Sezon ogórkowy w pełni, dzięki czemu wszyscy pastwią się nad wyciekiem danych osobowych w Pekao SA. O ile błąd udostępnienia danych został naprawiony w miarę szybko (od jego ujawnienia), to zignorowanie wyszukiwarek do tej pory odbija się czkawką...
Dzisiaj (niedziela) trwa w najlepsze dyskusja (chociażby tutaj, ale i na interaktywnie.com) "co, gdzie i w jakim zakresie można znaleźć w Google", preparując odpowiednie zapytania. Problem jest poważny, ponieważ wyszukiwarka nie tylko posiada kopię strony z bezpośrednimi odnośnikami do plików CV i listów motywacyjnych (wystarczy przecież zmienić lokalizację plików na serwerze, by umieszczone tam linki przestały działać), ale przede wszystkim Google zdążyło zindeksować kilkaset dokumentów z samymi danymi (w chwili obecnej: dokładnie 95 dokumentów w formacie PDF i 586 w formacie DOC). I nad tymi informacjami bank (czy też podmiot zarządzający serwisem) niestety utracił kontrolę (!).
Niestety, smutna prawda jest taka, że sytuacja Pekao potwierdza niewesoły obraz beztroski webmasterów w zakresie ochrony danych umieszczonych na serwerach (a więc nie tylko dostępnych przez witryny WWW) dla wyszukiwarek internetowych (i nie tylko). Z zawodowej ciekawości wziąłem pod lupę witryny 24 banków pochodzących z dwóch źródeł: a) listy największych polskich banków wg Wikipedii i b) banków objętych niedawno analizą obecności w wyszukiwarkach (opracowanie autorskie). Wyniki są niestety przygnębiające:
Mamy zatem tylko 2 instytucje finansowe (na 24, czyli 8,5%), które mogą być w miarę spokojne, jeżeli chodzi o konfigurację tego pliku. Oczywiście trzeba w tym miejscu dodać, że samo to nie daje żadnych gwarancji bezpieczeństwa danych - spełnionych musi być szereg dodatkowych warunków (np. zablokowanie możliwości pokazywania listy plików w taki sposób jak odbyło się to w przypadku Pekao SA), które jednak - jak wynika z moich obserwacji - w wielu przypadkach są ignorowane przez firmy tworzące serwisy internetowe. No bo kto zastanawia się jak "te wścibskie wyszukiwarki" odnajdują treści w Internecie?. Efekt - tylko 2 agencje interaktywne z tego zestawienia (digital One i Janmedia) w ogóle mają plik robots.txt...
W myśl przysłowia "mądry Polak po szkodzie" pewnie niebawem wrócimy do tego tematu - zmieni się tylko serwis / klient / branża (**)
(**) - niepotrzebne skreślić
Ps. Możliwości blokowania indeksacji treści jest wiele - samo Google wymienia przynajmniej kilka sposobów postępowania. Trzeba tylko uwierzyć we wścibskość wyszukiwarki i zadać sobie trud konfiguracji.
Dzisiaj (niedziela) trwa w najlepsze dyskusja (chociażby tutaj, ale i na interaktywnie.com) "co, gdzie i w jakim zakresie można znaleźć w Google", preparując odpowiednie zapytania. Problem jest poważny, ponieważ wyszukiwarka nie tylko posiada kopię strony z bezpośrednimi odnośnikami do plików CV i listów motywacyjnych (wystarczy przecież zmienić lokalizację plików na serwerze, by umieszczone tam linki przestały działać), ale przede wszystkim Google zdążyło zindeksować kilkaset dokumentów z samymi danymi (w chwili obecnej: dokładnie 95 dokumentów w formacie PDF i 586 w formacie DOC). I nad tymi informacjami bank (czy też podmiot zarządzający serwisem) niestety utracił kontrolę (!).
Niestety, smutna prawda jest taka, że sytuacja Pekao potwierdza niewesoły obraz beztroski webmasterów w zakresie ochrony danych umieszczonych na serwerach (a więc nie tylko dostępnych przez witryny WWW) dla wyszukiwarek internetowych (i nie tylko). Z zawodowej ciekawości wziąłem pod lupę witryny 24 banków pochodzących z dwóch źródeł: a) listy największych polskich banków wg Wikipedii i b) banków objętych niedawno analizą obecności w wyszukiwarkach (opracowanie autorskie). Wyniki są niestety przygnębiające:
- 16 z 24 serwisów bankowych nie ma skonfigurowanego pliku robots.txt (*), pozwalającego na zakazanie indeksacji wydzielonych części witryny;
- Z 8 serwisów posiadających plik, tylko w 2 przypadkach jego treść jest poprawnie i w miarę kompleksowo skonfigurowana (chodzi o: Fortis Bank i Deutsche Bank PBC).
Mamy zatem tylko 2 instytucje finansowe (na 24, czyli 8,5%), które mogą być w miarę spokojne, jeżeli chodzi o konfigurację tego pliku. Oczywiście trzeba w tym miejscu dodać, że samo to nie daje żadnych gwarancji bezpieczeństwa danych - spełnionych musi być szereg dodatkowych warunków (np. zablokowanie możliwości pokazywania listy plików w taki sposób jak odbyło się to w przypadku Pekao SA), które jednak - jak wynika z moich obserwacji - w wielu przypadkach są ignorowane przez firmy tworzące serwisy internetowe. No bo kto zastanawia się jak "te wścibskie wyszukiwarki" odnajdują treści w Internecie?. Efekt - tylko 2 agencje interaktywne z tego zestawienia (digital One i Janmedia) w ogóle mają plik robots.txt...
W myśl przysłowia "mądry Polak po szkodzie" pewnie niebawem wrócimy do tego tematu - zmieni się tylko serwis / klient / branża (**)
(**) - niepotrzebne skreślić
Ps. Możliwości blokowania indeksacji treści jest wiele - samo Google wymienia przynajmniej kilka sposobów postępowania. Trzeba tylko uwierzyć we wścibskość wyszukiwarki i zadać sobie trud konfiguracji.
![[Aktualizacja] Nasza Klasa i GG tworzą własne badanie Internetu](http://interaktywnie.com/public/upload/img/orginal/02/15/21594_badania.png)
Prosze sobie wyobrazic sytuacja gdy na stronie zainwestujwsiebie.pl znajduje sie plik o takiej tresci:
User-agent: *
Disallow: /files/0/
co z tego ze robot nie zaindeksuje zawartosci katalogu /files/0 jesli co sprytniejszy internauta odczyta sobie ten plik bez problemu i wie od razu co bank ma do ukrycia.
Wiele razy spotykalem sie na stronach ze zlym zastosowaniem tego pliku przykladowo plik blokowal indeksowanie katalogu /admin/ gdzie byl panel administracyjny bez autoryzacji.
Powiem w skrocie tak nadgorliwe stosowanie tej metody moze bardziej zaszkodzic niz pomoc.
Dlatego napisalem: (...)np. zablokowanie możliwości pokazywania listy plików w taki sposób jak odbyło się to w przypadku Pekao SA(...)
Banki - jako instutucje szczególnego zaufania - powinny kłaść podwójny nacisk na kwestie bezpieczeństwa...
Bardzo prosta i intuicyjna metoda, ktora zapobiegnie listowaniu zawartosci katalogu, jednak nie mozna opierac sie tylko na niej przy zabezpieczeniu waznych danych.
"Security through obscurity" przestalo sie juz b. dawno temu sprawdzac.
Ciekaw jestem czy Pekao skorzystało z funkcji usunięcia tej treści z Googla np. przez Webmasters Central. A może wszyscy teraz zastanawiają się gorączkowo jak tu zwalić winę na kogoś innego. ;-)
Wina banku jest oczywista, ale chyba wiekszosc komentatorow nie dostrzega przy tym, ze Google swiadomie lamie polskie prawo. Jego roboty oprocz indeksowania, wykonuja bowiem kopie stron i dokumentow, po czym te kopie rozpowszechniaja. Konkretnie, firma Google lamie Ustawe o Prawie Autorskim oraz rozpowszechnia dane osobowe osob bez ich zgody.
CV i listy motywacyjne sa chronione prawem autorskim. Nie funkcjonuje w Polsce cos takiego jak zgoda domyslna na rozpowszechnianie utworu ani domyslna zgoda na przetwarzanie danych osobowych. A Google robi wlanie to: rozpowszechnia te dane bez zgody ich wlascicieli.
I nie ma tu najmniejszego znaczenia, ze dokumenty byly dostepne bez zadnych zabezpieczen na stronie banku. Teraz nie sa, a Google dalej rozpowszechnia ich kopie. Czyli w sensie prawnym nie rozni sie od "piratow".
Nie ma tez znaczenia, ze robi to "robot" nieswiadomy cachowanych tresci. Za dzialania robota odpowiada firma, bedaca jego wlascicielem i jej problemem jest, zeby odroznial tresci chronione od niechronionych (btw. domyslnie chroniona przed rozpowszechnianiem bez zgody autora jest praktycznie kazda strona www - bo kazda jest dzielem w rozumieniu Ustawy o Prawie Autorskim).
Domyslnie zadne strony ani dokumenty nie powinny byc cachowane przez wyszukiwarke. To umieszczenie jakiegos specjalnego pliku czy znaku, powinno ZEZWALAC, a nie zabraniac wyszukiwarce okreslonych czynnosci. Tylko taki mechanizm, byc moze przeniosloby odpowiedzialnosc za zlamanie prawa z Google na bank.
Ja na miejscu osob poszkodowanych (ktorych dane wyciekly) skarzylbym rowniez Google. Nie wyobrazam sobie zeby ta sprawa byla do obrony przed polskim sadem.
Jeżeli chodzi o domyślny brak cacheowania przez wyszukiwarkę konkretnego dokumentu czy też podstrony - to chyba od tego był taki meta-tag ala "no-cache" czy jakoś tak - ale to takie rozdrabnianie się w kontekście całej dyskusji.
Czy ja wiem czy Google łamie polskie prawo ? jakoś, to nasze prawo to miejscami powinno się połamać do cna i zrekonstruować od podstaw.
To co teraz ? Polska vs. Google ? a później Polska vs. Yahoo i inne podobne ? Ten kraj już dla wielu nie jest taki jaki powinien być a takie stanowisko to trochę godzenie w samego siebie. Moim zdaniem jeżeli już mowa o łamaniu "prawa autorskiego" to złamał je jedynie Bank - bo nie zabezpieczył tych danych w należyty sposób przechowując je w miejscu publicznym.
Autor posta ładnie odesłał pod sam koniec do strony którą warto na prawdę przeczytać.
Na koniec: skarżenie Google w tym przypadku to jak dla mnie takie gryzienie ręki która pomaga nie jednemu dzisiaj w uzyskaniu $ na jedzenie.
Jak słusznie zauważył Robert - plik "robots.txt" służy do tego by blokować wyszukiwarki przed tym co mogą widzieć ludzie, a nie wyszukiwarki, lecz nie do tego by chronić przed wypłynięciem cennych danych.
Co więcej, niezgodne z przeznaczeniem zastosowanie tego pliku może przynieść więcej zagrożeń niż zabezpieczeń. Mam tu przede wszystkim na myśli wskazywanie w pliku robots.txt miejsc, które są miejscami dostępnymi dla wybranych np. po zalogowaniu. Jest to doskonała mapa miejsc, które mogą stać się celem potencjalnego ataku prawdziwego włamywacza.
Przykładem mogą być tu chwalone za wykorzystanie robots agencje, które wskazują gdzie znajdują się treści dostępne po zalogowaniu. Teraz jedyną barierą ochronną jest tylko poziom zabezpieczeń aplikacji CMS.
ps. wścibskie wyszukiwarki?
nie ma co zwalać winy na biedne wyszukiwarki :} one tylko idą tam gdzie człowiek im zostawi ślad
"dane rejestujacych sie lutkow sa dostepne dla fszystkich moszna se pobrac z http://www.zainwestujwprzyszlosc.pl/files/0 - lamy se zostafily hasioro do ftp na serwie... pozdro"
http://tiny.pl/2gxj
Czyzby jednak ktoś się włamał na serwer i włączył przeglądanie katalogów?
...a po umieszczeniu odnośnika na stronie (może właśnie to ten link?) Google mogło bez problemu zindeksować (dostępne bo niezakazane) treści...
@arek: Czemu zatem nie słyszy się o sprawach dotyczących nieprzestrzegania praw autorskich przez Google - w Polsce i na świecie?
Tak czy inaczej - wiem, że to mały offtopic - ale zacząłem doszukiwać się informacji i klik po kliku trafiłem tutaj: http://zeitgeistmovie.com/ - to sobie obejrzyjcie - jeden z filmów po obejrzeniu których mówię "to daje w palnik". Na stronie są polskie napisy - jeżeli ktoś chce wersję z napisami to należy po prostu kliknąć w odpowiedni link w żółtej ramce.
Filmiki które podesłałeś mogą wydać się zrobione przez grupę fanatyków co wszędzie widzi spisek, ale ogrom tych informacji ktore zostały tam przedstawione to prawda, i robią wrażenie
Ale jak widzę sezon ogórkowy w pełni także w branży SEM :]
Wracając od szczegółu do ogółu: gdyby na wspominanym wyżej serwisie istniał poprawnie skonfigurowany plik robots.txt, nie mielibyśmy o czym dzisiaj rozmawiać - bo treści nie zostałyby zindeksowane. I w ten sposób zostałyby zabezpieczone przed wyszukiwarkami :]
Pamietajmy tez, ze proces przeciw tak bogatym firmom jak Google nie jest sprawa prosta. W Polsce dodatkowo nie bylo dotad mozliwosci zlozenia pozwu zbiorowego, co indywidualnego pookrzywdzonego stawialo w bardzo kiepskiej pozycji w starciu z gigantem. Byc moze nie bylo tez dotad tak ewidentnego przypadku szkody jak w omawianym przykladzie wycieku danych bankowych.
Zgadzam sie z argumentem, ze _zazwyczaj_ cachowanie tresci przez wyszukiwarke przynosi korzysci. Twierdze jednak, ze prawie zawsze jest to lamanie prawa polskiego. Moze prawno nalezy zmienic, ale poki co jest jakie jest i Google musi sie z nim liczyc. Przypadek wycieku danych z banku pokazal, ze wspomniana funkcjonalnosc cachowania moze byc bardzo szkodliwa. A jesli wiaze sie ze zlamaniem prawa, to Google jak najbardziej moze byc pozwane i bedzie to imho pozew zasadny.
@Atrur - tak wiec na razie nie Polska vs Google ale Poszkodowani vs Google w tej konkretnej sprawie.
Powtarzam: nielegalne umieszczenie tresci objetych prawem autorskim (oraz dodatkowo ochroną danych osobowych) w internecie (w tym wypadku przez bank) nie zwalnia z odpowiedzialnosci osoby czy firmy, ktore te tresci dalej rozpowszechniaja. Szczegolnie, jesli sa swiadome nielegalnosci takiego dzialania. A wnoszac z wypowiedzi rzecznika banku, Google zostalo poinformowane o problemie bardzo szybko.
Gdyby prawo tak nie dzialalo, moglbys napisac program (pod szumna nazwa "robot"), ktory "cachowalby" i udostepnial kazdy plik MP3 czy film, ktory choc raz nielegalnie znalazl sie w sieci za sprawa piratow. Uwazasz, ze uniknalbys odpowiedzialnosci zwalajac wine na pirata, ktory nie umiescil w katalogu z filmami specjalnego pliku robots.txt, ktory powiedzialby twojemu robotowi ze tych tresci ma nie cachowac? Nie sadze ;)
Rozpatrujemy ten problem z dwóch punktów widzenia: Ty od strony prawnej a ja od strony niższej czyli od tej, która była powodem tego, że w ogóle takie dane się pojawiły. I ten mój punkt widzenia kładzie nacisk na architekturę składowania informacji przez bank. To wg. mnie jest tym centrum problemu - ktoś źle zaprojektował architekturę składowania danych (wykonawca systemu), ktoś drugi taką architekturę najwyraźniej zaakceptował (ktoś z banku) no i powstał problem i teraz GIODO odwiedzi i jednego i drugiego.
Po prostu nie widzę jakoś tego, żeby ktoś w banku mógł "przyklepać" taki a nie inny schemat składowania konkretnego typu danych. No ale najwyraźniej błędy się zdarzają i to niestety ludzka rzecz. Szkoda, że bank starał się ratować sytuację w taki nieudolny i nieprzyjazny środowisku sposób - w moich oczach na pewno stracili.
Może po prostu nie jestem jakoś negatywnie nastawiony do Google - jakoś nigdy do tej pory nie doświadczyłem nieprzyjemnych sytuacji związanych z użytkowaniem którejś z dostępnych usług. Być może jest to siła skali w pewnym sensie - mnie bardziej Google dzisiaj pomaga niż przeszkadza i dlatego nie zauważam minusów takie jakie np. nakreślił Arek w swoich postach.
I nie mogę się jakoś doszukać takiej hmm możliwości pozwania Google przez poszkodowanych. Patrzę po prostu na taką organizację jak RIAA (Recording Industry Association of America) i Google. Czemu oni w takim razie pierwsi nie dossali się do Google (chyba ? jak się mylę to mnie poprawcie - nie mogę w Google znaleźć informacji na ten temat) ?
Przecież Google na co dzień, składuje w sobie tyle linków do nielegalnie zamieszczonej muzyki, propaguje tyle serwisów, które łamią na co dzień prawa autorskie wykonawców że RIAA mogło by bez problemu od Google dostawać nazwijmy to "wypłatę" - co tydzień kolejny pozew, wygrana sprawa i tak w kółko.
Z tego co jedynie ostatnio słyszałem - była sprawa związana z Rapidshare i faktycznie RS dostał po łapkach, ale nie doszukałem się tam powiązania i oskarżeń w stronę brata G.
A może nikt nie chce, by społeczeństwo mogło mieć dostęp do tego rodzaju "ekstra wypłat" od Google ? Może społeczeństwo samo z własnej woli nie chce ubić swojego internetowego sojusznika ?
Dokładnie to samo mnie zastanowiło :-)
Najdziwniejsze jest to że te dane osobowe są dalej widoczne w Google po wpisaniu frazy: site:zainwestujwprzyszlosc.pl inurl:/files/0/ , 1360 CVlek dalej jest zaindeksowanych.
Podejrzewam że PKO nie ma niestety pojęcia o czymś takim jak Google Webmaster Tools, gdzie można usunąć link do strony z indexu jak i wersje która została pobrana do "cachu".
A co robots.txt , to o takim rozwiazaniu mogli myslec na poczatku, teraz to tylko GWT im zostaje.
Pozdrawiam
Wartosc prawna jest zerowa bo nie jestem prawnikiem i pozostaje mi przywolywac jedynie zdroworozsadkowe argumenty :)
Natomiast zastanawia mnie jeszcze jedno rowniez zdroworozsadkowo) - jak do tego maja sie Zasady Korzystania z wyszukiwarki oraz Polityka Prywatnosci Google? Czy to nie jest tak, ze korzystajac z Google niejako przerzucamy na siebie (tj. uzytkownika) odpowiedzialnosc za to, co chcemy podejrzec?
Wypraszam sobie :P
A to w takim razie przepraszam za mala sugestie :D
Z warunków korzystania z usług Google najciekawszymi jak dla mnie są paragrafy: 5.6, 8.1, 8.4, 8.5, 11.1, a w szczególności cały par 15, 18 oraz paragraf 20.7
z omówienia ochrony prywatności interesujący wydaje się być punkt "Zastosowania" w szczególności podpunkt 4.
To wszystko znaczy jak dla mnie (tak jak ja to rozumiem), że:
wszystko co publikuję w internecie a do czego ma dostęp Google - może być przez G. kopiowane i przechowywane przy jednoczesnym zachowaniu zasady iż ja jako użytkownik ponoszę sam odpowiedzialność za publikowane informacje i także w moim interesie leży odpowiednie zabezpieczenie tych informacji przed osobami dla których ów informacje nie mają z mojego punktu widzenia być dostępne.
Z "zasadami" googla zapoznam sie, przypominam jednak, ze wszelkie wewnetrzne "zasady" i "regulaminy" musza byc zgodne z prawem polskim albo sa niewazne.
Chyba zostalem zle zrozumiany w kwestii winy Google. Nie chodzilo mi absolutnie o odpowiedzialnosc Google za linkowanie do chronionych tresci. Owszem, slyszalem o tego rodzaju podchodach, aby uczynic wyszukiwarke odpowiedzialna za samo linkowanie do materialow chronionych prawem autorskim. Ale mi w tym przypadku chodzi o fakt skopiowania (cachowania) nie tylko na potrzeby indexowania ale rowniez udostepniania publicznie (to wazne!) tych kopii. Zwrocmy uwage, ze CV byly przez dlugi czas dostepne _na stronach Google_ juz po tym jak zostaly usuniete ze stron banku. Zdaje sobie sprawe ze specyfiki pracy wyszukiwarki, ale fakt rozpowszechniania przez Google materialow chronionych prawem autorskim pozostaje niepodwazalny.
Bardzo jestem ciekaw ewentualnego procesu :D
Maciej pisze: "Czy to nie jest tak, ze korzystajac z Google niejako przerzucamy na siebie (tj. uzytkownika) odpowiedzialnosc za to, co chcemy podejrzec?"
Moim zdaniem jest dokladnie odwrotnie! Zdecydowanie nie wolno materialow chronionych rozpowszechniac, niezaleznie czy zrobil to juz ktos inny wczesniej.
W tym konkretnym przypadku nie powinno sie takze tych materialow sciagac, bo nie moze byc mowy o dozwolonym "uzytku wlasnym". Ustawa o Prawie Autorskim mowi w Art 23: "Bez zezwolenia twórcy wolno nieodpłatnie korzystać z już rozpowszechnionego utworu w zakresie własnego użytku osobistego". Natomiast Art 6 definiuje: "utworem rozpowszechnionym jest utwór, który za zezwoleniem twórcy został
w jakikolwiek sposób udostępniony publicznie".
A te CV zostaly rozpowszechnione bez zezwolenia tworcow, prawda?
Czyli nikomu nie wolno ani z nich korzystac ani tym bardziej rozpowszechniac dalej. Bez wyjatkow i niezaleznie od jakichkolwiek regulaminow Google'a.
Ciekawe omowienie kwestii cache'owania stron znalazlem tutaj:
http://prawo.vagla.pl/node/2628
A tu przyklady, ze pretensje i pozwy wobec Google o naruszenie praw autorskich nie sa wcale tak rzadkie:
http://webmade.org/wiadomosci/microsoft-google.php
http://www.idg.pl/news/76744.html
http://www.internetstandard.pl/news/83290.html
Podsumowujac: mozna powiedziec, ze polskie prawo obecnie nie uwzglednia specyfiki pracy wyszukiwarek internetowych i nie robi dla nich prawnych wyjatkow.
1/ czy GIODO taki wniosek otrzymało od banku w temacie budowania bazy kariery z przesyłanych CV
2/ jeśli tak to jak wyglądała jego akceptacja
ale myślę że obie instytucje są obecnie w stałym kontakcie i oficjalny komunikat wkrótce sie pojawi.
Natomiast dla zainteresowanych ciekawsze wpadki i eksperymenty względem wyszukiwarek zdarzały się w bardziej poważnych instytucjach niż bank i CV Marioli nr 1245, np.: jedna z największych/najlepszych armii świata i jej procedury postępowania, pewna agencja od atomu, instytucje rządowe wielkiej 5, pewna agencja co sie wiąże nazwą z inteligencją, firma co się para unikalnymi numerami identyfikacyjnymi, itd.
Więcej szczegółów polecam [I Hack Stuff][http://johnny.ihackstuff.com/] Jest dostępny również ładny PDF z sshotami poszczególnych dokumentów :]
Dlaczego zatem nikt nie oskarżył Google lub autora strony [ekspert w temacie zabezpieczeń] o posiadanie poufnych danych? Albo dlaczego jakiś sympatyczny kolo w czarnym prochowcu nie podał naszemu autorowi glukozy, zwinął mu sprzęt i nie zafundował permanentnego zniknięcia w ramach zagospodarowania betonem terenów zielonych?
Dlatego, że tacy jak on wykrywają ignorancję, brak kompetencji i amatorkę dając do zrozumienia jak słabo zabezpieczone są nasze dane. Dlatego przechytrzone instytucje często dziękują za wykrycie nieścisłości.
I podobnie zalecałbym postąpić ze strony Banku względem Google.
Powtarzam jednak do znudzenia: moje watpliwosci prawne dotyczyly jedynie KOPIOWANIA i nastepujacego po nim ROZPOWSZECHNIANIA w zmienionej formie (tzw. "wersja HTML" z cache) przez Google. W szczegolnosci wtedy, kiedy dane pomylkowo udostepnione na stronie Banku zostaly juz usuniete. Na to zgody w polskim prawie moim zdaniem nie ma.
Przy okazji: sama technologia prezentacji dokumentow PDF albo DOC w Googlowej "wersji HTML" jest tez bardzo dwuznaczna w swietle polskiego prawa autorskiego. Bo ochronie podlega nie tylko tresc ale rowniez forma dziela i o ile prywatnie mozemy sobie dzielo dowolnie przerabiac to juz nie mamy prawa publikowac (rozpowszechniac) go w zmienionej formie. Fakt darmowego udostepnienia dziela w formie oryginalnej w internecie przez autora jest tu chyba bez znaczenia.
Interesujaca kwestia... Sprobuje popytac o to prawnikow.
Celnie i zwięźle ująłeś moją sugestie ;] Obecnie myśl o audycie dowolnego wymiaru, klienci i dostawcy traktują jako "atak wścibskich i pazernych mądrali", a nie "ekspercką gwarancję spokoju i bezpieczeństwa".
Jeśli wykonawca chce uwiarygodnić wykonany projekt, to "ponosi" koszty audytu. Jeśli klient chce zweryfikować poprawność prac wykonawcy, to koszty ponosi klient. Czyli zależy jak ustawiony jest zakres projektu.
Ponoszenie ujęte w cudzysłowie oznacza, iż ostatecznie i tak koszty poniesie klient, w takiej lub innej formie. A czy jest to zwiększenie kosztów to już pozostawiam do decyzji w odniesieniu do ryzyka jakie ów audyt minimalizuje.
Ja dodam że:
Jest zepętlającym się stwierdzeniem bo gdyby pliki były poprawnie "zabezpieczone" (i mówię tu o zabezpieczeniu przed dostępem a nie robotami) to dyskusji na temat robots.txt też by nie było....
Co do stwierdzenia:
to pojęcie "poprawna konfiguracja" jest tu względne. Jak słusznie stwierdził ktoś (nie pamiętam bo strasznie dużo komentarzy) plik robots.txt może też pomóc hackerom "Disallow: /files/0/" - a przed robotami można ten katalog całkiem inaczej "zasłonić".
Dodaj komentarz
Wpisy tego samego autora