50 Responses to “GDPR”

  1. Rads says:

    Pentru cine e interesat, legislatia completa: http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf

    Ce mi se pare ironic, e faptul ca dupa brexit, UK poate sa renunte la legea asta, sau cel putin sa o adapteze in functie de cum vrea. Dar, orice companie din UK are obligatia sa respecte legea asta, pentru toti cetatenii Uniunii Europene.

    Oricum, am impresia ca 90% din companii nu or sa implementeze nimic. Probabil doar companiile mari or sa aiba resursele sa faca ceva pentru asta.

  2. Manowar says:

    Oricum, am impresia ca 90% din companii nu or sa implementeze nimic.

    Lol, sa le uram succes!

    Eu o fac – oc e in proces de “migrare”, ca sa zic asa, spre un loc cu ceva mai multa criptare si pseudo shit. Nu ca mi-ar pasa, ca pe mine n-are cine/unde sa ma reclame, da’ e buna treaba pe post de exercitiu.

  3. Iuli says:

    La aia care au server in cum o sa faca EU enforcement? Adica inteleg, esti in Rudia sa zicem, si un server in Antigua y Barbuda si iei 20 de milioane amenda ca nu ai criptat datele unuia din UE. Cine si cum iti ia banii daca nu ai sau nu vrei sa platesti?
    Eu o vad ca legislatie care loveste in google, amazon, fb, etc si wordingul ar zice ca se aplica oricui dar cumva nu cred ca o sa se aplice la orice magazin online oricat de obscur.

  4. Rads says:

    Da, e ok de exercitiu. Interesanta treaba cu controller vs processor.

    Compania pentru care lucrez s-ar incadra ca processor (hosting & dev), asadar ar trebui sa primim instructiuni referitor la ce date colectam, tinem si trimitem mai departe. Din experienta, din 300+ clienti, niciunul nu se chinuie sa ne dea un spec cum trebuie. Si vorbim aici si de clienti mari (Yale/Assa Abloy, BBC).

    Ca sa ne absolvim de orice liability, cred ca trebuie sa le futem niste contracte noi (ceea ce e de fapt obligatoriu in GDPR, intre processor si controller).

    Oricum, mi se rupe… eu imi schimb jobu pana in mai 🙂

    Sunt curios insa cum ai putea sa faci un complaint. Cand intra in vigoare chestia asta, as vrea sa imi sterg datele de la anumite companii. Sunt curios daca credit score-ul intra in discutie, nu ca am probleme cu el, ca stau foarte bine, dar pana unde merge chestia asta? Daca eu nu vreau ca experian/equifax sa aiba nimic despre mine, vreau sa dau cancel si sa imi stearga tot? Banuiesc ca o sa trebuiasca sa dam consent bancii, si apoi banca foloseste experian/equifax ca third party processor; i.e. daca nu ne lasi sa iti procesam datele, iti inchidem contul.

  5. Orbu says:

    Baa, pula mea, tre’sa fac upgrade la blog cu https si ce ziceai ca mai e? Sa criptez baza de date?
    Nu e vreo metoda sa nu mai pastrez datele alea personale precum adresa de email? Ca de loguri prespun ca pot sa fac ceva sa se stearga automat imediat ce se stocheaza sau sa nu se mai scrie in the first place.

    Intrebare de retard: Exista pe undeva vreun template de system linux , masina virtuala deja configurata, cu web server , https, mysql name server si tot ce mai trebuie setate , la modul decat sa intru si sa-mi pun eu mizeriile in vhost, ce mai e de pus in NS si certificatul vietii de https ? Probabil ca nu, da’ zic sa intreb si eu :).
    Ca nu prea am pofta sa o iau de la capat.

  6. Manowar says:

    Aia-i chestie de legal, boss.

    Eu nu ma bag peste aia – treaba lor, n-am facut Dreptul.

    Pe mine ma intereseaza mai mult partea de IT. Au inceput de cateva luni timid astia pe la noi cu “ne ajutati sa…GDPR…motive”. Si normal ca au primit momentan pula pe gat.

    Asa ca stau cu ochii beliti la ofertele de joburi, ca-i amuzant cum au inceput sa apara la foc automat chestii de-astea.

