ugrás a tartalomhoz

Minden külső javascript jogsértő?

vbence · 2006. Ápr. 11. (K), 12.53
Kezdjük az elején: számtalan bannercsere, statisztika stb. modul van, ami javascript kód beszúrását követeli meg az oldalra. Ezek a szkriptek az oldal szerves részeként (egyaszon security context) elérik az összes cookie-t input mezőt, session id-t a címben, egyszóval mindent.

Ez már önmagában is hatalmas biztonsági kockázatot jelent. Ki nézi meg mi van a szkriptek másik felén, amit egyszerűen belinkel az oldalra? Persze mondjuk Google tesóban mindenki vakon megbízik, de valóban vállalhatsz felelősséget minden kis hitcounterért amit első látásra azonnal be copy-paste-elsz az oldalra?

Még bonyolultabb a helyzet, ha személyes adatokat is tárolsz a rendszeredben. Az ügyfél, aki regisztrál, és akinek garantálod személyes adatai védelmét tudja, hogy az adatokhoz gyakorlatilag bármikor hozzáférhet egy külső cég, aki az esetek túlnyomó részében külföldön található? Egy oldan cég,a kivel gyakorlatilag nem állsz szerződéses viszonyban, aki sehol nem garantált neked semmit.

És még valami: Magyarországon az IP cím is olyan személyes adatnak minősül, amit nem adhatsz ki harmadik személynek.

Ha csak a fele pontos ennek az egésznek, amit itt öszehordtam, akkor is komolyan el kell gondolkodni az eljárás jogszerűségén. Mondjuk az USAval biztos bennevagyunk néhány nemzetközi szerződésben, ami legalább utólérhetővé teszi az illető céget, de ne menjünk a harmadik világig, Bulgáriában 8 éve még semmilyen törvény nem szabályozta a digitális viszonyokat.
 
1

Kölcsönös bizalom

-zsolti- · 2006. Ápr. 11. (K), 12.58
Szerintem. Hiszen ha kiderülne valami turpisság, senki sem használná tovább az adott számlálót, etc. Egyébként pedig a másik kiszolgálóról meghívott js-t is bármikor letöltheted, belenézhetsz hogyan működik, mit jegyez fel.
2

"Külső" JavaScript

Bártházi András · 2006. Ápr. 11. (K), 13.05
Külsőnek nevezzük azt a JavaScriptet is, ami ugyanazon domainről jön, de nem a HTML oldal része. Erre az egész érvelés nem vonatkozik.

Másrészt egy nagyobb oldal igenis szerződésben áll a statisztikát végző céggel, tehát megintcsak eleve nem igaz a kérdés, hogy minden más domainről érkező JavaScript jogsértő lenne.

Harmadrészt nem az oldal gazdája, hanem a böngésződ juttatja el az IP címedet harmadik fél részére, illetve például egy publikus statisztika esetén nem (csak) ő, hanem te is igénybeveszel tőle egy szolgáltatást - te állsz vele kapcsolatban, nem az oldal gazdája. Amikor az oldalra látogatsz, egy szolgáltatáscsomagot veszel igénybe, ami több domainről is érkezhet.

A probléma ott lehetne probléma, mikor az oldal gazdája, szerver oldalon adja tovább az adataidat. Szerintem.
3

Alapgondolat

vbence · 2006. Ápr. 11. (K), 13.16
Az alapgondolat az, hogy megteszel-e mindent (minden tőled elvárhatót) az adatok védelméért?
Ha te belinkelsz az oldaladra egy szkriptet az én szerveremről, akkor egy dolog, hogy te megbízol bennem (és abban, hogy holnap nem egy másik szkript lesz a mai helyén).
Egy egész más dolog, hogy megteheted-e, hogy az ügyfeleid adatait is rám bízod, akiknek garantáltad, hogy harmadik fél nem fér hozzá, nem pedig azt, hogy harmadik fél nem fér hozzá, ha nem akar.