Foorumin toiminta, virheet ja ongelmat

[juhajuha]

Jaahas, vasta ehdin paikalle. Jostain syystä ei ilmeisesti taaskaan meitä uusittu. Selvitellään. Tähän voisin kysyä teiltä viisaammilta, miksi minulle ei tuota ilmoitusta tule. Olenkohan joskus aiemmin vastaavassa tilanteessa luonut "luotettava" säännön?

[eagle]

Olen samaa mieltä Mikrobitti käyttäjän kanssa. Vähintään login sivu, pitäisi pakottaa toimimaan https:n kautta. Ei luulisi olevan mikään ongelma. Se on sitten toinen tarina, että jos login sivu olisi https, niin voiko man in the middle hyökkäyksellä saada cookieita kaapattua niin, että salasanan saisi ronkittua muusta liikenteestä. En tiedä varmuudella, mutta vaikeaa se olisi.

Sanokaapa joku toinen foorumi, jossa toimii http-kirjautuminen ?

Mihin ihmeeseen mitään kaappauksia tarvitsee? Monella on kolmannen osapuolen cookiet sallittu ja sitten mennään esim. sivustolle, missä tarjotaan tunnistautumista FB tunnuksella. Hakee nimen, sähköpostin ja niiden avulla pääsee kirjautumaan uudelle sivustolle. Hakee kolme muuta cookietietoa, joiden avulla tilin voi kaapata. Käyttäjätunnus C_User, istuntokohtainen salausavain Datr eli se istunnon security avain, mikä voi olla käytössä 3 kk, jos laittaa rastin muista minut.

Hulluinta tuossa on, että aika päivityksen yhteydessä nuo sallitaan, vaikka olisi ottanut ne pois käytöstä eli saa olla tarkkana aina konetta avatessa. Pitääpä taas laittaa estot päälle, kun sain kerran tuon kuvakaappauksen tehtyä.

Jos kännykällä tuolla kuvan sivustolla käy, niin Google tilillä oleva puhelinnumero ja sähköposti menevät tuonne, samoin FB tilillä olevat ja aika paljon muutakin. Sitten joku hieman minua taitavampi pystyy kaappaamaan tilin noiden keksien avulla. Ja kaikki tieto siis menee "turvallisesti" https kautta.

Ps. En ole tuonne mitään rastinut, käynyt vain ekalla sivulla enkä myöskään kirjautunut FB avulla, mutta silti sivusto on kaapannut FB tilini kaikki käyttöoikeudet. Ja sitten ollaan huolissaan Thaiklupin kirjautumisesta.

[mikrobitti]

Mihin ihmeeseen mitään kaappauksia tarvitsee? Monella on kolmannen osapuolen cookiet sallittu ja sitten mennään esim. sivustolle, missä tarjotaan tunnistautumista FB tunnuksella.

En ymmärtänyt eaglen pointtia. Ehkä eagle ei täysin ymmärrä miten federoitu tunnistus ja pääsynhallinta toimii. Tai ymmärtämättömyyttä siitä kuka pääsee käsiksi selaimen kekseihin.

[eagle]

Mihin ihmeeseen mitään kaappauksia tarvitsee? Monella on kolmannen osapuolen cookiet sallittu ja sitten mennään esim. sivustolle, missä tarjotaan tunnistautumista FB tunnuksella.

En ymmärtänyt eaglen pointtia. Ehkä eagle ei täysin ymmärrä miten federoitu tunnistus ja pääsynhallinta toimii. Tai ymmärtämättömyyttä siitä kuka pääsee käsiksi selaimen kekseihin.

Tuossa minun FB keksit on annettu tuon saitin käyttöön. Niin ainakin asiantuntijat väittävät. Itse näen vain, että ne on ladattu tuonne ja tietävät minusta kaiken kengännumeroa lukuunottamatta.

Selitä miten minun FB keksit ovat tuon saitin alla... niin tuo kuvakaappaus kertoo ainakin minun mielestäni.

[mikrobitti]

Selitä miten minun FB keksit ovat tuon saitin alla...

Tämä ei liity enää Thaiklupin toimintaan eikä HTTP/HTTPS-käyttöön

...mutta selitys FB-keksien olemassaoloon kyseisen saitin alla selaimessasi on se, että kyseinen saitti käyttää Facebookin resursseja, jolloin Facebook liiketoimintamallinsa mukaisesti tuo (tracking-)cookiet selaimeen. Toimivan selaimen tehtävä on eristää eri sivustojen keksit siten, että osoitteesta a.com tulevat JavaScriptit yms. eivät pääse käsiksi osoitteesta b.com tuleviin kekseihin. Selaimissa tämä eristäminen on yleisesti tunnettu käsitteellä same-origin policy.

Wiki: Same-origin policy
https://en.wikipedia.org/wiki/Same-origin_policy

Wiki: Saman alkuperän käytäntö
https://fi.wikipedia.org/wiki/Saman_alkuperän_käytäntö

[eagle]

Selitä miten minun FB keksit ovat tuon saitin alla...

Tämä ei liity enää Thaiklupin toimintaan eikä HTTP/HTTPS-käyttöön

...mutta selitys FB-keksien olemassaoloon kyseisen saitin alla selaimessasi on se, että kyseinen saitti käyttää Facebookin resursseja, jolloin Facebook liiketoimintamallinsa mukaisesti tuo (tracking-)cookiet selaimeen. Toimivan selaimen tehtävä on eristää eri sivustojen keksit siten, että osoitteesta a.com tulevat JavaScriptit yms. eivät pääse käsiksi osoitteesta b.com tuleviin kekseihin. Selaimissa tämä eristäminen on yleisesti tunnettu käsitteellä same-origin policy.

Wiki: Same-origin policy
https://en.wikipedia.org/wiki/Same-origin_policy

Wiki: Saman alkuperän käytäntö
https://fi.wikipedia.org/wiki/Saman_alkuperän_käytäntö

Ei siis vaaraa, vaikka noiden kautta puhelinnumeroni, email, FB käyttäjätunnus ja istuntokohtainen ssl-suojausavain on annettu ulkopuoliselle?

Ps. FR on se tracking/mainos cookie.

Edit. En siis itse noita tietoja anna ja ne eivät ole FB tilillä muiden kuin minun luettavissa. Kuitenkin tuo saitti pääsee niihin käsiksi eli pitää pystyä kirjautumaan FB tililleni ja lukemaan ne.

[mikrobitti]

Ei siis vaaraa, vaikka noiden kautta puhelinnumeroni, email, FB käyttäjätunnus ja istuntokohtainen ssl-suojausavain on annettu ulkopuoliselle?

Kuka on mielestäsi antanut ja missä tilanteessa? (Ei ainakaan thaiklupi?)

Lyhyesti. Jos keksi tulee osoitteesta a.com niin sitä ei näytetä/jaeta osoitteen b.com palvelulle.

En jatka enää tässä ketjussa keskustelua, vaikka yllä onkin kysymys. Ehkä kysymykseni ovat retorisia. Jos haluat jatkaa keskustelua webbitekniikoista, niin perusta esim. niille oma ketju. Ilmaise myös väitteesi ("annettu ulkopuolisille") tueksi näyttöä siitä miten ja missä tilanteessa tiedot ovat päätyneet ulkopuoliselle.

[eagle]

Ei siis vaaraa, vaikka noiden kautta puhelinnumeroni, email, FB käyttäjätunnus ja istuntokohtainen ssl-suojausavain on annettu ulkopuoliselle?

Kuka on mielestäsi antanut ja missä tilanteessa? (Ei ainakaan thaiklupi?)

En jatka enää tässä ketjussa keskustelua, vaikka yllä onkin kysymys. Ehkä kysymykseni ovat retorisia. Jos haluat jatkaa keskustelua webbitekniikoista, niin perusta esim. niille oma ketju. Ilmaise myös väitteesi ("annettu ulkopuolisille") tueksi näyttöä siitä miten ja missä tilanteessa tiedot ovat päätyneet ulkopuoliselle.

Muokkasin jo tuohon edelliseen tekstiin.

Noilla kekseillä pääsee siis tililleni. Kun puhelinnumeroa eikä emailia ei voi lukea kuin minä ja ne ovat tuon sivuston tiedossa, niin mikä muu järkevä selitys niiden joutumiseen tuonne on?

Kun menee tuollaiselle sivustolle, niin huolimatta, että FB sivuni ulkopuolisille näkyy thainkielisen nimen kanssa, sivusto tervehtii minua Kari nimellä jo ennen kirjautumista. Sitten kirjautumisen jälkeen se tietää emailin ja puhelinnumeronkin niitä antamatta. Ja kaikki https yhteyden kautta. Tuota kun kysyttiin (Tuipveus/man in the middle) ja siihen vastasin, vaikka hieman OT onkin. Ei tartte olla edes Man in the Middle.

Katsopa tuo cookie lista ja mitä niiden avulla voi tehdä. Datr nimenomaan pitäisi olla vahvistamaan suojattu yhteys selaimeen ja sillä vahvistetaan, että yhteys on "laillinen". Kerro mitä tapahtuu, jos se on jossain toisessa koneessa... ei siis ihan sama kuin suojausavain, mutta kuitenkin.

[MauKhang]

Kannattaako facebookkiin mitään puhelinnumeroa antaa. Minä en ainakaan anna kun ne tiedot vuotavat ja ovat facebookista vuotaneet. Tietoturvani mukamas paranee kun annan facebookiin puhelinnumeroni ? Ja paskat !

[teepee]

Ei siis vaaraa, vaikka noiden kautta puhelinnumeroni, email, FB käyttäjätunnus ja istuntokohtainen ssl-suojausavain on annettu ulkopuoliselle?

Kuka on mielestäsi antanut ja missä tilanteessa? (Ei ainakaan thaiklupi?)

En jatka enää tässä ketjussa keskustelua, vaikka yllä onkin kysymys. Ehkä kysymykseni ovat retorisia. Jos haluat jatkaa keskustelua webbitekniikoista, niin perusta esim. niille oma ketju. Ilmaise myös väitteesi ("annettu ulkopuolisille") tueksi näyttöä siitä miten ja missä tilanteessa tiedot ovat päätyneet ulkopuoliselle.

Muokkasin jo tuohon edelliseen tekstiin.

Noilla kekseillä pääsee siis tililleni. Kun puhelinnumeroa eikä emailia ei voi lukea kuin minä ja ne ovat tuon sivuston tiedossa, niin mikä muu järkevä selitys niiden joutumiseen tuonne on?

Kun menee tuollaiselle sivustolle, niin huolimatta, että FB sivuni ulkopuolisille näkyy thainkielisen nimen kanssa, sivusto tervehtii minua Kari nimellä jo ennen kirjautumista. Sitten kirjautumisen jälkeen se tietää emailin ja puhelinnumeronkin niitä antamatta. Ja kaikki https yhteyden kautta. Tuota kun kysyttiin (Tuipveus/man in the middle) ja siihen vastasin, vaikka hieman OT onkin. Ei tartte olla edes Man in the Middle.

Katsopa tuo cookie lista ja mitä niiden avulla voi tehdä. Datr nimenomaan pitäisi olla vahvistamaan suojattu yhteys selaimeen ja sillä vahvistetaan, että yhteys on "laillinen". Kerro mitä tapahtuu, jos se on jossain toisessa koneessa... ei siis ihan sama kuin suojausavain, mutta kuitenkin.

taidat puhua nyt omaan selaimeen tallennetuista tiedoista.

[Tuipveus]

Noilla kekseillä pääsee siis tililleni. Kun puhelinnumeroa eikä emailia ei voi lukea kuin minä ja ne ovat tuon sivuston tiedossa, niin mikä muu järkevä selitys niiden joutumiseen tuonne on?

Niin voisiko kyseessä olla systeemi, jossa sosiaaliseen mediaan kirjautuessasi sivulle laitetaan cookie, jolla sinut tallennetaan.
Sitten toinen sivusto kuten thaiklupi, käyttää jotain embedded framea tjsp. siten että kun menet thaiklupille tai jollekin muulle kolmannen osapuolen saitille, niin sivusto hakee nimesi ja puhelinnumerosi tosiaan sieltä sosiaalisen median saitin cookieista.

Mielestäni http:n käyttö thaiklupille on kuitenkin pienempi riski ongelmille, kuin facebookin käyttö, ei niinkään teknisen tietoturvan kannalta, kun vaikuttamisen ja vaikuttumisen kannalta.

Kyselin niitä foorumeita, joissa on http-kirjautuminen kuten thaiklupilla, niitä ei kuitenkaan kukaan osannut sanoa.

Esimerkiksi fillarifoorumi, päästää kyllä http:llä sivuilleen, mutta kirjautumishetkellä sivu ohjaakin https:n kautta.
http://www.fillarifoorumi.fi/forum/

En itse tiedä ainakaan mitään foorumia jossa kirjautuminen olisi sallittu http:llä.

[eagle]

Noilla kekseillä pääsee siis tililleni. Kun puhelinnumeroa eikä emailia ei voi lukea kuin minä ja ne ovat tuon sivuston tiedossa, niin mikä muu järkevä selitys niiden joutumiseen tuonne on?

Niin voisiko kyseessä olla systeemi, jossa sosiaaliseen mediaan kirjautuessasi sivulle laitetaan cookie, jolla sinut tallennetaan.
Sitten toinen sivusto kuten thaiklupi, käyttää jotain embedded framea tjsp. siten että kun menet thaiklupille tai jollekin muulle kolmannen osapuolen saitille, niin sivusto hakee nimesi ja puhelinnumerosi tosiaan sieltä sosiaalisen median saitin cookieista.

Nuo kuvassa olevat cookiet toimivat VAIN HTTPS tilassa eli sen pitää olla toiminnassa.

Mitä niillä tehdään:

In most cases, the service you’re accessing will get access to some aspects of your accounts.

At the very least, they’ll get access to your Facebook public profile or your email address. But in some cases, they may get more than that, such as access to your contact list or the ability to post to your wall.

https://www.avg.com/en/signal/is-it-saf ... -or-google

Cookieita käytetään tuon mukaan vain kirjautumaan minun profiiliini. Pitää muistaa, että samalla haetaan myös Google-tilin tiedot. Pitää muistaa, että nykyisin suositellaan nk. kaksivaiheista kirjautumista ja sitä varten pitää olla puhelinnumero, minne se vahvistus lähetetään. Itse tosiaan olisin enemmän huolissani puhelimen yhteystiedoista. Pitää muistaa, että googletilin ollessa sekä pöytäkoneella että puhelimessa VOIDAAN molemmista lukea sen tietoja.

Olisi aika hullua, että SSL suojattu ja kryptattu cookie voitaisiin niin vain avata ja lukea sen sisältö?

[jbecker]

Mistä muuten johtuu, kun en ole kirjaantuneena klupille, viimeisimpien viestien kellonaika on eri kuin jos olen kirjaantuneena. Tämä chromessa ja mobiiliversiossa!

Tunnin ero!

[mikrobitti]

Ei, embedatun sivuston (iframe) kekseihin ei pääse käsiksi host-sivuston JavaScriptistä, ellei ne ole (sandboxaamaton) ”same origin”. Lisäksi HttpOnly cookie lipulla palvelu voi estää myös same origin javascriptiltä cookie-näkyvyyden.

Eaglen tulisi lukea (tarkasti) OAuth2 ja OpenID Connect -määrityksiä, jotta väärinkäsitykset siitä mitä tietoa ja miksi palvelu X saa, kun sinne tunnistaiditaan Google- tai Facebook-tunnistuksella. Luvan ko. tietojen luovutukseen kysytään käyttäjältä ensimmäisen kirjautumisen yhteydessä.

Https takaa tietoliikenteen salauksen - ei selaimessa olevan keksin.

Tässä teknisessä keskustelussa on monta asiaa, jotka ovat vain luuloja tai pelkoja, mutta eivät sellaisenaan pidä paikkaansa.

[eagle]

Https takaa tietoliikenteen salauksen - ei selaimessa olevan keksin.

Hieno vastaus, mistä en ymmärtänyt mitään muuta kuin lainatun.

Onko tämä siis väärin kerrottu:

Data sent over SSL (HTTPS) is fully encrypted, headers included (hence cookies), only the Host you are sending the request to is not encrypted.

https://stackoverflow.com/questions/619 ... pt-cookies

Katselin oman koneen cookieita ja vaikka ne muuttaa heksasta normaaliksi, teksti on siansaksaa eli 2048 bittistä cryptattua oletettavasti.

Lisäksi kun tuon AVG.com linkin lukee, niin siinä kerrotaan muuta eli väitetään käyttäjätililtäni voitavan hakea tietoa. Onko tuo virustorjuntaohjelmia tekevä sivusto siis väärässä? Kuitenkin AVG Technologies on aika tunnettu virusohjelmien valmistaja. Voinen kääntää sen tietty väärin ja samoin Google kääntäjä:

Useimmissa tapauksissa palvelu, jota käytät, saa pääsyn tilien joihinkin ominaisuuksiin.

Ainakin he pääsevät julkiseen Facebook-profiiliisi tai sähköpostiosoitteeseesi. Mutta joissakin tapauksissa he saattavat saada enemmän kuin esimerkiksi pääsyn yhteystietoluetteloosi tai kyky postittaa seinällesi.

Myönnän, että olen voinut tulkita tuon "tilien joihinkin ominaisuuksiin" ja "pääsyn yhteystietoluetteloosi" väärin, mutta miten se pitäisi kääntää? Ei kai koko FB ystäväluettelo ole tungettu 32 merkkiä pitkään cryptattuun cookieen?

Vastaukseni nimesi nyt jo parin saitin väittämät vääriksi ja turha kai niitä lisää linkkejä on laittaa, kun väärää tietoa jakavat.

[Loikkari]

Päivän biisi ketjun voisi uusia, 250 sivua Youtubea on aika kankea avata.
Ei mulla muuta.

[KooBee]

Uusittu.....

[TomYam]

Miten niin hidas? Nyt en ymmärrä. No, sama se!

[KooBee]

Korjaus ..kuulemma kankea avata

[der Bomber]

Eikös tässä nyt avata yhtä sivua? Minusta on sama, onko viestiketjussa yksi sivu jossa on 25 viestiä(maksimi) ja youtube linkkiä tai 250 sivua ja viimeisellä sivulla se sama 25 viestiä?

[Loikkari]

En tiedä, mutta tuo uusi päivän biisi ketju aukeaa tosi nopeesti.

[der Bomber]

En tiedä, mutta tuo uusi päivän biisi ketju aukeaa tosi nopeesti.

Toki kun siinä sivulla ei ole vielä kun pari viestiä ja ei yhtään kuvaa, jota ladata. Jokainen sivu, kun menee sinne 20+ viestiin ja sisältää paljon kuvia, muuttuu hitaalla yhteydellä kankeaksi.

E: Jokainen kirjain on yksi tavu. Kun kirjoitat 1024 kirjaimen viestin, olen käyttänyt YHDEN kilotavun verran tilaa foorumin serveriltä. Kun lataat yhdenkin kuvan, se on helposti 200 kilotavua. Noita kun on sivu täynnä ja ollaan siellä sivun lopussa, niin kyllähän se lataus hidastuu.

[KooBee]

Jottei tästäkin jauheta sivutolkulla niin avataanko vanha ja poistetaan uusi

[der Bomber]

Jottei tästäkin jauheta sivutolkulla niin avataanko vanha ja poistetaan uusi

Mun ääni menee vanhalle ketjulle. Menee monta hyvää biisiä ja linkkausta arkistoon, josta kukaan ei niitä enää löydä muutaman päivän kuluttua.

[JJN]

Ääni vanhalle ehdottomasti