    Asa, ca idee, ziceam ca ma pregatesc sa mut OC. Eu oricum folosesc pseudo (vezi mai sus treaba aia cu selectul din mysql – IP-ul), plus ca-i criptat, plus ca si underlying FS e criptat (pe rabla noua, ca pe-asta veche nu se poate). La fel cu logurile de apache si alte alea. Cat despre https, probabil ati observat c-am trecut pe https, chit ca eu n-aveam nevoie de asa ceva (bine, aia-i cea mai simpla parte).

    Cum am zis, strict ca exercitiu, ca mi se rupe mie pula de GDPR, da’ e bine sa ai unde sa faci teste nucleare “in productie”.

    Sunt bani de facut din chestia asta. Ca, fix cum zici tu, 90% din companii nu vor face nimic. Pana la prima stire cu “compania cutare a luat o amenda de 20M”. Sau de 4% 😀 Dupa care, sa vezi cu ce viteza vor incepe sa “faca”.

  7. Manowar says:

    Intrebare de retard: Exista pe undeva vreun template de system linux , masina virtuala deja configurata, cu web server , https, mysql name server si tot ce mai trebuie setate , la modul decat sa intru si sa-mi pun eu mizeriile in vhost, ce mai e de pus in NS si certificatul vietii de https ?

    Pula mea, lamp/lemp stack pe orice distro (+bind sau ce preferi tu pentru ns)

    Problema nu-i aia, ca https-ul e banal de rezolvat (bine, nu daca intrebi la hotnews sau timesnewroman). Acolo bagi 4 linii in confu’ vhostului si-ai terminat.

    Problema e cu stocarea datelor personale, trollolol. Acolo se-mpute treaba, daca e s-o faci corect.

  8. Rads says:

    > Problema e cu stocarea datelor personale, trollolol. Acolo se-mpute treaba, daca e s-o faci corect.

    Just a brain dump: sa bagi tot direct criptat in baza de date, suna bine, in caz de data breach.. degeaba daca nu ai encryption key-ul, pe care il ti frumos pe alt server, in application code. Dar ca sa faci asta, la fiecare query trebuie sa criptezi si sa decriptezi, are super impact al performantei. Ce alta solutie e (in afara de un sistem instalat corespunzator)??

  9. Jiji says:

    A murit Cherestoy Atilla de ziua Romaniei :))
    Si asta prelucra ceva, lemn indeosebi…

  10. Balauru says:

    Salutari,

    Se da un site/blog de WordPress, la care stergi toate comentariile existente si nu mai permiti comentarii noi, stergi si pagina de contact, poti sa spui ca esti safe? Cu alte cuvinte, daca te izolezi complet de utilizatori, poti sa spui ca nu esti afectat de GDPR?

  11. Manowar says:

    @Balauru: nu e necesar sa faci aia.

    In primul rand, pentru gheorghe bloggerul, e improbabil sa fie probleme reale. Nu imposibil, doar improbabil (depinde de cati oameni a calcat pe nervi si de cat de expus este, de cati au chef sa-l trolleze etc)

    In al doilea rand, le poti cere simplu sa faca opt-in alora care au chef sa lasa comentarii. Coaie, ai ceva de zis? Vezi ca-ti prelucrez datele. Daca esti de acord, poti comenta. Daca nu, mars la cacat.

    Problema e ca faptul ca aia sunt de acord nu te scuteste de raspundere pe tine. Gen nu merge cu “a dat click acolo, e OK”. Ca ala a dat click ca-i OK sa-i tii tu datele, nu a dat click ca-i OK sa le tii neprotejate.

    Aia de la wordpress “lucreaza” la o versiune care sa mearga OK cu GDPR. Da’ “lucreaza” de vreo 2 ani si inca mai stocheaza datele personale cum am aratat mai sus.

    Pe langa aia, comentariile or fi cum or fi, da’ vezi ca si logurile webserverului iti pastreaza IP-urile and shit – vezi screenshotul de mai sus.

    In plus, daca “te izolezi complet de utilizatori”, cam ce “utilizatori” vei mai avea? Asa, spre 0?

    Ideea nu este sa te izolezi tu de utilizatori si alte mizerii. Ideea e ca oricum le vei tine datele, dar tine-le cum trebuie. In GDPR aia de la EU nu zic ca-i obligatoriu sa le criptezi. Ei sugereaza cateva alternative pentru criptare, da’ criptarea e probabil cea mai usoara chestie din tot ce behaie ei acolo.

