16. mai ble det full kriseberedskap i Evry etter datalekkasje. Rotårsaken kan påvirke alle norske selskaper

[Bolson]

Under informasjon dei samlar inn, står:

 

Credentials. We collect passwords, password hints, and similar security information used for authentication and account access.

 

Device and Usage data. We collect data about your device and how you and your device interact with Microsoft and our products. For example, we collect:

 

Product use data. We collect data about the features you use, the items you purchase, and the web pages you visit. This data includes your voice and text search queries or commands to Bing, Cortana, and our chat bots.

 

Content. We collect content of your files and communications

 

Det står kan samles inn, og i realiteten samles intet av dette inn om du sier nei. For Creators Update må du faktisk velge innstillingene eksplisitt før du får lov til å oppgradere. Hva som samles inn er også helt avhengig av hva du bruker av applikasjoner. Jeg har faktisk vært i noen diskusjoner med ansatte i MS om dette de siste årene, og min oppfatning er svært ulik din. Jeg deler ikke en tøddel av de dataene du snakker om fra mine Windowsinstallasjoner. H

 

Men jeg regner med at du ikke bruker Facebook, Google , Android, Snapchat, iOS eller OSX i og med at du er så redd for personvernet. Alle disse samler i realiteten inn informasjon på dette nivået - og bruker eller kommer til å bruke det for å tjene penger.

 

Ellers er dette ikke noe nytt, jeg har faktisk et par ganger klart å få til det samme i Chrome og Firefox når jeg har testet oppsett for å sikre ekstranett/intranettløsninger. Da med Google som søkemotor.

 

Man må være meget bevist på hvordan, om og når "hemmelige" url-brukes, De er uansett indekserbare om man ikke passer på og lager andre sperrer. Og en søkemotor vet jo ikke om en side inneholder det ene eller andre.

 

Men jeg synes også Microsoft er svært lemfeldige og passive. Det kan godt være at de objektivt sett ikke har skyld - men de burde allikevel ha handlet langt mer aktivt.

 

--

 

Og Edge sender ikke til Microsoft alle de dataene du påstår. Om du mener den gjør det ville det vært enorme oppslag på nettet om dette - fordi det ville være så veldig enkelt å finne ut av. Det blei påstått rett etter Windows 10 kom - slik massiv dataoverføring, men så vidt jeg vet har det blitt tilbakevist.

 

Så jeg håper du kan gi en god kilde på at Edge sender alt det du påstår tilbake til Microsoft. Vil være interessant å se.

[0laf]

Dette veit du tydelegvis ingenting om, og eg skal la vere å gå i detaljar.

 

....

 

Det er ikkje ei mogeleg oppgåve. Når brukarar eksplisitt ynskjer å dele desse dataane, kan ikkje Evry hindre det utan å gjere ting meiningslaust vanskeleg for brukarane.

Det er trivielt for Evry å beskytte dette innholdet, det er faktisk så enkelt at det er fullstendig skivebom at de har latt det ligge helt åpent.

 

Brukeren ville ikke en gang merket noen forskjell, det eneste Evry hadde trengt å gjøre var å passe på at innholdet kun var tilgjengelig for autoriserte brukere, ikke for søkemotorer.

 

Det er ikke Microsoft, eller andre søkemotorer sitt problem at tjenesteleverandøren lar innhold ligge helt åpent, slik at det kan både indekseres og vises for Gud og hvermann. Det er ei heller nettleseren som har problemet, selv om den sender inn alle lenker som besøkes for indeksering, ettersom søkemotoren umiddelbart burde truffet en 403 Forbidden, ikke det faktisk innholdet.

 

Har man det minste snev av innsikt i hvordan dette fungerer, så fremstår det åpenbart at Evry har gått på en smell ved å ikke implementere noen form for sikkerhet rundt innhold som aldri burde vært åpent tilgjengelig til å begynne med.

 

Og for ordens skyld, så vet jeg hva jeg snakker om !

[FrHa]

Hvis det er det andre, at edge sender url'en som brukeren besøker til bing for indeksering, så skal vel ikke det ha noe å si sålenge det kreves autentisering for å få se innholdet.

 

Hvordan tror du at f.eks en url til en efaktura fra nettbanken din fungerer ?

Jo, den fungerer slik at når du trykker på lenken i nettbanken, så maskingenereres det opp en 'sikker' url som du videresendes til, der del av denne maskingenererte url'en er påloggingsinformasjon for å få sett fakturaen din. Det betyr at det eneste som trengs for å se fakturaen er den url'en som dukker opp i browseren, og som da Edge ser at du har 'besøkt'. Edge sender denne url'en til BING, og dersom crawleren er litt 'hissig', vil den fint klare å hente ut din faktura før den maskingenererte URL'en ikke lenger virker (det er tidsstyrt). Slik har eFaktura hos NETS fungert i mange år, og det er mange andre som benytter tilsvarende løsning som en 'simpel' SSO-løsning der du sendes videre mellom nettsteder etter å ha logget deg på ett sted (f.eks i nettbanken). Det at Edge/BING nå har endret spillereglene for hva de faktisk indekserer og laster ned/tilgjengeliggjør er vesentlig. Slikt innhold har aldri vært besøkt mer enn en gang (maskingenerert url, ny for hver gang du åpner efakturaen), så at Bing nå plutselig synes det er en 'verdifull' side å indeksere/presentere i et søkeresultat er jo ganske spesielt... Før måtte man faktisk ha en del treff på en url før en søkemotor var interresert i å laste ned og presentere den i sine søkeresultater...

 

Men uansett endrer dette 'gamet' for mange, og så lenge M$ ikke forteller detaljer om hva de faktisk gjør, er det ikke så lett for de som skal presentere sikret innhold for legitime brukere (eksempelvis deg, etter du har logget inn i nettbanken).

[0laf]

Hvordan tror du at f.eks en url til en efaktura fra nettbanken din fungerer ?

Jo, den fungerer slik at når du trykker på lenken i nettbanken, så maskingenereres det opp en 'sikker' url som du videresendes til, der del av denne maskingenererte url'en er påloggingsinformasjon for å få sett fakturaen din. Det betyr at det eneste som trengs for å se fakturaen er den url'en som dukker opp i browseren, og som da Edge ser at du har 'besøkt'. Edge sender denne url'en til BING, og dersom crawleren er litt 'hissig', vil den fint klare å hente ut din faktura før den maskingenererte URL'en ikke lenger virker (det er tidsstyrt).

 

Godt poeng, prøv å søk i arkivet til en e-fakturatilbyder gjennom Bing, å se hva du finner, for eksempel

 

site: https://e-faktura1.stralfors.net/invoiceViewer

eller lignende, og det skulle ikke overraske meg om det ikke var noen resultater i det hele tatt ettersom disse ikke indekseres.

 

I tillegg til at lenkene kun er gyldig i ett minutt eller to, så er dette i motsetning til Evry sitt innhold, beskyttet mot indeksering av søkemotorer.

Den mest trivielle og første beskyttelsen ligger her : https://e-faktura1.stralfors.net/robots.txt, det gjøres også andre kontroller for å kaste ut roboter fra disse sidene.

Endret 19. mai 2017 av adeneo

[FrHa]

Så er det ihvertfall noe riv ruskende galt. Her får man riktignok access denied, men utdrag av filen ligger i søkeresultatet. Enten har visma nettopp endret på noe, eller så har Bing på en eller annen måte hatt tilgang til sesjonen.

 

Bing har ikke hatt tilgang til sesjonen, men den har fått den 'sikre' url'en som ble generert for den autentiserte brukeren (som brukte Edge). Så ble denne 'sikre' URL'en sendt til BING, som i sin tur sendte av gårde sin web-crawler direkte mot den url'en som var generert i en sikker sesjon til edge-brukeren, og fikk tilgang til innholdet på samme måte som om edge-brukeren hadde kopiert url'en over i f.eks Chrome og åpnet dokumentet der. Sesjonen fantes på den serveren brukeren var pålogget. Den sikre url'en ble maskingenerert slik at brukeren skulle kunne åpne et dokument på en annen server uten å ha egen bruker-pålogging der. Dette er nøyaktig samme teknikk som benyttes i nettbanken din når du klikker på en 'vis faktura'-lenke. da maskingenereres det en lenke av Nets, som på sin side autentiseres av fakturahotellet (som har mulighet til å dekryptere den maskingenererte URL'en fordi de har et samarbeid med Nets og tilgang til public-delen av sertifikatet). Når url'en er 'godkjent' så vises fakturaen, Edge 'sladrer' til BING om en url de har fått innhold på, og crawleren kan hente ned samme faktura innen tidsfristen for timestamp-kontroll.

