תגובות לפוסט: "בנק ישראל מכסת"ח" http://eesh.net/blog/?p=400 הבלוג של לירון Sat, 09 Aug 2014 21:28:12 +0000 hourly 1 http://wordpress.org/?v=4.1.1 מאת: לירון http://eesh.net/blog/?p=400&cpage=1#comment-7918 Fri, 18 Dec 2009 00:51:25 +0000 http://eesh.net/blog/?p=400#comment-7918 הבעיה היא שזה מידע שכן צריך שיהיה נגיש לציבור כשהוא רלוונטי, אבל עלולים לעשות בו שימוש לרעה אם מתייחסים אליו כשהוא כבר לא רלוונטי.

לדעתי, זה פשוט צריך להיות עניין של אכיפת חוק: שיהיה כתוב שם בבירור שאסור להשתמש בזה (בצורות כאלה ואחרות) אחרי שפגה ההגבלה, וזהו. אי אפשר להגן על זה טכנולוגית.

ועניין ה-POST נאמר לא בהקשר הזה, אלא כהתייחסות לכך שאם הם כבר החליטו (בטעות לדעתי) שצריך להגן על זה, הם עשו את זה בצורה עלובה, וזה מדאיג, כי זה מראה איך הם יגנו על דברים שבאמת צריך להגן עליהם.

]]> מאת: אורן http://eesh.net/blog/?p=400&cpage=1#comment-7917 Thu, 17 Dec 2009 23:58:14 +0000 http://eesh.net/blog/?p=400#comment-7917 דרך אגב בנק ישראל ואבטחת מידע, נושא קצת יותר פעוט, אבל הדומיין הישן שלהם שעדיין בבעלותם, bankisrael.net, כבר שנים שלא מצביע על כתובת ה- IP הנכונה.

בעבר הוא הצביע לגמרי במקרה על כתובת ה- IP האמיתית של המעסיק הקודם שלי, וכרגע היא שונתה להצביע על 127.0.0.1. שזה במובן מסויים הרבה יותר גרוע, ומזמין תרגילי פישינג למיניהם.

]]> מאת: אורן http://eesh.net/blog/?p=400&cpage=1#comment-7916 Thu, 17 Dec 2009 23:55:16 +0000 http://eesh.net/blog/?p=400#comment-7916 סחטיין על החשיפה, אבל, מעבר לכל ההתראות, לא הצלחתי להבין האם זה באמת מידע רגיש שלא ראוי שיהיה זמין באופן חופשי לציבור?

ההצעה של לשנות את זה מ- GET ל- POST או כל הגנה אפילו יותר מתקדמת היא כלל לא רלוונטית, להפך, אני מעדיף שתהיה דיכוטומיה:
א. מידע רגיש: שיהיה תחת אבטחה סופר קפדנית, לא זמין באינטרנט וגם בתוך רשת הארגון יכיל סימונים והגנות נגד הדלפות.
ב. מידע שאינו רגיש: זמין וחופשי לכולם.

כל הגדרות הביניים האלה "אז שיהיה קצת מאובטח" רק מבלבלים אנשים לא טכנולוגיים ומהווים, כפי שאתה אומר, כסת"ח.

]]> מאת: לירון http://eesh.net/blog/?p=400&cpage=1#comment-7912 Wed, 16 Dec 2009 17:46:41 +0000 http://eesh.net/blog/?p=400#comment-7912 אני לא חושב שזו תיבת הסימון עצמה, אני חושב שזו הכוונה שלהם כלפיה, כפי שהבנתי אותה גם מזה שהם מצפים ממי שרוצה גישה אוטומטית לפנות טלפונית לקבלת אישור וכתובת.

]]> מאת: שי ש http://eesh.net/blog/?p=400&cpage=1#comment-7909 Wed, 16 Dec 2009 09:32:51 +0000 http://eesh.net/blog/?p=400#comment-7909 אני חושב שאתה מייחס יותר מידי משמעות לתיבת הסימון – כל המטרה שלה היא להוכיח מבחינה משפטית שאכן הסכמת לתנאים.

]]> מאת: לירון http://eesh.net/blog/?p=400&cpage=1#comment-7899 Wed, 16 Dec 2009 00:16:19 +0000 http://eesh.net/blog/?p=400#comment-7899 לא הרבה. :) עליתי על העניין הזה במקרה והוא נראה לי ראוי לפוסט. מאז שהתחלתי לעבוד אין לי כוח לכתוב על "החיים" כל כך… או בכלל, האמת. לכן הבלוג שומם…

]]> מאת: לירון http://eesh.net/blog/?p=400&cpage=1#comment-7897 Wed, 16 Dec 2009 00:06:14 +0000 http://eesh.net/blog/?p=400#comment-7897 קודם כל, אני כן בעד שימצאו דרך לשמור על הפרטיות של החייבים. אפשר וצריך למצוא פתרון, וכזה שלא כולל דרישות דרקוניות ובלתי ניתנות לאכיפה.

מעבר לזה, הקובץ בנוי ככה שאי אפשר ממש לגגל אנשים. אני בטוח שזה לא משהו מכוון, אבל לפחות הקובץ שנתתי כדוגמא הוא פשוט גוש מספרים, וגם בגרסת האקסל שלו, הוא רק מספרי חשבונות ותאריכים (עד כמה שזכור לי).

מעבר למעבר לזה, בהנחה שהאתר שלי לא מתחזה לאתר של בנק ישראל (ז"א, לא phishing בצורה כלשהי), מי שמוריד קובץ "רשמי" של בנק ישראל ממני ואיכשהו מאמין למידע שם, ולא משנה איזה מידע, הוא חסר אחריות. במיוחד בסיטואציה עסקית.

הפואנטה של הפוסט הזה היא לא שלא צריך לשמוא על המידע הזה, אלא שבנק ישראל כביכול שומר עליו, אבל בעצם ממש לא. אני חושב שאבטחה שקרית היא גרועה יותר מאפס אבטחה (ידועה), ממש כמו שעדיף לי לדעת שאין לי מנעול על הדלת (כי אולי אני אשאר ער בלילה לשמור עליה) מאשר לחשוב שיש לי מנעול תקין, כשהוא בעצם פרוץ. לכן חשוב לחשוף דברים כאלה, ועל אחת כמה וכמה כשמדובר במשהו שעד לפני שבוע (או פחות) היה חשוף לגמרי בלאו הכי.

]]> מאת: עידוק http://eesh.net/blog/?p=400&cpage=1#comment-7896 Tue, 15 Dec 2009 22:50:04 +0000 http://eesh.net/blog/?p=400#comment-7896 נניח שאתה מעלה את הקובץ לאתר שלך, ובעדכון הבא בנק ישראל מסיר ממנו את שמו של משה משה, שחשבונו כבר לא מוגבל.

מישהו מקבל צ'ק ממשה משה, ובמקום להוריד את הקובץ הכבד של הבנק, עושה מה שאדם סביר עושה: מגגל את משה משה. הוא מוצא את שמו ברשימת החשבונות המוגבלים שפרסם בנק ישראל, ואשר מופיעה באתר שלך. אותך הוא לא מכיר, הוא לא יודע מה האמינות שלך, אבל בנק ישראל זה גוף אמין. אז הוא אומר למשה משה, "שמע, החשבון שלך מוגבל, אני לוקח ממך כסף רק במזומן".

משה משה תובע את בנק ישראל על הוצאת דיבה ופיצויים על הנזקים שנגרמו לו. בנק ישראל פונה אליך ודורש שתשפה אותו, כי בהורדת הקובץ התחייבת לא להפיצו הלאה, ולמחוק ממנו "כל מידע המצוי בו לגבי כל חשבון ולקוח שהגבלתו הסתיימה, וזאת עד שנה מסיום ההגבלה. לשם כך אני מתחייב לקבל על עצמי כל אחריות לביצוע האמור ולהשקיע על חשבוני את המשאבים הנדרשים לשם כך".

אותו דבר אם חשבונו של משה משה הוגבל, אבל העותק שיש באתר שלך לא עדכני, ומשה משה עדיין לא מופיע בו; במקרה הזה, התובע יהיה זה שהסכים לקבל ממשה משה צ'ק על סמך הרשימה באתר שלך.

מצד שני, רק מי שהוריד את הקובץ במקור "התחייב" לא להפיצו הלאה. אם מישהו כזה שלח לך את הקובץ, אתה לא חתום על שום דבר, ובנק ישראל יכול ככל הנראה לקפוץ לך.

]]> מאת: זליג http://eesh.net/blog/?p=400&cpage=1#comment-7895 Tue, 15 Dec 2009 22:11:34 +0000 http://eesh.net/blog/?p=400#comment-7895 כל הכבוד על הפוסט, אבל אני לא מבין למה האתר של בנק ישראל מעסיק אותך באופן יומיומי. מה חדש בחיים שלך שאני לא יודע? :-)

]]> מאת: איתן http://eesh.net/blog/?p=400&cpage=1#comment-7894 Tue, 15 Dec 2009 22:02:10 +0000 http://eesh.net/blog/?p=400#comment-7894 זה מזעזע בכל כך הרבה רמות. אני רוצה להסיט את תשומת הלב לבעיה שלא ממש שמת עליה דגש – המדינה מפרסמת מידע כלשהו (נקרא לו: האמת).
מחר המדינה מגלה שהיתה לה טעות בנתונים, מפרסמת אמת חדשה, וכל מי שאי-פעם פרסם הלאה את המידע הזה חייב להשמיד עותקים ישנים ולאמץ את האמת החדשה?!
זה לא מסיר כל אפשרות לביקורת ציבורית על בעיות של המדינה?
לא נכתב איזה ספר דיסטופי אחד או שניים על העניין הזה? (1984, 451…)

]]>