GDPR
Nu aveam de gand sa scriu nimic despre GDPR. Am tot evitat sa fac asta, asa, in ideea de “sa vedem ce se intampla daca nimeni nu zice nimic”.
Da’ pula mea, ce mi-e ca scriu azi, ce mi-e ca scriu in Mai, cum planuiam.
Despre GDPR puteti citi pe internet. Sunt ceva sute de pagini, dar partile relevante ar fi astea:
– nu se aplica doar pentru EU, ci si pentru companiile care proceseaza datele vizitatorilor/cumparatorilor din EU. Astfel, daca eu imi fac un site pe .cc, dupa care il hostez in US, dar am vizitatori din EU, se aplica. Asta asa, ca sa clarificam faptul ca nu merge cu “imi tin site-ul in Rusia si ma doare-n pula”.
– amenzile sunt de 4% din turnover sau 20 de milioane – whichever is GREATER. Deci nu merge cu “am o cifra de afaceri de 10000 pe an, mi se rupe pula de 4%”. Ca atunci esti amendat cu 20 de milioane. Asa, scurt.
– prin “date personale” se intelege orice poate fi folosit pentru a identifica o persoana – direct sau indirect. Cateva exemple sunt date in GDPR FAQ, astfel:
Any information related to a natural person or ‘Data Subject’, that can be used to directly or indirectly identify the person. It can be anything from a name, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer IP address.
E important sa intelegem chestia asta, pentru ca unii oameni pot crede ca “dom’le, dar nu ne priveste pe noi, ca noi nu stocam date herpaderp, nu suntem o organizatie de-aia”. Fals. 100% fals. Ai loguri de apache/nginx? Surpriza – contin IP-uri si informatii legate de browser si OS. Rulezi wordpress? Surpriza, in baza de date ai date personale. Hai sa va arat doua exemple, ca sa nu existe confuzii.
– nu mai merge nici cu harneli de spam long-term, pentru ca nu mai e permisa mizeria aia odioasa cu “avem emailul tau de undeva, nu mai stim de unde, credem ca ai fost de acord sa iti trimitem acest spam jegos”. Cu citat:
Explicit consent is required only for processing sensitive personal data – in this context, nothing short of “opt in” will suffice. However, for non-sensitive data, “unambiguous” consent will suffice.
In acest sens, haideti sa va arat panica din online din UK.
Da. Exact. Nu mai merge cu “avem noi detaliile tale de undeva, deci ia de-aici acest spam jegos in fiecare saptamana, indiferent de ce faci”. Nu mai merge cu “ia de-aici acest buton de unsubscribe care nu functioneaza”. Nu mai merge cu nimic. O fac in continuare simpaticii astia? Reclamatie direct la DPA si pac, 20 de milioane amenda. Sanatate si muie – ti se duce afacerea pe pula in timp record.
– nu mai merge nici cu “youtube, canalu’ de retarzi de 15 ani”, pentru ca:
Parental consent will be required to process the personal data of children under the age of 16 for online services; member states may legislate for a lower age of consent but this will not be below the age of 13.
Hai, succes cu de-astea cand trebuie acordul parintilor. Suuuuucces.
– o alta parte interesanta tine de data encryption. OK, ai datele utilizatorilor, dar trebuie sa iei masuri pentru a te asigura ca, in caz ca-s furate, nu vor identifica o persoana. Astfel, datele personale trebuie sa fie ori criptate, ori sa foloseasca pseudonymisation, ori whatever. Iar daca nu faci asta, pac – amenda de-aia simpatica.
Ia, stiti pe cineva care foloseste pseudonymisation? Ca eu stiu fix O AFACERE care face asta. Stiti pe cineva care stocheaza datele criptat? Trebuie sa dai cu tunul pentru a gasi o afacere care foloseste macar at rest encryption, ce sa mai vorbim de non-deterministic sau criptare asimetrica a datelor in tranzit (si nu ma refer la visitor -> webserver, ci la webserver -> backend) sau orice altceva.
– ultima chestie despre care o sa scriu pe tema asta (ca plm, se apropie ora 9 si tre’ sa incep sa mimez munca) tine tot de criptarea datelor in tranzit – in speta de https. Hai, viteza cu https-ul ala. Poate-ati observat ca si opencube foloseste acum https. Dar luati alte site-uri random si veti vedea ca ori nu folosesc https (exemplu relativ popular in Romania), ori il folosesc, da’ e pe jumatate nefunctional – cum ar fi astia:
In fine, motivul pentru care scriu despre asta e ca e amuzant sa vad in fiecare zi zeci de afaceri care au o componenta online si dorm in front fara a face nimic pe tema, chit ca mai sunt 4 luni pana explodeaza mamaliga. Acum, daca era vorba de site-urile personale ale unora, OK, nu comentam nimic, treaba lor, aia dau site-ul jos si apoi reinstaleaza corect si-i doare-n pula de downtime. Da’ stiti cat dureaza intr-o companie planificarea si implementarea unui proiect de genul asta? Pfai de pula mea…Asta-i tot ce-o sa spun.
Impresia mea e ca cei mai multi nici nu stiu de asta, desi e “pe vine” de doi ani.
O sa fie interesant de vazut cum schimba asta peisajul online. Deocamdata, e loc de mancat o paine in domeniul asta si, la prima vedere, baietii si fetele cu spam o vor lua in falci la foc automat. Sa vedem.
Mai sunt si alte chestii de mentionat (right to be forgotten) da’ nu am nici timp, nici chef de continuat pe tema asta. Ah, ai o afacere si acum auzi pentru prima data de asta?
Succes, lol – discuta cu IT manageru’ si intreaba-l ce-a facut in ultimii doi ani.
In alta ordine de idei:
– sa vedeti acum meciuri intre IT si Legal daca sunteti corporatisti
– e loc sa manance si gura hecarilor nitel. Asa, pe sistemul “boss, am gasit datele astea pe serverul tau, dai si tu acolo 100 de btc sau le trimit la DPA si le dai lor 20 de milioane?”. Pofta buna!
PS …si, daca v-a suparat vreo afacere online cu ceva, din Mai 2018 stiti ce-aveti de facut, daaaa? Wink-wink
PPS Daca n-are cine, stiu eu un baiat care te poate ajuta, bo$$ – pentru un cadou simbolic de cateva zeci de mii de lire <3
Pentru cine e interesat, legislatia completa: http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf
Ce mi se pare ironic, e faptul ca dupa brexit, UK poate sa renunte la legea asta, sau cel putin sa o adapteze in functie de cum vrea. Dar, orice companie din UK are obligatia sa respecte legea asta, pentru toti cetatenii Uniunii Europene.
Oricum, am impresia ca 90% din companii nu or sa implementeze nimic. Probabil doar companiile mari or sa aiba resursele sa faca ceva pentru asta.
Lol, sa le uram succes!
Eu o fac – oc e in proces de “migrare”, ca sa zic asa, spre un loc cu ceva mai multa criptare si pseudo shit. Nu ca mi-ar pasa, ca pe mine n-are cine/unde sa ma reclame, da’ e buna treaba pe post de exercitiu.
La aia care au server in cum o sa faca EU enforcement? Adica inteleg, esti in Rudia sa zicem, si un server in Antigua y Barbuda si iei 20 de milioane amenda ca nu ai criptat datele unuia din UE. Cine si cum iti ia banii daca nu ai sau nu vrei sa platesti?
Eu o vad ca legislatie care loveste in google, amazon, fb, etc si wordingul ar zice ca se aplica oricui dar cumva nu cred ca o sa se aplice la orice magazin online oricat de obscur.
Da, e ok de exercitiu. Interesanta treaba cu controller vs processor.
Compania pentru care lucrez s-ar incadra ca processor (hosting & dev), asadar ar trebui sa primim instructiuni referitor la ce date colectam, tinem si trimitem mai departe. Din experienta, din 300+ clienti, niciunul nu se chinuie sa ne dea un spec cum trebuie. Si vorbim aici si de clienti mari (Yale/Assa Abloy, BBC).