    Daca-ntrebi pentru tine, ai rabdare sa vezi ce fac in sensul asta aia de la wordpress. Baga un ochi aici

    We are currently working to add features to enhance user choice and bring more transparency to our practices around the collection, storage, and use of your data. We expect that Automattic products and services will be in compliance with GDPR requirements by May 2018.

    Chestia e ca doar wordpress nu rezolva mare lucru. Mai sunt si alte “date personale”. Logurile alea de apache/nginx ar fi un exemplu bun in sensul asta.

    Dar ca sa faci asta, la fiecare query trebuie sa criptezi si sa decriptezi, are super impact al performantei.

    Din fericire exista procesoare puternice pe piata, am citit pe undeva c-a iesit Core i9.
    Ah, aia cu hosting “shared” de $5? Se descurca ei, boss, nu-ti face griji 😀

  12. Johnny says:

    Intrebare de bou baltii – deci toate blogurile banale de wordpress sunt teoretic legate de chestia asta? Ca de facut sunt usor da la ce limbi straine citesc aici cred ca nici unu la mie din ro nu stiu ce au de facut. Intreb pentru un prieten ☺

  13. Manowar says:

    Intrebare de bou baltii – deci toate blogurile banale de wordpress sunt teoretic legate de chestia asta?

    Pai, sa-nteleg ca nu a fost clar screenshotul ala?

    Ca de facut sunt usor da la ce limbi straine citesc aici cred ca nici unu la mie din ro nu stiu ce au de facut.

    Perfect, lol, abia o sa am din ce trai <3
    Si poate, doamne-ajuta, se mai curata un pic online-ul, mira-m-as.

  14. Orbu says:

    Chestia e ca doar wordpress nu rezolva mare lucru. Mai sunt si alte “date personale”. Logurile alea de apache/nginx ar fi un exemplu bun in sensul asta.

    Pai nu-i foarte simplu sa le stergi sa sa faci log in /dev/null?

    Asta asa, ca sa clarificam faptul ca nu merge cu “imi tin site-ul in Rusia si ma doare-n pula”.

    Doar daca ai un business legal stabilit in UE. Daca business-ul tau e stabilit in “elsewhere” si clientii tai din UE intra pe el, plm cam ce cai de la bicicleta pot sa-ti ia astia de la UE?

    In rest, da, e fix asa. Bai lucrez acum pe baze de date de unde pot sa iau cu select & join date senzitive despre oameni si companii. Si zic companii d-alea pentru care 4% din cifra de afaceri inseamna mult mai mult decat decat 20 de milioane.

  15. . says:

    Ăăă… unde eram?
    Aaa, da!

    “…da’ e buna treaba pe post de exercitiu…”

    Am așa o premoniție… că vor apărea companii noi de IT, dedicate subiectului. Posibil ca unii să-și plătească casele mai repede decît credeau.
    ……………………..
    @Rads remarcă anumite probleme – cînd dreaq’ orice directivă/lege de UiE e fără cusur?
    “…curios insa cum ai putea sa faci un complaint…”
    Rads – dacă citești comentariul ăsta, pregătește-te moral, fizic și profesional să-ți deschizi un butic tematic la parterul blocului.
    🙂

  16. Manowar says:

    Pai nu-i foarte simplu sa le stergi sa sa faci log in /dev/null?

    Pai, e foarte simplu. Pentru mine. Sau pentru tine. Ca pe mine ma doare-n pula de unde vine lumea aici si de ce si la ce ore.

    Da’ pentru o afacere care are nevoie sa proceseze datele alea, ca sa vada cati vizitatori are pe site, la ce produse, din ce tara sunt, cum au ajuns la produsele alea (pentru a decide unde fac reclama si la ce si cum), nu mai e asa de simplu, nu crezi? Sau e din putul gandirii?

    Doar daca ai un business legal stabilit in UE. Daca business-ul tau e stabilit in “elsewhere” si clientii tai din UE intra pe el, plm cam ce cai de la bicicleta pot sa-ti ia astia de la UE?

    Ahahahahaha.

    Glumesti?

    Am așa o premoniție… că vor apărea companii noi de IT, dedicate subiectului. Posibil ca unii să-și plătească casele mai repede decît credeau.

