Tutela dati sensibili postato il 19/11/2011 14:17:34 nel forum programmazione, gdrcd, open source, hosting
Di recente mi è capitata una situazione spiacevole che mi ha fatto riflettere, innanzi tutto sull’ignoranza che dilaga nei gestori di land di gdr, che credono che perché uno accetta ai sensi di leggi la registrazione, allora hanno il diritto di utilizzare tutto quello che possono prendersi dall’utente, e secondariamente sulla sicurezza che offre un codice opensource come il gdrcd in mano a degli inesperti totali che probabilmente hanno aperto la land perché hanno litigato altrove.
Nel mio caso specifico è venuto fuori che tutto è in chiaro nel DB, tutti i gestori si leggono ogni cosa in chiaro, partendo dall’ip che si analizzano in modo abbastanza invasivo, usando programmi di localizzazione e targeting zoonale. Ora premesso che come utente posso urtarmi che questi arrivino quasi al mio indirizzo e certamente al mio tipo di contratto con il provider adsl, come persona questo è tremendo, potrei anche essere uno con problemi che si connette da un centro di recupero e non volere che la gente on line dove gioco lo sappia.
Capisco che sto estremizzando, ma questa è una violazione pesante che i gestori di nuova generazione scartano con risposte idiote alla “ma no non capisci, ho ragione io, posso fare quello che voglio con i tuoi dati sensibili”, cosa che fa scadere fin da subito il dialogo e blocca ogni possibili risoluzione di problemi vari ed eventuali.
Venendo al motivo del mio post:
Il gdr cd nudo e crudo è vulnerabile, lo sanno tutti, se i cari gestori hanno tutto in chiaro anche l’amabile hacker ha tutto in chiaro e questo è ancora peggio del fatto che ci guardino loro, anche se già questa cosa è scandalosa. Ora non c’è un modo per rendere consapevoli questi gestori allo sbando che aprono land alla spero in dio che il gdr cd nudo e crudo non basta per tutelare i propri utenti? Una sorta di accettazione delle conseguenze, che ci possono tranquillamente essere, in Italia se tocchi gli ip in chiaro scatta l’apocalisse, siamo stringentissimi su questo fronte, quindi è un po’ ora che i gestori per caso se ne facciano una ragione, quindi perché non renderli consapevoli con il pacchetto gdr cd?
Qualcosa del tipo: questo è il gdrcd, senza le dovute precuzioni ed i personali accorgimenti al DB usato e connesso al sito di riferimento si è molto vulnerabili e i dati degli utenti non sono sicuri e tu gestore che firmi e paghi il dominio del sito rischi tot.
Seconda cosa che mi viene da chiedere, oltre l’ovvia segnalazione tramite il canonico form alla polizia postale/comunicazioni, c’è un mezzo più veloce. Premesso che il form funziona, ma richiede tot settimane anche solo la lettura, sarebbe bello non so un mezzo un pochino più veloce. Esiste?
Grazie
19/11/2011 15:25:09 e modificato da leoblacksoul il 19/11/2011 15:28:04
Non credo che esista un mezzo più veloce.
Comunque non credo che ci sia alcuna norma che impone ai gestori di non guardare gli indirizzi IP o gli FQDN dei client che si connettono al loro gioco, anzi la maggior parte dei software anti-spam per siti web usa proprio quelli per riconoscere lo spam.
Quello che non potrebbero fare è sbandierarli in giro.
Non credo che sia una violazione delle privacy se un gestore riesce a risalire al tuo FQDN avendo il tuo indirizzo ip; è una violazione se va a sbandierarlo ai 4 venti. Alla fine se nei termini dell'iscrizione al servizio hanno inserito che il sito registra gli IP e per quali scopi, è perfettamente in loro diritto analizzarli per quegli scopi specifici, e includere tra gli scopi l'analisi degli indirizzi contro spammer o troll credo che non sia niente di anormale.
Poi se io gestore vedo il tuo ip mentre controllo gli ip in cerca di ip di spammer e troll...cosa ci posso fare? Se vedo un ip con un FQDN del tipo "hostXY-ABC-dynamic.DE-FG-r.retail.telecomitalia.it" e ho abbastanza conoscenze per sapere che tipo di contratto è, non è colpa mia. L'ho visto, perchè i termini di servizio me lo permettono, e l'ho riconosciuto, perchè ho certe conoscenze. Risalire agli FQDN in un qualunque host sulla rete non è una cosa illegale (tutti i computer hanno già le funzionalità implementate per farlo nello stack di protocolli), se vuoi nascondere il luogo da qui ti connetti esistono i proxy.
Concordo pienamente con te se il gestore comincia a usare quelle informazioni al di fuori degli scopi permessi dalla legge e dichiarati dal documento dei Termini dei Servizio del gioco.
Poi per il problema dei dati in chiaro e dei gestori ignoranti, concordo. L'ignoranza sulla sicurezza informatica e sulle norme di legge dilaga molto in questo ambiente. Per fortuna per l'utente, la legge non ammette ignoranza.
19/11/2011 16:05:30
Purtroppo no, la legge italiana lo vieta, non c`è dubbio o incertezza in proposito: il dato sensibile IP non può essere visto in chiaro, e se forse qualche escamotage per pararsi ce l`ha il tizio che firma il contratto ed è titolare del sito, per tutti gli altri con il titoletto di Gestore è assolutamente illegale. Tra l`altro è facilissimo scoprire come vanno trattati IP, indirizzi di posta e via dicendo nel DB, basta scaricarsi la legge in proposito che lo dice e spiega anche che no non si possono tenere in chiaro. Di fatto le aziende che operano nell`online marketing hanno contratti speciali per poter usare gli IP e gli indirizzi di posta e pagano fior fiori di soldi per farlo.
Ora o il gestore dimostra di star pagando questi mezzi, ma non può perchè non è a fine esercizio di lucro, o sta violando la legge allegramente. I DB devono essere criptati sui dati sensibili, il sistema può compararli con pratiche query ma no, non può l`essere umano che è lì per scopo amatoriale, non di lucro, guardarsi i dati. Da lì il mio chiedere come mai tutti belli ignoranti ci si lancia nell`apertura di land vulnerabili anche per hacker di bassa lega e nessuno dice niente, alla fine sono dati anche non di chi sta giocando, il tipo di contratto e affini è di chi paga che spesso sono genitori.
E` un problema a cascata abbastanza pesante, e vedere che l`argomento è parecchio ignorato o conosciuto per sentito dire e alla buona non è di aiuto.
Oggettivamente, tu mi parli di trolling, di doppi, e affini. Questo tipo di raffronto lo fa una query, non devi certo farlo tu a mano, e sta lì la dicitura legale: se è un DB a guardarsi l`IP non frega a nessuno, che lo compari che lo confronti, ottimo, leviamo doppi e via dicendo, ma se è l`umano che guarda l`IP scatta il casino. E qualsiasi altro dato per un gdr online è perfettamente inutile, non di competenza dei gestori, qualcosa che come tu direttamente non chiederesti, il tuo utente non è tenuto a dirti, nè per via diretta nè per via inversa magari inconsapevole.
19/11/2011 17:26:39
Ciao, puoi mettere almeno un link alla tua fonte legislativa?
Lo chiedo perchè se diventi anche solo MODERATORE in un forum di forumfree puoi tranquillamente (o almeno potevi fino ad un paio di anni or sono) leggere gli ip associati ai post. E perchè, a quanto ne so io, se la polizia postale mi chiede un ip io sono costretto a fornirglielo, di conseguenza non posso certamente criptarlo con un algoritmo che non ne consenta il recupero.
19/11/2011 17:48:19
Sì, infatti: l'ip (da solo) non identifica univocamente un utente, tranne che per il provider che lo ha assegnato e che può divulgare a chi appartiene solo alle forze dell'ordine, su loro richiesta. I programmi che cercano di trovare l'area di appartenenza di un ip non sono nemmeno troppo accurati, dipende da quanto sono aggiornati, ad esempio ora io vengo collocato in una regione diversa rispetto a quella di reale appartenenza :)
19/11/2011 18:39:39
Mi spiace contraddirti, ma no tu stai citando il pezzo di legge che descrive che cos’è un dato personale e nemmeno hai citato il pezzo in toto, e si l’ip mi dispiace dirtelo è un elemento controverso la sicurezza con cui dici che no non lo è mi sorprende, dato che si è spesso considerato dato sensibile, motivo per cui le aziende hanno un legale apposta per passare i dati dei propri utenti, soprattutto per i problemi di tracciamento. Prendi la tua GDR online che espone dei banner pubblicitari, il network di affiliazione cui sei iscritto ha molti vincoli per i famosi click che deve tracciare dagli ip che rileva quando qualcuno sul tuo sito ci clicca sopra e il tutto per poter assegnare a te publisher la commissione, il tutto rispettando te e rispettando i tuoi utenti. Se potesse fare come dici tu, potrebbe fare la decuplicazioni CLICK doppioni guardando gli indirizzi ip e confrontando il suo tracciamento con quello del cliente di cui espone i banner, ma ecco che la legge italiana blocca, perchè si violerebbe la dannata privacy e quindi esistono scuole sul tracciamento che non violi la visualizzazione in chiaro degli ip. Non sono proprio sicuro che questo sia sinonomo che con gli ip si possa fare quello che si vuole tutt'altro.
Trattandosi poi di mondo italia è il giudice ad avere l’ultima parola e si l’ip non è accantonato come dato non sensibile, tutt’altro, e di certo non è la definizione tecnica tra dato sensibile e dato personale che ci può far archiviare la discussione.
Per il fatto che alla polizia postale si passano invece gli IP va formulato correttamente, alla polizia postale si danno in mano le chiavi del server incluse le chiavi del DB e loro sono autorizzati a guardarselo in forma non criptata.
Le leggi io sinceramente le ho cercate direttamente da un motore di ricerca, ci sono molti archivi, in particolare faccio riferimento a quella del 31/12/1996, ripresa in più punti da quella del 2003.
Inoltre affidarsi al fatto di “ma i programmi di tracciamento spesso non funzionano bene” non è proprio la più grande assicurazione di questo mondo. Può funzionare benissimo, sempre per la serie che non sai mai chi hai dall’altra parte dello schermo e, nei casi peggiori che possono essere specifici al momento, chi ti ha hackerato il sito e ha prelevato i dati. Inoltre continua a sfuggirmi perché un gestore di un gdr online può prendersi il mio IP in chiaro, ben lungi da qualsiasi concetto di sicurezza e metterlo in un programma per l’identificazione zoonale (io personalmente non so elaborare mnemonicamente il dato numerico zoonale nemmeno di un codice fiscale, figurarsi tracciare un IP), non è un processo automatico, bisogna volerlo fare.
Metin2 ↗
19/11/2011 19:08:38
Leggendo la normativa vigente dal sito del garante della privacy mi risulta però questo:
19/11/2011 19:55:08
Una cosa è la modalità con cui i dati devono essere memorizzati sul database. Una cosa è chi può vederli e chi può usarli. Tu stai parlando di tutto insieme.
19/11/2011 21:09:32
Ti richiamo la tua stessa citazione, al punto e)
"e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;"
questo implica che bisogni garantirla, una protezione, e io nel mio messaggio principale parlavo appunto del problema che salta subito all'occhio di cosa succede se un hacker viola un codice pieno di bug e privo di sicurezza minima (se il gestore non si degna di metterla bloccando il database) come gdrcd; la cosa più gettonata in questi casi è proprio il furto di database, qualche blocco minimo deve esserci anche solo per poter denunciare l’invasione poi. Ed è appunto di questo che stiamo discutendo, in teoria, di questo che volevo discutere: sanno che devono fare qualcosa o sono sulla pubblica piazza per chiunque voglia ravanare nel DB, perché così come loro hanno tutto in chiaro ce l’hanno anche potenziali altri?
Inoltre mi permetto di citare un altro pezzo della legge n.675 del 31/12/1996, riguardo ai diritti dell’interessato, ossia del detentore dei dati personali concessi:
“1. I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta.”
cosa che richiama palesemente l’altro punto che mi preme e mi irrita un po’, ossia, capisco le necessità di sicurezza, di doppi, di trolling, di tutto quel che può servire a non danneggiare il gioco, ma io non ho certo autorizzato il gestore a prendersi il mio IP (che comunque si da per scontato che dovrebbe essere protetto), metterlo in un apposito programma, tracciarlo e scoprire più di quanto io potrei volergli dire.
La nota legale, se può interessare, manca direttamente sul sito in questione, tanto per fare prima.
Il fulcro è proprio non fare le cose a casaccio, mettere bene i presupposti e mettere la gente in condizioni di non trovarsi scoperto il proprio IP, e, presumibilmente, anche la password e l’email (se non copri l’IP, al 90% tantomeno stai coprendo quelle), con tutti i rischi del caso.
Tecnicamente, con una corretta query impostata sul database, il DB risulta “blindato” per i tre dati di cui sopra, tra cui l’IP. Fa i raffronti da solo, gestisce la sicurezza, i recuperi dati, da solo gli avvisi. E quindi anche se un hacker ci entra, non fa il bello e il cattivo tempo.
Non volevo creare una discussione sulla teoretica e la definizione di “sensibile” e “personale”. Se è così tanto un problema, modifico direttamente il titolo del post, tanto mi pare che la sostanza resti eccome. Inoltre, per il Trattato di Schengen di cui siamo firmatari, tutti i dati a carattere personale vanno tutelati, e l’IP (nonché email e password a cui sinceramente non voglio pensare, posso dedurlo ma non mi è stata conclamata la lettura e l’utilizzo indebito come per l’IP) ne fa parte, perché si può risalire a molte cose, con programmi che, appunto, dovrebbe poter usare la Polizia Postale, la Magistratura, organi competenti, non un Gestore di Gdr. E ho scritto qui proprio perché parliamo di gdr.
19/11/2011 23:20:16
20/11/2011 01:48:36
In effetti il post sembra unicamente creato per dare sfogo alla frustrazione sui gestori che ignorano ogni tipo di regola, legale o informatica.
Discussione seguita da
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
Il gestore di Il Grande Blu ha risposto alla recensione di spike92
Felix Felicis GdR - Harry Potter GdR: La Resistenza?
CRSED: F.O.A.D. → Brutale sparatutto MMO in cui vince l'ultimo giocatore che resta in vita nell'arena! Ogni giocatore sarà accompagnato da armi realistiche e magie!
venus dormiens ha aperto un annuncio di ricerca: Origo Haeredis - Harry Potter Gdr ricerca Giocatore
Metin2: Server Boost Yohara – Dettagli e FAQ
Sea of Conquest: Ci dai una mano ai #PocketGamer Awards 2024?
goldaries ha recensito Games of Thrones Winter is Coming
Entropia Universe → Lascia che il tuo avatar esplori nuovi mondi e viaggi tra i pianeti in questo stupendo MmoRpg Sci-Fi Free to Play!
spike92 ha recensito Il Grande Blu
World of Warship: Aggiornamento 13.11: anteprima
gdr-online.com ha risposto alla discussione: Parere su BrowserGame
W40K Dathyar: Specializzazioni
Entropia Universe → Lascia che il tuo avatar esplori nuovi mondi e viaggi tra i pianeti in questo stupendo MmoRpg Sci-Fi Free to Play!
NosTale: Ora nel NosMall: dolcissimi mini-pet
DarkOrbit: Aggiorna la scatola dell'Apocalisse!
I dati del generatore di rank sono stati aggiornati!
aik ha aperto una nuova discussione: Parere su BrowserGame
Enlisted → Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!
Migliorare il WiFi - Scopri come migliorare la rete WiFi di casa per giocare online senza lag!
GDRCD e Land - Interessante analisi dei cambiamenti ai gdr-online con l'avvento del GDRCD
YouRole - YouRole..il nuovo mondo dei pbc. Lasciamo la parola all'autore del progetto..
Menzoberrazan - Entra negli oscuri cunicoli dei Drow. Leggi la nostra recensione di questo particolare GDR
Hogwarts la magia antica - Intervista ai gestori del play by forum potteriano Hogwarts, la Magia Antica!
Brightest Star - Intervista allo staff di Brightest Star... il play by chat ambientato in un'università dell'Indiana!
World of Tanks ↗
Pandora Upside Down High School ↗
Sea of Conquest ↗
DarkOrbit ↗.png){kind=avatar}
Lineage II ↗
Pirates of the Caribbean ↗