Ca sa ne absolvim de orice liability, cred ca trebuie sa le futem niste contracte noi (ceea ce e de fapt obligatoriu in GDPR, intre processor si controller).
Oricum, mi se rupe… eu imi schimb jobu pana in mai 🙂
Sunt curios insa cum ai putea sa faci un complaint. Cand intra in vigoare chestia asta, as vrea sa imi sterg datele de la anumite companii. Sunt curios daca credit score-ul intra in discutie, nu ca am probleme cu el, ca stau foarte bine, dar pana unde merge chestia asta? Daca eu nu vreau ca experian/equifax sa aiba nimic despre mine, vreau sa dau cancel si sa imi stearga tot? Banuiesc ca o sa trebuiasca sa dam consent bancii, si apoi banca foloseste experian/equifax ca third party processor; i.e. daca nu ne lasi sa iti procesam datele, iti inchidem contul.
Baa, pula mea, tre’sa fac upgrade la blog cu https si ce ziceai ca mai e? Sa criptez baza de date?
Nu e vreo metoda sa nu mai pastrez datele alea personale precum adresa de email? Ca de loguri prespun ca pot sa fac ceva sa se stearga automat imediat ce se stocheaza sau sa nu se mai scrie in the first place.
Intrebare de retard: Exista pe undeva vreun template de system linux , masina virtuala deja configurata, cu web server , https, mysql name server si tot ce mai trebuie setate , la modul decat sa intru si sa-mi pun eu mizeriile in vhost, ce mai e de pus in NS si certificatul vietii de https ? Probabil ca nu, da’ zic sa intreb si eu :).
Ca nu prea am pofta sa o iau de la capat.
Aia-i chestie de legal, boss.
Eu nu ma bag peste aia – treaba lor, n-am facut Dreptul.
Pe mine ma intereseaza mai mult partea de IT. Au inceput de cateva luni timid astia pe la noi cu “ne ajutati sa…GDPR…motive”. Si normal ca au primit momentan pula pe gat.
Asa ca stau cu ochii beliti la ofertele de joburi, ca-i amuzant cum au inceput sa apara la foc automat chestii de-astea.
Asa, ca idee, ziceam ca ma pregatesc sa mut OC. Eu oricum folosesc pseudo (vezi mai sus treaba aia cu selectul din mysql – IP-ul), plus ca-i criptat, plus ca si underlying FS e criptat (pe rabla noua, ca pe-asta veche nu se poate). La fel cu logurile de apache si alte alea. Cat despre https, probabil ati observat c-am trecut pe https, chit ca eu n-aveam nevoie de asa ceva (bine, aia-i cea mai simpla parte).
Cum am zis, strict ca exercitiu, ca mi se rupe mie pula de GDPR, da’ e bine sa ai unde sa faci teste nucleare “in productie”.
Sunt bani de facut din chestia asta. Ca, fix cum zici tu, 90% din companii nu vor face nimic. Pana la prima stire cu “compania cutare a luat o amenda de 20M”. Sau de 4% 😀 Dupa care, sa vezi cu ce viteza vor incepe sa “faca”.
Pula mea, lamp/lemp stack pe orice distro (+bind sau ce preferi tu pentru ns)
Problema nu-i aia, ca https-ul e banal de rezolvat (bine, nu daca intrebi la hotnews sau timesnewroman). Acolo bagi 4 linii in confu’ vhostului si-ai terminat.
Problema e cu stocarea datelor personale, trollolol. Acolo se-mpute treaba, daca e s-o faci corect.
> Problema e cu stocarea datelor personale, trollolol. Acolo se-mpute treaba, daca e s-o faci corect.
Just a brain dump: sa bagi tot direct criptat in baza de date, suna bine, in caz de data breach.. degeaba daca nu ai encryption key-ul, pe care il ti frumos pe alt server, in application code. Dar ca sa faci asta, la fiecare query trebuie sa criptezi si sa decriptezi, are super impact al performantei. Ce alta solutie e (in afara de un sistem instalat corespunzator)??