[Sturle S]

 

Nei. Det er absolutt ikkje Evry sin feil. Evry kan ikkje hindre brukarar i å laste ned desse sidene og dele dei med Microsoft, som Microsoft-brukarar godtek når dei skriv frå seg personvernet.

 

Passord er heller ikkje mykje hjelp i, sidan Microsoft samlar inn både brukarnamn og passord, og kan bruke det på same måte som dei brukar innhaldet i annan kommunikasjon. Om dei gjer det veit eg ikkje, men brukarar av Microsoft-produkt har eksplisitt godteke at Microsoft gjer det. Difor kan heller ikkje Microsoft klandrast, berre brukarane,

Kan ikke Evry hindre en søkemotor å indeksere innhold? Akkurat. Sett deg tilbake på skolebenken og lær deg litt om elementær sikkerhet på Internett. Håper for all del du ikke er utvikler.

 

Rett på personåtak att, for å dekkje over din eigen inkompetanse og manglande leseforståing, ser eg. Eg har vore på internett sidan 1993, og ikkje mista so mykje som ein byte data ved eit uhell. Heldigvis, for eg sjonglerer bitcoin for fleire millionar kroner kvar dag, og utviklar programvare for det. Dersom eg hadde vore dum nok til å fråseie meg retten til alle mine data til Microsoft, slik som "offera" her har gjort, hadde eg vore ein fattig mann i dag.

 

Kan du forklare korleis Evry kan hindre brukaren å sende data han har lasta ned vidare til Microsoft? Eg kan ikkje hindre nokon i å sende data dei har lasta ned frå meg vidare til andre. Det er heller ikkje mi oppgåve. Dersom dei ynskjer det, skal ikkje eg nekte dei. Hugs at desse brukarane har gjeve sitt eksplisitte samtykkje til å dele all kommunikasjonen sin med Microsoft.

Endret 19. mai 2017 av Sturle S

[FrHa]

Den mest trivielle og første beskyttelsen ligger her : https://e-faktura1.stralfors.net/robots.txt

 

Nå viser det seg at crawleren til Bing ikke bryr seg nevneverdig om akkurat denne. Den forsøker ikke en gang å lese den når den går ut for å hente data fra en url den har 'fått' av Edge. Det er dette som er den 'store' endringen MS har gjort nå, som gjør at det dukker opp sider på BING som aldri har vært lenket til far noen nettsider en crawler har fått tilgang til.

standard levetid på en Nets-URL er nok litt mer enn et minutt eller to, men det er helt rett- crawleren må være ganske 'effektiv' for å klare å hente ut innholdet før tdsfristen 'går ut'. Og det er også helt rett i at det nå må gjøres flere tiltak for å forhindre crawlere å laste ned dokumenter de ikke skal indeksere, men dette er ganske nytt for denne type URL'er at de i det hele tatt blir forsøkt å lastet ned...

[0laf]

Kan du forklare korleis Evry kan hindre brukaren å sende data han har lasta ned vidare til Microsoft? Eg kan ikkje hindre nokon i å sende data dei har lasta ned frå meg vidare til andre. Det er heller ikkje mi oppgåve. 

 

Dette er trivielt, for å forsøke litt mindre teskje.

 

Brukeren besøker en slik hemmelig lenke, Edge sender adressen hjem til Microsoft.

Microsoft sender ut en robot for å se om innholdet på den lenken skal indekseres, å allerede her burde de truffet på en melding om at innholdet absolutt ikke skal indekseres.

 

Dersom roboten likevel går videre, så burde uansett aldri innholdet bli vist til roboten, eller andre for den saks skyld, fordi de ikke er autentisert. Selv et enkelt script på serveren som sjekket user-agent for kjente roboter burde løse dette, selv om det heller ikke egentlig er å anse som fullgod sikkerhet.

 

Det finnes mange, mange måter å hindre at Microsoft får tilgang til innholdet, det eneste man ikke kan hindre er at nettleseren tar en kopi av alt brukeren ser på skjermen, å sender det til Microsoft, noe jeg kan garantere deg ikke skjer.

[FrHa]

1) Hemmelige URLer er ikke OK for ressurser med middels krav til sikkerhet. Spesielt når man vet at URLer indekseres. 

 

Hvordan ser du for deg at du skal kunne åpne en efaktura fra nettbanken din uten bruk av 'hemmelig' URL ?

Mener du at samtlige banker og samtlige fakturahoteller skal gå inn en SSO-løsning ala DIFI ? Og at samtlige fakturahoteller skal implementere full brukerdatabase med personnummer og tagge enhver efaktura med personnummeret til brukeren ?

Eller tenkte du at man skal bruke bank-id en gang til for hver faktura man ønsker å se på fra nettbanken ?

[Sturle S]

 

Under informasjon dei samlar inn, står:

 

Credentials. We collect passwords, password hints, and similar security information used for authentication and account access.

 

Device and Usage data. We collect data about your device and how you and your device interact with Microsoft and our products. For example, we collect:

 

Product use data. We collect data about the features you use, the items you purchase, and the web pages you visit. This data includes your voice and text search queries or commands to Bing, Cortana, and our chat bots.

 

Content. We collect content of your files and communications

 

Det står kan samles inn, og i realiteten samles intet av dette inn om du sier nei. For Creators Update må du faktisk velge innstillingene eksplisitt før du får lov til å oppgradere. Hva som samles inn er også helt avhengig av hva du bruker av applikasjoner. Jeg har faktisk vært i noen diskusjoner med ansatte i MS om dette de siste årene, og min oppfatning er svært ulik din. Jeg deler ikke en tøddel av de dataene du snakker om fra mine Windowsinstallasjoner.

Det står faktisk ikkje "can", det står "We collect". "Vi samlar inn", ikkje "vi kan samle inn". Om ikkje Edge hadde sendt URLar vidare til Mikrosoft, hadde ikkje dette skjedd.

 

Men jeg regner med at du ikke bruker Facebook, Google , Android, Snapchat, iOS eller OSX i og med at du er så redd for personvernet. Alle disse samler i realiteten inn informasjon på dette nivået - og bruker eller kommer til å bruke det for å tjene penger.

Stemmer. Eg brukar ingen av desse, av den grunnen du nemner. Eg er ikkje dum heller.

 

Ellers er dette ikke noe nytt, jeg har faktisk et par ganger klart å få til det samme i Chrome og Firefox når jeg har testet oppsett for å sikre ekstranett/intranettløsninger. Da med Google som søkemotor.

Ja, folk som aksepterer brukarvilkåra til Google er ikkje stort betre. Om eg brukar Google, er det alltid via searx eller ixquick. Firefox rapporterer ikkje URLar til nokon søkemotor.

 

Men jeg synes også Microsoft er svært lemfeldige og passive. Det kan godt være at de objektivt sett ikke har skyld - men de burde allikevel ha handlet langt mer aktivt.

 

Nei, Microsoft har ingen skuld i dette, korkje subjektivt eller objektivt. Dei gjer berre det dei skal. Samle inn data frå brukarane sine, og bruke dei til å tene pengar til aksjeeigarane.

 

Og Edge sender ikke til Microsoft alle de dataene du påstår. Om du mener den gjør det ville det vært enorme oppslag på nettet om dette - fordi det ville være så veldig enkelt å finne ut av. Det blei påstått rett etter Windows 10 kom - slik massiv dataoverføring, men så vidt jeg vet har det blitt tilbakevist.

Nei, det er ikkje veldig enkelt å finne ut av. Data kan krypterast og overførast medan brukaren ikkje er aktiv. Windows-maskiner ringer heim heile tida, og ingen utanfor Redmond kva som vert overført. Ingen bryr seg heller. Dei har skrive eksplisitt at dei gjer det, og ingen som set pris på personvernet brukar noko Microsoft-produkt.

 

Så jeg håper du kan gi en god kilde på at Edge sender alt det du påstår tilbake til Microsoft. Vil være interessant å se.

