Forum Övrigt Nyhetskommentarer Tråd Inlägg

Öppna Skolplattformen polisanmäls av Stockholms stad

1 2 3 4 5 6 7 8
Skriv svar
Permalänk
Medlem
Skrivet av Nemcue:

Tänker inte ägna mig mer åt den här diskussionen. Slutsummering för mig:
Jag tycker inte utvecklarna för ÖSP har rätt, eller har gjort rätt för sig. Skulle inte bli förvånad om dom i bästa fall tvingas stänga ner sin app helt och hållet. Jag har också full förståelse för Stockholms Stad handlande, även om hela den här situationen är ett härke som dom har försatt sig själva i och får varken dom eller inblandade konsulter att framstå som särskilt kompetenta.

Gå till inlägget

Jag förstår hur du tänker, men det är så internet är uppbyggt, samt hur nya idéer frodas. Har man valt att ha ett öppet API så är det valet man har gjort, Stockholm stad kunde valt att ha en låst plattform då hade vi inte haft detta problem.

Visa signatur

AMD 7800X3D | ASUS TUF X670E-PLUS | Corsair Vengeance DDR5 32GB EXPO | ASUS TUF 4090 OC 24GB |
Noctua NH-U12A | Corsair 4000D | Corsair AX1200W | Steelseries Apex 7 | Steelseries Sensei Ten | ASUS VG35VQ
https://github.com/Mariusz89B

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Nemcue:

Tänker inte ägna mig mer åt den här diskussionen. Slutsummering för mig:
Jag tycker inte utvecklarna för ÖSP har rätt, eller har gjort rätt för sig. Skulle inte bli förvånad om dom i bästa fall tvingas stänga ner sin app helt och hållet. Jag har också full förståelse för Stockholms Stad handlande, även om hela den här situationen är ett härke som dom har försatt sig själva i och får varken dom eller inblandade konsulter att framstå som särskilt kompetenta.

Gå till inlägget

Jag håller med om det sista. Stockholm Stad har gång på gång med detta visat att de inte vet vad de håller på med. Alls. Motsvarande ÖSP har funnits i alla tider och är inget nytt eller unikt för denna situation. Vill man göra det svårare att göra dessa saker så får man skriva dedikerade säkra klienter. Allting på webben går med ganska enkla medel att göra en egen variant av, även din banks hemsida, och banken kan inte ens veta om det (hur du behandlar, presenterar eller ändrar den på din dator). Det är det enda ÖSP gör....

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av M89:

Jag förstår hur du tänker, men det är så internet är uppbyggt, samt hur nya idéer frodas. Har man valt att ha ett öppet API så är det valet man har gjort, Stockholm stad kunde valt att ha en låst plattform då hade vi inte haft detta problem.

Gå till inlägget

Vad menar du med "låst plattform"? Något alternativt datanät som inte är Internet?

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Vad menar du med "låst plattform"? Något alternativt datanät som inte är Internet?

Gå till inlägget

Troligen closed-source klienter

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Håller med. (I det här fallet väljer användaren att använda Öppna Skolplattformen som sin "webbläsare".)

Håller med. Skolplattformen ansvarar för deras egna backend och deras egna frontend. De ansvarar inte för andra komponenter i lösningen, t.ex. slutanvändarens operativsystem, webbläsare, eller alternativ frontendklient.

Gå till inlägget

Ditt exempel gällde Skolplattformen, inte ÖSP.

"Öppna skolplattformen som webbläsare", jovisst men de är återigen ansvariga för koden som dem tillhandahåller.

Skrivet av pv2b:

Du får gärna hänvisa till ett rättsfall där ett säkerhetshål i en programvara installerad hos en kund lett till att programtillverkaren fått ta ansvar för skadorna. Vem stämmer jag om min server som kör Linux blir hackad p.g.a. en bugg i Apache? Eller om min mailserver blir hackad av Kina p.g.a. ett säkerhetshål i Microsoft Exchange?

Gå till inlägget

Du vet väl att datainspektionen även granskar mobilappar? Ansvar behöver inte innebära bötfällning, vi lever inte i USA... Datainspektionen kan utge varningar och kräva åtgärder. I din värld är det okej att Skatteverkets app har kända säkerhetshål som läcker persondata. "Vadå, det är ju en app?" spelar ingen roll.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av medbor:

Ditt exempel med Avanza är ju helt okej att göra, men användaren behöver ju då ha giltig inloggning där och transaktionerna får de ju betalt för...

Gå till inlägget

Själv loggar jag in med bankID på avanza. Så det är väl egentligen väldans likt på den fronten.
Och ja, upprättandet av kontot kan ju göras från en extern site också egentligen.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Vad menar du med "låst plattform"? Något alternativt datanät som inte är Internet?

Gå till inlägget

Closed source.

Visa signatur

AMD 7800X3D | ASUS TUF X670E-PLUS | Corsair Vengeance DDR5 32GB EXPO | ASUS TUF 4090 OC 24GB |
Noctua NH-U12A | Corsair 4000D | Corsair AX1200W | Steelseries Apex 7 | Steelseries Sensei Ten | ASUS VG35VQ
https://github.com/Mariusz89B

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av Pepe Silvia:

Kul med liknelser! Jag tycker dock vissa detaljer är viktiga att få med, har utökat liknelsen:

Begrepp / Förkortningar
Dörren = Skolplattformens API
Nyckeln = Session för APIet (autentiseras med BankID)
Målet = Användarens personuppgifter (ligger bakom Dörren)
A = Användaren
S = Skolplattformen / Stockholm Stad
Ö = Öppna skolplattformen / No free beer HB

Premisser
A har medgett att Ö får bära på Nyckeln.
A har medgett att Ö får bära på Målet.

Scenariot
A vill komma åt Målet och väljer att använda Ö.
Ö ber A hämta nyckeln (logga in med BankID).
Ö hämtar Målet med Nyckeln.
Ö presenterar Målet för A.

Ansvar i scenariot ovan
S har ansvar för Dörrens säkerhet.
S har ansvar för Målets säkerhet bakom Dörren.
Ö har ansvar för att Nyckeln hanteras på ett lagligt och säkert sätt (i appen, när det väl har hämtats).
Ö har ansvar för att Målet hanteras på ett lagligt och säkert sätt (i appen, när det väl har hämtats).

Efter att ha läst ÖSP källkoden tycker jag att ovan är en representativ bild som ändå är hyfsat lätt att förstå.
Notera att ansvaret är baserat på scenariot och oberoende av implementationsdetaljerna. Även om Skolplattformens API vore 100% säkert frånsäger det inte deras ansvar. När det dyker upp en säkerhetsbrist i APIet så bär Skolplattformen ansvaret, precis på samma sätt som No free beer HB bär ansvaret för säkerheten i Öppna skolplattformen.

Gå till inlägget

Jag är med dig fram till det sista här. Skolplattformen S har säkerhetsansvar bara så långt som deras kontroll sträcker sig. Om Google har ett säkerhetshål i Chrome som gör att alla uppgifter läcker ut så är det inte skolplattformens problem, däremot om deras API medger åtkomst till data man inte har rätt till, som andra barns personuppgifter. Ö har ansvaret mellan API och till och med deras app. Sen tar användaren över ansvaret.

Skrivet av Söderbäck:

Jag kan inte det här.
Men jag undrar lite i vilken utsträckning man får göra en egen produkt baserat på någon annans produkt i botten.

Skulle jag exempelvis kunna starta swehackers.com som egentligen bara är ett skal där allt underliggande egentligen är sweclockers.com databaser? Alltså egen look på siten och så, men inloggning och allt innehåll hämtas från sweclockers?

Eller att sätta upp söderbäcks aktiehandelssite som egentligen helt bygger på avanzas lösning i grunden. Jag har bara ett eget skal som hämtar in avanzas funktioner, inloggningar och alltihop. Bygga hela sin lösning på att ta någon annans backend om man klurar ut deras APIer.
Jag gissar på att man inte får göra så hur som helst. Men jag vet inte var gränserna går här. Det är väldans luddigt.

För det är väl lite så jag upplever att öppna skolplattformen gjort. Byggt en egen app som de tar betalt för - helt baserat på en annan instans databaser och heletslösning.

Eller så är det inte alls samma. Vad är då de stora skillnaderna i så fall?

Gå till inlägget

Jo det finns absolut likheter med ditt scenario och det här, men också skillnader. Säg om swec hade en betalnivå på medlemskapet, och betalning gjorde att man slapp annonser, hade det då varit ok att bygga en app eller anpassad webbsida för att komma åt swec utan annonser som bara fungerade för de som var inloggade med betalkontot? Eller om man behöll alla annonser till vanliga swec och registrerade användarstatistik och liknande som riktiga swec, bara med ett annat gränssnitt? Att man betalar för appen kan göra skillnad, men det vet inte jag.

Här är det dock fråga om en offentlig tjänst, alla har "betalat" för detta via skattsedeln och utvecklarna eller informationsägarna får inte betalt per användning, annonsvisning eller så. Däremot kanske utvecklarnas rykte försämras om färre använder deras app och istället väljer den inofficiella, men det är ju för att deras app är sämre så det är ju inget konstigt.

Och de hade förstås kunnat blocka detta rätt enkelt om de hade velat. Jag minns inte exakt men Twitter gjorde ju något liknande. Tidigare kunde utvecklare bygga egna appar mot Twitters API, jag vet inte exakt hur det fungerade med annonser och så, men i alla fall. Sen begränsade Twitter så att en tredjepartsapp fick en maxgräns på antalet användare, så en inofficiell Twitter-app kunde inte ha fler användare. Jag vet inte vad som hände sen dock.

Skrivet av pv2b:

Vad menar du med "låst plattform"? Något alternativt datanät som inte är Internet?

Gå till inlägget

Låst plattform innebär att man "signerar" sin mjukvara, både app och webbsida, sen tillåter man bara den signerade appen och/eller webbsidan åtkomst till API:et. Detta betyder dock inte att det inte är ett öppet API, beroende på definition förstås. En del har öppna API:er som de ger åtkomst till men man måste be om åtkomsten först, på så vis kan de ställa vissa krav eller i alla fall hålla koll på vilka som använder API:t och så.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Söderbäck:

Själv loggar jag in med bankID på avanza. Så det är väl egentligen väldans likt på den fronten.
Och ja, upprättandet av kontot kan ju göras från en extern site också egentligen.

Gå till inlägget

Jag menar bara att om du använder ditt konto mot avanza och presenterar informationen på ett annat sätt på din dator tror jag inte det är ett problem. Alla transaktioner sker ju då fortfarande på deras plattform. Det blir lite som att köra med ett hjälpmedel för synskadade till exempel

Om jag däremot sätter upp ett system som har ett centralt konto mot alla banker och ett separat betalsystem där ordrar läggs på billigaste sätt via andra kanaler och Avanza i princip bara är en källa för data så tror jag de skulle bli missnöjda. Då försvinner ju hela deras ekonomiska modell. Samma som att göra ett aggregat av alla streming-tjänster och låta användare dela på konton som annars inte används, det blir mer tveksamt eftersom det skadar ett bolag ekonomiskt (färre som köper konton)

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Pepe Silvia:

Ditt exempel gällde Skolplattformen, inte ÖSP.

"Öppna skolplattformen som webbläsare", jovisst men de är återigen ansvariga för koden som dem tillhandahåller.

Du vet väl att datainspektionen även granskar mobilappar? Ansvar behöver inte innebära bötfällning, vi lever inte i USA... Datainspektionen kan utge varningar och kräva åtgärder. I din värld är det okej att Skatteverkets app har kända säkerhetshål som läcker persondata. "Vadå, det är ju en app?" spelar ingen roll.

Gå till inlägget

Okej, men då verkar det som att du nu ändrat uppfattning. Tidigare i tråden skrev du att Skolplattformen har ansvar för deras data och därmed kan förbjuda och styra över ÖSP. (Kanske inte exakt så, men ungefär så.) Nu verkar du istället säga att det är ÖSP som ansvarar för sin egen kod. (Inget fel att byta åsikt, förresten, det är ju väldigt tråkigt och onödigt att ha en diskussion om man inte är beredd att ändra på sig.)

Men okej, visst, det kan vara så att ÖSP har ett ansvar att tillhandahålla en säker produkt. I alla fall att inte med flit skicka alla personuppgifterna till Kina. Misstag p.g.a. buggar kan hända, och jag har aldrig sett att någon ställts till ansvar för ett oavsiktligt säkerhetshål i en programvara. Jag kan absolut köpa att det hade varit rimligt att polisanmäla ÖSP om de på något sätt lurar användarna att skicka över informationen till en av ÖSP:s servrar. Men så är ju inte fallet.

Oavsett om ansvaret ligger på ÖSP eller på vårdnadshavarna (vi kan säga att det ligger både och för diskussionens skull) så betyder det inte att Stockholms stad styr över vårdnadshavarna eller de appar de använder. Det finns inte heller något som tyder på att ÖSP gör någon felaktig hantering av datat som äventyrar säkerheten. Det finns därför ingen rimlig anledning för Stockholms stad att polisanmäla ÖSP just nu, vilket om man ska försöka återgå till vad denna tråd ska handla om är själva kruxet i frågan.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av M89:

Closed source.

Gå till inlägget

Skolplattformen är ju closed source?

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem

@pv2b

Tack för svar

...........
Det här har säkert redan avhandlats, men vad skulle Skolplattformen faktiskt behöva göra för att kontrollera hur datan presenteras?
Går det ens att göra i en webläsare eller finns det alltid sätt för tredjepart att "injicera sig" givet att detta sker på begäran av slutanvändaren?

Ett naturligt nästa steg är väl isf att genom användarvillkor försöka kontrollera vad slutanvändaren får och inte får göra med datan...

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av medbor:

Jag menar bara att om du använder ditt konto mot avanza och presenterar informationen på ett annat sätt på din dator tror jag inte det är ett problem. Alla transaktioner sker ju då fortfarande på deras plattform. Det blir lite som att köra med ett hjälpmedel för synskadade till exempel

Om jag däremot sätter upp ett system som har ett centralt konto mot alla banker och ett separat betalsystem där ordrar läggs på billigaste sätt via andra kanaler och Avanza i princip bara är en källa för data så tror jag de skulle bli missnöjda. Då försvinner ju hela deras ekonomiska modell. Samma som att göra ett aggregat av alla streming-tjänster och låta användare dela på konton som annars inte används, det blir mer tveksamt eftersom det skadar ett bolag ekonomiskt (färre som köper konton)

Gå till inlägget

Här pratar du om hur nöjda de som får sin backend norpad skulle bli.
Det är inte så intressant egentligen. En del verksamhet drabbas ordentligt av det här och andra mindre - eller inte alls. Det är givet.
Min fråga är snarare hurivida det är lagligt eller ej.

Eller menar du kanske att det anses vara lagligt eller inte lagligt baserat på hur stor den uppskattade ekonomiska skaden är kanske? Jag vet inte själv. Det är möjligt - men var går gränsen och hur avgör man det där i så fall?

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Skolplattformen är ju closed source?

Gå till inlägget

Snajk beskriver detta här:
#19036630

Visa signatur

AMD 7800X3D | ASUS TUF X670E-PLUS | Corsair Vengeance DDR5 32GB EXPO | ASUS TUF 4090 OC 24GB |
Noctua NH-U12A | Corsair 4000D | Corsair AX1200W | Steelseries Apex 7 | Steelseries Sensei Ten | ASUS VG35VQ
https://github.com/Mariusz89B

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Olegh:

@pv2b

Tack för svar

...........
Det här har säkert redan avhandlats, men vad skulle Skolplattformen faktiskt behöva göra för att kontrollera hur datan presenteras?
Går det ens att göra i en webläsare eller finns det alltid sätt för tredjepart att "injicera sig" givet att detta hela sker på begäran av slutanvändaren?
Ett naturligt nästa steg är väl då att genom användarvillkor försöka kontrollera vad slutanvändaren får och inte får göra med datan...

Gå till inlägget

Det är i princip omöjligt att kontrollera det helt. Det är bara möjligt att göra det svårare.

Man kan t.ex. presentera all information som en enda stor bild, men i slutändan går det ut över användarna som inte kan klippa och klistra. Inte ens det är helt säkert för då kan man börja köra OCR och teckenigenkänning (kanske för att den som gör appen tycker att det är jobbigt att inte kunna klippa och klistra).

Det går absolut att göra det svårt nog så att det inte är lönt att försöka göra en tredjepartsklient för detta, men vem vinner på det egentligen?

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Det är i princip omöjligt att kontrollera det helt. Det är bara möjligt att göra det svårare.

Man kan t.ex. presentera all information som en enda stor bild, men i slutändan går det ut över användarna som inte kan klippa och klistra. Inte ens det är helt säkert för då kan man börja köra OCR och teckenigenkänning (kanske för att den som gör appen tycker att det är jobbigt att inte kunna klippa och klistra).

Det går absolut att göra det svårt nog så att det inte är lönt att försöka göra en tredjepartsklient för detta, men vem vinner på det egentligen?

Gå till inlägget

Stockholm stad. Sen bör där finnas andra alternativ än att förbjuda användandet utav API, upphovsrätt möjligen eller dylikt?

Senast redigerat
Visa signatur

AMD 7800X3D | ASUS TUF X670E-PLUS | Corsair Vengeance DDR5 32GB EXPO | ASUS TUF 4090 OC 24GB |
Noctua NH-U12A | Corsair 4000D | Corsair AX1200W | Steelseries Apex 7 | Steelseries Sensei Ten | ASUS VG35VQ
https://github.com/Mariusz89B

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Du får gärna hänvisa till ett rättsfall där ett säkerhetshål i en programvara installerad hos en kund lett till att programtillverkaren fått ta ansvar för skadorna. Vem stämmer jag om min server som kör Linux blir hackad p.g.a. en bugg i Apache? Eller om min mailserver blir hackad av Kina p.g.a. ett säkerhetshål i Microsoft Exchange?

Gå till inlägget

Det beror på användaravtal, du vet den där saken du antagligen tryckte förbi då installerade Microsoft Exchange, eller valde ignorera att läsa då du hämtade apache. Där står att de inte tar ansvar för saker som det du listar.
Däremot blir det en annan sak som du har en tjänst som de lovat en viss upptid på eller en viss säkerthet (som alla molntjänster likt MS 365). Men där brukar inte åtal komma särskilt långt om man inte kan visa att företaget gjort "allt de kan så snart de kan" då det är vad som brukar stå i de avtalen.

Plus Microsoft har blivit stämda för sin hantering av säkerhet i sina mjukvaror, men det är sådär 10-20 år sedan minst. Minns dock inte hur det slutade, men min gissning är att det antagligen inte ledde till något mer än kanske en settlement. Det är nämligen där det brukar sluta. Privatpersoner mot företag i den storleken har inte resurserna att komma någonvart, och när de privata företagen stämmer varandra brukar det i slutändan löna sig för alla om man inte gör upp i domstolen så man inte i rampljus behöver stå för vem som gjorde rätt och fel offentligt.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av M89:

Stockholm stad. Sen bör där finnas andra alternativ än att förbjuda användandet utav API, Copyright möjligen eller dylikt?

Gå till inlägget

Alltså, det är ju vi som är Stockholm? (I alla fall vi som bor där.)

Stockholms stad är inte ett vinstdrivande företag som har sina egna intressen, de förvaltar endast medborgarnas intressen. Är det på något annat sätt så skulle jag säga att det saknas demokratiskt legitimitet. Exakt vilka medborgarintressen främjas av att göra det svårare för medborgarna att ta del av sitt eget data?

För det är ändå det detta handlar om, det är inte Stockholms stads data, det är vårt data.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av pv2b:

Alltså, det är ju vi som är Stockholm? (I alla fall vi som bor där.)

Stockholms stad är inte ett vinstdrivande företag som har sina egna intressen, de förvaltar endast medborgarnas intressen. Är det på något annat sätt så skulle jag säga att det saknas demokratiskt legitimitet. Exakt vilka medborgarintressen främjas av att göra det svårare för medborgarna att ta del av sitt eget data?

För det är ändå det detta handlar om, det är inte Stockholms stads data, det är vårt data.

Gå till inlägget

Ja det är en viktig punkt. Det handlar inte om någon annans data utan ens egen.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Xake:

Det beror på användaravtal, du vet den där saken du antagligen tryckte förbi då installerade Microsoft Exchange, eller valde ignorera att läsa då du hämtade apache. Där står att de inte tar ansvar för saker som det du listar.
Däremot blir det en annan sak som du har en tjänst som de lovat en viss upptid på eller en viss säkerthet (som alla molntjänster likt MS 365). Men där brukar inte åtal komma särskilt långt om man inte kan visa att företaget gjort "allt de kan så snart de kan" då det är vad som brukar stå i de avtalen.

Plus Microsoft har blivit stämda för sin hantering av säkerhet i sina mjukvaror, men det är sådär 10-20 år sedan minst. Minns dock inte hur det slutade, men min gissning är att det antagligen inte ledde till något mer än kanske en settlement. Det är nämligen där det brukar sluta. Privatpersoner mot företag i den storleken har inte resurserna att komma någonvart, och när de privata företagen stämmer varandra brukar det i slutändan löna sig för alla om man inte gör upp i domstolen så man inte i rampljus behöver stå för vem som gjorde rätt och fel offentligt.

Gå till inlägget

ÖSP:s källkod är tillgänglig under Apache-licensen. Tittar man under punkt 7 och 8 så har de gjort liknande ansvarsfriskrivningar.

https://github.com/kolplattformen/skolplattformen/blob/main/L...

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av pv2b:

Det finns gott om siter som gör exakt detta. Tänker inte nämna några namn, men den här typen av "forumaggregatorer" hittar man ofta är man försöker googla efter mer obskyra problem...

Det är svinigt som fan, men det är så vitt jag vet inte olagligt.

Gå till inlägget

Man kan väl konstatera att bara för att man sett någont på internet så måste det inte betyda att allt man ser är lagligt.
Vidare kan det kanske handla om varje enskild nations lagar. Hittar man nå skumrasksite så kan det ju vara så att de ligger i nå annat land där lagarna ser annorlunda ut än här.
I det här fallet som nyheten handlar om handlar det väl snarare om svenska organisationer i båda fallen tänker jag mig. Är det lagligt bara för att det finns? Får man ta upphovsrättsskydat innehåll - vilket foruminlägg nog kan anses vara i viss utstäckning och själv tjäna pengar på dem exempelvis? Inte helt givet skulle jag säga.
Kundinformation är däremot inte upphovsrättsskyddad på samma sätt. Men ja återigen - är det lagligt bara för att det finns på internet - eller kan det finnas juridiska problem med upplägget ändå?

Skrivet av pv2b:

Om scenariot är ett tredjepartsskal kring Avanza skulle jag gissa på att Avanza skulle vara rätt nöjda med det. De skulle få courtage på alla affärer, och skulle inte behöva kundtjänstkostnaden på samma sätt. Snacka om att plocka russinen ur kakan.

Jag hade övervägt använda ett tredjepartsskal för Avanza faktiskt, deras hemsida är rätt hemsk och svårt att hitta i. Men det hade så klart varit en säkerhetsavvägning, känns lite risky.

Har svårt att se vari det olagliga skulle finnas där, om detta Avanza-skal funkade på samma sätt som ÖSP gör.

Gå till inlägget

Det är väl egentligen mindre intressant hur glad eller ledsen den parten som byggt backendlösningen skulle bli. Jag undrar mer över det juridiska. Men visst skulle kanske avanza bli glada? Eller missnöjda. Who knows.

Men ja - jag vet inte heller var de juridiska gränserna går. Det är därför jag ställer frågan.

Skrivet av pv2b:

Jo, det är precis det de gjort. De har byggt en alternativ frontend till Skolplattformen. Som de tar betalt för. (Inte konstigare än ett mobilskal egentligen... alltså en plastpryl som man sätter runt mobilen.) De påstår ju dock inte att de gjort något annat än just det.

Gå till inlägget

Jag får medge att jag nog tycker det är lite stötande att du likställer att sälja mobilskal med de som tar hela forumdatabaser och ger ut det under en annan plattform vilket då vinklipper intäktsmodellen för de som finansierar backendlösningen.
Mobilskal kan på intet sätt förstöra business för företag på samma sätt som det här kan.
Njaa. Den liknelsen har jag lite svårt för alltså. Jag förstår varifrån tanken kommer, men jag håller inte med.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av Söderbäck:

Jag får medge att jag nog tycker det är lite stötande att du likställer att sälja mobilskal med de som tar hela forumdatabaser och ger ut det under en annan plattform vilket då vinklipper intäktsmodellen för de som finansierar backendlösningen.
Mobilskal kan på intet sätt förstöra business för företag på samma sätt som det här kan.
Njaa. Den liknelsen har jag lite svårt för alltså. Jag förstår varifrån tanken kommer, men jag håller inte med.

Gå till inlägget

Min liknelse med mobilskal avsåg ÖSP, inte forumtjuvarna.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av pv2b:

Min liknelse med mobilskal avsåg ÖSP, inte forumtjuvarna.

Gå till inlägget

Jaha! Ja då förstår jag ;).
Jag tänkte mer att liknelsen var att norpa andras backendlösningar och bygga egen front generellt var liksällt med att sälja mobilskal. Att det innefattade all sådan verksamhet.
Men så var inte fallet riktit.

Ja men då får jag ta tillbaka lite och backa ett steg. Din liknelse passar väl in i ÖSP. Jag håller med.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av snajk:

Jag är med dig fram till det sista här. Skolplattformen S har säkerhetsansvar bara så långt som deras kontroll sträcker sig. Om Google har ett säkerhetshål i Chrome som gör att alla uppgifter läcker ut så är det inte skolplattformens problem, däremot om deras API medger åtkomst till data man inte har rätt till, som andra barns personuppgifter. Ö har ansvaret mellan API och till och med deras app. Sen tar användaren över ansvaret.

Gå till inlägget

Det här togs upp av en annan. Användaren väljer själv vilken webbläsare de vill köra, så jag anser inte att Skolplattformen har något ansvar för det. Om man däremot använder webbläsarens APIer på ett osäkert sätt, då har man ett ansvar för det

Klart att Ö(SP) har ansvar även i appen. Om ex. Kivra appen har kända säkerhetshål som läcker mina e-brev / personuppgifter är det klart att dem är ansvariga. Bara för att det är en app frånsäger det inte ansvaret.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

En sak jag kan konstatera i mitten av all denna diskussion - eftersom Öppna Skolplattformen är licensierad under Apache-licensen finns det inget som hindrar staden eller deras underleverantör från att forka Öppna Skolplattformen och använda den som bas för en ny version av den officiella klienten.

Känns ju som att det är vad staden borde göra. De har fått en bättre app serverad på fat. Tacka, ta emot, och ändra i appen om det är något de inte gillar. De behöver inte jobba med No Free Beer HB för den sakens skull.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av M89:

Stockholm stad. Sen bör där finnas andra alternativ än att förbjuda användandet utav API, upphovsrätt möjligen eller dylikt?

Gå till inlägget

Jag vill se dem ens försöka förbjuda användandet av APIerna.
Hur många sidor är byggda idag är att du har en frontend i din webläsare som frågar efter data från en backend, och sedan presenterar denna på ett läsbart sätt.
Dra igång utvecklarverktygen i chrome, gå till google.se och börja skriv något i sökfältet. Du kommer se att websidan skickar lite data till google som skickar tillbaka en json med de mest troliga sakerna du kommer fortsätta skriva. Börja skriva ett ord du inte ser i json-datan om du kommer se samma sak igen.
Din webbläsare skickar data till APIer den får skicka till. Backend svarar med data som din inloggningsnivå tillåter.
Appar fungerar likadant. Bara lite mer omständigt då de inte brukar ha en utvecklarkonsol likt den som Chrome och Firefox har.

Min misstanke är att det är precis detta föräldrarna gjort. Loggat in, använt funktioner. sett vad för svar de fått. Imiterat detta i sin app. Kallas reverse engineering.
Och det är nästan omöjligt för servern att avgöra vilken av webapplikationerna det är. De kanske kan se det på "UserAgent" om de inte imiterar den med. Vilket inte heller är olagligt, då det inte anses att förfalska något.
Annars är verkligen det enda man har att gå på saker som hur APIerna används i förhållande till varandra. Kan inte uppslag x följas av uppslag y i vanliga appen är det nog imitationen. Eller om webappen inte skickar med skräp x. Men inte ens det är säkert, för de kanske har webappen öppen i två flikar samtidigt, skickar med extra skräp "bara för att" osv.

Och inget jag bekrivit ovan är olagligt. Och svårt att göra olagligt. Det närmsta man kommer är om Sthlms stad skulle inför DRM på sina APIer, för då är vi inne på copyright-lagstiftningen och hur det är olagligt att ta sig förbi den sortens begränsningar, på samma sätt som det är olagligt att ta sig förbi behov av inloggningar, vilket man inte heller gjort här.

Över lag tycker jag hela detta mest låter som tekniskt okunniga personer, både anställda och politiskt tillsatta som mest är salty över att några tycker deras superba system är skit och utvecklat sin egna, och om de har problem med hur mycket data som den Öppna platformen kan visa så beror det på att de inte förstår hur mycket data de själva exponerar ut i sina APIer i webappen, vilket vem som helst kan se genom hålla inne Ctrl+Shift och trycka på "i" i webläsaren, för att sedan trycka på någon funktion på deras sida.
Och det roliga är just det sistnämnda. Skulle det visa sig att den Öppna kan exponera data som inte borde kunna exponeras så är det mer troligt att Stockholms stad kommer få en motstämning som är mer vattentät på hur mycket de låter sina APIer exponera oavsett om det krävs login eller inte.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Okej, men då verkar det som att du nu ändrat uppfattning. Tidigare i tråden skrev du att Skolplattformen har ansvar för deras data och därmed kan förbjuda och styra över ÖSP. (Kanske inte exakt så, men ungefär så.) Nu verkar du istället säga att det är ÖSP som ansvarar för sin egen kod. (Inget fel att byta åsikt, förresten, det är ju väldigt tråkigt och onödigt att ha en diskussion om man inte är beredd att ändra på sig.)

Gå till inlägget

Har inte ändrat min uppfattning. Det jag skrev var hur Stockholm stad resonerar och att jag håller med om att integrationer mot deras system måste ske i samråd. Huruvida det är rätt / fel är ganska tydligt att vi är oense om och att varken jag eller du kommer ändra på oss i det avseendet.

Skrivet av pv2b:

Men okej, visst, det kan vara så att ÖSP har ett ansvar att tillhandahålla en säker produkt. I alla fall att inte med flit skicka alla personuppgifterna till Kina. Misstag p.g.a. buggar kan hända, och jag har aldrig sett att någon ställts till ansvar för ett oavsiktligt säkerhetshål i en programvara. Jag kan absolut köpa att det hade varit rimligt att polisanmäla ÖSP om de på något sätt lurar användarna att skicka över informationen till en av ÖSP:s servrar. Men så är ju inte fallet.

Oavsett om ansvaret ligger på ÖSP eller på vårdnadshavarna (vi kan säga att det ligger både och för diskussionens skull) så betyder det inte att Stockholms stad styr över vårdnadshavarna eller de appar de använder. Det finns inte heller något som tyder på att ÖSP gör någon felaktig hantering av datat som äventyrar säkerheten. Det finns därför ingen rimlig anledning för Stockholms stad att polisanmäla ÖSP just nu, vilket om man ska försöka återgå till vad denna tråd ska handla om är själva kruxet i frågan.

Gå till inlägget

Jag vet inte vad du har sett eller vad du har för erfarenhet. Själv har jag utvecklat en webbapp som hanterar känsliga personuppgifter (och loggar in via BankID), kan intyga att i vårt fall måste säkerhetsgranskningar utföras av en tredje part (som inte vi väljer) och vi måste åtgärda eventuella problem som dyker upp om det berör personuppgifterna. Vi har dessutom samråd med de som tillhandahåller APIet, har svårt att se att vi kan strunta i allt det här och köra vårt eget race.

Huruvida Stockholm stad har grund för att polisanmäla ÖSP är utjatat. Du hävdar att dem inte har någon grund öht, jag säger att de tar upp vissa viktiga poänger gällande säkerhetsrisken men att en domstol måste avgöra om det är korrekt. Vi kan lämna det så.

Redigera
Citera flera Citera
Permalänk
Medlem

En sak jag börjar undra över är just att APIet är sekretessbelagt. Har sett folk snacka om propretära lösningar, men det är inte det som staden hade hänvisat till, och är en annan sak.
Om man har sekretessbelagt något måste det göras med hänsyftning till varför och baserat på vilken lag man lutar sig mot, och det detta beslutet är offentlig uppgift. Detta för att du skall kunna veta om och isåfall hur du skall kunna överklaga sekretessklassningen, och veta när den gjordes pga preskriptionstid.

Så antingen har någon gjort en booboo och sekretessbelagt något de egentligen inte får sekretessbelägga, då man inte får hur som helst sekretessbelägga ett helt dokument bara för delar av det kan innehålla känslig information, och hela APIet kan omöjligt vara känslig information.
Den andra möjligheten är att APIet i sig tillåter åtkomst till information som du inte borde ha tillgång till. Vilket snarare öppnar upp för en stämning mot staden över vilken info de exponerar genom sina apier.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Xake:

En sak jag börjar undra över är just att APIet är sekretessbelagt. Har sett folk snacka om propretära lösningar, men det är inte det som staden hade hänvisat till, och är en annan sak.
Om man har sekretessbelagt något måste det göras med hänsyftning till varför och baserat på vilken lag man lutar sig mot, och det detta beslutet är offentlig uppgift. Detta för att du skall kunna veta om och isåfall hur du skall kunna överklaga sekretessklassningen, och veta när den gjordes pga preskriptionstid.

Så antingen har någon gjort en booboo och sekretessbelagt något de egentligen inte får sekretessbelägga, då man inte får hur som helst sekretessbelägga ett helt dokument bara för delar av det kan innehålla känslig information, och hela APIet kan omöjligt vara känslig information.
Den andra möjligheten är att APIet i sig tillåter åtkomst till information som du inte borde ha tillgång till. Vilket snarare öppnar upp för en stämning mot staden över vilken info de exponerar genom sina apier.

Gå till inlägget

Jag är förvånad över att många i forumet är så pass trygga i sina juridiska kunskaper. Själv har jag inte sysslat med juridik och kan inte hävda att varken det ena eller det andra är juridiskt korrekt.

Rättsutredningen för den intresserade (9 korta sidor). Jag hittade där ingen direkt motivering till varför ett API skulle vara sekretessbelagt. Mest relevanta jag kunde hitta:

Sekretess och integritetsskäl i offentlighets- och sekretesslagen (2009:400) förkortat OSL, dataskyddsförordningen, registerförfattningar eller av immaterialrättsliga skäl kan dock inskränka vidareutnyttjandet.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Xake:

Och inget jag bekrivit ovan är olagligt. Och svårt att göra olagligt. Det närmsta man kommer är om Sthlms stad skulle inför DRM på sina APIer, för då är vi inne på copyright-lagstiftningen och hur det är olagligt att ta sig förbi den sortens begränsningar, på samma sätt som det är olagligt att ta sig förbi behov av inloggningar, vilket man inte heller gjort här.

Över lag tycker jag hela detta mest låter som tekniskt okunniga personer, både anställda och politiskt tillsatta som mest är salty över att några tycker deras superba system är skit och utvecklat sin egna, och om de har problem med hur mycket data som den Öppna platformen kan visa så beror det på att de inte förstår hur mycket data de själva exponerar ut i sina APIer i webappen, vilket vem som helst kan se genom hålla inne Ctrl+Shift och trycka på "i" i webläsaren, för att sedan trycka på någon funktion på deras sida.

Gå till inlägget

Användarna har rätt att göra reverse engineering. Såvitt jag vet är det enda undantaget att man inte uppsåtligen får påverka tjänsten för övriga användare (ex. ddos).

Skolplattformen kräver att man har satt korrekt "Origin" http header. Dvs reverse engineering kan endast göras från Skolplattformens webbplats, annars krävs en separat http client (ex. i nodejs eller med postman). Hur som helst är det ingen som bör motsätta sig huruvida reverse engineering ska tillåtas eller inte.

MEN det är inte samma sak som att man har rätt att publicera, distribuera och ta betalt för något som är byggt på reverse engineering. Det många missar är skillnaden mellan att rota i APIer och att distribuera ex. mobilappar baserade på det.

Skrivet av Xake:

Och det roliga är just det sistnämnda. Skulle det visa sig att den Öppna kan exponera data som inte borde kunna exponeras så är det mer troligt att Stockholms stad kommer få en motstämning som är mer vattentät på hur mycket de låter sina APIer exponera oavsett om det krävs login eller inte.

Gå till inlägget

Framgår inte i nyhetsartikeln men Skolplattformens API kräver autentisering med BankID. Vad som däremot framgår är att Skolplattformen tidigare haft säkerhetsbrister, vad jag känner till kunde en inloggad användare komma åt delar av andra användares personuppgifter.

Det kan mycket väl finnas fler brister i APIet vilket ev. kan användas som försvar men inte motstämning. Att stämma kors och tvärs görs i USA men inte i Sverige. Datainspektionen (IMY) ansvarar för personuppgiftsincidenter och relaterade bötfällningar.

Senast redigerat Förtydligat HTTP Origin header
Redigera
Citera flera Citera
1 2 3 4 5 6 7 8
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara