Komentāri iekš: SQL injekcijas un atbildība

No: Atis

Atis — Thu, 02 Oct 2008 07:10:59 +0000

Vispār jau reti kurā iestādē paši taisa lapas. Tās parasti taisa kantori, kas uzvar konkursos. tāpēc pārmest iestādes adminam, ka lapa šķībi uzkodēta būtu nekorekti. Cita lieta – vai kāds seko līdzi šīs lapas korektai darbībai un pienācīgi pārbauda kā lapa strādā to pieņemot. admini iestādēs (cik nu man zināms) parasti nodarbojas ar tīklu uzturēšanu un tamlīdzīgām (mistiskām un man neizprotamām) lietām, nevis kaut ko kodē.

No: BlackHalt

BlackHalt — Wed, 01 Oct 2008 14:34:10 +0000

Tām tur lapām, veicot normālu darbību ar pārlūkprogrammu, bieži vien izlec visādas kļūdas un pats lapas kods (tas kurš PHP un MySQL) nekorekti apstrādā datus. Un arī attēlo.

Es nezinu, kas notiktu, ja tajās tur lapās, piemēram, meklēšanas lauciņā nostrādātu kaut kas līdzīgs DROP DATABASE.

Jābūt arī kaut kādam līdzsvaram. Valsts iestāžu darbinieku sinočki un dočkas adminos iekļuvuši nevar tik audzēt riepu.

Es vispār ļoti gaidu precedentu, kad tiks notiesāts arī kāds adminis.

No: Atis

Atis — Wed, 01 Oct 2008 11:16:50 +0000

Nepētīju sarakstu ar valsts iestādēm, kuras “testētas”, bet lielākoties šīs mājas lapas nevar uzskatīt par valsts informācijas sistēmām (skat. Valsts informācijas sistēmu likumu). Līdz ar to administratora atbildība ir saistīta ar dienesta (ja admins ir ierēdnis) vai darba tiesiskajām attiecībām un ir atkarīgs no darba devēja. To var traktēt kā darba pienākumu neizpildi, ja admina pienākumos (saskaņā ar darba līgumu, darba aprakstu vai vadītāja rīkojumu) ietilpst pienākums nodrošināt lapu aizsardzību.

Savukārt, ja uzbrukums skar valsts informācijas sistēmu (piemēram, caur zemesgrāmatu mājas lapu pamanās pačakarēties valsts kadastra reģistrā) un admins ir pārkāpis valsts informācijas sistēmas drošības noteikumus, tad admins atbild saskaņā ar Krimināllikuma 245.pantu:

“245.pants. Informācijas sistēmas drošības noteikumu pārkāpšana

Par saskaņā ar informācijas režīmu vai tās aizsardzību izstrādātu informācijas glabāšanas un apstrādes noteikumu vai citu informācijas datorsistēmas drošības noteikumu pārkāpšanu, ko izdarījusi persona, kura ir atbildīga par šo noteikumu ievērošanu, ja tas bijis par iemeslu informācijas nolaupīšanai, iznīcināšanai vai bojāšanai vai ja ar to radīts cits būtisks kaitējums, –
soda ar brīvības atņemšanu uz laiku līdz diviem gadiem vai ar piespiedu darbu, vai ar naudas sodu līdz četrdesmit minimālajām mēnešalgām.”

No: x-f

x-f — Wed, 01 Oct 2008 10:48:52 +0000

Neviens arī netaisījās iesēdināt Petruhu (ja neskaita dažus histēriskus valsts iestāžu datoradminus), galvenais bija sacelt brēku un piedraudēt, lai to pašu nemēģinātu atkārtot citi.

Kāda ir atbildība par tīšu nolaidību, pieļaujot un / vai neizlabojot šādas elementāras, taču būtiskas kļūdas, kad uz tām norādīts?

No: Atis

Atis — Tue, 30 Sep 2008 08:49:13 +0000

Aizmirst nedrīkst, protams. Bet tā ir papildus kvalificējošā pazīme 241.3.panta pirmajā un otrajā daļā minētajām darbībām un sekām, proti: radīts būtisks kaitējums, izraisītas smagas sekas vai tās veiktas mantkārīgā nolūkā. Tas, ka “uzbrukums” noticis valsts informācijas sistēmai vēl nenozīmē, ka iestājas kriminālatbildība. Jābūt sekām vai mantkārīgam nolūkam. Turklāt ne jau visas valsts iestāžu mājas lapas ir valsts informācijas sistēmas.

No: vdl

vdl — Tue, 30 Sep 2008 08:05:41 +0000

nevajag piemirst punktu par valsts iestaadeem

241.3 Par šā panta pirmajā daļā paredzētajām darbībām, ja tās vērstas pret valsts informācijas sistēmām – soda ar brīvības atņemšanu uz laiku līdz astoņiem gadiem vai ar naudas sodu līdz simt astoņdesmit minimālajām mēnešalgām.