A Hotmail levélügy után szigorít a vizsgálódásaival kapcsolatos irányelvein a Microsoft

Microsoft, Windows

Bírósági dokumentumokból derült ki, hogy a Microsoft még 2012-ben belenézett egy francia blogger Hotmail postafiókjába, mert azt az információt kapta, hogy a blogger proprietary Microsoft kódok birtokába jutott.

Egy, a Microsoft-tól a neve elhallgatását kérő forrás 2012. szeptember 3-án kapcsolatba lépett a Microsoft Windows divíziójának akkori elnökével, Steven Sinofsky-val és azt állította, hogy egy blogger kapcsolatba lépett vele és proprietary Microsoft forráskódokat adott át neki vizsgálat céljából. A blogger jobban meg szerette volna érteni, hogy a szóban forgó kódok mire valók, ezért kérte meg a forrást, hogy az vizsgálja meg számára. A Microsoft saját biztonsági vállalata, a Trustworthy Computer Investigations (TWCI) meghallgatta a forrást majd átnézte a forráskódokat. A kódok átnézése után kiderült, hogy azok a valóban a Microsoft proprietary kódjai.

A forrás szerint a blogger egy Hotmail fiókot használva vette fel vele a kapcsolatot e-mailben. Miután kiderült, hogy a kód valóban a Microsoft tulajdona, 2012. szeptember 7-én a redmondi vállalat Office of Legal Compilance osztálya megadta a hozzájárulást ahhoz, hogy adatokat szedjenek ki a blogger Hotmail fiókjából.

A vizsgálódás során arra jutottak, hogy egy Microsoft alkalmazottól, bizonyos Alex Kibkalo-tól kerülhettek a kódok a francia bloggerhez. Ezután az ügy az FBI-hoz került, ami 2013 júliusában megkezdte a nyomozást. Végül Kibkalo ellen ezen a héten vádat emeltek Microsoft ipari titkok eltulajdonítása miatt.

Ugyan az privacy aggályokat vethet fel, hogy a Microsoft bírósági felhatalmazás nélkül keresett bele az egyik felhasználója adataiba, mégis jogszerű lehet, mert a redmondi vállalat online szolgáltatásaival kapcsolatos privacy állásfoglalásában benne van, hogy a Microsoft és ügyfeleinek jogai és tulajdonai védelmében hozzáférhet felhasználóinak kommunikációjához.

Az eset a napokban széles nyilvánosságot kapott, John Frank, a Microsoft egyik helyettes jogtanácsosa pedig blogbejegyzésben magyarázta el álláspontjukat.

Frank leírta, hogy noha szerintük jogszerűen és a saját irányelveiknek megfelelően jártak el ebben a kivételes esetben, megérti, hogy az embereket az eljárásuk aggasztja. Éppen ezért szigorítanak a vizsgálódásaikkal kapcsolatos irányelveiken. Hogy hogyan és mi módon, az elolvasható itt.

A többség nem sír. A többség megadja a jelszót, állítsam be, nézzem meg, (idegen helyen is volt már ilyen)... egyszerűen nem érdekli őket a biztonság, elemzés. Pár Ft kedvezményért megadják a személyes adataikat, vásárlásaik adatait az üzletláncoknak. .............

Sok embernek most is nehézségekbe ütközik az alap szoftverek használata is, vagy csak nagyon törekednek a lehető legegyszerűbb használatra (nincsen jelszó bejelentkezésnél, eltárolják a jelszavakat,...). GPG esetén rendszeresen meg kéne adni a jelszót, mobilon is, ami egy újabb macera a napi használat során. Ha eltároljuk a jelszavakat, akkor már lehet nem is nyertünk semmit a használatával. Aztán ott a levelező partner. Ha nálad nem is tudnak adatot gyűjteni, mert van egy szuper biztos rendszered, hatalmas tudásod biztonság terén, majd nála fognak.

A GPG szoftveres támogatottsága jelenleg annyira gyenge, hogy esélytelen az elterjedése. Kis túlzással Thunderbird-re lehetne korlátozni a levelezést, a mobil kliensek kiesnének.

Hányszor találkozunk azzal, hogy valaki elfelejtette a jelszavát. Ez esetben annyi lenne az egész levelezésének, hiába van mentés szerver oldalon. ...

A GPG hétköznapi bevezetése átlag felhasználók számára, irreálisan sok munka lenne, rengeteg probléma merülne fel, és magába a GPG nem is oldaná meg az alap problémákat, csak javíthatna rajta (átmenetileg).

Kíváncsi lennék, mit lépnének a kormányok, cégek, ha a többség elkezdene titkosított kommunikációt használni.
Hirtelen törvényileg tiltva lenne az erős titkosítás? Az adatgyűjtést teljesen átvennék a böngészők, levelező kliensek vagy maga az oprendszer?

Az általam linkelt szavazás eredményéből nem derül ki, hogy ki milyen cégnél dolgozik, milyen gyakran csinálja, ... de szerintem az legalább ugyanakkora problémát vázol fel, mint a nagy infó cégek adatgyűjtése, ill x évente belenéztek y ember fiókjába (guglinál is volt már ilyen, csak ott valami féltékenységi ügy volt a háttérben).

A kormányoknak és azoknak a cégeknek, akik érdembe tehetnének a biztonságosabb rendszerek, kommunikáció érdekébe, pont nem érdeke, hogy tegyenek. Azaz elég nagy összefogásnak kéne lenni ahhoz, hogy történjen valami.

( dblaci | 2014. 03. 23., v – 06:23 )

Szinte fáj leírni, mert nem vagyok egy M$ rajongó, de ha ez így konkrétan kikötés volt a feltételekben, hogy megtehetik, akkor igaza van az M$-nek.

