New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Prywatność, IP i wysyłanie danych medycznych powiązanych z IP #16
Comments
Ciekawa perspektywa, pokazesz mi metode, w ktorej namierzamy Twoje IP? Bo z tego co wkleilas wynika tylko, ze w Twojej przegladarce lokalnie znajduje sie json, w ktorym zapisane sa wybory z anonimowej ankiety (przypominam, ze nie weryfikujemy czy jest Twoja - moze byc Twojej babci). Poprosze jeszcze o przyklad tych wrazliwych danych medycznych, ktorych prywatnosc narazamy oraz sposob w jaki to robimy oraz odniesienie do regulacji, ktore narusza takie naduzycie z naszej strony. |
Jest to lista wysłanych żadań do serwera. Wystarczy na podstawie ustawy inwigilacyjnej zażądać logów serwera, z którym komunikuje się aplikacja. ot tak można to odczytać. Służby to dostaną na zawołanie a ciekawe czy tam nie siedzi cloudflare, ponieważ z Tora dostałam część odpowiedzi serwera z bani niepozwalające przejść dalej. Przykład wrażliwych danych: stan zdrowia, wpisane choroby pod którymś checkboxem (są pytania opisowe). |
Jakie wrazliwe dane naruszylismy? To czy masz kaszel? |
Nawet jesli wysylasz ze masz kaszel (choc nie wiemy czy nie zrobila tego Twoja babcia) to nadal nie wiedzac kim jestes to nie sa dane wrazliwe w rozumieniu GDPR, RODO. Nie uzywaj RODO jak wycieraczki w drzwiach bo nigdy juz w zyciu nie dostaniesz kartki na swieta. |
skoro już jesteśmy tutaj - nie naruszasz mojej prywatności choćby przypisując do mojego IP i numeru telefonu (pośrednio), że mam kaszel, chorobę niedokrwienną serca, AZS, uczulenia na konkretne rzeczy itp.?
To że Ty nie wiesz, nie oznacza, że służby specjalne oraz telekomy nie wiedzą. Wiele powiedziano w temacie ProteGO-Safe/specs#116, ProteGO-Safe/specs#119, ProteGO-Safe/specs#123, ProteGO-Safe/specs#125 i innych Można mówić, że nikt nie zna tych danych - jeżeli nie dotrą nigdzie w wersji, którą można rozszyfrować. Sporządzenie tego sprawdzenia na JavaScripcie bez wysyłania na zewnątrz - to zagwarantuje. @miklobit, @archasek, co o tym myślicie? Też jesteście za tym, aby udzielone odpowiedzi nie trafiały na serwer, ale były procedowane lokalnie w pamięci smartfona? Czy przydatna byłaby tu opinia Panoptykonu? |
Nic to nie da, ta dyskusja jest jalowa. Nie potrafisz mi przedstawic zadnego dowodu naukowego na potwierdzenie tego bledu. Zostawiam to do jutra - jesli nic sie tu nie zmieni to trzeba bedzie to pogrzebac.
Alez ja zdaje sobie z tego sprawe a jednoczesnie wiem, ze taka postawa jaka prezentujesz powoduje wycofanie do poziomu czlowieka pierwotnego, anarchii i najpewniej konca swiata jaki znamy.
Nie ma techniki szyfrowania, ktorej nie da sie rozszyfrowac.
No chyba, ze bedziesz miala malware na telefonie.
Rzeczywiscie bo ty tak piszesz. |
Widzę, że ta rozmowa wygląda w tym miejscu jak jazda po stosie po adresie 0xFFFFFFFD - może pozwólmy się wypowiedzieć innym? Ty qL.b nigdy nie widzisz zagrożeń, ale są ludzie którzy widzą ważne kwestie prywatności. |
Ja je widze i skutecznie z nimi walcze, Ty natomiast probujesz znalezc je w miejscach tak kuriozalnych (przepraszam) - moze dlatego tak jade po stosie :) odpal sobie hbo i obejzyj lepiej "Devs" :) dobre sci-fi |
@qLb Nie możesz w tak nieprofesjonalny sposób zlewać uwag w projekcie tej rangi - niezależnie od tego, czy uważasz je za zasadne, czy nie. To naprawdę nie jest temat do śmieszkowania - żyjemy w poważnych czasach, a jako że projekt jest opłacany przez rząd (przez co nas wszystkich), wypadałoby zachować odrobinę przyzwoitości. Sam nakręcasz bata na siebie, projekt, rząd i swoją firmę w tym, jak i w innych tematach. Proponuję odłożyć temat RODO na drugi plan i rzeczywiście zastanowić się nad tym, co zostało tutaj zgłoszone. Czy prawo na to pozwala, czy nie - odpowiedź na pytanie czy można Cię zidentyfikować na podstawie danych które wysyłasz brzmi "w wielu przypadkach będzie to możliwe". Zbyt wielu. Zdarzało się, że policja czy inne instytucje namierzały ludzi na podstawie ich adresu IP, więc jest to też możliwe tutaj. Zastanów się, czy chcecie za to wziąć odpowiedzialność za to, co z tymi danymi się stanie. Wiadomo, że to nie jest łatwy do obejścia problem, ale wiedzieliście na co się piszecie. |
@qLb -> zgodnie z obowiązującymi przepisami, adres IP jeśli może być używany do identyfikacji osoby jest daną osobową w szczególności jeśli podmiot który je przetwarza ma dostęp do danych pozwalających na powiązanie adresu IP z konkretną osobą: Cytat: "Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową." Cytat ze stronu GIODO: https://archiwum.giodo.gov.pl/pl/319/2258 Tak jak pisałem w ProteGO-Safe/specs#123 podmiot ma dane które pozwalają na identyfikację. Pozwól że jeszcze raz skopiuję to poniżeL Cloud Functions w systemie mają możliwość połączenie TempID, UID, czasu oraz tymczasowego adresu IP użytkownika w taki sposób, żeby możliwa była de-anonimizacja tych danych - za pomocą logów od operatorów dostępnych dla strony rządowej. Strona rządowa już dziś takie logi może uzyskać na podstawie Ustawa z 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw (Dz. U. 2016, poz. 147). Istnieje też dalsza możliwość połączenia tego z danymi lokalizacyjnymi osób chorych uzyskanych przez rząd na podstawie zapisów w Tarczy 2.0 https://www.rpo.gov.pl/pl/content/koronawirus-tarcza-antykryzysowa-2-0-uwagi-rpo-dla-senatu (pkt "Prawo telekomunikacyjne i pocztowe" podpunkt A.1). @qLb -> Czy po lekturze powyższych - wiarygodnych - źródeł (wszystkie z oficjalnych rządowych instytucji) dalej uważasz że robisz to co robisz zgodnie z prawem (przypominam też @MateuszRomanow o tzw. sprawstwie kierowniczym). |
Zgadzam się. Dziennik ma być do samooceny, choć i tak jego działanie można uznać za co najmniej zastanawiające. Kod algorytmu ustalania ryzyka będzie zawsze aktualny, jawny, będzie działał zarówno w przeglądarce i apce (WebView). Wypełnienie dziennika zdrowia nie powinno być warunkiem koniecznym do używania apki. |
@matsobdev poruszyłeś ciekawą kwestię. A obecnie jest warumkiem aby przejść dalej. Ale gdyby był w JS to nie uważam tego za złe, bo osoba uzyskuje wstępny status ryzyka zakażenia i właściwie to uważam, że aplikacja gadając na BT (i gromadząc te dane też lokalnie!) powinnaprzekazywać sobie status potencjalnie zakażonych osób. Osoba która pluje krwią, kaszle i ma gorączkę 39.0 - gdy ma się z nią kontakt a nie miała testu - też powinna być jakoś "sygnalizowana" (anonimowo, nie w sposób pseudonimizowany i nie jawnie) osobie, która miała z nią kontakt. Odnosząc się jednak już do samej ignorancji ze strony qL.b dla faktu, że któryś podmiot po drodze ma wszystkie dane ("wywiady zdrowotne" - ankiety; adres IP; dostęp do danych lokalizacyjnych i abonenckich telekomów) mogę tylko stwierdzić, że czekam aż otworzą granice do zachodniej lub południowej Europy i planuję wyprowadzkę z tego cyrku. Kraj, w którym zgłaszane są poważne problemy natury prywatności od osób, które mają odpowiednie ku temu wykształcenie i którym próbuje się wcisnąć, że mają paranoję lub schizofrenię po prostu prosi się o porzucenie tej pis-krainy na rzecz czegokolwiek - nawet Ukrainy. Wtedy moje podatki będą zasilały gospodarki innych krain. Co nie oznacza, że po przeprowadzce nie będę 👀 śledziła 👀 tego wątku (jako całej aplikacji) choćby dla dobra znajomych. Jednocześnie wskażę, że z safesafe.app coś jest nie tak, bo blokuje część adresów Tora (wymuszenie nowej trasy w trakcie używania pomogło) - na jakiej podstawie jestem śledzona, czy używam Tora - w programie, który miał mi zapewnić anonimowość / prywatność? Jak to zrobić by było anonimowo i prywatnie?Moje zdanie jest proste w tym temacie - zrobić tą aplikację tak prywatną jak to tylko możliwe. Również "dzienniki" i "ocenę stanu zdrowia" da się zrobić lokalnie - wystarczy choćby w przypadku aplikacji "web" pobierać z serwera aktualny javascript - niech to będzie who-cov.js, który jest cache'owany na 1 dobę. Wypełniając dziennik działoby się wszystko lokalnie z oceną zgodnie ze standardem WHO (te nie zmieniają się codziennie i nie trzeba codziennie ich aktualizować na serwerze). Dla aplikacji lokalnej (Android, iOS) można by albo zastosować silnik JS (są gotowe) albo zastosować template - formatkę biorącą pod uwagę jakie zadać pytania, jakie dać odpowiedzi i jakie wagi i zależności poszczególnym odpowiedziom. Kiedyś taki projekt robiłam (co prawda dotyczył czego innego) i