Audit Request - audyt bezpieczeństwa i prywatności aplikacji #141
Comments
|
@SeraMoon 30 marca bieżącego roku kontaktowaliśmy się z niebezpieczynikiem w celu społecznego audytu ale niestety nam odmówiono. Nie dawno także znów próbowaliśmy się z nimi skontaktować ale niestety brak odpowiedzi ;( Obecnie prowadzone są prace z firma Securitum w zakresie data privacy i data security. Jeżeli ty lub my będziemy mieli jakieś wnioski oraz raporty na pewno dajmy o tym znać społeczności! Pozdrawiamy i dziękujemy za pomoc |
|
Czy próbowaliście się też kontaktować z organizacjami lub firmami, które są znane z audytowania projektów OSS, np https://radicallyopensecurity.com/, który audytował ich kilka: https://radicallyopensecurity.com/portfolio.htm? |
|
Wątek ponownie otwarty do merytorycznej dyskusji zgodnej z #147 :) |
|
Czy audyt zawiera w sobie ocenę skutków dla ochrony danych (Data Protection Impact Assessment - DPIA)? |
|
Tu mamy uwagi EFF co do samego namierzania bliskości przez BT w kontekście API A+G https://www.eff.org/deeplinks/2020/04/apple-and-googles-covid-19-exposure-notification-api-questions-and-answers - warto się zapoznać. |
|
@SeraMoon To był ten audyt czy go nie było? |
|
Podbijam - aplikacja już wyszła, a nie mamy nawet DPIA. |
|
Informacyjnie - DPIA jest na stronie gov.pl, ale nie wiem od kiedy dokładnie https://www.gov.pl/web/protegosafe/dokumenty -> https://www.gov.pl/attachment/748bd66d-2345-4644-927b-299227ae74a3 |
|
@MateuszRomanow To DPIA to jakiś zlepek starej i nwoej wersji... W jednym miejscu czytamy o Exposure Notification od Google i Apple, żeby w innym przeczytać np. że:
Takich kwiatków jest więcej. |
|
Do punktu
Nikogo nie trzeba zmuszać, można tylko liczyć na spotkanie zakażonego który sie zgłosi dobrowolnie i zwiększać tego prawdopobieństwo dobierając odpowiednie miejsce "pobierania" kluczy. |
@MateuszRomanow a co z publikacją wyników testów bezpieczeństwa? Kto je w ogóle zamawiał - Ministerstwo Cyfryzacji, inny organ państwowy, TYTANI24 czy jeszcze ktoś inny? |
|
Tak. Czekamy na wyniki bo na razie są tylko deklaracje. A z rozmów z potencjalnymi aydytujacymi wynika ze jeszcze nawet nie ma zakresu tych audytów. Z resztą przy aplikacji offline PWA to może lepiej zrobić to po tym jak już będzie to zrobione. Bo inaczej to trochę strata pieniedzy i czasu podatników. Ale w DPIAjest dla odmiany napisane że audyty były .. warto by upublicznić co tam jest. |
|
@potiuk Sekurak pisał na fejsie (w komentarzach do https://www.facebook.com/sekurak/posts/4490216434337816 ) że
Czyli jakiś raport zrobili (?) |
|
Poczekamy zobaczymy. W. DPIA piszą o już zdaje się o przeprowadzonych audytach. Chętnie obejrzę |
|
Zabawna sprawa i mam nadzieję że jakiś przypadek, ale po wczorajszym ściągnieciu DPIA dzisiaj nie mogę się ze swojego IP dostać na prawie żadną stronę w domenie gov.pl - działa dopiero na VPN XD |
|
@jasisz gdzie znajdę DPIA? Zawiera wyniki audytu? |
|
@SeraMoon tak jak wyżej Mateusz wklejał - https://www.gov.pl/web/protegosafe/dokumenty Nie zawiera wyników audytów, jest to czyste DPIA, które o audytach tylko wspomina. |
U mnie działa. LTE. |
|
@Tarvald u mnie działa na innym łączu albo na VPN (te same maszyny), natomiast na łączu z którego ściągałem wczoraj nie działa na żadnej maszynie i kończy się albo albo czekaniem na timeout :D Nie że od razu węszę spisek, ale trudno mi to sensownie wyjaśnić i mnie to trochę rozbawiło ;) |
|
SOA#1 U mnie działa :). DPIA pobierałem. Więc chyba nie to. @jasisz Prawdopodobnie zupgradowałeś Mac-a i masz ustawienie które priorytetyzuje IPV6: A z tego by wynikało że gov.pl jeszcze nad swoją konfiguracją IPV6 musi popracować - bo mają już adres IPV6 ale go nie obsługują. W linku ze SO masz "rozwiązanie". Ciekaw jestem, czy to to. |
|
@jasisz jeżeli Ci nie działa i zgubiłeś ten dokument po drodze - użyj Tor Browsera - działa. Niestety analiza DPIA poczeka dłużej ponieważ muszę przypomnieć sobie reguły jak przyznaje się ilość punktów i jakie były limity. Do tego mam znów po lock-downie projekt i muszę go dokończyć zanim znów będzie zapowiadany kolejny lock-down, więc mam mało czasu na isssues. Rozwiąże też SOA#1 nawet gdyby faktycznie zablokowano Cię. |
|
Audyty dostępne |
|
@Tarvald temat pozostaje otwarty bowiem nie widzę tam audytu prywatności. Dla zaufania społecznego - najważniejszego. Gdybyście zrobili audyt prywatności, nie wynikłby problem #215. Na 100% zostałoby to znalezione. |
|
Raport prywatności: Temat zamykam |
Is your feature request related to a problem? Please describe.
for(var $i=140; $i>=80; $i--)
browse("https://github.com/ProteGO-Safe/specs/issues/"+$i);
Describe the solution you'd like
Aplikacja przejdzie audyt bezpieczeństwa i prywatności przeprowadzony przez odpowiednich niezależnych ekspertów, aplikacja zostanie podpisana cyfrowo oraz zostanie podany jej SHA-256 publicznie, aby umożliwić sprawdzenie użytkownikowi, czy korzysta z tego samego rozwiązania.
Audytorzy sprawdzą też, czy i jakie dane (i jakiej klasy dane) są przesyłane do ewentualnych serwerów.
SHA-256 znajdzie się również w treści przeprowadzonych audytów.
Audytorzy wraz z prawnikami sprawdzą również zapisy licencji czy jest zgodna z wynikami audytu. Prawnik wystawi wytyczne odnośnie poprawy tekstu licencji. Prawnik sprawdzi również, jakie uprawnienia do uzyskania danych osobowych (na podstawie IP) ma Ministerstwo Cyfryzacji oraz inni właściciele serwerów i uwzględni to w opinii współpracując z ekspertem od prywatności.
Describe alternatives you've considered
Jeżeli aplikacja ma być bezpieczna i ma zapewniać prywatność nie obędzie się bez audytu. Opcją jest jedynie jej zakończenie lub brak zaufania do aplikacji
Additional context
Add any other context or screenshots about the feature request here.
The text was updated successfully, but these errors were encountered: