About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (36),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),mobil (8),biztonság (8),OSINT (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),jog (6),Google (5),webcserkészet (5),molbiol (5),szájbarágó (5),felzárkóztató (4),Nobel-díj (4),terrorizmus (4),kriminalisztika (4),big data (4),kultúra (4),email (4),plágium (4),Apple (3),jelszó (3),nyelvtechnológia (3),genetika (3),Android (3),biztonságpolitika (3),pszichológia (3),webkettő (3),reklám (3),élettudomány (3),gépi tanulás (3),CRISPR (3),Onedrive (3),üzenetküldés (3),2015 (3),orvosi-fiziológiai (3),online marketing (3),kriptográfia (3),molekuláris biológia (3),azelsosprint (3),torrent (3),konferencia (3),magatartástudomány (3),hype (3),biztonságtudatosság (3),open source intelligence (3),popszakma (3),levelezés (3),Gmail (3),szabad információáramlás (2),Yoshinori Ohsumi (2),bejutas (2),Hacktivity (2),Reblog Sprint (2),tweak (2),Pécs (2),génterápia (2),DKIM (2),cas9 (2),bűnügy (2),fiziológia (2),hitelesítés (2),TOR (2),kulturális evolúció (2),villámokosság (2),deep web (2),ransomware (2),bűnüldözés (2),DDoS (2),természetes nyelvfeldolgozás (2),arcfelismerés (2),FUD (2),nyílt forrású információszerzés (2),Balabit (2),P2P (2),webkamera (2),Netacademia (2),neuropszichológia (2),Whatsapp (2),SPF (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),sajtó (2),tanulás (2),biológia (2),szociálpszichológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

A webkettővel mindenki ráfarag egyszer, csak máshogy


social media webkettő Facebook Google bugAmikor valamilyen témában írok, igyekszek úgy bemutatni egy jelenséget, témát, problémát, ahogy más korábban még nem tette vagy nem megfelelő mélységben – na, ezt hívják értékteremtésnek, aminek manapság annyira nincs megbecsülése, hogy az már-már fáj.

Ha egy webes szolgáltatásban egy ritkán jelentkező problémáról van szó, rendszerint persze a Magyarországon valamilyen perverzió folytán social media szakértőnek nevezett arcok, fél fokkal jobb esetben meg olyanok írnak, akik mondjuk advanced userként valamivel jobban értenek hozzá, persze behatóan sosem vizsgáltak egy-egy szolgáltatást sem, nemhogy fejlesztettek volna rá. A privacy-szakikat, akik rájönnek, hogy jééé, a közösségi web tényleg közösségi, inkább most hagyjuk, mert azzal tényleg ki lehet kergetni a világból.

Azt mondom, hogy a webkettővel mindenki tökön szúrja magát egyszer, jobban vagy kevésbé, a kérdés csak az, hogy előbb vagy később. Nos, velem most éppen ez történt.

Az ős-facebook-fiókom meglehetősen egyedi módon volt beállítva, például egyáltalán nem lehetett ismerősnek jelölni. Mindezt sok-sok évvel ezelőtt úgy oldottam meg, hogy a Who can contact me?/Who can send you friend requests? beállítást nem webes felületen vagy appon keresztül állítottam be, hanem olyan módon, hogy létrehoztam egy eleve ismerősökből képzett listát, majd a kliensoldali kódot olyan módon módosítottam valamint a beállítást végző paramétert úgy küldtem újra a szerver felé, hogy az alapértelmezés szerint választható lehetőségek mellett választható legyen az is, azaz ami nem jelenik meg a legördülő menüben. Vegyük észre, hogy logikailag értelmetlen az, hogy csak olyan jelölhet ismerősnek, aki már eleve ismerősöm – mivel nem tud – ezzel együtt viszont senki más, ami egy roppant komfortos megoldás, akit érdekelnek a tartalmaim, arra ott a Follow gomb, szinte dettó ugyanazt láthatják a követők, amit az ismerősök.

social media webkettő Facebook Google bug

Egy rossz mozdulattal múltkor mobilon lenyitottam a szóban forgó beállítást, egy félrekattintásnak hála, már tényleg csak az Everyone és a Friends of friends lehetőség választható. Gondoltam, semmi gond, megmókolom ismét. Igen ám, csakhogy az elmúlt néhány évben már jópárszor újraírták az egészet, anélkül, hogy belemennék a részletekbe, a Facebook – alapvetően helyesen – szerveroldalon is ellenőrzi, hogy olyan paramétert kapott-e, amit alapvetően választhat a felhasználó. /*Erről a műértők általánosságban erre tudhatnak meg többet. */ Az eredmény: nem sikerült visszaállítani az eredeti állapotot, ahhoz pedig nagyon keményen, az egész accountot kockáztatva kellene nekimenni a Facebooknak, hogy ismét beállítható legyen a már nem engedélyezett beállítás megadása, ami ráadásul amellett, hogy sejthetően több nap meló lenne, sanszos, hogy végül nem is sikerülne.

social media webkettő Facebook Google bug

Ami ez után következett, ha nem is tűnik elsőre annak, egy kisebb rémálom! A profilom sok-sok felhasználónál jelent meg mint friend suggest, azaz ismerősajánló, olyan felhasználóknál, akik nem ismerősök, de ezer évvel korábban üzenetet váltottam velük, a saját accountomon keresztül rájuk kerestem valamilyen módon vagy idióta módon a saját accountomon keresztül végeztem lekérdezést velük, gyakrabban valamilyen tartalmukkal kapcsolatban. Ezen kívül többminden full máshogy kezdett működni.

Mindezt a nagy kapkodásban sikerült megfejelni egy még komolyabb hibával, ami miatt a Facebook most a születési évemet 2003-nak látja. Mindez könnyen kiküszöbölhetőnek tűnik, hiszen elvben "csak" át kell állítani a születési évet, nem? Elvileg igen, gyakorlatilag pedig a hivatalos súgó szerint vagy megváltoztatható vagy sem, ha pedig igen, akkor várni kell néhány napot, de azt nem tisztázza a súgó, hogy mennyit is.

A felhasználási feltételek szerint 13 vagy 15 éves kortól használható a FB, gyakorlatilag pedig nagyon nem mindegy, hogy a felhasználó elmúlt-e 18, megint más államokban 21 éves. Hogy mennyire nem mindegy, arra íme néhány példa:
- 18 éves kor alatt konkrétan nem engedélyezhető a keresőmotoroknak, hogy indexeljék az adatlapot, mi több, ha valaki facebookos azonosításra alapuló szolgáltatással posztolt valahol a neten - ilyen például a mindenki számára ismert kommentbox - az könnyen lehet, hogy egyszerűen el fog tűnni vagy hibásan jelenik meg
- konkrétan hiába van az beállítva, hogy milyen kontakt adatok látszódjanak az adatlapon, az gyakorlatilag a "kiskorú védelme érdekében" totál üres lesz!
- a Follow gomb konkrétan eltűnik, azaz nem lehet követésre jelölni és a meglévő követőket sem mutatja a Kéktakony
- egyszerűen nem lehet Publicba posztolni egy cizellált beállítás megadása nélkül

social media webkettő Facebook Google bug

És még van néhány hasonló totál idióta korlátozás, amit mondjuk alig érinti azt, aki teljesen magán célra használja a Facebookot, viszont aki éppenhogy azt használná ki, hogy követni tudják azok, akiket érdekelnek a tartalmai, túlzás nélkül maga a rémálom, de nem csak ezért! Ha kapcsolódott hozzá fejlesztői account, amihez tartoznak éles alkalmazások, azok is okozhat izgalmas pillanatokat.

Korábban már írtam, hogy számos más szolgáltatásba lehet regisztrálni egyszerűen Google-, Facebook- vagy Microsoft-fiókkal történő belépéssel azért, hogy a felhasználónak ne kelljen plusz egy felhasználói nevet és jelszót megjegyeznie. Soha, na még egyszer: SOHA ne használjuk elsődlegesen ezt a lehetőséget, mindig email címmel és jelszóval regisztráljunk! Ugyanis ha valaki például az Instagram vagy Flipboard-fiókját a FB-fiókjával hozta létre, majd bármilyen okból a FB-fiók elérhetetlen lesz, esetleg a felhasználó megfeledkezik róla, hogy mennyi helyen regisztrált más szolgáltatásfiókkal, majd törli a Google/Facebook/Microsoft accountját, az a szolgáltatás, amibe ezeken keresztül lépett be, végérvényesen elérhetetlen lesz, a hozzáférést visszaszerezni pedig körülbelül egyenlő a lehetetlennel!

