Onko mihinkään koottu yhdistyksen tietoturva -tyyppistä ohjeistoa?

[AimoE]

Millähän tavalla voisi ystävällisesti avustaa yhdistystä pitämään huolta omien nettisivujensa ja nettipalveluidensa tuvallisuudesta?

Mielessä on yhdistys, jolla on SMF-foorumi (tällä hetkellä pelkän http-osoitteen varassa), yhdistyksen "intra"-sivut joille pääsee kirjautumaan (sekin vain http), ja palveluntuottajalta ostettu älykännysovellus, joka tallettaa hyvin henkilökohtaisia tietoja palveluntuottajan palvelimelle (sovellus ei kerro onko yhteys salattu).

Kaipaan eniten neuvoja siitä millaisia asioita yhdistyksen pitää ottaa mukaan sopimuksiin palveluntuottajien kanssa, ja siitä mistä yhdistys voi kohtuuhinnalla ostaa tietoturvan testausta, mutta muutkin vinkit ovat tervetulleita.

[mrl586]

SMF kannattaa pitää ajantasalla ja ohjelmistot muutenkin.

[matsukan]

No tuosta http yhteydestä tulee päästä irti vaikka ilmaisella letsencrypt sertifikaatilla. Ihan ensi tilassa. tietoturvan testausta ei voi ostaa kohtuuhinnalla, tässä asiassa kannattaa luottaa omaan maalaisjärkeen mikäli  ei ole kokemusta. Jo salasanojen suolauksessa ja access controllilla sekä varmuuskopioinnilla pääsee pitkälle.

[AimoE]

Kun en ole itse ollut tekemisissä kännysoftan kanssa, niin en yhtään tiedä missä määrin tietoturvasta pidetään huolta siinä menettelyssä jolla appsit viedään Google Play -käyppään ja Applen vastaavaan? Siis voiko luottaa siihen että jos appsi on päässyt sinne, niin ainakin tietoliikenne on salattua?

[nm]

Kun en ole itse ollut tekemisissä kännysoftan kanssa, niin en yhtään tiedä missä määrin tietoturvasta pidetään huolta siinä menettelyssä jolla appsit viedään Google Play -käyppään ja Applen vastaavaan? Siis voiko luottaa siihen että jos appsi on päässyt sinne, niin ainakin tietoliikenne on salattua?

Sellaista rajoitusta ei oikein voi asettaa nykyisessä internetissä, jossa monet sivustot ja palvelut toimivat edelleen vain HTTP:n kautta. Käyttäjän autentikoinnin sen sijaan on oltava ainakin Google Playssä OAuth2.0 -pohjainen.

[AimoE]

Sellaista rajoitusta ei oikein voi asettaa nykyisessä internetissä, jossa monet sivustot ja palvelut toimivat edelleen vain HTTP:n kautta. Käyttäjän autentikoinnin sen sijaan on oltava ainakin Google Playssä OAuth2.0 -pohjainen.

Noinkohan? Olen asentanut useita sovelluksia Google Play -kaupasta, eikä OAuth2.0:aa ole vaadittu ainakaan asentamiseen. Toistaiseksi vain yksi sovelluksissa on sellainen joka kirjautuu johonkin jollain tunnuksella, eikä sekään ole vaatinut OAuth2:sta.

Okei, ei se että sovellus on Google Play -kaupassa ei siis takaa yhtikäs mitään turvaa sovelluksen ja sen palvelimen välillä. Kiitos tiedosta.

[nm]

Sellaista rajoitusta ei oikein voi asettaa nykyisessä internetissä, jossa monet sivustot ja palvelut toimivat edelleen vain HTTP:n kautta. Käyttäjän autentikoinnin sen sijaan on oltava ainakin Google Playssä OAuth2.0 -pohjainen.

Noinkohan? Olen asentanut useita sovelluksia Google Play -kaupasta, eikä OAuth2.0:aa ole vaadittu ainakaan asentamiseen. Toistaiseksi vain yksi sovelluksissa on sellainen joka kirjautuu johonkin jollain tunnuksella, eikä sekään ole vaatinut OAuth2:sta.

Eikun tuo olikin Apps Marketplacen web-sovellusten vaatimus. Play Storessa ei ole vastaavaa, mutta rekisteröitymistä edellyttävät sovellukset tukevat yleensä OAuthia, jotta käyttäjä voi kirjautua Google- tai Facebook-tunnareilla.

Play Storen käytännöissä kyllä edellytetään käyttäjätietojen suojaamista, mutta sitä tuskin valvotaan muuten kuin reagoimalla käyttäjien palautteeseen: https://play.google.com/intl/fi_ALL/about/privacy-security/additional-requirements/