Sananvapaus.

[takomo]

Painat create account -> täytät formit ja painat create -> y-sivusto ohjaa sinut signicatin sivulle, sinne menee tietoja GUID, joka osataan ohjata takaisin oikeaan y-sivuston identiteettiin -> signicatin sivustolla valitset pankkisi -> se saa tiedon, jossa on GUID ja kysely "isPerson", jotta osaa ohjaa sinut oikeaan "sessioon" -> täytät sinun pankki tunnukset, edes signicat ei saa tätä, ja painat MFA:n kautta itsesi autentikointiin -> palaat takaisin signicatiin, et oikein kerkeä sitä nähdä, se on vain redirect, signicat ottaa oikean "session" ja palauttaa sinut samalla objektilla, jonka sai pankilta "isPerson:true", takaisin y-sivustolle.

Ehkä Signicat ei saa, mutta PANKKI saa tiedon identiteettikyselystä ja sen metadatasta. PANKILLA on lakisääteinen velvoite hillota näitä tietoja viiden vuoden ajan. Kyllä viranomaiset tietävät, että pankilla nämä tiedot on ja niitä voi pyytää syystä X, Y sekä Z.

Anonymiteetin ydin on siinä, että viranomaiset eivät voi paljastaa kuka on anonyymeiksi tarkoitettujen viestien takana. Se, että tämä voidaan murtaa pankkikyselyn avulla romuttaa anonymiteetin ja altistaa käyttäjän mm. henkilö-canceloinnille.

Y-sivusto ei koskaan, eikä edes signicat, saanut sinun pankkikirjautumistunnusta, ne ei saanut missään kohtaa sinun identiteetistä mitään tietota, ei mitään muuta kuin tuon objektin "isPerson:true".

Mitä tietoja tunnistautumisessa tarkalleen vaihdetaan tunnistautumisen kysyjän ja tunnistavan tahon välillä? Ihan säännönmukaisesti tarkat henkilötiedot välittyvät tunnistautumista pyytävään palveluun, eikä käyttäjä pysty mitenkään vahtimaan mitä tietoja kaiken kaikkiaan vaihdetaan.

Miten käyttäjä, joka ei luota palveluun, voisi itse varmistua siitä, että todellakaan mitään muuta tietoa ei vaihdeta kuin "isPerson:true"?

Tämmöiset sivulliset varmentajat tuskin tekevät hommaa hyväntekeväisyytenä, joten mikä on näiden ansaintalogiikka?

Miksi sitä pitäisi voida vaatia? Miksi täällä pitäisi tunnistaa ihmiset vahvasti, jos bottiongelma on aivan muualla. Ei tämä ratkaisu korjaa bottiongelmaa mitenkään, koska nämä botit operoivat verkossa ja ihan minkä tahansa flägin (maan) -alaisuudessa. (suurin osa on Venäjältä, Kiinasta, Yhdysvalloista, Iranista jne.)

Näinpä. Meillä voi olla fyysinen henkilö Naama, joka perustaa ID:llään tunnukset Naama_aaa, Naama_aab, Naama_aac,... ... ..., Naama_zzz ja luovuttaa nämä 10+k tunnusta bottiverkon käyttöön. On hyvä huomata, että palvelu ei väitetysti saanut tietoa näiden tunnusten takana olevasta identiteetistä, joten se ei voi tunnistaa, että nämä kaikki on leimattu samoilla "isPerson:true"-papereilla.

Bottiongelma ei todellakaan ratkea tällä menetelmällä, vaan sillä ainoastaan aiheutetaan turhaa vaivaa ja riskejä _kaikille_ käyttäjille.

Anonymiteetti on aina menetetty, kun palvelu johon haluan kirjautua, vaatii minulta kirjautumisen lisäksi lisästeppejä (erityisesti vahvan tunnistautumisen).

Näin se menee. Vähintäänkin joku sivullinen taho saa anonyymiksi tarkoitetusta tunnuksesta metadataa, joka ei ole käyttäjän hallinnassa.

Yksi ehdotus bottien tunnistamisen vaatimukselle. Jokaisessa noissa maissa on digitaalinen identiteetti. Jos et halua tunnistautua ihmiseksi, sinut merkataan botiksi euroopan alueelle.

Minusta olisi parempi, että botiksi leimaaminen edellyttäisi konkreettista näyttöä siitä, että tili on botti. Esim. jos tili postaa samansisältöisiä viestejä kuin sata muutakin tiliä, toistuvasti, eikä koskaan omaperäistä sisältöä.

Toivottavasti vaan et kirjoita puhelimella, jolla olet joskus maksanut jotain. Silloin riittää vain pääsy googlen tai applen logeihin. Logeja toki on monenlaisia, mutta oletan nyt, että pääsy kaikkiin. Muuten identiteettisi on mennyt.

Lähtökohta on tietenkin se, että puhelimella ei voi tehdä mitään henkilöllisyyteen kytkeytyvää. Ei tunnistautumista, ei maksamista, eikä puhelinta todellakaan rekisteröidä mihinkään. Kaikki sensitiivinen toiminta tehdään työasemalla ja maksaminen käteisellä tai tilisiirrolla.

 

[Naamapalmu]

Ehkä Signicat ei saa, mutta PANKKI saa tiedon identiteettikyselystä ja sen metadatasta. PANKILLA on lakisääteinen velvoite hillota näitä tietoja viiden vuoden ajan. Kyllä viranomaiset tietävät, että pankilla nämä tiedot on ja niitä voi pyytää syystä X, Y sekä Z.

Signicatin henkilöllisyyden vahvistamista koskeva tietosuojaseloste kertoo, että he saavat säilyttää tietoa 60 päivä ajan, jotta tunnistuksen jälkeen mahdolliset ilmenevät ongelmat voidaan ratkaista. Mitä ne ajatteli ratkaista, jos heillä ei ole tietoa käyttäjästä ja määränpäästä? Me vain säilytetään täällä jotain random logeja...

No sovitaan niin, X:n ja muidenkin palveluiden tietosuojaselostekin on mielenkiintoinen, uskoako vai ei... "Trust me bro, we follow the regulation of GDPR and no one have access to your date, we ABSOLUTELY delete your data, once you have access, incase of issues we just keep some tiiiiny little bit of information, just in case of issues to be resolved.."

 

[takomo]

Signicatin henkilöllisyyden vahvistamista koskeva tietosuojaseloste kertoo, että he saavat säilyttää tietoa 60 päivä ajan, jotta tunnistuksen jälkeen mahdolliset ilmenevät ongelmat voidaan ratkaista. Mitä ne ajatteli ratkaista, jos heillä ei ole tietoa käyttäjästä ja määränpäästä? Me vain säilytetään täällä jotain random logeja...

Onkohan tämä Signicatin toiminta Suomen lainsäädännön mukaista? Jos Signicat tarjoaa palvelua, jota Suomen lain mukaan on pidettävä vahvana tunnistautumispalveluna, sillä on lakisääteinen velvollisuus säilöä tapahtumatietoja viiden vuoden ajan.

Joko Signicatin henkilöllisyyden vahvistaminen on tasoa Trust-me-bro tai puheet anonymiteetin säilymisestä Signicatia käytettäessä on tasoa poliitikon vaalilupaus.

 

[3dfx]

Hämmentävintä minulle on kaikki nämä vuodet ollut se, että miksi pankit ovat tässä tunnistautumishommassa niin vahvana toimijana kun mun ymmärtääkseni aikasemmin tunnistautumisen tarjoaminen ihmisille on ollut lähinnä valtioiden tehtävänä esim. passi, ajokortti, henkilökortti. Internetissä taas pankkitunnukset on joku juttu. Mihin pankkeja tarvitaan tässä yhtälössä ja miksi ihmeessä aineistoa menee myös heille ihmisten toiminnasta. Aika erikoinen järjestely.

 

[Heimolainen]

Ehkä Signicat ei saa, mutta PANKKI saa tiedon identiteettikyselystä ja sen metadatasta. PANKILLA on lakisääteinen velvoite hillota näitä tietoja viiden vuoden ajan. Kyllä viranomaiset tietävät, että pankilla nämä tiedot on ja niitä voi pyytää syystä X, Y sekä Z.

Joo pankki saa tuista jotain tietoa. Tunnistautumis id:n. Tätä kun ei vielä ole lainsäädännössä, niin ei ehkä kannata verrataan nykyiseen lainsäädäntöön. Tämäkään kysely ei olisi tunnistatumista. Ihan normaalia jo kysellä vähemmän, kuin koko identiteetti, mutta nämä vahvat tunnistautumisen vähän laahaa perässä.

Anonymiteetin ydin on siinä, että viranomaiset eivät voi paljastaa kuka on anonyymeiksi tarkoitettujen viestien takana. Se, että tämä voidaan murtaa pankkikyselyn avulla romuttaa anonymiteetin ja altistaa käyttäjän mm. henkilö-canceloinnille.

Mitä tietoja tunnistautumisessa tarkalleen vaihdetaan tunnistautumisen kysyjän ja tunnistavan tahon välillä? Ihan säännönmukaisesti tarkat henkilötiedot välittyvät tunnistautumista pyytävään palveluun, eikä käyttäjä pysty mitenkään vahtimaan mitä tietoja kaiken kaikkiaan vaihdetaan.

Miten käyttäjä, joka ei luota palveluun, voisi itse varmistua siitä, että todellakaan mitään muuta tietoa ei vaihdeta kuin "isPerson:true"?

Koska se aina näkisi mitä tietoja siitä välitetään eteen päin. Näin tulee esim EUn eId toimimaan lompakossa. Anonymiteetti ei tuossa rikkoudu.

Tämmöiset sivulliset varmentajat tuskin tekevät hommaa hyväntekeväisyytenä, joten mikä on näiden ansaintalogiikka?

Kuten sanoin signicat EI omaa mitään tietoa identiteettiin. Muut asiat saat itse selvittää.

Näinpä. Meillä voi olla fyysinen henkilö Naama, joka perustaa ID:llään tunnukset Naama_aaa, Naama_aab, Naama_aac,... ... ..., Naama_zzz ja luovuttaa nämä 10+k tunnusta bottiverkon käyttöön. On hyvä huomata, että palvelu ei väitetysti saanut tietoa näiden tunnusten takana olevasta identiteetistä, joten se ei voi tunnistaa, että nämä kaikki on leimattu samoilla "isPerson:true"-papereilla.

Bottiongelma ei todellakaan ratkea tällä menetelmällä, vaan sillä ainoastaan aiheutetaan turhaa vaivaa ja riskejä _kaikille_ käyttäjille.

Näin se menee. Vähintäänkin joku sivullinen taho saa anonyymiksi tarkoitetusta tunnuksesta metadataa, joka ei ole käyttäjän hallinnassa.

Miksi se saisi sen? Ei sen sitä tarvitse saada, jos se laissa kielletään.

Minusta olisi parempi, että botiksi leimaaminen edellyttäisi konkreettista näyttöä siitä, että tili on botti. Esim. jos tili postaa samansisältöisiä viestejä kuin sata muutakin tiliä, toistuvasti, eikä koskaan omaperäistä sisältöä.

Se massa alkaa olemaan jo niin iso, että sitä ei enää jälkitarkastuksella hallinnoida. Ja kyvykkyys siihen on lähes

Onkohan tämä Signicatin toiminta Suomen lainsäädännön mukaista? Jos Signicat tarjoaa palvelua, jota Suomen lain mukaan on pidettävä vahvana tunnistautumispalveluna, sillä on lakisääteinen velvollisuus säilöä tapahtumatietoja viiden vuoden ajan.

Joko Signicatin henkilöllisyyden vahvistaminen on tasoa Trust-me-bro tai puheet anonymiteetin säilymisestä Signicatia käytettäessä on tasoa poliitikon vaalilupaus.

On se laillista. Jos epäilet, kannattaa lähteä haastamaan oikeuteen.