System SE

[Crack07]

Zlé veci na stránke:
- trackery: (špehujeme o sto šesť ???) - žiadne upozornenie
- mnoho js na ad
- závislosti od iných serverov ako obrázky napríklad zo sos.sk, javascripty atd.
- návštevy na iné servery počas načítavania stránky ako sos, toplist, google ...
- závislosti XHR
- Len počet js z tejto stránky presahujúci 15+ (nerátam este javascripty tretich strán). Troška optimalizácie treba.
- Závislosť captchy od google s nutnosťou mať js zapnuté, takže padá na výber užívateľa nad tým či chce mať js mať zapnutý alebo nie. bez zlikvidovania systémovej funkčnosti ako je napríklad overenie cez captcha a pod.
atď. atď.

Co chcem tým povedať táto stránka je polepená scriptami z tretých strán namiesto toho aby bola stránka od jadra spravená logicky správne (polepenie sa týka aj zo strany vonkajšku ako js ... aj zo strany vnútra ako php ...). United Nuke je zlepec scriptov od X ľudí. Pan A spravi modul A, pán B spraví modul B a pod. Krkolovné prepajanie iného systému s druhým ktorý navyše robil aj iný tým ľudi phpbb s united nuke brr.

Čiže:
- js, css, img atd načítanie zo SE, aby funkčnosť stránky nebolá závisla od iných tretích strán,
- má zachovať právo výberu tých ľudí čo si chcú chraniť súkromie teda JS brať len ako doplnkovú službu nie ako systémovu ! A používať js len a len zo serverov SE. Nie z tretích strán a pod. Napríklad taký jQuery aj mnoho iných skriptov taháš z google. Google má kontrolu nad tvojou stránkou čo sa týka zbierania informácii a iných dier tým vzniknutých. Pomocou úpravy js môžes podvrhnúť obsah stránky na prihlásenie a pod ...
atd.

Keď si odmyslím ako neštatne čo sa týka optimálizácie a bezpečnosti riešená stránka svetelektro. Pri registrácii nie je ani zmienka o zbieraní informácii. Nie je ani zmienka že používaným stránky poskytuje stránka svetelektro údaje aj tretím stranám ako je google napríklad. Že vlastné použivaním uživatelia súhlasia aj s podmienkami tretích strán. Pokiaľ ja viem tak poskytovanie osobných údajov tretím stranám bez upozornenia a odsúhlasenia je trestne (aj IP adresa sa právne berie ako osobný údaj) ...

Takze bolo by dobré opraviť stránku obávam sa že až od jadra systému a zamerať sa na optimalizáciu , BEZPEČNOSŤ. ÚPRAVA REGISTRÁCIE užívateľ pred registráciou má právo vedieť čo sa deje s jeho osobnými údajmi a pod.

[amater63]

Jsem lajk,tohle jsem nepochopil i když je to nasměrované jinam.Ten kdo má jaký prohlížeč a používá ho je na každém.Taky co má na svém PC. povoleno.Ale asi plácám,ale proč nemít otevřené jiné stránky.Vzal jsem to z druhé strany jak bylo psáno výše.-a tam bych to možná vyděl. ,ne jen.(dodám taky tě vidím,ale dám tě prič)--upraveno 15:46

[BgDestroy]

Myslel to asi takto:

Cez javascript mozes pridat, vymazat, upravit prvky. Mozes odosielat data na iny server. Takze si zober tento scenar, ktory je mozny ked stranka odobera javascript z externeho zdoja.

Externy zdroj zmeni alebo je hacknuty a hackerom zmeneni urcity javascript subor. Tak ty moze aj schovat cely obsah stranky a vlozit svoj. Moze upravit cestu na odoslanie z formularov atd. Vysledkom je to ze sa prihlasis a tvoje prihlasovacie udaje ma utocnik (externa stranka) aj povodna stranka. A ty si to ani nevsimnes. Ku uctu mas viazanu emailovu adresu velmi malo ludi ma na kazdu sluzbu ine heslo. Teda nie je vinimkou ze aj to iste heslo pouziva k emailu.

A chcel vlastne povedat ze kazdy ma aj pravo sa chranit bez toho aby bol poskodzovani nefunkcnostou stranky. Ze javascript ma sluzit len ako vylepsenie a nie na com je zalozena stranka. Aby stranka bola pouzitelna aj bez nutnosti javascriptu a pristupov ku externym serverom a tak no.

[amater63]

Ahoj,ale ano,článek rozlícený jako by někdo dělal něco špatně.Osobně to mám jinak.nepoužívám.( a ještě- crack 07-snad má" kraklí " WIN7,to ví on......)

