» »

Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševanje

Twitter je telefonske številke za dvostopenjsko avtentikacijo uporabljal za oglaševanje

Slo-Tech - Iz Twitterja so sporočili, da so telefonske številke in elektronske naslove uporabnikov, ki so jih ti zaupali za postopke preverjanja pristnosti, nekaj časa po pomoti uporabljali tudi v oglaševalske namene. Napako naj bi prejšnji mesec že odpravili.

Podrobneje: šlo je za primerjanje seznamov številk in naslovov uporabnikov s seznami, ki jih imajo oglaševalci v Twitterjevih sistemih Tailored Audiences in Partner Audiences. Kako je do tega lahko prišlo in kdo točneje je za to odgovoren, v firmi niso želeli pojasniti; prav tako ne, koliko uporabnikov je bilo oškodovanih in kako dolgo se je ta nepravilnost vlekla. Pravijo pa, da so luknjo 17. septembra zakrpali.

To je sicer le še eden v vrsti takšnih pripetljajev, saj so lani pri podobni praksi ujeli tudi Facebook (plačljiv vir). Toda najnovejša nerodnost še posebej izpostavlja nerazumno Twitterjevo prakso obveznega zahtevka po uporabnikovi telefonski številki v primeru rabe dvostopenjske avtentikacije: navesti jo je treba tudi, če uporabljamo katero drugo obliko preverjanja pristnosti! Velika večina drugih spletnih velikanov tega od nas ne zahteva in po pričujoči aferici tudi iz Twitterja sedaj prihajajo namigi, da bodo to opustili. Pri dvostopenjskem preverjanju pristnosti je pošiljanje SMSov sicer najšibkejša možna oblika postopka, saj jo je najlažje shekati. Primerneje je uporabiti strojne varnostne elemente.

37 komentarjev

RedDrake ::

Čakam globo od EU zaradi kršitev GDPR, v višini nekaj % letnega prometa ...

* chirp * * chirp *

Glugy ::

Očitno imam prav ko ne zaupam dvostopenjskim tehnologijam ki uporabnika enolično povežejo z telefonom.

MrStein ::

X.509
It works. It's safe. Nobody uses it.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

MrStein je izjavil:

X.509
It works. It's safe. Nobody uses it.

?!? A si ti malo pomešal stvari? Kdo ne uporablja certifikatov?

Sicer res, da za obojestransko avtentikacijo zgolj banke in državna uprava, a po drugi strani pa si tudi ne želiš, da se boš v storitve tipa Twitter in Facebook prijavljal s svojim SigenCa ali NLB certifikatom...

Seveda si lahko generiraš druge certifikate, samo to potem spet ni več čisto tako preprosto. Skratka... jaz nebi stavil na tega konja za 'široko uporabo'. Sploh pa ne na straneh, kjer si vseeno želiš vsaj malo zasebnosti, če ne že anonimnost.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

MrStein ::

SeMiNeSanja je izjavil:

MrStein je izjavil:

X.509
It works. It's safe. Nobody uses it.

?!? A si ti malo pomešal stvari? Kdo ne uporablja certifikatov?

Tisti iz novice, Twitter.

Pa tudi: Gmail, github, Facebook, stackexchange,... Hmm raje ti naštej ene par, ki jih.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

MrStein je izjavil:

SeMiNeSanja je izjavil:

MrStein je izjavil:

X.509
It works. It's safe. Nobody uses it.

?!? A si ti malo pomešal stvari? Kdo ne uporablja certifikatov?

Tisti iz novice, Twitter.

Pa tudi: Gmail, github, Facebook, stackexchange,... Hmm raje ti naštej ene par, ki jih.

Nisi prebral tistega kar sem napisal do konca?

VSI uporabljajo SVOJE certifikate da TEBI demonstrirajo SVOJO istovetnost.

NE zahevajo pa OD TEBE, da dokazuješ SVOJO istovetnost z certifikatom.
Takoj, ko bi to zahtevali, bi nastal vik in krik, ker 90% raje tam zunaj ne zna generirat in uporabljat lastnih certifikatov za npr. nek 'anonimni' gmail account. Namesto tega bi razumeli, da je to konec anonime, da se morajo prijaviti z URADNIM certifikatom, ki se glasi na njihovo dejansko ime in priimek (SigenCA itd.).

