Riku Eskelinen – Sivu 33

XSS-haavoittuvuudet suomalaisilla sivuilla vuonna 2010: 5%

Posted on06.11.201006.06.2015Leave a comment

Vuonna 2008 kirjoitin blogiini cross-site scripting (XSS-) -haavoittuvuuksista. Nyt, reilun kahden vuoden jälkeen, lienee hyvä hetki tarkastella asian kulkua.

Testasin muutamalla ”pahantahtoisella” hakulauseella 20 verkkosivun hakukenttiä, ja niistä vain yksi oli lievästi XSS-haavoittuvainen. Sivut oli valittu Googlen haulla ja rajattu vain suomalaisiin .fi-verkko-osoitteisiin. Läpi menivät seuraavat verkkosivut:

thl.fi, kommunportalet.fi, ruokatieto.fi, varastokirjasto.fi, tampere.fi, environment.fi, st1.fi, lieksa.fi, itameriportaali.fi, stat.fi, luontoon.fi, cimo.fi, minedu.fi, mediakasvatus.fi, yrittajat.fi, tekes.fi, hse.fi, terve.fi ja lahtienergia.fi.

Se, että käyttämäni hakulauseet eivät saaneet sivuja näyttämään mitään hassua, ei tarkoita sitä, etteivätkö ne voisi olla muuten haavoittuvaisia. En esimerkiksi kokeillut SQL-injektioita lainkaan, enkä lähtenyt jokaista sivuston kenttää kokeilemaan.

Mitä sitten on tehty, että nykyään verkkosivut eivät ole yhtä reikäisiä kuin ennen? Moni sivu näytti vuonna 2008 hakukentässä tai muualla hakusanat, ja tässä oli iskun paikka. Nykyään noita tietoja ei käyttäjälle enää juurikaan näytetä. Ei ehkä käyttäjäystävällisin ratkaisu, mutta tässä suhteessa pomminvarma.

Osa sivuista oli toteuttanut asian ”oikealla” tavalla, ja muutti HTML:n pahat merkit niiden entiteettimuotoihin. Mutta nämä sivut jäivät selkeästi vähemmistöön.

Yhdeltä ainoalta sivustolta 20:stä löytyi jonkinasteinen aukko, mutta siinäkin tietynasteista syötteentarkastusta oli havaittavissa. Tämän sivuston ylläpitäjää on informoitu asiasta, ja tulen kertomaan sivuston nimenkin tässä yhteydessä sitten, kun kohtuullisena pitämäni viikon korjausmahdollisuusaika on umpeutunut. Mikäli sivusto korjataan ennen sitä, kerron myös siitä.

Selkeästi vuoden 2008 mediamylläkkä sai verkkosivujen ylläpitäjät hereille tällaisista aukoista, sillä nykyinen 5 %:n taso on varsin positiivista. Työtä tosin riittää, ja muunkinlaisia haavoittuvuuksia löytyy verkkosivuista joka hetki. Laput silmillä ei siis kannata kulkea nykyäänkään.

Muutamia päivityksiä ja sananen maailman menosta

Posted on04.11.201006.06.2015Leave a comment

HP ja Linux

Kirjoitin joku aika sitten HP:n omituisesta Linux-hylkimisestä. Tämä asia on edennyt verrattain hyvin, lähetin HP:n Suomen tukeen Ruotsiin postitse tulostimeni itsetestisivun, ja kun maamme lakkoileva postilaitos saa kirjeen rajan taakse ja paikalliset posteljoonit siitä perille, vikaankin saatanee selvyys. HP:lla on kuitenkin mielenkiintoinen laitevaihtopolitiikka (lainaus sähköpostikirjeenvaihdosta):

Mikäli takuun alaisessa laitteessa on tekninen vika joka ei korjaannu antamillamme ohjeilla, asiakkaalle toimitetaan vaihtolaite.

Takuun alaisia laitteita ei korjata tai huolleta, laitevaihto on vialliselle laitteelle ainoa vaihtoehto.

Vaihtolaitteen toimittaminen edellyttää vianetsintää ja ongelmanratkaisun suorittamista.

Ongelmanratkaisutoimenpiteiden suorittaminen edellyttää yleensä sitä, että käytetään HP:n tukemaa käyttöjärjestelmää.

Ellei ongelmanratkaisua pystytä suorittamaan sen takia, että käytössä on ns. ei-tuettu käyttöjärjestelmä, ei myöskään laitevaihtoa pystytä suorittamaan.

