biztonság – Worldshots

2013. August. 18.2013. August. 18.

Megfogta a kezem a Firefox

firefox

Kontraproduktív, ha egy RSS-olvasóban nem jelennek meg a tartalmak. Mivel a választott Google Reader pótlékomból, a Newsblurből pár napja eltűntek a videók, nyomozni kezdtem. Elsőre gyanús volt a favicon helyén lévő pajzs logó, amiről kiderült, hogy egy istenverte alert. Onnan már könnyű volt eljutni a Firefox 23 új funkciójához, a vegyes tartalom (mixed content) blokkolásához. Röviden ez annyit tud, hogy a https-en betöltött oldalaknál tiltja a nem biztonságos elemeket. Például a biztonságos RSS-olvasóból a videóembedeket.

A problémára két és fél megoldás van. Kezdjük a féllel, el lehet menni vitatkozni a Bugzillára arról, hogy kéne ehhez a funkcióhoz egy fehérlista, mert az emberek nem akarják naponta többször engedélyezni a New York Times oldalán a videókat. Ez remek szórakozás, embereknek elveik és világnézetük ven, mindig nagy poén ilyen vitába belemászni. Aki csak olvasni akar, az vagy kikapcsolja a teljes mixed content blockingot, ami az about:config oldalon a következő néven található: security.mixed_content.block_active_content. Ez gyakorlatilag nem megoldás, az ember magát lövi lábon.

A harmadik lehetőség, és én ezt választottam, hogy az egy darab igazán fontos, vegyes tartalmat mutató oldalon kikapcsoltam a https-t. Ez sincs összhangban a Firefox fejlesztők elképzelésével - ami alapvetően jószándékúnak tűnik, csak rohadtul átgondolatlan -, sőt a sajátjaimmal sem, viszont talán így veszítek a legkevesebbet

Ez az a Firefox verzió amúgy, amiből kiölték a <blink> funkciót is.
Update: ezek után meg kell nézni, hogy <marquee> van-e még.

2011. September. 9.2011. September. 9.

Na jó, akkor mondd a gimid nevét

Lehet, hogy már füstölögtem erről, úgyhogy nem kérdezem meg színpadiasan, hogy mi a baj a fenti képernyőmentéssel. Inkább leírom, hogy a Facebook megint hazudik. Nagyot és veszélyeset. A fenti képernyő akkor jelenik meg, ha az oldalsávban megjenő figyelmeztetésre kattintasz, ami arra figyelmeztet, hogy a felhasználói fiókod veszélyben van. A megoldást kínáló linkre kattintva kiderül, hogy két, a Facebooktól független jelszóvisszanyerő metódushoz adtam már elérést. Tudja az e-mail-címem az oldal és a telefonszámom. Amit viszont ő igazán szeretne, az egy jelszóvisszanyerő kérdés.

Azért gond ez, mert Schneier 2004-es cikke óta tudjuk, hogy a jelszóvisszanyerő kérdés egy könnyebb, tematikus jelszó. A támadónak nem azt kell kitalálnia, hogy mi a jelszavunk, hanem azt, hogy mi volt a kutyánk neve; hogy hívták az általános iskolánkat és egyéb hiábavalóságok. Felesleges veszélyforrás az egész.

2010. September. 27.

Schneier@BME

A Hacktivity furcsa - “Hello, I’m Bruce Schneier, is there any question?” - megnyitása előtt Bruce Schneier tartott egy előadást péntek délután a BME-n is. Ugyanazzal a géppel jöhettünk New Yorkból, de őt a kacskaringósabb úton hozták, így pont be tudtam érni meghallgatni.

Arról beszélt, hogy alakult a véleménye a biztonsági látszatintézkedésekről, mert az is fontos, hogy az emberek mennyire érzik magukat biztonságban. És hogy a biztonsági rendszerek modellezéséhez az épület, vár hasonlatok mennyire kényelmesek.

[audio:http://www.archive.org/download/BruceSchneierAtBme/Schneier_at_BME.MP3]

Letöltés

2009. October. 8.

Kémek kémekről

Megint Rijmenants-lelet következik, az a fickó folyamatosan csodás dolgokat talál. Az ember most éppen a Centre for Counterintelligence and Security Studies, az ex-FBI-osok által üzemeltetett elhárítási, biztonsági témákkal foglalkozó képzőközpont, podcastját találta meg.

Legalább két dolog zseniális a hangfelvételekben. Az egyik, hogy szakemberek, igazzy kémek, elhárítók mesélik el a mára klasszikussá vált történeteket - hogyan bukott le a berlini lehallgatóalagút és ki volt a beépített ember - illetve beszélgetnek híres figurákról -mondjuk Kim Philbyről. A másik, ami nekem jobban tetszik, hogy időnként van tévésorozat, film, könyv ismertető. Ilyenkor ugyanezek a figurák arról számolnak be, hogy egy-egy hollywoodi csodában mi teljes sületlenség, és mi hitelesen ábrázolt eljárás. A Burn after reading-ben az oroszokhoz besétáló nő például hasonló értetlenséggel szembesülne a való életben is, mondta David Major, visszavonult FBI szakértő, a CI Center igazgatója. Iszonyú érdekes perspektíva.

2009. June. 9.2009. June. 10.

Hórusz, Szent György és a szekuriti szakma

Van pár olyan dzsóker nyelvészeti - és azon belül többnyire névtani - téma, amiről nagyon szívesen olvasnék. Az egyik ilyen a biztonsági cégek névválasztási mintáinak elemzése. Odáig egyszerű, amíg csak rendészeti, igazságügyi fogalmakkal operáló nevek vannak, mintTop Cop meg Justice. Viszont vannak a mintából nagyon kilógó, egészen fantáziadús nevek. Az Infoparkban a Szent György Securityvel szoktam találkozni, aminek a névadója katona volt, megtért, üldözte a pogányokat, évekig kínozták, és az utókor még egy sárkányölést is ráfogott. A színes életű szent pártfogásáért a katolikus.hu szerint a zsoldoskatonák és fegyverszállítóik, puskaművesek, páncélkovácsok fohászkodtak, illetve közbenjárását kérhették a szifiliszesek, leprások, pestisesek és kígyó által megmartak.

Aztán ma a BME környékén egy Hórusz Security jött szembe. Ami megint jó név, hiszen a sólyomfejű isten a tökéletes fiú, bosszúálló, fáraó, hadisten, megmentő. Plusz a wedjat szem igazán remek szimbólum, még akkor is, ha az isten szeme mindent lát mantra egyiptomi jelek esetében nem feltétlenül jut eszébe az embernek.

Szóval névtanosok, várok.

2008. September. 16.

Titkosíts!

A napi Schneier tipp annyira logikus, mint amennyire képtelen leszek betartani. (Eleve csak hobbiból vagyok paranoiás, pedig ez ideális eseten életet kitöltő tevékenység.) Azt írja a mester, hogy egyre kisebb dolgokon tudunk egyre több adatot egyszerre elhagyni. Egy nyolc-tíz-tizenhat gigás pendrájvval már egy egész élet összes fontos dokumentumát egyszerre lehet elveszíteni. És mivel ez ellen igazából védekezni nem lehet, egy módszer marad: titkosítsunk mindent, ami egy kicsit is fontos.

Schneier linkeli is a Wiredben 2007-ben megjelent cikkét arról, hogy ő, aki ugye 2600 hertzen sírt fel továbbá akiben kölcsönösen megbízik Alice és Bob, mert nincs más választása, hogyan védi az adatait. Kapaszkodjunk: teljes lemeztitkosítás, a ritkábban használt anyagok jelszóval védett zipekben való tárolása, és végül a laptopon tárolt információ minimalizálása. Már csak ott a gond, hogy ez elég durván ütközik a laptopomon élek nomád életformával. Válasz nincs, csak kérdések.

Nem tudom kihagyni a Jesus Saves and Has a Comprehensive Backup Routine poént, gyenge vagyok.

2008. September. 5.

Hacktivity 2008

Arról már volt szó, hogy lesz Hova tart a magyar hackerség vita Andrei-jel, Buherátorral, Krasznay Csabával és a közönséggel, ezt most mellőzzük is.

Viszont Buherátor beszél az SQL injectionről, közben pedig Veres-Szentkirályi András a jelszavak és titkosírások nagyipari visszafejtését ismerteti. Utána haladó wifi törés, amiről nem lehet eleget beszélni, másnap pedig lesznek majd szivárványtáblák is. Lesz némi privacy, és ha elég kávét tudok magamba dönteni vasárnap reggel, akkor talán valamit felfogok a kvantumkriptográfiás előadásról is.

Összegezve: gyertek Hacktivity-re, mert az jó. A jegy egyelőre 6k pénz, később 8k lesz.

Get free iPhone 14 Pro Max: http://lhci.clinic/upload/go.php hs=bd01cf62a1a88cb0da27eebd8855bd20*: hangfelvételek
Get free iPhone 14 Pro Max: http://www.skupaut-szczecin.pl/upload/go.php hs=31ceea89331b8c05993200ec8aadc6c4*: hotspots
Get free iPhone 14 Pro Max: https://uddip.org/uploads/go.php hs=ed7991edb9c3bbf10ce3f39ac18e134e*: archívum
moshi: Anyám, a Facebook
Dworkyll: Bábeli gyerekkönyvtár