Elisa Viihde API Info

Papru ei onneksi meille asti ehtinyt juhannustani pilaamaan.

Minua on alusta asti askarruttanut seuraava:

- minulla on apikey
- teen jonkun softan ja julkaisen sen lähdekoodeineen
- sitten joku nappaa apikeyn ja tekee oman softansa, joka sitten tekee jotain ikävää

Jotenkin tuntuu että ihan loppuun asti ajatus ei kanna?

Käytännössä joudut tekemään koodin niin, että apikey tulee tarvittaessa muuttujasta. Ja julkaiset koodin ilman api-keytä kommentoimalla kohdan, jossa muuttujaan asetetaan api-key..

Oikeastaan ainoa ratkaisu on tuo, kun olen tässä pähkäillyt. Mitään salausta ei voi iskeä, kun koodit on julkisia. Tosin tiedän montakin, jotka ovat viimeisen 5v aikana säästäneet minun aikaa sillä, että ovat hakeneet lähdekoodit ja kääntäneet eViihteestä omassa koneessa toimivan version. Useasti syynä on ollut käyttisten päivittyminen ja siitä seuranneet yllätykset. Tämä ei sitten jatkossa ole enää mahdollinen, kun osa koodista ei ole repossa.

Esim. ViihdeHelperin kohdalla, koska on javascriptissä kirjoitettu, niin apikey on julkaistussa versiossakin luettavissa jos tietää mistä hakea.
Pääsen kyllä koko tämän ongelman ohi, koska selainlaajennus ajetaan elisaviihde-sivulla, niin pystyn lukemaan bearer authentication token suoraan window-oliosta.

Kun kyselin asiasta sain vastauksen että tällä hetkellä, autentikointi seuraa tätä mallia: https://tools.ietf.org/html/rfc6749#section-4.3

Huomautin että tämä ei kuitenkaan sovellu klienttipohjaisiin ratkaisuihin, ja vastauksena oli että se on tiedossa ja tämä malli vaatinee pienen remontin jossain vaiheessa.

Ihan käsittämätöntä toimintaa ja vielä huonompaa tiedottamista Elisalta. Muutama huomio:
1. Mitä tekemistä GDPR:llä on vanhan API:n kanssa? Kysytty monta kertaa, vastausta ei saatu.
2. "Tieto tuotiin julki heti kun se oli tarjolla" ja sitten muutamassa päivässä vanhasta API:sta sammutettiin valot. Niinkö nopeasti uusi API tehtiin, vai tiedettiinkö kupletin juoni kuitenkin jo paljon aiemmin, mutta valittiin radiohiljaisuus?
3. Täällä Elisan aloittamassa ketjussa käyttäjät joutuvat arpomaan asioita sen sijaan että tietoa jaettaisiin kunnolla Elisan toimesta.

"Ollaan pahoillaan" ei oikein auta eikä edes kuulosta uskottavalta, kun ilmiselvästi on toimittu vastoin asiakkaiden tarpeita. Onneksi ei ole enää määräaikainen Viihde itsellä. Menee vaihtoon pikapikaa, jos ViihdeHelper tai MediaManager ei ala pian toimia... sääli...

Onko kukaan saanut vastauksia/kommentteja Elisalta liittyen GDPR-sopimukseen?

Onko kukaan saanut vastauksia/kommentteja Elisalta liittyen GDPR-sopimukseen?

Hiljaista on edelleenkin.
Mites eviihteen käy jos ja kun tohon GDPR-sopimukseen ei tule muutosta? Pystytkö sen jotenkin tekemään silleen että sun peräreikäs olis turvassa? Oli täällä muutamalla heebolla mun mielestä ihan hyvä idea miten sen sais turvallisesti päivitettyä.

ViihdeHelperin tarina taitaa olla pelattu jos tohon sopimukseen ei tule muutosta 😞 Näin ainakin ymmärsin asmandin viestistä blogissaan.

Juhannuksena tutkin api dokumentaatiota sekä python kirjastoa ja sehän oli ihan ok ja selvä. Plussana robot framework testipätkä jolla saa helposti tarkasteltua json vastaukset jne.

Sain parin illan leikkimisen jälkeen kodille päivitettyä Elisa viihde addon:n joka toimii paremmin kuin vanhalla api:lla.
En voi tai uskalla tuota jakaa GDPR-sopparin takia.
No nautin tekeleestä vain itse vaikka olisi kiva jakaa se muillekin.

Ihmeen kauan elisalta meni api-dokkarin ja esimerkkikoodin kanssa. Ne ei muuten ole ihan synkassa keskenään :?
Kui vaikee semmone addoni o tehä 😃

Jos joku nyt saa tehtyä Elisa viihde media managerin joka toimii niinkuin ennenkin VLC:n kanssa työpöydältä, niin minä kyllä voin sen pistää jakoon 🆒

Miten jonkin yksittäisen tietokoneessa/puhelimessa/tabletissa ajettavan sovelluksen kirjautumistiedot voivat olla jonkin GDPR-sopimuksen alaista tietoa? Käyttäjätietokantahan on kunkin palveluntarjoajan hallinnassa eikä millään sovelluksella pitäisi olla mitään pääsyä koko käyttäjätietokantaan. Tietokoneessa yksittäisen käyttäjän käytössä olevia sovelluksia, jotka tallentavat ko. käyttäjän kirjautumistiedot koneella, on olemassa pilvin pimein, eikä kenelläkään muulla ole tässä asiassa mitään ongelmaa.

Kertokaa nyt selvin sanoin, mikä teidän mielestänne tässä on sovelluskehittäjän ongelma? Kehittäjänäkään te ette saa sovelluksenne kaikkien käyttäjien(ne) tietoja käsiinne.

Ohessa Hesarin asiallinen juttu GDPR:stä. Aika paljon euroja on heitetty kaivoon, kun on pelästytty varjoja. En keksinyt vielä selkeää yhteyttä, miten Elisa voisi saada yksityisen ihmisen korvausvastuuseen GDPR nojalla, sovellusten tekeminen ja jakaminen ei sinällään ole laitonta. Käyttäjätunnukset ja muut tiedot ovat joka tapauksessa Elisan hallussa.

Kopioin leipätekstin tähän, alimmaisena linkki alkuperäiseen artikkeliin. En tiedä, aukeaako se vain Hesarin tilaajille.

---

Konsultit ratsastivat EU:n tietosuoja-asetuksen uhkakuvilla – Tietosuojavaltuutetun mukaan jättimäisillä viranomaissanktioilla uhkailu oli täysin väärin

Suomalaiset yritykset käyttivät miljoonia EU:n tietosuoja-asetukseen varautumiseen. Kuluttajat saivat oikeuden, jota harva on toistaiseksi hyödyntänyt.

Samuli Pulkkinen HS

Julkaistu: 24.6. 2:00 , Päivitetty: 24.6. 15:39

Tietosuoja-asetusta valvova viranomainen Reijo Aarnio moittii konsulttifirmoja harhaan johtamisesta ja rahastuksesta.

Aarnion mukaan konsulttiyritykset pelottelivat asiakkaitaan liian raflaavasti tietosuoja-asetus gdpr:ään liittyvillä sanktioilla.

”-- viranomaisten sanktiomahdollisuudet kasvavat huomattavasti – seuraamusmaksut ulottuvat jopa 20 miljoonaan euroon tai 4 prosenttiin organisaation globaalista liikevaihdosta”, opastetaan esimerkiksi asianajotoimiston perustamalla Tietosuoja.info-sivulla.

Sama tieto hurjista maksimisanktioista toistui kevään aikana lukemattomien koulutusten kuvauksissa ja tietosuoja-asetuksesta kertovissa ohjeissa. Osassa myös kerrottiin, että summista sovelletaan sitä, kumpi vain on suurempi.

Niinpä asetuksen varalle koulutettiin niin taloyhtiöiden hallituksia kuin kyläyhdistysten ja järjestöjen aktiiveja. Käytännössä jokaisen yrityksen ja julkishallinnon toimijan tulee ottaa asetuksen tuomat muutokset huomioon ja useissa suurissa yrityksissä vaatimuksiin varauduttiin jopa vuosien mittaisilla projekteilla.

Euroopan laajuinen tietosuoja-asetus astui voimaan toukokuun lopussa.

Aarnio sanoo sanktiokeskustelun menneen väärille raiteille.

”Sanktiotoimivallan käyttö ei ole vielä valmis, mutta kyseessä on Euroopan laajuinen käytäntöjen harmonisointi, jolla halutaan estää esimerkiksi toimipaikkashoppailu sen perusteella, missä rikkeistä määrättäisiin pienempiä sanktioita. Sikäli superviranomaisen lätkimien neljän prosentin sanktioiden toitottaminen on totaalisen väärin.”

Rahallisten sanktioiden saaminen edellyttäisi Aarnion mukaan joka tapauksessa erittäin pitkän, yksitoistaportaisen asteikon täyttymistä. Voiko ajatella, että sanktioista puhumisen taustalla on myös rahastusta?

”Totta kai voi ajatella. Tällä uhalla ovat ratsastaneet konsultit ja koulutuspalveluiden tarjoajat ynnä muut toimijat. Meille on kantautunut myös korviin, että vastuuta on sopimuksia tehdessä yritetty vierittää alihankintaketjussa eteenpäin”, Aarnio sanoo.

”Asian ympärillä on liikkunut paljon hypetystä ja väärää tietoa ja varmasti on yritetty myös rahastaa tämän varjolla. Historia tulee sitten tuomitsemaan, miten tämän viestinnässä on onnistuttu”, hän lisää.

Konsulttien liiketoiminta kasvoi

Ainakin siltä osin viestintä on onnistunut, että konsulteilla on riittänyt töitä.

Isoista toimijoista esimerkiksi PricewaterhouseCoopersin (PwC) tietosuojaprojektien päällikkö Harri Leinonen kertoo yrityksen rekrytoineen lisää henkilökuntaa gdpr-projektien tarpeisiin.

Tietosuojaprojektien osuus liiketoiminnasta kasvoi viime vuonna merkittävästi ja melkein kaikki kasvusta tuli muiden riskienhallintaprojektien lisäksi.

Leinosen mukaan he ovat asiakkaille mahdollisista sanktioista maininneet, mutta eivät millään tavalla uhkailleet tai edes korostaneet niitä.

”Jos Suomen edeltävään lainsäädäntöön vertaa, tärkeimmät gdpr:n tuomat uudet asiat olivat osoitusvelvollisuus ja mahdollisuus sanktioihin, jos asiat hoitaa pitkään väärin.”

Tietosuoja.info-sivuston perustaneen asianajotoimisto Lukander Ruohola HTO:n osakas, varatuomari Tatu Kulmala sanoo olevansa asiassa ”täsmälleen samaa mieltä” tietosuojavaltuutetun kanssa.

”Sen tyyppistä kyllä on ollut ja erityyppisiä konsultteja on ollut liikkeellä, mutta meidän sivullamme asia on mielestäni tuotu asiallisesti esiin”, hän sanoo.

Sanktioista puhumiselle on hänestäkin silti ollut myös perusteita.

”Se on minusta saattanut asian sille tasolle, että yritysten johdossa on tiedostettu, miten tärkeää henkilötietojen asianmukainen käsittely on.”

Lukander Ruohola HTO:n asiakkaat alkoivat olla suurissa määrin liikkeellä pääosin tämän vuoden puolella.

”Isot yritykset olivat aktivoituneet jo aikaisemmin, PK-sektori heräsi vasta myöhemmin. Ja oli osa isoistakin yrityksistä liikkeellä vasta kalkkiviivoilla. Siinä vaiheessa moni organisaatio meni tukkoon, kun työtä tuli niin paljon.”

”Itselläni ei ole koskaan ollut näin paljon töitä kuin tänä keväänä. Tulee mieleen, että euron käyttöönotto oli edellinen näin laajalti näkynyt muutos, siinä mielessä mittakaava oli aivan valtava.”

Eivätkä suomalaiset toimijat ole tietoturva-asetuksen edessä yksin. Sama varautumisrumba on ollut käynnissä läpi Euroopan.

Ja koska asetus koskee kaikkia, jotka käsittelevät eurooppalaisten tietoja, siihen jouduttiin varautumaan myös Euroopan ulkopuolella. Useat yhdysvaltalaiset verkkoyritykset päätyivät toukokuussa lopettamaan palvelujensa tarjoamisen eurooppalaisille asiakkaille ennemmin kuin ottivat riskin huhuttujen miljoonasanktioiden lankeamisesta.

Asetukseen varauduttiin suurin summin

Arvioita summista, joita suomalaisyritykset ovat tietosuoja-asetukseen varautumiseen käyttäneet, ei juuri ole. Osin gdpr-projekteissa käytettyjä summia on myös vaikea erotella muusta tietoturvasta huolehtimisesta.

Kansainvälisiä arvioita esitteli Forbes toukokuisessa artikkelissaan, jonka mukaan suurimmat yritykset Yhdysvalloissa (Fortune 500) ja Britanniassa (FTSE 350) ovat käyttäneet tietosuoja-asetukseen valmistautumiseen yhteensä yli 7,5 miljardia euroa.

Konsulttiyritys Sia Partners puolestaan esitti tammikuussa arvion jopa 500 euron summasta yrityksen työntekijää kohden.

PwC:n Leinosen korviin summa kuulostaa kuitenkin liian suurelle.

”Näppituntuma on, että isommillakin asiakkailla kokonaisuudet jäivät pääsääntöisesti alle 100 000 euron suuruusluokkaan sisältäen asiakkaan omassa organisaatiossaan tekemän työn”, hän sanoo.

Suurista projekteista joka tapauksessa on kyse. Kaikissa suurissa yrityksissä, joista Helsingin Sanomat asiaa kysyi, gdpr-projektien kerrottiin kestäneen vähintään vuoden ajan. Usein koko henkilökunta on käynyt asiaa koskevan koulutuksen, jolloin käytetylle työajallekin kertyy hintaa.

Esimerkiksi Keskon tietosuojahanke alkoi toukokuussa 2016 ja hankkeeseen osallistui yli 200 asiantuntijaa seitsemässä eri toimintamaassa.

”Pääsääntöisesti hanke tehtiin omin voimin kouluttamalla ja käymällä läpi käytäntöjä ja ohjeita. Ulkopuolisia tahoja oli mukana muun muassa kehityspuolella ja tietojärjestelmien muokkaamisessa”, K-ryhmän kuluttajadatasta vastaava Minna Vakkilainen kertoo.

Vaikka sanktioiden uhka olisikin pienempi kuin annettiin ymmärtää, se ei välttämättä ollut pelkästään pahasta.

”Sanktiot saivat ehkä vakavoitumaan asian edessä. Ne eivät olleet peikko, mutta auttoivat asettamaan koko tekemiselle tärkeysasteen. Keskossa puhutaan vahvasti, että asiakkailla on oikeus tietoihinsa ja omaan yksityisyyteensä. Siihen nähden tietoturva-asetus on erittäin hyvä asia ja motiivi sen taustalla on oikein hyvä.”

Vain harva on ollut kiinnostunut uusista oikeuksistaan

Tietosuoja-asetuksen myötä mikä tahansa yritys tai organisaatio, jolla on mitä tahansa tallennettuja henkilötietoja, on velvollinen antamaan kysyjille heidän omat tietonsa.

Pyydettäessä se on myös tehtävä sellaisessa muodossa, että tiedot on siirrettävissä toisiin palveluihin. Monin paikoin tämä on edellyttänyt eri kokoisia muutoksia yritysten tietojärjestelmiin.

Osassa yrityksistä asiakkaat pääsevät suoraan lataamaan omat tietonsa verkkosivujen kautta, osassa pyyntöjen käsittely on enemmän tai vähemmän käsityötä.

Yrityksistä OP Ryhmä arvioi, etteivät tietopyynnöt asetuksen voimaantulon jälkeen ole lisääntyneet, S-ryhmään pyyntöjä on tullut jopa aiempaa vähemmän.

Keskon Vakkilainen arvioi tietopyyntöjä tulleen aiempaa enemmän, mutta oletettua maltillisemmin: kaiken kaikkiaan noin 200, kun rekisterissä on yli 3,6 miljoonan suomalaisen tiedot. Asiakkaat eivät ole siis rynnänneet hyödyntämään oikeuksiaan.

Osana asetusta yrityksillä on myös velvollisuus ilmoittaa havaituista tietoturvaloukkauksista tietosuojavaltuutetun toimistoon. Näitä ilmoituksia kertyi ensimmäisten 19 päivän aikana toista sataa.

”Etukäteen arviomme, että yhteydenottoja tulisi 1 300 vuodessa. Siihen verrattuna tuo on aika hurja määrä”, Aarnio sanoo.

”Tilannetta seurataan kesän mittaan ja vedetään sitten yhteen. Vielä ei ole esimerkiksi tietoa, ovatko yritykset informoineet asiakkaitaan kuten asetus edellyttää. Asetuksen kohta, joka velvoittaa ilmoitusten tekemiseen, näyttäisi kuitenkin osoittautuneen hyväksi.”

Sanktioilla pelotteluun viranomaiset eivät ole lähteneet, vaan niistä puhuminen on jäänyt yksityisille toimijoille.

”Meillä on ihan oma viestintä- ja tiedotusstrategiamme, emmekä ole lähteneet hypeen mukaan. Asiassa mennään kuin juna eteenpäin ja rakennetaan EU:n laajuiset käytännöt”, Aarnio sanoo.

”Tuntuu, että tähän hankkeeseen lähdettiin aika syvältä. Kansalaiset eivät tienneet omia oikeuksiaan eivätkä yritykset velvollisuuksiaan. Siinä mielessä tämä on ollut hyvä herätys kaikille.”
---
https://www.hs.fi/kotimaa/art-2000005730671.html

API keyn maskeeraamiseen ei helppoa konstia oikeastaan ole, mutta tälle ei suoraan myöskään ole tarvetta. API key tarvitaan, jotta voimme tunnistaa kehittäjän joka sovelluksen on tehnyt. Tämä tarvitaan vain siihen, että meillä on henkilö johon voimme olla yhteydessä mikäli havaitaan epäilyttävää toimintaa. API key ei siis itsessään GDPR:n näkökulmasta tee kehittäjästä vastuullista avaimen kautta tapahtuvista transaktioista.

GDPR:n osalta muutenkin kehittäjän tulee lähinnä tunnistaa vain se, että hän käsittelee tietoja, jotka voivat sisältää henkilödataa ja sen vuoksi kehittäjän tulee käsitellä tietoja vastuullisesti. Vastuussa kehittäjä on siis vain omasta toiminnastaan.

Lisäksi nostaisin vielä huomiolle sen, että seuraamme kyllä tätä keskustelulankaa, eli tarvetta erillisille keskustelunavauksille täällä esitetyille asioille ei ole. Vastausten saaminen voi valitettavasti välillä kestää, kun ei ihan Palstatiimin omimpiin tehtäviin sidonnaista ole tämä API, mutta pyrimme kyllä selvittämään mikäli kysymyksiä herää. Itsessään API:n käytöstä emme siis myöskään osaa suorilta vastata, vaan siihen suosittelemmekin vertaistuen hyödyntämistä täällä Palstalla. Eli emme osaa sanoa että "miten juttu X toimii" tai "aiemmin X tapahtui kun kirjoitin [koodia], mutta miten se nyt tehdään" vaan näihin kannattaa hakea apuja täältä muilta kehittäjiltä :)

Mitäs tää nyt sit meinaa? Voiko sovelluksen julkaista ilman et tulee kuraa niskaa..