tag:blogger.com,1999:blog-6843976375835852604.post8865649059047990155..comments2024-03-28T20:05:56.432+02:00Comments on Havaintoja digimaailmasta: Vanhat tietoverkko-kirjat pdf-muodossa ovat kiinnostavaa luettavaaPetteri Järvinenhttp://www.blogger.com/profile/08190899459274223616noreply@blogger.comBlogger29125tag:blogger.com,1999:blog-6843976375835852604.post-25027206357410113432021-08-18T14:24:21.861+03:002021-08-18T14:24:21.861+03:00Kiitos mielenkiintoisesta kirjoituksestasi digital...Kiitos mielenkiintoisesta kirjoituksestasi digitalisointiprojektistasi. Hienoa, että digitalisaatioon panostetaan nykyään niin paljon ja monet innovaation ovat kakkien käytössä, eikä internetin käyttö vaadi enää erikoisosaamista. Ystäväni työskentelee toimistossa, jossa pyritään vähentämään paperin käyttöä ratkaisevasti, ja kaikki mahdolliset tiedostot ja dokumentit ovat digitaalisessa muodossa. Heillä kävi digitalisaation ammattilaiset konsultoimassa, kuinka digitalisointi olisi paras toteuttaa. https://www.xsolutions.fi/Joa.Khttps://www.blogger.com/profile/12195128407106531773noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-64685399491818052912021-04-26T21:41:52.929+03:002021-04-26T21:41:52.929+03:00Kirjasi ovat oikein hyvää luettavaa tänäkin päivän...Kirjasi ovat oikein hyvää luettavaa tänäkin päivänä. Niissä on perusasioita joita jokaisen syvemmin tietotekniikkaam paneutuvan olisi hyvä osata. Perusasiat kun eivät juuri ole muuttuneet miksikään.Markohttps://www.blogger.com/profile/00689024948026311250noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-41946637541958241032020-10-30T20:15:34.131+02:002020-10-30T20:15:34.131+02:00Ottaisikohan Kansalliskirjaston digitaalinen vapaa...Ottaisikohan Kansalliskirjaston digitaalinen vapaakappalekokelma vastaan tuon kirjan digimuodossa? Niin voisi säilyä myös seuraavat 250 vuotta.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-37711792474260207542020-10-26T07:42:27.049+02:002020-10-26T07:42:27.049+02:00Todellinen ongelma on se että tietosuojavaltettu e...Todellinen ongelma on se että tietosuojavaltettu esikuntineen puuhastelee täysin merkityksettömien asioiden parissa kuten esimerkiksi tämä taloyhtiö ja älylukot.<br /><br />https://www.tekniikkatalous.fi/uutiset/taloyhtio-asensi-sahkolukot-kayttajat-tietyin-ehdoin-tunnistettavissa-syntyy-henkilorekisteri/c9edb49a-be3b-491a-b7c7-742e51ad3cbe<br /><br />Sen sijaan kansalaisten turvallisuuden, henkilöllisyyden ja terveystietojen omilla välipitämättömillä toimillaan vaarantavat sosiaali- ja terveyssektorin tahot kuten Vastaamo saa puuhasteella 45 000 asiakkaan tietokannan kanssa ihan miten haluavat vain koska B-luokka ja laki. <br /><br />Ainoa onni tässä helvetin ikävässä jutussa on se että tähän pakko tulla muutos ja suunta tulee olemaan se ettet puuhastele mitään sosiaali- ja terveyssektorilla ennen kuin tietojärjestelmät on auditoitu ulkopuolisen toimesta.<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-52944979955032630942020-10-19T14:15:00.384+03:002020-10-19T14:15:00.384+03:00Luottokorttikaupathan ovat myyjälle iso riski, kun...Luottokorttikaupathan ovat myyjälle iso riski, kun ostaja pitäisi voida jotenkin tunnistaa. Jos suostuu jotain myymään pelkällä luottokortin numerolla ilman muuta vahvistusta (ja jos pankki/luotonantaja sen sallii), riitatapauksessa pankki perii summan + kulut myyjältä, jos voi.<br /><br />Eli SET/EMV tarkoitus on suojella myyjiä ja pankkeja, ei kuluttajia.Jaatinenhttps://www.blogger.com/profile/04678126739119399592noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-45873996420327133992020-10-14T10:20:05.051+03:002020-10-14T10:20:05.051+03:00Muistan itsekin 90-luvun alussa kun opettelin eril...Muistan itsekin 90-luvun alussa kun opettelin erilaisten ohjelmien käyttöä monista oppaista. Nykyään olisi hassua jos joku kaivaisi kirjan esille etsiessään vastausta johonkin tietotekniseen ongelmaan. Internet on kyllä mullistanut maailmamme täysin. Kiitos linkeistä pdf-tiedostoihin, täytyy käydä lukemassa!Anterohttps://mmpro.fi/tuotetiedotnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-70409959866184206252020-10-07T13:48:12.997+03:002020-10-07T13:48:12.997+03:00Mutta niin vain Internetin ilmaiset palvelut syrjä...<b>Mutta niin vain Internetin ilmaiset palvelut syrjäyttivät muut ja teknisiä puutteita korjailtiin matkan varrella. Tämän vuosituhannen alussa yhteydet muuttuivat kiinteiksi ja nettikäyttö nousi aivan toiselle tasolle. Ilmaisten palvelujen merkitystä netin kuluttajistumisen alkuvuosina ei pidä aliarvioida. Nykyään maksamme siitä hintaa urkintana ja mainoksilla. </b><br /><br />2000-luvun vaihteessa yleinen suhtautuminen Internetiin muistutti melkein kommunismia (vaikka olikin kuluttajalähtöistä). Niin yber-hieno keksintö se silloin oli. Internet on jossain mielessä onnistunut valloittamaan maailman. <br /><br />Mutta nyt netti-sanaa kuulee enää harvoin. Kuluttajat puhuvat palveluista, sovelluksista ja ehkä joskus sivuistakin. En tiedä millainen palvelu Telesampo oli, mutta miten se olisi voinut olla huonompi vaihtoehto kuin nykyajan internetin kautta toimivat palvelut?<br /><br />HTTP alkaa olla ainoa kuluttajalle näkyvä protokolla. Sähköpostia voi käyttää vielä joihinkin erityistarpeisiin. IPTV lienee hävinnyt. IRC on vanhentunut. Palvelunestohyökkäykset romuttavat vapaata internettiä, mutta myös sen monimutkaisuus ja tehottomuus.Jarihttps://www.blogger.com/profile/03720596545086195706noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-57845812161374967192020-09-29T11:47:05.235+03:002020-09-29T11:47:05.235+03:00Joskus julkisen netin alkuaikoina tuli mieleen lau...Joskus julkisen netin alkuaikoina tuli mieleen lause, jonka kirjoitin johonkin kirjaankin:<br /><br />"Internet yhdistää ihmisiä maiden välillä ja erottaa heitä maiden sisällä".<br /><br />Pitää tänään hyvin paikkansa.Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-68564621114344261932020-09-29T11:16:04.979+03:002020-09-29T11:16:04.979+03:00Tietoverkkokirjan sivulla 340 oleva ennustus maail...Tietoverkkokirjan sivulla 340 oleva ennustus maailman monimutkaistumisesta ja helppoja ratkaisuja tarjoavista populisteista osuu pelottavan hyvin.<br /><br />Ei sikäli, kyllähän vaikka Jyrki Kasvi ennusteli jo -90 että netin ongelma tulee olemaan se että voi seurustella vain niiden miljoonien ihmisten kanssa joitten kanssa haluaa seurustella, eikä ole pakotettu kohtaamaan muita mielipiteitä omaavia ihmisiä.Zarrnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-56658964044136354522020-09-28T10:46:26.584+03:002020-09-28T10:46:26.584+03:00Niin alkoivat ja niin kehottivat, mutta lankesit j...<b>Niin alkoivat ja niin kehottivat, mutta lankesit jälleen tässä siihen samaan mistä muistutiin jo tuolla ylempänä aiemmin. Se että jokin yhteistyö-instanssi perustetaan tai tuote julkaistaan on yleensä vielä vuosia matkaa siihen, että se on yleisesti saatavissa</b><br /><br />Pointtini oli nimenomaan se, että pankit ja kaupat neuvoivat asiakkaita odottamaan, kunnes verkkokaupasta tulisi SETin myötä turvallista. Tämä neuvo oli saatavissa heti ja se myös vaikutti heti, ilmeisesti jopa virkamies Mickwitzin ajatteluun.<br /><br />Kokonaan toinen juttu on, että SETistä tuli kankea ja monimutkainen, ja vaikka se lopulta valmistui, ei sillä ollut enää vaikutusta verkkokauppaan tai sähköiseen asiointiin, jotka olivat yleistyneet omalla painollaan.Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-3349740545702636252020-09-28T09:02:32.126+03:002020-09-28T09:02:32.126+03:00@Petteri
Ei kai? Oli triviaalia asettaa snifferi ...@Petteri<br /><br /><i>Ei kai? Oli triviaalia asettaa snifferi kuuntelemaan verkkoa ja poimimaan sieltä halutun protokollan suojaamattomat salasanat. </i><br /><br />Oli toki, kuten kirjoitin heti siinä seuraavassa kappaleessa ja jota et ilmeisesti ajatuksella malttanut lukea. Mutta, mielestäni ihmiset yleisesti eivät suhtautuneet tietosuojaan ja turvaan kovinkaan vakavasti. Lähinnä oltiin huolissaan viruksien saamisesta koneelle, mutta muuten oltiin yleisesti aika naiiveja jakamaan omia henkilötietoja. Omia tunnuksia jaettiin käyttöön puolisolle ja lapsillekin, jopa pankkitunnuksia. Ajateltiin, että ei siellä sähköpostissa mitään niin tärkeää ole ja mitä sitä nyt joku hänen sähköpostissaan olevilla tiedoillaan tekisi.<br /><br />Tietysti oli vaaroja tiedostavia ihmisiä, mutta suurin osa tavallisista käyttäjistä, jotka verkkoa vasta olivat alkaneet käyttää ei kovin valveutunut tietosuojan ja siihen olennaisesti liittyvän tietoturvan merkityksestä vielä siinä vaiheessa ollut.<br /><br /><i>SET-konsortio (lähinnä VISA ja Mastercard) tekniikkaa kehittämään perustettiin jo 1996. Pankit kehottivat nettikäyttäjiä odottamaan, kunnes SET valmistuisi ja tekisi verkkomaksamisesta turvallista.</i><br /><br />Niin alkoivat ja niin kehottivat, mutta lankesit jälleen tässä siihen samaan mistä muistutiin jo tuolla ylempänä aiemmin. Se että jokin yhteistyö-instanssi perustetaan tai tuote julkaistaan on yleensä vielä vuosia matkaa siihen, että se on yleisesti saatavissa, sellaisin hinnoin ja niin valmiina tuotteena, että siitä tulee kannattava bisnes sen käyttöä suunnitteleville ja riittävän hyvin toimiva käyttäjäkunnan näkökulmasta. <br /><br />Hyvin harvoin joku tuote tai palvelu omaksutaan saman tien kun se on julkaistu ja lähes poikkeuksetta kaikki mihin liittyy olennaisesti raha, kuten maksaminen on, muutokset ovat hitaita. Toki on aina ns. varhaisten omaksujien joukko jolla on tarve päästä kokeilemaan heti kaikkea uutta aina heti ekana, mutta heitä on vain 10%-15% väestöstä, sillä pohjalla ei vielä isompia investointeja tarvitsevassa bisneksessä saada liiketaloudellisesti kannattavaa. Useimmat katselevat rauhassa ja alkavat tehdä päätöksiä mukaan lähtemisestä vasta jos varhaisesta enemmistöstä alkaa näkyä liikettä halusta ottaa palvelu tai tuote käyttöön.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-64061005703974297022020-09-28T06:33:04.332+03:002020-09-28T06:33:04.332+03:00niin ne edustivat hyvin pientä osaa kaikesta siitä...<b>niin ne edustivat hyvin pientä osaa kaikesta siitä liikenteestä noilla protokollilla ja juuri noiden tietojen urkkiminen olisi sieltä työlästä.</b><br /><br />Ei kai? Oli triviaalia asettaa snifferi kuuntelemaan verkkoa ja poimimaan sieltä halutun protokollan suojaamattomat salasanat. Sähköposti pollasi viestejä muutaman minuutin välein, kun taas https-yhteyksiä pankkeihin tai verkkokauppoihin otettiin korkeintana kerran päivässä. Joskus tietoturvaluennoitsijat poimivat yleisön läppäreistä salasanoja jopa luennon aikana.<br /><br />SET-konsortio (lähinnä VISA ja Mastercard) tekniikkaa kehittämään perustettiin jo 1996. Pankit kehottivat nettikäyttäjiä odottamaan, kunnes SET valmistuisi ja tekisi verkkomaksamisesta turvallista.Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-57872224349851372842020-09-26T10:18:04.756+03:002020-09-26T10:18:04.756+03:00.. jatko
Miksi kukaan olisi lähtenyt murtamaan ni..... jatko<br /><br /><i>Miksi kukaan olisi lähtenyt murtamaan niitä salatusta web-liikenteestä, kun numeroita sai helpommin skannaamalla smtp-liikennettä, jota ei oltu salattu mitenkään? Ja miksi tyytyä edes sähköpostien urkintaan, kun POP-salasanat menivät iloisesti salaamattomina nekin?</i><br /><br />Se on totta, että luottamuksellisia tietoja kulki salamattomana SMTP, POP3 ja IMAP protokollilla, mutta minusta silloin luotettiin siihen, että kun niitä ne nyt vain silloin tällöin kun läheteltiin, niin ne edustivat hyvin pientä osaa kaikesta siitä liikenteestä noilla protokollilla ja juuri noiden tietojen urkkiminen olisi sieltä työlästä.<br /><br />Mutta se ei turvallista ollut, koska snifferiin sai myös silloin helposti tehtyä konfiguroitavan regex filtterin, jolla vain haluttua tietoa paketeista helposti saattoi poimia, tallettaa levylle tai lähettää verkon yli saman tien niin pitkälle kun Internetillä yhteys onnistui. Sellaisen tekeminen ei ollut osaavalle ohjelmoijalle yhtään sen vaikeampaa kun jo sen muun snifferin koodaaminen. Skript-kid sellaista ei olisi osannut itse tehdä, mutta toki sellaista käyttää jos sen toinen ensin teki.<br /><br /><i> ... koska ne kehittivät SET-maksutekniikkaa. </i><br /><br />Se oli vasta heti vuosituhannen vaihteen jälkeen kun EAR myös rajoitukset jo helpottivat.<br /><br /><i>Mikroluokissa tapahtui kaikenlaista jännää.</i><br /><br />Varsin kekseliäitä virityksiä tuli vastaan ja villein vaihe ei helpottanut vielä silloinkaan kun tuli keskitetyt käyttäjänhallinnat (Netware & AD) vaan vasta sitten kun opiskelijakylien asuntolat verkotettiin ja muuten laajakaistayhteydet tulivat laajemmin saataville. Niiden myötä omat koneet lisääntyivät ja luokkien ilta- ja yökäyttökin väheni nopeasti. <br /><br />Samoin 9/11 aiheutti muutoksen ilmapiirissä ja turvallisuuteen alettiin kiinnittää enemmän huomiota josta seurasi kulunvalvonnan, kameravalvonnan, koneiden lukitsemisten ym. osalta tiukennuksia. Vahti yhteistyöllä ja ohjeilla oli merkittävä vaikutus julkisen hallinnon ulkopuolellakin moniin käytäntöihin. Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-59108640181325493802020-09-26T10:17:30.819+03:002020-09-26T10:17:30.819+03:00@Petteri
Ajattelemme tietoturvaa eri näkökulmasta...@Petteri<br /><br /><i>Ajattelemme tietoturvaa eri näkökulmasta, minulle se on muutakin kuin puhdasta tekniikkaa</i><br /><br />Ajattelemme asiaa eri tavalla, koska pyrit edellä rajoittamaan näkökulman vain kadunmiehen näkökulmaksi vaikka pitäisi osata katsoa asiaa riittävän laajassa viitekehyksessä, jotta ymmärtäisi ettei kyse ole vain siitä uskalsiko joku käyttää luottokorttia. <br /><br />Maksujärjestelmiä rakentavat miettivät sitä myös merkittävninä investointina ja vähänkään isomman investoijan tapauksessa mukaan tulee käytännössä aina myös riskienhallinta.<br /><br />Tietoturvassa (turvallisuuden) tunteilla on keskeinen sija, erityisesti yksilön tasolla. Mutta sen lisäksi riskien hallinnasta yritysten osalta kun ne päättävät haluavatko ne lähteä mukaan käyttämään jotain teknologiaa ja onko se niille riittävän kannattava bisnes arvioituihin riskeihin.<br /><br />Silloin kun jonkin teknologian sen riittävän turvallisesti käyttäminen edellyttää <a href="https://en.wikipedia.org/wiki/Security_controls" rel="nofollow">turvamekanismeja (security controls)</a>, niiden myös katsotaan voinvan pitää sen hetkisen arvion silti tarjoamaan riittävä <a href="https://www.schneier.com/blog/archives/2011/08/new_attack_on_a_1.html" rel="nofollow">turvallisuusmarginaali</a>, joka takaa ettei myöhemmin arvioituna käyttöaikana löytyvät puutteet romauta koko mekanismin suojauksia ja käy helposti kun korttitalolle.<br /><br />Usein käy myös niin, että kun iso riski toteutuu ja josta tulee suora iso taloudellinen menetys, niin myös riski merkittävästä PR-tappiosta, josta seuraa helposti epäsuoria taloudellisia riskejä:<br /><br />- Vakavat tietoturvaongelmat -> Luottamuksen menetys -> Asiakaskato -> Taloudellinen tapio -> Markkina-aseman menetys -> Luottoluokituksen lasku -> Investoijapako -> Toiminnan kustannukset nousevat kun lainaraha on entistä kalliimpaa -> .... <br /><br />Riskien hallinnassa ei arvoida siten pelkkää teknologiaa ja minkälaista teoreettista suojaa se antaa, vaan laajasti monien eri osapuolien käyttäytymisestä sekä myös omia kyvykkyyksiä ja sitä miten mahdollisesti hankittavaa teknistä ratkaisua osataan itse käyttää, ettei tehdä isoja virheitä ja mikä luottamus muilla osapuolilla on myös siihen, että kyseinen taho osaa hoitaa asian turvallisesti. Silloin kun ei ole pakosta ryhtyä johonkin toimintaan, niin tavoite on ymmärtää missä vaiheessa teknologiaan on järkevää investoida niin, että riskit pysyvät hallinnassa ja bisneksestä saadaan toimiva sekä riittävän hyvin kannattava, että siihen kannattaa lähteä mukaan.<br /><br />Sillä ei siten niinkään ole merkitystä, montako kertaa niin todellisuudessa kävi, että joku käytännössä 40-bittisen salatun liikenteen murti ja muuten kuin ehkä proof-of-consept mielessä sitä kokeili. Pelkästään tietoisuus riskistä, että joku saattaisi tehdä niin hidasti merkittävästi ja myös esti isompia investointeja verkkokauppaan ennen kuin turvallisuusmarginaali vasta sitten 128-bittisen salauksen myötä koettiin riittävän turvalliseksi kaikkien osapuolien osalta, jotta todellinen kasvu SSL:n suojatun liikenteen käytöstä alkoi vuosituhannen vaihteen jälkeen.<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-14449873720297361122020-09-26T07:15:32.802+03:002020-09-26T07:15:32.802+03:00Kiitos yksityiskohtaisista muisteluista.
Ajattel...Kiitos yksityiskohtaisista muisteluista. <br /><br />Ajattelemme tietoturvaa eri näkökulmasta, minulle se on muutakin kuin puhdasta tekniikkaa (vaikka DI olenkin). Ehkä 40-bittinen salaus oli mahdollista murtaa 400 tietokoneella -- mutta kuinka monta kertaa niin kävi? Mitä murretulla istuntoavaimella olisi tehnyt vuorokauden kuluttua, kun murto oli valmis?<br /><br />Montako uutista muistat kaapatuista luottokorttinumeroista? Miksi kukaan olisi lähtenyt murtamaan niitä salatusta web-liikenteestä, kun numeroita sai helpommin skannaamalla smtp-liikennettä, jota ei oltu salattu mitenkään? Ja miksi tyytyä edes sähköpostien urkintaan, kun POP-salasanat menivät iloisesti salaamattomina nekin? <br /><br />Minulla on se muistikuva, että luottokorttiyhtiöt halusivat hillitä verkkokauppaa koska ne kehittivät SET-maksutekniikkaa. Se pyrki suojaamaan ostajaa epärehellistä kauppiasta vastaan (edes kauppias ei nähnyt luottokortin tietoja). <br /><br />Itse tein ensimmäisen Amazon-tilauksen 10.7.1996 ja olen tilannut kymmeniä kertoja senkin jälkeen vieläpä alkuperäisellä salasanalla (vaihdoin sen vasta viime vuonna). Ainoa ongelma Amazonin kanssa on ollut se, että kerran alkuvuosina kolmen dvd-levyn sarja tuli kahteen kertaan. Olivat ilmeisesti menettäneet osan toimitustiedostoista ja lähettivät varmuuden vuoksi uudelleen.<br /><br />Mikroluokissa tapahtui kaikenlaista jännää. Joskus mm. löytyi keyloggereita, jotka ylittivät ihan uutiskynnyksen. Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-27495769203987302762020-09-26T01:17:55.342+03:002020-09-26T01:17:55.342+03:00Ad-Hoc GRID-laskentaympäristöjä keksittiin tehdä -...Ad-Hoc GRID-laskentaympäristöjä keksittiin tehdä -90 luvulla seuraavasti. Tekijät kiersivät nippu diskettejä mukana koneiden luona ja boottaili ja sammutetti näytöt. Disketiltä bootattu linux mounttasi verkon yli levyt NFS-palvelijalta, joka ohjasi laskentatehtäviä kullekin koneelle tehtäväksi halutun laskennan osia. Koneet oli ajastettu boottaamaan laskenta-ajan loputtua hyvissä ajoin, jolloin ne boottasivat kovalevyltä normaalisti. Laskentakäyttö ei koskenut mitenkään koneen omiin tiedostoihin, se vain käytti prosessoria, muistia, verkkoa ja sähköä sekä tuotti hieman tavanomaista enemmän lämpöä.<br /><br />Näitä virityksiä paljastui joskus kun kone ei ollutkaan bootannut ja käyttäjä soitti maanantai-aamuna, että kun hänen kone päällä ja täällä on nyt joku Login: ruudulla vaikka tämä on MS-DOS tai Windows kone. Jätän mainitsematta nimiä, mutta muutama hyvinkin pitkälle urallaan päässyt harrasti näitä, senkin jälkeen kun oli jo pari kertaa kielletty.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-39604982261756037762020-09-26T00:34:26.128+03:002020-09-26T00:34:26.128+03:00... jatko
Varmenteet olivat 40-bittisiä,
Varment...... jatko<br /><br /><i>Varmenteet olivat 40-bittisiä,</i><br /><br />Varmenteet (RSA avaimet varmenteissa) eivät olleet 40-bittisiä missään vaiheessa. <br /><br />RSA:n avulla vaihdettujen symmetristen salausavaimien pituudet olivat 40-bittisiä RC2 ja RC4 -algoritmeissä, DES:ssä 56bittiä ja RC5:ssa 64-bittiä, mutta jenkkien ulkopuolella vain teoriassa aina vuoteen 2000 asti koska jenkkien EAR (Export Administration Regulations) määritteli vahvaa kryptografiaa sisältävät tuotteet ase-teknologiaksi ja niiden maasta vientiin tarvittiin siksi erillinen lupa.<br /><br />Siihen asti SSL-salauksen käyttöä yli 40bit avaimilla ohjelmistoissa rajoitettiin teknisesti siten, että vain erillisen luvan saaneille oli lupa myydä palvelin-ohelmistoja jotka neuvottelivat asiakasohjelman kanssa SSL:llä yli 40bit salauksen. Eli jos olit selaimella yhteydessä pankkiin, jolla oli palvelinohjelmistossa erillinen lisenssitiedosto, niin salaus oli protokollien maksimipituus DES:llä 56 tai RC5:llä 64bittiä. <br /><br />Mutta jos selain oli yhteydessä vaikkapa kirjoja myyvään verkkokauppaan, niin RSA-neuvottelun jälkeen sovitut symmetriset salausavaimet lyhennettiin 40-bit pituisiksi ja sitten niitä käyttetiin.<br /><br />Lyhyimmät RSA avaimet ovat olleet 512bittiä, sen pituisia olivat varhaisimpien X.509 SSL varmenteiden avaimet. Nykyinen<br />CA/Browser Forum vaatimus on vähintään 2048bittiä ja sha256 tiivisteellä.<br /><br /><i> mutta se oli tavalliselle verkko-ostajalle riittävän turvallista.</i><br /><br />No ei se kyllä sitä ollut 40bit salauksella edes silloin, Bruce Scheier kirjoittaa Schneier, Bruce (1996). Applied Cryptography (Second ed.). 154 alareunassa DES:stä "... Using an algorithm 64-bit key instead of a 56-bit key makes this attack 256 times more difficult. With 40-bit key, the picture is far more bleak. A network of 400 computers, each capable performing 32,000 encryptions per second, can complete bruce-force attack a 40-bit key in a single day. ..." (lyhyt lainaus, en jaksa kopioda pidempään). <br /><br />Tuo 400 tuollaista tietokonetta löytyi siihen aikaan helpohkosti keskisuuresta yrityksestä työasemista ja yliopistosta luokkien koneista, jotka eivät olleet siihen aikaan kirjautumista edellyttäviä ja joita käytettiin joskus luvatta yö- ja viikonloppuina koneiden varsinaisten käyttäjien tietämättä tai joskus luvan kanssa tutkimusmielessä kryptojen murtotesteissä tai password-crack testauksessa, jota heikkojen salasanojen käyttäjät saatiin vaihtamaan vahvempiin salasanoihin.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-10768624886347659582020-09-26T00:34:11.014+03:002020-09-26T00:34:11.014+03:00@Petteri
Salattuja yhteyksiä palvelimen ja selaim...@Petteri<br /><br /><i>Salattuja yhteyksiä palvelimen ja selaimen välillä oli jo 1994 alkaen.</i><br /><br />Netscape kehitti SSL ja sillä oli jo versio 1.0 1994, mutta se oli niin rikki, <a href="https://www.acunetix.com/blog/articles/history-of-tls-ssl-part-2/" rel="nofollow">että sitä ei koskaan julkaistu</a>. Ensimmäinen julkaistu verso oli 2.0 vuonna 1995, mutta sekin oli pahasti rikki ja vasta 1996 julkaistu kokonaan uusiksi suunniteltu SSL v3.0 oli ensimmäinen yleiseen käyttöön koskaan tullut versio.<br /><br />Ja koska se toteutus oli silloin vain ja ainoastaan Netscapen kaupallisessa web-server ohjelmistossa, joka ei ollut halpa, niin yleistyminen ei ollut mitenkään nopeaa, päin vastoin. <br /><br />Lähinnä pankit, luottoyhtiöt ja maksuliikenteen keskeiset toimijat alkoivat kokeilla Netscapen serveriä ensimmäisenä ja tehdä sen päälle maksupalveluja. O'Reillyn kaupassa sitä ei ainakaan vielä -96 ollut kun sieltä kirjoja etsin ja luotin faksiin enemmän luottokortin käytössä kuten jo -80 luvulta alkaen olin tehnyt ja sähköpostilla saanut listan kirjoista mitä tilata. Amazonia en vielä -90 luvulla käyttänyt, se ei ollut silloin vielä kovinkaan iso ja merkittävä toimija, joten en ole varma olisiko heidän palvelussaan ollut jo silloin SSL käytössä.<br /><br />Tuohon aikaan yleisin web-serveri oli NCSA-httpd, joka oli varsin reikäinen ja jonka pätsätystä versiosta sitten kehittyi vähitellen Apache http-server projekti. Muitakin oli, CERN:n http-serveri NeXT käyttiksellä, mutta vasta kun Eric Young ja Tim Hudson julkaisi SSLeay:n 1998 loppuvuonna niin sen jälkeen SSL alkoi ilmestyä muihinkin kun vain Netscapen http-palvelimeen.<br /><br />Sinulla tuntuu oevan olla tapana olettaa, että kun teknologia on julkaistu niin se olisi heti kohta yleisesti käytössä. Se ei kuitenkaan ollut sitä silloin ja vaikka kehityssyklit ovat nykyisin nopeampia, niin jonkun isomman uuden teknologisen murroskohdan asian ensijulkaisusta menee yleensä vuosia, ennen kuin se on todella yleisessä käytössä -- eikä vain messuständeillä ja yhdellä tai korkeintaan kahdella firmalla, joiden tuotteisiin ei välttämättä kaikilla ole varaa tai muuten mahdollisuutta lähteä heti käyttämään.<br /><br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-24296916949778820722020-09-25T14:21:46.256+03:002020-09-25T14:21:46.256+03:00Salattuja yhteyksiä palvelimen ja selaimen välillä...Salattuja yhteyksiä palvelimen ja selaimen välillä oli jo 1994 alkaen. Varmenteet olivat 40-bittisiä, mutta se oli tavalliselle verkko-ostajalle riittävän turvallista. Ensimmäinen julkinen 40-bittisen avaimen murtaminen tehtiin elokuussa 1995, se vei 120 tietokoneelta kahdeksan vuorokautta. Verkkorikolliset olivat tuolloin vielä harvassa.<br /><br />Pidemmät 128-bittiset avaimet tulivat käyttöön tammikuussa 2000, kun USA lievensi vientirajoituksia.<br /><br />Myös KOPin verkkopankkiin pääsi jonkin aikaa salaamattomalla Telnetillä suoraan avoimen netin yli. SE oli riskialtista. Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-4387905808378760542020-09-25T11:54:26.256+03:002020-09-25T11:54:26.256+03:00Minulla oli kotona X.25 Oulun Puhelimelta, en muis...Minulla oli kotona X.25 Oulun Puhelimelta, en muista miten se oli toteutettu mutta kotona oli joku päätelaite, hinta oli jotan 35mk/kk. OPOY:llahan tuolloin paikallispuhelut maksoi vain paikallispuhelumaksun joten modeemia pidettiin päällää niin pitkään kun yhteys säilyi. Virheenkorjaava modeemin ostettuani elämä oli mielenkiintoista ja varsinkin kun Oulun Yliopiston kautta pääsi Internettiin (vai miksi tuota yliopisto/korkeakoulujen välistä verkkoa kutsuttiin?)<br /><br />Nokialaiset pääsi Vax:ien kautta (olikohan Infotel vai mikä) verkkopankkeihin joita sai käyttää työaikanakin pankkiasionteihinsa. OP:n palveluun piti mennä modeemilla (en ole varma mutta olikohan vielä sellainen takaisinsoittava systeemi???)<br /><br />SYP:in Solo oli kyllä toimivat verkkopankki silloin mutta en tiedä pärjääkö tänäpäivänä muille verkkopankeille. Asuntolainan johdosta DanskeBank tuli "pääpankiksi" ja se vanha Sampo-pankin verkkopankki toimi OK kunnes DanskeBank "päivitti" omansa java-pohjaisen todella huonosti toimivan verkkopankkin jonka korjaamiseen meni vuosia kausia (joutuivat Tiedolta palkaamaan apua).<br />Verkkopankki toimii nyt ihan OK mutta ei ottanu DB opiksi, mobiili-pankki appi on huono. En ymmärrä miksi DB tyrii tuollain esim. S-Pankin verkkopankki on toimi täysin alusta lähtien, mobile-appi melkoisen hyvin.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-22596872832487113362020-09-25T10:56:09.703+03:002020-09-25T10:56:09.703+03:00@Petteri
No sen aikaiset verkko-ostokset eivät ol...@Petteri<br /><br />No sen aikaiset verkko-ostokset eivät olleet kummoisesti suojattuja. Ei ollut vielä SSL/TLS salattuja HTTPS yhteyksiä, eikä muita PCI vaatimuksia jne. maksuliikenteen suojaamiseksi. Varmenteiden hankinta oli hankalaa ja yli 40bit suojausta käyttävien salaamisen käyttäminen käytännössä mahdotonta saada käyttöön vielä noin 20v sitten muille kuin pankeille ja vastaaville tahoille jenkkien ulkopuolella. Vahvemmin salaaminen alkoi yleistyä vasta tällä vuosituhannella ja se mahdollisti sen että perusteet laajemmalle ja luotettavammalle kaupankäynnille verkossa syntyivät.<br /> <br />25v sitten verkot LAN osalta olivat jaettua mediaa (10base2 tai-5 ja myöhemmin 10baseT), hubeilla tai silattuja ei vielä kytkettyjä, kaikki liikenne samasssa segmentissä oli triviaalisti kuunneltavissa kun vain haki snifferin verkosta ja laittoi sen koneelle pyörimään. Modeemiyhteydet perinteisen POTS verkon yli olivat sentään hieman paremmin suojattuja piirikytkentäisyyden vuoksi kun sen aikaiset Ethernet ym. pakettiverkot, joissa mitään suojia ei ollut.<br /><br />SYP Solo pankkiyhteyttä saattoi käyttää jo -80 luvun lopulta asyncronisella modeemilla*, sitten myös hetken telnetillä Joskus hieman ennen -90 puoliväliä mikä oli kyllä sen ajan verkoissa todella hurjaa, jopa edesvastuutonta ja se vaihtui onneksi aika nopeasti SSH:ksi sen julkaisun jälkeen.<br /><br />*) modeemilla soitto puhelinoperaattorin palvelunumeroon, jossa V.28 PAD valikon kautta X.25 operaattorin pakettiverkon kautta pankin edustakoneelle, jossa sitten kirjautuminen ja päätekäytöllä toimiva pankkiohjelmisto. Puhelinlaitoksilla tämä palvelu tunnettiin nimellä InfoTel ja Telen puolella Telesampo. Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-91975495544945830812020-09-25T09:55:44.601+03:002020-09-25T09:55:44.601+03:00Noista alkuaikojen palveluista ihmetyttää se että ...<b>Noista alkuaikojen palveluista ihmetyttää se että 90-luvulla piti *maksaa* verkkopankista palvelumaksua. Siis pankki otti maksun siitä että asiakas teki itse asiointinsa!</b><br /><br />Verkkopankki taisi olla aluksi maksullinen lisäpalvelu.<br /><br />Samaa hölmöyttä oli se, kun pankit pitivät luottokortin käyttöä Internet-kaupassa sopimusrikkomuksena ja kortin irtisanomisperusteena. Sain silloiselta kuluttaja-asiamieheltä julkisia nuhteita, kun en varoittanut verkko-ostoksista. Mitähän mieltä <br />Erik Mickwitz on nykyään verkkokaupoista?Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-38500292491486719112020-09-24T20:41:23.304+03:002020-09-24T20:41:23.304+03:00Heh, muista elävästi kun liitin firman internettii...Heh, muista elävästi kun liitin firman internettiin 1994. EUNet antoi koko C luokan, osoitteita oli enemmän kuin tarpeeksi.<br /><br />Ensimmäinen yhteys oli tosin SLIP pohjainen synkronisilla modeemeilla, ja oli aika epästabiili. Reitittimen ja kaiken palvelujen (DNS, SMTP, HTTP) roolissa toimi Yggdrasil Linux. Silloin oli normihommaa laittaa primääri DNS omalle pannulle, ja EUNet hoti sekundaarisen.<br /><br />Vuoden kanssa tuon kanssa elettiin, ja sitten vaihdettiin puhelinyhtiöiden LanLink:iin. (jos nyt ton nimen oikein muistan). Internet ja osoitteet jatkui yhä EUNetin kautta.<br /><br />Kesti vuosia, ennenkuin joskus operaattoria vaihdettaessa rupesivat vinkumaan C-luokan palauttamista ja normi NAT viritykseen siirtymistä. Lopulta sekin oli sitten pakko tehdä.<br /><br /> <br /><br />henris42https://www.blogger.com/profile/03730556292048416518noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-54360670264586789172020-09-24T20:30:50.217+03:002020-09-24T20:30:50.217+03:00Kun ottaa huomioon, miten pieniä levykkeet ovat, n...Kun ottaa huomioon, miten pieniä levykkeet ovat, niille mahtuu usko-mattoman paljon tietoa. Käteen tai paidantaskuun sopivalle 1,44 megankorpulle mahtuu noin 1400000 kirjoitusmerkkiä eli noin 700 konekirjoi-tusarkin verran tekstiä. Vertailun vuoksi mainittakoon, että UudessaTestamentissa on hieman yli miljoona merkkiä.<br /><br />Hienoja faktoja.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-9557512679531065022020-09-24T19:40:25.695+03:002020-09-24T19:40:25.695+03:00Ai ai, Internet-kirjassa esitellään vain A-, B- ja...Ai ai, Internet-kirjassa esitellään vain A-, B- ja C-luokan verkot. Kyllä CIDR oli ollut olemassa jo vuodesta 1993 ja luokkaverkoista päästiin jo 1995 kovaa vauhtia eroon :)Anonymousnoreply@blogger.com