    Rautacisme…

  17. . says:

    Iar tu @Orbu(le), lasă prostiile cu vodafone și DIY centrală pe lemne la țară + prize electrice meșteșugărești.
    Cînd s-o deschide prăvălia de cîrpit GDPR, fii printre primii la coadă.
    🙂

  18. animaloo says:

    wow. S-ar putea sa am de munca in curand. Nu credeam sa astept munca…
    Oricum, pe pseudoblogu meu vad ca ma rezolva wordpressu. Daca nu, astept amenda de 20 de milioane. Macar sa fiu si io milionar in euro. Chit ca dator.

  19. . says:

    “…Rautacisme…”
    Doar proiectam cu nevinovăție o urmare firească a unei situații date.
    🙂

  20. Manowar says:

    Adevaru’ e ca-n si-n US a fost la fel cand au bagat aia HIPAA sau cum pula mea se numea. Aia si inca una, alt acronim la fel de retardat.

  21. Licaon_Kter says:

    cel.ro – anul trecut a avut 3-4 luni certificatul (LetsEncrypt) expirat, cu setari mai stricte browserul nici nu ma lasa sa intru

    elefant.ro – au https de 5 zile (!!), le-am scris anul trecut exact asta ca nu respecta niste legi europene cu protectia datelor, cica or sa rezolve, le-a luat >juma de an. Vroiam sa comand ceva de vreo 2-3 ori, am renuntat.

    @Orbu: https://mozilla.github.io/server-side-tls/ssl-config-generator/ si de Certbot parca stii deja.

  22. Orbu says:

    Glumesti?

    Oarecum. Ma refeream la puleti nesemnificativi under the radar, nu la corporatii care vor sa vanda chestii sau la d-aia care au oricum resedinta prin UE. Merci de quotes.

    Cînd s-o deschide prăvălia de cîrpit GDPR, fii printre primii la coadă.

    Da, pula mea, lucrez “data governance”, oare eu oi avea de lucru pe tema, sau ce?
    Tocmai ce imi cazusera putin colturile gurii ca mi se parea ca scad ratele, dar de 2 saptamani deja suna telefoanele, ca dracii, astept acum si milioanele cu sacii, lol.

  23. Manowar says:

    dar de 2 saptamani deja suna telefoanele, ca dracii, astept acum si milioanele cu sacii, lol.

    AHAHAHAH, prima chestie la related era asta:

    Hai in Mercedes, sa te GDPResc…

  24. Adi says:

    Discutia despre teritorialitate e simpla: daca ai vreo filiala in UE atunci filiala aia poate fi amendata daca incalci legislatia UE, daca esti in China pe dreapta si ai utilizatori din UE legislatia respectiva nu este aplicabila.
    Asa cum UE nu poate sa dea o directiva ca e in regula sa scuipi pe strada in Singapore.

  25. Deria says:

    Pai si daca am avut blog/-uri wordpress in romana la care nici nu le mai stiu username-ul si parola, ca nu le-am folosit de ani de zile, cu ce ma afecteaza?

  26. Andu says:

    Ai zis că datele personale trebuiesc criptate.
    Să zicem c-am un magazin online…evident c-unele informații ale clienților sunt necesare, deci ar fi nevoie de-un „two-way encryption”.
    Acum, ce algoritmi de criptare sunt permiși?
    Că bănuiesc că nu-i suficient un „TO_BASE64()”.
    „AES_ENCRYPT” ar fi, d-exemplu, suficient?
    Va fi ceva bătaie de cap că-n cazul serverelor cu „load” mare chestia asta o să cauzeze probleme de performanță.

  27. ac_dc says:

    Erau facute sondaje anul trecut: nu sunt pregatiti vreo 50-80%. In Romania 90% pare-mi-se (NB: asa declara ei… real poate fi si mai rau). Am fost si la o conferinta in Ro, awarenessul este sub nivelul marii, multe aplicatii legacy care trebuie modificate etc. Nici in 2-3 ani, necum pana la 25 mai. Nu mai spun de domeniul public… Era cineva de la un Big4 si spunea ca ii doare capu’ pe manageri cand inteleg ca datele alea nu sunt numai in baza de date, ci si in 14 datamarturi etc etc. Autoritatea de la noi din Ro avea vreo 12 oameni pe linkein, incluzand nontehnicii 🙂 Se va aplica romaneste: la inceput peste tot, apoi romaneste numa’ in Romania. Nu mai zic ca GDPR e nitel cam lax (nu se spune pana unde merge due diligence in multe cazuri de exemplu) si e loc de abuzuri sau laxitati – numa’ bine pt Romanica…

