Złe praktyki jak się ustrzec

Jeśli pracujesz jako osoba odpowiedzialna za komunikację elektroniczną zapamiętaj sobie:

Zlecając wykonanie serwisu internetowego domagaj się od wykonawcy aby testy były przeprowadzane wyłącznie na anonimowych danych.

Jest to szczególnie istotne jeśli Twój serwis zawiera dane drażliwe lub poufne. Często  serwis testowy wykonawcy jest indeksowany przez wyszukiwarki i dane osobowe wyciekają. Wprowadzając przeróbki i robiąc testy wykonawca klika co popadnie, zmienia uprawnienia itd. owocuje to widocznością i zindeksowaniem danych poufnych.

Bywa że developer używa jakiejś starej maszyny która pracowała pod innym adresem i nie została przekonfigurowana. W takim przypadku twoje wrażliwe dane mogą się zindeksować pod adresem typu łysy-dziad-i-gruba-baba.com. Zapewniam że wzbudzi to wiele emocji u twoich użytkowników i dostaniesz po uszach za to.

Pamiętaj – za udostępnienie danych GIODO będzie ścigać Ciebie nie wykonawcę.

Zadbasz o użytkowników (a zarazem swój święty spokój) jeśli dane wprowadzane w innym celu nie zostaną upublicznione bez wiedzy użytkownika na stronie www. Przykładowo zbierając cv od pracowników nie publikuj ich publicznie na swojej www. Wszelakie przetwarzanie maszynowe jest fajne, ale musi być dobrze przeanalizowane, programista tego nie zrobi za Ciebie.

Zanim podpiszesz umowę sprawdź ponownie czy strona wykonawcy działa, czy umiesz się po niej poruszać. Jeśli wykonawca ma stronę bez grafik a chwali się że jest grafikiem specjalizującym się w grafice internetowej, albo jest specem od komunikacji w internecie a  używa tylko telefonu i maila to po prostu nie wierz im.

Nie dawaj wykonawcy danych roboczych dopóki nie przeprowadzi testów penetracyjnych systemu, od dawna hakerzy wiedzą że podczas testów najprościej wejść na obcą maszynę i ukraść dane.

Zbierając dane zwłaszcza poufne lub osobowe za pomocą emaila zadbaj aby wysyłka odbyła się z konta na które ankiety mają wrócić.

Ludzie klikają “odpowiedz”, i nawet jeśli jasno napiszesz żeby odpowiadali na maila podanego w treści to i tak odeślą dane  do nadawcy pierwotnego maila.

Jak już robisz korespondencję masową to ustaw ją tak aby maile wracały tylko do Ciebie a nie do wszystkich. Chyba że chcesz poznać smak kompromitacji i gniew ludzi gdy 200 osób z twojej listy wysyłkowej pozna swoje numery kont, pesele i adresy zamieszkania. Odmianą tego problemu są długaśne listy odbiorców maila, CC, BCC (rekord tych świąt to życzenia skierowane do 853 osób). Ewentualnie możesz tak zrobić jak chcesz otrzymać przepis na gofry.

Jeśli według Ciebie programiści i inni “od internetu” i komputerów  mówią szyfrem to potrzebujesz tłumacza – napisz do mnie służę pomocą.

Powyższe uwagi powstały na podstawie doświadczeń przy współpracy z pewnym NGO-sem w ciągu ostatnich 40 dni. Sam nie wiem czy współpracować z nimi dalej, podpadli mi strasznie i nawet pięciocyfrowa kwota tego nie przysłania.

 

Zobacz zminimalizowaną wersję strony, w technice AMP .

Informacje o Niedoszły Bibliotekarz

Dinozaur pamiętający czasy LOAD "*",8,1 oraz szczęśliwy posiadacz BBS-a przez tydzień. Wizjoner, z żalem w sercu obserwujący jak "dziki zachód" internetu upada na kolana pod wpływem polityków i korporacji. Aktualnie informatyk od tonerów w bibliotece publicznej, oraz techniczny w fundacji proekologicznej. Wyznawca synergii oraz Pastafarianizmu. Możesz go podglądać na Google+ , Facebooku czy Twitterze
Ten wpis został opublikowany w kategorii mózgownica, prowadzenie bloga i oznaczony tagami . Dodaj zakładkę do bezpośredniego odnośnika.

4 odpowiedzi na „Złe praktyki jak się ustrzec

  1. Na każdym kroku – niestety – trzeba uważać na oszustów. Obecnie jest och tak wielu, że praktycznie nie da się przed nimi ustrzec. Ja póki co nie miałem nieprzyjemności spotkać się z takimi osobami i mam nadzieję, że mi się uda tego uniknąć.
    Co do Twoich rad, to muszę przyznać, że są to podstawowe rady jednak większość ludzi o nich zapomina – a to niedobrze

  2. Rafał pisze:

    Akurat zabezpieczenie przed odnalezieniem danych przez Google załatwia plik robots.txt i wpis "User-Agent: * Disallow: /", co niemniej nie sprawi, że ludzie nie będą mogli wejść na stronę. Ale hej, jeśli nie mogą jej znaleźć to prawie nie istnieje, co nie? :)

  3. spamerskie narzędzia ignorują robots.txt wiec to bardziej taki listek figowy niż zabezpieczenie (choć ukrywa dane w cywilizowanych wyszukiwarkach).

  4. netcarsa pisze:

    Wystarczy na czas testów w meta tagi wpisać: <meta name="robots" content="none" /> lub dodać odpowiedni wpis we wspomnianym już pliku robots.txt. Główne wyszukiwarki jak google i bing respektują tego typu wpisy, więc jak najbardziej to wystarczy by nie pojawiać się w sieci. A innych botów, jak np z ahrefs czy ms, nie ma się co obawiać bo raczej koncentrują się na liczeniu linków dla potrzeb SEO i nie kopiują treści ze strony.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *