Интернет информации о регистрации в Дюссельдорфе делает плохое впечатление

Это не было ясно, что персональные данные могут пройти на регистрацию офиса для кого. Я после некоторых исследований по этой акции подтолкнул пиратов, которая призывает к вам возражать против разглашения своих данных в бюро регистрации. Многие офисы регистрации предоставить данные, что теперь все! Платит. Это может быть избежать противоречий.

Данные из бюро регистрации будут направлены на:

 Государственные органы, в случае законный интерес в контексте помощи

Так, например, полиции, прокуратуры, статистические управления и т.д.

 GEZ

Братья, мы уже знаем, все слишком хорошо.

 Стороны, групп избирателей и других источников в номинациях
 Касающихся парламентских и местных выборах, § 35 пункт 1 MG NRW

Чтобы получить довольно глянцевой рекламной кампании.

 для заявителей и сторон в связи с ходатайствами и
 В референдуме граждан и решить, § 35 п. 2 MG NRW

Для того чтобы получить глянцевый поможет Вам сделать частые референдумов.

 на пути автоматизированного поиска в Интернете, § 34 Abs.1b MG NRW

В том-то и дело, что я еще не был известен. Может иметь интернет-портал
любой, кто знает некоторые характеристики человека автоматически через Интернет
Соберите разведки отчетности. Запрос в настоящее время стоит € 4 на каждую запись в Дюссельдорфе.

Закон о регистрации NRW говорит по этому поводу:

 34 мг Abs.1b NRW (1б), должно быть разрешено использование в Интернете, чтобы убедиться, что применение процедур и предоставление информации осуществляется в зашифрованном виде.  Открытие доступа должны быть достоянием гласности.  Вызов не допускается, если лицо возражало против такой формы обмена информацией.  Регистрирующий орган отметить позднее чем за месяц до открытия доступа к сети Интернет путем публичного уведомления о праве на объект.  Кроме того, § 35 пункт 6, предложение 2 применяется. 

Протест против передачи данных можно, заполнив форму. В Дюссельдорфе, это здесь: https://formulare.duesseldorf.de/forms/frm/7PRPfAZH5gQA8Ja8AkNGaH1rNpDcHR3 Это может быть доставлен бесплатно в государственных учреждениях. После этого, не онлайн-доступ можно иметь больше данных. Очевидно, что данные запросы соответствующих региональных городах и уездах организована.

Когда я спросил (очень дружелюбный) назад клерку в гражданском, может
Мне было не жалко сказать адрес портала запросов. Быстрый поиск затем быстро привели меня на сайт, но в городе Дюссельдорф:

https://www.duesseldorf.de/emra/emra.jsp?stadt=D% FCsseldorf и тип = город

Портал был технически весьма сомнительной, мягко говоря впечатление.
Прежде всего, как представляется, не искаженным или аналогичных дать. Земли запрос представляется возможным с соответствующими скриптами.

Кроме того, веб-приложений, утвержденной мои тестовые запросы с сообщением об ошибке Tomcat, потому что я не включены куки:

Я читал это, но затем все более сомневаться в профессионализме приложение, которое предоставляет доступ к данным всех жителей города предложения. Сценарий не должен потерпеть крах, если условия не существуют на компьютере пользователя (в данном случае, мое отсутствие печенье). Сценарий сообщений об ошибках веб-сервера, которые находятся в промышленной эксплуатации, чтобы не отключать небрежно , потому что он может выявить много о системе среда используется. Особенно когда JSP (как на скриншоте выше), в зависимости от конфигурации сервера и комментарии программиста и Quelltextschnippsel получить. Здесь была небрежная работа. В интерфейс к персональным данным, не должно произойти.

Позвольте мне сидеть и использовать версию Tomcat, который также появляется в сообщении об ошибке ниже. (Apache Tomcat/6.0.24) Это старая версия веб-сервера на 21.01.2010. Текущая версия 6.0.33. Сервер имеет четыре регистра долго версий не обновляются. Если вы посмотрите на уязвимости, которые были зафиксированы в последней версии, она становится неудобной. Сервер, очевидно, не в лучшем состоянии:

 http://tomcat.apache.org/security-6.html исправлена ​​в Apache Tomcat 6.0.33 выпущен 18 августа 2011 Умеренное: несколько слабых мест в HTTP Digest аутентификации CVE-2011-1184 Реализация аутентификации HTTP Digest было обнаружено несколько Слабые стороны: атак было разрешено nonces сервер не проверялись рассчитывает клиент Nonce не были проверены QOP значения не были проверены область значения не проверяются на сервере секрет жестко к известной строке результате этих недостатков является то, что только то, что DIGEST аутентификации обеспечения, как обычная проверка подлинности.  Это было исправлено в ревизии 1158180th  Это было, выявленных группой безопасности Tomcat от 16 марта 2011 года и обнародовано 26 сентября 2011 года.  Влияет на: 6.0.0-6.0.32 низкая: раскрытие информации CVE-2011-2204 при использовании базы данных памяти пользователя (на основе кот-users.xml) и создания пользователей с помощью JMX, исключение в процессе создания пользователь может вызвать сообщение об ошибке Клиент JMX, который включает пароль пользователя.  Это сообщение об ошибке записывается в логи Tomcat.  Пароли пользователей являются видимыми для администраторов JMX доступа и / или администраторам доступ на чтение к кот-users.xml файл.  Не то, чтобы эти пользователи не имеют разрешения, но умеет читать файлы журнала могут узнать пароль пользователя.  Это было исправлено в ревизии 1140071-й  Это было определено Полина Genova 14 июня 2011 года и обнародовано 27 июня 2011th  Влияет на: 6.0.0-6.0.32 низкая: раскрытие информации CVE-2011-2526 Tomcat поддерживает SendFile с HTTP и HTTP NIO разъемы в апреле.  SendFile используется для содержания автоматически подается через DefaultServlet и развернутые приложения могут использовать его непосредственно через веб-атрибуты настройки запроса.  Эти атрибуты не были подтверждены запросу.  При работе под менеджер по безопасности, отсутствие проверки позволили вредоносных веб-приложения для выполнения одной или более из следующих, которые обычно препятствуют менеджер безопасности: возвращение файлов пользователей, что безопасность менеджер должен сделать недоступными прекратить (по аварии ) JVM Кроме того, эти уязвимости только в том случае, когда все следующие условия: ненадежные веб-приложений, которые используются Security Manager используется для ограничения ненадежного веб-приложений HTTP NIO или HTTP апреля разъем используется SendFile включен в разъем (это по умолчанию) Это было исправлено в ревизии 1146703-й  Это было, выявленных группой Tomcat безопасности от 7 июля 2011 года и обнародовано 13 июля 2011th  Влияет на: 6.0.0-6.0.32 Важно: раскрытие информации CVE-2011-2729 в ​​связи с ошибкой в ​​коде возможности, jsvc (услуга оболочка для Linux, которая является частью проекта фонда Daemon) не опускается возможности позволяя приложению доступ к файлам и каталогам принадлежащих суперпользователя.  Эта уязвимость только тогда, когда все ПРОИСХОДИТ следующих условий: Tomcat работает на Linux операционная система была скомпилирована с libcap jsvc пользователем параметр используется эта проблема Tomcat версии поставляется с исходными файлами для jsvc, которая включала эту уязвимость.  Это было исправлено в ревизии 1153824th  Это было определено Вильфрид Вейсман 20 июля 2011 года и обнародованы 12 августа 2011 года.  Влияет на: 6.0.30-6.0.32 исправлена ​​в Apache Tomcat 6.0.32 выпущен 3 февраля 2011 Примечание: вопрос ниже был зафиксирован в Apache Tomcat 6.0.31 релиз, но голосовать за 6.0.31 релиз-кандидат не прошел.  Таким образом, пользователи должны загрузить 6.0.32 Несмотря на то, чтобы получить версию, которая включает в себя исправление для этой проблемы, версия 6.0.31 не включен в список уязвимых версий.  Важно: удаленный отказ в обслуживании CVE-2011-0534 NIO разъем расширяет бесконечно буфер строку запроса в процессе обработки.  Такое поведение может быть использована для отказа в обслуживании нападения с использованием тщательно запросу.  Это было исправлено в ревизии 1066313th  Это было, выявленных группой безопасности Tomcat 27 января 2011 года и обнародован 5 февраля 2011.  Влияет на: 6.0.0-6.0.30 исправлена ​​в Apache Tomcat 6.0.30 выпущен 13 января 2011 Температура межсайтовый скриптинг CVE-2011-0013 HTML менеджер веб-приложение, интерфейс, предоставляемый данным отображается, анализируется как отображаемые имена, без фильтрации.  Вредоносный веб-приложений может вызвать выполнение скрипта на администратора при просмотре менеджера страниц.  