A murit Cherestoy Atilla de ziua Romaniei :))
Si asta prelucra ceva, lemn indeosebi…
Salutari,
Se da un site/blog de WordPress, la care stergi toate comentariile existente si nu mai permiti comentarii noi, stergi si pagina de contact, poti sa spui ca esti safe? Cu alte cuvinte, daca te izolezi complet de utilizatori, poti sa spui ca nu esti afectat de GDPR?
@Balauru: nu e necesar sa faci aia.
In primul rand, pentru gheorghe bloggerul, e improbabil sa fie probleme reale. Nu imposibil, doar improbabil (depinde de cati oameni a calcat pe nervi si de cat de expus este, de cati au chef sa-l trolleze etc)
In al doilea rand, le poti cere simplu sa faca opt-in alora care au chef sa lasa comentarii. Coaie, ai ceva de zis? Vezi ca-ti prelucrez datele. Daca esti de acord, poti comenta. Daca nu, mars la cacat.
Problema e ca faptul ca aia sunt de acord nu te scuteste de raspundere pe tine. Gen nu merge cu “a dat click acolo, e OK”. Ca ala a dat click ca-i OK sa-i tii tu datele, nu a dat click ca-i OK sa le tii neprotejate.
Aia de la wordpress “lucreaza” la o versiune care sa mearga OK cu GDPR. Da’ “lucreaza” de vreo 2 ani si inca mai stocheaza datele personale cum am aratat mai sus.
Pe langa aia, comentariile or fi cum or fi, da’ vezi ca si logurile webserverului iti pastreaza IP-urile and shit – vezi screenshotul de mai sus.
In plus, daca “te izolezi complet de utilizatori”, cam ce “utilizatori” vei mai avea? Asa, spre 0?
Ideea nu este sa te izolezi tu de utilizatori si alte mizerii. Ideea e ca oricum le vei tine datele, dar tine-le cum trebuie. In GDPR aia de la EU nu zic ca-i obligatoriu sa le criptezi. Ei sugereaza cateva alternative pentru criptare, da’ criptarea e probabil cea mai usoara chestie din tot ce behaie ei acolo.
Daca-ntrebi pentru tine, ai rabdare sa vezi ce fac in sensul asta aia de la wordpress. Baga un ochi aici
Chestia e ca doar wordpress nu rezolva mare lucru. Mai sunt si alte “date personale”. Logurile alea de apache/nginx ar fi un exemplu bun in sensul asta.
Din fericire exista procesoare puternice pe piata, am citit pe undeva c-a iesit Core i9.
Ah, aia cu hosting “shared” de $5? Se descurca ei, boss, nu-ti face griji 😀
Intrebare de bou baltii – deci toate blogurile banale de wordpress sunt teoretic legate de chestia asta? Ca de facut sunt usor da la ce limbi straine citesc aici cred ca nici unu la mie din ro nu stiu ce au de facut. Intreb pentru un prieten ☺
Pai, sa-nteleg ca nu a fost clar screenshotul ala?
Perfect, lol, abia o sa am din ce trai <3
Si poate, doamne-ajuta, se mai curata un pic online-ul, mira-m-as.
Pai nu-i foarte simplu sa le stergi sa sa faci log in /dev/null?
Doar daca ai un business legal stabilit in UE. Daca business-ul tau e stabilit in “elsewhere” si clientii tai din UE intra pe el, plm cam ce cai de la bicicleta pot sa-ti ia astia de la UE?
In rest, da, e fix asa. Bai lucrez acum pe baze de date de unde pot sa iau cu select & join date senzitive despre oameni si companii. Si zic companii d-alea pentru care 4% din cifra de afaceri inseamna mult mai mult decat decat 20 de milioane.
Ăăă… unde eram?
Aaa, da!
“…da’ e buna treaba pe post de exercitiu…”
Am așa o premoniție… că vor apărea companii noi de IT, dedicate subiectului. Posibil ca unii să-și plătească casele mai repede decît credeau.
……………………..
@Rads remarcă anumite probleme – cînd dreaq’ orice directivă/lege de UiE e fără cusur?
“…curios insa cum ai putea sa faci un complaint…”
Rads – dacă citești comentariul ăsta, pregătește-te moral, fizic și profesional să-ți deschizi un butic tematic la parterul blocului.
🙂
Pai, e foarte simplu. Pentru mine. Sau pentru tine. Ca pe mine ma doare-n pula de unde vine lumea aici si de ce si la ce ore.
Da’ pentru o afacere care are nevoie sa proceseze datele alea, ca sa vada cati vizitatori are pe site, la ce produse, din ce tara sunt, cum au ajuns la produsele alea (pentru a decide unde fac reclama si la ce si cum), nu mai e asa de simplu, nu crezi? Sau e din putul gandirii?
Ahahahahaha.
Glumesti?
Rautacisme…
Iar tu @Orbu(le), lasă prostiile cu vodafone și DIY centrală pe lemne la țară + prize electrice meșteșugărești.
Cînd s-o deschide prăvălia de cîrpit GDPR, fii printre primii la coadă.
🙂
wow. S-ar putea sa am de munca in curand. Nu credeam sa astept munca…
Oricum, pe pseudoblogu meu vad ca ma rezolva wordpressu. Daca nu, astept amenda de 20 de milioane. Macar sa fiu si io milionar in euro. Chit ca dator.
“…Rautacisme…”
Doar proiectam cu nevinovăție o urmare firească a unei situații date.
🙂
Adevaru’ e ca-n si-n US a fost la fel cand au bagat aia HIPAA sau cum pula mea se numea. Aia si inca una, alt acronim la fel de retardat.
cel.ro – anul trecut a avut 3-4 luni certificatul (LetsEncrypt) expirat, cu setari mai stricte browserul nici nu ma lasa sa intru
elefant.ro – au https de 5 zile (!!), le-am scris anul trecut exact asta ca nu respecta niste legi europene cu protectia datelor, cica or sa rezolve, le-a luat >juma de an. Vroiam sa comand ceva de vreo 2-3 ori, am renuntat.
@Orbu: https://mozilla.github.io/server-side-tls/ssl-config-generator/ si de Certbot parca stii deja.
Oarecum. Ma refeream la puleti nesemnificativi under the radar, nu la corporatii care vor sa vanda chestii sau la d-aia care au oricum resedinta prin UE. Merci de quotes.
Da, pula mea, lucrez “data governance”, oare eu oi avea de lucru pe tema, sau ce?
Tocmai ce imi cazusera putin colturile gurii ca mi se parea ca scad ratele, dar de 2 saptamani deja suna telefoanele, ca dracii, astept acum si milioanele cu sacii, lol.
AHAHAHAH, prima chestie la related era asta:
Hai in Mercedes, sa te GDPResc…
Discutia despre teritorialitate e simpla: daca ai vreo filiala in UE atunci filiala aia poate fi amendata daca incalci legislatia UE, daca esti in China pe dreapta si ai utilizatori din UE legislatia respectiva nu este aplicabila.
Asa cum UE nu poate sa dea o directiva ca e in regula sa scuipi pe strada in Singapore.
Pai si daca am avut blog/-uri wordpress in romana la care nici nu le mai stiu username-ul si parola, ca nu le-am folosit de ani de zile, cu ce ma afecteaza?
Ai zis că datele personale trebuiesc criptate.
Să zicem c-am un magazin online…evident c-unele informații ale clienților sunt necesare, deci ar fi nevoie de-un „two-way encryption”.
Acum, ce algoritmi de criptare sunt permiși?
Că bănuiesc că nu-i suficient un „TO_BASE64()”.
„AES_ENCRYPT” ar fi, d-exemplu, suficient?
Va fi ceva bătaie de cap că-n cazul serverelor cu „load” mare chestia asta o să cauzeze probleme de performanță.
Aes da.
Erau facute sondaje anul trecut: nu sunt pregatiti vreo 50-80%. In Romania 90% pare-mi-se (NB: asa declara ei… real poate fi si mai rau). Am fost si la o conferinta in Ro, awarenessul este sub nivelul marii, multe aplicatii legacy care trebuie modificate etc. Nici in 2-3 ani, necum pana la 25 mai. Nu mai spun de domeniul public… Era cineva de la un Big4 si spunea ca ii doare capu’ pe manageri cand inteleg ca datele alea nu sunt numai in baza de date, ci si in 14 datamarturi etc etc. Autoritatea de la noi din Ro avea vreo 12 oameni pe linkein, incluzand nontehnicii 🙂 Se va aplica romaneste: la inceput peste tot, apoi romaneste numa’ in Romania. Nu mai zic ca GDPR e nitel cam lax (nu se spune pana unde merge due diligence in multe cazuri de exemplu) si e loc de abuzuri sau laxitati – numa’ bine pt Romanica…
btw HIPAA: Cei de la NHS au retras niste features – https://en.wikipedia.org/wiki/Summary_Care_Record#Criticism din cauza ca nu se puteau sterge date personale – nici tehnic, dar nici legal – nu voiau sa faca asta din motive de audit (multe apps au soft delete). Si acum ia si explica asta unui asigurat, client etc: va stergem din baza operationala, dar sa vedeti ca de fapt nu va stergem de peste tot (data marturi, backupuri, loguri) etc etc; si stati sa vedeti ca de fapt avem SSDuri (vezi wear leveling etc.) si deci nu suntem siguri ca putem face o sanitizare ca lumea, nu ca am fi facut-o altfel 🙂 Siiigur o sa inteleaga userul final…
Da… Numai ca “date pseudonimizate” nu inseamna anonimizate (adica, tot mai contin date personale). Si exista oricand un risc sa fie reidentificate. Vezi k-anonymity, diff. privacy (ambele problematice). Si chiar daca faci assessment, mergi pe eliminare agresiva de date, tot nu poti fi sigur. In unele domenii (medical) ai zeci de mii de dimensiuni (data sparse), mult succes in pastrarea balantei privacy-utility.
Un caz extrem, bazat pe stilometrie (ca sa se vada pana unde se poate merge, dar e deja sport extrem): https://medium.com/cryptomuse/how-the-nsa-caught-satoshi-nakamoto-868affcef595
Btw IT-legal, am inteles ca in State cei mai multi CPO sunt legalisti (si nu ITisti) – https://en.wikipedia.org/wiki/Chief_privacy_officer#Benefits_and_drawbacks, lucru care poate fi observat naving prin cerintele de joburi (multi cer sa fii JD).
Cel mai probabil ca GDPR va fi serios si repetat amendata, se va urma un maturity model lifecyle (pe masura ce se va acumula experienta) etc.
Vezi selectul ala din mysql din screenshot si uita-te la IP. Ca exemplu de ce fac eu.
Oameni întreprinzători: “litigations” https://noyb.eu/concept
Yup. Echivalentul patent trolls, cred eu.
Dar e OK, more money for me.
Nu chiar, datorită AES-NI. Practic ai un crypto card în procesor.
Boss, cand ti-or veni 2000 de requesturi pe secunda (pe https, desigur) si se vor duce de la un apache sau nginx sau la mysql (conexiunea intre ele o sa fie brusc tot cu ssl) si mai bagi si-o criptare imputita in baza de date, eu zic ca nu prea o sa te scoata din cacat setul ala de instructiuni…
Vorbesc asa, din experienta. Era un dorel cu loadu’ pe la 4 recent. Doar a trecut pe https (inainte avea ssl offloading) pe servere si brusc e loadu’ la vreo 45. Crede-ma c-o sa observe mai toata lumea. Pana baga un xeon cu i9, desigur, moment in care n-o sa mai observe nimic 🙂
2000 requests pe secundă nici măcar nu este atât de mult.
Mă lovesc curent de 50-60krps.
SSL/TLS cu cyphers din decada asta adaugă CPU overhead de maxim 2%. Mai problematică (în termeni procentuali) este latența adăugată per conexiune pe motiv de SSL handshake. Dar nici asta nu este atât de semnificativă dacă folosești HTTP keepalives.
Nu știu ce se întâmplă cu aplicația dorelului dar îți pot garanta că nu de la SSL (corect configurat) este problema, cel mult a fost “the straw that broke the camel’s back”.
PS: recomand cu căldură https://www.ssllabs.com/ssltest/
@Rootus: boss, eu as zice ca depinde un pic de ce servesti.
Ca pe OC, pe hardwareul asta, nu e o mare problema sa vina 20k de vizitatori brusc.
Da’ daca in schimb iti arata baiatu’ altceva – sa zicem ceva magento, eventual cu niste pluginuri mai haioase – s-ar putea sa-ti cam schimbi parerea. Nimic complicat, doar un plugin de-ala care mai baga vreo 5 selecturi in baza de date, da’ nu concomitent, ci secvential. Eventual unu’ care sa faca update la chestii related/recomandate/”altii au cumparat si…” la secunda.
Vezi tu pe urma urgent ca parca nu-i chiar asa cu alea 2000 de requests pe secunda…
La ce te ajuta ssllabs in scenariul ala?
Așa este, contează ce servești.
Dacă ai o aplicație care la fiecare request face un “select * from table order by random” pe o tabelă cu milioane de înregistrări poți să ai și mama serverului :))
Ce voiam să punctez este faptul că SSL este cea mai mică problemă pentru setupul respectiv.
Nu am scos datele alea din burta, chiar acum sunt implicat într-un proiect care vizează înlocuirea unor loadbalancere hardware (F5 și Citrix NetScaler).
Printre altele s-a testat și cu “commodity hardware” iar una din concluziile testelor a fost că nu se justifcă costurile adiționale cu hardware dedicat, cel puțin nu pentru SSL offloading.
Ah, dacă ai aplicații specifice gen “high volume key signing”, da se justifică un crypto card gen Cavium sau un HSM (mai ales pentru stocarea cheilor) dar altfel, un XEON cinstit este suficient.
Ma, eu nu vad https ca pe sfarsitul lumii.
Da’ atunci cand intai ai client -> webserver (https), pe urma webserver -> baza de date (ssl), pe urma pula mea criptarea cacaturilor din baza de date, eu iti spun ca o sa vezi cum salta loadul.
E adevarat, pe niste rable decente, n-o sa-ti pese. Doar ca eu inca mai am de lucru pe VM-uri cu 2 cores si 1 GB de RAM….
Hmm. VM-uri…
Este foarte posibil să nu ai aes expus către vm.
În mod implicit (cpu=kvm64) sigur nu o face.
Atunci în mod clar s-ar explica degradarea de performanță.
Și nu numai la SSL ci la orice folosește crypto, (ipsec, etc).
N-ai auzit, boss? E epoca virtualizarii. Cica. Inclusiv OC e pe un vm…
Legat de Qualys/SSLlabs, sincer, sa le iau fata-n pula.
De cand a aparut gunoiul ala de site al lor, toti handicapatii vin cu requesturi tembele zi-lumina. Ca ei au nevoie de HSTS. Sa moara maaaaa-ta.
Cel mai simpatic a fost unul cu HPKP. Cand a trebuit sa-si schimbe certificatul pentru ca motive si digicert si pula mea. Te las sa ghicesti rezultatul…Cine urla ca un isteric ca nu-i mai vin clientii pe site? Da’ inainte de asta, cine insista ca TREBUIE sa aiba?
Sa ma pis pe Qualys. Alt cacat care le da idei tembelilor. Asa, ca testele alea de inteligenta de pe facebook “daca vezi patratul asta albastru cat tot ecranul, faci parte din 1% cei mai inteligenti oameni de pe planeta!!!11”. Si dau buluc toti retardatii acolo – sa arate ca SI EI sunt printre 1% cei mai cei. Ii preferam p-aia care-mi cereau cadouri la mafia si farmville, chit ca nu jucam.
Faptul că e un vm nu înseamnă că nu trebuie să aibă access la instrucțiunile aes. E ca și cum ai avea un haul truck dar transporți cu el doar baloți de paie. Da, ocupă volumul, dar ăla e făcut să transporte greutăți 🙂
cpu=host și gata 🙂
Qualis este bun să testezi faptul că ai pus cum trebuie chain certificates sau dacă nu ți-a scăpat vre-un cypher aiurea în listă. (hint: RSA cyphers).
Corectură: _anumite_ RSA ciphers.
Mai da-i in plm cu ciphers cu tot.
Am 1000 de cretini care au un blog cu 5% din traficul astuia si ma freaca regulat cu “disable diffie helman si cbc si…”, ca au citit ei in pisat ca e security risk!
Da, coaie, ca vin hecarii dupa tine sa-ti fure posturile citite doar de crawlers…
Sa mai zic de aia care cumpara security “audit”, de-ala care verifica doar major-minor si pe urma trebuie sa le explic cve cu cve ca red hat foloseste backporting?
Iar unde-s eu, nu dai nici un cpu=host, ca n-ai acces. Dai cu cpuinfo, vezi ca ai fix pula aes, te uiti la load si le urezi succes, lol.
HSTS nu e un sfarsit de lume, daca deja siteul e ok pe HTTPS si daca ai suport tehnic sa nu te trezesti fara certificate (ex. been there, peste weekend hostingul upgradeaza CPanel la versiunea care stie LetsEncrypt, drept pentru care iti sterge certificatele tale… dupa o saptamana le sterge iar… acum imi dau seama ca nici acum nu am primit raspuns la ticketul asta, dar macar nu s’a mai intamplat)
HPKP e ceva de speriat numa’ din ce am citit, dar n’ah dupa nevoi poate o fi util.
@Rootus Procentele alea tin cont si de faptul ca in acceasi perioada or sa fie toti patchuiti de Spectre/Meltdown? Sa vezi surprizele…
@Manowar Unde ai “Warrant Canary” la OC boss? 🙂 🙂
OC nici https n-ar trebui sa aiba, coaie.
Folosesc eu jucaria asta pe post de testbed, ca altfel, ar putea ramane pe http forever.
Ce o sa se intample, o sa atace cineva ceva si o sa obtina toate informatiile astea care-s deja publice..?
Harneli de 2018, dar whatever, mai aduc si eu niste bani acasa din ele.
Si iata ca a venit primul mail cu GDPR 😀
=====================================
Consent Required
Dear <>
We currently have your personal details stored in our system, provided either directly from you or via a job board. We retained your information for the purpose of finding you a suitable job role, as we think you are a strong candidate.
Why we are contacting you
Under new data protection regulations (GDPR), which will come into effect in May 2018, we are required to obtain your consent to retain and process this information. If your consent is not explicitly provided then under the regulations we must delete your records and will not be able to match you to suitable job vacancies.
What you need to do now
Please use the link below to either provide consent or tell us that you would like your details to be removed. You can also review and amend the personal information we hold about you. If you would like further information, we have prepared a fact sheet which you can access at http://www.morson.com/gdpr
……….. dau pe link acolo si….
We are seeking your consent to continue to hold and process your personal data for the purpose of providing our services to you in our capacity as an employment business/agency to find you suitable work whether on a temporary or permanent basis based on your requirements.
Your consent will cover the following:
to match your skills sets with job vacancies to assist in finding you the positions that most suit you;
to put forward your details to our clients and prospective employers for you to be considered for vacancies;
to place you with our clients and prospective employers;
to keep you informed of available opportunities as they arise;
to keep you informed of the services offered by us;
You may withdraw consent at any time. If you consent we will contact you periodically to ensure you this still applies.
Click here to read the full Privacy Policy.
For Frequently Asked Questions about the general data protection regulations, please click here
Do you give your consent for Morson to hold and process your personal data as set out above?
NO – YES .
Pot si restul sa “scape” cu atat?
Nu.
Ala-i doar acordul tau pentru a-ti pastra detaliile. Problema nu-i aia. Problema e cum le vor stoca/transmita fara sa incalce regulile. Nu ca mi-ar pasa, doar zic.
Vad ca baetii asti au inceput sa spameze:
https://euprivacy.org/
Oh well…
https://euobserver.com/institutional/141151