X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/c7407d15cbda036fdd42e84110442130cac59817..2411615a604bb7b4eadd225750279529539baf08:/blog/index.rss diff --git a/blog/index.rss b/blog/index.rss index 17bdd1966e..ae743ba3b1 100644 --- a/blog/index.rss +++ b/blog/index.rss @@ -6,6 +6,35 @@ http://people.skolelinux.org/pere/blog/ + + Detect OOXML files with undefined behaviour? + http://people.skolelinux.org/pere/blog/Detect_OOXML_files_with_undefined_behaviour_.html + http://people.skolelinux.org/pere/blog/Detect_OOXML_files_with_undefined_behaviour_.html + Tue, 21 Feb 2017 00:20:00 +0100 + <p>I just noticed +<a href="http://www.arkivrad.no/aktuelt/riksarkivarens-forskrift-pa-horing">the +new Norwegian proposal for archiving rules in the goverment</a> list +<a href="http://www.ecma-international.org/publications/standards/Ecma-376.htm">ECMA-376</a> +/ ISO/IEC 29500 (aka OOXML) as valid formats to put in long term +storage. Luckily such files will only be accepted based on +pre-approval from the National Archive. Allowing OOXML files to be +used for long term storage might seem like a good idea as long as we +forget that there are plenty of ways for a "valid" OOXML document to +have content with no defined interpretation in the standard, which +lead to a question and an idea.</p> + +<p>Is there any tool to detect if a OOXML document depend on such +undefined behaviour? It would be useful for the National Archive (and +anyone else interested in verifying that a document is well defined) +to have such tool available when considering to approve the use of +OOXML. I'm aware of the +<a href="https://github.com/arlm/officeotron/">officeotron OOXML +validator</a>, but do not know how complete it is nor if it will +report use of undefined behaviour. Are there other similar tools +available? Please send me an email if you know of any such tool.</p> + + + Ruling ignored our objections to the seizure of popcorn-time.no (#domstolkontroll) http://people.skolelinux.org/pere/blog/Ruling_ignored_our_objections_to_the_seizure_of_popcorn_time_no___domstolkontroll_.html @@ -704,381 +733,5 @@ activities, please send Bitcoin donations to my address - - Er lover brutt når personvernpolicy ikke stemmer med praksis? - http://people.skolelinux.org/pere/blog/Er_lover_brutt_n_r_personvernpolicy_ikke_stemmer_med_praksis_.html - http://people.skolelinux.org/pere/blog/Er_lover_brutt_n_r_personvernpolicy_ikke_stemmer_med_praksis_.html - Fri, 9 Dec 2016 14:20:00 +0100 - <p>Når jeg bruker <a href="https://www.ghostery.com/">Ghostery</a>, -<a href="https://www.ublock.org/">uBlock</a>, -<a href="https://github.com/gorhill/uMatrix">uMatrix</a>, -<a href="https://github.com/andryou/scriptsafe">ScriptSafe</a> og andre -nettleserverktøy (de passer på hverandre) for å holde styr på hvordan -nettsteder sprer informasjon om hvilke nettsider jeg leser blir det -veldig synlig hvilke nettsteder som er satt opp til å utveksle -informasjon med utlandet og tredjeparter. For en stund siden la jeg -merke til at det virker å være avvik mellom personvernpolicy og -praksis endel steder, og tok tak i et par konkrete eksempler og sendte -spørsmål til Datatilsynets kontaktpunkt for veiledning:</p> - -<blockquote> - -<p>«Jeg har et spørsmål når det gjelder bruken av Google Analytics og -personvernpolicy. Er det lovlig for et nettsted å si en ting i -personvernpolicy og gjøre noe annet i virkeligheten? Spesifikt lurer -jeg på hvilket lov som er brutt hvis nettstedet i HTML-koden til -nettsidene ber lesernes nettleser om å kontakte Google Analytics og -slik overleverer sitt IP-nummer til Google, samtidig som -personvernpolicien hevder at Google Analytics kun får anonymiserte -data. Google får jo i slike tilfeller alltid overført fullt -IP-nummer, og nettstedet kan i URL-en som brukes be Google om å ikke -lagre deler av IP-adressen (omtalt som anonymisering