Ez így teljesen rendben is van. Viszont ideális érvet ad a sztori az elvakult "rakjunk mindent a cloudba mert a felhős ég olyan szép és jó" hívőkkel szemben: láthatóan igenis meg van jogászkodva, hogy belenézhetnek az ott tárolt adataidba, ha az érdekük úgy kívánja - és [olvasgassa az ezer szolgáltató párezer EULA-ját és adatvédelmi szabályzatát az a jogász, akinek hat anyja van] valszeg a többieknél is ugyanez van.

(aminél beleolvastam a terms of use-be az a Prezi volt: az ingyenes cuccoknál gyakorlatilag csak a szerzői jogodról nem mondasz le [arról afaik nem is tudsz], minden jogot átadsz a Prezinek ÉS 3RD PARTY PARTNEREINEK (!!!), hogy olvasgassák, felhasználják reklámtevékenységre ésatöbbi. Fizetősnél meg - az ott is szereplő utolsó kitétel szerint - még ha törlöd is a francba a prezit és az account-ot, a Prezi fenntartja a jogot, hogy az idők végtelenségéig megőrizze egy példányát, mert csak; amit a szöveg alapján nem tudnának semmire használni, még csak meg sem nézhetik, mert minden más jogot visszavonsz tőlük, de biztos megjogászkodták, hogy ez nekik hasznos legyen.)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> az ingyenes cuccoknál gyakorlatilag csak a szerzői jogodról nem mondasz le [arról afaik nem is tudsz], minden jogot átadsz a Prezinek ÉS 3RD PARTY PARTNEREINEK (!!!), hogy olvasgassák, felhasználják reklámtevékenységre ésatöbbi.

Az ingyenes Prezi amúgy eleve csak nyilvános prezik készítését engedi, azaz kérdés nélkül engedélyt adsz mindenkinek, hogy olvasgassa. Én azon szoktam röhögni, hogy állami cégek és nagyvállalatok néha sajnálnak kipengetni havi 5 dollárt, hogy ne legyenek nyilvánosak a szaraik. :D

"még ha törlöd is a francba a prezit és az account-ot, a Prezi fenntartja a jogot, hogy az idők végtelenségéig megőrizze egy példányát, mert csak; amit a szöveg alapján nem tudnának semmire használni, még csak meg sem nézhetik, mert minden más jogot visszavonsz tőlük, de biztos megjogászkodták, hogy ez nekik hasznos legyen"

Szerintem itt pont technikai okok miatt jogászkodnak. Mert így ha ott találnak egy 5 éves mentést, vagy egy vinyó egyik szektorában ott a te cuccod, akkor is be vannak védve jogilag.

Érzik ők is, hogy a história egy kicsit meredek. A szomorú az, hogy Gmail Man-eznek orrba-szájba, de semmivel sem különbek. Ahhoz, hogy szigorítsanak, az kellett, hogy kipattanjon az ügy. Bírósági dokumentumokból derült ki, hogy mi van és 2012 óta nem gondolták maguktól, hogy ez így nincs jól. Nyomozgattak, kihallgattak, mintha bűnüldöző szervek lennének.

A helyes eljárás az lett volna, hogy a birtokukba került információkkal megkeresik azonnal az FBI-t, aztán majd az belenéz a levelezésbe. Ezzel elkerülhették volna azt, hogy árnyék vetüljön rájuk.

--
trey @ gépház

A szomorú az, hogy Gmail Man-eznek orrba-szájba

Nem akarom a Microsoft-ot védeni, de ez jogos: a kugli bevallottan ipari méretekben elemzi a levelezgetéseket, az MS jelenlegi ismereteink szerint csak speciális esetben kézzel olvas bele. És akkor lehet vitatkozni arról, hogy melyik a rosszabb/jobb (egyik se jó, mindkettőt fel kell gyújtani, lángoljon az egész :) ), de a kuglinál ott van, hogy olyan emberek levelezgetésébe néz be AUTOMATIKUSAN, akik semmilyen jogi kapcsolatban nem állnak a Google-vel, mint céggel (nem gmail felhasználók, csak jobb híján oda kellett küldeniük egy levelet)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

" jelenlegi ismereteink szerint"

Sálálllááálláá lá, "tegnapi ismereteink" szerint a fenti ügy sem létezett. Nem is tudnál róla, ha a valaki bele nem olvasott volna mélyebben a bírósági aktákba és ki nem szúrta volna.

"de a kuglinál ott van, hogy olyan emberek levelezgetésébe néz be AUTOMATIKUSAN"

Ehhez képest láttál-e már Gmail Man reklámot? Mit sugallnak a hozzá nem értőknek?

--
trey @ gépház

Sálálllááálláá lá, "tegnapi ismereteink" szerint a fenti ügy sem létezett. Nem is tudnál róla, ha a valaki bele nem olvasott volna mélyebben a bírósági aktákba és ki nem szúrta volna.

Pont ezért írtam oda a jelenlegi ismeretink szerintet ;) [ártatlanság (bwahahahahahhahahahaha :D) vélelme és hasonlók, ugyebár]

Ehhez képest láttál-e már Gmail Man reklámot? Mit sugallnak a hozzá nem értőknek?

Hogy kulcsszavakat keres és ez alapján hirdetéseket dob fel (ami azért messze a legkisebb gond vele, a profilozás már problémásabb - kíváncsi vagyok, hogy hány nap alatt tudnám csak Gmail levelezgetéssel felvenni magam az FBI/CIA/NSA/... összes terrorista-listájára a megfelelő kulcsszavakra)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Engem sokkal kevésbé zavar az, ha egy robot automatikusan elolvassa az összes e-mailemet és az olvasottak alapján megpróbál hirdetéseket nyomni a képembe, amelyeket az AdBlock úgyis megfog, mintha emberek célzottan az én e-mailjeimet olvasgatnák. Mondjuk ez utóbbi se zavarna különösebben, nem titkolózok e-mailekben :-D

Nos.
Az a robot első körben profilt épít.
A hirdetés targetálás ennek csak az egyik felhasználása.

Képzeld el, amikor az ismerősöddel megvitatod (gmail, hangout, stb) a veseproblémádat, majd nem sokkal később a biztosító emeli az egészségbiztosításod összegét. Ugyan Magyarországon ilyen __még__ ne történik, de csak pár évet kell várni rá.

Az még a humán telefonközpontok idejében alakult ki. Volt rá példa, hogy a "kapcsoló" levegővétele is behallatszott egy beszélgetésbe. A cigiszünetekben meg ment az egyeztető beszélgetés a környékbeli hírekről. Aki meg olyan volt, annak a vonala már eleve külön asztalhoz volt kötve. Azoknál elektromos zörejek fordultak elő, amikor máshová is továbbkapcsolták a beszélgetését, mert nem az anyósát hívta. Volt olyan is, amikor az illetékes nem volt bent, akkor nem kapott kapcsoló vonalat az illető. Akkor a szomszédba ment telefonálni, mert onnan meg volt.

Persze volt személyes átkötés is egy másik kapcsolóasztalra a kifigyelt pasi miatt ;)

Tényleg, a mai technikában már a beszélgetések visszahallgathatósága, értelmezése, elemzése, is benne van...

Amikor először láttam, jót röhögtem rajta (nem mostanában volt).
Egyre kevésbé találom humorosnak...
Google és társai, pénztárgépek bekötése az APEHNAVTEK-hez, a legújabb, hogy pl. a háziorvosom valamennyi egészségügyi adatomat láthatja, tán még azt is, hogy milyen vény nélküli gyógyszereket vettem a patikában, milyen rendeléseken jártam, ahová nem kellett beutaló stb...
Szóval tényleg kezd elég riasztóvá válni az egész, ha alaposabban belegondolok.

Teljesen mindegy, hogy megteheti-e. Ezeknek a cégeknek is meg kell élni valamiből. Az iWiW, Facebook, stb. cégek értékét is a profiling adta.
Jogi csavarokkal nagyon sok mindent meg lehet ám oldani. Nyilván a biztosító fogja bevallani a díjemeléskor, hogy a tudomására jutott az információ. Másra fog hivatkozni. Mondjuk kitalálnak valami bonyolult módon számított faktort, hogy ,,pont úgy jöjjön ki''.
Az információ eladása sem direktben történik. Pl. offshore leányvállalatok véletlenül pont közös szervert használnak, és egy bug miatt ,,véletlenül'' pont hozzáférnek az adatokhoz. Cserébe valami kamu szolgáltatásért fizetnek.
Ha nekem kéne ezt elintézni, valahogy így csinálnám.

Elméletileg ilyen adatokat nem ad/adhat ki a Google. Úgy gondolom, hogy jelenleg a gyakorlatban sem teszi meg. Később ez lehet, hogy változni fog - akkor el fogok gondolkodni azon, hogy a biztosítási díjam növekedése a rosszabb vagy az, ha nem használom a google szolgáltatásait.

"Képzeld el, amikor az ismerősöddel megvitatod (gmail, hangout, stb) a veseproblémádat, majd nem sokkal később a biztosító emeli az egészségbiztosításod összegét. Ugyan Magyarországon ilyen __még__ ne történik, de csak pár évet kell várni rá."

Tudsz mondani olyan országot, ahogy ilyen __már__ történt? (szerk.: mármint bizonyíthatóan, kugli közreműködéssel, stb.)
Mert ha nem, akkor ez bizony FUD.

Ahogy kinéz valszeg halott leszek.
Amúgy meg az összes eü. adatodat látja a háziorvosod. Meg az oep. Meg ki tudja még kicsoda. És részletesen, pontosan, nem csak pletyka szinten.

Szóval ha az én eü adataim kikerülnének, akkor valszeg nem gúgeltől kerülnének ki, hanem, ugye.

Az a baj, hogy nem csak az összes eü adatodat látja az orvos, meg az OEP, hanem például azokat a vizsgálatokat is, amiken életedben nem voltál...
Akinek van hozzáférése az ügyfélkapuhoz, érdemes megnézni a betegéletút alatt található adatokat.
Sokáig csak UL-nek tartottam, hogy egyes orvosok belehazudnak mindenfélét, de az utóbbi pár évben olyanokat láttam a sajátomban, hogy a hajam égnek állt tőle. :(
Ha egyszer ezen fog múlni a biztosítási díjam, akkor vajon hol fogok tudni panaszt tenni, hogy a töredékét nem végezték el rajtam?

"hanem például azokat a vizsgálatokat is, amiken életedben nem voltál..."

Hehe, kis mellékest összekattingatott az asszisztens :-) Ilyenek nálam is simán megvannak.

Nameg amikor kiengednek a kórházból szerdán, de vasárnapig kiírnak (kell a zsé), s a 64 papír között "véletlenül" aláíratnak olyat is, hogy saját felelősségre, idő előtt hagyod el a kórházat... OEP-nek nem tűnik fel, hogy duplán fizet ágy után?!

Nálam a legdurvább az volt, hogy két dokinál is kétszer voltam beírva, pedig az egyiktől eleve úgy jöttem el, hogy ide soha többé, a másiknál meg akkoriban voltam először, a következő alkalmat meg sem beszéltük, de beírt valaki, hogy ott jártam. Szünnapon.
A többi csak olyan kezeléseket sorolt fel, amikről nem is hallottam.
A furcsa az egészben, hogy pár éve nem voltak ilyen hibák a saját listámban, most meg szinte tömegesen. :(

Ez egy külön probléma, de legalább ne segítsük az adatgyűjtést, védjük az adatokat amennyire lehet, amennyire érdemes.
Egyébként tudok olyan esetről, amikor büntettek már meg olyan kórházi alkalmazottat, aki kolléga adatait lekérte többször. Logolják a hozzáféréseket.

Nem is olyan regen ennel sokkal cifrabb torvenyek voltak napirenden (egeszsegpenztarakrol szolo torveny):

"104. § (4) A kezelő szerv jogosult a 100-101. §-ok szerinti
megtérítési igényt megalapozó eseménnyel kapcsolatban a más hatóságnál, illetve egyéb szervnél indult eljárás során hozott, a megtérítési igény elbírálásához szükséges döntés megismerésére. A döntés alapjául szolgáló iratokba a kezelő szerv betekinthet, és azokról másolatot készíthet. A kezelő szerv megkeresésére a kért iratok másolatát az érintett szerv 30 napon belül megküldi a Felügyelet részére."

Engem meg sokkal inkább zavar az, hogy az én levelembe is beleolvas bármi/bárki a hozzájárulásom nélkül csak azért, mert az az ember, akinek írok, vagy akitől levelet kapok, akkora pöcs, hogy csak gmailes címe van, és még büszke is rá.
És akinek inge, veheti is magára :D
--
PtY - www.onlinedemo.hu

A gmail adta kényelem, minőség felül ír mindent.
Na de ha váltani is akar, mire váltson az ember? Az jobb, ha az MS, Yahoo, ...elemzi? Az jobb, ha a céges rendszergazda (kollégád), vérpistike (hosting cége) olvassa a leveleket? Jogi, technikai és emberi részről is sok változást igényel a probléma megszüntetése (jelentős javítása).

Persze mondhatod, hogy a gmail-től minden jobb, mert ők az adataidból, szokásaid elemzéséből,... élnek, az MS legalább csak "mellékesen" gyűjt adatokat. Szerintem egy kategória az összes ilyen (ingyenes) szolgáltató.

Értem a problémádat, és teljesen jogosnak tartom. Azt viszont nem látom, hogy lehetne globálisan kezelni.

Levél küldés (és minden egyéb kommunikáció) előtt el kéne fogadni a másik szolgáltató/ország szabályzatait?

Legyen egy szolgáltató összesen?

A legtöbbször oda jutunk, hogy ezek ellen, csak a titkosítás segít (segítene). Az viszont egyéb problémákat vet fel. Nem is keveset.
Pl.: a Google és társai olyan ingyenes levelezőket,... fognak adni, amik továbbra is adatokat fognak gyűjteni, az ingyenességért cserébe. Legfeljebb nem közvetlenül tőled, mert te odafigyelsz rá.
Nagyon sok energia befektetés mellett, kevés javulásra látok esélyt.
Gondolod feladják a multik, az adatgyűjtést, amikor azon múlhat a cég sikere?
Gondolod a kormányok tesznek érdembe is bármit, ami lassítja a gazdaság pörgését?

Globálisan úgy lehetne kezelni, ha a Google csak és kizárólag olyan leveleket nézhetne át "automatikusan", amelyeknek minden érintettje a Google által kezelt domainekben van. Ha egy adott levél címzettje/feladója más is, akkor ahhoz ne nyúlhasson hozzá még az automata sem.
Igen, nem lenne egyszerű ellenőrizni, de nem is lenne lehetetlen.
És ezt a részét a többi szolgáltató is kezelhetné így, nem csak a kugli.
--
PtY - www.onlinedemo.hu

Ez jó gondolat, csak túl sok üzleti érdeket érint. Gyanítom, hogy egy ilyen szabályozás globálisan kihathat a kereskedelemre. Mellékesen ellenőrizhetetlen, hogy betartják-e teljesen.
A Google nagyon profin csinálja, amit csinál. Valószínűleg rengeteg eszközt, szolgáltatást azért veszünk meg, mert megfelelő reklámokat nyomnak a képünkbe.
Melyik kormány szeretné rontani a saját piacát?

Nem teljesen ellenőrizhetetlen, de szúrópróba szerűen, vagy akár automatikusan is ellenőrizhető ha pl. a levelek automata elemzése egy harmadik fél felügyeletében lévő infrastruktúrán keresztül naplózódik.

Az, hogy profin csinálja-e, nem szempont abban a tekintetben, hogy sérti-e valakinek a jogait, vagy sem.
Ha valakit megkéselnek a nyílt utcán, vagy messziről sniperrel leszedik, ugyanúgy gyilkosság, még ha az utóbbi profi munka, akkor is ;)

bela@sajatszerver.sajatdomain nem vett semmilyen szolgáltatást, mégis elemzik a leveleit, ha pl. gugibutyok@gmail.com a címzettje a levelének.

A kormányokat meg végképp hagyjuk ki a sztoriból, mert annak csak rossz vége van.
--
PtY - www.onlinedemo.hu

"ne a más fa..ával verjük a csalánt"

Pontosan, ez lenne a megoldás.
Szóval ha téged _valóban_ annyira zavar, hogy a kugli robotok ellenőrzik a hihetetlenül értékes leveleidet, akkor ne levelezz gmail címmel. Vagy csinálj egy címet ami sehogy se köthető hozzád. Vagy kisnyúl.
Mert meg tudnád oldani ha akarnád, de úgy látszik hisztizni egyszerűbb, kényelmesebb :)

Hiába váltok, ha a másik félnek gmail-es címe van. Sokan továbbítják gmail-es fókba a céges leveleket is, azaz lehet nem is tudsz róla.

Vagy csinálj egy címet ami sehogy se köthető hozzád.
És soha nem lépjek be olyan gépről, amiről más email címet is használok, soha ne írjak régi ismerősnek róla,...
Ma már elég nehéz új életet kezdeni a neten.

Viszont azt se tudod, hogy a másik oldal leveleit mikor olvasgatja egy céges rendszergazda, vagy a szolgáltató rendszergazdája, egy féltékeny haxor istvás, stb., vagy épp mikor adja meg a másik fél a facebook-nak a hozzáférést a levelezéséhez, hogy összegereblyézze neki a kontaktokat, stb.

Vagyis vagy titkosítva levelezel, vagy tudomásul veszed, hogy a leveleidet bárki elolvashatja.

Azt valóban nem tudhatod, viszont az - ha kiderül - bűncselekmény.
Amit a Gugli művel - szerintük -, nem az, mert az elfogadott EULA-val takaróznak, amit csak az egyik fél fogadott el.
Egy félmegoldással próbálnak legalizálni valamit, és olyanok jogait sértik, akik ehhez nem járultak hozzá.
--
PtY - www.onlinedemo.hu

Már bocsánat, de olyan adatokról beszélünk, amiket plain text küldözgetünk az interneten és amit szintén titkosítás nélkül tárolunk. Némi túlzással csak az nem nézi meg, aki nem akarja.

És értem én, hogy neked pont a google miatt csíp a pisi, de akkor sincs igazad. Nincs itt semmilyen takarózás vagy bármi hasonló, jogilag teljesen tiszta a működésük, akár tetszik neked akár nem.
Ugye nem gondolod komolyan, hogy ha jogilag fel lehetne ellenük lépni akkor azt ne tették volna már meg...

Szerintem ez nem jogi kiskapu, bőven nem. Itt van két fél, a levél tartalma megjelenik mindkét félnél, és mindkét fél a saját "szolgáltatója" szabályait fogadja el. Egész egyszerűen nincs mód arra, hogy egy már elküldött levél további sorsát befolyásold. Pontosabban 2 lehetőség van: titkosítasz vagy nem levelezel.

+1 Azt olvastam még egyszer régen, amikor internetet kezdtem használni, hogy ha titkosítás nékül levelezek, az olyan, mintha nyílt levelezőlapon írnám meg a dolgokat.
Bárki elolvashatja, akinek a kezébe kerül.

Így persze a postás is.

Ugyan nem szoktam titkos dolgokat írni, de ha egyszer eljönne rá az igény, akkor vagy titkosítanék, vagy nem írnám le, hanem megbeszélném személyesen.

"És értem én, hogy neked pont a google miatt csíp a pisi, de akkor sincs igazad."
Nem, nem érted, és nem pont a Google miatt. Mindegyik szolgáltató miatt, csak épp a Google ellen jelenleg folyó per is van pontosan emiatt - Kaliforniában.
Ezért hoztam példának a Google-t.

Amúgy meg az, hogy ha valami plaintaxt közlekedik itt-ott, még nem jogalap arra, hogy illetéktelenek belenézzenek.
Egy publikus vonal sniffelése is bűncselekmény, nem lehet avval védekezni, hogy "én csak a titkosítatlan információkat nézem, kérem"...
--
PtY - www.onlinedemo.hu

> Amúgy meg az, hogy ha valami plaintaxt közlekedik itt-ott, még nem jogalap arra, hogy illetéktelenek belenézzenek.

- Lehet, hogy a természettudományos beállítottság teszi, de sosem értettem, miért engednek meg egyesek maguknak ekkora naivitást.
A jogalap önmagában egy nagy kalap szar. Kiváltképp IT területen, ahol a jogszabályok (és a törvényhozók szakirányú ismeretei!) messze idejét múltak a legtöbb országban.
Ráadásul ez az egész jogászosdi életidegen. Például nagyon nehéz bizonyítani, hogy valaki a saját rendszerén tárolt adatokba belenézett-e vagy sem. Praktikusabb potenciálisan számolni azzal, hogy ha megteheti, bizony néha meg is teszi.
Kétszer is jártam úgy, hogy kisvárosi bankban az ügyintéző ,,elkotyogott'' bizalmas információkat az ismerősének (elvileg banki titkokat!) számomra ezzel hátrányt okozva. A bíróság előtt mégsem tudnám bebizonyítani soha, hogy mi történt, és imho nem is érdemes erőltetni ezt a vonalat. Naiv, aki azt hiszi, hogy majd pont a jog védi meg ilyen esetekben. Egyébként is, ilyen típusú káreseménykor, mint ami történt, az eredet állapot eleve helyreállíthatatlan lenne még akkor is, ha bármit bizonyítai lehetne.
Persze vannak emberek, akik ilyenkor direkt élvezik, hogy kardoskodhatnak a vélt vagy valós igazukért, mutogathatják a jogszabályokat, szardobálásba kezdhetnek. Perverzebbek azt is élvezik, amikor az ellenoldal visszadob.
Szerintem azonban ez rohadtul nem konstruktív hozzáállás. Egyrészt én nem ettől érzem fontosnak magam. Másrészt nincs nekem ilyesmihez se kedvem, se időm. Harmadrészt egy baromságnak tartom az egészet.
Ha sima levelezőlapon levelezel, el KELL fogadd, mint kockázatot, hogy a postás beleolvashat. Az más kérdés, hogy szokott-e, vagy milyen gyakran szokott. Potenciálisan számolni kell vele, és kész. Mert nincs security measure, ami megakadályozza.
Sokkal kevesebb szardobálás lenne a világon, ha az emberek kicsit gondolkodnának, felmérnék a kockázatot és a potenciális veszélyeket, és kicsit életszerűbben, természetközelibben gondolkodnának. Nem pedig beleszarni, és azt várni, hogy majd az idejét múlt és életszerűtlen jogszabályok megvédenek. Aztán persze sír a sok böszme. Azt én ugyanúgy büntetném, ha valaki nem tette meg a minimálisan elvárható óvintézkedéseket az eset megelőzésére.

> Egy publikus vonal sniffelése is bűncselekmény, nem lehet avval védekezni, hogy "én csak a titkosítatlan információkat nézem, kérem"...

- Nem kell védekezni, mert optimális esetben ki sem derül. Egyedül a kvantumtávközlés tudná garantálni, hogy nem hallgatják le a vonalat, de ugye kérem az még nem annyira common.

Röviden: ami technikailag is feasible, azt lehet elhinni.
A security measure nélküli jogszabályok csak tökéletlen emberek tökéletlen képzelgései.

Sikerült rátapintanod a probléma lényegére :)

Gondolom, Téged az sem zavar, ha egy közös kirándulásotok képét egy ismerős bekapcsolt GPS mellett csinálta mobillal, és feltette a Picasa-jára, aztán a Panoramio-n meg visszalátod Magadat, ahogy a Kínai Nagyfalon nézelődsz. Persze erről Téged nem kérdezett meg senki, mégis minden legális :)
--
PtY - www.onlinedemo.hu

Egy valamit elfelejtesz. Mi van akkor, ha nem nekem van szükségem arra, hogy küldjek neki valamit, hanem neki arra, hogy kapjon?
Ha az én érdekem,m megoldom úgy, hogy ne emailben menjen az, amit nem akarok emailben adni. Ha viszont neki, akkor vegyen fel egy IJ pólót, vagy legyen olyan email címe, amit harmadik fél nem olvas sem szemmel, sem robottal.
Nyilván, ha csak meg akarom kérdezni, hogy hogy telt a hétvége, az nem zavar. De az ember másra is használja a levelezést, és nem feltétlenül köteles senki a google/egyéb szolgáltató részére közvetett vagy közvetlen módon hozzáférést a tartalomhoz.

És a probléma lényegéhez az is hozzá tartozik, hogy a gmailer userek többsége webmailfetisiszta, így emiatt még GPG/SMIME megoldást sem lehet alkalmazni.
--
PtY - www.onlinedemo.hu

Ahogy láthatod, a többséget egyáltalán nem zavarja. Lehet, hogy még örülnek is neki, hogy valaki olvassa a leveleiket :)

Technikailag megoldható, hogy a gmail webes felületére is használható legyen a GPG, csak macerásabb lesz a használat. Főleg, ha nem tároljuk el a kulcsokat szerver oldalon.
http://openpgpjs.org/

"Ahogy láthatod, a többséget egyáltalán nem zavarja. Lehet, hogy még örülnek is neki, hogy valaki olvassa a leveleiket :)"
:D

"Technikailag megoldható, hogy a gmail webes felületére is használható legyen a GPG, csak macerásabb lesz a használat."
Épp ezért írtam :)
Ha meg a szerver oldalon ott a kulcs, akkor a kugli ugyanúgy megnézheti (technikailag lehetősége nyílik rá, és ez épp elég).
--
PtY - www.onlinedemo.hu

Látom, szereted kicsavarni a dolgokat. :)

Nem, nem olvasom el. viszonylag könnyen rá lehet jönni, hogy egy adott domain mögött olyan szolgáltató van-e, amely ingyen ad tárterületet/szolgáltatást, cserébe pedig adatokat gyűjt - mellékes, milyen módon - az ügyfelek által forgalmazott adatokból.
--
PtY - www.onlinedemo.hu

Nem értem, miért pont a gmail-t kell ekézni. Mennyivel jobb, ha másnál vannak hostolva a levelek? Bármelyik szolgáltató adatbányászhatja, profilt építhet, vagy lehetővé teheti 3rd party-nek ugyanezeket. Ráadásul minden szerveren ki van téve a leveled ezeknek, amiken keresztülmegy.
Mindezek mellett a Google ingyenesen biztosít
- elegendő tárhelyet
- IMAP-et (ráadásul TLS felett - vannak szolgáltatók, ahol nincs is lehetőség titkosított kapcsolódásra)
- Tűrhető webmailt az azt kedvelőknek (ami elérhető https-en is, sőt, azt hiszem már az a default)
- Valamire való (!) spam filter (imho már ezért megéri gmail-re forwardolni a többi domain-emről, ha ingyenesen akarom megoldani)
- 2-step authentication teljesen ingyen: bejelentkezhetsz honeypot-ról is, ha az élet úgy hozza, kitörölhetik a jelszóddal.

Hirtelen ennyi jut eszembe. Néhány fícsört még fizetős szolgáltatásként sem kapsz meg máshol.
Szerintem ezzel nehéz felvenni a versenyt. Emiatt egyre inkább beszivárog a business szférába is. Láttam már olyan céget, ahol google mailt és calendart használnak.
Félreértés ne essék, nem azt akarom mondani, hogy a gmail-t business környezetben használni a követendő trend; sok kisvállalatnak mégis alternatíva. Mert nem csak a szolgáltatás van ingyen, még színvonalas is, sőt, hozzáértő szakembergárda sem kell az infrastruktúra karban tartásához.

Lehet itt legénykedni, hogy én ugyan nem használok gmailt, meg nem keresek google-ön, meg mindenki mást leszarok, akinek csak gmail-je van.
Fontos volna látni, hogy az end-to-end titkosítás jelenthetne egy megoldást - úgy tökmindegy, hol utazik és tárolódik a leveled. (Minden problémát a releváns szinten kell kezelni.)
Csak ezzel két gond van:
- hozzá nem értés: sokan fel sem fogják magát a problémát sem (értem ezalatt: hogy miért is kellene egyáltalán a titkosítás, hiszen ,,neki úgysincsenek titkai'', meg ,,ugyan, mire mennek az adataimmal'', stb.), a technikai háttérről, a kulcsok, adatok, szoftverkörnyezet biztonságos kezeléséről már nem is beszélve.
- lustaság: sokan nem akarnak vacakolni titkosítással, mert ahhoz plusz hármat kellene kattintani meg jelszókat beírni, megjegyezni, miegymás. Az meg milyenmár. Az emberek többségének a kényelem a legfontosabb, minden mást leszarnak.

Hiába van GPG kulcsom, és külön handheld kulcsom a telefonra, nem megyek vele semmire, mert a PGP/GPG annyira kiment a divatból. Ennek kellene megváltozni.
Szerencsére van már GPG egyre több platformra. Csak amíg wrapper kell hozzá, mert nincs egy tetves lib, meg a júzerek számára érthetetlen a kulcskezelés, addig nehéz előbbre lépni.

Egy apró megjegyzés:
"- IMAP-et (ráadásul TLS felett - vannak szolgáltatók, ahol nincs is lehetőség titkosított kapcsolódásra)
...
- 2-step authentication teljesen ingyen: bejelentkezhetsz honeypot-ról is, ha az élet úgy hozza, kitörölhetik a jelszóddal."

IMAP-on is 2 step auth? Vagy nem? Vagy akkor mégsem kell kitörölnie senkinek semmit a jelszóval?
--
PtY - www.onlinedemo.hu

Ez nem így működik.

Ha megvan a jelszavam, akkor imap nem fog működni vele, mert nem tud második lépcsős azonosítást végezni.

Minden gépi kapcsolódáshoz külön jelszót kell generáltatni (hosszú és kellően összevissza), és a megbízható eszközön ezt a jelszót eltárolni.

Mivel mindenhez külön jelszó van, ha mondjuk a telefonomat elvesztem, akkor ezt az egy application jelszót le kell tiltani, így a régi telefon nem tudja az újabb leveleket letölteni már.

"Nem akarom a Microsoft-ot védeni, de ez jogos: a kugli bevallottan ipari méretekben elemzi a levelezgetéseket, az MS jelenlegi ismereteink szerint csak speciális esetben kézzel olvas bele. "

Ő is pénzt akar keresni azzal, hogy ott tárolod - térítésmentesen - a leveleid.
Nyugodj bele, ő is robotokkal adat-halászik bele.

"A helyes eljárás az lett volna, hogy a birtokukba került információkkal megkeresik azonnal az FBI-t, aztán majd az belenéz a levelezésbe. Ezzel elkerülhették volna azt, hogy árnyék vetüljön rájuk. "

Na és milyen információkkal keresse meg az FBI-t? "Loptak tőlünk, de ne mtudunk semmit, bele kellene nézni a saját szerverünkbe?" Vége az, hogy így is úgy is belenéz az MS a tárolt adatokba, valamiből össze kell állítani a feljelentést.

Egyébként meg:

"A Microsoft helyzetét bonyolítja, hogy a saját szerverein található adatokhoz való hozzáférést a bírósági gyakorlat automatikusnak és magától értődőnek tartja. Ezért az ilyen belső ellenőrzéshez nem ad ki házkutatási parancsot, így szabványos igazságügyi keretek között nem lehet hozzáférést kérni. "A bíróságok nem adnak ki olyan parancsot, amely a céget saját szerverein való kutatásra hatalmazná fel, mivel ilyen parancsra nyilvánvalóan nincs szükség" - mondta John Frank, a Microsoft jogi csapatának helyettes vezetője a közleményben."

http://www.hwsw.hu/hirek/52011/microsoft-hotmail-privacy-adatvedelem-cl…

Persze, ezzel sem foglalkozik senki: "Az igazsághoz hozzátartozik, hogy az Apple, a Yahoo és a Google is pontosan ilyen kitételekkel rendelkezik saját ÁSZF-jében."

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"Na és milyen információkkal keresse meg az FBI-t? "Loptak tőlünk, de ne mtudunk semmit, bele kellene nézni a saját szerverünkbe?" Vége az, hogy így is úgy is belenéz az MS a tárolt adatokba, valamiből össze kell állítani a feljelentést."

Azt tudta a ms, hogy az ő kódjai kerültek ki, mert azokat megkapta a neve elhallgatását kérő forrástól, és le is ellenőrizték. Szóval az nem igaz, hogy nem volt semmilyük, mert itt már volt bizonyítékuk, volt tanújuk, és valszeg ismert volt a gyanúsított személye is.
Itt a MS 2 dolgot tehetett:

1. mehetettek volna azonnal az FBI-hoz (vagy akár a helyi seriffhez, tököm tudja hova tartozik ez az ügy), majd az illetékes hatóság nyomozást indít, és vagy a bírósághoz fordul engedélyért, vagy - ha ez valamiért nem járható út akkor - csak simán felszólítja a ms-ot a kért adatok átadására.

2. Inkább elkezdenek rendőrös-bíróságost játszani a cégen belül, aztán szólnak a hatóságoknak, aztán meg megpróbálják az egészet elsunnyogni.

Szerintem ha az 1. verzió történt volna, akkor a MS ezt hangsúlyozná, de ilyet sehol nem olvastam tőlük.

És értem én, hogy joguk volt hozzá, azt is megértem hogy miért tették, és egyet is értek velük, és a tolvajokat se akarom védeni.
Csak ez roppant szarul néz ki a nagy google-fikázás közben...

Roppant szarul néz ki, mert ki, mert Treynek megint csúsztathatnékja van. Ugyanezt bármelyik másik cloud szolgáltató bejátszhatja.

Egyébként meg hol játszott bíróságosdit? Elítélt valakit? Börtönbe csukott valakit az MS? Hja nem, csak épp elvégezte házon belül az adatgyűjtést. (FYI: rendőrség alapból nem fog nagyon olyat kérdezni, hogy "de ugye nincs még valami pluszban, amit nem adtatok át, mert néhány hupunak nem fog tetszeni a marketing része?". Elég nonszensz is lenne, ha egy betörés után pl. nem kutathatnám át a saját házam, hogy mi tűnt el.)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Tfh. van egy hosting szervered, feltörik a szervered és lopnak egy csomó adatot mindezt mondjuk apró belső segítséggel, mert valaki picit abuzálta a gépet. Elmész a rendőrségre, hogy feltörték. Fingod nincs, hogy ki hol, hogyan mikor és miért, mivel user adataiba, logokba nem néztél bele, mert juj személyes adat. Szerinted nem fognak kiröhögni és bizonyíték hiányában lezárni az egészet a picsába?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

ASZF-ben benne volt erre az esetre kitétel. Mindenkinél. Bökkenő?

Egyébként kikérhet, csak ellent mond a józan észnek, hogy nem adsz meg minden információt a nyomozáshoz, főleg, ha a lehetőséget is megadtad magadnak.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"Roppant szarul néz ki, mert ki, mert Treynek megint csúsztathatnékja van. Ugyanezt bármelyik másik cloud szolgáltató bejátszhatja.

Nem. Itt a cnet cikk: http://www.cnet.com/news/microsoft-sniffed-bloggers-hotmail-account-to-…

És a ms reakciója is olvasható itt (Microsoft representatives provided CNET with a statement defending their actions), ahol sok minden elhangzik (joguk volt hozzá, stb.) de az nem, hogy a nyomozóhatóság kérésére vagy utasítására nézték át a fiókot.

És igen, ezt eljátszhatja minden felleges cég, nem is kérdés. Viszont azok a cégek nem is nyomatnak scroogled kampányt, így nem is nézne ki ennyire szarul...

"Egyébként meg hol játszott bíróságosdit? Elítélt valakit? Börtönbe csukott valakit az MS? Hja nem, csak épp elvégezte házon belül az adatgyűjtést."

Aszondja: "Microsoft's Office of Legal Compliance approved the decision after confirming that the leaked data in question included proprietary Microsoft code."
Próbálom elképzelni, ahogy hosszas hümmögés után nemet mondanak xD

"rendőrség alapból nem fog nagyon olyat kérdezni, hogy "de ugye nincs még valami pluszban, amit nem adtatok át, mert néhány hupunak nem fog tetszeni a marketing része?"."

Nos ilyet nem fog mondani, pl. mert nem ismeri a hupu fogalmát. Viszont a nyomozás folyamán bekérhet adatokat, nehezen hiszem hogy ne tudta volna a nyomozóhatóság ugyanazt megtenni, mint amit akkor tettek volna, ha pl. egy gmail címről ment volna a szivárogtatás.

+1, azonban nem fáj leírni.

Ami a dologban aggasztó, hogy egy email ugyan személyes, ám nem egy, hanem több szereplős a dolog.
Ha XY ír egy levelet ZW-nak, aki Hotmail(Outlook)/GMail/Yahoo/tökömtudja ügyfél, akkor ZW vélhetőleg tisztában van vele (legalábbis elfogadta az EULA-t), hogy belekukkanthatnaak a levelébe. XY azonban semmit sem hagyott jóvá, így semmivel sem kell, hogy tisztában legyen, mégis beleolvashatnak abba, amit ZW-nek írt, vagy amit ZW írt neki. És ez a dolog - még ha a nyers tények jogosságát el is fogadjuk -, XY-ra nézve inkorrekt és törvénytelen.

Az email addig a pontig egyetlen ember személyes tulajdona, amíg a templates/drafts mappában van. Onnantól, hogy ugyanaz a levél másnál is ugyanolyan formában megtalálható, már nem csak az övé.

Pont emiatt szorongatják elég erősen Kaliforniában a Google tökeit.

Illene a dolgokat ebből a szemszögből is megnézni, amikor email privacy kerül szóba.
--
PtY - www.onlinedemo.hu

( zoltanzoli v | 2014. 03. 23., v – 13:18 )

Lehet jobban járt volna gmail-al. :D
Régebben láttam egy statisztikát hogy a google mennyi email hozzáférést ad a különböző rendőrségeknek. Az maradt meg nekem belőle leginkább hogy a magyar rendőrségnek az elmúlt pár évbe 1x sem adott hozzáférést nyomozás megkönnyítése érdekében. Lehet a franciáknál is hasonló a helyzet.

Ne aggódj, ha Google-s kódot lopnál, ott is ugyanúgy belenéznek gondolkodás nélkül:

"Az igazsághoz hozzátartozik, hogy az Apple, a Yahoo és a Google is pontosan ilyen kitételekkel rendelkezik saját ÁSZF-jében."

http://www.hwsw.hu/hirek/52011/microsoft-hotmail-privacy-adatvedelem-cl…

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™