About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (11),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),email (5),molbiol (5),felzárkóztató (5),szájbarágó (5),webcserkészet (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),big data (4),kultúra (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Gigabájtos? Ha fájlhoszting, legyen inkább terabájtos!


adattárolás adatmentés felhő fájlhoszting Tencent Qihoo 360 Kína terabájt Onedrive Yandex Mail.ruAhogy az Origón is volt róla szó, akinek volt ingyenes Microsoft Onedrive tárhelye, de nem jelezte, hogy az eredeti méretű tárhelyet szeretné használni továbbra is, annak a 15 illetve 30 GB-os méretű tárhelyét csökkentették 5 GB-osra, ami eléggé drasztikus lépés, emellett az Office 365 felhasználók korábban korlátlanként kínált tárhelyét 1 terabájtosra korlátozták.

Mi történt előzőleg? Hónapokkal ezelőtt lett belőle egy kisebb cirkusz, hogy a Microsoft korlátozza azoknak az Office 365 felhasználóknak a tárhelyét, akik figyelmen kívül hagyták a fail usage policy-t, azaz azt az írásban foglalt szabályt, ami szerint jelen esetben a felhőszolgáltató korlátlan tárhelyet ad, de a felhasználóról jóhiszeműen úgy gondolja, hogy nem generál ésszerűtlen adatforgalmat és nem tárol ésszerűtlen mennyiségű adatot a tárhelyén.

Itt megjegyzem, nagyon nem világos, hogy miért nem tudta a Microsoft a fair usage policyra hivatkozva csak az érintett felhasználók fiókjainál érvényesíteni a korlátozást. Azon sem lennék meglepve, ha döntően azok a felhasználók ontották volna fel a tárhelyre a HD poreszt terabájtos dózisban, hogy ne az ő gépükön tárolja a helyet, na meg a bővítményes mentéseket a saját gépük teljes tartalmáról, akik még csak nem is saját maguknak fizették az Office 365-öt, hanem például a munkahelyükön vagy az iskolájukon keresztül kapták. Megjegyzem, a Microsoft Magyarország egy nem is olyan régi kezdeményezés keretében a közoktatásban felsőoktatásban tanulók számára ingyenesen elérhetővé tette az Office 365 iskolai kiadását, hogy majd a munka világába kilépve a diákság tagjai mégse Google Docs-szal, Google Drive-val, Facebook-csoportokkal meg hasonló trágyákkal égessék már magukat vállalati környezetben. Persze a Microsoft azért mindezt annak tudatában lépte meg, hogy úgyis csak néhányan fognak majd átszokni a Microsoft-felhőre, hiszen könnyen belátható, hogy a kedvezményt kapott tanulóknak csak a töredéket használná ki az egy terabájtos tárhelyet, már az is bőven meghaladná az európai MS cloud kapacitásait amellett, hogy pokolian ráfizetéses lenne. Azaz a szolgáltató mindig úgy matekozik, hogy lesz ugyan néhány heavy user, viszont nagyon sokan csak minimális mértékben vagy se használják a szolgáltatást.

Ugyan a blogon volt már ugyanez, de annyira zseniális a sztori a csávóról aki az átalánydíjas svédasztalos étteremből ki lett tiltva, mert túl sokat zabált, hogy ismét beteszem, mert végülis nagyon hasonlóról van szó.

"Évek óta kering az interneten egy legendás bejegyzés, amelyben egy elégedetlen vevő leírta, hogy őt eltanácsolták egy budapesti svédasztalos étteremből, mert túl sokat zabált.

Sokan nem hittek abban, hogy meg lehet enni ezt a menüt: Egy eperkrémlevest, majd egy frankfurtilevest. Ezt követte egy meleg előétel: kacsamellfalat. Majd ettem KETTŐ szelet húst rizibizivel, fokhagymás mártással. Továbbá ettem kb. tíz "kisháromszögnyi" füstölt karaván sajtot, tökmagot, és egy tányér sült krumplit (álánatúr). Ezt követte kb. három dinnyefalat (kb. két harapásnyira voltak felvágva). Megettem egy banánt (kettőt vittem el, de egyet elcsórtak az asztaltársaim), valamint apránként egy pár kanál pirított tökmagot. Végezetül desszertként megettem két madártejet (kb. két deci volt egy), egy sárgadinnyés-túróhabos fagyit (egy gombóc fagyi, egy gombóc sárgadinnyés túróhab), meg még további két gombóc vaníliafagyit. Megittam 2 x 2 dl őszilét, egy fél pohár sangriát, két pohár kólát valamint egy kapuccsínót."

A következő fájlhoszting szolgáltatók biztosítják a megszokott szolgáltatásokat, azaz webes felületen elérhetőek, több platformra lehet telepíteni hozzájuk kilensprogramot, akárcsak a Onedrive, Google Drive vagy MEGA esetén. Ami fontos különbség, hogy míg bizonyos szolgáltatók esetén csak maga a regisztráció idegen nyelvű, aminél viszont minden további nélkül bekapcsolható a Chrome fordítója, ha valakinek az orosz problémát jelentene, a regisztrációt követően már a webes felületen az egészet át lehet állítani angol nyelvűre és rendelkezik angol nyelvű klienssel is, míg a kínaiaknál vagy nem vagy nem találtam meg.

Mail.ru Cloud – az „orosz freemail” felhőszolgáltatása lealázva mondjuk a Google Drive-ot,  kapásból 25 GB tárhelyet ad közvetlenül a regisztráció után, ha a felhasználó telepíti a mobilkliensét is, de nem kötelező azon keresztül semmit sem feltöltenie.

Az európai szemmel jóval barátságosabb Yandex Disk, amiről korábban már írtam itt, 10 GB-tal indít, néhány kattintással állítható át angol nyelvűre, ha pedig telepítjük a Yandex Mail mobilappot, kapásból 26 GB-os gyors és biztonságos tárhelyet kapunk minden földi jóval. Gyakorlatilag tökéletes alternatívája a Google Drive-nak, de inkább még jobb is.

adattárolás adatmentés felhő fájlhoszting Tencent Qihoo 360 Kína terabájt Onedrive Yandex Mail.ruMivel nem próbáltam ki, inkább csak a leginkább vállalkozó szellemű felhasználóknak geekeknek merném javasolni a kínai telco gigacég, a Tencent által nyújtott szolgáltatáscsoport fájlhoszting szolgáltatását, ami 10 TB (!!) tárhelyet garantál egy kis trükkel.

Ha minden igaz, a jól ismert QQ instant üzenetküldő szolgáltatásra kell regisztrálni, ami még angol nyelvű. Ezt követően a mobilra letöltött Tencent Cloud-ba a QQ-azonosítóval belépve már meg is adja a Tencent a 10 TB-os tárhelyet, amit aztán a Weiyun oldalán lehet ellenőrizni. Így egy kicsit zavaros lehet, de teljesen arról van szó, mint a Microsoft Account vagy a Google Account esetén: a regisztrációkor létrejövő fiókkal nem csak a levelező vagy instant üzenetküldő szolgáltatás érhető el, hanem több száz másik, így a Google esetében a Gmail, Google Analytics, Youtube, Google Drive, Google Keep, Google Calendar, Google Hangouts és így tovább. A Tencentnél teljesen hasonló a helyzet, csak éppenséggel a szolgáltatáscsoport tagjainak ilyen-olyan, egymásra még csak nem is hasonlító nevei vannak.

A Tencentnek valószínűleg full mindegy, hogy mekkora tárhelyet kínál, mivel Kínában alapvetően a net is lassabb, másrészt mindig tartsuk észben, hogy a szolgáltató korlátozhat az egyben fel- és letölthető fájlok méretét, a fájlok számát illetően, de korlátozhatja a tárolható fájltípusokat és a feltöltési sebességet is. Ha valaki úgy gondolná, hogy ezek az átlagos felhasználót úgysem érinthetik jobban ismert szolgáltatások esetén, annak ajánlom mondjuk ezt na meg ezt a másik összehasonlítást.

adattárolás adatmentés felhő fájlhoszting Tencent Qihoo 360 Kína terabájt Onedrive Yandex Mail.ru10 terabájtos tárhelyet írtam előbb? Hát persze, hogy lehet überelni! A Qihoo nem kevesebb, mint 36 TB-t ad, ha igaz, amit itt le van írva, ugyan lehet, hogy egyik-másik bravúr némi kínai nyelvtudást igényel, ugyan abban nem lennék teljesen meggyőződve, hogy az összes feltelepítendő app csak azt csinálja, amit valóban csinálnia kell és nincs valamelyikben ordas nagy backdoor, tehát ezeknek a kipróbálása az előzőhöz hasonlóan, virtuális gépen ajánlott.

