Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 9.5.2003

Microsoftin Passport-palvelussa vakava tietoturvareikä

Microsoftin nettiteknologioidensa tekniseksi sydämeksi hehkuttamasta Passport-palvelusta löytyi erittäin vakava tietoturvareikä, joka on mahdollistanut salasanan vaihtamisen jokaiselle tiedossa olevalle käyttäjätunnukselle. Itse asiassa kyseessä ei ole edes tietoturvareikä, vaan palvelun salasanan resetointijärjestelmä on alunperin suunniteltu täysin järjettömästi. Passportin käyttäjät lienevät hämillään tilanteesta, sillä järjestelmää on kehuttu erittäin hyvin suojatuksi. Hyvä tietoturva onkin tärkeää, koska Passport sisältää käyttäjien henkilö- ja luottokorttitietoja, jotta he voisivat shoppailla netissä helposti hiirtä klikkailemalla.

Passportin salasanaa vaihdettaessa URL-osoite on sisältänyt sekä käyttäjätunnuksen että sähköpostiosoitteen, jonne salasanan vaihtoon vaadittava sähköpostiviesti lähetetään. Näin ollen jos kräkkeri on tiennyt yhdenkin käyttäjätunnuksen, hän on voinut syöttää selaimen osoiteriville muokkaamansa osoitteen, joka lähettää kyseisen viestin hänelle itselleen tunnuksen haltijan sijaan. Sähköpostiviesti sisältää linkin, jonka avulla salasanan voi vaihtaa haluamakseen. Reikä on sijainnut Passport-järjestelmässä ilmeisesti alusta asti, mutta se tuli julkisuuteen viime keskiviikkona Full Disclosure -sähköpostilistan kautta.

Microsoft sulki Passport-palvelun salasanan resetointijärjestelmän pari tuntia sen jälkeen, kun ongelmasta tiedotettiin Full Disclosuressa. Reiän tiedot julkistanut Muhammad Faisal Rauf Danka hoksasi ongelman kuultuaan ystävältään, että hänen käyttäjätunnuksensa oli murrettu. Danka tutki asiaa ja huomasi resetointijärjestelmän vajavaisuuden. Danka lähetti Microsoftille useita sähköviestejä ongelmasta, mutta ei saanut niihin vastausta, joten hän toi asian julkisuuteen. Monet tietoturva-asiantuntijat vahvistivat Dankan kuvaaman vian olemassaolon.

Lue juttu K2, 9.5.2003 01:17. Lähde: ZDNet

Muita aiheeseen liittyviä uutisia

Kommentoi juttua



Aihe

Esikatsele kommentti
Kommentit ( 0 uutta / 45 )
pistettä.
Näytä vain kommentit joilla on vähintään
Näin.
Anonyymi kommentoija, 9.5.2003 02:12:47		 Pisteet: 0
Vastaa
Onpas todella näppärästi (ja ilmeisen nopeasti) värkätty järjestelmä. Kyllä sitä nyt vepikoodiin voi virheitä tehdä, mutta uname ja tuo salasanan lähetysosoite samassa URL:ssa on jo vähän liikaa.
Pisterajan alittavia kommentteja piilossa.
Re: Näin.
Anonyymi kommentoija, 9.5.2003 09:35:30		 Pisteet: 0
Vastaa
Onpas todella näppärästi (ja ilmeisen nopeasti) värkätty järjestelmä.
Muistaakseni MS osti pasportin, eikä se ole mäsän oma, vaan joku shareware projekti.
Kannatiko tuosta maksaa... huh huh...

Tätähän Mycro$oft vain tekee, ostaa yrityksiä ja lyö niihin oman leiman päälle. Koko heidän liikeideanssa on tuo. Ihmisille annetaan vain mielikuva siitä että he ovat innovatiivisia yms. Todellisuudessa Mucro$soft on vain erittäin tehokas markkonointi ja juristi organisaatio.

Mitä tietoturvaan tulee se nyt ei ikinä ole ollut heidän prioriteettilistalla ykkönen, nyt tuokin viritys on korjattu siten että vika on edelleen olemassa mutta reititin sekä palomuuri saannoillä on nyt muutettu että tuon palvelun voi tehdä vain heidän sisäverkosta käsin. ELi koko Mocro$oftin henkilökunta sekä heidän tiloissa työskentelevä ulkopuolinen voi halutessaan tehdä muutoksia kenen tahansa salasanaan.
Re: Näin.
Anonyymi kommentoija, 9.5.2003 10:31:16		 Pisteet: +1
Vastaa
Tätähän Mycro$oft vain tekee, ostaa yrityksiä ja lyö niihin oman leiman päälle. Koko heidän liikeideanssa on tuo. Ihmisille annetaan vain mielikuva siitä että he ovat innovatiivisia yms. Todellisuudessa Mucro$soft on vain erittäin tehokas markkonointi ja juristi organisaatio.
Kaikki suuret yritykset toimivat niin, että ne kasvavat yritysostoilla. Se on ihan normaalia liiketoimintaa. Hyvin harva yritys pääsee Microsoftin kokoiseksi pelkällä orgaanisella kasvulla. Jos Microsoftilla on hyvä markkinointi- ja juristiorganisaatio niin hyvä juttu Microsofille, toimintamalli on tuottanut selkeästi hyvää tulosta. Jos yrityksen toiminnan kannalta on järkevää panostaa paljon markkinointiin ja ostaa tekninen osaaminen ulkopuolelta niin näin kannattaa sitten tehdä. Samaahan esim. suomalaisten ylpeys Nokia tekee, ostaa kännyköiden suunnittelua ja tuotantoteknologiaa muista firmoista ja pistää itse kaiken kasaan ja Nokia-leiman päälle. Ja väittää olevansa innovatiivinen. Ja aivan samaa tekevät kaikki muutkin isot yritykset.

Vai miten sinä haluaisit että Microsoft toimii? Eikö se saisi ollenkaan ostaa yrityksiä? Entäs yksittäiset työntekijät, pitäisikö Microsoftin kouluttaa itse kaikki henkilökunta alusta saakka, muutenhan työntekijätkin rekrytoidaan (=ostetaan) muista yrityksistä ja pannaan työntekijöiden työlle Microsoft-leima päälle. Vai pitäisikö koko Microsoft-nimestä mielestäsi luopua ja yrittää myydä erinäisten pikkufirmojen tuotteita miljoonalla eri tuotemerkillä? Ei taitaisi olla yrityksen toiminnan kannalta kovin järkevää.
Re: Näin.
Anonyymi kommentoija, 9.5.2003 10:47:03		 Pisteet: 0
Vastaa
Tätähän Mycro$oft vain tekee, ostaa yrityksiä ja lyö niihin oman leiman päälle. Koko heidän liikeideanssa on tuo. Ihmisille annetaan vain mielikuva siitä että he ovat innovatiivisia yms. Todellisuudessa Mucro$soft on vain erittäin tehokas markkonointi ja juristi organisaatio.
Kaikki suuret yritykset toimivat niin, että ne kasvavat yritysostoilla. Se on ihan normaalia liiketoimintaa. Hyvin harva yritys pääsee Microsoftin kokoiseksi pelkällä orgaanisella kasvulla. Jos Microsoftilla on hyvä markkinointi- ja juristiorganisaatio niin hyvä juttu Microsofille, toimintamalli on tuottanut selkeästi hyvää tulosta. Jos yrityksen toiminnan kannalta on järkevää panostaa paljon markkinointiin ja ostaa tekninen osaaminen ulkopuolelta niin näin kannattaa sitten tehdä. Samaahan esim. suomalaisten ylpeys Nokia tekee, ostaa kännyköiden suunnittelua ja tuotantoteknologiaa muista firmoista ja pistää itse kaiken kasaan ja Nokia-leiman päälle. Ja väittää olevansa innovatiivinen. Ja aivan samaa tekevät kaikki muutkin isot yritykset.
Vai miten sinä haluaisit että Microsoft toimii? Eikö se saisi ollenkaan ostaa yrityksiä? Entäs yksittäiset työntekijät, pitäisikö Microsoftin kouluttaa itse kaikki henkilökunta alusta saakka, muutenhan työntekijätkin rekrytoidaan (=ostetaan) muista yrityksistä ja pannaan työntekijöiden työlle Microsoft-leima päälle. Vai pitäisikö koko Microsoft-nimestä mielestäsi luopua ja yrittää myydä erinäisten pikkufirmojen tuotteita miljoonalla eri tuotemerkillä? Ei taitaisi olla yrityksen toiminnan kannalta kovin järkevää.
Niin nokia sentään on tehnyt itse suurimman osan ohjelmistaan, microsoft suinkaan ei ole tehnyt niin. Jopa DOS:in Bill Gates varasti kaveriltaan. Ja kaikki innovaation siitä etäänpäin on hankittu joko ostamalla tai muuten kyseenalaisin keinoin.
Re: Näin.
Anonyymi kommentoija, 9.5.2003 11:32:58		 Pisteet: +1
Vastaa
Niin nokia sentään on tehnyt itse suurimman osan ohjelmistaan
Pah, ei todellakaan ole. Nokia teettää softaa todella paljon ulkopuolisilla tahoilla. Itsekin olen ollut tekemässä Nokian softaa kahdessa eri firmassa, Nokilla en ole ollut ikinä töissä.

Jopa DOS:in Bill Gates varasti kaveriltaan. Ja kaikki innovaation siitä etäänpäin on hankittu joko ostamalla tai muuten kyseenalaisin keinoin.
Ostaminen on kyseenalainen keino? Mistä lähtien? Ja miksi ihmeessä Microsoftin edes kannattaisi tehdä softaa itse, jos saman softan saa ostettua ulkopuolelta valmiina ja halvemmalla? Ei Microsoft tai mikään muukaan yritys ole mikään persoonallinen olento jolla on oma mieli. Kyse on yrityksestä, joka yrittää parhaansa mukaan tehdä rahaa niin kuin kaikki yritykset. Jos rahaa tulee sillä, että panostetaan itse vain markkinointiin ja ostetaan tuotteet muilta firmoilta niin silloin kannattaa toimia niin. Muuten toiminen olisi tyhmää. Samoin jos rahaa tulee sillä, että kehitetään kaikki itse niin silloin toimitaan siten. Kyse on vain normaalista yritystoiminnasta, ei sen kummemmasta asiasta.