 

Personvernvilkåra til Microsoft er ei god kjelde. Dersom dei ikkje har tenkt å gjere det, er det ingen grunn til å be brukaren om lov, og dermed fråstøyte seg dei fleste potensielle kundar som kan lese.

[Sturle S]

 

Kan du forklare korleis Evry kan hindre brukaren å sende data han har lasta ned vidare til Microsoft? Eg kan ikkje hindre nokon i å sende data dei har lasta ned frå meg vidare til andre. Det er heller ikkje mi oppgåve. 

Dette er trivielt, for å forsøke litt mindre teskje.

...

Ja, eg veit korleis ein robot fungerer, men Microsoft treng ikkje gjere det på denne måten. Dei kan berre sende data frå brukaren til Microsoft, slik brukaren eksplisitt har tillete dei å gjere. Det kan ikkje Evry hindre. Brukaren kan gjere kva han vil med data han har lasta ned, og brukaren har eksplisitt sagt at dei skal samlast inn av Microsoft.

 

 

Det finnes mange, mange måter å hindre at Microsoft får tilgang til innholdet, det eneste man ikke kan hindre er at nettleseren tar en kopi av alt brukeren ser på skjermen, å sender det til Microsoft, noe jeg kan garantere deg ikke skjer.

 

Kvifor kan du garantere at ikkje Microsoft sender innhaldet i kommunikasjonen heim, når det står eksplisitt i personvernvilkåra at dei samlar det inn? Er du meir enn gjennomsnittleg godtruande, kanskje? Vil du kjøpe ei bru av meg?

 

Skal du hindre Microsoft i å få tak i det, må du la vere å bruke Microsoft-produkt, og aldri godkjenne ei slik fråskriving av all rett til personvern til nokon. Enkelt og greitt.

[0laf]

Firefox rapporterer ikkje URLar til nokon søkemotor.

 

Men Firefox sender fremdeles de aller fleste URL'er tilbake til Mozilla.

 

Dersom du for eksempel besøker en nettside med HTTPS så må lenken og sertifikatet verifiseres av Mozilla, og Mozilla samarbeider med nettopp Google om svartelisting av "skumle" nettadresser, hvordan tror du dette kontrolleres og oppdateres fortløpende.

 

Mozilla har milliardinntekter fra selskaper som Google, nettopp fordi de integrerer Google-søk i nettleseren sin.

Endret 19. mai 2017 av adeneo

[0laf]

...men Microsoft treng ikkje gjere det på denne måten. Dei kan berre sende data frå brukaren til Microsoft, slik brukaren eksplisitt har tillete dei å gjere.

 

...

 

Kvifor kan du garantere at ikkje Microsoft sender innhaldet i kommunikasjonen heim, når det står eksplisitt i personvernvilkåra at dei samlar det inn?

 

Fordi jeg enkelt med Fiddler, Wireshark eller lignende kan kontrollere nettverkstrafikken min, å se hva som sendes, akkurat slik alle andre også kan.

 

Dersom Edge hadde sendt alle nettsider jeg besøker over nettverket mitt til Microsoft, så ville det vært en betydelig økning i benyttet båndbredde.

 

Selv om ikke jeg hadde oppdaget det, så ville garantert noen andre gjort det, å med slik innsamling av data så ville det blitt månelyst.

 

Når det er sagt, så kan jeg ikke huske å ha sett noe om disse problemene som Evry visst nok opplever med Edge, bli beskrevet i større internasjonale medier. Dersom det er slik at Edge nå indekserer sensitiv data over en lav sko, så hadde jeg forventet å lese om det flere steder enn hos Digi ?

[Sturle S]

 

Firefox rapporterer ikkje URLar til nokon søkemotor.

Men Firefox sender fremdeles de aller fleste URL'er tilbake til Mozilla.

 

Dersom du for eksempel besøker en nettside med HTTPS så må lenken og sertifikatet verifiseres av Mozilla, og Mozilla samarbeider med nettopp Google om svartelisting av "skumle" nettadresser, hvordan tror du dette kontrolleres og oppdateres fortløpende.

