06.10.2018 20:39, Victor Wagner пишет:
> On Sat, 6 Oct 2018 15:49:18 +0300
> artiom <artio...@yandex.ru> wrote:
>
>
>>
>> Т.е., всё-таки на первое место выходит доступность, а
>> конфиденциальность данных на втором, и они не сильно чувствительны к
>> этой угрозе?
>
>
> Проблема тут не в том, сильно ли чувствительны данные к угрозам
> конфиденциальности, а в том что разные данные к ним чувствительны очень
> по разному.
>
> Нарушая фидошную традицию и вспоминая, что написано в subj, а там
> написано "Доступ к медиатеке", мы можем рассмотреть угрозы
> конфиденциальности для данных медиатеки.
>
> В медиатеке у нас лежат данные, которые вообще в принципе опубликованы,
> и которые потенциальному атакующему доступны и из другого места.
>
Да не, с медиатекой всё понятно.
> Но, в мире есть такая штука как копирайт, поэтому если мы вообще не
> будем защищать медиатеку от несанкционированного доступа, мы можем
> налететь на обвинение в незаконном распространении охраняемых
> копирайтом произведений.
>
> Насколько я понимаю, закрытие любой самой примитивной аутентификацией
> во-первых отсекает 100% ботов, которые рыщут по интернету в поисках
> нелегальных копий копирайченной продукции, во-вторых, является
> достаточно хорошей отмазкой в случае если наезд таки произойдет. Мы
> данные не распространяем, мы их для собственных нужд на этом сервере
> держим. И даже доступом к нему не торгуем. А так все это добросовестно
> приобретенные фильмы.
>
> Ну и вообще надо вспомнить третий тип угроз - кроме доступности и
> конфиденциальности атакующий может попытаться нарушить целостность
> данных. То есть стереть и/или подменить то, что он стирать или
> подменять не имел права.
>
> Поскольку в соседнем письме речь шла о нескольких пользователях,
> которым предлагается дать права на удаление/изменение данных, тут дать
> единого рецепта на все случаи жизни, пожалуй не получится - сначала
> роспись того, какие у нас бывают пользователи и над какими данными они
> имеют власть, а потом модель угроз.
>
Это часть модели. Но в явном виде у меня её нет. В общем-то задача
состоит в том, чтобы давать разный доступ разным группам так, чтобы это
было удобно.
>>> Потому что первым в списке угроз "будет плохо, если они прочитают
>>> ваши данные" стоит гугль, который использует данные для
>>> таржетированной рекламы. И при этом существует достаточно много
>>> данных, которые их владельцы старательно скармливают гуглю, чтобы
>>> они попали в результаты поиска.
>>>
>>
>> Он использует эти данные не только для рекламы.
>>
> Интересно, какие по вашему мнению способы использования данных гуглем
> хуже таржетированной рекламы?
>
Не секрет, как они используют данные и какие:
https://privacy.google.com/intl/ru/take-control.html?categories_activeEl=sign-in
Одна из проблем, которую уже освещали, не таргетированная реклама, а
таргетированный контент. Вплоть до того, что некто может не узнать
важных новостей по своему запросу.
Потом, ещё это: "Иногда мы получаем запросы на доступ к данным
пользователя от правоохранительных органов. Наши юристы рассматривают
каждый запрос и отвечают отказом, если он составлен в слишком общих
терминах или с нарушением юридических норм."
Рассматривают и предоставляют. Как известно, законы везде разные.
Плюс, ваши данные потенциально могут утечь:
https://tproger.ru/news/facebook-87-million-leak/
Если возможно на Facebook, то почему не в гугле? К тому же, google.docs
были недавно яндексом проиндексированы.
И есть немало компаний и "аффилированных лиц", которым гугл передаёт данные.