Ehhez még adjuk hozzá azt is, hogy az összes webes óriás fenntartja magának a jogot, hogy gyakorlatilag érdemi indoklás nélkül végleg kizárjon egy felhasználót a szolgáltatásból, jegelje vagy teljesen törölje a fiókot. Ez a gyakorlatban annyit jelent, hogy ha valakire rászáll mondjuk 100-200 troll, akiket akár bagóért fel is lehet bérelni a feketepiacon, majd azok az áldozat profilját jelentik például azzal, hogy pedó tartalmakat terít, spammel vagy nem valódi felhasználó, a Facebook "Level 1" supportja - ahogyan ez a kerek perec benne van a hivatalos súgóban is - nem köteles és nem is fogja vizsgálni a bejelentések valóságtartalmát, hanem ahogy az nekik idiotizmusig rigid forgatókönyv szerint elő van írva, már töröl is. Ennyire könnyen kicsinálható egy webkettes account vagy oldal, hangsúlyozom, bármiféle technikai hozzáértés nélkül! Egy szó, mint száz, amellett, hogy készítsünk rendszeresen biztonsági másolatot a fiókunkról, ne támaszkodjunk nagyon egy közösségi webes szolgáltatásra sem! Praktikusan én még a bankkártyáim egyikét is berögzítettem a Facebook fizetési rendszerében, évekkel korábban költöttem is, ugyan nem túl sokat, de még ez is mellékes. Tudok olyan felhasználóról, akinek szintén berögzítettük a bankkártyája adatait, azaz a visszaigazoltan valódi bankkártyára írt név azonos volt azzal a névvel, amilyen névvel regisztrált a felhasználó a szolgáltatásba, a fiókot mégis sikerült valakiknek jegeltetniük.

Visszatérve az életkorra: használok néhány szolgáltatást, ahol nem kimondottan felnőtt tartalmak jelennek meg, viszont nem zárható ki, hogy felnőtt tartalmak is megjelenjenek valamilyen módon vagy törvényi korlátozás miatta a szolgáltatásnak 18 éves korhoz kell kötnie a használatát, ráadásul nemhogy támaszkodik a Facebook-fiókra, hanem kizárólag azzal használható! Ilyen például mindenki kedvenc kurvázós/romantikázós/ismerkedős - kinek mi - alkalmazása, a Tinder. A Tinder pedig szépen ellenőrzi a FB-account alapján minden új munkamenetnél [tipikusan amikor elindítja a felhasználó], hogy az valóban elmúlt-e a 18 és igen, kitaláltad, a FB-account alapján... Ha azt látja, hogy nem, már ki is zártad magad az alkalmazásból, sok-sok száz match és levél pedig nemes egyszerűen hozzáférhetetlenné válik.

Ami pedig az oldalakat illeti, ne gondoljuk, hogy a nagy, jelentős támogatást, na meg felhasználói aktivitást élvező oldalak biztonságban vannak! Ezzel kapcsolatban két emlékezetes eset jut eszembe.

Az egyik, amikor a Csonti car szórakoztató oldalt ismeretlenek elérhetetlenné tették, majd egy tanácsadással foglalkozó cég felajánlotta, hogy segít az oldal tulajdonosának visszaállítani az eredeti oldalt, a közben megjelenő kamu oldalakat pedig eltüntetni, nem mellékesen milliós nagyságrendű munkadíj mellett. Szemben azzal, amit a Pestisrácok kapcsolódó cikke sugall, alighanem sosem tudjuk meg, hogy valójában az történt, hogy hozzáértő szakik elérhetetlenné tették az oldalt, majd ugyanők jelentkeztek a tulajdonosnál, hogy visszaállítják nem kevés pénzért vagy arról van szó, hogy valaki megfúrta az oldalt, majd egy tanácsadó cég valóban felajánlotta helyreállítást, csak annyira idióta módon és olyan egybeesésekkel, ami miatt rájuk terelődött annak a gyanuja, hogy ők maguk tették elérhetetlenné azt.

A másik, sokak által ismert történet, amiben a Tomcat-féle Tolvajkergetők oldala vált elérhetetlenné. Magánvéleményem persze van róla, de abba most tényleg ne folyjunk bele, hogy a Tolvajkergetők szellemisége, módszerei és egyáltalán úgy az egész, káros vagy éppen kimondottan ígéretes kezdeményezés volt, mert nem ez a lényeg. Ami viszont tény, hogy a Tolvajkergetők támogatottsága hatalmas volt. Mégis rendszeresen jegelték, ismét feltámasztották néhányszor, végül teljesen elérhetetlen lett és támogatottság ide vagy oda, semmilyen módon nem tudták elérni, hogy ismét elérhető legyen, pedig Tomcat meg sem állt Dublinig anno az ügy érdekében. 

Korábban már írtam róla, hogy bárki bármit is mond, senki sem tudja pontosan, hogy egy-egy webes óriás egy bejelentést milyen protokollt követve vizsgál ki, aki azt mondja, hogy biztosan meg tud oldani ezt vagy azt, az szimplán hazudik vagy hülye. Ugyanakkor én magam is ismerek rejtett módszereket, ahogy olyan cégeket is, akik, ha akarnak, alaposan bele tudnak nyúlni abba, hogy hogyan a Facebookon mi jelenjen meg, terjedjen el vagy gyakorlatilag ne jelenjen meg senkinél, ahogy azt is, hogy hogyan érdemes eljárni, olyan esetben, amikor valakinek akár a fiókját, akár az oldalát akár valamilyen ellenérdekelt fél, akár trollok megfúrták és helyre kellene állítani. Az ilyen viszont tényleg nem olcsó dolog és ami nagyon fontos, hogy a siker sosem garantálható száz százalékosan.

Ebben látom az egyik fő problémát, akármilyen óriásszolgáltatásról van szó. Hogy nem következetesek és még a harceddzettebb felhasználók sem lehetnek benne biztosak, hogy a beállításoknak megfelelően működik minden. Például a Gmail 7 GB-os tárhelyet ígér, valójában viszont egy tesztben kiderült, hogy átlagos levélmérettel számolva alig több 1-2 GB-nál, mivel durván összesen 30.000 levél normális felindexelésére képes a Google levelezőszolgáltatása, azaz bizonyos levelek nem kerülnek a belső indexbe, nem kereshetőek, legalábbis a webes felületen, ennek megfelelően, mintha nem is léteznének. Gmailt mondjuk nem használok, a többire meg mondhatja a laikus azt, hogy nem kötelező használni, anélkül, hogy még egyszer levezetném, egy szolgáltatás igenis nőhet akkorára, hogy a mindennapi életben, információszerzésben, emberi kapcsolatok fenntartásában megkerülhetetlen lesz. Arról pedig ugyancsak írtak sokan, sokféle nívójú cikket, hogy többször is gondoljuk meg, hogy kiket veszünk fel ismerősnek, miket lájkolgatunk, ugyanis a hétpecsétes titokként védett algó, ami eldönti, hogy mi kerüljön a falunkra, mit lássunk, kihat az önképünkre, mivel akaratlanul másokhoz hasonlítgatjuk magunkat, arra, hogy hogyan gondolkozzunk, sejthetően egyéni különbségekkel ugyan, de még a normáinkra is. Mindegy, hogy Facebook vagy LinkedIN, mindkettőn jóideje elburjánzott a szar, de az már más téma.

0 Tovább

iMessage, Apple-minőség... 


Ritka, több éves, ámde annál irritálóbb bugba akadtam az iMessage-ben, alighanem nem csak én. Pontosabban, hogy ez most bug vagy feature, ki-ki döntse el, ami szinte biztos, hogy alighanem problémát a legharceddzettebb Apple-idomár sem tudná megoldani, hacsak nem olvasott utána az iMessage protokoll, na meg azonosítás lelki világának, ha nem olvasott utána a témának. Ilyen szempontból egészen jó kiindulópont mondjuk ez a fórum. Az iMessage-t annak idején többek közt több, nem ritkán több Apple-eszközt egyszerre érintő sebezhetőség bejelentése után kapcsoltam le, amik közt olyan is előfordult, ami elvben távoli kódfuttatásra  adott lehetőséget a legfrissebb üzenetküldőben is. 

Amikor elkezdtem használni az iMac-emet, arra gondoltam, hogy létrehozok egy külön iCloud-fiókot neki, amit az egyik iPhone-omon is bekapcsoltam, eléggé gyorsan kiderült, hogy volt nem túl jó ötlet, ezért használtam ismét az eredetit a mobiljaimon is, viszont hiába száműztem, mi több, töröltem az új AppleID-t, az iMessage aktiválásánál mégis azzal próbált a szolgáltatáshoz kapcsolódni annak ellenére, hogy az újonnan létrehozott AppleID már nem is létezett. 

A hibajelenség valahogy így nézett ki, nem a posztban lévő mailcímeket használtam, de ez a lényegen nem változtat. Amikor próbáltam aktiválni az iMessage-t az érintett iPhone-omon, akkor az a korábbi, már nem létező apple @ brdczi.net AppleID-vel akart kapcsolódni és nem is ajánlotta fel, hogy azzal a címmel kapcsolódjak, ami a mobilhoz hozzá volt rendelve a többi iCloud szolgáltatáshoz, azaz az akos @ brdczi.net –tel. 

A dolog meglehetősen reménytelennek tűnt, megnéztem a fent emlegetett fórumot, majd Macbookon a meglévő AppleID-vel belépve megnéztem, hogy milyen feladói címmel „envelope”-pal engedélyezett az üzenetküldés, amiben látszódott a mobilszámon kívül több email cím is. Ezek egyike a korábbi AppleID-hez kapcsolódó feladói cím volt, ezért emlékezett – messze nem világos módon – az eszköz arra, hogy valamiért azzal kellene a szolgáltatást bekapcsolnia a mobilomon is. Az összes hozzárendelt envelope email-címet kiszedtem, csak a mobilszámot hagytam benn, a szolgáltatást az iMac-en és a Macbookon is kikapcsoltam, majd ismét be, hozzáadva egy, az új AppleID-hez kapcsolt email-címet. Ezt követően az iPhone-on az iMessage aktiválásnál már nem a régi AppleID-vel próbált kapcsolódni az iMessage-hez, hanem azzal, amit a többi szolgáltatás is használt az eszközön. És működött. 

A jelenség egyrészt felveti azt a kínos kérdést, hogy milyen programozástechnikai hibák lehetnek az almás felhő szolgáltatásaiban, amik esetleg nem csak kellemetlenek, hanem biztonsági szempontból is hagynak maguk után kivetnivalókat, mint amilyen volt a szintén éveken keresztül észrevétlenül maradt „goto fail” néven elhíresült SSL-t érintő sebezhetőség. Másrészt, persze nem Apple sajátosság, de jól tudjuk, hogy az Apple Care, na meg az Apple szervizei a gyakran előforduló problémák megoldására vannak berendezkedve, olyan probléma megoldására, ami a felhasználóknak legfeljebb néhány ezrelékét érinti, alighanem nem, így ha ritka issue miatt kerül az eszköz szervizbe, szinte biztos, hogy nem ússza meg a factory resetet, a felhasználó pedig egy kiadós adatvesztést. Ez utóbbinak az az oka, hogy ha a szerviz vagy a felhasználó teljes biztonsági mentést csinál az iPhone-járól vagy iPad-járól, az minden lesz csak nem teljes. Az Apple-felhasználóknak érdemes tudniuk többek közt azt is, hogy egy-egy teljes mentés utáni visszaállítás az alkalmazásokat, üzeneteket, emaileket visszaállítja persze, viszont a belső alkalmazásadatokat, mint mondjuk egy üzenetküldő app chatlogjai, amiről az app szerveroldalon nem tárol mentést, azt nem. Márpedig bőven van olyan alkalmazás, amelyik például a belső üzeneteket nem tárolja szerveroldalon spórolva az erőforrásokkal, egy ezer éves beszélgetés csak azért húzható elő, mert a mobil SQLite-adatbázisa tárolja, ami egy iTunes-os teljes  mentésbe vagy bekerül vagy sem, ezeket pedig iOS esetén messze nem triviális ledumpolni. Azaz sajnos vannak olyan alkalmazásadatok, amik gyakorlatilag tényleg csak addig léteznek, amíg az eszköz megvan és működik. 

Kép: pix-hd.com
 

0 Tovább