Dei sender berre domenet (om du har slått det på), ikkje heile URLen. Sertifikat vert verifisert lokalt.

 

Mozilla har milliardinntekter fra selskaper som Google, nettopp fordi de integrerer Google-søk i nettleseren sin.

Før var det Google, no er det DuckDuckGo. Når brukte du Firefox sist? Du treng ikkje fråskrive deg personvernet til Google for å bruke Firefox.

[0laf]

Før var det Google, no er det DuckDuckGo. Når brukte du Firefox sist? Du treng ikkje fråskrive deg personvernet til Google for å bruke Firefox.

 

For fem minutter siden, og for meg er det Google som er standard, dog for nyinstallasjoner ser det ut som det nå er Yahoo som brukes? 

 

Dersom du bruker DuckDuckGo så har du nok valgt det selv, personlig synes jeg søkeresultatene til DDG for norske søk er helt elendig.

[Sturle S]

 

...men Microsoft treng ikkje gjere det på denne måten. Dei kan berre sende data frå brukaren til Microsoft, slik brukaren eksplisitt har tillete dei å gjere.

 

...

 

Kvifor kan du garantere at ikkje Microsoft sender innhaldet i kommunikasjonen heim, når det står eksplisitt i personvernvilkåra at dei samlar det inn?

Fordi jeg enkelt med Fiddler, Wireshark eller lignende kan kontrollere nettverkstrafikken min, å se hva som sendes, akkurat slik alle andre også kan.

Ah, du trur at Microsoft ikkje er i stand til å kryptere trafikken? Sjølv Microsoft klarer det no i 2017. Dermed ser korkje du eller alle andre kva som vert sendt.

 

Dersom Edge hadde sendt alle nettsider jeg besøker over nettverket mitt til Microsoft, så ville det vært en betydelig økning i benyttet båndbredde.

Neppe. Mikrosoft har indeksert dei fleste nettsider frå før, so i dei fleste tilfelle skulle det vere nok å sende URLen. Elles kan du kutte ut ein heil del data (CSS, Javascript, grafikk, markup) og komprimere sidene grundig før sending. Veldig lite data må overførast. Det som tek mest plass er bilete, lyd og video; data med låg prioritet for indeksering.

 

Selv om ikke jeg hadde oppdaget det, så ville garantert noen andre gjort det, å med slik innsamling av data så ville det blitt månelyst.

Kvifor skal nokon "oppdage" at Microsoft gjer noko som dei skriv eksplisitt at dei gjer? Det ville vere som å "oppdage" at jorda er rund. Det er rett og slett ikkje noko nytt. Det er slik det er og skal vere. Du kan lese om det i vilkåra til Microsoft. Då er det meir oppsiktsvekkjande at somme går rundt og trur at Microsoft ikkje samlar inn dei dataane dei skriv at dei samlar inn, når det er lønsamt for dei å gjere det.

 

Når det er sagt, så kan jeg ikke huske å ha sett noe om disse problemene som Evry visst nok opplever med Edge, bli beskrevet i større internasjonale medier. Dersom det er slik at Edge nå indekserer sensitiv data over en lav sko, så hadde jeg forventet å lese om det flere steder enn hos Digi ?

Eg ser framleis ikkje kva som er interessant med at brukarar delar data med Microsoft med vitande og vilje. Internasjonale medier har vel ekte nyhende å skrive om.

[Sturle S]

 

Før var det Google, no er det DuckDuckGo. Når brukte du Firefox sist? Du treng ikkje fråskrive deg personvernet til Google for å bruke Firefox.

For fem minutter siden, og for meg er det Google som er standard, dog for nyinstallasjoner ser det ut som det nå er Yahoo som brukes?

 

Dersom du bruker DuckDuckGo så har du nok valgt det selv, personlig synes jeg søkeresultatene til DDG for norske søk er helt elendig.

Standard var i alle fall DuckDuckGo for nye installasjonar på Debian for eit års tid sidan, men det er ei stund sidan sist eg starta Firefox med nytt oppsett. Nei, eg har heller ikkje brukt DuckDuckGo etter at dei skifta til yandex for å hente søkeresultat. Google har i alle fall ikkje vore standard søkemotor i Firefox på fleire år.

[oppat]

Dette må offera ta ansvar for sjølve. Ved å bruke Edge, godtek jo brukarane at dei sender URLane til Microsoft, som kan bruke informasjonen dei innhentar til kva dei vil. Inkludert alt dei tastar inn i skjema på nett. Dette er informasjon som bukarane eksplisitt har gjeve Microsoft lov til å bruke gjennom personvernavtala til Microsoft.

 

Det er da bare tull. Brukerne har gitt Microsoft lov til å bruke URLen, men Evry har vel ikke vært så bevisstløse at de mener at URL er eneste sikkerhetsmekanisme for å beskytte sensitivt innhold.

 

Jeg kan garantere at en slik sikkerhetsmekanisme ikke er godtagbar under EUs General Data Protection Regulation (GDPR) som må ansees for å være standarden i markedet nå.

[Bolson]

Det står faktisk ikkje "can", det står "We collect". "Vi samlar inn", ikkje "vi kan samle inn". Om ikkje Edge hadde sendt URLar vidare til Mikrosoft, hadde ikkje dette skjedd.

 

.....

 

Personvernvilkåra til Microsoft er ei god kjelde. Dersom dei ikkje har tenkt å gjere det, er det ingen grunn til å be brukaren om lov, og dermed fråstøyte seg dei fleste potensielle kundar som kan lese.

Du referer ikke hele konteksten.

 

 

The data we collect depends on the products and features you use, and can include the following:

 

...

 

Credentials. We collect passwords, password hints, and similar security information used for authentication and account access.

 

 

 

Personvernvikårene er ikke nødvendigvis noe god kilde. Særlig ikke når man leser de komplette vilkårene som gjelder alle produkter og tjenester. De er skrevet, særlig når man "referer" til den amerikanske versjonen, slik at man skal unngå å komme i en juridisk felle. Dog er den norske versjonen forholdsvis lik, https://privacy.microsoft.com/nb-NO/privacystatement. 

 

Og realiteten er at Microsoft ikke samler inn så mye, og de sender ikke alt til Redmond. Dersom du virkerlig stiller inn Windows 10 - så kommer den knapt med et pip hjem. Hva Microsoft kan beskyldes for er at de gjennom å sette som standard at man skulle sende en del data hjem og ikke motsatt - at du selv må aktivere mer informasjonsflyt enn knapt et pip.

 

Det er helt feil at folk ikke har sjekket hva Microsoft sender hjem. Folk har sjekket til de grader, rett og slett fordi Microsoft gjorde den tabben ved lanseringen av Windows 10 at de ikke var helt ærlige på hva salgs datautveksling de gjorde - det stod faktisk ikke det samme i personvernsvilkårene den gangen. 

 

Realiteten er at om Microsoft (og Google for den del) hadde gjort ting akkurat slik som du påstår - så hadde det faktisk skapt et ramaskrik. Ikke nok med det - Microsoft hadde fått så hard medfart i en del EU-organer at selskapet hadde brukket ryggen. 

[Sturle S]

 

Dette må offera ta ansvar for sjølve. Ved å bruke Edge, godtek jo brukarane at dei sender URLane til Microsoft, som kan bruke informasjonen dei innhentar til kva dei vil. Inkludert alt dei tastar inn i skjema på nett. Dette er informasjon som bukarane eksplisitt har gjeve Microsoft lov til å bruke gjennom personvernavtala til Microsoft.

 

Det er da bare tull. Brukerne har gitt Microsoft lov til å bruke URLen, men Evry har vel ikke vært så bevisstløse at de mener at URL er eneste sikkerhetsmekanisme for å beskytte sensitivt innhold.

NEI. Les personvernvilkåra til Microsoft. Det er knapt nokon restriksjonar på kva data Microsoft får lov av brukarane til å samle inn og bruke.

 

Jeg kan garantere at en slik sikkerhetsmekanisme ikke er godtagbar under EUs General Data Protection Regulation (GDPR) som må ansees for å være standarden i markedet nå.

Kva er det i GDPR som hindrar brukarar som ynskjer det i å dele desse dataane med Microsoft eller andre? Ingen tryggleiksmekanismar er gode nok til å hindre at eg med vitande og vilje sender mine personlege data til andre.