正在努力缩小限制访问AI的数据沙漠
|
看点一:法律适用范围更明确 草案对本法中的个人信息作出界定。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。 相比之下,今年5月通过的民法典规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
北京理工大学法学院民法典研究中心主任孟强表示,该草案没有具体列举个人信息范围,避免了立法重复;在规定个人信息的概念时,既强调了个人信息的权利保护,也强调了对个人信息权的规范行使和运用。 用户的网络记录被平台擅自收集用于商业推销、公民在相关机构登记的个人信息被泄露外传……近年来,随着大数据技术在各领域的广泛应用,公民个人隐私的边界也频频遭遇挑战。
13日,个人信息保护法草案在全国人大常委会会议上首次亮相,从确立“告知——同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面,全面加强个人信息的法律保护。 修复建议 通过向 web 应用程序响应添加"Strict-Transport-Security"响应头来实施 HTTP 严格传输安全策略,或实施具有足够长"max-age"的 HTTP Strict-Transport-Security 策略,强制客户端(如浏览器)使用HTTPS与服务器创建连接。 七、容易出现点击劫持(Clickjacking)漏洞描述
页面未能设置适当的X-Frame-Options或Content-Security-Policy HTTP头,则攻击者控制的页面可能将其加载到iframe中,导致点击劫持攻击,此类攻击属于一种视觉欺骗手段,主要实现方式有两种:一是攻击者将一个透明的iframe覆盖在一个网页上,诱使用户在该页面上进行操作,那么用户就在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义。 六、缺少"HTTP Strict-Transport-Security"头漏洞描述
因Web应用程序编程或配置不安全,导致缺少 HTTP Strict-Transport-Security 头。为了用户体验,有些网站允许使用HTTPS和HTTP访问,当用户使用HTTP访问时,网站会返回给用户一个302重定向到HTTPS地址,后续访问都使用HTTPS协议传输,但这个302重定向地址可能会被劫持篡改,被改成一个恶意的或者钓鱼HTTPS站点,导致敏感信息如用户名、密码、卡号或敏感文件位置泄露等风险。 二、加密会话(SSL)Cookie缺少secure属性漏洞描述
对于敏感业务,如登录、转账、支付等,需要使用HTTPS来保证传输安全性,如果会话Cookie缺少secure属性,Web应用程序通过SSL向服务器端发送不安全的Cookie,可能会导致发送到服务器的Cookie被非HTTPS页面获取,造成用户Cookie信息的泄露。如果启用了secure属性,浏览器将仅在HTTPS请求中向服务端发送cookie内容。 (编辑:伊春站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