Yleisesti näistä eri softaan liittyvistä innovaatioista on todella vaikea sanoa, kuka ne on keksinyt ensin. Jokin ominaisuus tulee yhteen softaan, toinen firma tekee siitä oman paremman versionsa omaan ohjelmistoonsa, jonka kolmas kopioi omaansa. Tätä kun on jatkunut kymmeniä vuosia on aika vaikea sanoa, kuka ominaisuuden alunperin keksi. Ja useat tietokoneohjelmissa olevat ominaisuudet ovat peräisin muista teknologioista ja välineistä. Joten on aika turha syyttää Microsoftia tai mitään muutakaan softafirmaa kopioinnista ja innovaatioiden puutteesta.

Itseasiassa, jos jotain tahoa halutaan kopioinnista syyttää, niin voisi syyttää linuxia ja monia muita open source -projekteja :) Näissähän kopiodaan ominaisuuksia kaupallisista tuotteista ja tehdään niistä uusia ilmaisversioita. Linux on unix-kopio ja esim. Open Office taitaa olla aika pitkälle MS Office kopio. Ja nythän on ollut tapetilla väitteitä siitä, että linuxin olennaisia osia olisi varastettu kaupallisista unixeista. Johtopäätös: softateollisuudessa kaikki kopioivat kaikilta, näin se on ollut ja näin se tulee olemaan.
Re: Näin.
Anonyymi kommentoija, 9.5.2003 16:18:02		 Pisteet: 0
Vastaa
Niin nokia sentään on tehnyt itse suurimman osan ohjelmistaan
Pah, ei todellakaan ole. Nokia teettää softaa todella paljon ulkopuolisilla tahoilla. Itsekin olen ollut tekemässä Nokian softaa kahdessa eri firmassa, Nokilla en ole ollut ikinä töissä.
Jopa DOS:in Bill Gates varasti kaveriltaan. Ja kaikki innovaation siitä etäänpäin on hankittu joko ostamalla tai muuten kyseenalaisin keinoin.
Ostaminen on kyseenalainen keino? Mistä lähtien? Ja miksi ihmeessä Microsoftin edes kannattaisi tehdä softaa itse, jos saman softan saa ostettua ulkopuolelta valmiina ja halvemmalla? Ei Microsoft tai mikään muukaan yritys ole mikään persoonallinen olento jolla on oma mieli. Kyse on yrityksestä, joka yrittää parhaansa mukaan tehdä rahaa niin kuin kaikki yritykset. Jos rahaa tulee sillä, että panostetaan itse vain markkinointiin ja ostetaan tuotteet muilta firmoilta niin silloin kannattaa toimia niin. Muuten toiminen olisi tyhmää. Samoin jos rahaa tulee sillä, että kehitetään kaikki itse niin silloin toimitaan siten. Kyse on vain normaalista yritystoiminnasta, ei sen kummemmasta asiasta.
Yleisesti näistä eri softaan liittyvistä innovaatioista on todella vaikea sanoa, kuka ne on keksinyt ensin. Jokin ominaisuus tulee yhteen softaan, toinen firma tekee siitä oman paremman versionsa omaan ohjelmistoonsa, jonka kolmas kopioi omaansa. Tätä kun on jatkunut kymmeniä vuosia on aika vaikea sanoa, kuka ominaisuuden alunperin keksi. Ja useat tietokoneohjelmissa olevat ominaisuudet ovat peräisin muista teknologioista ja välineistä. Joten on aika turha syyttää Microsoftia tai mitään muutakaan softafirmaa kopioinnista ja innovaatioiden puutteesta.
Itseasiassa, jos jotain tahoa halutaan kopioinnista syyttää, niin voisi syyttää linuxia ja monia muita open source -projekteja :) Näissähän kopiodaan ominaisuuksia kaupallisista tuotteista ja tehdään niistä uusia ilmaisversioita. Linux on unix-kopio ja esim. Open Office taitaa olla aika pitkälle MS Office kopio. Ja nythän on ollut tapetilla väitteitä siitä, että linuxin olennaisia osia olisi varastettu kaupallisista unixeista. Johtopäätös: softateollisuudessa kaikki kopioivat kaikilta, näin se on ollut ja näin se tulee olemaan.
opa DOS:in Bill Gates varasti kaveriltaan. Ja kaikki innovaation siitä etäänpäin on hankittu joko ostamalla tai muuten kyseenalaisin keinoin.
Dos kyllä hankittiin ihan rahalla Digital Research nimiseltä firmalta ja muuten kannattaisi tarkistaa asenteitaan ja valistaa hieman itseään vaikkapa osoitteessa...

http://research.microsoft.com/research/projects/
Re: Näin.
Anonyymi kommentoija, 9.5.2003 16:22:57		 Pisteet: 0
Vastaa
Jopa DOS:in Bill Gates varasti kaveriltaan. Ja kaikki innovaation siitä etäänpäin on hankittu joko ostamalla tai muuten kyseenalaisin keinoin.
Kannattaisiko päivittää tietojaan ? DOS hankittiin kyllä ihan rahalla Digital Research yhtiöltä.

Hankittu kyseenalaiisn keinoin ? Häh, mitä oikein valitat, yrityskaupat ja teknologiahankinnat muka kyseenalaisia keinoja ja tutkimuksesta puhumattkaaan ?

Kannattaisiko oikoa käsityksiään vaikkapa osoitteessa:

http://research.microsoft.com/research/projects/
Re: Näin.
Anonyymi kommentoija, 9.5.2003 18:17:10		 Pisteet: 0
Vastaa
En ole kyllä alkuperäinen Anonyymi, mutta vastaan kuitenkin.

Kannattaisiko päivittää tietojaan ? DOS hankittiin kyllä ihan rahalla Digital Research yhtiöltä.
No ei tod, (Intergalactic) Digital Research teki CP/M:ää, joka alunperin piti tulla PC:n käyttikseksi. Kun sitä ei kuulunut, teki Seattle Computer Products-niminen firma neljässä kuukaudessa uuden käyttiksen nimeltä QDOS (Quick'n'Dirty Operating System), jonka MS myi IBM:lle omalla nimellään.

Hankittu kyseenalaiisn keinoin ? Häh, mitä oikein valitat, yrityskaupat ja teknologiahankinnat muka kyseenalaisia keinoja ja tutkimuksesta puhumattkaaan ?
No MS:hän ei ole koskaan ollut oikeudessa, todettu syylliseksi tai muuten vain sopinut käteisellä syytöksiä?

Kannattaisiko oikoa käsityksiään vaikkapa osoitteessa: http://research.microsoft.com/research/projects/
Totta, MS:hän on kaikkein paras paikka etsiä puolueetonta MS-tietoutta.
jjx Re: Näin.
jjx, 10.5.2003 14:06:08		 Pisteet: 0
Vastaa
http://research.microsoft.com/research/projects/
Totta, MS:hän on kaikkein paras paikka etsiä puolueetonta MS-tietoutta.
No ehkäpä pointti olikin se, että Microsoftilla tapahtuu myös omaa kehitystä. Taitaa tuo research.microsoft.com olla aika harvinaisuus softabisneksessä. Tuskin kovin moni muu softafirma satsaa samalla tavalla tutkimukseen (nimenomaan tutkimukseen, eikä tuotekehitykseen).

Microsoftin vihaajien kannalta tuo on tietenkin aika ikävä paikka, koska jokainen voi ihan itse kuvitella millainen vaikutus tuollaisilla panostuksilla on firman tulevaisuuteen.

-Juha
avirtan Re: Näin.
avirtan, 12.5.2003 11:43:50		 Pisteet: 0
Vastaa
No ehkäpä pointti olikin se, että Microsoftilla tapahtuu myös omaa kehitystä. Taitaa tuo research.microsoft.com olla aika harvinaisuus softabisneksessä. Tuskin kovin moni muu softafirma satsaa samalla tavalla tutkimukseen (nimenomaan tutkimukseen, eikä tuotekehitykseen).
http://www.research.ibm.com/

Noh, myönnettäköön ettei IBM ole pelkkä softatalo...
Re: Näin.
Anonyymi kommentoija, 9.5.2003 09:58:33		 Pisteet: 0
Vastaa
Muistaakseni MS osti pasportin, eikä se ole mäsän oma, vaan joku shareware projekti.
Väärinpä taidat muistaa ja vaikka asia olisikin noin, kyllä tuon kokoluokan järjestelmä pitäisi testata kunnolla myös tietoturvapuolen kanssa ennen julkaisua.
Re: Näin.
Anonyymi kommentoija, 9.5.2003 07:56:30		 Pisteet: 0
Vastaa
Onpas todella näppärästi (ja ilmeisen nopeasti) värkätty järjestelmä. Kyllä sitä nyt vepikoodiin voi virheitä tehdä, mutta uname ja tuo salasanan lähetysosoite samassa URL:ssa on jo vähän liikaa.
Onhan tua iso virhe, mut niinkauan kuin ihminen noita järjestelmiä tekee, niin niistä tulee löytymään virheitä.

Onhan noita urli ihmetyksiä nähty useita, kuten erään firman nettikaupassa näky salasana selväkielisenä urlissa.
Ei Näin.
Anonyymi kommentoija, 9.5.2003 08:21:35		 Pisteet: 0
Vastaa
Onhan tua iso virhe, mut niinkauan kuin ihminen noita
järjestelmiä tekee, niin niistä tulee löytymään virheitä.
Ei ihmisetkään voi tuollaisia virheitä tehdä. Tuon on koodannut joku apina ;-)
Re: Ei Näin.
Anonyymi kommentoija, 9.5.2003 08:47:39		 Pisteet: 0
Vastaa
Ei ihmisetkään voi tuollaisia virheitä tehdä. Tuon on koodannut joku apina ;-)
Niin sen täytyy olla. Eikös vanha totuus sano, että jos hyvin suuri määrä apinoita pannaan näpyttämään kirjoituskoneella satunnaisia kirjaimia, niin jossain vaiheessa syntyy väistämättä menestysromaani. Microsoft on varmaan näin it-laman aikana korvannut työntekijät apinoilla ja tehnyt automaattisen testiohjelman, joka palauttaa kyllä/ei sen mukaan kääntyykö ohjelma vai ei. Käännöksestä läpi menevät ohjelmat pannaan sitten myyntiin. Järjestelmä on hyvin edullinen, koska apinat tekevät töitä banaanipalkalla.
Re: Ei Näin.
Anonyymi kommentoija, 9.5.2003 11:03:40		 Pisteet: 0
Vastaa
Ei ihmisetkään voi tuollaisia virheitä tehdä. Tuon on koodannut joku apina ;-)
Niin sen täytyy olla. Eikös vanha totuus sano, että jos hyvin suuri määrä apinoita pannaan näpyttämään kirjoituskoneella satunnaisia kirjaimia, niin jossain vaiheessa syntyy väistämättä menestysromaani. Microsoft on varmaan näin it-laman aikana korvannut työntekijät apinoilla ja tehnyt automaattisen testiohjelman, joka palauttaa kyllä/ei sen mukaan kääntyykö ohjelma vai ei. Käännöksestä läpi menevät ohjelmat pannaan sitten myyntiin. Järjestelmä on hyvin edullinen, koska apinat tekevät töitä banaanipalkalla.
http://www.ntk.net/media/dancemonkeyboy.mpg
Re: Ei Näin.
Anonyymi kommentoija, 9.5.2003 22:28:21		 Pisteet: 0
Vastaa
Ei ihmisetkään voi tuollaisia virheitä tehdä. Tuon on koodannut joku apina ;-)
Niin sen täytyy olla. Eikös vanha totuus sano, että jos hyvin suuri määrä apinoita pannaan näpyttämään kirjoituskoneella satunnaisia kirjaimia, niin jossain vaiheessa syntyy väistämättä menestysromaani.
http://www.faqs.org/rfcs/rfc2795.html

This memo describes a protocol suite which supports an infinite number of monkeys that sit at an infinite number of typewriters in order to determine when they have either produced the entire works of William Shakespeare or a good television show. The suite includes communications and control protocols for monkeys and the organizations that interact with them.
Re: Näin.
Anonyymi kommentoija, 9.5.2003 14:43:09		 Pisteet: 0
Vastaa
Onhan noita urli ihmetyksiä nähty useita, kuten erään firman nettikaupassa näky salasana selväkielisenä urlissa.
Itseasiassa joskus hotmailin salasana oli aina vähän aikaa selväkielisestä näkyvissä urlissa. Tämä tapahtui ainakin kun avasi hotmail-inboxinsa MSN Messangerin kautta. Salasana näkyi vähän aikaa urilin perässä ja katosi sitten kun maililoota avautui. Tämä "feature" on tosin jo korjattu hyvän aikaa sitten.
feenix Re: Näin.
feenix, 10.5.2003 10:43:47		 Pisteet: 0
Vastaa
Onpas todella näppärästi (ja ilmeisen nopeasti) värkätty järjestelmä. Kyllä sitä nyt vepikoodiin voi virheitä tehdä, mutta uname ja tuo salasanan lähetysosoite samassa URL:ssa on jo vähän liikaa.
Vähän kuin erään kotimaisen verkkopankin laadukkuus: URLeissa välitettiin henkilön hetu koko ajan pankissa liikuttaessa...
Re: Näin.
Anonyymi kommentoija, 12.5.2003 11:25:10		 Pisteet: 0
Vastaa
Vähän kuin erään kotimaisen verkkopankin laadukkuus: URLeissa välitettiin henkilön hetu koko ajan pankissa liikuttaessa...
No tuo nyt ei ole _niin_ kauhea juttu, varmastikkin yhteys on kuitenkin ollut SSL-suojattu.
Re: Näin.
Anonyymi kommentoija, 12.5.2003 12:32:28		 Pisteet: 0
Vastaa
No tuo nyt ei ole _niin_ kauhea juttu, varmastikkin yhteys on kuitenkin ollut SSL-suojattu.
SSL-suojaus auttaa POST-, mutta ei GET-parametreihin, eli jos urlissa näkyy jotain niin se välitetään selväkielisenä.
Re: Näin.
pana, 15.5.2003 18:09:08		 Pisteet: 0
Vastaa
SSL-suojaus auttaa POST-, mutta ei GET-parametreihin, eli jos urlissa näkyy jotain niin se välitetään selväkielisenä.
Voisitko laittaa linkkiä asian tiimoilta. Oman kokemukseni mukaan jopa koneen selväkielinen nimi menee SSL-suojattuna ja vain IP sekä porttinumero selväkielisenä (luonnollisesti). Samalla IP:llä voi olla useita nimiä, joten se ei kuulu muille, mitä niistä kutsutaan.

Omista apache+ssl kikkailuista on aikaa, joten korjatkaa, jos olen väärässä.
Todella omituista
Anonyymi kommentoija, 9.5.2003 08:15:19		 Pisteet: +1
Vastaa
On ihan normaalia että järjestelmissä on tietoturva-aukkoja, mutta jos koko järjestelmän idea on käyttäjän tunnistaminen niin ei tällaisia täysin triviaaleja aukkoja saisi esiintyä. Itse ymmärrän vielä hyvin, että ohjelmiin saattaa jäädä jotain satunnaisia vaikeasti havaittavia ja hyödynnettäviä aukkoja, mutta tämä on minusta jo todella naurettavaa. Kyllä Microsoftin kokoisen ison softafirman pitää pystyä suunnittelemaan tunnistusjärjestelmä siten, että tällaisia selkeitä arkkitehtuuriin sisäänrakennettuja aukkoja ei ole. Tuo on kuitenkin niin perustavaa laatua oleva suunnitteluvirhe, että paljon ymmärrystä Microsoftia kohtaan ei löydy. On tainnut jäädä muutama tietoturvakatselmointi tekemättä.

Sinänsä kyllä pidän microsoftin tuotteista ja käytän niitä paljon, mutta kyllä usko passportiin meni nyt kerralla. Jos siellä on näin suuria suunnitteluvirheitä voi vain kuvitella, mitä kaikkia pienempiä aukkoja järjestelmästä ajan myötä löytyy.
lokori Re: Todella omituista
lokori, 11.5.2003 11:16:46		 Pisteet: 0
Vastaa
On ihan normaalia että järjestelmissä on tietoturva-aukkoja, mutta jos koko järjestelmän idea on käyttäjän tunnistaminen niin ei tällaisia täysin triviaaleja aukkoja saisi esiintyä.
Niinpä. Etenkään noin ison softatalon noin isossa järjestelmässä.

Sinänsä kyllä pidän microsoftin tuotteista ja käytän niitä paljon, mutta kyllä usko passportiin meni nyt kerralla.
Oheisen linkin takana oleva teksti julkaistiin jo ennen kuin passport tuli käyttöön. Meni itselläni usko jo silloin :)

http://avirubin.com/passport.htm
Re: Todella omituista
eXeonical, 9.5.2003 08:30:22		 Pisteet: 0
Vastaa
Totta.

Minäkin joitakin testisivuja PHP:llä väsättyäni tiedän että jos tiedot lähetetään GET:llä tai POST :lla voi clientiltä, eli selaimelta, tulla ihan mitä tahansa.

Olipa systeemin suunnitellut ja toteuttanut kuka tahansa, ei tuommoisia sivuja voi koodata jos tajuaa webbisivujen toiminnasta yhtään mitään. Varsinkin jos koko passportin ideana on tarjota LUOTETTAVA käyttäjien tunnistus järjestelmä.
Luottokortit
Anonyymi kommentoija, 9.5.2003 08:55:03		 Pisteet: 0
Vastaa
Eikö mäsä jossain vaiheessa suunnitellut, että luottokortit yms. tärkeät raha-asiat voisi integroida passporttiin? :)
Miksi MS oli hiljaa asiasta?
Anonyymi kommentoija, 9.5.2003 17:37:33		 Pisteet: 0
Vastaa
Itseäni kiinnostaa tietää miksi MS ei reagoinut yksityisiin ilmoituksiin tuosta reiästä. Heti kun asiasta tehtiin julkinen, reagoitiin. Onko tässä kyseessä tällainen "turvallisuutta tietämättömyydellä" -juttu? Haluaako viisaammat spekuloida? 8-)
Pineapple Re: Miksi MS oli hiljaa asiasta?
Pineapple, 10.5.2003 01:11:00		 Pisteet: +1
Vastaa
Itseäni kiinnostaa tietää miksi MS ei reagoinut yksityisiin ilmoituksiin tuosta reiästä. Heti kun asiasta tehtiin julkinen, reagoitiin. Onko tässä kyseessä tällainen "turvallisuutta tietämättömyydellä" -juttu? Haluaako viisaammat spekuloida? 8-)
Veikkaisin syyksi ihan sitä että MSlle tulee varmaan enemmän kuin yksi 'hei täs on vikaa, korjatkaas heti'-emaili päivässä. Uskoisin että aika helposti saattaa mennä ohi moiset vikailmoitukset - sensijaan jos se tulee yleiselle bugilistalle niin sitten se kyllä pongataan oitis.
Pineapple
Bostik Re: Miksi MS oli hiljaa asiasta?
Bostik, 9.5.2003 18:40:18		 Pisteet: +1
Vastaa
Itseäni kiinnostaa tietää miksi MS ei reagoinut yksityisiin ilmoituksiin tuosta reiästä. Heti kun asiasta tehtiin julkinen, reagoitiin.
Tämähän on nähty ennenkin. Ennen kuin MS aloitti Trustworthy Computing-propagandansa, yritys käsitteli lähes järjestelmällisesti turvaongelmia PR-ongelmina. Moisen myöntäminen olisi ollut PR-munaus ja sellaiseen ei firmalla ilmeisesti olisi varaa.

Reilut pari vuotta sitten BugTraq-postituslistalla näkyi toistuvasti valituksia siitä, että MS ei antanut minkäänlaista painoarvoa heille lähetettyihin reikäraportteihin. Tästä syystä listalle sitten postattiin toinen toistaan tylympiä "proof-of-concept"-nimikkeellä mainostettuja skriptejä, joilla reikiä pystyi hyödyntämään. Vasta kun reikä ja sitä hyödyntävä ohjelma olivat julkisuudessa, MS suostui reagoimaan ja korjaamaan reiän.

Pitäisi kaivaa uutisarkistoja ja tutkia, mitä reikiä jouduttiin julkistamaan vielä 2-3 kuukautta ennen kuin Trustworthy Computing-rummutus alkoi. Koko ohjelma lähti siitä, että yrityksen tuotteiden julkisuuskuva alkoi *ihan oikeasti* kärsiä. Uskallan väittää, että ohjelma käynnistettiin vasta kun reikien ja exploittien julkaisuja alkoi tulla liian tiuhaan tahtiin.

Vaikka onkin yksittäinen tapaus, vaikuttaa tämä silti ikävästi paluulta vanhaan.
Kyynisyys on optimismia
Pingviinikerho hallusinaation partaalla
Anonyymi kommentoija, 9.5.2003 20:08:12		 Pisteet: 0
Vastaa
Pitkästä aikaa pingviinikerhon jäsenet pääsevät hehkuttamaan oman "käyttiksensä" erinomaisuutta. Hehkutus näkyy heti tämän uutisen vastausmäärissä.

Tosiasia on, ettei linuxista koskaan tule mitään "koko kansan" käyttistä, siitä pitävät huolen n+1 distron + n+1 kernel version + n+1 kirjastoversioden jakelijat. Jos ohjelmien jakelu linuxiin sujuisi binäärimuodossa niin siitä voisi tulla menekki, nykytilanteessa jossa kaikki on käytännössä käännettävä itse voitte unohtaa menestyksen.
Re: Pingviinikerho hallusinaation partaalla
Anonyymi kommentoija, 9.5.2003 21:18:08		 Pisteet: 0
Vastaa
Pitkästä aikaa pingviinikerhon jäsenet pääsevät hehkuttamaan oman "käyttiksensä" erinomaisuutta.
Tästä olen samaa mieltä.

Tosiasia on, ettei linuxista koskaan tule mitään "koko kansan" käyttistä, siitä pitävät huolen n+1 distron + n+1 kernel version + n+1 kirjastoversioden jakelijat
Tästä taas toivon, että olet väärässä.
Tosin pahasti pelkään, että olet oikeassa mutta syynä ei ole mainitsemasi vaan Pingviinikerhon asenne aloittelijoita ja muita käyttöjärjestelmiä käyttäviä kohtaan.
Re: Pingviinikerho hallusinaation partaalla
Anonyymi kommentoija, 11.5.2003 21:05:56		 Pisteet: 0
Vastaa
Tosiasia on, ettei linuxista koskaan tule mitään "koko kansan" käyttistä.
Toivottavasti ei. Tyhmien käyttäjien ryntäys vapaiden ohjelmien yhteisöön tästä vielä puuttuisikin.
Re: Pingviinikerho hallusinaation partaalla
Anonyymi kommentoija, 11.5.2003 22:00:03		 Pisteet: 0
Vastaa
Pitkästä aikaa pingviinikerhon jäsenet pääsevät hehkuttamaan oman "käyttiksensä" erinomaisuutta. Hehkutus näkyy heti tämän uutisen vastausmäärissä.
Toisaalta: tässähän kyse ei ole käyttöjärjestelmien eroista, vaan siitä, että Microsoftilla ollaan tehty emämunaus Passport-järjestelmän koodin suunnittelussa. Passport'han on riippumaton käyttöjärjestelmistä, koska se on internet-sovellus.


// Tuomo Björksten
Hotmail
Nonsense, 9.5.2003 12:21:10		 Pisteet: 0
Vastaa
Eikös jo Hotmailissa ollut mahdollista saada käyttäjän salasana tietoon lähettämällä kyseisen käyttäjän laatikkoon sopivasti muotoiltu viesti?

Itse en ole koskaan Passportiin tai sen tapaisiin palveluihin luottanut, mutta tämänkaltainen virhe on, kuten eräs anonyymi kommentoi, aivan naurettava.

Sitä paitsi, haluammeko me käyttäjät shoppailun olevan mahdollista "hiirtä klikkailemalla"? "Voisikin tästä klikkailla tuon kolmen tuhannen euron telkkarin tänne klik klik." Tietysti helppo ostosten tekeminen on hyvä asia, mutta jossain menee raja. Itse en halua että kun klikkaan mainosbanneria, ryystää selain Passportista tai mistä tahansa vastaavasta palvelusta luottokortti- sekä osoitetiedot ja sitten ilmoittaa että tuote saapuu kahden viikon kuluessa.
tpr Re: Hotmail
tpr, 9.5.2003 13:13:37		 Pisteet: 0
Vastaa
Eikös jo Hotmailissa ollut mahdollista saada käyttäjän salasana tietoon lähettämällä kyseisen käyttäjän laatikkoon sopivasti muotoiltu viesti?
En ainakaan usko enkä ole kuullut vastaavasta. Mutta semmoinen huijaus on ollut, jonka avulla muka saisi kenen tahansa salasanan lähettämällä oman tunnuksen ja salasanan johonkin osoitteeseen..
Re: Hotmail
Anonyymi kommentoija, 9.5.2003 21:20:15		 Pisteet: 0
Vastaa
En ainakaan usko enkä ole kuullut vastaavasta. Mutta semmoinen huijaus on ollut, jonka avulla muka saisi kenen tahansa salasanan lähettämällä oman tunnuksen ja salasanan johonkin osoitteeseen..
Testataan. Lähetätkö tunnuksesi ja salasansi minulle osoitteeseen ei.toimi@hotmail.com
Kaikkea sitä täälläkin väitetään ilman minkäänlaisia perusteluita tai edes linkkiä itse asiaan.
Re: Hotmail
Anonyymi kommentoija, 12.5.2003 10:05:47		 Pisteet: 0
Vastaa
Testataan. Lähetätkö tunnuksesi ja salasansi minulle osoitteeseen ei.toimi@hotmail.com
Tuo osoite ei valitettavasti toimi. Johtuu luultavasti tuosta pisteestä, joka ei ole laillinen merkki hotmailissa...lähetin tunnukseni ja salasanani varmuuden vuoksi myös ei_toimi@hotmail.com:miin.
tpr Re: Hotmail
tpr, 11.5.2003 14:11:05		 Pisteet: 0
Vastaa
Testataan. Lähetätkö tunnuksesi ja salasansi minulle osoitteeseen ei.toimi@hotmail.com Kaikkea sitä täälläkin väitetään ilman minkäänlaisia perusteluita tai edes linkkiä itse asiaan.
Hyvä herra anomuumi, sanoin alussa että luulen, ettei tuommoinen ole mahdollista. Lisäksi jäin kaipaamaan sinulta perusteluja miksi se onnistuisi..
Re: Hotmail
Anonyymi kommentoija, 12.5.2003 14:03:59		 Pisteet: 0
Vastaa
Hyvä herra anomuumi, sanoin alussa että luulen, ettei tuommoinen ole mahdollista. Lisäksi jäin kaipaamaan sinulta perusteluja miksi se onnistuisi..
Hyvä herra(?) tpr.
Miksi minulta kysyt perusteluita siitä miksi se onnistuisi?
Sinähän se kirjoitit, että luulet sellaisen "aukon" olevan.
Joten sinun tulisi perustella miksi se onnistuisi ei minun.
superhoe Eikä siinä vielä kaikki..
superhoe, 9.5.2003 15:46:02		 Pisteet: +1
Vastaa
Lainaus Digitoday.fi:n vastaavasta uutisesta:

"Microsoft ja Federal Trade Commision sopivat viime vuonna Passportin turvallisuuteen liittyvän kiistan. Sopimuksen sisältyi 11 000 dollarin sakko jokaista haavoittuvaa Passport-tiliä kohden. Koska salasana-aukko koski kaikkia yhtiön 200 miljoonaa Passport-tiliä, Microsoftin teoreettinen sakkosumma nousee huimaan 2 200 miljardiin dollariin.

Microsoft tosin raportoi varsinaisesti vaarantuneiden tilien määrän olleen huomattavasti 200 miljoonaa pienempi. FTC ei suostunut kertomaan Reutersille aloittaako se tapauksen tutkinnan, mutta komission edustaja totesti heillä olevan velvoite Microsoftin valvontaan asiassa."

Saadaanpa nyt sitten myös nähdä ovatko nämä FTC:n 'hanttiin panemiset' pelkkää silmänlumetta vai aikovatko tosissaan VALVOA ja pitää tiukkaa linjaa.

Tietoturva-aukko koski kaikkia tilejä, mutta vaarantuneiden tilien määrä on paljon pienempi. Rankkaa.

Toivotaan, toivotaan, toivotaaaan..
--