Kirjautuminen

Haku

Tehtävät

Keskustelu: Ohjelmointiputka: Luotatko Ohjelmointiputkan tietoturvaan­?

Sivun loppuun

Grez [27.01.2014 08:23:08]

#

Viikon kyselynä oli tällä kertaa: Luotatko Ohjelmointiputkan tietoturvaan­?

Sinänsä mielenkiintoinen kysymys, mutta en oikein löytänyt sopivaa vastausvaihtoehtoa.

Mielestäni olennaisempi kysymys olisi, että pitäisikö minun olla ylipäätään kiinnostunut putkan tietoturvan tasosta. Kaikki täällä olevat tietoni salasanaa ja kirjautumiseen käyttämiäni IP-osoitteita lukuunottamatta on jo nyt yleisesti näkyvillä. En näe omalta kannalta hirveän suurta riskiä siinä, että joku tänne pääsisi murtautumaan. Salasanaakin käytän vain täällä.

The Alchemist [27.01.2014 10:12:26]

#

Sama vika. Ei minua kiinnosta Putkan tietoturva, koska täällä ei ole mitään suojeltavaa. Jätin vastaamatta.

Deffi [27.01.2014 10:18:00]

#

Elikkäs [x] ei kinosta

Antti Laaksonen [27.01.2014 11:25:00]

#

Vaikka tietoturva ei kinosta, niin voi silti arvioida, luottaako siihen.

Grez [27.01.2014 11:40:20]

#

Mielestäni putkan tietoturva on joka tapauksessa riittävä tarpeisiini, joten miksi käyttäisin enempää aikaa sen arviointiin?

Myöskään putkan tietoturvaratkaisuista ei ole minulla käytössä niin paljon tietoa, että oikeasti uskaltaisin sanoa juuta tai jaata niiden luotettavuudesta.

vesikuusi [27.01.2014 12:14:33]

#

Grez kirjoitti:

Myöskään putkan tietoturvaratkaisuista ei ole minulla käytössä niin paljon tietoa, että oikeasti uskaltaisin sanoa juuta tai jaata niiden luotettavuudesta.

On sinulla sen verran tietoa, että putkan on koodannut Metabolix. Se riittää ainakin minulle. :D

Teuro [27.01.2014 12:41:40]

#

vesikuusi kirjoitti:

On sinulla sen verran tietoa, että putkan on koodannut Metabolix. Se riittää ainakin minulle. :D

Skepsis kirjoitti:

3.1

Noh vähän rankempaa huumoria. Ei vaiten itselläni samoja perusteluja kuin aloittajalla. Salasana on käytössä vain täällä, joten vahinko jäisi sen osalta pieneksi.

reino [27.01.2014 14:13:26]

#

Putkahan lähettää kirjautumiset plaintextinä, eli samassa verkossa olevat voisivat vakoilla putkan tunnukset. En siis kirjautuisi putkaan julkisissa verkoissa jos salasanaa käytetään muuallakin.

Metabolix [27.01.2014 17:17:27]

#

Ei toki ole pakko vastata, jos ei halua; toisaalta ei tarvitse ottaa kyselyitä turhan vakavasti. Kysymyksen voi kieltämättä myös tulkita monella tavalla, esimerkiksi omakohtaisesti kuten Grez tai vainoharhaisesti kuten reino. Itse olen samaa mieltä kuin Antti: tilannetta voi arvioida, vaikka sillä ei olisi käytännön merkitystä.

vesikuusi kirjoitti:

On sinulla sen verran tietoa, että putkan on koodannut Metabolix. Se riittää ainakin minulle. :D

Et tiedäkään, millaisia bugeja olen elämässäni koodannut... 8)

samip [28.01.2014 18:19:53]

#

No salaamattomalla yhteydellähän tämä toimii, joka on tässä tapauksessa järkevääkin. En usko että tänne olisi jotain aivan älyttömiä <script> alert("aukkoja"); </script> jätetty kun tekijät ilmeisesti ihan päteviä. Miten tätä nyt lähtee arvioimaan oikeasti jos ei ala tekemään täyttä läpäisykartoitusta.

Metabolix [28.01.2014 20:00:47]

#

samip kirjoitti:

Miten tätä nyt lähtee arvioimaan oikeasti jos ei ala tekemään täyttä läpäisykartoitusta.

Siksi kysymys onkin ”luotatko”: ei tarvitse tietää, saa uskoa tai arvata. Jos kysyttäisiin, luotatko johonkuhun kaveriisi, et varmaan vastaisi, että asian arviointiin tarvitaan huolellinen ristikuulustelu ja ulkopuolinen todistaja – tai jos noita tarvitaan, voisit kai yhtä hyvin vastata ”en”.

Grez [28.01.2014 20:05:42]

#

Niin, luottamus on ansaittava.

Eli edellisen esimerkin valossa "En, mahdoton ajatus" olisi lienee ainoa looginen tapa vastata. :D

vuokkosetae [28.01.2014 23:47:51]

#

Hyviä vastauksia ovat "Miksen luottaisi" "en sitten tippaakaan" ja "kuin pässi sarviinsa"

Jos putkan koodissa tai sen alustassa on reikä, menetetään omat tiedot kuten salasana. Sitten joku voi kirjoitella tänne dynaamisista sitomisleikeistä ja muista masokistista kieroutumista minun nimelläni. Eli vahinkoa ei oikeasti tapahtunut.

Se mitä itse mietin, on jos ohjelmointiputkaa käytetään alustana hyökkäämään selaintani ja omaa kotiverkkoani vastaan. Ei ole kiva jos joku ilkiämielinen kakara asettaa pätkän koodia, joka soittaa Frederikkiä tauotta XBMC järjestelmästäni.

Mutta luulen ajatukseni olevan paremmassa paikassa putkassa kuin esimerkiksi lärvikirjassa.

Deffi [30.01.2014 09:56:09]

#

Kysely on harhautus, jolla yritetään saada käyttäjät miettimään sivuston teknistä tietoturvaa tärkeämpien kysymyksien sijasta. Olennaisempi kysymys on, luotammeko Ohjelmointiputkan ylläpitoon? Mistä tiedämme, myykö Metabolix ja Antti esim. NSA:lle pääsyä käyttäjätietoihimme. NSA:lla on selkeä motiivi kerätä ohjelmointiputkalaisten käyttäjätietoja ja salasanoja osana ohjelmistoprojektiemme infiltrointia (Tailored Access Operations, TAO). Onko kukaan auditoinnut Projektit-alueen koodeja takaovien varalta? Niinpä...

Luuletteko todellakin, että putkaposti MD5-hyökkäys oli täysin sattumalta valittu tehtävä muiden joukossa? Tehtävässä on selvästi lista ohjelmointiputkalaisten salasanojen MD5-tiivisteistä, joita Antti ei ole onnistunut murtamaan omalla 486:lla.

Oikeesti. Seuratkaa mihin raha virtaa, yhdistäkää pisteet, löydätte totuuden...

edit. Jouduin lähettämään tämän viestin 7 kertaa, koska joku poistaa sen jatkuvasti. Minua ette voi sensuroida!!!

groovyb [30.01.2014 09:59:17]

#

Easily add an NSA backdoor into your Rails app.


Sivun alkuun

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta