Ottomatias.

The first commenters profile should be hidden from me, right?

I noticed yesterday a strange behaviour in Facebook Mobile (http://m.facebook.com) when checking an old conversation.

A person, who had her profile hidden (so that I couldn’t click her name to see her profile) had commented this conversation. I noticed it when checking it from “normal” Facebook. However, when I was on m.facebook.com I could click her profile, see her friends and her wall along with some other info. That SHOULD be hidden from me, as I’m not her friend and she has TRIED to hide it from me.

So it seems that all the privacy settings do is actually only hide the link for the profile in “normal” Facebook, but does not actually deny access to her profile if using any other means to access the profile (eg. mobile Facebook, maybe even a direct link?)

I consider this a BIG flaw in privacy in Facebook – what is the use of privacy filters which only principle of security is security through obscurity? What if I really want to hide something from my profile? Can I trust in any other privacy setting or should I just be very careful about what I post on Facebook?

Spotifyn blogissa kerrottiin tuntemattoman, mutta ilmeisesti suuren määrän salasanoja ja käyttäjätunnuksia laskutustietoineen levinneen tietoturvaongelman takia. Luottokorttinumerot säilytetään kolmannella osapuolella, joten luottokorttitiedot eivät levinneet, mutta jos käytössäsi on Spotifytili (ja tietyt ehdot pätevät), niin Spotify suosittelee kaikkien salasanojen vaihtamista mahdollisimman pian. Tämä koskee siis paitsi Spotifyä, myös kaikkia muita paikkoja joissa käytät samaa salasana/käyttäjätunnus-kombinaatiota.

Samalla mainittakoon, että ainakin Pekka Pohjolan tuotantoa muutaman levyn verran katosi taas toissapäivänä Spotifyn katalogista. Jäljelle jäi sentään paras lätty, mutta silti.

Muuta Spotifystä tässä blogissa.

Lex Nokia, eli pahamaineinen sähköpostiurkintalaki on tulossa Eduskunnan käsittelyyn ilmeisesti jo helmikuussa.

Minun ylläpitämissäni palvelimissa tällaiseen ei lähdetä missään nimessä, mutta jotta kukaan muukaan ei ota tätä käyttöön, niin vähintä mitä voimme tehdä on tutustu vastamainokseen aiheesta.

Projekti on mielenkiintoinen myös valtio-opillisesta näkökulmasta, koska en ainakaan tiedä tämänkaltaista koskaan Suomessa julkaistun. Yhdysvalloissahan tämänkaltaiset kansalaisyhteiskunnan kannanotot ovat suhteellisen yleisiä, ainakin vaalien alla.

Aiheesta on myös ryhmä Facebookissa.

Olen etsinyt pidempään jo “Oikeaa Tapaa” tehdä jaetut kalenterit Outlookiin. Suurin osa netin linkeistä tarjoaa tavaksi sitä, että jokainen käyttäjä itse asettaa oikeudet kuntoon omasta Outlookistaan. En tähän halua lähteä, koska sen tietää että käyttäjät ei oikeita oikeuksia saa moneen viikkoon laitettua, ei vaikka miten ohjeistaisi.

Nyt viimein löysin hyvän työkalun.

Microsoft Exchange Server Public Folder DAV-based Administration Tool on Microsoftin ohjelma, jolla voi kätevästi määritellä käyttäjien postilaatikoiden oikeuksia. Näin saat esimerkiksi sihteerin näkemään toimitusjohtajan kalenterin ilman että heidän tarvitsee koskea omiin asetuksiinsa.

Ihmettelenpä vain, että miksi tällainenkin feature on jätetty pois itse Exchangesta…

Tänään ja eilen IT-julkaisut ympäri maailmaa ovat uutisoineet tietoturvaspesialisti Dan Kaminskyn tiimin löytämästä erittäin laajasta tietoturvaongelmasta DNS-protokollassa. Koska ongelma ei koske mitään tiettyä implementaatiota, vaan itse protokollaa, voidaan perustellusti sanoa, että koko Internet oli (ja on yhäkin jossain määrin) vaarassa.

Verkkolaitetoimittajat ja ohjelmistotalot ovat viime kuukaudet korjanneet ongelmaa ja tänään on valunut päivityksiä niin Windowsille kuin bindille ja muille Linuxin DNS-toteutuksille.

Mielestäni vaarallisinta aiheessa on sulautetut järjestelmät, kännykät ja muut laitteet, joiden päivittäminen on hieman normaalia hankalampaa. Monet näistä laitteista silti toimivat DNS-kyselyiden varassa. Tarkemman tiedon yhä puuttuessa en tarkkaan tiedä, minkälaisia ongelmia on odotettavissa, mutta ainakin hyökkääjä pystynee ohjaamaan tällaisten laitteiden liikenteen vihamielisille palvelimille. “Tavalliset” verkkolaitteet, käyttöjärjestelmät ja muut implementaatiot tullee korjatuksi suhteellisen nopeastikin.

Lisää tietoa

• http://www.itviikko.fi/tietoturva/2008/07/09/iso-ja-vaarallinen-aukko-loytyi-maailman-nimipalvelutoteutuksista/200818056/7
• http://www.debian.org/security/2008/dsa-1603
• http://cert.fi/tietoturvanyt/2008/07/ttn200807082331.html