On-line registračné údaje v Düsseldorfe robí zlý dojem

Nebolo jasné, aké osobné údaje môžu prejsť na registračný úrad pre koho. Ja som po nejakej výskum tejto akcie tlačil pirátov, čo vyžaduje, aby ste námietky proti zverejnenie svojich osobných údajov na registračnom úrade. Veľa registračných miest poskytujú dáta, ktoré je teraz všetko! Pays. To možno dosiahnuť len zabrániť v rozpore.

Údaje z registračného úradu budú odovzdané:

 Štátne orgány, v prípade oprávneného záujmu v súvislosti s pomocou

Tak napríklad, polícia, prokurátori, štatistické úrady, atď

 GEZ

Bratia, už vieme všetci veľmi dobre.

 Strany, skupiny voličov a iných zdrojov nominácií v
 Týkajúce sa parlamentných a komunálnych volieb, § 35 ods.1 MG NRW

Ak chcete získať dosť lesklý kampane reklamu.

 žiadateľom a osobám v súvislosti s petíciou a
 S referenda a občania rozhodnú, § 35 bod 2 MG NRW

Za účelom získania vysoko lesklý vám pomôžu časté referenda.

 v spôsobe vykonávania automatizovaných vyhľadávaní na Internete, § 34 Abs.1b MG NRW

To je bod, ktorý som zatiaľ nie je známy. Môže mať internetový portál
každý, kto pozná niektoré charakteristiky osoby automaticky cez internet
Špionáž správ. Otázka v súčasnej dobe stojí 4 eurá na rekord v Düsseldorfe.

Registrácia zákon NRW hovorí v tomto bode:

 § 34 Abs.1b MG NRW
 (1b) Ak je hovor by malo byť možné prostredníctvom internetu, uistite sa, že postup podávania žiadostí a poskytovania informácií vykonáva v zašifrovanej forme.  Otvorenie prístupu by malo byť verejne známe.  Výzva nie je povolená, ak jednotlivec námietky proti tejto forme výmeny informácií.  Registračný úrad konštatuje, najneskôr jeden mesiac pred začatím prístupu k internetu prostredníctvom verejných oznamov o práve vzniesť námietky.  Navyše, § 35 odsek 6 veta 2 sa použije.

Odvolanie proti prenosu dát je možné vyplnením formulára. Pre Düsseldorfe, je to tu: https://formulare.duesseldorf.de/forms/frm/7PRPfAZH5gQA8Ja8AkNGaH1rNpDcHR3 To môže byť dodaný zadarmo vo verejných funkciách. Potom, nie on-line prístup je možné vlastniť viac dát. Zdá sa, že dátové požiadavky sú v jednotlivých krajských miest a krajov organizuje.

Keď som sa spýtal (veľmi priateľský) back office úradník v občianskom, by
Nebol som s ľútosťou povedať URL portálu dotazu. Rýchle vyhľadávanie a potom ma viedol rýchlo na miesto, ale mesto v Düsseldorfe:

https://www.duesseldorf.de/emra/emra.jsp?stadt=D% FCsseldorf & type = mesto

Portál bol technicky veľmi pochybné, prinajmenšom dojem.
Po prvé, zdá sa, že žiadna captcha alebo podobné dať. Otázka krajiny sa zdá byť možné s príslušnými skripty.

Okrem toho, webová aplikácia schválená mojich testovacích otázok sa chybového hlásenia Tomcat, pretože som nemal povolené cookies:

Čítal som to, ale potom stále viac pochybovať o profesionalitu aplikáciu, ktorá umožňuje prístup k údajom zo všetkých občanov mesta ponúka. Skript by nemalo dôjsť k zlyhaniu, ak podmienky neexistujú na počítači užívateľa, v tomto prípade, má nedostatok cookie). Správy chybe v skripte z webových serverov, ktoré sú vo výrobnom použitie nie je deaktivovaný je neohľaduplní , pretože môže odhaliť veľa o systéme používaného prostredia. Zvlášť keď jeden JSP (ako na obrázku vyššie), v závislosti na konfigurácii servera aj pripomienky programátorom a Quelltextschnippsel dostať. Tu bol nedbanlivý práce. Na rozhraní k osobným údajom by sa nemalo stať.

Dovoľte mi, aby som sa posadiť a používať verziu Tomcat, ktorý tiež sa objaví v chybovom hlásení nižšie. (Apache Tomcat/6.0.24) Toto je staršia verzia webového servera, na 21/01/2010. Aktuálna verzia je 6.0.33. Server má štyri registre dlhé verzie nie sú aktualizované. Ak sa pozriete na chyby, ktoré boli stanovené v tejto poslednej verzii, je to stále nepríjemné. Server je zrejme nie je v najlepšom stave:

 http://tomcat.apache.org/security-6.html Opravený v Apache Tomcat 6.0.33 prepustený 18. augusta 2011 Stredná: viac nedostatky v HTTP Digest autentizácia CVE-2011-1184 implementácie HTTP autentizácia prehľad bol objavený mať niekoľko Slabé stránky: replay útoky boli povolené serveru nonces neboli kontrolované počty klientov nonce neboli kontrolované qop hodnoty neboli kontrolované Realm hodnoty neboli kontrolované serveru tajomstvo bolo pevne do známeho reťazca Výsledkom týchto nedostatkov je, že len to, čo DIGEST Overovanie zabezpečenia ako základné overovanie.  Toto bolo opravené v revízii 1158180th  To bol identifikovaný tímom bezpečnostné Tomcat 16. marca 2011 a zverejnená dňa 26. septembra 2011.  Ovplyvňuje: 6.0.0-6.0.32 nízka: sprístupnenie informácií CVE-2011-2204 Pri použití pamäťovej databáze užívateľov (založené na Tomcat-users.xml) a vytvorenie užívateľa pomocou JMX, výnimka počas procesu vytvárania užívateľského môže vyvolať chybovú správu Klient JMX, ktorý obsahuje heslo užívateľa.  Táto chyba je potom zapísaný do Tomcat logu.  Používateľské heslá sú viditeľné správcu s prístupom JMX alebo správcom prístup na čítanie na Tomcat-users.xml súboru.  Nie že by títo používatelia nemajú oprávnenie, ale sú schopní čítať log súbory môžu byť schopní zistiť heslo užívateľa.  Toto bolo opravené v revízii 1,140,071 th  To bol poznaný Polina Janove 14. júna 2011 a zverejnená dňa 27. júna 2011th  Ovplyvňuje: 6.0.0-6.0.32 nízka: sprístupnenie informácií CVE-2011 až 2526 Tomcat poskytuje podporu pre sendfile s HTTP a Nio HTTP konektory v apríli.  sendfile sa používa pre obsah automaticky slúžil cez DefaultServlet a nasadili aplikácia môže využívať priamo cez webové nastavenie atribútov požiadajú.  Tieto atribúty neboli overené požiadavku.  Pri spustení v rámci bezpečnostného manažéra, tento nedostatok validácia povolené škodlivý webová aplikácia pre jednu alebo viac z nasledujúcich, ktorý by za normálnych okolností zabrániť bezpečnostné manažér: rentabilita súbory pre užívateľov, že bezpečnostné manažér by mal robiť neprístupné ukončiť (cez havárii ) JVM Navyše tieto chyby sa vyskytujú iba keď všetky z nasledujúcich podmienok: nedôveryhodné webové aplikácie sú používané Security Manager slúži na obmedzenie nedôveryhodné webové aplikácie HTTP Nio alebo HTTP apríla konektor je použitý sendfile je povolená pre konektor (to je predvolené nastavenie) Toto bolo opravené v revízii 1.146.703 th  To bol identifikovaný tímom bezpečnostné Tomcat dňa 7. júla 2011 a zverejnená 13. júla 2011th  Ovplyvňuje: 6.0.0-6.0.32 Dôležité: sprístupnenie informácií CVE-2011 až 2729 kvôli chybe v kóde schopností, jsvc (služba obálka pre linux, ktorý je súčasťou projektu Commons Daemon) neklesá schopnosti, ktoré umožňujú použitie prístup k súborom a adresárom vo vlastníctve superpoužívateľa.  Táto chyba zabezpečenia len vtedy, keď všetky DÔJDE nasledujúcich podmienok: Tomcat beží na operačnom systéme Linux bola zostavená s libcap jsvc užívateľa parameter slúži postihnutým Tomcat verzie dodávané so zdrojovými súbory pre jsvc, ktoré zahŕňali túto chybu zabezpečenia.  Toto bolo opravené v revízii 1153824th  To bol poznaný Wilfried Weissmann dňa 20. júla 2011 a zverejnená dňa 12. augusta 2011.  Ovplyvňuje: 6.0.30-6.0.32 Opravený v Apache Tomcat 6.0.32 vydané dňa 3. februára 2011 Poznámka: problém bol vyriešený v nižšie Apache Tomcat 6.0.31 verziu, ale u volieb do 6.0.31 release candidate neprešiel.  Preto musí užívateľ stiahnuť 6.0.32 Aj keď získať verziu, ktorá obsahuje opravu tohto problému, je verzia 6.0.31 nie sú zahrnuté do zoznamu postihnutých verzií.  Dôležité: diaľkové odmietnutie služby CVE-2011-0534 NIO konektor rozširuje svoj rad nekonečne vyrovnávacej pamäte pri spracovaní žiadosti.  Toto správanie môže byť použitý pre odmietnutie služby útoku pomocou starostlivo budovaný žiadosti.  Toto bolo opravené v revízii 1066313th  To bol identifikovaný tímom bezpečnostné Tomcat 27. januára 2011 a zverejnená dňa 5. február 2011.  Ovplyvňuje: 6.0.0-6.0.30 Opravený v Apache Tomcat 6.0.30 vydané 13. januára 2011 Najvyššia Cross-site scripting CVE-2011 - 0.013 HTML Správca webové rozhranie aplikácie podľa dátumu zobrazená, analyzovať zobrazované názvy, bez filtrovania.  Škodlivý webová aplikácia môže vyvolať spustenie skriptu správnom užívateľ pri prehliadaní správcu stránok.  Toto bolo opravené v revízii 1057270th  To bol identifikovaný tímom bezpečnostné Tomcat 12. novembra 2010 a zverejnená dňa 5. február 2011.  Ovplyvňuje: 6.0.0-6.0.29 Stredná: Cross-site scripting CVE-2010 až 4172 Manager používa užívateľ podľa parametrov a radenie OrderBy priamo, bez filtrovania čo by umožnilo cross-site scripting.  Toto bolo opravené v revízii 1037779th  To bola prvýkrát zaznamenaná v tíme zabezpečení Tomcat 15. novembra 2010 a zverejnená dňa 22. Nov 2010.  Ovplyvňuje: 6.0.12-6.0.29 Najvyššia Security Manager súbor oprávnenie obísť CVE 2010-3718 Pri jazde v rámci bezpečnostného manažéra, prístup k systému súborov je obmedzená, ale webové aplikácie sa udeľujú čítať / zapisovať do pracovného adresára.  Tento adresár sa používa pre rôzne dočasné súbory skúmaných ako stredná súborov generovaných pri kompilácii JSP sa servlety.  Umiestnenie pracovného adresára zadaný ServletContect atribút, ktorý ich chcel byť len pre čítanie na webových aplikácií.  Avšak, kvôli kódovanie chyby, bol len na čítanie nastavenia nebudú použitá.  Preto môže byť škodlivý webová aplikácia meniť atribúty pred Tomcat Platí oprávnenie k súboru.  To môže byť použitý k udeleniu čítať / zapisovať na všetky oblasti na súborový systém, ktorý škodlivé webové aplikácie potom môže využiť.  Táto chyba zabezpečenia je použiteľná len pri hosťovaní webových aplikácií z nedôveryhodných zdrojov skúmaných ako zdieľané hosťovaní prostredia.  Toto bolo opravené v revízii 1022560th  To bol objavený tímom zabezpečení Tomcat dňa 12. mája 2010 a zverejnená dňa 5. február 2011.  Ovplyvňuje: 6.0.0-6.0.29 Opravený v Apache Tomcat 6.0.28 uvoľnená 09.07.2010 Dôležité: Diaľkové Denial of Service a informačné chyba sprístupnenie CVE-2010-2227 Niekoľko chyby v zaobchádzaní s "prevod-encoding" hlavičky boli nájdené bráni, že recyklácia vyrovnávacej pamäte.  Vzdialený útočník môže spôsobiť túto chybu, čo povedie k následnej požiadavky k zlyhaniu a / alebo k úniku informácií medzi požiadavky.  Táto chyba je zmiernené Tomcat je za reverznej proxy server (Apache httpd 2.2 boli skúšané) ako proxy server by mal odmietnuť neplatný prevod kódovanie hlavičky.  Toto bolo opravené v revízii 958,977 th  To bola prvýkrát zaznamenaná v tíme zabezpečení Tomcat 14. júna 2010 a zverejnené na 9 Jul 2010.  Ovplyvňuje: 6.0.0-6.0.27 Poznámka: problém bol vyriešený v nižšie Apache Tomcat 6.0.27 verziu, ale u volieb do 6.0.27 release candidate neprešiel.  Preto musí užívateľ stiahnuť 6.0.28 Aj keď získať verziu, ktorá obsahuje opravu tohto problému, je verzia 6.0.27 nie sú zahrnuté do zoznamu postihnutých verzií.  Nízka: sprístupnenie informácií v záhlaví overovanie CVE-2010-1157 WWW-Authenticate HTTP hlavičky pre základné a Digest autentizácia obsahuje názov sféry.  Ak   prvok je uvedené v web.xml pre použitie bude použitá.  Avšak,   nie je zadaný Tomcat vygeneruje názov sféry pomocou fragment kódu request.getServerName () + "" + request.getServerPort ().  V niektorých prípadoch to môže vystaviť miestny názov hostiteľa alebo adresu IP počítača so systémom Tomcat.  Toto bolo opravené v revízii 936,540 th  To bola prvýkrát zaznamenaná v tíme zabezpečení Tomcat dňa 31. mája 2009 a uverejnená 21. Dub 2010.  Ovplyvňuje: 6.0.0-6.0.26 

To všetko je veľmi neisté a to je pre mňa príkladom polčasom súkromia vôle štátu. Údaje sa predáva a je tu takmer nikto známy. Technické prevedenie zďaleka uspokojivá a beží na veľmi technické systémy, ktoré sú známe ako chybný a je potrebné aktualizovať okamžite. Taktiež sa zdá, že záverečná kontrola a prevzatia kvalifikáciu v IT projektov (známy štátu sú zvyčajne dosť drahé), nie vždy sa odohrávajú.

Ako jediný plus bod môžem konštatovať, že sa zdá, že žiadna centrálna celoštátnej portál s on-line čítanie pre všetky hlásenia údajov. Potom by sme určite nie je ďaleko od toho, čo sa stalo v poslednej dobe Izraelčania .

Som rád, že som držal ma, ale ak niekto nie je niečo, čo s trestným energie a technických znalostí môže ešte dôjsť (zdarma) pre mňa (a všetci ostatní), myslím, že prinajmenšom diskutabilné. Na prvý pohľad systém Düsseldorf nie sú odolné proti útoku.