av Google -Analytics)</p> - -<p>Et eksempel er Nettavisen digi.no. -<a href="http://www.digi.no/artikler/personvernpolicy/208772">Deres -personvernpolicy</a> sier følgende:</p> - -<blockquote> - «Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun - anonymiserte data.» -</blockquote> - -<p>Men når en leser artikler der så blir maskiner i Norge, USA, -Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om -besøket og får dermed overlevert full IP-adresse, som datatilsynet har -uttalt er en personopplysning. Nettsidene er satt opp til be -nettleseren å kontakte 29 ulike maskiner rundt om i verden. Fire av -dem er er under DNS-domenene digi.no og tek.no som tilhører samme -eier. I tillegg ber nettsidene ikke -<a href="https://support.google.com/analytics/answer/2763052?hl=no">Google -Analytics om å fjerne siste oktett i IP-adressen ved lagring</a>, -dvs. flagget «aip=1» er ikke satt i URL-en som brukes for å kontakte -Google Analytics.</p> - -<p>Tilsvarende er også tilfelle for andre nettsteder, så digi.no er -ikke spesiell i så måte (dagbladet.no er et annet eksempel, det -gjelder flere).»</p> - -</blockquote> - -<p>Etter noen dager kunne juridisk rådgiver Elisabeth Krauss Amundsen -hos Datatilsynet fortelle det følgende:</p> - -<blockquote> -«Hei, og takk for din e-post.</p> - -<p>Vår svartjeneste gir deg kortfattet rådgivning. Vi vil derfor ikke konkludere -i saken din, men gi deg råd og veiledning.</p> - -<p>Ut ifra det du skriver er det antakelig flere bestemmelser i -personopplysingsloven som brytes dersom virksomhetens personvernpolicy -sier noe annet om behandlingen av personopplysninger enn det som -faktisk skjer. Antakelig vil det være et brudd på informasjonsplikten -i personopplysingsloven §§ 18 og -19&lt;<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18</a>&gt; -dersom det gis feilinformasjon om at opplysningene utleveres. Det kan -også stilles spørsmål om grunnkravene for behandling av -personopplysninger vil være oppfylt ved en utlevering av -personopplysninger til en tredjepart, dersom dette ikke er inkludert -behandlingsgrunnlaget og formålet med behandlingen, se -personopplysingsloven § 11, jf. -8.&lt;<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11</a>&gt;» -</blockquote> - -<!-- Her er full URL som digi ba nettleserne bruke for å melde fra til -Google Analytics: -https://www.google-analytics.com/r/collect?v=1&_v=j47&a=666919305&t=pageview&_s=1&dl=http%3A%2F%2Fwww.digi.no%2F&ul=nb-no&de=UTF-8&dt=Digi.no%20-%20IT-bransjens%20nettavis&sd=32-bit&sr=1024x768&vp=400x300&je=0&_u=AEAAAMQAK~&jid=592247632&cid=1641512195.1480086725&tid=UA-54426-28&_r=1&z=328520576 ---> - -<p>Oppdatert med kunnskap om lover og regler tok jeg så kontakt med -Dagbladet på epostadressen de annonserer på sine -personvernpolicysider:<p> - -<blockquote> - -<p>«Jeg lurte litt i forbindelse med en bloggpost jeg skriver på, og lurer -på om dere hjelpe meg med å finne ut av følgende. Først litt -bakgrunnsinformasjon. -<a href="http://www.dagbladet.no/2009/08/18/nyheter/avtale/brukeravtale/plikter/7706966/">Dagbladets -personvernpolicy</a> forteller følgende:</p> - -<blockquote> - <p>«3. Automatisk innhentet informasjon</p> - - <p>For eksempel IP-adressen din (ikke synlig for andre) samt - statistisk, automatisk produsert informasjon, som når du sist var - innlogget på tjenesten. Dette er informasjon vi samler for å gjøre - tjenesten best mulig.»</p> - -</blockquote> - - -<p>Men når en besøker nettsidene til Dagbladet, -f.eks. <a href="http://dagbladet.no/">forsiden</a>, så er nettsidene -satt opp til å kontakte mange tredjeparter som slik får tilgang til -både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken -artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges -ved. Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick -med flere. Totalt ber forsiden nettleseren om å koble seg opp til 60 -nettsteder med 149 separate oppkoblinger. I hver av disse -oppkoblingene oversendes IP-adressen til leseren, og i følge -Datatilsynet er -«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en -IP-adresse definert som en personopplysning fordi den kan spores -tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>».</p> - -<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 -og 19 skal informasjonen som gis om bruk og utlevering av -personopplysninger være korrekt. De forteller videre at det er endel -grunnkrav som må være oppfylt ved utlevering av personopplysninger til -tredjeparter, nærmere forklart i personopplysingsloven § 11 som -henviser til § 8.</p> - -<p>Mitt spørsmål er dermed som følger:</p> - - <blockquote> - - <p>Hva mener dere i personpolicyen når dere skriver at IP-adressen ikke - er synlig for andre?»</p> - - </blockquote> - -</blockquote> - -<p>Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt -spørsmål, så neste steg er antagelig å høre om Datatilsynet er -interessert i å se på saken.</p> - -<p>Men Dagbladet er ikke det eneste nettstedet som forteller at de -ikke deler personopplysninger med andre mens observerbar praksis -dokumenterer noe annet. Jeg sendte derfor også et spørsmål til -kontaktadressen til nettavisen Digi.no, og der var responsen mye -bedre:</p> - -<blockquote> - -<p>«Jeg lurte på en ting i forbindelse med en bloggpost jeg skriver på, -og lurer på om dere hjelpe meg. Først litt bakgrunnsinformasjon. -<a href="http://www.digi.no/artikler/personvernpolicy/208772">Digi.nos -personvernpolicy</a> forteller følgende:</p> - -<blockquote> - «All personlig informasjon blir lagret i våre systemer, disse er ikke - tilgjengelig for tredjeparter, og blir ikke lagret i - informasjonskapsler. Tredjeparter (som Google Analytics, Cxense, - TNS Gallup) får kun anonymiserte data.» -</blockquote> - -<p>Men når en besøker nettsidene til nettavisen, f.eks. -<a href="http://www.digi.no/">forsiden</a>, så er nettsidene satt opp -til å kontakte mange tredjeparter som slik får tilgang til både fullt -IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser -hos Digi.no ved at Referer-feltet fylles og legges ved. Dette gjelder -både Google Analytics, Cxense blant og INS Gallum. Totalt ber -forsiden nettleseren om å koble seg opp til 29 nettsteder med 44 -separate oppkoblinger. I hver av disse oppkoblingene sendes -IP-adressen til leseren over, og i følge Datatilsynet er -«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en -IP-adresse definert som en personopplysning fordi den kan spores -tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>». -Det jeg ser virker ikke å være i tråd med personvernpolicyen.</p> - -<p>Når en besøker Digi.nos nettsider gjøres det to oppkoblinger til -Google Analytics, en for å hente ned programkoden som samler -informasjon fra nettleseren og sender over til Google (analytics.js), -og en for å overføre det som ble samlet inn. I den siste oppkoblingen -er det mulig å be Google om å ikke ta vare på hele IP-adressen, men i -stedet fjerne siste oktett i IP-adressen. Dette omtales ofte litt -misvisende for «anonymisert» bruk av Google Analytics, i og med at -fullt IP-nummer blir sendt til Google og det er opp til Google om de -vil bry seg om ønsket fra de som har laget nettsiden. Ut fra det som -står i personvernpolicyen ville jeg tro at Digi.no ba google om å ikke -ta vare på hele IP-nummeret, men når en ser på den andre oppkoblingen -kan en se at flagget «aio=1» ikke er satt, og at Digi.no ikke ber -Google om å la være å lagre hele IP-adressen. Dette virker heller -ikke å være i tråd med personvernpolicyen.</p> - -<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18 -og 19 skal informasjonen som gis om bruk og utlevering av -personopplysninger være korrekt. De forteller videre at det er endel -grunnkrav som må være oppfylt ved utlevering av personopplysninger til -tredjeparter, nærmere forklart i personopplysingsloven § 11 som -henviser til § 8. Det er uklart for meg om disse kravene er oppfylt -når IP-adresse og informasjon om hvilke websider som besøkes til -tredjeparter.</p> - -<p>Mitt spørsmål er dermed som følger:</p> - -<blockquote> - - <p>Hva mener dere i personpolicyen når dere skriver at «Tredjeparter - får kun anonymiserte data»?»</p> - -</blockquote> - -</blockquote> - -<p>Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han -måtte komme tilbake til meg når han hadde med utviklingsavdelingen. -Seks dager senere lurte jeg på hva han fant ut, og etter noen timer -fikk jeg så følgende svar fra direktøren for teknologi og -forretningsutvikling Øystein W. Høie i Teknisk Ukeblad Media:</p> - -<blockquote> - -<p>«Takk for godt tips! Det er helt riktig at IP og referrer-adresse -potensielt kan leses ut av tredjepart.</p> - -<p>Retningslinjene våre har vært uklare på dette tidspunktet, og vi -oppdaterer nå disse så dette kommer tydeligere frem. Ny tekst blir som -følger:</p> - -<hr> -<p>3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til -oss blir lagret i våre systemer, er ikke tilgjengelig for -tredjeparter, og blir ikke lagret i informasjonskapsler. -Informasjonen vil kun benyttes til å gi deg som bruker mer relevant -informasjon og bedre tjenester.</p> - -<p>Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne -hente ut IP-adresse og data basert på dine surfemønstre. TU Media AS -er pliktig å påse at disse tredjepartene behandler data i tråd med -norsk regelverk.</p> -<hr> - -<p>Ellers har vi nå aktivert anonymisering i Google Analytics -(aip=1). Kan også nevne at Tek.no-brukere som har kjøpt Tek Ekstra har -mulighet til å skru av all tracking i kontrollpanelet sitt. Dette er -noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»</p> - -</blockquote> - -<p>Det var nyttig å vite at vi er enige om at formuleringen i -personvernpolicyen er misvisende. Derimot var det nedslående at i -stedet for å endre praksis for å følge det personvernpolicyen sier om -å ikke dele personinformasjon med tredjeparter, så velger Digi.no å -fortsette praksis og i stedet endre personvernpolicyen slik at den å -dokumentere dagens praksis med spredning av personopplysninger.</p> - -<p>Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy -spurte jeg hvordan Digi.no kom til å håndtere endringen:</p> - -<blockquote> - -<p>«Tusen takk for beskjed om endring av personvernpolicy for digi.no. -Gjelder endringen også andre nettsteder?</p> - -<p>Vil tidligere håndteringen av IP-adresser og lesemønster i strid -med dokumentert personvernpolicy bli varslet til Datatilsynet i tråd -med -<a href="https://lovdata.no/forskrift/2000-12-15-1265/§2-6">personopplysningsforskriften -§ 2-6</a>? Vil leserne bli varslet på en prominent og synlig måte om -at lesernes IP-adresser og lesemønster har vært utlevert til -tredjeparter i stid med tidligere formulering om at tredjeparter kun -får anonymiserte data, og at utleveringen fortsetter etter at -personvernpolicy er endret for å dokumentere praksis?</p> - -<p>Appropos ekstra tilbud til betalende lesere, tilbyr dere en -mulighet for å betale for å lese som ikke innebærer at en må gjøre det -mulig å la sine lesevaner blir registeret av tek.no? Betaler gjerne -for å lese nyheter, men ikke med en bit av privatlivet mitt. :)»</p> -</blockquote> - -<p>Jeg fikk raskt svar tilbake fra direktøren Høie:</p> - -<blockquote> -<p>«Tydeliggjøringen i personvernpolicy gjelder alle våre nettsteder.</p> - -<p>Vi kommer til å ta en runde og gå over vår policy i forbindelse med -dette, og vil i de tilfeller det er påkrevd selvsagt være tydelig -overfor brukere og tilsyn. Vil samtidig understreke at vår bruk av -tredjeparts analyseverktøy og annonsetracking er helt på linje med det -som er normalt for norske kommersielle nettsteder.</p> - -<p>Angående spørsmålet ditt: -<br>Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker, -vi skrur bare av tredjeparts tracking.»</p> -</blockquote> - -<p>Det høres jo ikke bra ut at det er normalt for norske kommersielle -nettsteder å utlevere lesernes personopplysninger til utlandet. Men -som en kan lese fra <a href="https://www.nrk.no/norge/kommunen-deler-informasjon-om-deg-med-facebook-og-google-1.13248945">gårdagens oppslag fra NRK</a> gjelder -det også norske kommuner og andre offentlige aktører, og -<a href="http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html">jeg -skrev om omfanget av problemet i fjor</a>. Det er uansett ikke en -praksis jeg tror er i tråd med kravene i personopplysningsloven, og -heller ikke en praksis jeg som leser synes er greit. Jeg manglet dog -fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om -avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost -i går kveld:</p> - -<blockquote> - -<p>«Kan du fortelle meg om dere anser det å være påkrevd å varsle -tilsyn og brukere nå, når dere har oppdaget at praksis ikke har vært i -tråd med personvernpolicy?»</p> - -</blockquote> - -<p>Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan -Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om -dette. Jeg planlegger å oppdatere denne bloggposten med svaret når -det kommer.</p> - -<p>Jeg synes jo det er spesielt ille når barn får sine -personopplysninger spredt til utlandet, noe jeg -<a href="https://www.mimesbronn.no/request/opplysninger_samlet_inn_av_mobil">tok -opp med NRK i fjor</a>. De to eksemplene jeg nevner er som dere -forstår ikke unike, men jeg har ikke full oversikt over hvor mange -nettsteder dette gjelder. Jeg har ikke kapasitet til eller glede av å -lese alle personvernpolicyer i landet. Kanskje mine lesere kan sende -meg tips på epost om andre nettsteder med avvik mellom policy og -praksis? Hvis vi alle går sammen og kontakter de ansvarlige, kanskje -noen til slutt endrer praksis og slutter å dele lesernes -personopplysninger med tredjeparter?</p> - -<p>Apropos bruken av Google Analytics kan jeg forresten nevne at -Universitetet i Oslo også har tatt i bruk Google Analytics, men der -lagres programkoden som overføres til nettleserne lokalt og deler av -IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy -(<a href="https://github.com/unioslo/ipproxy">tilgjengelig via -github</a>) før informasjon sendes over til Google Analytics. Dermed -er det mulig for ansvarlige for nettstedet å <em>vite</em> at Google -ikke har tilgang til komplett IP-adresse. Årsaken til at denne -metoden brukes er at juristene ved universitetet har konkludert med at -det er eneste måten en kunne vurdere å bruke Google Analytics uten å -bryte loven. Risikoen for gjenidentifisering og -<a href="https://panopticlick.eff.org/">identifisering ved hjelp av -nettleserinformasjon</a> er fortsatt tilstede, så det er ingen optimal -løsning, men det er bedre enn å håpe at f.eks. Google og alle som -lytter på veien skal prioritere norsk lov over sin lokale -lovgivning.</p> - -<p>Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt -spørsmål litt etter at jeg hadde publisert denne artikkelen:</p> - -<blockquote> - -<p>Vi kommer til å annonsere en oppdatert policy, og skal undersøke om -vi er pliktig å varsle Datatilsynet.</p> - -<p>Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy -sammen med utviklerne og advokat, så vi er sikre på at vi går frem -riktig og at det ikke er flere tvetydigheter som skjuler seg i -teksten.</p> - -<p>Har du andre idéer eller konkrete innspill til hva som kan gjøre -policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker -å være ryddige på.</p> - -</blockquote> - -<p>Vi får se om de liker mine innspill, som i grunnen er å ikke pusse -på personvernpolicyen men i stedet slutte å spre lesernes -personopplysninger til eksterne aktører.</p> - - -