{"id":2386,"title":"\u0420\u0435\u0437\u0430\u043b\u0438 \u043f\u0435\u0441\u043e\u043a \u0438 \u0434\u0430\u0432\u0438\u043b\u0438 \u043a\u0440\u0435\u043c \u2014 \u0438 \u0441\u043e\u0431\u0440\u0430\u043b\u0438 \u043f\u043e\u0447\u0442\u0438 \u043c\u0438\u043b\u043b\u0438\u043e\u043d \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u043e\u0432","url":"\/redirect?component=advertising&id=2386&url=https:\/\/tjournal.ru\/promo\/437972-go-to-viral&placeBit=1&hash=e6d32eb9f11d24f6c41bf1fb857925632cc9d8a9c7d22f158ef2e9201b5e8f15","isPaidAndBannersEnabled":false}
Драма 24/7
Konstantin Zubarev

Информационная безопасность ресурса ДТФ?

В рамках отмеченного в прошлом посте так называемого "метатроллинга" Ширяева, по автозамене слов в комментариях. Решил если не доказать, то показать на основании каких официальных документов ресурс DTF.RU нарушает базовые правила информационной безопасности, а так же перечесть риски, которые грозят каждому пользователю данного ресурса.

1. Целостность информации

Понятие целостности информации является не просто важным, а одним из фундаментальных для осуществления защиты любой информации от несанкционированного изменения. Целостная информация - это та информация, которая не была изменена при выполнении какой-либо операции над ними, будь то передача, хранение или отображение. В нашем случае - была нарушена целостность комментария = Я в рамках своего права и свободы написал "А" , но система изменила мое "А" на "Б" - тем самым нарушив базовое правило.

2. Каким образом должны осуществляться алгоритмы сохранения целостности можно почитать начиная со статьи на википедии (там описаны алгоритмы шифрования, принципы созданию хэша и т.д).

3. Официальные документы Российской Федерации, в которых указаны принципы информационной безопасности:

Национальный стандарт Российской федерации. «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799—2005)

Национальный стандарт Российской федерации. «Информационная технология. Электронный обмен информацией. Термины и определения». ГОСТ Р 52292-2004

Национальный стандарт РФ. «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий». ГОСТ Р ИСО/МЭК 13335-1 — 2006

4. Ресурс ДТФ - использует множество персональных данных, интеграцию авторизаций через сторонние ресурсы типа гугла, а так же платежные процессы.

Приведу цитаты из документа ГОСТ Р ИСО/МЭК 17799—2005

Нарушенный принцип

5. Риски для каждого пользователя DTF.RU

Изменение вашего искомого сообщения или действия. Как примеры, вы можете написать что-то безобидное, просто оставить символ, но т.к. ресурс не соответствует статусу Информационно-безопасного, то ваш комментарий могут переписать вручную, или алгоритмом, как было зафиксировано, в следствии чего информация может быть изменена на нарушающую административный или уголовный кодекс РФ. Т.е. от вашего лица могут запостить запрещенную символику, призывы к разжиганию розни, оскорбления, призывы к насилию. По процессу "безобидная" замена слова на слово, от вышеуказанного не отличается ничем. В итоге вы можете быть привлечены к уголовной или административной ответственности. Это может быть использовано намеренно, например, за деньги - кому-то не понравится этот (конкретно) этот пост и его или комментарии в нем перепишут и отправят в прокуратуру. Будет крайне тяжело доказать, что ты не писал, не лайкал, не постил. Т.к. ресурс ДТФ с одной стороны не соответствует ГОСТам РФ, а с другой является площадкой, использующей персональные данные пользователей - т.е. по закону каждый из нас запостив здесь вышеперечисленное может быть привлечен и наказан. Не говоря вообще о самых базовых принципах свободы человека.

Можно много шутить о паранойе или Черном Зеркале, но мир, в котором тебя не просто заблокируют, а просто заберут у тебя личность заменяя все твои слова и мысли другими, создавая твою ложную личность - он уже вот, перед нами. На любимом уютном ресурсике. Потренировали пару лет нейроночки, похихикали. А теперь алгоритмы начнут переписывать наши комментарии, править наши фото и т.д. Начнут мб от нашего имени скоро и лайки ставить и коменты писать.

6. Вопросы к ресурсу:
- где можно ознакомиться со справочником автозаменяемых слов?

- можно ли ознакомиться с документами описывающими информационную безопасность и ее принципы для серверов ресурса?

- есть ли у компании сертификация баз данных, и ПО подтверждающая, что использование ресурса безопасно. А так же есть ли пункт в техническом дизайне решения, в трудовых договорах сотрудников о том, что строго запрещается нарушать конфиденциальность и целостность данных пользователей, которые не нарушают правила сайта?

Кейс, с которого началось:

{ "author_name": "Konstantin Zubarev", "author_type": "self", "tags": [], "comments": 86, "likes": 19, "favorites": 4, "is_advertisement": false, "subsite_label": "dramaqueen", "id": 273035, "is_wide": true, "is_ugc": true, "date": "Tue, 01 Dec 2020 12:11:55 +0300", "is_special": false }
0
86 комментариев
Популярные
По порядку
Написать комментарий...
67
Ответить
7

Тож интересный скрин.
Ну шо, бутчер, ты бот или да?

Ответить
4

Канешно. Даже месяц Плюса получил для прикрытия.

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
4

Это можно адресовать в принципе всем, кто в драме сидит

Ответить
4

Всем, кто на DTF сидит*

Ответить

Трудовой волк

Denis
36

У вас сайт не по ГОСТу, переделывайте

Ответить

Престижный яд

Трудовой
15
Ответить
12

А вот и главный нарушитель безопасности появился.
Нечего сказать да?

Ответить
8

@Шериф Закрепляй, закрепляй

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

*я, видя новый редизайн*

Ответить
28

Пост выглядит вполне как левацкая и правацкая угабуга

Ответить

Контрольный шар

18

Кто там заявление на сайт носил в прошлый раз? Кажись пришло его время...

Ответить
18

Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю, что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.

Ответить

Трудовой волк

16
Ответить
15

У нас давно ГОСТЫ стали документами, имеющими юридическое значение?

Ответить
1

государственные стандарты необходимы при взаимодействии компании с государством, для этого эти госты после развала совка и остались. Если ДТФ когда-нибудь попросит помощи у государства будет аудиторская проверка на предмет соответствия, где конечно же будут проверки на госты.
Что касается безопасности информации, ДТФ может налутать гемороя если кому-то не будет влом написать петишку в сертцентр и предоставить пруфы "нарушение информационной безопасности" и у ДТФ отберут серт и будет он у тебя в бровзере красненьким. 

Ответить
2

ГОСТ, буквально ничего не значит. Это тупо документ в котором написано - ну, если вы сделаете вот так то, будет хорошо. Однако, есть юридически значимый документ, например - статья или федеральный закон. В нём говориться примерно следующее - если вы хотите делать что то, то вы должны делать "именно так". Ну а что бы своё не выдумывать, под "именно так" могут иметь ввиду госты. Я причём не могу утверждать, что всегда между гостом и другим документом выбор будет в пользу госта. При этом надо понимать, что такие документы определяют не всё.
В России точно есть закон, который говорит - если вы хотите сохранять персональные данные пользователей, то вы должны соответствовать определённым нормам. Но если кто то захочет тебе предъявить, что ты не соответствуешь этим нормам, он должен сначала доказать, что ты вообще собираешь персональные данные (Это в среднем не сложно, но пример то я думаю понятен).
у ДТФ отберут серт и  будет он у тебя в бровзере красненьким.

Я не уверен на 100%, но этот сертификат вообще не имеет отношения к правилам в РФ. Это просто подтверждение, что ты открыл именно тот самый сайт ДТФ, а не сайт ДtФ или ещё какую то копию 

Ответить
1

Если хочешь продавать государству что-то, будешь делать по госту или не будешь продавать (есть исключения, когда нет гост серта для товара и услуги), все об этом. Если нет дел с государством то и похуй. 

 >к правилам в РФ

но имеет отношение к получению sll серта у симантек например, а значит и всего OCSP. Я нихуя не безопасник и тупо знаю немного о том и немного о сем, я предполагаю, что может быть так и не говорю, что будет прям конкретно так если сделать вот так и так. Автозамена информации нарушает целостность информации, а значит это компрометация уровня доверия и вот за потерю этого уровня доверия могут доебаться. 

Ответить
0

 Если хочешь продавать государству что-то, будешь делать по госту или не будешь продавать

Так это другой вопрос. Если вы хотите сделать что-то, то вы должны, вы должны чему -то соответствовать. 
 Автозамена информации нарушает целостность информации

Для того, что бы говорить об этом, нужно доказать две вещи:
1. Сайт конкретно в этом месте/функции должен соответствовать чему то.
2. Он это что-то нарушает 

Ответить
0

И, тебе уже ответили, но всё же SLL говорит только об очень узкой теме - Обмениваться информацией с этим сайтом безопасно, так как он использует безопасные протоколы, и это тот сайт, за который он себя выдаёт 

Ответить
1

Если бы DTF хотел бы получить статус официального СМИ на территории страны, тогда бы ему пришлось бы соответствовать, а так, на это можно спокойно забить.

Ответить
4

Ох, было бы все так просто. На последних раскладах не стоит рассчитывать на то, что дтф рано или поздно не заставят заехать под СМИ, что-бы жить дальше. 

Ответить
0

А с чего у них проблемы то будут?
Автор же докопался до понятия «Целостности информации» и соответствия dtf этому понятию.

Мы же не про статьи УК говорим, а про госты

Ответить
0

Так а причем тут УК то? Речь о безопасности информации, ДТФ нарушает сертификат безопасности, по которому он тут вообще есть

Ответить
1

Для SLL сертификата достаточно вот этого госта, нет? https://internet-law.ru/gosts/gost/52248/

https://cainet.ru/content/ssl

Ответить
0

так суть в том, что безопасность твоего общения дискредитирована автозаменой. Могу я сказать, что  hash спущен в унитаз и происходит постоянное нарушение условий получения SLL серта? 

Ответить
0

Конкретна та организация, которую я скинул, выдаёт сайту сертификат именно по тем правилам, которые я скинул. Единственный гост, который их интересует это алгоритм шифрования данных, собна, всё. Другие тоже ебаться с этим не будут, скорее всего. Деньгу заплатил, минимум сделал, всё, радуйся сертификату.

Нарушения получения сертификата, соответственно, нет, потому что нарушения условий и не было.

Ответить
0

А, соррян, не тем местом твой коммент прочитал

Ответить
5

Реквестирую пикчу с широким Ширяевым-Таносом и надписью "Зачем порвался?"

Ответить
14

Эх, это ведь мой мем 

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
5

Это отсылка к редизайну по кусочкам ( ͡• ͜ʖ ͡• )

Ответить
4

Комментарий удален по просьбе пользователя

Ответить
1

Свободное место для ещё нескольких правил

Ответить
1

Грасиас, амиго

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
21

Вот бы с законами так, да?

Ответить
12

А некоторые так и делают с законами

Ответить
1

Только те, кто их пишет

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Я бы ответил цитатой члена редакции, но за это теперь банят

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Могу нарисовать

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
3

Комментарий удален по просьбе пользователя

Ответить

Сильный

falcon
6

@Олег Чимде объяснит

Ответить
4

Колени береги

Ответить
2

Когда-то меня вела дорога приключений..

Ответить
2

Покрас-Лампас, ты ли это?

Ответить
8

Комментарий удален по просьбе пользователя

Ответить
7

Степану стало мало одного врага

Ответить
5

ще не померли щитпостеры

Ответить
4

Если сайт не соответствуем принципам информационной безопасности, то и за эту информацию меня судить не могут, так как она не может быть достоверной.
Так что предлагаю автора просто забанить.

Ответить

Правильный пистолет

2

И в чём он неправ?

Ответить
7

Во всём. Начиная от того, относятся ли комменты к информационной безопасности, заканчивая тем, каким документам ИБ должен подчинятся сайт 

Ответить

Правильный пистолет

Никита
4
Ответить
2

В том, что это ГОСТЫ, а не законы

Ответить
4

Кажется, уважаемый пользователь, вы вышли из себя, жаль

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
7

Тоже плюсанул только чтобы пост быстро не улетел. А так автор несет херню

Ответить
1

@Dako, смотри, второй раз не ставлю/

Ответить
2

Мне кажется вам нужны хорошее настроение

Ответить
1

@Denis Shiryaev тикай с хаты. За тобой уже выехали

Ответить
0

За нарушение ГОСТ'а, который тут является просто набором советов?

Ответить
7

Подбросят экстремистские материалы

Ответить
0

Если сайт не информационно-безопасный, то, по хорошему, тут нет возможности доказать, что постил это именно ты.

Ответить
4

Я вас умоляю)

Ответить

Трудящийся турник

1

Ну вообще я себя не чувствую в безопасности на этом ресурсе. Как-то на душе неспокойно. Надо бы начать заботиться о пользователях администрации.

Ответить
2

Пользователи администрации? Это что-то новое. @Denis Shiryaev иди сюда, я тебя пользовать буду х)

Ответить
1

Кажется, уважаемый пользователь, вы вышли из себя, жаль

Ответить

Крайний Мика

0

Порвался так порвался.
Сходи зашейся перед тем как следующий пост пилить, а то после прошлого ты видимо не успел. 

Ответить
0

срочно, замените целостно этого юзера на другого, он не безопасен

Ответить
0

кто-нибудь занесите этому человеку хорошее настроение

Ответить

Правильный калькулятор

0

Пришел портить всем веселье. Кто тебе за это хорошее настроение завез?

Ответить

Контрольный ключ

0

Комментарий удален по просьбе пользователя

Ответить
0

Правак. Левак. Чемоданы. Помойка.
Вокзал. Украина. Математика. Двойка.

Ответить

Комментарий удален

0

NPC в комментариях ожидаемо встали на защиту барина.

Ответить
Читать все 86 комментариев
null