    btw HIPAA: Cei de la NHS au retras niste features – https://en.wikipedia.org/wiki/Summary_Care_Record#Criticism din cauza ca nu se puteau sterge date personale – nici tehnic, dar nici legal – nu voiau sa faca asta din motive de audit (multe apps au soft delete). Si acum ia si explica asta unui asigurat, client etc: va stergem din baza operationala, dar sa vedeti ca de fapt nu va stergem de peste tot (data marturi, backupuri, loguri) etc etc; si stati sa vedeti ca de fapt avem SSDuri (vezi wear leveling etc.) si deci nu suntem siguri ca putem face o sanitizare ca lumea, nu ca am fi facut-o altfel 🙂 Siiigur o sa inteleaga userul final…

  28. ac_dc says:

    nu vor identifica o persoana. Astfel, datele personale trebuie sa fie ori criptate, ori sa foloseasca pseudonymisation, ori whatever

    Da… Numai ca “date pseudonimizate” nu inseamna anonimizate (adica, tot mai contin date personale). Si exista oricand un risc sa fie reidentificate. Vezi k-anonymity, diff. privacy (ambele problematice). Si chiar daca faci assessment, mergi pe eliminare agresiva de date, tot nu poti fi sigur. In unele domenii (medical) ai zeci de mii de dimensiuni (data sparse), mult succes in pastrarea balantei privacy-utility.
    Un caz extrem, bazat pe stilometrie (ca sa se vada pana unde se poate merge, dar e deja sport extrem): https://medium.com/cryptomuse/how-the-nsa-caught-satoshi-nakamoto-868affcef595
    Btw IT-legal, am inteles ca in State cei mai multi CPO sunt legalisti (si nu ITisti) – https://en.wikipedia.org/wiki/Chief_privacy_officer#Benefits_and_drawbacks, lucru care poate fi observat naving prin cerintele de joburi (multi cer sa fii JD).
    Cel mai probabil ca GDPR va fi serios si repetat amendata, se va urma un maturity model lifecyle (pe masura ce se va acumula experienta) etc.

  29. Manowar says:

    Da… Numai ca “date pseudonimizate” nu inseamna anonimizate (adica, tot mai contin date personale).

    Vezi selectul ala din mysql din screenshot si uita-te la IP. Ca exemplu de ce fac eu.

  30. Licaon_Kter says:

    Oameni întreprinzători: “litigations” https://noyb.eu/concept

  31. Manowar says:

    Yup. Echivalentul patent trolls, cred eu.

    Dar e OK, more money for me.

  32. Rootus says:

    „AES_ENCRYPT” ar fi, d-exemplu, suficient?
    Va fi ceva bătaie de cap că-n cazul serverelor cu „load” mare chestia asta o să cauzeze probleme de performanță.

    Nu chiar, datorită AES-NI. Practic ai un crypto card în procesor.

  33. Manowar says:

    Nu chiar, datorită AES-NI

    Boss, cand ti-or veni 2000 de requesturi pe secunda (pe https, desigur) si se vor duce de la un apache sau nginx sau la mysql (conexiunea intre ele o sa fie brusc tot cu ssl) si mai bagi si-o criptare imputita in baza de date, eu zic ca nu prea o sa te scoata din cacat setul ala de instructiuni…

    Vorbesc asa, din experienta. Era un dorel cu loadu’ pe la 4 recent. Doar a trecut pe https (inainte avea ssl offloading) pe servere si brusc e loadu’ la vreo 45. Crede-ma c-o sa observe mai toata lumea. Pana baga un xeon cu i9, desigur, moment in care n-o sa mai observe nimic 🙂

  34. Rootus says:

    2000 requests pe secundă nici măcar nu este atât de mult.
    Mă lovesc curent de 50-60krps.

    SSL/TLS cu cyphers din decada asta adaugă CPU overhead de maxim 2%. Mai problematică (în termeni procentuali) este latența adăugată per conexiune pe motiv de SSL handshake. Dar nici asta nu este atât de semnificativă dacă folosești HTTP keepalives.

    Nu știu ce se întâmplă cu aplicația dorelului dar îți pot garanta că nu de la SSL (corect configurat) este problema, cel mult a fost “the straw that broke the camel’s back”.

    PS: recomand cu căldură https://www.ssllabs.com/ssltest/

  35. Manowar says:

    @Rootus: boss, eu as zice ca depinde un pic de ce servesti.

