Avainsana: tietoturva

Millainen on hyvä salasana – ja miksi?

Posted onLeave a comment

Hyvä salasana on pitkä ja sisältää
mitä erilaisimpia näppäimistön
anteja.
Kuva: Keyboard, cafenut,
CC-BY-NC-SA-2.0

Viestintäviraston tietoturvaan keskittynyt CERT-FI -osasto julkaisi – viimeaikaisiin tietomurtoihin liittyen – jokin aika sitten ohjeen hyvästä salasanasta. Kuinka sitten keksiä sopiva salasana, kun joka palveluun tarvittaisiin oma, vähintään 15 kirjainta, numeroa ja muuta merkkiä sisältävä rimpsu, jota ei saisi kirjoittaa paperillekaan?

Lähdetään liikkeelle siitä, miten salasanat oikeastaan murretaan. Oion tässä yksikertaisuuden nimissä: esimerkiksi suolausta ei ole otettu huomioon, kuten ei myöskään sitä, että jotkut verkkosivut tallentavat salasanat selväkielisinä, kuten vastikään murtunut Netcar.fi.

Hyökkääjä-Heikki, korkattuaan käyttäjätietokannan ja saatuaan salasanatiivisteet käyttöönsä, voi nykyaikaisella tietokoneella laskea satojatuhansia tiivisteitä sekunnissa ja vertailla niitä salasanatiivisteitä vastaan: tässä kirjoituksessa on lähdetty siitä, että hyökkääjä laskee 500 000 tiivistettä sekunnissa. Tämä tarkoittaa sitä, että hyökkääjä voi käydä kaikki ne salasanat, joissa on 6 pientä kirjainta, läpi alle kahdessakymmenessä minuutissa. Koska erilaisten salasanojen määrä voidaan laskea kaavalla salasanat=merkkivalikoimapituus, on jo kahdeksankirjaimista salasanaa huomattavasti vaikeampi murtaa: 298≈5,002×1011.

Heikki ei kuitenkaan ole rajoittunut vain tuollaiseen brute-force -hyökkäykseen. Hän todennäköisesti alottaisi sateenkaaritaulukolla vertaillen valmiiksi laskettuja tiivisteitä rikollisesti hankittuja salasanatiivisteitä vastaan. Kun siitä on selvitty, siirtyisi hän sanakirjahyökkäykseen: kokeillen yleisiä salasanoja, sanakirjasanoja sekä sanojen ja numeroiden yhdistelmiä. Tässä vaiheessa jo hyvin moni salasana olisi auennut, sillä Heikin ei tarvitse murtaa salasanaa kerrallaan, vaan hän voi kokeilla saatuja tiivisteitä kaikkien salasanojen tiivisteitä vasten yhtä aikaa. Viimeisenä keinona hän sitten kokeilisi brute forcea, joka on tehokas lähinnä 1-8 merkkiä pitkien salasanojen murtamiseen.

Jos murtomies pääsee käsiksi käyttäjätietoi-
hin, on hänellä monia keinoja salasanan sel-
vittämiseksi.
Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

Kun Heikillä on kasa käyttäjätunnuksia ja mahdollisesti muita henkilötietoja salasanoineen, hän voi käyttää hyväksi sitä, että monet käyttävät samaa salasanaa eri paikoissa, ennen kaikkea sähköpostissa. Jos Heikki pääsee saamallaan salasanalla käsiksi myös uhrin sähköpostitiliin (tai jos hyökkäys kohdistui siihen), voi hän vallata uhrin muita käyttäjätilejä palveluiden ”Unohdin salasanani” -toiminnoilla, jotka tavallisesti lähettävät uuden salasanan tai linkin sen luontiin sähköpostina.

Nyt, kun tiedetään miten salasanoja murretaan ja mitä niiden avulla voidaan tehdä, voidaan lähteä miettimään tehokasta vastatoimea. Unohdetaan saman salasanan käyttäminen useissa paikoissa, ja valitaan sellaisia salasanoja, joita ei kenellekään muulle tulisi mieleenkään. Internet on pullollaan palveluita, jotka kehittävät pyydetynpituisia ja -tyyppisiä salasanoja (kuten Wolfram Alpha), mutta nämä ovat usein hankalasti muistettavia.

Kuvitellaan salasana vaikka musiikkiaiheiselle keskustelufoorumille: otetaan sen päässä jatkuvasti soivan lempikappaleen kertosäe, ja käytetään sitä salasanan muistisääntönä. Kertosäkeestä voi sitten oman maun mukaan poimia kirjaimia, numeroita ja muita merkkejä, kunnes pituus on 15 merkkiä. Sellaisenaan kertosäettä ei kannata käyttää, sillä nokkela hyökkääjä keksii kokeilla myös sitä. Samalla tapaa voidaan luoda yksilöllisiä salasanoja, joihin on olemassa aina sopiva muistisääntö, ja jotka eivät teemansa takia sekoitu toisiinsa.

Hyvä salasana ei kuitenkaan vielä täysin ratkaise ongelmaa. Palveluissa on usein salasanan palauttamiseksi valittavissa myös salainen kysymys -vaihtoehto. Jos mahdollista, tällaiset kysymykset kannattaa poistaa käytöstä, tai vastata kysymykseen pupulla. Ventovieraskin hyökkääjä voi nimittäin esimerkiksi sosiaalisen median, kuten Facebookin, avulla saada selville äidin tyttönimen tai lempiruoan. Jos hyökkääjä tuntee uhrin entuudestaan, on tietojen selvittäminen vielä helpompaa.

Lisäksi kannattaa tarkkaan miettiä, kannattaako palveluun todella rekisteröityä. Jokainen palveluun rekisteröityminen lisää riskiä sille, että käyttäjätietojasi – muutakin kuin salasanasi – joutuu vääriin käsiin. Pohdintaansa voi alustaa vaikka sillä ajatuksella, että mitä palveluun syöttämillä tiedoilla voitaisiin tehdä niiden joutuessa vääriin käsiin.

Salasana kannattaa myös vaihtaa aika ajoin, vaikkapa vuosittain. Tällöinkään salasanoja ei pidä kierrättää, vaan keksiä uusia. Ja jos uusi salasana ei muuten uppoa päähän, voi sen hetkeksi kirjoittaa esimerkiksi paperille, ja pitää paperin visusti tallessa. Jos palveluun kirjautuu monia kertoja, jossain vaiheessa pidempikin salasana jää päähän. Jos toisaalta kirjautumiskertoja on kovin vähän, kannattaa miettiä, onko käyttäjätili kyseisessä palvelussa kovin tarpeellinen muutenkaan.

Selaimen salasananmuistamis-
toimintoa kannattaa käyttää, jos
salasanat eivät muuten pysy mie-
lessä.
Kuva: Kuvakaappaus Firefox 7:sta.

CERT-FI neuvoo ohjeessaan käyttämään tarvittaessa apuohjelmia salasanojen muistamiseen, mutta pitäisin itse sitä viimesijaisena keinona. Selainten oma Muista salasana -toiminto on yleensä kaikki, mitä tarvitaan. Nämä tiedot kannattaa tietenkin varmuuskopioida offline-medialle (kuten CD- tai DVD-levylle, tai muistitikulle), eikä esimerkiksi sähköpostin tai PayPalin kirjautumistietoja kannata tallentaa edes sinne: ne on turvallisinta opetella sovinnolla ulkoa.

Lopuksi pari linkkiä. Splashdata julkaisi vuosittaisen 25 huonointa salasanaa -listansa, josta salasanojaan ei välttämättä kannata poimia. Toisena linkkinä tarjoan mahdollisuutta tekemässäni palvelussa tarkistaa, onko viimeaikaisilla nettiin vuodetuilla listoilla sinun tietojasi. Sertifikaatti on itseallekirjoitettu, ja sen MD5-summa on 634CE8C0950751A7E3C7FE71FFFE8D3C.

Päivitys H-Townin palvelinmurtoon liittyen

Posted onLeave a comment

H-Townilta vastattiin heille esittämiini
kysymyksiin.

Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

Kirjoitin viikko sitten perjantaina 8.7. H-Townin palvelimelle murtautumisesta. Tiedustelin samalla H-Townilta lisätietoja asiaan liittyen. H-Townin Sales and marketing director Antti Peltomäki vastasi kysymyksiini.

Tässä päivityksessä käyn lyhyesti läpi nämä uudet tiedot. Edellistä kirjoitustani on myös päivitetty.


Peltomäki kertoo, että heidän näkemyksensä mukaan palvelimelle todennäköisesti ei murtauduttu varsinaisesti käyttäjätietojen hankkimista varten:

Lyhyesti sanottuna vaikuttaa siltä, että tietomurto oli enemmänkin kohdistettu serveriä kohtaan ja sitä käytettiin hyväksi floodaukseen. Ennen kuin meillä on tarkempaa tietoa, niin täytyy kuitenkin lähteä siitä, että myös käyttäjätiedot on saatu haltuun.

Mediassa asiasta kirjoitettiin vaihtelevalla luetun- ja kuullunymmärtämisellä, ja Peltomäki haluaa selventää myös mahdollisesti menetettyjen tietojen luonnetta:

Toisaalla uutisoinneissa taas oli kirjoitettu, että luottokorttitietojen ei epäillä joutuneen rikollisten haltuun. Tähän taas voi vastata suoraa, että tasan varmasti ei joutunut, sillä sellaisia tietoja emme ole koskaan keränneetkään. Ja asiakas- sekä tilaajatiedot taas sijaitsevat täysin toisella serverillä ja ovat siis turvassa.

Vaikka siis mitään ”kriittisiä” tietoja ei tässä menetetty, hoiti H-Town tämän asian mielestäni ihailtavan asiallisesti ja vakavasti.

Tämä ei tietenkään tarkoita, etteikö salasanojen vaihtamista silti kannattaisi tehdä, jos edellisessä kirjoituksessa mainitsemissani palveluissa tunnus on. Saman salasanan käyttö monessa paikassa on myös sellainen ongelma, johon saatan pureutua joku päivä kirjoituksessani.

Suomalaisten salasanoja väärissä käsissä

Posted on3 Comments

Tietomurto – todennäköisesti SQL-
injektio – aiheutti suomalaisen H-Townin
verkkosivujen käyttäjien tietojen vuotamisen.
Kuva: Davide Restivo: A Modern Hacker #1
CC-By-SA 2.0

IT-viikko uutisoi tänään, että suomalainen H-Town on joutunut tietomurron kohteeksi. Kohteena olivat yhtiön Pelaaja-, Anime- ja WoW-lehti -verkkosivujen käyttäjien käyttäjätunnukset ja salasanat. Yhtiö on ajanut verkkopalvelunsa alas ja laatinut oman tiedotteen asiasta.

Jos olet edellä mainittujen lehtien verkkosivujen rekisteröitynyt käyttäjä, lue postaukseni lopusta toimintaohjeet tietojesi suojaamiseen.

IT-viikon uutisesta voidaan päätellä, että kyseessä olisi ollut nimenomaan verkkosivujen käyttäjätunnuksiin liittyvä murto, ja näin ollen todennäköinen hyökkäystapa olisi ollut SQL-injektio.

Huom: Tähän kirjoitukseen liittyen olen julkaissut tarkennuksen omana kirjoituksenaan.

Käyttäjätietojen tallennus ja suojaus verkkopalveluissa

Useat verkkopalvelut vaativat esim. foorumia tai rajattua sisältöä varten luomaan käyttäjätunnuksen ja salasanan. Tässä tapauksessa käyttäjätunnuksena lisäksi on vaadittu sähköpostiosoitetta. Kun käyttäjä rekisteröityy palveluun, palvelu tallentaa kirjautumistiedot tietokantaan, josta se niitä tarkistaa käyttäjän kirjautuessa.

Salasana voidaan tallentaa tietokantaan usealla tavalla. Yksinkertaisinta ja vaarallisinta on tallentaa salasana sellaisenaan. Tällöin tietokantaan murtautumalla saadaan suoraan käyttäjätunnus ja salasana.

Salasanat voidaan suolata tieto-
murrosta aiheutuvien vahinkojen
pienentämiseksi.

Kuva: Riku Eskelinen/ Salasanan
suolaus. PD/CC-0

Rikollista käyttöä voidaan vaikeuttaa tallentamalla salasanasta vain sen tarkastussumma, jota ei voida suoraan muuttaa takaisin salasanaksi. Tällöin jos tiedot joutuvat vääriin käsiin, salasanan saanti vaikeutuu, muttei muutu mahdottomaksi: rikollinen voi omalla järjestelmällään kokeilla silmänräpäyksessä tuhansia variaatioita, ja ennen pitkää oikea salasana löytyy.

Yleisesti käytössä oleva tapa on ”suolata” salasana palvelimen tuntemalla sisällöllä: salasanaan sekoitetaan palvelimen tietämällä tavalla palvelimen tietämä vakiosuttu, ja tämän jälkeen koko sisällöstä lasketaan tarkastussumma. Kun tietomurto kohdistuu vain tietokantaan, tätä erillään säilytettävää ”suolaa” ei saada käyttöön, ja tietovarkaan on huomattavasti vaikeampi – joskaan ei täysin mahdoton – saada salasanaa tietoonsa.

Tätä kirjoittaessa ei ole tiedossa, millä tavoin salasana oli suojattu. Tiedustelen asiaa H-Townilta, ja päivitän postaustani vastauksen mukaan.

H-Town kertoi, että salasanat olivat MD5-tarkastussummattuja ja suolattuja. Lisäksi yhtiön kertoman mukaan hyökkäys oli todennäköisemmin kohdistettu palvelinta kuin käyttäjätietoja vastaan. Yhtiö toimi kuitenkin vastuullisesti ottaessaan käyttäjätietojen vuotamisenkin huomioon.

Kuinka tietokannasta sitten saadaan tietoja?

Jos palvelun kirjautumislomakkeen syötteentarkastus on huonosti ohjelmoitu, on mahdollista, että pahantahtoinen käyttäjä voi syöttää esim. salasanakenttään tietokannalle tarkoitettuja komentoja. Sopivasti muotoilemalla on mahdollista näin muotoilla sellainen käyttäjätunnus tai salasana, joka saa palvelimen paljastamaan tietokannan sisällön. Tällaista hyökkäystä kutsutaan SQL-injektioksi, johon viittasin kirjoituksen alussa.

Huonosti käyttäjän syöttämien tietojen tarkistava
sivusto on altis väärinkäytöille SQL-injektioiden
kautta. Kuvakaappaus ei ole todellisesta verkko-
palvelusta.

Kuva: Kuvakaappaus (ei ylittäne teoskynnystä).

Tällaisilta hyökkäyksiltä on mahdollista suojautua tarkistamalla kaikki käyttäjän syötteet, ja poistaa turvallisuutta uhkaava sisältö. Nämä keinot ovat hyvin tunnettuja, ja yleisesti turvallisena pidettyjä.

Tätä kirjoittaessa en voi varmaksi sanoa, onko hyökkäys ollut SQL-injektiotyyppinen, mutta uskoisin näin IT-viikon uutisen ja H-Townin tiedotteen perusteella. Tiedustelen tätäkin asiaa H-Townilta.

H-Townin vastauksesta ei käynyt ilmi hyökkäystapaa, mutta vastauksessa kerrottiin, että ”– ennen kuin tarkempaa tietoa on, on varminta olettaa, että murtautujat ovat päässeet käsiksi kaikkeen mitä serverillä on.”

Miksi näin käy?

Vaikka suojautumismenetelmät ovat helposti käyttöönotettavissa ja hyvin tiedossa, ihminen on kuitenkin viime kädessä vastuussa palvelun tuotannosta. En tiedä, käyttikö H-Town omaa vai jonkun muun tuottamaa ohjelmistoa, mutta ohjelmiston kehittäjä on jostain syystä unohtanut tarkistaa tämän nimenomaisen syötteen.

Vaikka ohjelmoija on todennäköisesti ollut alan ammattilainen, tapahtuu silloin tällöin kuitenkin huolimattomuusvirheitä. Useimmiten tällaiset virheet ovat varsin huomaamattomia (jos ne olisivat selkeitä, ne korjattaisiin jo ennen käyttöönottoa), ja äärimmäisissä tapauksissa ne vaarantavat ihmisten tietosuojaa ja yksityisyyttä.

Olenko vaarassa? Mitä pitäisi tehdä?

Jos olet rekisteröitynyt käyttäjä H-Townin verkkosivuilla, salasanasi on saattanut joutua vääriin käsiin ja tietosi ovat vaarassa. H-Town ohjeistaa seuraavaa:

Jos käytät samaa käyttäjätunnusta ja salasanaa muissa kuin H-Townin verkkopalveluissa, suosittelemme varatoimenpiteenä vaihtamaan salasananne välittömästi. Kaiken varalta olisi suotavaa myös vaihtaa H-Townin sivustoilla käytetyt salasanat palveluiden tullessa takaisin linjoille. 

Jos siis olet toiminut fiksusti, etkä käytä samaa salasanaa muualla, voit olla levollisin mielin – kunhan muistat vaihtaa salasanasi¹ sitten kun H-Town saa palautettua verkkopalvelunsa.

Jos käytät samaa salasanaa muuallakin (erityisesti rekisteröitymiseen käyttämässä sähköpostissasi), on tärkeää vaihtaa kaikkien näiden palvelujen salasanat saman tien. Tehtävä saattaa tuntua työläältä, mutta yksityisyytesi kannalta se on välttämätöntä.

Jos et pysty kirjautumaan johonkin palveluun, ja epäilet, että pahantahtoinen käyttäjä on muuttanut kirjautumistietojasi, ota yhteys palvelun palveluntarjoajaan. Yleensä palveluntarjoajat pitävät kirjaa siitä, mistä palveluun on milloinkin kirjauduttu, ja on mahdollista vielä pelastaa tilisi. Lisäksi jos käyttäjätunnuksiasi käytetään väärin, on kyseessä rikos, ja sinulla saattaa olla mahdollisuus yhteistyössä poliisin kanssa saattaa väärinkäyttäjä edesvastuuseen.

Yhteenvetoa

H-Townin verkkopalveluiden kirjautumistietoja on siis viety. Tässä vaiheessa en tiedä, miten hyökkäys tehtiin ja minkä muotoisena salasanat vietiin. Tiedustelen tätä asiaa H-Townilta ja päivitän postausta, kun lisää tietoa tulee saataville.

H-Townilta kerrottiin, että palvelimelle murtauduttiin, ja että saattaa olla mahdollista, että tietoja on viety, vaikka hyökkäys vaikuttikin kohdistuvan palvelinta, eikä käyttäjätietoja, vastaan.

Disclaimerina kerrottakoon, että tässä postauksessa kertomani tilannearviot ovat omiani, ja perustuvat vahvasti tekemiini oletuksiin yleiseen IT-alan ja verkkopalvelujen tuntemukseeni pohjautuen. Mikäli kirjoituksessani on puutteita tai virheitä, jätä kommenttia. Myös muutenkin kommentointi on luonnollisesti sallittua.

1) Itse olisin palvelujen palauttamisen aikaan yksinkertaisesti pakottanut jokaisen käyttäjän vaihtamaan salasanansa.

Edit 8.7.11 17.02: Älä hämäänny linkin osoitteesta. Google keksii osoitteet puolestani, ja tällä kertaa se on tuollainen. 

Edit 14.7.11 18.08: Tietoja päivitetty H-Townilta saamieni lisätietojen perusteella. Lue lisäksi kirjoittamani päivitys.

Pilvessä piilee vaara

Posted onLeave a comment

Kuvan kumpupilvet eivät liity tapaukseen.
Kuva: Cumulus clouds in fair weather/ Michael Jastremski
CC-By-SA-2.0 Generic

Viime vuosina erilaiset pilvipalvelut – eli Internetissä hajautetusti toimivat tallennustila- ja muut toteutukset – ovat nousseet pinnalle, sillä ne tarjoavat varsin kustannustehokkaasti laskentatehoa ja tallennuskapasiteettia. Tällaisissa palveluissa on kuitenkin riskinsä.

Yksityisille kuluttajillekin tarjotaan nykyään pilvipalveluita: esimerkkeinä mainittakoon Dropbox-tiedostonvarastointipalvelu¹ ja Amazon Cloud Player¹ -musiikkipalvelu. Yritysten käyttöön palveluita on toki laskentapilvistä CDN²-pilviin.

Nopeasti ajateltuna tällaisessa palvelussa on vain etuja: saatavuus on hyvä, ja hinta omien laitteiden/ konesalien ylläpitoon nähden suorastaan naurettavan edullinen. Kun palveluita vielä markkinoidaan turvallisina ja helppokäyttöisinä, saattaa pilveen pääsy vaikuttaa ohittamattomalta mahdollisuudelta.

Varmistuminen siitä, että
verkon toisessa päässä oleva
taho ei vuoda tietojasi, on
vaikeaa, ellei mahdotonta.
Kuva: Openclipart.

Mutta kuka sitten loppujen lopuksi takaa yksityisyyden ja tietoturvan? Verkkopalveluissa kaikenkattavat vastuuvapautusklausuulit ovat arkipäivää, ja esimerkiksi yrityksen liikesalaisuuksien valuessa kilpailijoiden käsiin palvelun toimintahäiriön yhteydessä voi aiheuttaa enemmänkin kuin pahaa mieltä johtoportaassa.

Mainitsemani toimintahäiriö ei ole tuulesta temmattu mahdottomuus: Dropbox tiedotti maanantaina (20.6.11) blogissaan, että tunnistautumismekanismissa ollut ohjelmistovirhe mahdollisti kirjautumisen tilille kuin tilille ilman salasanaa neljän tunnin ajan. Vaikka Dropboxin mukaan alle prosentti sen käyttäjistä kirjautui tililleen tuona aikana, on jo siinä ainekset totaaliseen katastrofiin jonkun käyttäjän kohdalta.

Kun vielä päivittäin uutisoidaan, että siihen-ja-siihen palveluun on murtauduttu ja saatu N määrä – yleensä tuhansia – käyttäjätunnuksia ja salasanoja tietoon, on aiheellista kyseenalaistaa tällaisten kolmansien osapuolien ammattitaito yksityisten tietojen käsittelyn suhteen.

En sano, että pilvipalvelut olisivat läpeensä täynnä tietoturva-aukkoja, ja että niitä tulisi vältellä kaiken uhallakin, vaan suosittelen kartoittamaan hieman niitä riskejä, joita palveluiden käytöllä voi olla.

Yritysten ei pitäisikään aliarvoida ja -mitoittaa omaa IT:tään, vaan päinvastoin panostaa siihen. Omien palvelimien tietoturvasta voi kuitenkin olla niin varma, kuin ammattitaito riittää, ja osaavia IT-ammattilaisia Suomessa varmasti riittää.

Yksityishenkilöille pilvipalvelut voivat vaikuttaa edulliselta varmuuskopiointitavalta, mutta eivätpä ulkoiset kiintolevyt tänä päivänä paljoa maksa. Ulkoiselta kovalevyltä – kun levyä säilytetään turvallisesti – niiden nolojen valokuvien joutuminen Internetiin naapureiden naurettavaksi on kuitenkin melko epätodennäköistä.

Vielä lopuksi toisenlainen näkökulma Internettiin kytkettyjen tietokoneiden voimasta: Suomalainen Renderfarm.fi tarjoaa ilmaisen alustan 3D-renderöintiin käyttäen renderöintiin vapaaehtoisten lahjoittamaa suoritinaikaa. Palvelu voitti World Summit Awardissa tänä vuonna, ja itsellänikin pyörii taustasovellus käyttämässä suorittimeni joutuaikaa hyväksi.

1) Valitsin tähän kaksi ensimmäisenä mieleen tullutta esimerkkiä.
2) CDN – Content distribution network: Wikipedia.

FB-kysymysten piilottaminen ei saa vaatia tietoturvan menetystä

Posted on1 Comment

Facebookin kysymykset
ovat ehkä ärsyttäviä,
mutta niiden piilottaminen
3. osapuolen ohjelmalla
ei ole kovin fiksua.

Kuva: Facebook-
logo

Facebook-kaverini linkkasi blogikirjoitukseen otsikolla ”Näin kadotat Facebook-kysymykset” [pietar.in]. Kirjoittajalla on varmasti hyvä tarkoitus, mutta kirjoituksessa tarjottu ratkaisu ei ole omiaan rakentamaan todellista, käyttäjästä lähtevää, tietoturvaa.

Kirjoitus esittelee F.B Purity -nimisen [fbpurity.com] selainlisäosan, joka mukauttaa ilmeisesti Greasemonkeya [mozilla.org] apuna käyttäen Facebook-käyttökokemusta käyttäjän valintojen mukaan. Yksi lisäosan toiminnoista on monia ärsyttäneiden Facebook-kyselyjen piilottaminen.

En ole itse kyseistä lisäosaa käyttänyt, enkä väitä, etteikö se olisi turvallinen ja näppärä. Tässä mielestäni ollaan kuitenkin liikkeellä väärällä tavalla: ollaan uhraamassa tietoturvallisuus käyttömukavuuden ja -helppouden tähden.

Selainlisäosalla on paljon
valtaa, mutta kuka katsoo
lisäosan perään?

Kuva: Openclipart

Selainlisäosilla on kuitenkin melko vapaat kädet tehdä selaimessa mitä tahansa, eikä niiden oikeellisuudesta voida mennä täysin takuuseen. Tällaisessa käyttöskenaariossa eräs olemassaoleva riski on se, että lisäosa lähettää yksityisiä ja toisinaan arkaluontoisiakin tietoja eteenpäin, jolloin vaikkapa identiteettivarkaus voisi olla mahdollinen.

Lisäksi tässä ollaan tarkoituksella rikkomassa sitä käyttökokonaisuutta, jonka Facebook on käyttäjilleen toteuttanut: he ovat halunneet tässä vaiheessa, että kyselyt näkyvät aina, ja tällaisen ”ongelman” kiertäminen teknisesti on hieman kyseenalaista.

Eniten olen oikeastaan huolissani niiden naiivien käyttäjien puolesta, jotka eivät tällaisista asioista halua huolestua: he löytävät helpon ratkaisun heitä kiusaavaan asiaan eivätkä ajattele asiaa sen enempää. Ja kun tällaiseen ”helppoon elämään” ollaan totuttu, pian ollaan jo lataamassa ilmaisia rekisterinpuhdistimia, jotka nopeuttavat konettasi ainakin 4000 %.

Jos kyselyt silti ärsyttävät – mikä on omasta kokemuksestani melko todennäköistä – olisi oikea suunta palautteen antaminen Facebookille, ja viime kädessä äänestäminen jaloilla – jos tällainen ontuva kielikuva sosiaaliseen mediaan liittyen sallitaan.

On näin ollen suorastaan edesvastuutonta antaa tällaisia ”vinkkejä” vähemmän tietotekniikkaa tunteville ihmisille, sillä he eivät todennäköisesti ymmärrä omaa parastaan – eivätkä tulekaan ymmärtämään, mikäli kaikki tarjotaan hopeatarjottimella niin, että omien aivojen käyttö kielletään.

Lopuksi vielä Facebook-aiheinen tietoturvavinkki: Facebookia voi – ja kannattaa – nykyään käyttää SSL-salattua yhteyttä käyttämällä lisäämällä osoitteeseen yhden s-kirjaimen, siis https://facebook.com; temppu toimii myös mobiiliversioilla.

Pysyvästi salatun yhteyden saa käyttöönsä asetuksista: Käyttäjätili » Käyttäjätilin asetukset » Asetukset » Käyttäjätilin turvallisuus, valitsemalla valintaruudun ”Selaa Facebookia salatun yhteyden (https) kautta aina kun mahdollista” ja lopuksi tallentamalla uudet asetukset.