[BgDestroy]

Ja ho chapem. Ked ty daju otazku suhlasis aby svetelektro zbieral o tebe udaje? tak si povies tak dobre no pohode. Ked ty daju otazku suhlasis s tym aby stranka hostila sledovace inych stran kde nemoze zarucit zaobchadzanie s datami ? tak si vacsina povie nie.

Takze otazka znie. Preco sa stranka neopytala. Preco stranka neinformuje sama o sebe ze pouziva sledovac tretej strany kde nemoze ovplyvnit ani zarucit zneuzitiu zozbieranych dat.

[amater63]

OK.souhlas ale vždy je to na každém kdo sedí u klávesnice a spravuje si své .Jinak dik . snad se ozvou k danému problému.

[BgDestroy]

To uz uvidime. Cim viacej nad tym premyslam tym viacej s tym aj ja suhlasim.

[elmoto]

ono je to tak, že v kyberpriestore sa má každý chovať tak aby mu to jeho reálny život neovplivnilo.

No pravda je, ak je tu niečo nedotiahnuté a odporuje zákonom Slovenskej republiky tak je táto kritika opodstatnená a vítaná.

ďakujem za pozornosť

[amater63]

Nejhorší na tom je že to je všude,říkám tomu šmírování. Google chce vědět vše,ale taky jsme navykli. Ale pod kůži nepůjdou.(android a jejich mobilní aplikace WhatsAp,ale i šmírije Jinak OK( ale to je mimo dotaz)

[straciam]

crack07:
konecne to niekto povedal tak ako to je.. bez prikraslovania..

[alidedko]

No to je pekne ... ale ... co dalej?

[cthulhu]

[BgDestroy]

cthulhu:

Reakcia AD1:
Je to url adresa na cudzi server a ten server ma pod kontrolou co je obsahom toho skriptu. A nemusim snad vysvetlovat jQuery funkcie .hide, .show, .ajax alebo si zvoli klasicky js bez kniznice jquery.

Reakcia AD2:
Jedine co sa teraz spravi je ze sa upravia registracne podmienky a vsetko ostane po starom. Ono totiz prekopanie celej stranky nie je vecou jedneho dna. Pokial cely kod bude ich a nebude tam ziadny cudzi skript. Robil by to nejaky programator a nie skripter, ktory robi zlepenec.

Reakcia AD3:
Zaujimavy postreh je to mozne, ale nemusi je to len dohad. Ak by niekomu praskli nervy mozes spravit prieskum fora za posledne obdobie, a mohlo by sa najst par kandidatov

[alidedko]

Ad3: minal by si svoj cas na to, aby si skritizoval forum, na ktorom si nikdy nebol a nemas s nim nic spolocne?

[5ko]

Takže sa natíska otázka -Cui bono??

Ja sa do toho moc nevyznám, ale myslím, že dnes už neexistuje žiadna stránka, ktorá by nerobila podobné veci v prospech niekoho a môžeme si len domýšlať, čo a kto všetko za tým je .

[cthulhu]

[elmoto]

nuž stalo sa z tohoto dobre rozbehnuté komerčné fórum. To dobre rozbehnute dáme takto "dobre rozbehnute"

Prvotná myšlienka bola dobrá ale stránka nabrala zlý smer. Sama sa neufinancuje ale mám dojem, že SE toto tu čo tu je vôbec nepotrebuje. Stránka už nieje prvotne pre nás ľudí ale už pre záujmy a spoločnosti.

[zawin]

Rád by som sa vyjadril ku tvrdeniam ktoré zazneli v tejto téme. V prvom rade ďakujem za pripomienky čo sa týka optimalizácie stránky. Áno musím uznať že beží na starom systéme United-nuke, ktorého vývoj sa už dávno skončil, ale plánujeme inováciu redakčného systému a teda aj celkovú optimalizáciu.
Chcem na pravú mieru uviesť aj otázku bezpečnosti. Autor témy sa snaží navodiť dojem že je tu nejak zneužívam vaše osobné údaje a poskytujem ich tretím stranám. Vaše osobné údaje sú bezpečne uložené do databázy a žiadna tretia strana k nim nemá prístup.
Čo sa týka tretích strán, tak stránka využíva jedine systém google analytics, ktorý slúži na monitoring návštevnosti stránky. Túto služba sa nachádza na takmer všetkých veľkých weboch (sme.sk, zive.sk ...)
Taktiež nevidím dôvod nepoužívať skvelý nástroj recaptcha, na odhalenie spambotov, je to veľmi spoľahlivý nástroj, ktorý mi dosť pomohol zo spamermi na fóre, predpokladám že ste ho asi pri registrácií na stránke nevideli prvý krát.

Takže zhrnuté počiarknuté:
- pokúsim sa optimalizovať počet javascriptov na stránke
- pozriem sa na registráciu užívateľov a dopíšem časť týkajúcu sa osobných údajov

[Crack07]

Upraviť na pravú mieru Skôr upraviť pravdu na tvoju a zhlačenie závažnej situácie:

1. Informuješ ľudí, že používaš cookies ? Nie. Podľa nariadenia EU smernice si to povinny !

2. Nehovorím, že vedome (možno aj ano, ale verím že nie), poskytuješ tretím stranám osobné udaje, bez upovedomenia používateľov ! A nevieš, zaručiť, čo so získanými údajmi tretia spraví.
a.) Google Analitics: získanie tvojej IP adresy (európska smernica považuje aj tento údaj za osobný), pomocou ktorej sa dá zistiť geolokácia, provider (komu bola táto ip adresa pridelená, ktorej spoločnosti). Ďalej zistí tvoj operačný systém, prehliadač, ktoré stránky si na SE navštívil, typ návštevnosti, aký čas na ktorej stránke zostaneš atď. A to sme len u oficiálnej verzii. Nevieš zaručiť, či aj nieco iné nezískavajú. Napríklad zber prihlasovacích údajov. To že zozbierané data google poskytuje vládnej protiprávnej organizácii NSA je známe. Čo dajej pre nich získavajú je otázka diskusií.
b.) Nezabúdaj na to že más na stránke aj ďaľšie sledovače, ktoré primárne slúžia na cielenú reklamu, ale tiež je otázka ako s údajmi tretia strana naloží. Opät spomeniem, nevieš zaručiť zaochádzanie s dátami u tretích strán, maximálne len z tvojej strany a to tým či im tie osobné data budeš poskytovat alebo nebudeš. A či budeš informovať takúto závažnu vec alebo nie.

3.) Ďaľsia závažna vec, ktorú zľahčuješ a to sú externé java-scripty ! To dávaš daľsiu moc tretím stranám, na robte si čo chcete so stránkou. A snáď ty nemusím vysvetlovať, čo všetko sa dá pomocou javascriptu spraviť. Neraz bolo hacknutie iternet bankingu, práve cez java-script. Ľudia si nevedome spustili virus (prípadne server mal vírus), a ten podstrkoval falošné javascripty. Na vonok stránka bola presne ako originál (do dizajnu nezasahovali), len s takým problémom, že útočnikovi sa posielali prihlasovacie údaje, údaje o účte ako je dispobilný zostatok, meno, priezvisko, adresu, email, telefónne ćíslo a pod. Potom štacilo po prihláseni (zase cez javascript) zobraziť ich vytvorené okno, kde využivali (sociálne inžinierstvo) a snažili sa nadobudnúť strach a vylákať ako overenie, že si to fakt ty a nie útočnik kódy overovaciej tabuľky. A vo výsledku to dopadlo tak, že celý dispobilný zostatok bol poslaný niekde do márie a užívateľ ani o tom nevedel. A zvačsa sa stalo, az keď si toho všimol peniaze boli preč už prevedené, presne tam kde chcel utočnik aby sa to poslalo. Toto bol len príklad, aby si ľudia uvedomili závažnost, že si nemôžeš, len tak dovoliť importovávať javascripty so serverov tretích strán !

4.) Existujú aj iné metódy captchy a to veľmi účinné, kde sa môžeš chrániť proti SPAM a to bez prítomnosti javascriptu. Teda sa zase vraciam k tomu, že uživateľ má právo sa chrániť, a byť pozorný voči hrozbám internetu (toto ľudia až udivujúco podceňujú), bez toho aby bola funkčnosť stránky ohrozená. A javascripty používať len ako doplnkové služby.

V prípade nejakých otázok sa kľudne pýtajte. Rád odpoviem. A este raz napíšem NEPODCEŇOVAŤ BEZPEČNOŤ, LEBO SA ZNEUŽIJÚ JE TO VEĽKÝ PROBLÉM !!!

[Washu]

Crack07: Istym sposobom s tebou suhlasim. Ale nemyslim ze je, aspon nie v kratkodobom horizonte realne aby to tu Zawin kompletne prekopal. Aj ked by to bola dobra vec.
Ale ked uz sa v tejto problematike orientujes. Nechces spravit osvetu ako si zachovat aspon trochu sukromia? Keby sa aj stal zazrak a SE by bol superbezpecny web stale je tu milion inych webov kde nieje ani teoreticka sanca ze dojde k nejakej zmene k lepsiemu.
A ak aj tvoje udaje neuniknu odtialto uniknu pravdepodobne inym kanalom. Tak radsej poskytni navod, pripadne typ na vhodne nastroje ako sa tomuto spiclovaniu branit. IMHO nieje primarny problem vo weboch, ale v ludoch v tom ze sa o svoje sukromie prestali starat.