Hämärää. Tiivistettynä siis HP:n omien periaatteiden mukaan laitteistovian aiheuttama laitevaihto saattaa vaatia Windowsin. Tähän lienisi kuluttajansuojaviranomaisilla mielipiteensä annettavana. Koska kuitenkin ilmeisesti itse kuuluin siihen vähemmistöön, jonka ei tarvitse käyttää HP:n tukemaa käyttöjärjestelmää ja diagnostiikkatoimenpiteet olivat suoritettavissa vaikka ilman tietokonetta, en ala tästä asiasta tämän enempää itkemään.

Elisan 100M viihde

Kirjoitin myös Elisan kaapeliviihteestä, joka on ”jopa 100Mbit/s”. Tämähän ei luonnollisesti toteutunut lähellekään, ja Elisaa asiasta lähestyin. He kertoivat aikataulun olevan sellainen, että vuoden loppuun mennessä homman pitäisi olla kunnossa.

En tiedä, mitä ovat Elisalla tehneet, mutta kertomistani yhteysnopeuksista ollaan päästy parempaan suuntaan. Tällä hetkellä alaslatausnopeus näyttäisi olevan 24h keskiarvona noin 30Mbit/s. 24h minimi 9,3Mbit/s ja maksimi 51,8Mbit/s. Näissä luvuissa ei ole edes otettu huomioon TCP:n overheadia, joten todellisuudessa nopeudet ovat himpun verran suurempia.

Kuitenkin Elisan mainitsema tekstiviesti siitä, että vika on poistunut, on jäänyt tulematta, joten odottelen nyt ainakin toistaiseksi sitä samalla tilannetta tarkkaillen. Parempaan suuntaanhan tässä ollaan menty, vaikkei oikein tavoitteessa vielä voidakaan sanoa oltavansa[1].

Muutamia asioita, joiden tilaa seuraan tällä hetkellä

Internetin ihmeellisessä maailmassa tapahtuu jatkuvasti kummia, mutta muutamaa tarinaa olen seurannut enemmän tai vähemmän säännöllisesti. Tässä niistä kaksi:

Matti Virkkunen ja viallinen läppärin näppäimistö. Tätä kirjoittaessa em. henkilö on tapellut HP:n kanssa jo yli kolme kuukautta. Uskomatonta tarinaa HP:n tuotteiden ja huollon toimivuudesta. Toivoa sopii, ettei tulostimeni kanssa tarvitse samaan hullunmyllyyn joutua, vaikkakin kirjoittaja kertookin tarkoituksella HP:ta piinaavansa.

Ison-Britannian oma ”VR” ja sen suhtautuminen julkaisemansa junadatan käyttöön Alex Hewsonin ilmaisessa sovelluksessa. Mielenkiintoista avoimuutta kertakaikkiaan. Toivoa sopii, että PR-paineet ovat tälle yritykselle liikaa ja taipuvat kehittäjän tahtoon.

* * * * *

Tällaista päivitystä tällä kertaa. Kommentoida saa.

1) Ihana suomenkieli. Joku voisi kertoa, taivutinko kaikki sanat oikein tuossa, sillä kielikorvani – niin harjaantunut kuin se onkin – meni täysin lukkoon kun tuota luin.

HP:lla sulkeiden merkitys hakusessa?

Posted on25.10.201006.06.2015Leave a comment

Ostin kesällä itselleni uuden tulostimen, HP DeskJet D2660 -värimustesuihkun. Teknisista detaljeista ja kehnosta hinta-laatu -suhteesta viis, laitteeni alkoi yllättäen syöttää paperia missä asennossa sattuu ja ”sutimaan tyhjää” vaikka paperia olisi alustalla ollutkin.

Ajattelin tiedustella HP:lta mahdollisia toimenpiteitä, millä tulostimen saisi ehkä jopa pelittämään asianmukaisesti. Heiltä tulikin geneeriset ”katso että paperialustalla on paperia yms.” -ohjeet. Samassa yhteydessä he muistivat myös kertoa, että koska käytän Linuxia, he eivät voi puuttua ohjelmistpuolen mahdollisiin ongelmiin. Vastasin heille seuraavasti (lihavointi ja alleviivaus lisätty vasta tähän):

Valitettavasti ohjeenne eivät ratkaisseet ongelmaa, ja epäilen vahvasti, ettei kyseessä ole ajuriongelma (vaikkakin on ehkä hieman ristiriitaista samaan aikaan ylläpitää HPLIP-ajuria ja olla tukematta Linuxia). Vaikuttaa myös siltä, että paperinsyöttöongelma ja 2. sivun tulostusongelma ovat toisistaan riippumattomia. Jälkimmäiseen mainittakoon, mikäli se vianrajausta yhtään helpottaa, että toisinaan laite jää vilkuttamaan virran merkkivaloa (ajurin tilaviesti ”Canceling”), eikä tilaa voi purkaa kuin irrottamalla laite virtajohdostaan.

Ilmeisesti joko a) viestin käsittelijä ei pitänyt antamastani kritiikistä tai b) käsittelijälle ei sulkeet muuten olleet tutut, sillä vastaus oli seuraava:

Vaikka tulostimelle löytyykin ns. HPLIP -materiaalia, käyttöjärjestelmänä Linux ei kuulu HP:n tukemiin käyttöjärjestelmiin. Näin ollen laitteelle joka käyttää Linux -käyttöjärjestelmää, enkä pysty antamaan sinulle puhelin- tai sähköpostitukea. Tukea on kuitenkin saatavana alla olevasta linkistä. (Get Help -> ”Ask a Question” button):
http://hplipopensource.com/hplip-web/support.html

Korostan tässä, että HP:n tuki ei ottanut kantaa viestissään mihinkään muuhun kuin tuohon sulkeissa olevaan tekstiini, vaan päättivät ilmoittaa että ”Ei Linux-tukea”. Jätinkö asiani todella noin epäselväksi? Mielestäni en. (Kommentoida saa). Siispä rustaamaan HP:n tuelle selvennystä ja lisäohjepyyntöä:

Valitettavasti vastauksenne ei ratkaissut ongelmaani. Haluan lisäksi korostaa, että aiemmassa kirjeenvaihdossa mainitsemani ristiriitaisuus HP:n Linux-ajurin ja HP:n Linux-tuettomuuden välillä oli puhtaasti sivuhuomautuksellinen palaute yhtiönne toiminnasta, eikä sinällään liittynyt tähän ongelmaan. Olen vastaanottanut ja ymmärtänyt ilmoituksenne siitä, että Linux ei kuulu käyttötukenne piiriin, ja ottanut huomioon sen omassa toiminnassani. Teidän ei tarvitse enää ilmaista tätä asiaa minulle.

Pyydän teitä keskustelun helpottamiseksi huomioimaan, että käytän – yleisen suomen kirjakielen tavan mukaisesti – kaarisulkeita ”(” ja ”)” merkitsemään tekstistä mielestäni vähemmän merkityksellisiä asioita, sivuhuomautuksia ja täsmennyksiä. Toivonkin, että jatkossa tulkitsette viestini niin, että myös – ja varsinkin – sulkeiden ulkopuolinen sisältö on merkityksellistä. Teidän toimintaanne helpottaaksenne pyrin lisäksi jatkossa olemaan selkeämpi omassa viestinnässäni.

Kuten aiemmin mainitsin, en usko että kyseessä on ongelma ohjelmistossa, vaan sen sijaan esim. mekaaninen vika tulostinlaitteistossa, joka ei ollut korjattavissa käyttäen mainitsemianne huoltotoimenpiteitä. Mikäli te kuitenkin uskotte, että kyseessä on ohjelmistovika tai mikäli ette halua antaa edes laitteenne laitteistolle tukea koska käytän Linuxia, olkaa hyvä ja ilmaiskaa asia vastauksessanne.

Mikäli kuitenkin voitte auttaa, toivon että kertoisitte onko vielä jotain, mitä voisin laitteeni käyttökuntoiseksi saamiseksi tehdä, ja jos ei, millä tavoin se on saatettavissa teidän huollettavaksenne.

Joku voisi väittää, että piilovittuilen, mutta siitä ei ole kyse. Toivon, että viesti selventää HP:llekin tilanteeni, ja että HP ei ihan oikeasti ole sitä mieltä, että jos käyttää Linuxia koneessa, ei HP vastaa vaikka laite räjähtäisi omia aikojaan. Vastausta odotellessa.

Avoin ja suljettu lähdekoodi rinta rinnan

Posted on12.10.201006.06.2015Leave a comment

Johtuen taloudellisesta tilanteestani, laitteistohankinnat ovat olleet melko vähäisiä viime aikoina, ja tämän takia pöytäkoneessani pyörii vanha NVidian GeForce2 MX400 -näytönohjain.

Näytönohjain ei ole enää tuettuna NVidian uusimmassa Linux-ajurissa, eikä edes ihan toisiksikaan uusimmassa, vaan viimeinen tätä ohjainta tukeva ajuri oli 96-sarjaa. NVidia on kuitenkin ihan hienosti tukenut myös 96-ajuriansa näihin päiviin asti.

Kuitenkin uusin Ubuntu toi mukanaan uuden X.org-ikkunointipalvelimen (versio 1.9), joka ei ole yhteensopiva NVidian 96-ajurin kanssa. NVidia on ilmoittanut kehittävänsä päivitystä ajurista, mutta että se on matalan prioriteetin tehtävä.

Ok, on olemassa avoimiakin vaihtoehtoja, kuten nv, jota nyt käytän, mutta joka taas ei taivu GLX:ään ja näin lähes kaikki se vähä potentiaali, mitä näytönohjaimessani on, menetetään. Nouveau-ajuri taas ei tue näin vanhoja näytönohjaimia.

Jos NVidian 96-ajuri olisi avoin, tähän yhteensopivuusongelmaan oltaisiin saatu todennäköisesti korjaus jo aikoja sitten ja tavallisten käyttäjien ei tarvitsisi murehtia asiasta. Mutta menettäisikö NVidia mitään, jos se nyt julkaisisikin ajurinsa lähdekoodin ja sanoisi ”tehkää ite”?

En usko, että menettäisi. Päin vastoin, NVidialle jäisi enemmän resursseja parantaa Linux-ajuria niille näytönohjaimille, joita kauppojen hyllyiltä löytyy tänä päivänä. Lisäksi avoimen lähdekoodin yhteisö voisi ottaa ajurin hellään huomaansa ja tehdä siitä vieläkin paremman. Tämä tuskin NVidian mainetta huonontaisikaan. En usko, että AMD (eli entinen ATi) tai Intel ovat menettäneet kassavirtojaan siksi, että kehittävät yhteisön kanssa avointa ajuria.

NVidian vastahakoisuuden syy lienee siis jossain muualla. Tuota lienee turhaa NVidialta tentata, sillä vastaus olisi ”liikesalaisuuksia, liikesalaisuuksia”. Ehkä NVidia ei uskalla julkaista ajurin tietoja ohjelmistopatenttioikeudenkäyntien pelossa (kiitos USA:ssa tavallisen ohjelmistopatenttitrollailun) tai ajuri on yksinkertaisesti niin huonosti tehty, että maine voisi kärsiä.

NVidian pitäisikin kerätä rohkeutensa ja siirtyä ”hyvisten” puolelle avoimen lähdekoodin pariin. Edes julkaisemalla vanhoista korteistaan sellaiset speksit, että avointen ajurien kehittäjien on mutkatonta niihin tarttua ja tehdä ne parannukset, joihin NVidia ei itse vaikuta pystyvän.

Elisan vastaus tiedusteluuni

Posted on10.10.201006.06.20152 Comments

Kirjoitin aiemmin Elisalle jättämästäni vikailmoituksesta, ja siitä kuinka tiedustelin heiltä jonkinlaista aikataulua ja korvauspolitiikkaa. Sain seuraavanlaisen vastauksen:

Hei,

kiitos yhteydenotostasi.

Arvio korjaus aikataulusta on vuoden loppuun mennessä ja mahdolliset korvaukset käsitellään tapaus kohtaisesti kun ongelma on poistunut.

Eli mitään kuukausimaksujen alennuksia ei voine tässä vaiheessa toivoa, vaan on odotettava Elisan ”Vika korjattu” -tekstiviestiä, ennen kuin tällaista voi edes alkaa selvittää. Tehdäänpä muutama laskutoimitus.

Ensi vuoden alussa olen ollut Elisan Viihteen kaapeliasiakkaana neljä kuukautta ja maksanut siitä riemusta 4×39,90 € eli 159,60 euroa. Jos oletetaan, että netin tulisi olla edes 70% teoreettisesta maksiminopeudesta, ja että toteutuma minulla on se 15-20% teoreettisesta maksiminopeudesta, voitaisiin kohtuullisena korvauksena ajatella 39,90€-(20%/70%)*39,00€=27,60 € per kuukausi. Neljässä kuukaudessa siis 27,60€*4=110,40€. Maksettavaa jäisi tältä ajalta itselleni siis reilun kuukauden maksut, 45,20€. Kun aika koittaa, tällä laskukaavalla aion korvausmenettelyä Elisalle ehdottaa.

Suostuvatko he sitten siihen? Tuskin. Pitäisin optimistisena kuvitella heidän korvaavan edes yhden kuun kuukausimaksua. Toki on totta, että Elisa Viihteeseen kuuluu paljon kaikenlaista, mutta ei siitä riemu repeä jos en niitä kuitenkaan mm. TV:n puutteen takia käytä.

Toisaalta korjaukseen on vielä kuukausia aikaa, ja silloinkaan ei ole sanottua, että yhteys sen paremmin toimisi. Vaikka taistelu onkin tauonnut, sota jatkuu.