คำถามติดแท็ก privacy

เมื่อทำงานกับไซต์ที่ใช้ทรัพยากร (เช่นแอปพลิเคชัน MVC หรือบริการ REST) ​​เรามีสองตัวเลือกหลักเมื่อไคลเอ็นต์พยายามเข้าถึงGETทรัพยากรที่พวกเขาไม่สามารถเข้าถึง: 403ซึ่งบอกว่าลูกค้าไม่ได้รับอนุญาต ; หรือ 404ซึ่งบอกว่าไม่มีทรัพยากร(หรือไม่สามารถหาได้) ภูมิปัญญาทั่วไปและการปฏิบัติทั่วไปดูเหมือนว่าจะตอบสนองกับความจริง - นั่นคือ 403 แต่ฉันสงสัยว่านี่เป็นสิ่งที่ถูกต้องหรือไม่ ระบบการเข้าสู่ระบบที่ปลอดภัยไม่เคยบอกเหตุผลที่ทำให้การล็อกอินล้มเหลว กล่าวคือตราบใดที่ลูกค้ามีความกังวลไม่มีความแตกต่างที่ตรวจพบได้ระหว่างชื่อผู้ใช้ที่ไม่มีอยู่และรหัสผ่านที่ไม่ถูกต้อง วัตถุประสงค์คือเพื่อไม่ให้ ID ผู้ใช้ - หรือที่แย่กว่านั้นคือที่อยู่อีเมล - ค้นพบได้ จากมุมมองความเป็นส่วนตัวดูเหมือนว่าปลอดภัยกว่าที่จะคืนค่า 404 ฉันนึกถึงเหตุการณ์ที่มีคนรายงานว่ามีผู้ชนะรายการเรียลลิตี้โชว์ (ผู้รอดชีวิตฉันคิดว่า) โดยดูว่าทรัพยากรใดไม่มีอยู่ใน ไซต์กับสิ่งที่ทำ ฉันกังวลเกี่ยวกับ 403 ที่อาจให้ข้อมูลที่ละเอียดอ่อนเช่นหมายเลขผลิตภัณฑ์หรือหมายเลขบัญชี มีเหตุผลที่น่าสนใจที่จะไม่ส่งคืน 404 หรือไม่? นโยบาย 404 อาจมีผลข้างเคียงเชิงลบหรือไม่ ถ้าไม่เป็นเช่นนั้นทำไมการปฏิบัติจึงไม่เป็นเรื่องปกติ

33 web-development  web-applications  security  web-services  privacy 

จากการเปิดเผยเมื่อเร็ว ๆ นี้เกี่ยวกับการตรวจสอบข้อมูลที่จัดเก็บโดยผู้ให้บริการออนไลน์ของรัฐบาลอย่างกว้างขวาง บริการ zero-knowledge คือบริการที่เก็บข้อมูลทั้งหมดที่เข้ารหัสด้วยคีย์ที่ไม่ได้จัดเก็บไว้บนเซิร์ฟเวอร์ การเข้ารหัสและถอดรหัสเกิดขึ้นที่ฝั่งไคลเอ็นต์และเซิร์ฟเวอร์ไม่เคยเห็นข้อมูลธรรมดาหรือกุญแจ เป็นผลให้ผู้ให้บริการไม่สามารถถอดรหัสและให้ข้อมูลกับบุคคลที่สามได้แม้ว่าจะต้องการ เพื่อให้ตัวอย่าง: SpiderOakสามารถดูเป็น Dropbox เวอร์ชันที่ไม่มีความรู้ ในฐานะโปรแกรมเมอร์เราวางใจอย่างมากและไว้วางใจข้อมูลที่ละเอียดอ่อนที่สุดของเรา - รหัสของเรา - สำหรับผู้ให้บริการออนไลน์ในระดับหนึ่ง ๆ : ผู้ให้บริการโฮสติ้งรหัส (เช่น Bitbucket, Assembla และอื่น ๆ ) แน่นอนว่าฉันกำลังพูดถึงที่เก็บส่วนตัวที่นี่ - แนวคิดของศูนย์ความรู้ไม่มีประโยชน์สำหรับที่เก็บสาธารณะ คำถามของฉันคือ: มีอุปสรรคทางเทคโนโลยีใด ๆ ในการสร้างบริการโฮสติ้งโค้ดที่ไม่มีความรู้หรือไม่ ตัวอย่างเช่นมีบางอย่างเกี่ยวกับโปรโตคอลเครือข่ายที่ใช้โดยระบบควบคุมเวอร์ชันยอดนิยมเช่น SVN, Mercurial หรือ Git ที่จะทำให้มันยาก (หรือเป็นไปไม่ได้) ในการนำรูปแบบการสื่อสารข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์มาเข้ารหัสด้วย กุญแจสำคัญที่เซิร์ฟเวอร์ไม่รู้ วันนี้มีบริการโฮสติ้งโค้ดที่ไม่มีความรู้หรือไม่?