Zdaj mi pa reci - ali bi bil TI navdušen, da se moral v Facebook prijaviti z SigenCA certifikatom? Ali na Slo-Tech, da potem lahko vsak admin vidi kdo si v resnici? Da nebi mogel več fejkat po dva, tri accounte, kot to počno nekateri?
Ali pa celo kakšni dating portali.... kdo normalen bi hotel, da je tam registriran s svojimi uradnimi polnimi podatki?

ZATO zadeva 'deluje' le na finančnih in vladnih spletnih straneh.

Jaz npr. imam SFTP server, ki ga lahko nastavim na X.509 certifikate in dejansko lepo dela z NLB in PoštarCA certifikati (kar sem testiral) - ampak sem zadevo potem tudi prestavil nazaj na klasično user/pass avtentikacijo, ker ne morem zahtevat od uporabnikov, da se prijavljajo z certifikatom.

Enkrat postavi tako storitev na noge, pa boš hitro razumel praktične omejitve, ki ti jih določena tehnologija definira pri implementaciji. Teoetično gre... v 'laboratoriju' tudi...ko pa dodaš XY uporabnike, se pa zadeva zakomplicira....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Mavrik ::

MrStein je izjavil:



Pa tudi: Gmail, github, Facebook, stackexchange,... Hmm raje ti naštej ene par, ki jih.


Tile večinoma uporabljajo TOTP, ki ni vezan na SMS in dela tudi s hardware tokeni kot so YubiKeyi in Titan čipi v Pixlih.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

filips ::

SeMiNeSanja je izjavil:

MrStein je izjavil:

SeMiNeSanja je izjavil:

MrStein je izjavil:

X.509
It works. It's safe. Nobody uses it.

?!? A si ti malo pomešal stvari? Kdo ne uporablja certifikatov?

Tisti iz novice, Twitter.

Pa tudi: Gmail, github, Facebook, stackexchange,... Hmm raje ti naštej ene par, ki jih.

Nisi prebral tistega kar sem napisal do konca?

VSI uporabljajo SVOJE certifikate da TEBI demonstrirajo SVOJO istovetnost.

NE zahevajo pa OD TEBE, da dokazuješ SVOJO istovetnost z certifikatom.
Takoj, ko bi to zahtevali, bi nastal vik in krik, ker 90% raje tam zunaj ne zna generirat in uporabljat lastnih certifikatov za npr. nek 'anonimni' gmail account. Namesto tega bi razumeli, da je to konec anonime, da se morajo prijaviti z URADNIM certifikatom, ki se glasi na njihovo dejansko ime in priimek (SigenCA itd.).

Zdaj mi pa reci - ali bi bil TI navdušen, da se moral v Facebook prijaviti z SigenCA certifikatom? Ali na Slo-Tech, da potem lahko vsak admin vidi kdo si v resnici? Da nebi mogel več fejkat po dva, tri accounte, kot to počno nekateri?
Ali pa celo kakšni dating portali.... kdo normalen bi hotel, da je tam registriran s svojimi uradnimi polnimi podatki?

ZATO zadeva 'deluje' le na finančnih in vladnih spletnih straneh.

Jaz npr. imam SFTP server, ki ga lahko nastavim na X.509 certifikate in dejansko lepo dela z NLB in PoštarCA certifikati (kar sem testiral) - ampak sem zadevo potem tudi prestavil nazaj na klasično user/pass avtentikacijo, ker ne morem zahtevat od uporabnikov, da se prijavljajo z certifikatom.

Enkrat postavi tako storitev na noge, pa boš hitro razumel praktične omejitve, ki ti jih določena tehnologija definira pri implementaciji. Teoetično gre... v 'laboratoriju' tudi...ko pa dodaš XY uporabnike, se pa zadeva zakomplicira....


Kaj pa če ti ta spletna stran ob registraciji zgenerira certifikat, ki je samo za to splet o stran in ima podatke ki jih določa ti, in potem ti ta certifikat uporabljaš za prijavo?

rabelj5 ::

RedDrake je izjavil:

Čakam globo od EU zaradi kršitev GDPR, v višini nekaj % letnega prometa ...

