Kirjautuminen

Haku

Tehtävät

Keskustelu: Yleinen keskustelu: Tietovuodot Suomessa

Sivun loppuun

Olli [06.11.2011 17:04:12]

#

Suomessa tapahtui suuri tietovuoto eilen.
Nyt pääset tarkistamaan onko sinun tietosi vuotaneet
http://hpguru.fi/tietovuoto.php
(huom. tuo kysyy vain sähköpostia, ei muita henkilötietoja)


(2.12.) Epäilty Napsu-tietovuoto
http://www.napsu.fi/

vesikuusi [06.11.2011 22:26:35]

#

ja vuodan sähköpostini tuonne? :D

Grez [06.11.2011 22:34:00]

#

Ei sinne kannata mitään sähköpostiosoitetta kirjoittaa. Katsoo vaan sivulla olevalta listalta löytyykö oma syntymäaika ja etunimi siitä.

vesikuusi [06.11.2011 22:39:36]

#

näin minäkin tein. eipä löytynyt :) toivon samaa muillekin

Olli [07.11.2011 07:30:09]

#

Sähköpostin kirjoittamisesta tuskin kovin suurta haittaa syntyy, nimittäin sähköpostin kirjoittaa esimerkiksi uutiskirjetilauksiin ja postituslistatilauksiin.

Väärinkäyttömahdollisuudet ovat sähköpostin kanssa aika pienet, varsinkin koska tonne kirjoitettavia tietoja ei tallenneta.

Blaze [07.11.2011 09:30:50]

#

Kappas, Ilta-Pulu noteeras Ollin palvelun: http://www.iltalehti.fi/digi/2011110614705132_du.shtml

Yucca [07.11.2011 09:36:31]

#

Kannattaakohan uskoa väitettä öTarkistus on turvallinen - s�hk�postiasi ei tallenneta mihink��nö, kun vielä on sivustossa, josta ei edes kerrota, kenen tai minkä sivusto se on? Tietenkään pelkistä meiliosoitteista ei juuri ole hyötyä, koska spämmerit saavat niitä isompia määriä muilla keinoin. Mutta juuri tietoturva- ja tietosuoja-asioilla ratsastamallahan usein tehdään tietomurtoja ym.

(En tiedä, miten tämä foorumi selviää �-merkistä. Lainasin sivulta pätkän tarkoituksellisesti sellaisena kuin selaimeni sen näytti. Olen säätänyt selaimen tilaan, jossa se käyttää oletuskoodauksena UTF-8:aa. On sitten kiinnostavaa katsella, miten moni sivusto lähettää 8-bittisiä ääkkösiä ilmoittamatta merkistökoodausta.)

P.S. Kannattaisi erottaa käsitteet ösähköpostiö ja ösähköpostiosoiteö. Sähköpostin vuotaminen on vähän eri asia kuin sähköpostiosoitteen vuotaminen. Jos käyttää ainakin epävirallisissa yhteyksissä sanaa ömeiliö, eronteko on ehkä vähän helpompaa.

P.S. 2. öListalla on suurta kysyntää, ja nyt kun sitä poistetaan verkosta, avuliaat aapot laittavat sen takaisin verkkoon, jotta tutut pääsevät katsomaan ovatko itse siellä.ö
http://www.iltalehti.fi/digi/2011110614705570_du.shtml
(Jos joku ei tajunnut, että tuossa sanotaan, että tällaisten öpalvelujenö pystyttäminen on typerää, niin ymmärsi aika eri lailla kuin minä.)

Synomi [07.11.2011 10:14:50]

#

Eipä tossa listalla näy muutakuin syntymäaika sekä etunimi, joten eipä niiden näkyvyydestä juuri haittaa ole. Voishan tossa mainita toisena vaihtoehtona, että selaimen etsi toiminnolla kyllä oman syntymäajan löytää jos se listassa on.

Yucca kirjoitti:

...
(En tiedä, miten tämä foorumi selviää �-merkistä. Lainasin sivulta pätkän tarkoituksellisesti sellaisena kuin selaimeni sen näytti. Olen säätänyt selaimen tilaan, jossa se käyttää oletuskoodauksena UTF-8:aa. On sitten kiinnostavaa katsella, miten moni sivusto lähettää 8-bittisiä ääkkösiä ilmoittamatta merkistökoodausta.)...

Ainaki ääkkösesi näkyy tännepäin epämääräsinä ? -merkkeinä.

Pekka Karjalainen [07.11.2011 13:23:42]

#

Ylen uutisissa kerrotaan, mistä tietoa on vuotanut. Tosin ei ihan tarkasti, koska "[t]ahojen on tultava ensin itse julkisuuteen".

Tietovuotouutinen

lainaus:

Noin 16 000 suomalaisen henkilötiedot ovat peräisin kymmenestä aikuis- ja täydennyskoulutusorganisaatiosta, kertoo Viestintävirasto.

Lebe80 [07.11.2011 13:39:16]

#

Olli kirjoitti:

Suomessa tapahtui suuri tietovuoto eilen.
Nyt pääset tarkistamaan onko sinun tietosi vuotaneet
http://hpguru.fi/tietovuoto.php
(huom. tuo kysyy vain sähköpostia, ei muita henkilötietoja)

Pistä tiedot viel jQueryllä sortattavaan listaan, niin on nopea etsiä nimiä aakkosjärjestyksessä tai vastaavasti syntymäajan mukaan. Muuten oiva palvelu.

Olli [07.11.2011 16:43:33]

#

Hei,
tuo sivusto ei ole omani, olen vain ollut mukana sen toteutuksessa.
Suunnitelmissa on palvelu johon valitaan oma syntymäaika ja nimi ja tekisi tarkistuksen suoraan php:llä.

Vai olisiko jqueryssä tehokkaampi tapa? Voisitko laittaa linkkiä.

Grez [07.11.2011 17:01:34]

#

Jos sen toteuttaa PHP:llä, niin silloin se lähetetään palvelimelle ja periaatteessa löytyy palvelimen lokeista.

Tuolla sivulla toimii aivan mainiosti ctrl+F ja se mainitaan ko. sivullakin. Mielestäni oikein hyvä KISS systeemi.

User137 [07.11.2011 18:34:19]

#

http://www.iltalehti.fi/uutiset/2011110714712044_uu.shtml

Suomen Anonymous-ryhmittymäkö vuodon takana? Eikö joku vois vaan tutkia ja ilmottaa mitkä sivut on haavoittuvia SQL-injektiolle ja muille tavallisille? Sanovat että oli erittäin yksinkertainen tapa.

Yucca [07.11.2011 19:24:36]

#

Synomi kirjoitti:

Eipä tossa listalla näy muutakuin syntymäaika sekä etunimi, joten eipä niiden näkyvyydestä juuri haittaa ole.

Vaikuttaa kovastikin siltä, että kyseessä laittoman henkilörekisterin kopio, josta on poistettu osa tiedoista. Olisi kiva saada tietosuojavaltuutetun tai tuomioistuimen ratkaisu siihen, onko senkin jakelu laitonta.

öPalvelunö hyöty on vain ihmisten itsekeskeisen uteliaisuuden tyydyttämisessä. Mitä merkitystä sillä on, ovatko minun tietoni vuotaneiden joukossa? Voinko ehkä ryhtyä johonkin, jos on? Paljonko pitää huolestua? Jos eivät ole tuon öpalvelunö mukaan, voiko pudottaa isonkin kiven sydämeltään? En luottaisi siihen pätkääkään.

lainaus:

Ainaki ääkkösesi näkyy tännepäin epämääräsinä ? -merkkeinä.

Minun ääkköseni näkyvät varmaankin ihan hyvin sinulle. Jos taas näet sivulta lainaamassani tekstissä merkkejä, jotka ovat mustassa vinoneliössä olevia valkeita kysymysmerkkejä, näet nekin ihan oikein. Kyseessä on hyvin toimivan selaimen tapa esittää verkkosivun datassa oleva merkkikooditason virhe. Tähän virheeseen viittasin mm. osoittaakseni, että sivusto on teknisestikin virheellinen aika alkeellisella tavalla.

Grez [07.11.2011 19:36:38]

#

Yucca kirjoitti:

Kyseessä on hyvin toimivan selaimen tapa esittää verkkosivun datassa oleva merkkikooditason virhe.

Millä peruteella hyvin toimiva selain näyttäisi nuo väärin? Ko. sivulla ei ilmoiteta mitään merkistöä, eli hyvin toimiva selain noudattaisi standardia eli tulkitsisi merkistön olevan ISO-8859-1. Eli nähdäkseni hyvin toimiva selain näyttäisi ääkköset ko. sivulla ihan oikein.

Ettet vaan itse ole pakkottanut tai suosittanut väärää merkistöä käyttöön tai käytä huonosti toimivaa selainta?

Yucca [07.11.2011 23:44:19]

#

Grez kirjoitti:

Ko. sivulla ei ilmoiteta mitään merkistöä,

Se on sivun virhe.

Grez kirjoitti:

eli hyvin toimiva selain noudattaisi standardia eli tulkitsisi merkistön olevan ISO-8859-1.

öThe HTTP protocol ([RFC2616], section 3.7.1) mentions ISO-8859-1 as a default character encoding when the "charset" parameter is absent from the "Content-Type" header field. In practice, this recommendation has proved useless because some servers don't allow a "charset" parameter to be sent, and others may not be configured to send the parameter. Therefore, user agents must not assume any default value for the "charset" parameter.ö
http://www.w3.org/TR/html401/charset.html#h-5.2.2

Ja jos sivu on rikki niin, että se ei kerro merkistökoodausta, niin öthe user agent may use heuristics and user settings. – – user agents typically have a user-definable, local default character encoding which they apply in the absence of other indicators.ö

Näin on myös käytännössä.

Grez [08.11.2011 04:56:31]

#

Mielestäni ei voida sanoa että sivu on rikki merkistökoodauksen puuttumisen vuoksi, jos http-protokollan määrittävässä RFC-dokumentissa on annettu mahdollisuus jättää se mainitsematta. Eihän tuo sivu edes väitä olevansa html 4.01:stä, joten millä perusteella pitäisi olettaa, että ko. standardissa annetut ohjeet koskisivat sitä?

Minusta tuo W3C:n päätelmä on kaiken lisäksi ihan pöljä jos sen tulkitsee kuvaamallasi tavalla:
1) "recommendation has proved useless because some servers don't allow a "charset" parameter to be sent". Väittäisin että kaikki palvelimet tukevat charsetin määrittämistä itse dokumentissa, jolloin se ohittaa oletuksen eikä kuvattua haittaa ole.
2) Mitä hyötyä on siitä että mitään ei saa olettaa oletukseksi? Ei mitään! Jos sivussa ei kerrota mitään koodausta, eikä käyttäjän valinnat ja heuristiikka osoita minkään merkistön suuntaan, niin pitäisikö selaimen kaatua vai kieltäytyä näyttämästä sivua ollenkaan? Muussa tapauksessahan selain olettaa jonkin koodauksen, oli se sitten vaikka ASCII tai EBCDIC. Ja kun kerran jokin koodaus oletetaan, niin miksei se samantien voisi käyttää oletuksena sitä RFC2616:ssa määriteltyä?

Itse kun en viitsi pitää W3C-ihmisiä ihan idiootteina, niin tulkitsisin tuon W3C:n ohjeistuksen niin, että jos käyttäjän valinnat, sivun heuristiikka tai sivun sisällössä oleva merkistö selkeästi osoittavat muuta, ei RFC2616:ssa määriteltyä oletusta saisi pitää niitä tärkeämpänä. Eli siis puuttuva charset-headeri ei saa aiheuttaa täsmälleen samaa toimintaa kuin charset: ISO-8859-1. Ei sitä, etteikö vihoviimeinen fallback-oletus olisi tuo ISO-8859-1.

Mitä tulee käytännön toimivuuteen, niin suomen-, ruotsin tai englanninkielisen käyttäjän Firefox, Opera, Safari, Chrome ja IE selaimilla, eli käytännössä koko kohdeyleisön selaimistolla ja niiden oletusasetuksilla tuolla sivulla näyttäisi ääkköset toimivan hyvin. Näin ollen mielestäni ei ole perusteltua väittää että "hyvin toimiva selain" näyttää niitä kysymysmerkkeinä, ellei käyttäjä itse ole valinnut poikkeavaa merkistöasetusta.

Sitä paitsi logiikkasi, että kaikki epävarmat merkit pitää näyttää kysymysmerkkeinä ei edes ole validi, näkyyhän sivulla esim. a-kirjaimet ihan oikein. Mistä niistäkään voi tietää, että se on "a" eikä esimerkiksi "/", jos kerran mitään merkistöä ei saa olettaa?

The Alchemist [08.11.2011 06:54:45]

#

Grez kirjoitti:

Mielestäni ei voida sanoa että sivu on rikki merkistökoodauksen puuttumisen vuoksi, jos http-protokollan määrittävässä RFC-dokumentissa on annettu mahdollisuus jättää se mainitsematta. Eihän tuo sivu edes väitä olevansa html 4.01:stä, joten millä perusteella pitäisi olettaa, että ko. standardissa annetut ohjeet koskisivat sitä?

Koska palvelin kertoo sivun content typeksi text/html ja mitä muutakaan standardia sen parsimiseen pitäisi käyttää? Eiköhän sekin ole erikseen määritelty jossain, koska muuten selaimet saisivat parsia sivut juuri niin kuin haluavat.

Grez [08.11.2011 12:38:39]

#

The Alchemist kirjoitti:

Koska palvelin kertoo sivun content typeksi text/html ja mitä muutakaan standardia sen parsimiseen pitäisi käyttää?

No vaikka HTML 2.0, 3.2, tai 4.0? No okei, voihan olla että noissakin standardeissa on vastaavat tekstit siellä.

Tuo lainaamasi kohta nyt kuitenkin oli aika mitätön seikka viestissäni.


Ja myönnetään nyt, että en itsekään erityisesti pidä sivusta, enkä syöttäisi sinne sähköpostiosoitettani. Mutta mielestäni se, että jollain erikoisella selaimella siellä ei näy ääkköset on aika heikko peruste.

Olli [12.11.2011 19:37:28]

#

Jälleen kerran on tapahtunut uusi tietovuoto. Tällä kertaa kysymyksessä sähköpostiosoitteita.

Beuling [12.11.2011 19:43:48]

#

Ei suurta huolta asiaan, suurin osa sähkäreistä onkin tuolta hetulistalta.

Blaze [12.11.2011 19:49:22]

#

16000 on "suurin osa" 500000:sta?

Olli [02.12.2011 21:21:50]

#

Epäilty tietomurto Napsu-sivustolla
http://www.napsu.fi/

Macro [02.12.2011 21:43:56]

#

Ai kato, täällä voi nykyään vaihtaa aiheen otsikkoa itse. Plussaa siitä.

Tosin tämän aiheen otsikon muuttaminen oli ihan turha, näkeehän uuden viestin muutenkin.

Olli [03.12.2011 15:44:05]

#

Ajattelin, että tuo uusi otsikko kuvaa paremmin aihetta, kuin vanha. (Mod. oli eri mieltä ja vaihtoi.)

Napsu-tietovuodon salasanat on muuten nyt julkaistu netissä.


Sivun alkuun

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta