Autor: Darius Jack (dariusz_at_usa.net)
Data: Mon 09 Nov 1998 - 12:35:47 MET
Załóżmy, że skorzystamy z algorytmu
> proponowanego już przez kogoś: pierwszy, kto się wdzwoni na TPSA,
> dostanie identyfikator 000000001, następny - 000000002, itd. Jest to
> bardzo dobre kodowanie, absolutnie nieprzewidywalne, nie ma nic
> wspólnego z jakimkolwiek szyfrem (ergo nie może być mowy o
> certyfikowaniu itd.), opis jest zwięzły, można napisać stosowny program
> na kolanie, i *spełnia swoje zadanie* - przypisuje w jednoznaczny
> sposób identyfikatory do numerów telefonów, i:
> 1) osoba nie mająca dostępu do bazy numerów już przypisanych nie może
> ustalić, jaki numer telefonu odpowiada danemu identowi (pomijając
> przypadek uzyskania tej informacji od samego właściciela numeru np.
> przez sklep internetowy na WWW, ale to już omówiłem w poprzednim
> postingu);
> 2) nawet dysponując bazą danych TPSA nie jesteś w stanie ustalić,
> jaki ident otrzyma ktoś, kto jeszcze w tej bazie nie występuje.
No akurat ten algorytm to wadliwy jest w znacznym stopniu.
A mianowicie taka byla/jest analogia w nadawaniu kolejnych numerow
telefonow przez ERE.
Czekalem ze zgloszeniem, az przeleci kilka tysiecy numerow, aby uzyskac
taki z odpowiednimi cyferkami.
Powyzszy algorytm ma te wade, ze znajac kod idxxx dla abonenta n,
znam kod idxxx dla abonenta n+1.
Gdyby nadawanie idxxx wymagalo osobistego stawiennictwa w urzedzie
to stajac pierwszy w kolejce, znalbym idxxx wszystkich ludzi z kolejki.
A poza tym to kodowanie wymaga administrowania on-line baza.
A takie systemy dla milionow uzytkownikow na taka skale, (miliony logow
dziennie) nie sa stosowane ze wzgledow bezpieczenstwa. Kto dostanie
baze, ten ma identyfikacje.
>
> : Tak prywatnie, to chyba naruszyles Ustawe o Ochronie Danych Osobowych ,
> : ujwniajac ze Baba Naga to Piotr Trzcinkowski.
> Wszyscy to wiedzą, więc niczego nie ujawniłem, ale to szczegół.
>
> : i gdy Baba Naga zostanie poslem, to ty ujawniles o czym P.T. pisal w
> Nie daj Boże.
>
> : Mowimy o kodowaniu czy literaturze.
> O jakiej literaturze?
>
> : Dokoncz chociaz watek z P.T. i zadzwon do Inspektora d/s Danych
> : Osobowych i bedziemy wiedzieli, czy admin moze ujawniac takie dane,
> : ze id = imie, nazwisko , a w dalszej kolejnosci = adres + telefon.
> Przypuszczam, że nie może. No i co? To chyba tym lepiej, prawda?
> Nawet jak sobie zgromadzi prywatną bazę par (ident, telefon) czy też
> (ident, nazwisko) to nie będzie mógł z niej zrobić żadnego użytku
> (np. sprzedać). Chyba o to szło, nie?
>
No ale wymieniac bezplatnie z innymi adminami to chyba nawet byloby
uzasadnione dla celow zabezpieczenia serwerow www.
Jak ktos jest bad na serwerze A, to moze byc bad na serwerze B.
>
Jack
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:17:34 MET DST