jako aktualizację klienci pobierali tylko ten template. To co rozważam - jeżeli okaże się, że będzie druga fala koronawirusa SARS-CoV-2 lub pojawi się kolejny "Novel Coronavirus" (już mamy trzeci od 20 lat) - planuję stworzyć własną aplikację działającą w oparciu o BT (prawdopodobnie skorzystam z PEPP-PT) oraz oceniającą stan zagrożenia lokalnie bez użycia scentralizowanych rozwiązań - aplikację do bólu dbającą o prywatność, ale też właściwe poinformowanie o możliwej chorobie (aplikacja nie zastąpi lekarza ani laboratorium). Aby rząd nie mógł zbyt wiele "rządać" to właścicielem aplikacji będzie firma zagraniczna, tak, aby ode mnie nikt nie mógł "rządać" danych lub backdoorów dla rządu. To co się dzieje w tym państwie po prostu już od kilku lat woła o litość (ustawa kagańcowa, ustawa inwigilacyjna o policji, niejasne podwójnie interpretowalne przepisy, zmiana prawa wyborczego w czasie trwającej epidemii i procesu wyborczego, gdzie nawet nie wiadomo jak oddać poprawnie głos, utrudnienie wpisania się do spisu wyborców poprzez niezałatwianie tych spraw przez urząd gminy... bananowa republika - jedyne słowo jakie się ciśnie na usta). Mierzi mnie też jak wiele jeden Polak chce wiedzieć o innym Polaku i jak bardzo chce go [kon]trolować. Na koniec skomentuję jedno zdanie qL.b aby pokazać jak torpeduje prywatność w tej aplikacji i jakie głupoty pisze:
Polecam poczytać o szyfrowaniu ElGamal, krzywych eliptycznych i RSA. Udostępniając komuś klucz publiczny - każdy może wysłać mi "wiadomość" zaszyfrowaną, jednak mając ten klucz - nie może rozszyfrować wiadomości od innych osób, które też do mnie pisały i zostawiły szyfrogramy na publicznym serwerze. Te wiadomości mogę rozszyfrować tylko ja kluczem prywatnym - gdy go zgubię - już nie rozszyfruję tych wiadomości, a łamanie klucza prywatnego potrwa tyle ile minęłó od epoki dinozaurów do teraz. Nazywa się to szyfrowanie asymetryczne. Również w przypadku szyfrowania symetrycznego - szyfrogramy mogłyby być publicznie składowane na serwerze (bo kto odczyta zawarte tam dane?), skoro klucz do zaszyfrowania i rozszyfrowania ma tylko operator danej kopii (instancji) aplikacji? Zdanie cytowane jest więc wprost z... [powstrzymam się] |
Hmm. Zamykam temat bo tak, bo mi się nie podoba - odpowiedzialne podejście do tematu. Swoje wątpliwości pozostawiam aktualne z pierwszego posta. Apeluję o zmianę osoby obsługującej zgłoszenia (issues) dla tej aplikacji na kogoś, kto będzie podchodził poważnie do przedstawianych wątpliwości. Odnośnie dowodów naukowych, to nikt z naukowców nie będzie się s...ł nad tą aplikacją aby udowodnić, że jest lub nie ma w niej problemów natury zagrożenia prywatności. Za to rzeczowe argumenty przedstawili @matsobdev, @Partition oraz @potiuk. |
@potiuk zgodnie z implementacja danych medycznych nie da sie powiazac z adresem ip. system przetwarzajacy dane medyczne to zupelnie osobny system od tego korzystajacego z cloud functions. Dodatkowo adresy IP sa zabezpieczone z dochowaniem nalezytej starannosci. My staramy sie zrobic swoje. @SeraMoon zawiodlem sie. Poprosilem Cie o wiedze na podstawie ktorej wyciagnelas ten wniosek a zamiast tego tlumaczycie mi jak to (NIE!) jest zaimplementowane.. czy ktokolwiek z was zadal sobie chociaz trud zeby sprawdzic czy to co piszecie jest faktycznie prawda? |
A że tak zapytam wprost - co szkodzi na przeszkodzie żeby tych danych nie wysyłać? Bo odpowiedź na to pytanie nie padła. |
Nie mówię o danych medycznych, tylko o danych osobowych. Już ci kiedyś mówiłem w prywatnej rozmowie że w historii już zdarzały się przypadki w których zwykli ludzie "robili swoją robotę", dobrzei ciężko. I przez tę robotę umierały miliony ludzi. Myślę że mamy moralną odpowiedzialność za to, co robimy jako "swoją robotę". |
@qLb Fakt, safesafe.app składa się z JS, tylko że nie chce działać bez połączenia z Internetem. |
Taaaak? A po drodze nie ma serwera, który pośredniczy w ich przekazywaniu i przez który leci moje IP oraz moje zaznaczone choroby / dolegliwości oraz odpowiedź z diagnozą (diagnosis)? Jeżeli nie, to jakim cudem dostaję odpowiedź? Z modlitwy? Wystarczy, że rząd stamtąd "zarząda" przy pomocy ustawy o policji - wspomniane dane.
Dołączam się do pytania.
Tak i to mnie też mierzi - po połączeniu się i pobraniu zasobów powinien dalej móc działać już bez połączenia z internetem. Skoro nie chce tak działać - znaczy, że coś jednak wysyła - szczególnie odmawiając wyświetlenia formularza. Dowód wystarczający, że diagnozy wraz z IP (i imieniem, nazwiskiem do kogo przypisane jest to IP) są dostępne dla rządu na podstawie "ustawy inwigilacyjnej" (wyżej wspomniana ustawa o Policji). |
@SeraMoon @matsobdev tak, rozumiem. Mam pytanie: Gdy pytacie o pogode Google albo laczycie sie z serwerem by zaktualizowac zegar czasu rzeczywistego provider informacji tez zna wasze IP. Czy nalezy go za to ukrzyzowac czy zgodnie z regulaminem godzicie sie na to, ze on wie kim jestescie? |
Tylko weź rozróżnij skutki:
Dodatkowo rozróżnij:
Rozróżnij też dobrowolną aplikację "pogoda" od aplikacji która stanie się prawdopodobnie narzędziem do nękania ludzi z powodu epidemii, mimo, że nikt nie udowodnił, że te aplikacje cokolwiek dają (obawiam się, że dają mniej pewności niż prognoza pogody na następny tydzień). Zapowiedzi dyskryminacji już mieliśmy. Aplikacja Kwarantanna Domowa, którą nas zapewniano, że zawsze będzie dobrowolna uczyniono obowiązkową. Należy więc zgodnie z tym co napisał Panoptykon (7 filarów zaufania) zapewnić tak daleko idącą prywatnośc jak to możliwe. |
Ktoś kto porównuje zapytanie o pogodę z "danymi wrażliwymi" zdefiniowanymi w RODO chyba powinien wrócić do programowania a nie oceniać zgłoszenia o naruszaniu prywatności. I nie jest to skierowane tylko do Ciebie. |
@qLb Może Ci umknęło to skopiuję jeszcze raz: zgodnie z obowiązującymi przepisami, adres IP jeśli może być używany do identyfikacji osoby jest daną osobową w szczególności jeśli podmiot który je przetwarza ma dostęp do danych pozwalających na powiązanie adresu IP z konkretną osobą: Cytat: "Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową." Cytat ze strony GIODO: https://archiwum.giodo.gov.pl/pl/319/2258 Tak jak pisałem w ProteGO-Safe/specs#123 podmiot ma dane które pozwalają na identyfikację. Pozwól że jeszcze raz skopiuję to poniżej: Dane medyczne są dostępne na serwerze wraz z tymczasowym adresem IP użytkownika w taki sposób, że możliwa była de-anonimizacja tych danych - za pomocą logów od operatorów dostępnych dla strony rządowej. Strona rządowa już dziś takie logi może uzyskać na podstawie Ustawa z 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw (Dz. U. 2016, poz. 147). Istnieje też dalsza możliwość połączenia tego z danymi lokalizacyjnymi osób chorych uzyskanych przez rząd na podstawie zapisów w Tarczy 2.0 https://www.rpo.gov.pl/pl/content/koronawirus-tarcza-antykryzysowa-2-0-uwagi-rpo-dla-senatu (pkt "Prawo telekomunikacyjne i pocztowe" podpunkt A.1). @qLb -> Czy po lekturze powyższych - wiarygodnych - źródeł (wszystkie z oficjalnych rządowych instytucji) dalej uważasz że robisz to co robisz zgodnie z prawem (przypominam też @MateuszRomanow o tzw. sprawstwie kierowniczym). |
Powtórzę to co jest napisane powyżej "Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę." Przeczytaj to jeszcze raz i powiedz @qLb czego nie rozumiesz? Adres IP jest wtedy daną osobową jeśli podmiot przetwarzający te dane ma dostęp (!) do danych które pozwalają na identyfikacje osoby. Nie trzeba tego wykorzystywać. Wystarczy mieć dostęp. Zgodnie z Ustawą powyżej MC taki dostęp ma. Ani Google ani serwery aktualizacji czasu nie mają tego dostępu. Ot cała różnica. Rząd, wprowadzając tę ustawę automatycznie spowodował że ma większą odpowiedzialność w przetwarzaniu adresów IP. Jest takie powiedzenie po angielsku "Great powers means great responsibilities". Wygląda na to że rząd chce mieć nieograniczoną władzę i żadnej odpowiedzialności. |
Podzielam wszystkie Twoje zastrzeżenia do aplikacji, @SeraMoon i w uzupełenieniu zwróciłbym uwagę na:
Lokalne przetwarzanie danych oczywiście załatwiłoby wszystkie w/w problemy za jednym zamachem. A na pytanie czy to możliwe (np czy rząd ma prawa do kodu źródłowego API - IMHO to jest wręcz oczywiste oczekiwanie) na pewno pomoże odpowiedź na ProteGO-Safe/specs#128 - jeśli się jej doczekamy. |
Przepraszam że jako lamer tutaj wchodzę między zawodowców, ale jakaś "tabeleczka" licząca ryzyko która wymaga łączności z serwerem etc. itp. to wg. mnie jest jakiś totalny overkill chyba... Ponieważ jak rozumiem projekt dla Twórców wszedł po prostu w fazę komercyjną (zlecenie) , czy nie lepszym rozwiązaniem, które po prostu raz na zawsze utnie wszelkie dyskusje j.w. byłoby po prostu ZAKUPIENIE licencji od twórców etc. API do tego celu używanego aktualnie i zaimplementowanie tego LOKALNIE w oprogramowaniu ? W dodatku będzie wszystko działać wtedy nawet bez internetu, co też jest jakimś argumentem. Ja życzę wszystkim jak najlepiej i niech wszyscy zaangażowani w to zarobią dobre pieniądze zwłaszcza w tak trudnym gospodarczo czasie. Nawet jeżeli tylko po to aby uciąć raz na zawsze podobne j.w. dyskusje to i tak jest to sporo warte moim skromnym zdaniem. Oddzielną sprawą jest kwestia czy gromadzenie/przetwarzanie nawet w pełni zanonimizowanych danych sensytywnych-medycznych nie podlega jakimś szczególnym przepisom, bo mam (być może mylne) nieodparte wrażenie że chyba jednak tak. Stąd wręcz moja tutaj propozycja na ew. audyt przez jąkaś wyspecjalizowaną w takich tematach kancelarię/instytucję, jeżeli forma "serwerowa" miałaby być utrzymana. I za taki audyt też należałoby po prostu zapłacić żeby było fair skoro jest prowadzone aktualnie działanie komercyjnie (i bardzo dobrze) bo tak jest po prostu "normalnie". Tyle moich przemyśleń i podpowiedzi, może się Wam przydadzą w dyskusji... Pozdrawiam. |
@potiuk - w tym issue tematem jest aplikacja webowa do triażu więc kwestia TempID, UID nie występuje. |
A przepraszam. Usunę TempID :). Faktycznie skopiowałem z innego wątiku i trochę za dużo. Dzięki za zwrócenie uwagi. Cała reszta zostaje :) |
No pięknie - czyli jednak autorzy aplikacji wiedzieli o tym że te dane mogą być identyfikowalne i świadomie nas tu wprowadzali w błąd że się nie da. Do tej pory można było to nazwać niewiedzą, teraz to już ociera się o paragrafy. Dziś jest 1 maja - Święto Pracy. Do tych - ciężko pracujących osób przy tym projekcie mam apel. Przypomnę jeszcze raz termin "sprawstwo kierownicze" @MateuszRomanow. Mam nadzieję że dobra znajomość tego terminu pozwoli Ci podejmować dobre decyzje. Również wszystkim którzy obecnie aplkację tworzą chciałbym uświadomić że to że wykonujecie polecenia, nie zwalnia was od odpowiedzialności (moralnej, ale też każdej innej). Mam tylko nadzieję że rozważyliście w duchu wszystkie za i przeciw i jeśli dalej chcecie kontynuować pracę na tą aplikacją to znacie konsekwencje takiej decyzji. Przypomnę, że ta decyzja należy do Was. Nikt inny jej za was nie podejmie. Nikt was za nią nie ukarze, a jeśli by próbował, to znaczy że nie jest wart żebyście dla takiej osoby pracowali. Co najmniej kilka osób z poprzedniego zespołu (wtedy kiedy wszystko było "pro-bono") podjęło decyzję o wycofaniu się z projektu ze względu na takie właśnie wątpliwości. Wszystkie dalej pracują gdzie pracowały. z tą różnicą, że już mogą spokojnie spać w nocy. Jako inżynier, człowiek, który sam stawał przed takimi wyborami i je - czasem z dużym zastanowieniem - podejmował, życzę wam dobrych wyborów. I spokojnego snu. |
@qLb Istnieje zasadnicza różnica pomiędzy przypisaniem zapytania o pogodę do adresu IP a przypisaniem imienia i wieku do adresu IP. Po samym adresie IP to możemy w najlepszym przypadku dojść do właściciela łącza internetowego lub urządzenia z którego wysłane są zapytania, ale jeśli dołożysz do tego imię i wiek to masz prawie 100% pewności co do tożsamości tej osoby. |
A jeśli jest lokalny dostawca usługi Anty DDoS w naszym kraju, który jest chętny i zdolny przyjąć na siebie kilka terabajtów hejtu na sekundę to prosimy o sugestie. |
Ja nie pisałem że firma jest z Kasnsas, tylko proxy tam stoi. I to dokładnie to oznacza, że dane właśnie idą przez te serwery. |
Niestety nie jest to takie proste. Te adresy mogą być wykorzystywane jako virtualne IP i będą wtedy dostępne nawet w kilku miejscach na świecie. W przypadku Cloudflare może to być nawet 200 lokalizacji wg. aktualnych danych. Kojarzenie adresu IP z lokalizacją to w niektórych przypadkach totalne nieporozumienie. Szczególnie jeśli system wykorzystuje te adresy dla zapewnienia wysokiej dostępności usługi w wielu strefach geograficznych. Tak jest w tym przypadku. |
@bartosztomczak ja to rozumiem, że cloudflare ma wiele adresów ip https://www.cloudflare.com/ips/ tu pełna lista, ale to ip które aktualnie wskazuje na api.safesafe.app wskazuje na:
Czyli na cidr: 104.16.0.0/12 a ten wskazuje na https://ip-46.com/104.26.10.148 USA, czyli wszystkie dane z aplikacji lecą przez serwery USA, nie masz pewności i nie wiesz czy po stronie CF nie są przechowywane w formie jawnej na ichniejszych serwerach. Nikt nie da takiej gwarancji. Uważam to za ogromne zagrożenie dla poufności danych. W szczególności jeżeli mowa o projekcie rządowym, związanym z bezpieczeństwem obywateli jest to niedopuszczalne, by dla takiej skali projektu używać zewnętrznych providerów dla darmowego TLS, to jest kpina. |
@cojack panowie @bartosztomczak i @qLb piszą różne nie do końca przemyślane rzeczy, ale tu akurat raczej mają rację. https://www.cloudflare.com/learning/cdn/glossary/anycast-network/ |
No i oczywiście nie zmienia to istoty tego wątku, czyli możliwości powiązania tych danych z adresem IP klienta i co za tym idzie potencjalnie z jego danymi. |
Po co tutaj w ogóle pisać o api.safesafe.app? Moim zdaniem ta usługa jest do usunięcia i zastąpienia wykonywanym lokalnie javascriptem, który będzie pobierany z tej samej strony co safesafe.app w chwili załadowania. To kończy temat. Wystarczy przeczytać wytyczne WHO do oceny / kwalifikacji do testu i zaimplementować lokalnie. Skoro da się robić generatory haseł offline to czemu nie zrobić tego tutaj, skoro się da? Przypominam o 7 filarach zaufania (#129) bez tego nigdy nie zostanie osiągnięty cel, aby 50-60% posiadaczy smartfonów miało to zainstalowane. Nie spełniając 7 filarów zaufania - nie osiągniemy celu dla którego pisana jest aplikacja chyba, że rząd zastosuje znów zamordyzmjak z Kwarantanną Domową. Ludzie nie ufali aplikacji "Kwarantanna Domowa" i trzeba było zmienić "opcjonalna" na "obowiązkowa". |
qLb
Niezły wynik XD. Nie sądziłam, że tyle ludzi (zalogowanych!) ogląda te chusteczki (issues). |
Mysle ze wczorajszy wywiad u Artura: https://blog.kurasinski.com/2020/05/protego-safe-dlaczego-nie-nalezy-instalowac-aplikacji-ministerstwa-cyfryzacji/ sporo sie do tego przyczynił (i będze się przyczyniał) @SeraMoon - pozwoliłem sobie tam ciebie z nicka wymienić (z dodatkiem że jesteś anonimowa) i dać link do tej chusteczki :). A z rozmów które prowadzę, w kolejnych tygodniach, tak co dwa, trzy dni myślę że będą różne inne ciekawe wydarzenia towarzyszące. Stay tuned. |
Dyskusja jest bardzo długa i treściwa, ale chciałbym dodać swoje trzy grosze (pomijając tutaj ewidentne kłamstwa ze aplikacja jest zgodna z RODO, a dane są anonimizowane - tymczasem są tylko pseudonimizowane): Jeśli aplikacja wywołuje obrazek https://safesafe.app/static/media/buzka-czerwona.38523005.svg Uprzedzają pytania o deszyfrowanie wifi: https://www.aircrack-ng.org/doku.php?id=airdecap-ng |
Dzięki, czuj się wolny w tym temacie - piszę przecież publicznie :-) Tak widziałam ten art i czuję, że Ministerstwo Cyfryzacji ma przesmarkane i już złapało wirtualnego koronawirusa, choć czasem się zastanawiam, czy to oni nie są tym koronawirusem, wszędzie na ulotkach podpisując się jako "KORONAWIRUS".
Będę obserwowała, jednak po woli wracam do swoich projektów (webmastering). Nie znaczy to jednak że tu nie zajrzę, postaram się być tu przynajmniej 3x w tygodniu by wcisnąć 3xNIE XD.
Uknęło mi ale faktycznie doczytywany wg logu był po "diagnosis". Wspomnę tylko, że profesjonalnie robi się duży obrazek z ikonami, daje wszędzie ten sam obrazek jako tło, zaś stylami background-size, background-position, width, height uzyskuje się wypozycjonowanie ikony w odpowiednim miejscu. Wtedy jest jeden GET a nie setki GET-ów o ikony, obrazki i inne rzeczy. Przy okazji eliminuje to powyższy wyciek - zostaną pobrane wszystkie niezbędne ikony jednym GET-em. Co do podsłuchiwania przez operatora Wifi - jeżeli leci to po https, to nie wie on którą ikonę żądasz, ponieważ ta informacja jest zaszyfrowana. Ale jaki ma żądanie wpływ na prywatność - idzie żądanie do serwera safesafe.app wraz z IP, a więc też statusem "choroby". |
@SeraMoon oczywiście masz racje https://github.com/ipfs/js-ipfs#readme można zintegrować z systemem reklamowym, dzięki czemu będzie używana tylko tam gdzie aktualnie jest potrzebna i nadal pozostanie dobrowolna https://www.dobreprogramy.pl/USA.-Rzad-wykorzystuje-reklamy-do-sledzenia-pandemii-koronawirusa,News,107139.html |
3xNIE (wersję graficzną sobie daruję). Nie powinno być żadnej integracji z systemem reklam, który jest czarną skrzynką a nie otwartym kodem. Wzbudzasz we mnie brak zaufania przy takim podejściu do tematu aplikacji, która ma zapewnić prywatność. Co innego zapłacić za reklamę (a nie robić sobie furtki przez obowiązkową reklamę np. w galeriach - niedawny pomysł rządu, z którego wycofał się rakiem) i namawianie do instalacji, a co inego sprzężenie tego z jakimś innym ciemnym systemem. Przypomnę, że dość niedawno już jeden podmiot reklamowy dostał karę "za RODO", a kwestia aby dostały inne podmioty jest tylko kwestią czasu (za mało urzędników w tej dziedzinie, za dużo spraw). |
To nic nie zmienia, ludzie nadal będą używać reklam. Dane kosztują, niezależnie od tego, czy korzystasz z systemów reklamowych do ich pozyskania. Co przy okazji skutecznie ogranicza nadgorliwe śledzenie. Poza tym nie zmienisz motywacji programistów tej aplikacji. ProteGO-Safe/specs#136 |
No nie wiem @KonoromiHimaries. Ja używam ublocka i nie życzę sobie reklam. Jeżeli aplikacja będzie sprzężona z systemem reklam to na bank każdemu ją odradzę jako nie spełniającą ProteGO-Safe/specs#129. Dla mnie te zasady są święte. |
@SeraMoon Sprzężenie może być asynchroniczne, niezależne od systemu przekazywania informacji w samej aplikacji. System afiliacji, wczesnego ostrzegania i parę innych. https://docs.ipfs.io/introduction/how-ipfs-works/#and-everything-is-modular |
Uwaga uwaga. To w ogóle nie jest potrzebne do tego cco mówi @KonoromiHimaries . W rozwiązaniu https://www.dobreprogramy.pl/USA.-Rzad-wykorzystuje-reklamy-do-sledzenia-pandemii-koronawirusa,News,107139.html rząd USA agreguje anonimowe lokalizacje z reklam we WSZYSTKICH aplikacjach. W systemach Android i OS już od dawna są wdrożone systemy tak zwanego AdTracking, które uniemożliwiają łączenie reklam między różnymi aplikacjami - w skrócie chodzi o to że każda aplikacja na tym samym telefonie ma inny "AdvertisingID" . Więc taki sposób jest całkiem OK jeśli chodzi o "zagregowane" dane które faktycznie potrafią zidentyfikować miejsca "tłumów". Bardzo sprytne. |
@potiuk czy ten system jako, że advertising ID jest wysyłany razem z IP nie ma tej samej luki, która występuje przy wysyłaniu danych medycznych przez serwer proxy (tyle że dane nie są medyczne)? Rząd nie będzie mógł żądać od podmiotu reklamowego listy IP osób, które spotkały się na manifestacji i potem poznać ich z imienia i nazwiska korzystając z ustawy o Policji? Niby fakt - idąć na manifestację należałoby zachować "czystość rąk" i telefon zostawić w domu o czym zapomina wielu zakładających w przeszłości maski. Jakie dane są wysyłane wraz z advertising ID? Czy nie ma tam dodatkowo modelu telefonu? Czy nie ma ryzyka, że na rządowy serwer w nieczystym żądaniu poleci advertising ID wraz z IP? Poza tym mam obawy, że raz wprowadzony mechanizm będzie korcił do jego wykorzystania na inne sposoby. Przypominam o możliwości wydawania polskim przedsiębiorcom (też firmom od reklam) wydawania nakazów, zakazów, poleceń przez sanepid (o dowolnej treści), które podlegają natychmiastowej egzekucji (ustawa koronawirusowa). @KonoromiHimaries odnośnie reklam, gdyby ten podwątek był kontynuowany, proszę o otworzenie oddzielnego issue. |
Raczej nie (przynajmniej nie tak ja ja to rozumiem) ta ustawa dotyczy operatorów telekomunikacjynch/internetu a nie firm które dostarczają reklamy. O ile się nie mylę to żeby uzuskać takie dane od innych firm trzeba mieć nakaz sądu i konkretną sprawę i nie można dostać takich danych "en-masse". http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20160000147 |
@potiuk przydałaby się opinia Panoptykonu, jako, że oni są prawnikami. Jest jeszcze ustawa o zwalczaniu COVID-19, która właśnie pozwala wydawać polecenia przedsiębiorcom... Jeżeli masz do nich kontakt, proszę zwróć im uwagę na ustawę "covidową" w tym zakresie z zapytaniem wprost - czy jest ryzyko żądania tych danych w sposób pośredni z wykorzystaniem sanepidu. Takie nakazy, zakazy polecenia, co więcej nie wymagają uzasadnienia. |
Samoocena ryzyka zarażenia COVID-19 została zaimplementowana lokalnie w ver 4.1.1 |
@Tarvald proszę o re-open tego tematu. Wersja ProteGO-Safe dostępna na safesafe.app wciąż wysyła te żądania do serwera, a może też po pobraniu kodu aplikacji w pierwszym żadaniu działać lokalnie, w szczególności nie wysyłać żadań w związku z kliknięciami w interfejsie i kolorowe ikony pobrać raz ale wszystkie. Nie jest to rozwiązane stąd proszę o re-open z ewentualnym przeniesieniem w odpowiednie miejsce - jeżeli wersja web ma swoje oddzielne issues. BTW. Śledzę 👀 też wątki ["recently updated", "closed"] 😕 . |
@SeraMoon |
@Tarvald dziękuję za re-open (ponowne otwarcie) wątku - bowiem prawdopodobnie dotyczy teraz już tylko wersji web (inne platformy do sprawdzenia - nie mam możliwości przetestowania wersji na Androida i iOS). Jednak zauważę:
Tymczasem:
Wygląda nie na misclick (nieprawidłowe kliknięcie), ale na niezauważenie, że temat dotyczył kilku platfom (misclicki faktycznie widoczne w wielu innych tematach, zakończone ponownym otwarciem po kilku minutach). Wersja przeglądarkowa działa dobrze i wygląda na to, że są dostępne wszystkie potrzebne funkcje - przynajmniej ja widzę je w swoim biednym "repozytorium". Może to rozwiąże ten częsty problem z misclickiem. |
Aplikacja webowa została wyłączona, moduł ten w aplikacjach mobilnych nie komunikuje się z żadnym serwerem, więc temat można zamknąć. |
Describe the bug
Aplikacja (używałam safesafe.app) wysyła dane na serwer podczas gdy są to dane wrażliwe w rozumieniu RODO. Poniżej log z przypadkowego użycia aplikacji (dane nie są prawdziwe toteż mogą pozostać publicznie
<SARS>
To Reproduce
Steps to reproduce the behavior:
Zobacz wyżej.
Expected behavior
Wszystko powinno zostać wykonane w JavaScripcie i w local storage / ciasteczku zapisany wynik "oceny ryzyka". Liczone powinno być lokalnie na komputerze / smartfonie.
Screenshots
Nie przewidziano - jest załączony log powyżej.
Desktop (please complete the following information):
Nieistotne, dowolny
Smartphone (please complete the following information):
Nieistotne, dowolny
Additional context
Aplikacja łamie prawo do prywatności, ponieważ nie komunikuje się przez Tora - dzięki "Ustawie inwigilacyjnej" możliwa jest deanonimizacja człowieka który zaznaczył te odpowiedzi i które dotarły na serwer. Możliwy jest podgląd przez służby specjalne historii wypełnianych testów.
Do sprawdzenia: czy nie dzieje się tak przy użyciu innych elementów aplikacji - np. wypełniania dziennika.
Przepraszam za sto dwudziestą siódmą zasmarkaną chusteczkę ale aplikacja ma w poważaniu prywatność użytkownika.
Możliwe rozwiązania - przechowywanie zaszyfrowanej mocnym hasłem historii chorób / dolegliwości użytkownika - szyfrowanie mocne, minimum 256 bitowe - wymaganie od użytkownika mocnego hasła, które może przechowywać lokalnie, np. w przeglądarce lub dla aplikacji natywnych - w pliku. Dane są dla zapewnienia prywatności (czy użytkownik w ogóle korzysta z protego) - przesyłane przez sieć Tor.
Tak wygląda prawdziwa prywatność, a nie atrapa prywatności.
<SARS> <SARS> Proszę o maski z drucikiem u góry, bo spojówki już mnie bolą o te nieszczelności.
The text was updated successfully, but these errors were encountered: