Open pkleczko opened 4 years ago
Może dla porządku dorzucić tam też DPIA?
Na szybko linkuję: https://github.com/ProteGO-Safe/specs/issues/141#issuecomment-641529926 @pkleczko warto dodać jak mówi @jasisz
DPIA również wylądowało w folderze audits: https://github.com/ProteGO-Safe/specs/blob/master/audits/DPIA_ProteGO_Safe-PL.xlsx
Artykuł Fundacji Ponoptykon podsumowujący kwestie security i privacy: https://panoptykon.org/czy-instalowac-protego-safe
W folderze audits oraz na stronie MC zamieszczone zostały:
News z dziś: Być może część dotycząca prywatności ProteGO Safe już nie będzie potrzebna.
Już w US Apple i Google wdrożyły model w którym nie trzeba aplikacji - coś o co od dawna apelowałem, m. in. w https://blog.kurasinski.com/2020/05/jarek-potiuk-musimy-zaufac-technologii/
Naprawdę - EN zaczyna być coraz bliżej do bycia faktycznie dobrym rozwiązaniem.
Swoje wstępne uwagi dotyczące raportów prywatności i bezpieczeństwa pozostawiłam tutaj: https://github.com/ProteGO-Safe/specs/issues/209#issuecomment-690287426
BTW.
o co od dawna apelowałem, m. in. w https://blog.kurasinski.com/2020/05/jarek-potiuk-musimy-zaufac-technologii/
Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
@potiuk tyle się dowiedziałam.
Czy jest jakiś zaplanowany harmonogram audytów per wersja aplikacji (zmian wersji na poziomie minor czy major)? Ostatni audyt dotyczy wersji 4.2.1 (aktualna to 4.4.0).
@olekstomek Kolejne audyty będziemy rekomendować przy istotnych zmianach architektury lub usług ją tworzących. Trwa również audyt w ramach przygotowań do interoperacyjności rozwiązań w Europie - organizuje go https://reviewfacility.eu/
Cześć,
W tym miejscu publikujemy pierwszy z raportów audytu security, przeprowadzony przez firmę Securitum. Wybaczcie, że z małym poślizgiem ale wynikało to głównie z faktu, że kolejne wydania aplikacji mobilnych, które rozwiązywały część ze zgłoszonych w raporcie podatności wymagały przeprowadzenia przed ich wdrożeniem produkcyjnym ponownych retestów. Każdy taki cykl zajmuje 5-7 dni. Raport wymagał również wprowadzenia informacji wyjaśniających dla części podatności (jak chociażby dodanie informacji o tym, że aplikacja webowa została w całości przeniesiona do aplikacji mobilnych jako ich integralna część i nie jest dłużej dostępna pod pierwotną domeną safesafe.app). To również miało wpływ na opóźnienie premiery, ale zależało nam na tym, aby w raporcie pojawiły się wyjaśnienia podejmowanych w trakcie decyzji.
[TL;DR]
Raport dotyczył: • Testów penetracyjnych aplikacji ProteGO Safe w wersji webowej oraz mobilnej • Testów bezpieczeństwa API mobilnego • Analizy kodu źródłowego aplikacji webowej • Testów penetracyjnych elementów infrastruktury
Prace były wykonywane w dniach: • 08.05.2020 – 12.05.2020 • 15.06.2020 – 21.06.2020 • 07.07.2020 – 09.07.2020 • 16.07.2020 – 17.07.2020
W kolejnych dniach do katalogu audits w tym projekcie dodamy kolejne raporty z audytów, jak tylko otrzymamy ich finalne wersje. O publikacji powiadomimy Was w tym wątku.