* chirp * * chirp *

načakal se boš

Spura ::

filips je izjavil:

SeMiNeSanja je izjavil:

MrStein je izjavil:

SeMiNeSanja je izjavil:

MrStein je izjavil:

X.509
It works. It's safe. Nobody uses it.

?!? A si ti malo pomešal stvari? Kdo ne uporablja certifikatov?

Tisti iz novice, Twitter.

Pa tudi: Gmail, github, Facebook, stackexchange,... Hmm raje ti naštej ene par, ki jih.

Nisi prebral tistega kar sem napisal do konca?

VSI uporabljajo SVOJE certifikate da TEBI demonstrirajo SVOJO istovetnost.

NE zahevajo pa OD TEBE, da dokazuješ SVOJO istovetnost z certifikatom.
Takoj, ko bi to zahtevali, bi nastal vik in krik, ker 90% raje tam zunaj ne zna generirat in uporabljat lastnih certifikatov za npr. nek 'anonimni' gmail account. Namesto tega bi razumeli, da je to konec anonime, da se morajo prijaviti z URADNIM certifikatom, ki se glasi na njihovo dejansko ime in priimek (SigenCA itd.).

Zdaj mi pa reci - ali bi bil TI navdušen, da se moral v Facebook prijaviti z SigenCA certifikatom? Ali na Slo-Tech, da potem lahko vsak admin vidi kdo si v resnici? Da nebi mogel več fejkat po dva, tri accounte, kot to počno nekateri?
Ali pa celo kakšni dating portali.... kdo normalen bi hotel, da je tam registriran s svojimi uradnimi polnimi podatki?

ZATO zadeva 'deluje' le na finančnih in vladnih spletnih straneh.

Jaz npr. imam SFTP server, ki ga lahko nastavim na X.509 certifikate in dejansko lepo dela z NLB in PoštarCA certifikati (kar sem testiral) - ampak sem zadevo potem tudi prestavil nazaj na klasično user/pass avtentikacijo, ker ne morem zahtevat od uporabnikov, da se prijavljajo z certifikatom.

Enkrat postavi tako storitev na noge, pa boš hitro razumel praktične omejitve, ki ti jih določena tehnologija definira pri implementaciji. Teoetično gre... v 'laboratoriju' tudi...ko pa dodaš XY uporabnike, se pa zadeva zakomplicira....


Kaj pa če ti ta spletna stran ob registraciji zgenerira certifikat, ki je samo za to splet o stran in ima podatke ki jih določa ti, in potem ti ta certifikat uporabljaš za prijavo?

To ze deluje ce stran to podpira: WebAuthn https://webauthn.guide -> basically ko registiras account ti naredi private-public keypair, ki ga potem uporabljas namesto passworda. To je sicer ze stara ideja, pa tut ze prej bi lahko naredu website kamor se prijavljas z gpg kljucem, teh pa imas lahko kolikor hoces, torej je identiteta potencialno skrita. Ampak valda je folk prevec lesen za kej takega.

tikitoki ::

Ponesreči? A kdo verjame?

Hermit Bob ::

Ha ha ha ha, umrl bom od smeha, a dejansko kdo verjame, da se telefonske uporabljajo "za varnost"??? Kako zabit moras biti, da kaj takega verjames, od prvega momenta je bilo jasno, da so namenjene samo za zbiranje podatkov, mimogrede, na trgu je danes telefonska stevilka najvec vreden podatek o posameznu. Ajde roke gor, koliko vas je idiotov, ki je mislilo, da je telefonska stevilka nekaj namenjeno varnosti in da deluje bolje kot TOTP? :D :D :D Omg, in danes se cudijo twitterju? SEVEDA SO ZLORABILI TELEFONSKO STEVILKO :D

In potem rekli: "Oh, zasluzili smo goro denarja iz vasih podatkov, tako zelon nam je zal" :)) :)) :)) :)) Bravo, jim samo cestitam, idiote je treba odret, da se spametujejo! Zdaj pa kar razmislite, kje vse ste pustili svojo telefonsko.

