Öppna Skolplattformen polisanmäls av Stockholms stad

I'm back förlåt, du har helt rätt i att ad hominem / personangrepp är en nivå ovanför skällsord. Som du antydde hade jag av misstag tolkat pyramiden som ett paraply.

Min poäng var iaf att om det finns experter som hävdar det ena och man påstår det andra, då behöver man på något sätt ge trovärdighet. Ex. kreditera sin expertis, referera till något trovärdigt eller ha ett starkt resonemang. KADs inlägg tycker jag gör det bra genom att referera, citera, samt ge tolkningsutrymme när det lämpar sig (ex. "jag tycker", "jag tror inte").

Jag tyckte det räckte att länka till dokumentet då det inte är jättelångt att läsa. Men för att ha något konkret kan jag citera sammanfattningen längst ner i dokumentet (det sista stycket):

> Det är i sammanhanget viktigt att betona att apptillverkarna i enlighet med offentlighet- och sekretesslagen fått ett avslagsbeslut då information om API:er och SDK omfattas av sekretess. Att apptillverkarna genom baklängeskonstruktion (reverse engineering) berett sig tillgång till uppgifterna och därefter publicerat stadens API:er tillsammans med appens kod på en offentlig plattform, Github. Agerandet har därmed inneburit att sekretessbelagd information har blivit röjd.

Det här är b.la. vad utredningen kom fram till, vi kan tycka att det är fel men de kan ändå ha juridisk grund särskilt med hänsyn till att dem har rådfrågat en juridisk avdelning. När jag tidigare sa "dogmatisk" menade jag att man måste vara ödmjuk för att man kan ha fel. I det avseendet reagerar jag på formuleringar som "ÖSP behöver inget tillstånd för att publicera appen", men hade inte reagerat på "Jag tycker inte att utredningen har rätt i att ÖSP behöver tillstånd för att publicera appen".

Ok, det där löste ganska många knutar i diskussionen för min del i alla fall. Om de endast släppt appen som sådan, men inte källkod eller dokumentation av baklängeskonstruerad API, hade problemet varit mindre. Men det leder samtidigt till nya frågor innebörden av sekretessbelagd information. Om information återskapas utan tillgång till den ursprungliga sekretessbelagda information är då spridning av återskapad information spridning av sekretessbelagd information.

Det är alltså inte Skolplattformens källkod de har släppt, utan ÖSP:s egna källkod.

Ungefär som Stockholms Skolplattforms egna frontend-kod alltså, som man kan få fram genom F12.

Hastigt skrivet. Men folk har ju gjort det här på forumet. Man har skapat skript och dylikt om hur sidan önskas att bete sig i funktion samt färgmässigt och annat ändrat hur kod skall bete sig etc. Dom nyttjar någon plugin som då ersätter originalkod osv i olika sekvenser.

Varje gång Sweclockers uppdaterade sida orsakade man problem för dem. Inte har Geeks polisanmält dessa användare för ändringarna.

Samma tillvägagångssätt - Med skript etc. skulle ÖSP kunna erbjuda till folk att implementera i sina webbläsare för att underlätta livet för dem.

Ska vi polisanmäla alla som laddar hem ett specifikt plugin för detta specifika ändamål?

Det innebär ju inte att det är rätt för mig att skapa en app som tankar hem materialet från sweclockers, bygger om designen, och slänger upp egen reklam.

Jag kan inte det här.
Men jag undrar lite i vilken utsträckning man får göra en egen produkt baserat på någon annans produkt i botten.

Skulle jag exempelvis kunna starta swehackers.com som egentligen bara är ett skal där allt underliggande egentligen är sweclockers.com databaser? Alltså egen look på siten och så, men inloggning och allt innehåll hämtas från sweclockers?

Eller att sätta upp söderbäcks aktiehandelssite som egentligen helt bygger på avanzas lösning i grunden. Jag har bara ett eget skal som hämtar in avanzas funktioner, inloggningar och alltihop. Bygga hela sin lösning på att ta någon annans backend om man klurar ut deras APIer.
Jag gissar på att man inte får göra så hur som helst - eller?

För det är väl lite så jag upplever att öppna skolplattformen gjort. Byggt en egen app som de tar betalt för - helt baserat på en annan instans databaser och heletslösning.

Eller så är det inte alls samma. Vad är då de stora skillnaderna i så fall?

Kul med liknelser! Jag tycker dock vissa detaljer är viktiga att få med, har utökat liknelsen:

Begrepp / Förkortningar
Dörren = Skolplattformens API
Nyckeln = Session för APIet (autentiseras med BankID)
Målet = Användarens personuppgifter (ligger bakom Dörren)
A = Användaren
S = Skolplattformen / Stockholm Stad
Ö = Öppna skolplattformen / No free beer HB

Premisser
A har medgett att Ö får bära på Nyckeln.
A har medgett att Ö får bära på Målet.

Scenariot
A vill komma åt Målet och väljer att använda Ö.
Ö ber A hämta nyckeln (logga in med BankID).
Ö hämtar Målet med Nyckeln.
Ö presenterar Målet för A.

Ansvar i scenariot ovan
S har ansvar för Dörrens säkerhet.
S har ansvar för Målets säkerhet bakom Dörren.
Ö har ansvar för att Nyckeln hanteras på ett lagligt och säkert sätt (i appen, när det väl har hämtats).
Ö har ansvar för att Målet hanteras på ett lagligt och säkert sätt (i appen, när det väl har hämtats).

Efter att ha läst ÖSP källkoden tycker jag att ovan är en representativ bild som ändå är hyfsat lätt att förstå.
Notera att ansvaret är baserat på scenariot och oberoende av implementationsdetaljerna. Även om Skolplattformens API vore 100% säkert frånsäger det inte deras ansvar. När det dyker upp en säkerhetsbrist i APIet så bär Skolplattformen ansvaret, precis på samma sätt som No free beer HB bär ansvaret för säkerheten i Öppna skolplattformen.

Jag kan inte det här.
Men jag undrar lite i vilken utsträckning man får göra en egen produkt baserat på någon annans produkt i botten.

Skulle jag exempelvis kunna starta swehackers.com som egentligen bara är ett skal där allt underliggande egentligen är sweclockers.com databaser? Alltså egen look på siten och så, men inloggning och allt innehåll hämtas från sweclockers?

Eller att sätta upp söderbäcks aktiehandelssite som egentligen helt bygger på avanzas lösning i grunden. Jag har bara ett eget skal som hämtar in avanzas funktioner, inloggningar och alltihop. Bygga hela sin lösning på att ta någon annans backend om man klurar ut deras APIer.
Jag gissar på att man inte får göra så hur som helst. Men jag vet inte var gränserna går här. Det är väldans luddigt.

För det är väl lite så jag upplever att öppna skolplattformen gjort. Byggt en egen app som de tar betalt för - helt baserat på en annan instans databaser och heletslösning.

Eller så är det inte alls samma. Vad är då de stora skillnaderna i så fall?

Användaren väljer själv vilken webbläsare / operativsystem som ska köras.

Skolplattformen erbjuder inget sådant och ansvarar för den kod dem tillhandahåller...

Om jag använder en app som läcker mina personuppgifter, visst fan är det apputvecklarna som har ansvaret och inte jag?

Det är dina exempel som är absurda. Användaren väljer själv vilken webbläsare / operativsystem som ska köras. Skolplattformen erbjuder inget sådant och ansvarar endast för den kod dem tillhandahåller...

Du verkar ha tappat kontext helt och hållet. Om jag använder en app som läcker mina personuppgifter ligger inte ansvaret på mig. Juste, jag glömde att detta gäller ÖSP så det är klart att användaren bär ansvaret

Jag kan inte det här.
Men jag undrar lite i vilken utsträckning man får göra en egen produkt baserat på någon annans produkt i botten.

Skulle jag exempelvis kunna starta swehackers.com som egentligen bara är ett skal där allt underliggande egentligen är sweclockers.com databaser? Alltså egen look på siten och så, men inloggning och allt innehåll hämtas från sweclockers?

Eller att sätta upp söderbäcks aktiehandelssite som egentligen helt bygger på avanzas lösning i grunden. Jag har bara ett eget skal som hämtar in avanzas funktioner, inloggningar och alltihop. Bygga hela sin lösning på att ta någon annans backend om man klurar ut deras APIer.
Jag gissar på att man inte får göra så hur som helst. Men jag vet inte var gränserna går här. Det är väldans luddigt.

För det är väl lite så jag upplever att öppna skolplattformen gjort. Byggt en egen app som de tar betalt för - helt baserat på en annan instans databaser och heletslösning.

Eller så är det inte alls samma. Vad är då de stora skillnaderna i så fall?

Bra funderingar.

Följdfråga, det här skalet som tredjepart tillhandahåller mellan slutanvändare och dataförsörjaren, kan det göras helt transparent mot den som tillhandahåller datan?