On Sat, 6 Oct 2018 15:49:18 +0300 artiom <artio...@yandex.ru> wrote:
> > Т.е., всё-таки на первое место выходит доступность, а > конфиденциальность данных на втором, и они не сильно чувствительны к > этой угрозе? Проблема тут не в том, сильно ли чувствительны данные к угрозам конфиденциальности, а в том что разные данные к ним чувствительны очень по разному. Нарушая фидошную традицию и вспоминая, что написано в subj, а там написано "Доступ к медиатеке", мы можем рассмотреть угрозы конфиденциальности для данных медиатеки. В медиатеке у нас лежат данные, которые вообще в принципе опубликованы, и которые потенциальному атакующему доступны и из другого места. Но, в мире есть такая штука как копирайт, поэтому если мы вообще не будем защищать медиатеку от несанкционированного доступа, мы можем налететь на обвинение в незаконном распространении охраняемых копирайтом произведений. Насколько я понимаю, закрытие любой самой примитивной аутентификацией во-первых отсекает 100% ботов, которые рыщут по интернету в поисках нелегальных копий копирайченной продукции, во-вторых, является достаточно хорошей отмазкой в случае если наезд таки произойдет. Мы данные не распространяем, мы их для собственных нужд на этом сервере держим. И даже доступом к нему не торгуем. А так все это добросовестно приобретенные фильмы. Ну и вообще надо вспомнить третий тип угроз - кроме доступности и конфиденциальности атакующий может попытаться нарушить целостность данных. То есть стереть и/или подменить то, что он стирать или подменять не имел права. Поскольку в соседнем письме речь шла о нескольких пользователях, которым предлагается дать права на удаление/изменение данных, тут дать единого рецепта на все случаи жизни, пожалуй не получится - сначала роспись того, какие у нас бывают пользователи и над какими данными они имеют власть, а потом модель угроз. > > Потому что первым в списке угроз "будет плохо, если они прочитают > > ваши данные" стоит гугль, который использует данные для > > таржетированной рекламы. И при этом существует достаточно много > > данных, которые их владельцы старательно скармливают гуглю, чтобы > > они попали в результаты поиска. > > > > Он использует эти данные не только для рекламы. > Интересно, какие по вашему мнению способы использования данных гуглем хуже таржетированной рекламы?