De miért éri meg cégeknek dög nagy tárhelyet adni ingyen? Nos, sokszor végképp nem egyértelmű, de a Google esetén az IT kapacitáshoz képest a 15 GB-s tárhely lényegében erősíti a brandet. Másrészt sokszor az üzleti modell végképp nem világos, viszont ha arról van szó, hogy ennek a hátterében milyen infrastrukturális megvalósítás áll, semmiképp sem hagyományos szervereket képzeljünk el, hanem olyan fémtömeget, amit esetleg a gyártó kimondottan az adott web giant igényeinek megfelelően gyártott le, ha pedig nagy tömegben gyártanak le valamit, egy bizonyos szintig az ára annál inkább csökkenthető. Viszont ne feltételezzük egy-egy dög nagy tárhelyről, hogy ott aztán az adatok az örökkévalóságig léteznek, a Google és a Microsoft is fenntartja a jogot, hogy valamennyi inaktivitás után egyszerűen törölje a felhasználó minden adatát, másrészt ha valami gyanusan olcsó, annak a rendelkezésre állása sem teszi lehetővé, hogy egy szervezet nagyon támaszkodjon rá. Alighanem még a Google Apps adminisztrátorok közül is sokan nem tudják, de könnyedén beállítható, hogy ha valamilyen meghibásodás van abban az adatközpontban, ahol az adott szervezet adatait tárolja a Google, akkor arról küldjön emailen értesítést. Bekapcsoltam, gyakorlatilag nincs nap, hogy valamelyik, ráadásul fontosabb szolgáltatás részleteges ne halna le. Mivel a mezei Google szolgáltatások ugyanazon az infrastruktúrán futnak, mint a fizetős Google Apps különböző változatai, ezért feltehetően a Googlenél is teljesen hasonló a helyzet, csak nem annyira világos.

adattárolás adatmentés felhő fájlhoszting Tencent Qihoo 360 Kína terabájt Onedrive Yandex Mail.ru

Ha arra vagyunk kíváncsiak, hogy valójában mennyi lehet üzemeltetni egy tényleg stabil fájlhoszting szolgáltatást, akkor például a Rackspace sávszélesség- és adattárolás árazásából lehet rá következtetni, abból pedig gyorsan kiderül, hogy nem olcsó mulatság.

Röviden: ismétcsak az első kérdés, hogy mi, miért, milyen rendelkezésre állással szeretnénk tárolni, különben értelmetlen feltenni magát a kérdést, hogy melyik fájlhoszting szolgáltató a legjobb. Ha valaki nem szeretné, hogy a letorrentezett HD pornó kollekciója, ami mennyiségében annyi, hogy alighanem az életbe nem tudná mind megnézni, ne a gépen tárolja a helyet, nyilván feltölthető olyan helyre, ahol nem olyan kínos, ha adatvesztés történik. Ha viszont dokumentumokat kell tárolni, de úgy, hogy abból garantáltan egy gramm se vesszen el, nyilván teljesen más a helyzet.

0 Tovább

Email biztonság, újragondolva – jelszó nélkül


Mióta az azonosításhoz használnak jelszavakat, gyakorlatilag ugyanaz a probléma velük: a felhasználó leírja, elhagyja, lenyúlják, lelesik, kölcsönadja, a jelszó túl gyenge és folytathatnám a sort. A blogon már többször is téma volt az egyre több helyen bevezetett többlépcsős, konkrétabban kétlépcsős hitelesítést valamilyen formában, azaz amikor a felhasználói nevünk és a jelszavunk, - mint két statikus azonosító – mellett meg kell adni még egy, egyszer használatos azonosítót is, ami például egy SMS-ben érkező token vagy egy mobilalkalmazás által generált, adott ideig érvényes számsor. Tanulságos, hogy ezt a netbankos rendszereknél vezették be először, majd jóval később, sorra azok a szolgáltatók, akiknél nagy mennyiségű információ tárolódik, mára pedig támogatja gyakorlatilag minden komolyabb webszolgáltatás.

