hogy erre bárki, avagy egy random internetes oldal is képes lenne.

Masreszt meg ha tudna is akkor sincsen konkret felhasznalo nev es jelszo eltarolva azokban, hanem csak nagyon leegyszerusitve egy hashelt azonosito amibol nem allithato vissza a login/jelszo paros (konkret AVX-es esetben csak a userid van plaintext tarolva a kliens oldalon).

A Felhasználók legborzasztóbb átverései közül az egyiknek találom azt, amikor azt állítják, hogy egy hashelt azonosító nem Személyes adat, avagy, hogy annak a megszerzése ne lenne kockázatos. Jelen esetben ugyanis éppenhogy nem arról lenne szó, hogy valaki úgy próbálna a rendszerbe betörni, hogy a hashelt azonosítóval próbálná a belépést megkísérelni, hanem arról, hogy egyszerűen belép a rendszerbe a hashelt azonsoítóval, mivel az éppen a név/jelszó páros kiváltását teszi lehetővé. Ennek megfelelően az ilyen formában tárolt azonosító 1:1 feleltethető meg a név/jelszó párosnak MINDADDIG, amíg nincs hozzá rendelve egy lejárati idő.

Lejarati idot persze celszeru beallitani, de esetleg nezd meg hogy mas kulfoldi (audio) forumok hogyan kezelik ezt, hetekig vagy akar honapokig is ervenyes neha egy login cookie.

Minthogy a "más külföldi" fórumok jellemző többsége az USA-ban rezidensek, ezért azok a számunkra nem relevánsak. Abból pedig, hogy mások nem értenek hozzá, nem következik az, hogy igazuk is lenne. Amit a cookiekkal Magyarországon művelnek, az vérlázió. Már nagyon várom az E-Privacy rendeletet.

https://en.wikipedia.org/wiki/Same-origin_policy

És ezzel most mit szerettél volna mondani?

A Javascriptre, a többi szoftveres megoldásra, vagy a böngészők sérülékenységeire szerettél volna utalni, amik miatt ez a megoldás manapság már nem jelent biztonságot? Növeli a védelmi szintet természetesen, de ennyi, ez ma nem megoldás a biztonság garantálására ha beléptetési azonosítókról van szó.

Sőt, valójában soha nem is volt azokra nézve biztonságos megoldás.

Eloszor is te irtal ilyeneket:

"Azt fontos tehát megérteni, megérezni és elfogadni, hogy a Felhasználót időbeli lejárattal el nem látott azonosítóit úgy is meg lehet szerezni, hogy soha el sem tűnik az eszköz, soha illetéktelen kezekbe nem kerül, de még csak fel sem törik azt. Egyszerűen csak kiküldenek a böngészőből egy kérdést, hogy "olvassad be és küldjed el ennek a cookie-nak (sütinek) az értékét", és már meg is kapják ezt az adatot."

Ezt igy pont hogy nem lehet.

De ha mar lopas, tegyunk mar kulonbseget hogy mit es hogyan lehet ellopni, illetve hogy azzal az adattal konkretan mit lehet veghezvinni kesobb. A bongeszod altal eltarolt cookie-t a same-origin miatt mas weboldal nem fogja ellopni, de tetelezzuk fel hogy a keszuleket elveszitik vagy ellopjak. Ebben az esetben ha van hozzaferes a filerendszerhez (nincs BitLocker vagy FileVault vagy mas titkositasi megoldas alkalmazva) es valaki kinyeri a bongeszo adatbazisabol a cookie adatokat akkor a cookie lejarati idejen belul azonositani tudja magat az adott oldalon. Tehat John Doe belep az AVX-re mint XY es utana pontosan annyi joga van mint XY-nak, max posztolhat a neveben hacsak XY nem admin. Az AVX-tol megszerzett cookie nem lesz neki semmi masra jo, nem tudja kinyerni belole a felhasznaloi nevet, sem a jelszavat es nem tudja sehova mashova authentikalni magat.

A hash-elt adatok nem szemelyes adatok mert 1. nem tudod hogy milyen adattagokbol epulnek fel (felhasznalo nev, jelszo, datum, hw fingerprint stb) 2. a hashelesi folyamat nem visszafordithato es az elobbi adattagok nem nyerhetoek ki a hash-bol. Ennek okan senki sem fog XY levelezesebe vagy privat bankjaba belepni csak azert mert az illeto ugyan azt a jelszot hasznalja ott is mint az AVX-en.

Lenne EU forum is dogivel, de latom te ugy gondolod hogy ok nem ertenek hozza, de majd mi megmutatjuk hogy kell ezt.

Forditsuk meg a kerdest egy picit, tegyuk fel hogy az AVX felhasznalok ujra tobb hetes vagy honapos lejaratot kapnak a bejelentkezesi cookie-hoz, szerinted konkretan mi ebben a riziko? Ki vagy mi es hogyan tudna megszerezni ezt a cookie-t es utana mire tudna felhasznalni ami rizikot jelent? Es mi(k) lennenek ezek a rizikok?

[robi20064]

Mindig kiléptet a fórum, ez nem való. Mitől van és van-e remény tartós belépve-maradásra? El sem hiszem, hogy ezt a kérdést fel kell tenni.

viewtopic.php?f=194&t=142582

Az a gond hogy sok csusztatas es teves informacio van abban amit a cookie-krol es kezelesukrol leirtal. Egyreszt egy random internetes oldal nem tudja csak ugy beolvasni egy masikhoz tartozo cookie-kat a same-origin policy miatt. Masreszt meg ha tudna is akkor sincsen konkret felhasznalo nev es jelszo eltarolva azokban, hanem csak nagyon leegyszerusitve egy hashelt azonosito amibol nem allithato vissza a login/jelszo paros (konkret AVX-es esetben csak a userid van plaintext tarolva a kliens oldalon). Lejarati idot persze celszeru beallitani, de esetleg nezd meg hogy mas kulfoldi (audio) forumok hogyan kezelik ezt, hetekig vagy akar honapokig is ervenyes neha egy login cookie.

Az egy napos lejarat jelent esetben csak a forum felhasznaloit szivatja feleslegesen, a gyakorlati biztonsaghoz nem jarul hozza.

https://en.wikipedia.org/wiki/Same-origin_policy
https://owasp.org/www-community/HttpOnly

[csandaz]

Mindig kiléptet a fórum, ez nem való. Mitől van és van-e remény tartós belépve-maradásra? El sem hiszem, hogy ezt a kérdést fel kell tenni.

Jelenleg úgy van beállítva, hogy a süti 1 nap után lejár, naponta be kell jelentkezni