internet – Sivu 7

XSS ja suomalaiset web-sivut

Posted on05.04.200806.06.2015Leave a comment

Viime päivinä olen käyttänyt resurssejani suomalaisten (eli .fi-) sivustojen läpikäymiseen XSS-aukkojen varalta, ja voi pojat niitä on löytynytkin. Tätä kirjoittaessa ilmoitin juuri neljännenkymmenennen aukon sivuston omistajalle aukosta.

Tämä aukkojen etsiminen alkaa saada sellaiset mittasuhteet, että käynnistin oikein projektin aukkojen etsimiselle: KServerXSS-haavoittuvuusprojekti. Sillä on oma web-sivu osoitteessa http://xss.kserver.dy.fi/ , josta löytyy myös lisää tietoa tästä projektista.

Nopeasti kun mietin niin niistä sivuista, joilla jonkinlainen hakukenttä on ollut, ehkä jotakuinkin 30-40 % on ollut haavoittuvaisia jollain tavoin. Se tarkoittaa pelottavaa määrää aukkoja suomalaisissa web-sivuissa!

Miksi tällaisia aukkoja sitten on näin paljon? Todennäköisesti siksi, että sivustoa tehdessä on sivustontuotantoon panostettu liian vähän rahaa, aikaa tai koulutusta. Silloin syntyy tällaisia ikäviä ongelmia.

En sano, etteikö KServerilläkin jossain noita aukkoja olisi, sillä oma lehmä ojassa on aina paras huudella. Nyt käyn suomalaisten kuntien ja kaupunkien verkkosivuja läpi.

Lapsiporno.infon ylläpitäjä epäiltynä rikoksesta

Posted on15.02.200806.06.2015Leave a comment

Lapsiporno.info:n ylläpitäjä Matti Nikki kirjoittaa verkkosivuillaan, että poliisit epäilevät häntä rikoksesta:

Eli kuten arvata saattaa, päättivät sitten epäillä minua jostain. Saamani sähköpostin on allekirjoittanut vanhempi rikoskonstaapeli Helsingin Kihlakunnan poliisilaitoksen väkivaltarikosyksiköstä. Ei sanonut viestissä tarkemmin mitä asia koskee, mutta kaipa asia on sitten niin että väkivaltarikosyksikölle menee tämmöiset ”lapsipornon levitykset” jollaiseksi poliittinen sivuni on leimattu. — Poliisi ehdotti kuulusteluja keskiviikoksi ja taidan tähän suostua. Pätkä mailista: ”Tässä vaiheessa tutkintanimikkeenä on avunanto sukupuolisiveellisyyttä loukkaavan esittävän kuvan levittämiseen ja asemanne kuulustelussa on rikoksesta epäilty.”

Harmi sinäänsä, että asia sai tällaiset mittasuhteet, mutta on jännä nähdä mitä tuleman pitää. Toivottavasti asiaan saadaan järki ja joku Iso Pamppu™ tajuaa että eihän koko sensuurilaissa ole mitään järkeä (Hieman ylioptimistista?).

Luulan 2 ja palvelimet

Posted on13.02.200806.06.2015Leave a comment

Yleisön pyynnöstä tässä tulee listaa Luulan 2:lla toimivista palvelinohjelmistoista, joita tarjoaa kova-luu1 ja kova-luu2 osoitteissa:

kova-luu1: server1.luu ja server2.luu = 192.168.1.2 ja 192.168.1.3
kova-luu2: server3.luu ja server4.luu = 192.168.1.4 ja 192.168.1.4

Eli siis molemmilla palvelimilla on aina kaksi osoitetta. Käytä sitä, joka tuntuu vähemmän tukkoiselta.

kova-luu1:

WWW
DNS
BitTorrent

kova-luu2:

TeamSpeak
SSH
IRC

Täytyy katsoa, kuinka pitkälle kaikki saadaan konfiguroitua ajoissa. Voi olla, että kova-luu2 ei ole toiminnassa ihan alusta alkaen, jolloin kova-luu1 korvaa sitä. Lisätietoja kuitenkin tapahtuman aikana.

Luulan 2

Posted on12.02.200806.06.2015Leave a comment

Jos joku väittää, että datanomiopiskelijoilla olisi yksitoikkoista tämä opiskelu, niin voin melkeimpä väittää että hän on väärässä.

Viime vuonnahan me dat05:t MSKK:lla toteutimme Luulan-verkkopelitapahtuman. Tänä vuonna se piti toistaa dat07:jen toimesta, mutta he eivät selkeästikään siihen ainakaan yksin kyenneet, joten vastuu tästä jäi käytännössä meille wanhoille opiskelijoille.

Itse olen vastuussa lähinnä verkko- ja palvelinasioista, ja KServerille tulee myöskin Luulan 2:n nettisivut (katsohan). Mitä olen ISP:n kanssa keskustellut tänään, niin 24/1 on nopein yhteys mitä tapahtumapaikalle saadaan. Ei siis mikään übernopea yhteys, varsinkaan kun osallistujia odotetaan paikalle noin 60.

Niin joo, tilaisuus on maksuton, ja järjestetään tänä viikonloppuna Mäntän seudun koulutuskeskuksella. Jos kiinnostaa niin nettisivuilta saa lisää tietoa.

KRP:n vastaus

Posted on11.02.200806.06.2015Leave a comment

KRP:llä ollaan nopeita ja tehokkaita ja niinpä viestini sai vastauksen kello 8:26. Tästä pisteet KRP:lle, näin homma toimii kun se toimii tehokkaasti. Mutta toimiiko se hyvin?

Kiitämme palautteestanne. Se oli asiallinen ja piti sisällään asioita, joita voimme yhteistyöhengessä viedä eteen päin mahdollisuuksien mukaan. Todettakoon että nettifiltteröinti on uusi toiminto ja sitä varmasti kehitetään jatkossa parempaan suuntaan sekä poliisin toimesta että operaattoreiden käytännön toteutuksen osalta.

Mitenkään vastauksen rehellisyyttä epäilemättä minusta vaikuttaa siltä, ettei asian suhteen olla oikeasti tekemässä mitään ihan vähään aikaan. Toki kirjoittaja ilmoitti, ettei ole tämän alan osaaja joten siksi ymmärrettävää. Toivottavasti kuitenkin asia menee tuota yksittäistä vastausta pidemmälle ja näemme paremman estosivun piakkoin.

Itse nyt en keksi mitään hyvää syytä olla käyttämättä tekemääni sivua, jos jollekin tulee mieleen niin näitä postauksiahan saa toki kommentoida.