Vefstjori.is geymir lykilorð

Skjámynd

Sallarólegur
Internetsérfræðingur
Póstar: 6350
Skráði sig: Mán 04. Apr 2005 11:01
Staðsetning: https://viktor.ms
Hafðu samband:
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Sallarólegur »

gRIMwORLD skrifaði:ég er búinn að lesa snöggt í gegnum þráðinn og er að reyna að ná tímaröð atvikanna.
Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?

Finnst það einmitt vera soldið ábyrgðarmál hvernig þessu er háttað til að einmitt koma í veg fyrir að einhverjir misforvitnir geti reynt að svala hakkaraþörf sinni á svona lélegum síðum. Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.

Ef þeir svo sinna því ekki þá má auðvitað setja instant pressu á þá og þeir neyðast til að að taka síðuna alveg niður (ef þeir hafa vit í kollinum)
What?
Síðan hvenær er hægt að ætlast til þess að notendur vefsíða séu eftirlitsaðilar fyrir þá vefi sem þeir heimsækja? ](*,)
Gúru ber enga ábyrgð á þessari vefsíðu og sem óánægður kúnni er fullkomlega eðlilegt að skapa umræðu um það sem betur má fara.

Fyrirtæki á Íslandi eru MJÖG aftarlega er kemur að öryggismálum á netinu, og þetta er svo fullkomið dæmi um það. Þetta er ekki í lagi.
Thinkpad P1 • i7-10875H • NVIDIA Quadro T1000 • Samsung 32GB 3200Mhz • Toshiba 1TB SSD

G Pro Wireless • WASD V2 Ch.MX brown • Arctics Pro Wireless

Alienware Ultrawide 34.1" WQHD 1900R IPS 3440 x 1440p 4ms 120Hz

EdgeRouter-X • TOUGHSwitch TS-5-POE • Unifi AP AC LITE • Raspberry Pi Unifi controller
Skjámynd

dori
Besserwisser
Póstar: 3567
Skráði sig: Fim 12. Feb 2009 10:46
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af dori »

Það er reyndar almenn kurteisi að láta eiganda/rekstaraðila/höfund fyrst vita þegar þú rekst á öryggisgalla í hugbúnaði. En eins og Gúrú bendir á þá er þetta ekki eins og það hafi verið eitthvað "óvart" þarna. Það hlýtur að vera hluti af kerfishönnuninni (jafn rangt og það er) að geyma lykilorðin í plaintext því að annars myndi þessi möguleiki að fá lykilorðið sent ekki ganga upp. Hefði kannski verið kurteisi að láta þá vita fyrst en... meh... ekkert sem þú átt efni á að vera reiður yfir.

Allt yfirklór með að þetta sé "dulkóðað" er bull. Þetta er væntanlega einhver "LAMP" vél einhversstaðar sem geymir bæði gagnagrunninn með dulkóðuðu (að þeirra sögn) lykilorðin og kóðann sem dulkóðar þau og afkótar. Álíka öruggt og að geyma útidyralykilinn í bandi sem hangir í lásnum.

machinefart
Ofur-Nörd
Póstar: 288
Skráði sig: Þri 19. Ágú 2014 12:23
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af machinefart »

Þetta er það sem getur gerst þegar verktakar eða minni fyrirtæki (sem oft skortir reynslu) undirbjóða önnur fyrirtæki í svona verkefni. Ég er viss uma að yfirmenn eldsmiðjunnar hafi ætlað að spara sér aur og valið ódýrasta aðilann, þetta var hann, megi þeir njóta :)

Við getum verið reiðir og kastað skít út um alla veggi eins og við viljum, staðreyndin er þó sú að þetta tíðkast sennilega á fullt fullt af öðrum stöðum, sérstaklega á íslenskum vefsíðum. Öryggismál eru ekki spennandi heldur fídusar og útlit. Ágætis sýnidæmi af hverju það er mælt með að maður semji ný lykilorð fyrir hvern aðgang sem maður stofnar.

Sjálfur er ég ekki nægilega duglegur en nota þó nokkur lykilorð, og aðal lykilorðið aðeins á síðum sem ég bæði treysti og tel nauðsyn til að hafa það lykilorð á.
Skjámynd

inservible
Vélbúnaðarníðingur
Póstar: 305
Skráði sig: Mán 13. Sep 2010 11:04
Staðsetning: Jörðin
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af inservible »

Þetta er enginn galli, þetta er hreinlega illa hannað og algjörlega þeirra vandamál. Hefði þetta hinsvegar verið galli sem hann viðurkenndi vefstjóri að svo væri ekki þá erum við að tala um kurteisi og að tilkynna þetta til þeirra fyrst annars ekki.
Skjámynd

KermitTheFrog
Kóngur
Póstar: 4270
Skráði sig: Mán 07. Júl 2008 23:32
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af KermitTheFrog »

Minnir mig nú bara á þetta

Skjámynd

rango
FanBoy
Póstar: 785
Skráði sig: Lau 14. Júl 2012 22:36
Staðsetning: 404 - Location Not found.
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rango »

Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?
Skjámynd

Höfundur
Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Staðsetning: ;)
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Gúrú »

rango skrifaði:Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?
Ég er nokkuð viss um að "þeir hjá Vefstjori.is setji inn tilkynningu" hjá þeim. Enda gríðarlega heiðarlegt batterí með réttu aðferðafræðina á hreinu sama hvað þeir leggja fyrir sig.
Modus ponens
Skjámynd

rango
FanBoy
Póstar: 785
Skráði sig: Lau 14. Júl 2012 22:36
Staðsetning: 404 - Location Not found.
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rango »

Gúrú skrifaði:
rango skrifaði:Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?
Ég er nokkuð viss um að "þeir hjá Vefstjori.is setji inn tilkynningu" hjá þeim. Enda gríðarlega heiðarlegt batterí með réttu aðferðafræðina á hreinu sama hvað þeir leggja fyrir sig.
Einhvernveginn grunar mér að eldsmiðjan gæti verið ósammála ummælum daniels hérna.

krat
Vélbúnaðarníðingur
Póstar: 381
Skráði sig: Lau 01. Okt 2011 21:14
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af krat »

Gúrú skrifaði:
rango skrifaði:Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?
Ég er nokkuð viss um að "þeir hjá Vefstjori.is setji inn tilkynningu" hjá þeim. Enda gríðarlega heiðarlegt batterí með réttu aðferðafræðina á hreinu sama hvað þeir leggja fyrir sig.
Ironic much ?
Skjámynd

rango
FanBoy
Póstar: 785
Skráði sig: Lau 14. Júl 2012 22:36
Staðsetning: 404 - Location Not found.
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rango »

krat skrifaði:
Gúrú skrifaði:
rango skrifaði:Er einhver búinn að hafa samband við eldsmiðjuna beint?
Á ég að senda þeim tölvupóst?
Ég er nokkuð viss um að "þeir hjá Vefstjori.is setji inn tilkynningu" hjá þeim. Enda gríðarlega heiðarlegt batterí með réttu aðferðafræðina á hreinu sama hvað þeir leggja fyrir sig.
Ironic much ?
Ég er ekki alveg að fatta þig, Hann sagði bara í raun að lykilorðin væru plaintext.
Ég gróf upp það að þeir væru ekki að escapa SQL kóðan, Og það hefði líklega keyrt þannig í nokkur ár.

Ætli ég fari ekki í það að tilkynna eldsmiðjunni þetta, Ef þú klikkar á einföldum hlut eins og að escapa SQL beiðnir þá er spurning hvort restin sé örugg líka.
Skjámynd

gRIMwORLD
Tölvutryllir
Póstar: 645
Skráði sig: Fös 19. Des 2008 21:19
Staðsetning: Hafnarfjörður
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af gRIMwORLD »

Gúrú skrifaði:
gRIMwORLD skrifaði:Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?
Þetta er svo fáránleg spurning sem á engan rétt á sér.

Þetta er ekki eitthvað CVE sem ég uppgötvaði og tilkynnti öllum, fyrirtækinu og forriturum þess óafvitandi.

Þetta er eiginleiki sem var skrifaður (senda lykilorð í SMS) inn í fáránlegt kerfi (geyma plaintext lykilorð) sem var hannað visvítandi.

Þetta er ekkert sem að væri neinar fréttir fyrir þá sem að hönnuðu kerfið svona. Sbr. að láta BMW vita af þessum framrúðum þeirra.
Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.
Eftir margar vikur af því að hafa lykilorðið mitt í plaintext mér óafvitandi sem á aldrei að gerast
fær fólkið sem hannaði kerfið svona óöruggt, meðvitað skv. því sjálfu, og það án þess að vara mann við engan helvítis breather.
Ó hey, manstu þegar ég phishaði lykilorðið þitt þegar ég fékk að gera vefsíðuna fyrir Eldsmiðjuna?
Heh það er samt allt í lagi því ég vissi að það væri óörugg vefsíða þegar ég gerði hana.
Svo spyr ég þig: Hvað gerði þetta fólk eftir að það var látið vita? Baðst það afsökunar? Rétti það úr málunum?
Fylgdi það almennum viðbragðsreglum? Hlustaði það á aðvaranir?

Nei. Það kom vel bökuð steypa af hlutleysu sem þjónaði engum tilgangi nema þeim að láta alla vita að hér væri ófagfólk á ferð.
Ekki hérna til að skapa illdeilur og þú hefur auðvitað allan rétt á að vera heitt í hamsi yfir þessu. Ég stend þó við mína skoðun að ef einhver verður var við galla eða hreinlega hættulega kóðun þá er ættu fyrstu viðbrögð að vera að hafa samband við ábyrgðaraðila og biðja þá að lagfæra hið snarasta eða hreinlega taka síðu niður. Heldur þú að einu notendur síðunnar séu lesendur spjallsins? Ef um alvarlegan öryggisgalla er að ræða sem hafa með persónuupplýsingar að gera þá er hægt að hafa samband við yfirvöld.
SAMSUNG GALAXY S8+ | Stock
Lenovo P50 | Xeon E3-1505M | 32GB DDR4 2133MHz | OS - 256GB NVMe | 2 x 24" HP E241i
Antec P190 | Gigabyte Z87X-UD5H | i7 4770K 3.5GHz | GTX 1070 8GB | CM 212 EVO | 32GB 2400Mhz | 120G Kingston SSD | ~8,7TB Storage
Skjámynd

Höfundur
Gúrú
Bannaður
Póstar: 5677
Skráði sig: Fös 17. Mar 2006 23:08
Staðsetning: ;)
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Gúrú »

gRIMwORLD skrifaði:Heldur þú að einu notendur síðunnar séu lesendur spjallsins?
Nei. En það er sure as shit ekki á minni ábyrgð að tilkynna öllum notendum Eldsmidjan.is um að traust þeirra hafi verið svikið.

Ég skil ekki hvernig þú telur þessi prinsip þín yfirfærast yfir á þetta mál.

Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.

Þú ert nánast bara að bulla og ég veit ekki alveg hverju ég á að svara þér með.
Modus ponens
Skjámynd

Sallarólegur
Internetsérfræðingur
Póstar: 6350
Skráði sig: Mán 04. Apr 2005 11:01
Staðsetning: https://viktor.ms
Hafðu samband:
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af Sallarólegur »

Gúrú skrifaði:Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.
Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.
Thinkpad P1 • i7-10875H • NVIDIA Quadro T1000 • Samsung 32GB 3200Mhz • Toshiba 1TB SSD

G Pro Wireless • WASD V2 Ch.MX brown • Arctics Pro Wireless

Alienware Ultrawide 34.1" WQHD 1900R IPS 3440 x 1440p 4ms 120Hz

EdgeRouter-X • TOUGHSwitch TS-5-POE • Unifi AP AC LITE • Raspberry Pi Unifi controller

krat
Vélbúnaðarníðingur
Póstar: 381
Skráði sig: Lau 01. Okt 2011 21:14
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af krat »

Sallarólegur skrifaði:
Gúrú skrifaði:Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.
Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.
En á meðan getur Gúrú uppfært notendur þessara síðu sem vita hva flestir að þetta sé ekki í lagi og koma þar að leiðandi boðskapnum áfram og mistökinn verða vondandi ekki endurtekinn á dýrkeyptari kostnað. :catgotmyballs
Skjámynd

depill
Stjórnandi
Póstar: 1478
Skráði sig: Mán 04. Júl 2005 17:09
Staðsetning: Reykjavík, Iceland
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af depill »

Æi varla nennti að commenta. En ég er í FB grúbbum varðandi öryggi og forritun og reglulega kemur þetta upp. Og reglulega kemur einhver og virðist halda að hann sé gáfaðari en allir hinir og það sé öryggi í obsecurity. Þ.e. það sé betra að roll your own authentication + auth + user management heldur en að nota library eða framework sem eru til í öllum tungumálum.

Sýnist það vera í gangi hér. Algjör óþarfi að vera alltaf að finna upp hjólið
Skjámynd

gardar
Besserwisser
Póstar: 3111
Skráði sig: Mán 11. Ágú 2008 02:49
Staðsetning: ::1
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af gardar »

Sallarólegur skrifaði:
Gúrú skrifaði:Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.
Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.

Æji nei plís, ekki ríkisstofnun og reglugerðir.

krat
Vélbúnaðarníðingur
Póstar: 381
Skráði sig: Lau 01. Okt 2011 21:14
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af krat »

depill skrifaði:Æi varla nennti að commenta. En ég er í FB grúbbum varðandi öryggi og forritun og reglulega kemur þetta upp. Og reglulega kemur einhver og virðist halda að hann sé gáfaðari en allir hinir og það sé öryggi í obsecurity. Þ.e. það sé betra að roll your own authentication + auth + user management heldur en að nota library eða framework sem eru til í öllum tungumálum.

Sýnist það vera í gangi hér. Algjör óþarfi að vera alltaf að finna upp hjólið
æji þannig þetta er bara í lagi.
Skjámynd

rapport
Kóngur
Póstar: 5917
Skráði sig: Mán 27. Apr 2009 13:07
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rapport »

Sallarólegur skrifaði:
Gúrú skrifaði:Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.
Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.

Lög og reglur Persónuverndar ná yfir þetta...

Skilgrening á persónuupplýsingum:
Lög um persónuvernd og meðferð persónuupplýsinga skrifaði:Persónuupplýsingar: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.
Þegar búið er að vennsla fornafn, eftirnafn og símanúmer þá er þetta orðið persónugreinanlegt, ef það er kennitala þá er þetta persónugreinanlegt....
Reglur nr. 299/2001 um öryggi persónuupplýsinga skrifaði:II. KAFLI
Öryggiskerfi
3. gr.
Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga.
Það þarf ekki að kafa dýpra....

Það er svo ofboðslaga margt að hjá ríkinu sjálfu að þar á bæ óttast menn held ég mest að öllu að svona vinnubrögð komist fyrir sjónir almennings...
Skjámynd

CendenZ
Stjórnandi
Póstar: 2569
Skráði sig: Fös 04. Apr 2003 08:54
Staðsetning: Á þessu spjalli
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af CendenZ »

Vandamálið er einmitt grunnurinn sem depill bendir á, egó forritara.

krat
Vélbúnaðarníðingur
Póstar: 381
Skráði sig: Lau 01. Okt 2011 21:14
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af krat »

rapport skrifaði:
Sallarólegur skrifaði:
Gúrú skrifaði:Hvaða yfirvöld ætlarðu t.d. að hafa samband við? Það er engin reglugerð sem bannar þessa svínslega óöruggu uppsetningu.
Þarna hittirðu naglann á höfuðið.
Það að þessi síða sé illa hönnuð er í raun aukaatriði í þessu dæmi. Þetta er umræða sem íslensk fyrirtæki verða að sjá.

Það þarf að búa til reglur um þetta og helst þyrfti að vera sér deild innan lögreglunnar sem sæi um svona mál. Það verður líklega ekki gert fyrr en eftir 50 ár eða svo, en á meðan þetta er ekki rætt þá gerist nákvæmlega ekkert.

Lög og reglur Persónuverndar ná yfir þetta...

Skilgrening á persónuupplýsingum:
Lög um persónuvernd og meðferð persónuupplýsinga skrifaði:Persónuupplýsingar: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.
Þegar búið er að vennsla fornafn, eftirnafn og símanúmer þá er þetta orðið persónugreinanlegt, ef það er kennitala þá er þetta persónugreinanlegt....
Reglur nr. 299/2001 um öryggi persónuupplýsinga skrifaði:II. KAFLI
Öryggiskerfi
3. gr.
Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga.
Það þarf ekki að kafa dýpra....

Það er svo ofboðslaga margt að hjá ríkinu sjálfu að þar á bæ óttast menn held ég mest að öllu að svona vinnubrögð komist fyrir sjónir almennings...
En hver er refsi ramminn ?
Skjámynd

rapport
Kóngur
Póstar: 5917
Skráði sig: Mán 27. Apr 2009 13:07
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rapport »

krat skrifaði:En hver er refsi ramminn ?
40. gr. Stöðvun vinnslu o.fl.
Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Við mat á því hvort og þá hvaða úrræðum skuli beitt skal Persónuvernd m.a. taka tillit til þeirra atriða sem greinir í 2. mgr. 35. gr.
Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði laga þessara eða reglur settar samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.
Sinni aðili ekki fyrirmælum Persónuverndar skv. 1. mgr. getur hún afturkallað leyfi sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati.
41. gr. Dagsektir.
Ef ekki er farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. getur hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati Persónuverndar. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.
Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.
42. gr. Refsingar.
Brot á ákvæðum laga þessara og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar.
Nú er brot framið í starfsemi lögaðila og má þá gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga.
43. gr. Bætur.
Hafi ábyrgðaraðili eða vinnsluaðili unnið með persónuupplýsingar í andstöðu við ákvæði laga þessara, reglna eða fyrirmæla Persónuverndar skal ábyrgðaraðili bæta hinum skráða það fjárhagslega tjón sem hann hefur orðið fyrir af þeim völdum. Ábyrgðaraðila verður þó ekki gert að bæta tjón sem hann sannar að hvorki verður rakið til mistaka né vanrækslu af hans hálfu eða vinnsluaðila.

krat
Vélbúnaðarníðingur
Póstar: 381
Skráði sig: Lau 01. Okt 2011 21:14
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af krat »

rapport skrifaði:
krat skrifaði:En hver er refsi ramminn ?
40. gr. Stöðvun vinnslu o.fl.
Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Við mat á því hvort og þá hvaða úrræðum skuli beitt skal Persónuvernd m.a. taka tillit til þeirra atriða sem greinir í 2. mgr. 35. gr.
Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði laga þessara eða reglur settar samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.
Sinni aðili ekki fyrirmælum Persónuverndar skv. 1. mgr. getur hún afturkallað leyfi sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati.
41. gr. Dagsektir.
Ef ekki er farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. getur hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati Persónuverndar. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.
Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.
42. gr. Refsingar.
Brot á ákvæðum laga þessara og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar.
Nú er brot framið í starfsemi lögaðila og má þá gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga.
43. gr. Bætur.
Hafi ábyrgðaraðili eða vinnsluaðili unnið með persónuupplýsingar í andstöðu við ákvæði laga þessara, reglna eða fyrirmæla Persónuverndar skal ábyrgðaraðili bæta hinum skráða það fjárhagslega tjón sem hann hefur orðið fyrir af þeim völdum. Ábyrgðaraðila verður þó ekki gert að bæta tjón sem hann sannar að hvorki verður rakið til mistaka né vanrækslu af hans hálfu eða vinnsluaðila.
Takk fyrir, mjög áhugavert.
Skjámynd

rapport
Kóngur
Póstar: 5917
Skráði sig: Mán 27. Apr 2009 13:07
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rapport »

En svo má líka vel vera að annað öryggi hjá þeim sé arfaslakt...

Mynd
Skjámynd

CendenZ
Stjórnandi
Póstar: 2569
Skráði sig: Fös 04. Apr 2003 08:54
Staðsetning: Á þessu spjalli
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af CendenZ »

Hafið samt í huga að það er engin villa eða galli í kerfinu þeirra, það er nákvæmlega svona hannað. Þetta er vísvitandi gert svona, notendanum til þæginda. "annað" öryggi hjá þeim er líklegast í lagi
Skjámynd

rapport
Kóngur
Póstar: 5917
Skráði sig: Mán 27. Apr 2009 13:07
Staðsetning: Reykjavík
Staða: Ótengdur

Re: Eldsmiðjan geymir lykilorð

Póstur af rapport »

CendenZ skrifaði:Hafið samt í huga að það er engin villa eða galli í kerfinu þeirra, það er nákvæmlega svona hannað. Þetta er vísvitandi gert svona, notendanum til þæginda. "annað" öryggi hjá þeim er líklegast í lagi
Ég veit ekki hvort þetta átti að vera kaldhæðni eða jákvæðni...

Það mætti a.m.k. skipta orðinu "líklega" út fyrir "hugsanlega" eða "mögulega"...

M.v. hvað við vitum um þeirra vinnubrögð, þá kveikir það ekki miklar væntingar um að annað sé í lagi.
Svara