Это было исправлено в ревизии 1057270th  Это было, выявленных группой Tomcat безопасности 12 ноября 2010 года и обнародован 5 февраля 2011.  Влияет на: 6.0.0-6.0.29 умеренные: Cross-Site Scripting CVE-2010-4172 Менеджер приложения, используемого пользователем предоставленных параметров и сортировки OrderBy непосредственно без фильтрации, тем самым разрешая межсайтовый скриптинг.  Это было исправлено в ревизии 1037779th  Это было впервые сообщено команде Tomcat безопасности 15 ноября 2010 года и обнародовано 22 ноября 2010.  Влияет на: 6.0.12-6.0.29 Температура Security Manager файл разрешения обойти CVE 2010-3718 При работе под менеджер безопасности, доступ к файловой системе ограничен, но веб-приложений предоставляется на чтение / запись в рабочий каталог.  Этот каталог используется для различных временных файлов исследованы как промежуточные файлы, созданные при компиляции страниц JSP в сервлеты.  Место работы каталога задается ServletContect атрибут, который предназначается, чтобы быть доступной только для чтения в веб-приложениях.  Однако, из-за ошибки в коде, только для чтения, настройка не была применена.  Таким образом, вредоносный веб-приложение может изменять атрибуты перед Tomcat применяется права доступа к файлам.  Это может использоваться для предоставления чтение / запись к любой части файловой системы Какие вредоносные веб-приложения могут затем воспользоваться.  Эта уязвимость распространяется только при размещении веб-приложений из ненадежных источников рассматривается как виртуальный хостинг среды.  Это было исправлено в ревизии 1022560th  Это было обнаружено группой Tomcat безопасности от 12 мая 2010 года и обнародован 5 февраля 2011.  Влияет на: 6.0.0-6.0.29 исправлена ​​в Apache Tomcat 6.0.28 выпущен 9 июля 2010 Важно: Удаленный отказ в обслуживании и уязвимость раскрытия информации CVE-2010-2227 Некоторые недостатки в работе с заголовком "Transfer-Encoding были найдены Предотвращена, что переработка буфера.  Удаленный злоумышленник может вызвать этот недостаток, который может вызвать последующие запросы на провал, и / или утечки информации между запросами.  Этот недостаток сводится к минимуму, если Tomcat находится за обратный прокси-сервер (Apache HTTPD 2.2, проверено) в качестве прокси должны отказаться от неверный заголовок кодировки передачи.  Это было исправлено в ревизии 958 977-й  Это было впервые сообщено команда безопасности Tomcat 14 июня 2010 года и обнародован 9 июля 2010.  Влияет на: 6.0.0-6.0.27 Примечание: вопрос ниже был зафиксирован в Apache Tomcat 6.0.27 релиз, но голосовать за 6.0.27 релиз-кандидат не прошел.  Таким образом, пользователи должны загрузить 6.0.28 Несмотря на то, чтобы получить версию, которая включает в себя исправление для этой проблемы, версия 6.0.27 не включен в список уязвимых версий.  Температура раскрытия информации в заголовки аутентификации CVE-2010-1157 WWW-Authenticate HTTP заголовка для основной и дайджест-проверки подлинности включает в себя имя области.  Если   элемент, указанный в web.xml для приложения оно будет использоваться.  Тем не менее,   не указан, то Tomcat будет генерировать имя сферы использования фрагмента кода request.getServerName () + "" + request.getServerPort ().  В некоторых случаях это может открыть локальное имя хоста или IP-адрес компьютера под управлением Tomcat.  Это было исправлено в ревизии 936 540-й  Это было впервые сообщено команда безопасности Tomcat 31 мая 2009 года и обнародованы 21 апреля 2010.  Влияет на: 6.0.0-6.0.26 

Все это очень неопределенны, и для меня примером жили конфиденциальности воли государства. Данные продаются и вряд ли кто-нибудь известно. Техническая реализация оставляет желать лучшего, и работает на очень технические системы, которые, как известно, быть ошибочными и нуждаются в обновлении в срочном порядке. Кроме того, кажется, окончательная проверка и принятие квалификации в ИТ-проектах (известный государства, как правило, довольно дорогие) не всегда имеет место.

Как только плюсом я могу отметить, что, кажется, нет центрального общенациональный портал с онлайн-чтение для всех данных отчетности. Тогда мы, конечно, не далек от того, что израильтяне произошло недавно .

Я рад, что я держал меня, но если кто-то не то, что с уголовным энергии и технических знаний все еще может произойти (бесплатно) для меня (и всех остальных), я думаю, по крайней мере, сомнительна. На первый взгляд, система Дюссельдорфе не ожесточился против нападения.