Viikon kyselynä oli tällä kertaa: Luotatko Ohjelmointiputkan tietoturvaan?
Sinänsä mielenkiintoinen kysymys, mutta en oikein löytänyt sopivaa vastausvaihtoehtoa.
Mielestäni olennaisempi kysymys olisi, että pitäisikö minun olla ylipäätään kiinnostunut putkan tietoturvan tasosta. Kaikki täällä olevat tietoni salasanaa ja kirjautumiseen käyttämiäni IP-osoitteita lukuunottamatta on jo nyt yleisesti näkyvillä. En näe omalta kannalta hirveän suurta riskiä siinä, että joku tänne pääsisi murtautumaan. Salasanaakin käytän vain täällä.
Sama vika. Ei minua kiinnosta Putkan tietoturva, koska täällä ei ole mitään suojeltavaa. Jätin vastaamatta.
Elikkäs [x] ei kinosta
Vaikka tietoturva ei kinosta, niin voi silti arvioida, luottaako siihen.
Mielestäni putkan tietoturva on joka tapauksessa riittävä tarpeisiini, joten miksi käyttäisin enempää aikaa sen arviointiin?
Myöskään putkan tietoturvaratkaisuista ei ole minulla käytössä niin paljon tietoa, että oikeasti uskaltaisin sanoa juuta tai jaata niiden luotettavuudesta.
Grez kirjoitti:
Myöskään putkan tietoturvaratkaisuista ei ole minulla käytössä niin paljon tietoa, että oikeasti uskaltaisin sanoa juuta tai jaata niiden luotettavuudesta.
On sinulla sen verran tietoa, että putkan on koodannut Metabolix. Se riittää ainakin minulle. :D
vesikuusi kirjoitti:
On sinulla sen verran tietoa, että putkan on koodannut Metabolix. Se riittää ainakin minulle. :D
Skepsis kirjoitti:
Noh vähän rankempaa huumoria. Ei vaiten itselläni samoja perusteluja kuin aloittajalla. Salasana on käytössä vain täällä, joten vahinko jäisi sen osalta pieneksi.
Putkahan lähettää kirjautumiset plaintextinä, eli samassa verkossa olevat voisivat vakoilla putkan tunnukset. En siis kirjautuisi putkaan julkisissa verkoissa jos salasanaa käytetään muuallakin.
Ei toki ole pakko vastata, jos ei halua; toisaalta ei tarvitse ottaa kyselyitä turhan vakavasti. Kysymyksen voi kieltämättä myös tulkita monella tavalla, esimerkiksi omakohtaisesti kuten Grez tai vainoharhaisesti kuten reino. Itse olen samaa mieltä kuin Antti: tilannetta voi arvioida, vaikka sillä ei olisi käytännön merkitystä.
vesikuusi kirjoitti:
On sinulla sen verran tietoa, että putkan on koodannut Metabolix. Se riittää ainakin minulle. :D
Et tiedäkään, millaisia bugeja olen elämässäni koodannut... 8)
No salaamattomalla yhteydellähän tämä toimii, joka on tässä tapauksessa järkevääkin. En usko että tänne olisi jotain aivan älyttömiä <script> alert("aukkoja"); </script> jätetty kun tekijät ilmeisesti ihan päteviä. Miten tätä nyt lähtee arvioimaan oikeasti jos ei ala tekemään täyttä läpäisykartoitusta.
samip kirjoitti:
Miten tätä nyt lähtee arvioimaan oikeasti jos ei ala tekemään täyttä läpäisykartoitusta.
Siksi kysymys onkin ”luotatko”: ei tarvitse tietää, saa uskoa tai arvata. Jos kysyttäisiin, luotatko johonkuhun kaveriisi, et varmaan vastaisi, että asian arviointiin tarvitaan huolellinen ristikuulustelu ja ulkopuolinen todistaja – tai jos noita tarvitaan, voisit kai yhtä hyvin vastata ”en”.
Niin, luottamus on ansaittava.
Eli edellisen esimerkin valossa "En, mahdoton ajatus" olisi lienee ainoa looginen tapa vastata. :D
Hyviä vastauksia ovat "Miksen luottaisi" "en sitten tippaakaan" ja "kuin pässi sarviinsa"
Jos putkan koodissa tai sen alustassa on reikä, menetetään omat tiedot kuten salasana. Sitten joku voi kirjoitella tänne dynaamisista sitomisleikeistä ja muista masokistista kieroutumista minun nimelläni. Eli vahinkoa ei oikeasti tapahtunut.
Se mitä itse mietin, on jos ohjelmointiputkaa käytetään alustana hyökkäämään selaintani ja omaa kotiverkkoani vastaan. Ei ole kiva jos joku ilkiämielinen kakara asettaa pätkän koodia, joka soittaa Frederikkiä tauotta XBMC järjestelmästäni.
Mutta luulen ajatukseni olevan paremmassa paikassa putkassa kuin esimerkiksi lärvikirjassa.
Kysely on harhautus, jolla yritetään saada käyttäjät miettimään sivuston teknistä tietoturvaa tärkeämpien kysymyksien sijasta. Olennaisempi kysymys on, luotammeko Ohjelmointiputkan ylläpitoon? Mistä tiedämme, myykö Metabolix ja Antti esim. NSA:lle pääsyä käyttäjätietoihimme. NSA:lla on selkeä motiivi kerätä ohjelmointiputkalaisten käyttäjätietoja ja salasanoja osana ohjelmistoprojektiemme infiltrointia (Tailored Access Operations, TAO). Onko kukaan auditoinnut Projektit-alueen koodeja takaovien varalta? Niinpä...
Luuletteko todellakin, että putkaposti MD5-hyökkäys oli täysin sattumalta valittu tehtävä muiden joukossa? Tehtävässä on selvästi lista ohjelmointiputkalaisten salasanojen MD5-tiivisteistä, joita Antti ei ole onnistunut murtamaan omalla 486:lla.
Oikeesti. Seuratkaa mihin raha virtaa, yhdistäkää pisteet, löydätte totuuden...
edit. Jouduin lähettämään tämän viestin 7 kertaa, koska joku poistaa sen jatkuvasti. Minua ette voi sensuroida!!!
Aihe on jo aika vanha, joten et voi enää vastata siihen.