| Autor | Zpráva | ||
|---|---|---|---|
| RastyAmateur Profil |
#1 · Zasláno: 2. 2. 2017, 18:43:44
Dobrý večer,
s kamarádem jsme vytvořili systém, ve kterém mohou žáci naší školy ohodnotit schopnosti a dovednosti našich učitelů, abychom nedostávali vysvědčení pouze my. Aby bylo možné ověřit, že hlasuje student naší školy a že hlasuje pouze jednou, museli jsme udělat nějaký přihlašovací systém. Po dlouhých úvahách jsme přistoupili na řešení, že nejlepší bude použít systém BAKALÁŘI, na který je naše škola navázána (Pro ty, co neví, co to je - je to systém, kam učitelé nahrávají klasifikaci, aby studenti a rodiče měli přístup ke všem informacím z domova). Kontaktovali jsme danou firmu, zda-li nemá nějakou API k tomu sloužící. Jejich reakce byla silně negativní a bylo nám řečeno, že ani naše škola nám nesmí dát žádné údaje či dokonce tu API vytvořit. Rozhodli jsme se to obejít. Pomocí cURLu vyšleme požadavek na přihlašovací formulář na školní server, stáhneme se odpověď (tj. získanou HTML stránku). Tam zjistíme, přihlásil-li se student (a ne třeba rodič), do jaké chodí třídy (abychom mu zobrazili pouze ty učitele k hlasování, které ho učí) a opět ho odhlásíme. Student je před přihlášením na vše upozorněn, pod přihlašovacím formulářem se nachází upozornění a odkaz na stránku s detailnějším vysvětlením (viz obrázek). Včera jsme náš anketní systém spustili. Měl větší úspěch, než jsme čekali, ovšem dnes jsme byli zastaveni zástupcem ředitele (a později se k "jednání" přidal i ředitel), kteří nám oznámili, že se to nesmí, že je to pishing, že to musíme ihned zrušit. Aby toho nebylo málo, když se to dozvěděl správce sítě, údajně na nás chtěl podat žalobu. Má otázka je pravděpodobně jasná - mají pravdu? Je to opravdu nezákonné? Můžeme pro to my ještě něco udělat? Děkuji 
|
||
| Keeehi Profil |
#2 · Zasláno: 2. 2. 2017, 20:00:06
O phishing rozhodně nejde. Phishing se snaží podvodně získat přihlašovací údaje tím že se vydává za někoho jiného než ve skutečnosti je. Vaše stránka se za nikoho cizího nevydává a návštěvníky sama upozorňuje na to, že nejde o web BAKALARI a že jí předávají své přihlašovací údaje.
Jsem toho názoru, že nic nelegálního neděláte. Z hlediska uživatele je méně bezpečné, když posílá údaje vám, než kdyby BAKALARI měli nějaký svůj autentikační server. Ale to záleží na jejich důvěře, zda vám údaje sdělí. On je trochu problém v tom, že ač mohou věřit tobě, tak problém nastane ve chvíli, kdy vám ty vaše stránky někdo potichu nabourá, jen nějakou dorbnou změnou v kódu si začne Vám předané údaje přeposílat a vy o tom nebudete mít ani tušení. Závěrem. Z právního pohledu jste asi v pořádku, ovšem oba (bakalari i skola) vám můžou znepříjemnit život. Bakalari tím, že změní html stánek a tím rozbijí váš parser (což asi dělat nebudou) a nebo se vás budou snažit nějak detekovat a zablokovat. Nejjednodušší pro ně bude zablokovat IP vašeho serveru, takže byste je museli hodně rychle střídat (můžete mít jen nějakou proxy, kterou budete střídat a hlavní obsah bude stále na tom samém serveru). Škola Vám to může znepříjemnit zase jinak, oficiálně ne, ale oni si cestu najdou, víme jak to chodí. Proto ač jste vlastně nic neporušili bych jim ustoupil. 1) Myslím, že by měla stačit úplně obyčejná registrace. Vaše škola zajímá je Vaši školu. Nikde nejsou připravené tisíce lidí, kteří čekají jen na to, aby vám podvodně kazili anketu. Takže nějaké ověřování nejspíše nebude vůbec potřeba. A pokud by náhodou nějaký problém nastal, tak ho budete řešit až nastane. 2) Jednorázová distribuce 322 hesel zase až takový problém není. Navíc je to jednorázová akce, za rok to bude jen 30-60 (nevím kolik máte každý rok prváků). Navíc se to dá udělat opačně, jelikož je o vaši službu takový zájem, můžete lidi nechat, ať si heslo jednoduše vyzvednou u vás. Nikoho nemusíte nahánět, ten kdo bude mít zájem se prostě u vás o přestávce staví. 3) Pokud budete chtít zachovat propojení s BAKALARI, dá se to udělat šetrně, aby předání údajů proběhlo jen jednou. To přihlášení provedete jen jednou, při registraci. Při registraci tedy uživatel vyplní své jméno a heslo, které chce používat pro přihlášení do vašeho systému a jméno a heslo k bakalarum. Systém se přihlásí pomocí údajů k serveru bakalari a pokud se mu to povede, zaregistruje uživatele. Pak už se uživatel přihlašuje jen svými údaji k vašemu systému. Další kontaktování serveru bakalari je zbytečné, protože vít, že všichni uživatelé vašeho systému byli už na začátku ověřeni. |
||
| TomášK Profil |
#3 · Zasláno: 2. 2. 2017, 20:08:30
Dle mého (laického) názoru to trestné není, minimálně do doby než vám ředitel/správce sítě zakážou to dělat. Na vyhození ze školy ano, pokud bys to provozoval po jejich zákazu. Že jsou z toho ředitel a správce sítě na větvi je celkem pochopitelné, pokud by ta data byla zneužitá, můžou z toho mít problémy, i když jsou na vině studenti, kteří dali své heslo třetí osobě.
1) Jako student bych v takové anketě nehlasoval, protože bych nebyl ochotný dát ti přístup k mému účtu. Existuje-li nějaký dokument, který studenti podepisují při předání hesel, patrně tam bude i napsáno, že ho nesmí sdělit třetí osobě. 2) Rozumný způsob by byl rozeslat to studentům na mail, ideálně připravit šablonu, ve které se bude generovat nějaký token a domluvit se se správcem, jestli by to studentům rozeslal (aby nemusel dát z ruky jejich e-maily). Škola by mohla dodat seznam toho, kdo kde učí. Čekal bych, že nebudou smět dodělat k bakalářům nějaký vlastní modul, ale vyexportovat z toho systému data (jde-li to), to by snad mohli. To v případě, že by škola chtěla spolupracovat. Pokud ne, zkusil bych se spolehnout na to, že studenti budou poctiví a udělal vlastní registraci,kde studenti zadají jméno a třídu. Řešil bych až případy, kdy se nějaký student registruje víckrát. Pokud by se někdo rozhodl to sabotovat, tak bych rozdával ve škole papírky s heslem. |
||
| RastyAmateur Profil |
Keeehi:
V první řadě děkuji za odpověď (z mého pohledu pozitivní, o to lépe). 1) Jde o to, že je to opravdu plně anonymní. Takže když by někdo vytvořil více účtů a snesl těžkou či vulgární kritiku, my to nijak nebudeme moci ovlivnit. 2) Ano, není to takový problém, ale choď po škole po všech třídách a vnucuj jim papírky s údaji... V druhém případě - nemyslím si, že by bylo tolika nadšenců, kteří by si chodili pro své účty... 3) Přesně takto to funguje (vlastně fungovalo...). V databázi jsou hesla samosebou hashována. TomášK: Také děkuji za názor, především za odpověď č. 2! Aktuální plán byl obejít tedy všechny třídy a rozdat papírky. Vůbec nás nenapadlo, že by vlastně bylo možné využít právě bakaláře, kde také lze rozesílat zprávy. V tuto chvíli se mi to jeví jako nejvhodnější řešení. Tak, ještě kuriozitka, screen z webových stránek naší školy: 
|
||
| Keeehi Profil |
#5 · Zasláno: 2. 2. 2017, 21:02:46
RastyAmateur:
„Takže když by někdo vytvořil více účtů a snesl těžkou či vulgární kritiku, my to nijak nebudeme moci ovlivnit.“ To když by je podstatné. Nic takového vůbec nemusí nastat, ale dejme tomu. Jde o to, že systém s účty být anonymní nemusí. Můžeš vědět, kdo k jakému účtu patří, přesto odpovědi zůstanou anonymní. |
||
| RastyAmateur Profil |
#6 · Zasláno: 2. 2. 2017, 21:15:26
Keeehi:
Ovšem to je přesně to, co jsme nechtěli. Samosebou nás to napadlo, na druhou stranu nám to přišlo nemorální a "sprosté". |
||
| Keeehi Profil |
#7 · Zasláno: 2. 2. 2017, 21:45:59
RastyAmateur:
To jsme se si špatně pochopili. Myslel jsem tím, že jde navrhnout systém, kde část anonymní je a část ne. Jde to udělat tak, že víš kdo je majitelem jakého účtu, ale nevíš, jaký účet napíše jaký příspěvek. Nemyslel jsem tím to, že bys věděl, kdo píše jaká hodnocení a jen to na webu nezobrazoval. To by samozřejmě nemorální bylo. |
||
| RastyAmateur Profil |
#8 · Zasláno: 2. 2. 2017, 22:21:23
Keeehi:
Pardon, špatně jsem to pochopil. Samosebou že by to také bylo řešení, ovšem asi bych ho nerad aplikoval. Přijde mi to jako nedostatečná ochrana. Když by někdo měl více účtů a hlasoval z nich, stejně bych nemohl dohledat, jestli dané odpovědi napsal skutečně on. |
||
| Aleš Jahoda Profil * |
#9 · Zasláno: 3. 2. 2017, 11:17:34
Tak hoši, to jste po..... Vy jste si vlastně dovolili známkovat učitele, aniž by to věděli a souhlasili s tím. To je asi opravdový důvod toho humbuku kolem.
A teď vážně. Pokud se na vše podívám jako programátor - výborný nápad, může působit jako phishing, ale pokud se podíváme na definici phishingu, muselo by se jednat o podvodné jednání za účelem vylákání přístupů. To je vyloučeno, protože jste uživatele informovali a on svobodně a dobrovolně vydal svá data. Asi by mělo být poznamenáno, že hesla nikde ve Vašem systému neukládáte. Pokud ano, tak to nedělejte, kdyby se Vám někdo dostal na data, to by pak byl průšvih. Škoda, že Bakaláři nemají API - asi dlouho mít nebudou a pokud budou, tak neveřejné. Myslím, že reset hesel byl naprosto zbytečný, stačilo uživatele informovat o Vašem systému a ti dotčení by si snadno změnili heslo sami - nejsou přece žádní leváci, a pokud by si ho nezměnili, tak jejich bezpečnostní díra. Hlavní chybu vidím ale v tom, že jste to měli probrat s vedením školy, oni by to probrali na poradě a pak by Vám to zatrhli. Já jako bývalý učitel bych se vůbec neobával nějakého hodnocení od žáků, naopak, vždy když jsem se dozvěděl nějakou negativní kritiku tak mě to někam posunulo. Ale správně by bylo aby věděli jaké otázky budou kladeny, jaké odpovědi mají na výběr atd. atd. Ale jak jsem napsal výše - nedovedu si představit, že by u pedagogického sboru na gymplu tohle prošlo. Pouze někteří by souhlasili. A těch by bylo méně než půlka. |
||
| RastyAmateur Profil |
#10 · Zasláno: 3. 2. 2017, 11:41:46
Aleš Jahoda:
„Vy jste si vlastně dovolili známkovat učitele, aniž by to věděli a souhlasili s tím. To je asi opravdový důvod toho humbuku kolem.“ No, jak se to vezme. Můj kolega 31. 8. 2016 rozeslal všem profesorům email v následujícím znění: Vážené paní profesorky, vážení páni profesoři, je to už více než rok, co jsem se s Vámi rozloučil. Za tu dobu na ČVUT jsem poznal mnoho nového, mimo jiné i Studentskou anketu. Anketu, která probíhá každý semestr a studenti se v ní mohou (a na některých školách dokonce musí) vyjádřit k různým oblastem výuky. Studenti jsou k vyplnění motivování různými způsoby (od slosování anketních lístků až po neumožnění zápisu do dalšího semestru v případě nevyplnění). Uvědomil jsem si, že je to velmi dobrý zůsob, jak umožnit studentům se vyjádřit k výuce, aniž by měli obavy, že si na ně někdo "zasedne". Slovo dalo slovo a spolu s kamarádem, který je stále studentem našeho/vašeho gymnázia, jsme vytvořili anketu v podobném duchu. Cílem není vytvořit fórum, kde studenti budou moci pod rouškou anonymity hanit učitele. Cílem je poskytnout Vám, učitelům, cennou zpětnou vazbu o tom, co na Vás studenti oceňují a v čem byste se měli zlepšit. Dovolte mi tedy Vás informovat, že během chýlícího se konce 1. pololetí školního roku 2016/17 chci studentům poskytnout přístup k hodnocení v anketě. V současnosti si sami můžete vyzkoušet, jak hodnocení bude probíhat, a to na webové adrese ***. Přihlásit se můžete pod jménem student a týmž heslem. Budu rád za Vaše připomínky a návrhy na zlepšení, především za otázky, na které budou moci studenti odpovídat - ostatně otázky a odpovědi na ně jsou tím, co by Vás mělo zajímat. Pokud by Vás zajímaly další informace, dozvíte se je na stránce O anketě. Příjemný začátek nového školního roku, sbírejte kladné bodíky u studentů a možná, že v pololetí také dostanete vysvědčení. S pozdravem, **** Někteří učitelé (ti, kteří mají (dle mého názoru) větší šanci na relativně kladné hodnocení) se k tomu dokonce i pozitivně vyjádřili. |
||
| Aleš Jahoda Profil * |
#11 · Zasláno: 3. 2. 2017, 13:16:29
HM, tak to jste dobře udělali. Tak proč potom ale takový humbuk kolem? Nechápu!
|
||
|
Časová prodleva: 7 let
|
|||
0