[illukas]

Tekkis küsimus kui turvaline või õigem oleks küsida kui nuhkimisvaba on eesti.ee portaal ja sealt edasi üldse riigiasutuste portaalid.
Olen suhteliselt paranoiline selliste asjade suhtes, teades kui suures ulatuses on eesti.ee riigiportaalide ja infosüsteemidega ühenduses, siis mina küll ei taha, et google kusagil usas teab mis kus ma haige olen olnud või mis kinnisvara ma oman.
Arvestades seda, et google on oma ala meister siis küll nad sealt urlidest ja javascriptidest nii mõndagi välja nuhivad sinu kohta...
creepy

Teisek aspektiks selel asja juures on see, et kas Ria on ise nii äpu, et ei suuda normaalset analüsaatorit kokku kirjutada või miskit targemat teha kui võtta ja lihtsalt kasutada "suure venna" teenuseid? Ometigi on, või peaks olema neil serverite logidele ligipääsud jne jne jne. Äkki lihtsalt laiskus turvalisuse arvelt?


URL-i
https://www.eesti.ee/est/algus
koodist võime lugeda:

<script type="text/javascript">
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-5823953-1']);
_gaq.push(
['_addOrganic', 'Neti', 'query'],
['_addOrganic', 'Yammy', 'q'],
['_addOrganic', 'www.ee', 'query'],
['_addOrganic', 'Delfi', 'q'],
['_addOrganic', 'maailm.com', 'tekst'],
['_addOrganic', '1188.ee', 'kw'],
['_addOrganic', '1182.ee', 'nimi'],
['_addOrganic', '1182.ee', 'msona'],
['_addOrganic', 'blog.tr.ee', 'q']
);
_gaq.push(['_trackPageview']);
_gaq.push(['_trackPageLoadTime']);

(function() {
var ga = document.createElement('script');
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
ga.setAttribute('async', 'true');
document.documentElement.firstChild.appendChild(ga);
})();
</script>

Samuti võib seda leida:
https://www.eesti.ee/portaal/portaal.sisene?level=30&loc=%2Fest%2Fminuasjad

<!-- Google Analytics start -->
<script type="text/javascript">

var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-2607171-1']);
_gaq.push(['_trackPageview']);

(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();

</script>
<!-- Google Analytics end -->

[Dirty Harry]

illukas, kas RIA käest oled uurinud?

[illukas]

saatsin neile ka kirja, ei viitsinud poliitiliselt korrektset vastust ära oodata, no mis nad ikka vastavad....
aga kui vastavad annan teada...

Igatahes minu kui paranoilise kodaniku jaoks ei ole see hea märk...

LISAKS
miks puudub SSL forward secrecy?

EDIT:
Vastus1 selline Kasutajatoe spetsialistilt:

Tänan Teid pöördumise eest.
Põhjus seisneb selles, et Google Analytics on üks lihtsamini implementeeritavaid ja võimaluste rohkemaid analüsaatoreid. Lisaks on Google Analytics tasuta tarkvara.

Vastus2 arendusjuhilt:
Tänan Teid pöördumise eest.
Võtame teie arvamust arvesse ning kaalume ka tulevikus google analytics-st loobumist.

Paistab, et ei ole neil sügavamat analüüsi tehtud, mis selle googlega on..
1. ei ole neil õrna aimugi mis tegelikult sealt google urlilt kasutaja arvutisse laaditakse, õigemini neil puudub praegusel hetkel kontroll
2. ei ole neil mitte mingit garantiid, et googlesse saadetud data kuhugi "rändama ei lähe"
3. siitsealt on kuulda olnud, et google trackib oma analyticu pluginaga sinu küpsiseid, mis riigi portaali puhul on eriti tore
4. ei ole rial ega kellelgi teisel kontrolli mida tegelikkuses googlesse tagasi saadetakse- äkki on need sinu kinnistu numbrid, isikukoodid ja jumal teab mis kõik veel
5. jne, kes ei tea otsigu googlest google analytics security risks ja hakaku otsast lugema...
http://www.theregister.co.uk/2008/11/22/google_analytics_as_security_risk/

Arvestades neid punkte ei ole see kohane ühele riigiportaalile, mis on ühenduses väga paljude sensitiivsete andmehoidlatega...
Aga mis mina ikka tean...

[solkmaaker]

No ega sealt midagi muud ju oodata tegelikult polnudki.
Tõlgime siis inimeste keelde: Põhjus selles et hiirelõksus on väga maitsev juust ja see on TASUTA!

Aga mind huvitab selle asja seaduslik külg:
URL https://www.eesti.ee/est/ ütleb päises muuhulgas:
Set-Cookie: PHPSESSID=6k6taspurxwqgkj7qpcakxy7xswq6vn4; PATH=/; domain=.www.eesti.ee; secure; HttpOnly
Set-Cookie: JSESSIDRIIGIPORTAALGW=flKYSg4WPfyVsYh9471PnncvJs91yclY4xQkVY524CQbHx152h0Y!-986619784!-1733599967; domain=.www.eesti.ee; path=/; secure; HttpOnly
Set-Cookie: bbbbbbbbbbbbbbb=PNLDJPHGBIEJBGOBEOCCAOCODBOHKPCGNCAOAGBGJEIDKJJJHLEACHCOKFAAFKKHLIMAHPNFBAJLAOBKCPKCAHALJKCDPGBEENOJHAEFLNGJCHDECGOHELLIAIEAFAGA;

In May 2011 it was ruled that EU websites must get user permission to store non-essential cookies on client computers. Website owners were given 1 year to comply before legal action is enforced.
Jutt käib siis sellest:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=DD:13:29:32002L0058:ET:PDF
>
Kui selliseid vahendeid, näiteks küpsiseid, kasutatakse
õiguspärasel eesmärgil, näiteks infoühiskonna teenuste
osutamise toetamiseks, võib neid lubada kasutada tingimusel,
et kasutajatele antakse direktiivi 95/46/EÜ kohaselt
selge ja täpne teave küpsiste või muude selliste vahendite
kasutamise eesmärgi kohta, tagamaks, et kasutajad on
teadlikud nende lõppseadmesse salvestatavast teabest.
<

Nüüd siis küsimus: miks pole Eesti Vabariigi asutused (ja ka eraettevõtted, HV sealhulgas) suutnud küpsiste salvestamise loa küsimist implementeerida?
Olen isegi poola (EU mõistes pärapõrgu) lehtedel näinud küpsiste salvestamise loa küsimist. UK's on see praktiliselt igal lehel olemas: http://www.nectar.com/ http://www.three.co.uk/
Me oleme kõva IT riik (nagu Olümposel arvatakse), aga sellist pisiasja ei suudeta teha.

illukas, luba antud antud teksti edastamiseks RIA'sse.

[Tanel]

Ka meie kasutame Google Analytics tarkvara külastatavuse hindamiseks - tasuline Metrix versioon on mõttetult kallis ja pealegi ei garanteeri see sarnaselt GA puhul, et kõiki mõõdetaks.
Mis puudutab cookiede lubamist, siis äärmiselt tüütu on IMHO igasugustel saitidel selle cookie teksti klõpsutamine. Muuseas, HV registreerimistingimustes on juba aegade algusest kirjas:

[2ndalpha]

[solkmaaker]

Küsimus pole selles mida mina tahan või kas see on tüütult ebamugav.
Point on selles et seadus nõuab.
Kas antud seadus on mõttekas/loogiline/(kodanikule)kasulik on eraldi teema.

Riik pole vist siiani suutnud aru saada sellest et alates EU liitumisest on osa seadusloomest antud enda käest ära ja et peab ka ise kellegi teise pilli järgi tantisma hakkama.
Enne oli hea, ise puhus pilli, teised (kodanikud ja ettevõtted) tantsisid.
Nüüd kui ise tantsima peab ei suudeta sellega hakkama saada.
Kas siis polnud ette teada et asi nii läheb (Talv tuli ootamatult?).

[2ndalpha]

[illukas]

[Tanel]

Kui eraettevõtete portaalide puhul näen ma GA kasutamist põhjendatuks (ilma mõõtmiseta ei saa hinnata külastatavust ega müüa reklaami), siis avaliku sektori veebilehe puhul (mis kuidagi ei sõltu reklaamituludest vms) pole see põhjendatud.
Sekundeerin seega illukale, et eesti.ee laadse saidi puhul võiks GA jms mitte kasutada.

[illukas]

lisaks on neil serveri logidele ligipääsud, aretagu mingi enda .js lisaks kui ei osata extended apache logidega mingit tarka ette võtta...
Serveri logid on olulisemalt täpsemad kui google .js (paljudel js,flash, üldse keelatud või analytiks blokitud)

Huvitav miks pankades ei ole Google Anal kasutusel...

[Mnator]

Pangad teenivad klientide pealt ja ei kasuta oma kodulehti võõra reklaami kuulutustulbana ja järelikult pole neile google jamanumbreid tarvis.

[LKits]

Riik teenib maksude pealt...
Aga mul endal on tuimalt GA täielikult välja lülitatud.
Kasutan tihti no-scripti tundmatutel lehtedel, sest minu arust peaks arendaja suutma arendada lehte nii, et kliendipoolseid programmeerimisi ei peaks toimuma. Alati see muidugi ei tööta.

[neros]

[LKits]

Mitte tinfoili sees, vaid kui lehekülg ei oma SSL, siis on suhteliselt lihtne javascript-i hijackida - näiteks avalikes netipunktides.
Pole just väga keeruline kirjutada programmi, mis lisab igale olemasolevale javascriptile midagi juurde. Ehk lehe funktsionaalsus säilib, aga midagi tehakse lisaks.

Aga see selleks - eks siin tulebki mängu mugavus. Ettevõtetele on ikka mugavam, kui klient ise töö ära teeb ning ettevõtja saab odavamalt läbi aetud

[sigakoer]

[dud66]

Teema jõudis isegi meediasse: E24:Turvarisk eesti.ee keskkonnas

[gloom]

[solkmaaker]

sigakoer, MÖH? Kas keegi kuskil rääkis kolmanda poole küpsiste lugemisest?
Paistab et mul on vist see koht kahe silma vahele jäänud.
Jutt oli EU direktiivist ja kasutaja masinasse andmete salvestamise teavitamise kohustuslikkusest.

Mis eesti.ee küpsistesse puutub, siis jah, sessionid ei salvestata, küll aga salvestatakse 3 muud küpsist: _utma _utmb ja _utmz milledest kõige kauem kehtib _utma (2 aastat).
Nii et eesti.ee salvestab minu masinasse andmeid ja sellest mind ei informeerita mistõttu rikub eelmainitud EU direktiivi.
Loodan et sai nüüd puust ja punaseks.

Ajaviiteks võib lugeda mida ana(ytics) teeb: https://developers.google.com/analytics/devguides/collection/gajs/cookie-usage#gajs
Analyticsi kasutamine on de facto olukord kus tavakasutaja on kõigil lehtedel identifitseeritud google poolt (kus ga.js kasutakse) ja google teab mida kasutaja täpselt seal riigiportaalis vaatas (referral kuskohast ga.js päriti).
It teadlik seltskond on noscriptide/ghosterite/disconnect.me ja muude selliste vahenditega (sedasorti) jälgimise eest (tõenäoliselt) kaitstud, kahjuks on enamus kasutajatest tavalised kasutajad kes sellistest asjadest midagi ei tea.

[gloom]

solkmaaker, sa ei saanud minu mõttest päris aru. GA ei aita kellegi elu siin lihtsamaks teha, ma räägin eesti tarkvaraarendajatest kes pakuvad eesti rahvale teenuseid, millest muu maailm unistada hetkel võib. GA tegevus on sulle ka vist must maailm, see ei ole absoluutselt mõeldud selleks, et näidata sinule "sobivaid" reklaame kuskil suvalisel lehel. Täiesti mõttetu on üritada seletada ja ma ei soovi ka eriti aega raisata sellele. Põhiline on see, et kedagi reaalselt selles maailmas ei huvita, mida sina teed või kus sa käid. Kui peaks ka olema selline inimene, kes tõesti soovib seda teada, siis saaks ta selle informatsioonile ligi nagunii.

[olavsu1]

[illukas]

[olavsu1]

Kui ma väike olin siis kuritarvitati mu usaldust päris tihti. Oleks sinisilme arvata, et olukord on muutunud. Võrreldes toonasega on vaid liivakastide mõõtmed teised.

[illukas]

ma ei hakka lõputuid google teemasid ja linke siia tooma aga kes tõesti ei viitsi otsida siis üks lugemiseks:
http://forte.delfi.ee/news/tarkvara/google-tunnistab-gmaililt-ei-ole-alust-privaatsust-eeldada.d?id=66589625

PS! kui NSA luuramine avalikuks tulid pisteti päris palju kisama, et kuidas võib jne. Krt Eesti riik ise saadab datat sinna, ehk mis te NSA pärast muretsete

[neros]

Aga kas sa tead kes selle lehe tegi? Seda ei teinud mitte eesti riik vaid yks kompanii. FinestMedia, kui ma ei eksi. Kompaniil oli budget. Sinna sisse mahub teatud hulk arendajatunde. T6en2oliselt anti valida, kas taheti eraldi tehtud analyytikat v6i v6etakse juba valmis olev GA. Sama jutt on javascriptita lehe mittetoimimisest. See on tohutu hulk arendustood mis sinna alla l2heb. K6igel on eelarve.