Ami még érdekesebb, hogy a Yandex január táján gondolt egy nagyot és a nagy és ingyenes szolgáltatók közt elsőként opcionálisan olyan authentikációt tett elérhetővé a belépéshez, amivel a jelszó teljes egészében nélkülözhető: csak a felhasználói nevet kell megadni, a jelszót pedig képletesen egy olyan állandóan kulcs helyettesíti, ami végülis mindig nálunk van.

A beállítási folyamat meglehetősen egyszerű, az okostelefonunkra le kell tölteni a Yandex Key alkalmazást, majd a lépésről lépésre történő webes beállításkor megjelenő QR-kódot beolvasni vele, de megadhatjuk a képernyőn megjelenő átmeneti karaktersorozatot is. Jó, jó, de ezt eddig tudta többek közt a Google Authenticator, a Microsoft Authenticator, a Duo Mobile és a többi is, nem? Itt jön a csavar: a Yandex Key beállításához kötelezően be kell állítani egy négy számjegyből álló alkalmazás PIN-t is.

Innentől kezdve, ha megpróbálunk belépni a Yandex-fiókba, a Yandexen csak a felhasználói nevet kell beírni, majd a jelszó helyett a QR-kód ikonjára kattintani, ekkor egy QR-kód jelenik meg a képernyőn. Ezt be kell olvastatni a Yandex Key appal és a beléptetés megtörténik. Viszont! Abban az esetben, ha a Yandex Key megnyitása után hibás PIN-t adunk meg, szintén bescannelhető ugyan a QR-kód, viszont azzal a beléptetés nem fog menni és – ami a lényeg – ha valaki mondjuk az ellopott mobilunkkal próbálni így belépni, nem fog  tudni, mivel az alkalmazás PIN-t nem ismeri. Ha eddig nem lenne eléggé csavaros a dolog, az alkalmazás nem figyelmeztet érvénytelen PIN esetén sem, így a támadónak nagyon megnehezíti a dolgát, mert még ha neki is állna végigpróbálgatni a 10000 ismétléses permutációt, ami a PIN lehet 0000-9999 tartományban, nem fogja tudni könnyen megállapítani, hogy mikor talált.  

Akkor ez most végülis kétlépcsős hitelesítés vagy sem? Végülis igen, de eddig nem látott kivitelben. Jelszó helyett mindössze a négy számjegyű alkalmazás PIN az egyetlen fix elem, amire emlékezni kell, meg persze a saját felhasználói nevünk.

Természetesen a többi 2-FA megoldáshoz hasonlóan itt is van lehetőség alkalmazásjelszavakat létrehozni vagy visszavonni például levelezőklienshez, viszont vegyük észre, hogy a Yandex ezzel a módszerrel kiiktatta a felhasználók azonosításában örök problémát jelentő tényezőt, a statikus jelszót!

Abban az esetben, ha a mobil nem alkalmas QR-kód olvasására, a QR-kód helyett a webes belépésnél kérhetjük azt is, hogy egy egyszer használatos karaktersorozatot kelljen megadni, ami szintén a Yandex Key-en olvasható le.

Amíg nagyon bétában futott, tapasztaltam olyat, hogy nem sikerült belépni a helyes PIN ellenére sem, a hibát azóta már javították, az ok valószínűleg az volt, hogy a mobilalkalmazás más időzónát használt, mint ami a Yandex-fiókban be volt állítva. Hogy ennek mi a jelentőssége, azzal senkit sem büntetnék, erre lehet olvasni róla

A posztnak azt a címet adtam, hogy „Email biztonság”, mert a Yandexet évek óta elsősorban levelezésre használom. Viszont érdemes tudni, hogy az orosz google-nek is csúfolt webes óriás a levelezésen túl fájlhoszting szolgáltatóként is működik, van benne térképalkalmazás, webes fordító, naptár, gyakorlatilag minden, ami a Google-account vagy éppen Microsoft-accountok használatakor is elérhető.

Az ok, ami miatt a Yandex alig ismert Európa nyugati régióiban, egyszerű, konkrétan az, hogy nagyon sokáig nem volt elérhető angol nyelven, néhány éve viszont szinte minden szolgáltatását elérhetővé tették angol nyelven is. Ha először használod és oroszul jelenik meg, de nem tudsz oroszul, egyetlen kattintással állítható át a teljes felület angolra.

0 Tovább