Zgodovina sprememb…

SeMiNeSanja ::

filips je izjavil:


Kaj pa če ti ta spletna stran ob registraciji zgenerira certifikat, ki je samo za to splet o stran in ima podatke ki jih določa ti, in potem ti ta certifikat uporabljaš za prijavo?

Nekakšen lastni 'privatni' CA ?
Ne vem, še nisem videl spletne strani, ki bi se šla to foro. Preveč zahtevno za povprečne uporabnike, ki jih moraš potem še učiti kako se prevzame certifikat in kako se ga namesti v ta ali oni brskalnik - na koncu pa ti vse skupaj ne deluje na kakšnem butastem Androidu, kjer večina vsega, kar ni 'google' ne šmirgla interno sistemsko skladišče certifikatov.

Kup problemov, ki jih upravljalec 'navadne' spletne strani ne rabi in ne želi imeti.

Drugače si lahko vsakdo generira zastonjske certifikate za svoje mail naslove, samo kaj, ko imajo zastonjski le 90-dnevno veljavnost, potem pa moraš obnavljat in spet skozi celo proceduro uvoza...

Po domače povedano: neživljenjsko za 'navadno' spletno stran.

Namesto tega se raje poslužijo kakšne od TOTP variant. Če imaš 'taprave znalce' najbrž ne sme biti prehud zalogaj, da implementiraš Google TOTP avtentikacijo.
Malo bolj pestro postane, če bi uporabniki želeli podporo SAML, ki očitno danes velja kot 'premium' oz. 'poslovna' varianta (Google, Dropbox, Linkedin,... kolikor vem, nudijo SAML zgolj uporabnikom z plačljivimi accounti).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Hermit Bob ::

SeMiNeSanja je izjavil:

filips je izjavil:


Kaj pa če ti ta spletna stran ob registraciji zgenerira certifikat, ki je samo za to splet o stran in ima podatke ki jih določa ti, in potem ti ta certifikat uporabljaš za prijavo?

Nekakšen lastni 'privatni' CA ?
Ne vem, še nisem videl spletne strani, ki bi se šla to foro. Preveč zahtevno za povprečne uporabnike, ki jih moraš potem še učiti kako se prevzame certifikat in kako se ga namesti v ta ali oni brskalnik - na koncu pa ti vse skupaj ne deluje na kakšnem butastem Androidu, kjer večina vsega, kar ni 'google' ne šmirgla interno sistemsko skladišče certifikatov.

Kup problemov, ki jih upravljalec 'navadne' spletne strani ne rabi in ne želi imeti.

Drugače si lahko vsakdo generira zastonjske certifikate za svoje mail naslove, samo kaj, ko imajo zastonjski le 90-dnevno veljavnost, potem pa moraš obnavljat in spet skozi celo proceduro uvoza...

Po domače povedano: neživljenjsko za 'navadno' spletno stran.

Namesto tega se raje poslužijo kakšne od TOTP variant. Če imaš 'taprave znalce' najbrž ne sme biti prehud zalogaj, da implementiraš Google TOTP avtentikacijo.
Malo bolj pestro postane, če bi uporabniki želeli podporo SAML, ki očitno danes velja kot 'premium' oz. 'poslovna' varianta (Google, Dropbox, Linkedin,... kolikor vem, nudijo SAML zgolj uporabnikom z plačljivimi accounti).


TOTP ni googlova authentikacija (https://www.nongnu.org/oath-toolkit/). In predvsem noces googla nikjer blizu kakrsnekoli authentikacije (ne njihovega generatorja uporabljat, tule je open source https://github.com/markmcavoy/androidto..., ker je to ravno tako zabito kot, ce das twitterju svojo telefonsko stevilko. Se najmanj pa hoces uporabljati googlov/fb account za authentikacijo kamorkoli drugam ... ostro strmim v slo-tech.

"A TOTP draft was developed through the collaboration of several OATH members in order to create an industry-backed standard. It complements the event-based one-time standard HOTP and offers end user organizations and enterprises more choice in selecting technologies that best fit their application requirements and security guidelines. In 2008, OATH submitted a draft version of the specification to the IETF. This version incorporates all the feedback and commentary that the authors received from the technical community based on the prior versions submitted to the IETF.[3] In May, 2011, TOTP officially became RFC 6238.[1] "

Zgodovina sprememb…

SeMiNeSanja ::

@Hermit - nisi razumel tisto z 'Googlom'

Ti si ciljal na AVTENTIKATOR - jaz pa na BACKEND na strežniku, ki TOTP avtentikacijo sploh omogoči. Nisem web programer, ampak mislim, da je Google dal na voljo neko source kodo, ki jo lahko vsakdo implementira v svojem strežniku.

Avtentikator pa je potem stvar okusa, katerega uporabljaš. Jaz npr. kar WatchGuard-ovega, ki je bolj varen od Google avtentikatorja, pa še bolj fleksibilen je, predvsem pa za mojo rabo podpira AuthPoint push in QR avtentikacijo.

Imaš pa tudi HW token-e, če se ti ne vlači telefona naokoli, ali pa si še na stari Nokiji... Se dobijo za razmeroma ugodno ceno, le količina je običajno problem (če kupiš 1000, so okoli 2-3€, se mi zdi). Dodaten problem je, da ne podpirajo vse platforme hardware token-e oz. TOTP generatorje. Na Google mislim, da že ne moreš vpisati tiste kode od generatorja, da bi ga 'registriral'.

...

Samo res zanimivo, kako vsi Google OTP avtentikacijo takoj zamenjajo z TOTP AVTENTIKATORJEM...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

Hermit Bob ::

SeMiNeSanja je izjavil:

@Hermit - nisi razumel tisto z 'Googlom'

Ti si ciljal na AVTENTIKATOR - jaz pa na BACKEND na strežniku, ki TOTP avtentikacijo sploh omogoči. Nisem web programer, ampak mislim, da je Google dal na voljo neko source kodo, ki jo lahko vsakdo implementira v svojem strežniku.

Avtentikator pa je potem stvar okusa, katerega uporabljaš. Jaz npr. kar WatchGuard-ovega, ki je bolj varen od Google avtentikatorja, pa še bolj fleksibilen je, predvsem pa za mojo rabo podpira AuthPoint push in QR avtentikacijo.

Imaš pa tudi HW token-e, če se ti ne vlači telefona naokoli, ali pa si še na stari Nokiji... Se dobijo za razmeroma ugodno ceno, le količina je običajno problem (če kupiš 1000, so okoli 2-3EUR, se mi zdi). Dodaten problem je, da ne podpirajo vse platforme hardware token-e oz. TOTP generatorje. Na Google mislim, da že ne moreš vpisati tiste kode od generatorja, da bi ga 'registriral'.

...

Samo res zanimivo, kako vsi Google OTP avtentikacijo takoj zamenjajo z TOTP AVTENTIKATORJEM...


Ne ti nisi razumel. OATH standard je stara zadeva in dal sem link na oath toolkit, ki vsebuje pam modul (ja BEKEND!) s katerim lahko vsak salabajzer (se opravicujem, to kar jaz smatram za salabajzerja je danes webshitom (shadowX vprasaj) guru) omogoci totp authentikacijo, ce mu pa ni dovolj, ima zadaj vso podporno kodo. Google je samo izkoristil kar ze obstaja in webshitom prodal zadevo za svojo, za zraven pa se naredil svoj generator, ki verjetno po njegovi stari navadi krade podatke uporabnikom. Nehaj biti pameten in si poglej kaj sem pastal preden pises traktate.

Anyway. Noces googlu zaupati nicesar. Kakor ne kakrsnikoli ameriski firmi, ce ni open source. Sploh pri zadevah, kjer ni za to popolnoma nobene potrebe. Razen, ce si glede varnosti popoln idiot.

Zgodovina sprememb…

MrStein ::

SeMiNeSanja je izjavil:

jaz nebi stavil na tega konja za 'široko uporabo'. Sploh pa ne na straneh, kjer si vseeno želiš vsaj malo zasebnosti, če ne že anonimnost.

Kako je bolje dati jim email in telefonsko?

SeMiNeSanja je izjavil:


Zdaj mi pa reci - ali bi bil TI navdušen, da se moral v Facebook prijaviti z SigenCA certifikatom?

Ne bi mi bilo vseeno, če bi me silili v prijavo na facebook.

Sicer pa nisem predlagal, da "silijo" uporabo x.509. Saj yubikey tudi ne silijo. Ampak komur se zdi, da je bolj varen (beri: kdor ve, da je bolj varen) ga lahko uporablja.


Da nebi mogel več fejkat po dva, tri accounte, kot to počno nekateri?

Ne razumem problema. Aja, da potem ne bi bilo trolov? Hmm, maš prav...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Spura je izjavil:


To ze deluje ce stran to podpira: WebAuthn https://webauthn.guide -> basically ko registiras account ti naredi private-public keypair, ki ga potem uporabljas namesto passworda.

LOL:
The certificate for webauthn.org expired on 6/16/2019.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Hermit Bob ::

MrStein je izjavil:



Da nebi mogel več fejkat po dva, tri accounte, kot to počno nekateri?

Ne razumem problema. Aja, da potem ne bi bilo trolov? Hmm, maš prav...

Ne nima prav. To kar se danes smatra za trole so v veliki meri tudi tisti, ki se ne strinjajo z zabitim enoumjem vecine. Sicer se jih obklada z troli ampak so hudo koristni za druzbo, ker pac niso idioti, kot je vecina druzbenega enoumja danes. Ce jih izgubis, sami ne bojo v nobeni izgubi, ker podajajo znanje idiotom, ki jih ne razumejo, bo pa cloveski napredek postal odvisen od webshitov, techno-hipsterjev in salabajzerjev. Cesar pa kot tehnicni zanesenjak ravno noces. Kar pa ravno debata o oath dokazuje.

Zgodovina sprememb…

MrStein ::

Uf, še en zagovornik trolov. No, pol ni čudno, da smo, kjer smo...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Hermit Bob ::

MrStein je izjavil:

Uf, še en zagovornik trolov. No, pol ni čudno, da smo, kjer smo...

Kjer smo je ravno posledica salabajzerjev, ki mislijo, da razumejo karkoli, pa jim ni nic jasno. Kamor spadas tudi sam. Furas nek brezvezen image, namestoz da bi se poglobil... V karkoli. Homo "sapiens" nismo zato ker se pocutimo pametne. In tega se nisi presegel, si pustis, da ti korporacijski PR pove kaj moras misliti. Good luck.

Lahko pa presezes to in pogledas linke na toolkit, ki sem jih poslal zgoraj. Ni nobene potrebe, da se pridruzis splosni idiokraciji.

Zgodovina sprememb…

SeMiNeSanja ::

Hermit Bob je izjavil:


Ne ti nisi razumel. OATH standard je stara zadeva in dal sem link na oath toolkit,...
.
.
...Google je samo izkoristil kar ze obstaja in webshitom prodal zadevo za svojo, za zraven pa se naredil svoj generator, ki verjetno po njegovi stari navadi krade podatke uporabnikom. Nehaj biti pameten in si poglej kaj sem pastal preden pises traktate.

Torej govoriš o istem, o čemer sem govoril tudi jaz. Sem napisal, da nisem implementator teh jajc na spletnih strežnikih in ne 'programiram' spletnih portalov/backendov. Zato mi je čisto vseeno, ali si je Google stvar (backend) 'prisvojil', ali obstaja že od nevemkdaj, če se ve o čem je govora (eni in isti zadevi po tvoje). Za samo diskusijo 'avtorstvo' backenda nima veze, pri tem pa tudi sam pišeš, da ni 'vprašljiv' (kar se Google kraje podatkov tiče).

Zakaj torej v frontalni napad?

Hermit Bob je izjavil:


Anyway. Noces googlu zaupati nicesar. Kakor ne kakrsnikoli ameriski firmi, ce ni open source. Sploh pri zadevah, kjer ni za to popolnoma nobene potrebe. Razen, ce si glede varnosti popoln idiot.