    Ca pe OC, pe hardwareul asta, nu e o mare problema sa vina 20k de vizitatori brusc.

    Da’ daca in schimb iti arata baiatu’ altceva – sa zicem ceva magento, eventual cu niste pluginuri mai haioase – s-ar putea sa-ti cam schimbi parerea. Nimic complicat, doar un plugin de-ala care mai baga vreo 5 selecturi in baza de date, da’ nu concomitent, ci secvential. Eventual unu’ care sa faca update la chestii related/recomandate/”altii au cumparat si…” la secunda.

    Vezi tu pe urma urgent ca parca nu-i chiar asa cu alea 2000 de requests pe secunda…

  36. Manowar says:

    La ce te ajuta ssllabs in scenariul ala?

  37. Rootus says:

    Așa este, contează ce servești.
    Dacă ai o aplicație care la fiecare request face un “select * from table order by random” pe o tabelă cu milioane de înregistrări poți să ai și mama serverului :))

    Ce voiam să punctez este faptul că SSL este cea mai mică problemă pentru setupul respectiv.

    Nu am scos datele alea din burta, chiar acum sunt implicat într-un proiect care vizează înlocuirea unor loadbalancere hardware (F5 și Citrix NetScaler).
    Printre altele s-a testat și cu “commodity hardware” iar una din concluziile testelor a fost că nu se justifcă costurile adiționale cu hardware dedicat, cel puțin nu pentru SSL offloading.

    Ah, dacă ai aplicații specifice gen “high volume key signing”, da se justifică un crypto card gen Cavium sau un HSM (mai ales pentru stocarea cheilor) dar altfel, un XEON cinstit este suficient.

  38. Manowar says:

    Ma, eu nu vad https ca pe sfarsitul lumii.

    Da’ atunci cand intai ai client -> webserver (https), pe urma webserver -> baza de date (ssl), pe urma pula mea criptarea cacaturilor din baza de date, eu iti spun ca o sa vezi cum salta loadul.

    E adevarat, pe niste rable decente, n-o sa-ti pese. Doar ca eu inca mai am de lucru pe VM-uri cu 2 cores si 1 GB de RAM….

  39. Rootus says:

    Hmm. VM-uri…
    Este foarte posibil să nu ai aes expus către vm.
    În mod implicit (cpu=kvm64) sigur nu o face.
    Atunci în mod clar s-ar explica degradarea de performanță.
    Și nu numai la SSL ci la orice folosește crypto, (ipsec, etc).

  40. Manowar says:

    N-ai auzit, boss? E epoca virtualizarii. Cica. Inclusiv OC e pe un vm…

    Legat de Qualys/SSLlabs, sincer, sa le iau fata-n pula.

    De cand a aparut gunoiul ala de site al lor, toti handicapatii vin cu requesturi tembele zi-lumina. Ca ei au nevoie de HSTS. Sa moara maaaaa-ta.

    Cel mai simpatic a fost unul cu HPKP. Cand a trebuit sa-si schimbe certificatul pentru ca motive si digicert si pula mea. Te las sa ghicesti rezultatul…Cine urla ca un isteric ca nu-i mai vin clientii pe site? Da’ inainte de asta, cine insista ca TREBUIE sa aiba?

    Sa ma pis pe Qualys. Alt cacat care le da idei tembelilor. Asa, ca testele alea de inteligenta de pe facebook “daca vezi patratul asta albastru cat tot ecranul, faci parte din 1% cei mai inteligenti oameni de pe planeta!!!11”. Si dau buluc toti retardatii acolo – sa arate ca SI EI sunt printre 1% cei mai cei. Ii preferam p-aia care-mi cereau cadouri la mafia si farmville, chit ca nu jucam.

  41. Rootus says:

    Faptul că e un vm nu înseamnă că nu trebuie să aibă access la instrucțiunile aes. E ca și cum ai avea un haul truck dar transporți cu el doar baloți de paie. Da, ocupă volumul, dar ăla e făcut să transporte greutăți 🙂
    cpu=host și gata 🙂

    Qualis este bun să testezi faptul că ai pus cum trebuie chain certificates sau dacă nu ți-a scăpat vre-un cypher aiurea în listă. (hint: RSA cyphers).

  42. Rootus says:

    Corectură: _anumite_ RSA ciphers.

  43. Manowar says:

    Mai da-i in plm cu ciphers cu tot.

    Am 1000 de cretini care au un blog cu 5% din traficul astuia si ma freaca regulat cu “disable diffie helman si cbc si…”, ca au citit ei in pisat ca e security risk!

    Da, coaie, ca vin hecarii dupa tine sa-ti fure posturile citite doar de crawlers…

    Sa mai zic de aia care cumpara security “audit”, de-ala care verifica doar major-minor si pe urma trebuie sa le explic cve cu cve ca red hat foloseste backporting?

    Iar unde-s eu, nu dai nici un cpu=host, ca n-ai acces. Dai cu cpuinfo, vezi ca ai fix pula aes, te uiti la load si le urezi succes, lol.

  44. Licaon_Kter says:

    HSTS nu e un sfarsit de lume, daca deja siteul e ok pe HTTPS si daca ai suport tehnic sa nu te trezesti fara certificate (ex. been there, peste weekend hostingul upgradeaza CPanel la versiunea care stie LetsEncrypt, drept pentru care iti sterge certificatele tale… dupa o saptamana le sterge iar… acum imi dau seama ca nici acum nu am primit raspuns la ticketul asta, dar macar nu s’a mai intamplat)

    HPKP e ceva de speriat numa’ din ce am citit, dar n’ah dupa nevoi poate o fi util.

    @Rootus Procentele alea tin cont si de faptul ca in acceasi perioada or sa fie toti patchuiti de Spectre/Meltdown? Sa vezi surprizele…

    @Manowar Unde ai “Warrant Canary” la OC boss? 🙂 🙂

  45. Manowar says:

    OC nici https n-ar trebui sa aiba, coaie.

    Folosesc eu jucaria asta pe post de testbed, ca altfel, ar putea ramane pe http forever.

    Ce o sa se intample, o sa atace cineva ceva si o sa obtina toate informatiile astea care-s deja publice..?

    Harneli de 2018, dar whatever, mai aduc si eu niste bani acasa din ele.

  46. 0040 says:

    Si iata ca a venit primul mail cu GDPR 😀
    =====================================
    Consent Required

    Dear <>

    We currently have your personal details stored in our system, provided either directly from you or via a job board. We retained your information for the purpose of finding you a suitable job role, as we think you are a strong candidate.

    Why we are contacting you

    Under new data protection regulations (GDPR), which will come into effect in May 2018, we are required to obtain your consent to retain and process this information. If your consent is not explicitly provided then under the regulations we must delete your records and will not be able to match you to suitable job vacancies.

    What you need to do now

    Please use the link below to either provide consent or tell us that you would like your details to be removed. You can also review and amend the personal information we hold about you. If you would like further information, we have prepared a fact sheet which you can access at http://www.morson.com/gdpr

    ……….. dau pe link acolo si….

    We are seeking your consent to continue to hold and process your personal data for the purpose of providing our services to you in our capacity as an employment business/agency to find you suitable work whether on a temporary or permanent basis based on your requirements.

    Your consent will cover the following:

    to match your skills sets with job vacancies to assist in finding you the positions that most suit you;
    to put forward your details to our clients and prospective employers for you to be considered for vacancies;
    to place you with our clients and prospective employers;
    to keep you informed of available opportunities as they arise;
    to keep you informed of the services offered by us;
    You may withdraw consent at any time. If you consent we will contact you periodically to ensure you this still applies.

    Click here to read the full Privacy Policy.

    For Frequently Asked Questions about the general data protection regulations, please click here

    Do you give your consent for Morson to hold and process your personal data as set out above?

    NO – YES .

    Pot si restul sa “scape” cu atat?

  47. Manowar says:

    Pot si restul sa “scape” cu atat?

    Nu.
    Ala-i doar acordul tau pentru a-ti pastra detaliile. Problema nu-i aia. Problema e cum le vor stoca/transmita fara sa incalce regulile. Nu ca mi-ar pasa, doar zic.

  48. Alifie says:

    Vad ca baetii asti au inceput sa spameze:
    https://euprivacy.org/

    Cursurile pe care le faceti la noi sunt cursuri de perfectionare ce va ajuta sa intelegti la finalul acestora legislatia GDPR si cum sa le implementati in mod practic in viitoarea cariera de DPO, acestea nu sunt cursuri de certificare.

Leave a Reply

Your email address will not be published. Required fields are marked *