Tietosuoja

Galakseilla · 30.11.2011, 17:39:51

Terve.

Olen uusi vanha käyttäjä. Muistaakseni vanha nimimerkkini oli sama kuin nyt mutta x:llä kirjoitettuna.
En joko muistanut nimimerkkiäni tai jotain, joten tein uuden.

Rekisteröimistiedoissa kehotettiin laittamaan nimi allekirjoitukseksi. Ei siinä mitään, kirjoittelisin ihan mielelläni nimelläkin. Mutta, mitenkä google-botit sun muut löytää tänne? Onko kirjoituksia mitenkään suojattu? Tähän mennessä olen pystynyt suojaamaan nimeni, ei löydy googlella tarinaa. Jos lyön nimeni allekirjoituksieen, niin pääsenkö myös googlen hakuihin?

Timpe · 30.11.2011, 20:23:00

Ei ne ainakaan kovin aktiivisesti tätä palstaa seuraa käyttäjänimien suhteen. Laitoin oman nimeni hakuun hipsuilla ympäröitynä ja hakutuloksista vain pieni osa kosketti itseäni ja omia tekemisiäni ja vasta hakusivulla kaksi päästiin tänne julkaisemaani IC10 -kuvaan. Tämä siis 3000+ nimellä kirjoitetun viestin jälkeen. Haku toimii kyllä tehokkaasti, jos aiheena on jokin foorumin kirjoituksissa esiintyvä aihe. Kokeilin hakea Velhosumua, Kotelosumua, Liekkisumua ja kollimointia ja aina napsahti haku kohdalleen tänne jo ykkössivulla. Ongelmasta selvinnee kirjoittamalla tänne asiallisia juttuja tai liittämällä nimeen hämäyksiä kuten välilyöntejä yms. robottikiusaa. Itse en ole viitsinyt ryhtyä nimeni maskaukseen, koska en koe tähtiharrastusta mitenkään haitalliseksi omalle imagolleni

(PS. Useimmat hakurobon nimilöydökset olivat kaimojen tekosia, joten oma todellinen minuus hukkuu massaan. Esim. tämä juttu huvitti kovin allekirjoittanutta

)

Galakseilla · 30.11.2011, 21:45:54

Joo en minä sitä, että häpeisin tai haluaisin piilotella juttujani. En vain tykkää Googlen politiikasta. Ei siinä mitään jos Ursalaiset tietää henkilöllisyyteni, mutta koko netti? Ei kiitos.

Mika Takala · 18.01.2012, 21:29:01

Haluaisin antaa palautetta tietosuojasta:

Rekisteröitymisen yhteydessä käyttäjän antama salasana lähetetään sähköpostissa käyttäjän antamaan osoitteeseen. Tämä on erittäin tietoturvatonta, sillä sähköpostit siirtyvät täysin salaamattomasti!

Lisäksi onko käyttäjätietokanta tarpeeksi hyvin salattu, jos kerran salasanat on järjestelmän itsensä tiedossa ja ne pystytään kaivamaan esiin? Tälläinen tietokanta on nykymittapuun mukaan tietoturvaton; salasanat pitäisi olla tiivistettyjä (hash) ja mielellään vielä suolattuja (salt) että niitä ei pystyisi helposti saamaan selville, vaikka käyttäjätietokantaan murtauduttaisiinkin.

Riqis · 19.01.2012, 13:47:09

Lainaus käyttäjältä: Mika Takala - 18.01.2012, 21:29:01
Rekisteröitymisen yhteydessä käyttäjän antama salasana lähetetään sähköpostissa käyttäjän antamaan osoitteeseen. Tämä on erittäin tietoturvatonta, sillä sähköpostit siirtyvät täysin salaamattomasti!

Monet vastaavalla tavalla kevyesti toteutetut yhdistysten, kerhojen ym. keskustelualueet eivät ole tietoturvan osalta parhaassa mahdollisessa kuosissa. Toisaalta niillä - kuten tälläkään - ei tyypillisesti hoideta raha-asioita, ei säilytetä henkilöturvatunnuksia tms. raskaampaa tietoturvaa edellyttävää.

Täällä kokeiltiin https:ä muutama vuosi sitten, mutta se johti Internet Explorerin käyttäjien kohdalla jatkuviin herjoihin mm. suojaamattomasta sisällöstä (jne), ja käyttäjien vastalauseiden jälkeen https:stä luovuttiin.

LainaaLisäksi onko käyttäjätietokanta tarpeeksi hyvin salattu, jos kerran salasanat on järjestelmän itsensä tiedossa ja ne pystytään kaivamaan esiin? Tälläinen tietokanta on nykymittapuun mukaan tietoturvaton; salasanat pitäisi olla tiivistettyjä (hash) ja mielellään vielä suolattuja (salt) että niitä ei pystyisi helposti saamaan selville, vaikka käyttäjätietokantaan murtauduttaisiinkin.

Voimme tutkia sitä miten helppoa tai vaikeaa on parantaa salasanojen suojaa, kiitos vihjeestä. Etenkin nykyisessä tilanteessa olisi hyvä ettei kukaan käyttäjä käytä samaa salasanaa kuin jossain muussa palvelussa. Se on tietysti muutenkin hyvä tapa.

kimmopaasiala · 19.01.2012, 16:11:42

Lainaus käyttäjältä: Riqis - 19.01.2012, 13:47:09
Täällä kokeiltiin https:ä muutama vuosi sitten, mutta se johti Internet Explorerin käyttäjien kohdalla jatkuviin herjoihin mm. suojaamattomasta sisällöstä (jne), ja käyttäjien vastalauseiden jälkeen https:stä luovuttiin.

Oliko syynä se että käytettiin itse allekirjoitettuja SSL/TLS avaimia vai siitä että sivuilla oli sekaisin salattua ja salamaatonta sisältöä? Ensimmäisessä tapauksessa kyse on ihan rahasta ja toisessa sitten sivujen suunnittelusta.

Riqis · 19.01.2012, 17:33:59

Lainaus käyttäjältä: kimmopaasiala - 19.01.2012, 16:11:42
Oliko syynä se että käytettiin itse allekirjoitettuja SSL/TLS avaimia vai siitä että sivuilla oli sekaisin salattua ja salamaatonta sisältöä? Ensimmäisessä tapauksessa kyse on ihan rahasta ja toisessa sitten sivujen suunnittelusta.

Muistikuva eli jossain määrin educated guess olisi, että jälkimmäisestä. Käsittääkseni tämä foorumi on paitsi ilmainen myös yleisesti ympäri maailmaa käytetty valmissofta, jota aina välillä päivitetään. Eli emme itse tee tämän koodille yhtikäs mitään. (Ja jos joku kuten esim. MarkoM tietää paremmin niin please kertokoon)

MarkoM · 19.01.2012, 17:38:06

Lainaus käyttäjältä: Mika Takala - 18.01.2012, 21:29:01
Rekisteröitymisen yhteydessä käyttäjän antama salasana lähetetään sähköpostissa käyttäjän antamaan osoitteeseen. Tämä on erittäin tietoturvatonta, sillä sähköpostit siirtyvät täysin salaamattomasti!

Kyseinen ominaisuus nähtävästi on sisäänrakennettuna ohjelmaan, koska asetuksista ei löydy namiskaa jolla tuohon pystyisi vaikuttamaan. Sen ei pitäisi kuitenkaan olla ongelma, koska periaatteessa jokaisen vantuuntuntoisen koneenkäyttäjän pitäisi joka tapauksessa vaihtaa salasanansa säännöllisesti (jos se tuntuu ongelmalta, niin silloin salasana kannattaa vaihtaa heti tervetuloviestin jälkeen).

Lainaus käyttäjältä: Mika Takala - 18.01.2012, 21:29:01
Lisäksi onko käyttäjätietokanta tarpeeksi hyvin salattu, jos kerran salasanat on järjestelmän itsensä tiedossa ja ne pystytään kaivamaan esiin? Tälläinen tietokanta on nykymittapuun mukaan tietoturvaton; salasanat pitäisi olla tiivistettyjä (hash) ja mielellään vielä suolattuja (salt) että niitä ei pystyisi helposti saamaan selville, vaikka käyttäjätietokantaan murtauduttaisiinkin.

En oikein usko, että tämän ohjelmiston kehittäjät sentään mitään Tupa-Uunoja ovat, jotka jättäisivät salasanat salaamatta... Viime kädessä asian voi tietysti varmistaa käymällä SMF:n sivuilla ja lukemalla dokumenteista tai kysymällä kehittäjiltä itseltään asiasta...

MarkoM · 19.01.2012, 17:50:35

Lainaus käyttäjältä: Riqis - 19.01.2012, 13:47:09
Voimme tutkia sitä miten helppoa tai vaikeaa on parantaa salasanojen suojaa, kiitos vihjeestä. Etenkin nykyisessä tilanteessa olisi hyvä ettei kukaan käyttäjä käytä samaa salasanaa kuin jossain muussa palvelussa. Se on tietysti muutenkin hyvä tapa.

Taisi olla muuten juuri eilen tai toissapäivänä, kun jossain verkkosivulla julkaistiin tutkimus, jonka mukaan Suomalaisten yleisimmin käyttämä salasana on - yllätys, yllätys - "salasana"! Kakkostilalle taisi kiilata "123456"...

kimmopaasiala · 19.01.2012, 17:50:52

Se että salasanat on hashatty ja saltattu ei siltikään auta paljoa jos joku saa salasanatietokannan käsiinsä, kaikki heikot salasanat murretaan saman tien sanakirjan/brute forcen avulla, vahvat tosin jäävät yleensä murtamatta riippuen käytetystä hash menetemästä. Saltaus estää ainoastaan sen että hasheja ei pysty vertailemaan keskenään ja näkemään onko kahdella käyttäjällä sama salasana.

Pessi · 19.01.2012, 23:35:48

Lainaus käyttäjältä: kimmopaasiala - 19.01.2012, 17:50:52
Se että salasanat on hashatty ja saltattu ei siltikään auta paljoa jos joku saa salasanatietokannan käsiinsä, kaikki heikot salasanat murretaan saman tien sanakirjan/brute forcen avulla, vahvat tosin jäävät yleensä murtamatta riippuen käytetystä hash menetemästä. Saltaus estää ainoastaan sen että hasheja ei pysty vertailemaan keskenään ja näkemään onko kahdella käyttäjällä sama salasana.

On sillä suolalla sen verran vaikutusta että vaikka olisikin salasana "123456" ja suola vaikka "klsdl£@£lsdkfjö" niin sitä ei ihan sanakirjan kanssa murreta tuosta vaan, jos suola ei lähde passujen mukana. Tuo että ei pääse vertailee hasheja keskenään toteutuu vain silloin kun jokaisella käyttäjällä on henkilökohtainen suola. Mitä tuossa katselin lähdekoodeja SMF sivuilta ladatusta paketista, niin jokaisella käyttäjällä on neljän merkin henkilökohtainen suola ja salasanat on hashatty sha1:llä. Samoin brute force kirjautuminen on estetty.

näköjään tuossa rekistöröitymisessä on jotain vaihdettu sitten viime heinäkuun? Itselle kun tuli seuraavanlainen maili eikä muuta.

Lainaa
Tervetuloa Pessi!

Ylläpitäjä on aktivoinut jäsenyytesi, joten voit nyt kirjautua keskustelualueelle. Tunnuksesi on: Pessi

Voit muuttaa sitä kirjautumisen jälkeen profiilisivulta, tai vierailemalla tällä sivulla kirjautumisen jälkeen:
http://foorumi.avaruus.fi/index.php?action=profile

Ystävällisin terveisin, Avaruus.fi - keskustelualue ylläpito.

Lähdekoodien mukaan vakiona lähetetään aktivointi linkki ilman salasanaa kun rekistöröityy. Tosin täällä ei ole vakio käytössä koska ylläpidon pitää aktivoida jäsenyys, joten tuo että lähetetään salasana on kyllä outo. Voihan se olla että on joku virhe sattunut ja en ole salasanallista mailia saanut.

Mika Takala · 20.01.2012, 03:14:02

Hienoa että saatiin keskustelua aikaiseksi.

Törmäsin eilen toiseenkin foorumiin, joka tosiaan lähetti salasanan selkokielisesti sähköpostissa. Lieneekö sitten täälläkin lomakescripti tehnyt sen suoraan ilman että se meni edes tietokannan kautta siinä vaihessa. No kuitenkin, käytän joka paikassa eri salasanaa joten tuolla ei nyt niin älyttömän suurta merkitystä ole.

Salatun yhteyden käyttö verkkosivuilla ei ole tämän foorumin kannalta tarpeellista, koska ihmiset kuitenkin linkittäisivät kuvia muualta ja se maailman huonoin selaimen irvikuva (IE) valittaisi siitä. Enkä tarkoittanut salatulla yhteydellä aikaisemman viestini yhteydessä sitä että sivuja käytettäisiin salatun yhteyden kautta, vaan sitä että sähköpostit siirtyvät eri sähköpostipalvelimien välillä salaamattomana sekä valitettavan usein salaamattoman myös IMAP ja POP-yhteyksiä käytettäessä ihan lukijalle asti.

Foorumin versiosta sen verran että 5.1.2012 on tullut SMF 1.1:stä uusi versio jota mainostetaan sanoilla "Critical Security Patches". Täällä käytössä oleva versio on joulukuulta 2009, joten se on jo yli kaksi vuotta vanha!

rintape · 20.01.2012, 08:55:54

En enää tämän keskustelun teknisestä puolesta ymmärrä yhtään mitään. Sinänsä hienoa, että näihin asioihin kiinnitetään huomiota. Liian moni ei ajattele tällaisia asioita ollenkaan. Mutta jos nyt puhutaan ihan vaan tästä foorumista, niin mun on vaikea nähdä tässä mitään valtavaa henkilökohtaista riskiä. Jos nyt joku todella päättää varastaa mun identiteettini täällä niin pahinta mitä voisi tapahtua olisi, että tämänkin nimimerkin kirjoituksiin voisi tulla jotain järkeä.

Jos haluaa, ettei netissä ole mitään jalkeä itsestä, jota joku ei jollain tavalla pystyisi jäljittämään, niin käsittääkseni ainoa tapa on olla mitään nettiin laittamatta. Ja jos jotain laittaa, vaikka nimimerkillä, niin laittaa vaan sellaista jonka voisi myös omalla nimellä allekirjoittaa.

Jos mennään tämän foorumin ulkopuolelle, niin aika monella on firman puhelin ja sen numero kai aika harvoin salataan ja harvempi kai nykyäänkään salaa muutenkaan numeroaan. Numerotiedustelusta saa varmasti suurimman osan Suomalaisten numeroista ja osoitteista. En ole kuullut, että kenelläkään olisi autossa salaista rekisterinumeroa. Eikös verotiedot ole ihan julkista tavaraa?

Meistä saa niin monella tavalla niin monenlaista tietoa, että sitä on kenenkään enää mahdotonta hallita. Kyllä, tottakai asiaan pitää kiinnittää jokaisen huomiota ja pitää vähän miettiä mitä tietoa itsestään laittaa muiden nähtäväksi.

Jos nyt taas palataan tälle foorumille, niin kirjoitellaan ihan rauhassa samanlaista älykästä, ystävällistä, tietoa välittävää ja hauskaa tekstiä niin kuin tähänkin asti. Minäkin lupaan yrittää. Sanokaa minua sinisilmäiseksi (no minähän olen ja nyt sekin on netissä kaikkien tiedoksi), mutta ei täällä ole mitään kauheaa vaaraa. Itse en odota ylläpitäjiltä samanlaista tietoturvaa kuin esim. miljardien liiketoimintaa pyörittäviltä luottokorttiyhtiöiltä, joiden salaus myös toistuvasti on pystytty murtamaan.

Petri

naavis · 20.01.2012, 10:40:19

Lainaus käyttäjältä: rintape - 20.01.2012, 08:55:54
Sanokaa minua sinisilmäiseksi (no minähän olen ja nyt sekin on netissä kaikkien tiedoksi), mutta ei täällä ole mitään kauheaa vaaraa.

Vaara tuleekin lähinnä siinä vaiheessa jos käyttäjä käyttää samaa salasanaa useammassa eri palvelussa. Tämä johtaa siihen, että salasanan murtaminen yhdessä palvelussa johtaa sen murtumiseen kaikissa. Toinen riski on, että jonkun moderaattorin tai ylläpitäjän salasana murretaan ja varsinaista tuhoa pääsee tapahtumaan.

rintape · 20.01.2012, 11:03:12

Tottakai edellytän, että tälläkin foorumilla on jonkinlainen salaus käytössä. Mitään asiasta sen enempää ymmärtämättä uskon, että se on täysin kunnossa.

Oma mielipiteeni on että tuolla Samulin mainitsemalla asialla ei ole mitään tekemistä sen kanssa, noin vähän kärjistetysti. Jälleen kerran tullaan jokaisen omaan, järkevään toimintaan.

Petri

Lisäys: tuo ylläpidon tunnusten murtaminen on tietysti jo eri ja paljon isompi juttu.