28 version-control  encryption  project-hosting  privacy 

ในวันที่ 26 พฤษภาคม 2011 คำสั่งของสหภาพยุโรปใหม่มีผลบังคับใช้ให้ผู้ใช้ที่เข้าใช้เว็บไซต์ควรได้รับอนุญาตให้อนุญาตให้เว็บไซต์จัดเก็บคุกกี้ที่มีข้อมูลเกี่ยวกับพวกเขาและการเยี่ยมชมเว็บไซต์ของพวกเขา คุณจัดการกับปัญหานี้ได้อย่างไร มีวิธีอื่นในการจัดการสิ่งนี้นอกเหนือจากการแจ้งเตือนการเลือกรับในครั้งแรกที่มีคนเยี่ยมชมเว็บไซต์ของฉันหรือไม่

17 legal  privacy  cookies 

ดูเหมือนจะน้อยกว่าปกติกับเว็บไซต์ใหม่ ๆ แต่หลาย ๆ เว็บไซต์ที่ฉันต้องการบัญชี (เช่นชำระค่าใช้จ่าย ฯลฯ ) ทำให้ฉันไม่สามารถสร้างรหัสผ่านที่มีช่องว่างได้ สิ่งนี้ทำให้ยากต่อการจดจำเท่านั้นและฉันรู้ว่าไม่มีข้อ จำกัด ฐานข้อมูลหรือการเขียนโปรแกรมในช่องว่างในรหัสผ่านการเข้ารหัสหรือ (ห้ามมิให้สวรรค์) เป็นอย่างอื่น ทำไมสเปซบาร์จึงถูกแบ่งแยกโดยทั่วไปเมื่อพูดถึงการสมัครใช้งานเว็บไซต์

16 security  login  privacy 

คุณจะบันทึกข้อมูลผู้ใช้ที่สำคัญ (ความเป็นส่วนตัว) เช่น SSN, หมายเลขบัตรเครดิตและที่อยู่ในฐานข้อมูลได้อย่างไร สถานการณ์จำลอง: บันทึก เฉพาะข้อมูลที่ต้องพร้อมใช้งานเท่านั้นที่จะถูกบันทึก ตัวอย่างเช่น SSN ถูกบันทึกไว้เนื่องจากแอปใช้ SSN เพื่อระบุระเบียนเฉพาะ หรือรายละเอียดบัตรเครดิตจะถูกบันทึกไว้เพื่อให้การทำธุรกรรม 1 คลิกเป็นไปได้ข้อมูลดังกล่าวบางอย่างสามารถเข้ารหัสและบันทึก แต่ข้อมูลบางอย่างจะต้องมีข้อความธรรมดา (เช่นสำหรับการค้นหาข้อความแบบเต็ม) แอปใช้การโฮสต์ของบุคคลที่สาม คำถาม: ข้อมูลดังกล่าวมีความปลอดภัยในข้อความธรรมดา (หรืออย่างอื่น) บนโฮสต์ของบุคคลที่สามเช่น HostGator หรือ App Engine อย่างไร คุณบันทึกข้อมูลดังกล่าวในโฮสต์ของบุคคลที่สาม (และแนะนำให้ใช้วิธีนี้) หรือไม่ คุณเก็บมันไว้ในข้อความธรรมดาหรือคุณเข้ารหัสข้อมูลดังกล่าวหรือไม่? ควร บริษัท เหล่านั้นที่มีทรัพยากรเพื่อให้เซิร์ฟเวอร์ของตัวเองดำเนินการสร้างแอพดังกล่าวหรือไม่

12 encryption  privacy 

เมื่อเร็ว ๆ นี้ฉันได้อ่านการอ่านนโยบายความเป็นส่วนตัวที่คุณพบในหนึ่งปีจะใช้เวลา 76 วันทำงานและรู้สึกค่อนข้างตกใจว่ามันแย่ขนาดนั้น ดังนั้นฉันจึงคิดว่าจะปรับปรุงได้อย่างไร สัญญาอนุญาตครีเอทีฟคอมมอนส์ดีมากเพราะเป็นแบบแยกส่วน: CC: ระบุว่าเป็นสัญญาอนุญาตครีเอทีฟคอมมอนส์ [-BY]: แสดงที่มา [-NC]: ไม่ใช่เชิงพาณิชย์ [-ND]: ไม่มีอนุพันธ์ [-SA]: แบ่งปันกัน ฉันคิดว่าในที่สุดก็สามารถสร้างนโยบายความเป็นส่วนตัวแบบแยกส่วนได้ ในที่สุดนโยบายแบบตารางจะดีกว่า: ข้อมูลที่ได้รับ ข้อมูลที่คุณให้กับเรา: ชื่อเนื้อหาข้อมูลธุรกรรมที่ตั้งเพื่อน ข้อมูลที่รวบรวมเมื่อคุณใช้บริการ: ข้อมูลกิจกรรมไซต์, ข้อมูลการเข้าถึงอุปกรณ์และเบราว์เซอร์, ข้อมูลคุกกี้ บุคคลที่สาม: ... การใช้ข้อมูล จัดการบริการ ขายให้กับบุคคลที่สาม ติดต่อคุณ ... มีความพยายามใด ๆ ในการสร้างนโยบายความเป็นส่วนตัวแบบแยกส่วน / มีโครงสร้าง (ในที่สุดสามารถอ่านได้ด้วยเครื่อง) หรือไม่?

11 legal  privacy