To pa potem kar lepo razširi, da ni za zaupat ničemur, ne glede od kje firma, ne glede na vrsto source kode. Ko bi ti vedel, kako sem sit pavšalnega nabijanja, da je pa Open Source-u kar slepo za zaupat. Ni večjega kretenizma, kot posiljevanje raje, da je nekaj 'varno' že samo zato, ker je Open Source, posiljevnje z trditvijo, da je ves Open Source "pregledan", itd. itd. Menda nočeš v isto kačje gnezdo fanatikov, v katerem ždi Jype? Širjenje OSS laži namreč ni popolnoma nič manj škodljivo, kot če direktno zaupaš Google&Co.

In ne boš verjel: OGROMNO ljudi zaupa Goole&Co. Koliko jih uporablja njihov iskalnik? Koliko jih uporablja njihove oblačne storitve? Koliko jih uporablja Android?.....?
Tisti ki pa ne uporabljajo Android, pa čepijo na Iphone-u in niso nič na boljšem.

Tvoja paranoja na eni strani ni uravnotežena z enako mero paranoje na drugi strani.

In sploh kaj ima to veze z TOTP klientom, ki ga poganjaš na Androidu?
Google si 'lasti' telefon - kaj ima potem še veze, čigav generator poganjaš na njemu, če Googlu ne zaupaš? Logika?!?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Hermit Bob ::

Lej, boli me k za tebe in vse ostale webshite, ne glede, kaj imate povedati. Razlozil sem od kod prihaja totp, povedal sem od kod prihaja BEKEND (da boste razumeli, pisi kao sto govoris), povedal sem, da nima veze z googlom in kako ga ne uporabljati, z vsemi referencnimi linki in vsem kar lahko potencialnim uporabnikom pomaga - brez googla. Za tvoje neumnosti (pa ni prva) mi po pravici povedano dol visi, je pa tvoje nakladanje se manj koristno od tvojega PRovstva. Pojdi prodajat svoje znanje o topshop proizvodih, dol mi visi zanj in za tebe. Nakladacev sem srecal za nekaj zivljenj prevec.

Zgodovina sprememb…

SeMiNeSanja ::

Hermit Bob je izjavil:

Lej, boli me k za tebe in vse ostale webshite, ne glede, kaj imate povedati. Razlozil sem od kod prihaja totp, povedal sem od kod prihaja BEKEND (da boste razumeli, pisi kao sto govoris), povedal sem, da nima veze z googlom in kako ga ne uporabljati, z vsemi referencnimi linki in vsem kar lahko potencialnim uporabnikom pomaga - brez googla. Za tvoje neumnosti (pa ni prva) mi po pravici povedano dol visi, je pa tvoje nakladanje se manj koristno od tvojega PRovstva. Pojdi prodajat svoje znanje o topshop proizvodih, dol mi visi zanj in za tebe. Nakladacev sem v srecal za nekaj zivljenj prevec.

Ti imaš neke resne probleme....

Samo ne vem, zakaj jih skušaš 'reševati' na meni....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Hermit Bob ::

Whatever. Vedno se najdejo neki salabajzerji, ki bi radi bili pametni in ne poslusajo, kako JE. Pac si nabasal na mino. In kot receno, me boli k.

Zgodovina sprememb…

SeMiNeSanja ::

Hermit Bob je izjavil:

Whatever. Vedno se najdejo neki salabajzerji, ki bi radi bili pametni in ne poslusajo, kako JE. Pac si nabasal na mino. In kot receno, me boli k.

Wtf?

KJE sem JAZ nabasal na kakšno mino?

Torej govoriš o istem, o čemer sem govoril tudi jaz. Sem napisal, da nisem implementator teh jajc na spletnih strežnikih in ne 'programiram' spletnih portalov/backendov. Zato mi je čisto vseeno, ali si je Google stvar (backend) 'prisvojil', ali obstaja že od nevemkdaj, če se ve o čem je govora (eni in isti zadevi po tvoje). Za samo diskusijo 'avtorstvo' backenda nima veze, pri tem pa tudi sam pišeš, da ni 'vprašljiv' (kar se Google kraje podatkov tiče).


Prej bi rekel, da si TI tisti, ki je hotel nekaj ekstra pametnjačiti, pa se na koncu nekako ni izšlo. Zdaj sem pa JAZ kriv?

Kaj vraga je tako težko za kakšno stvar priznat, da si zajebal, se zmotil, da česa ne veš? Poglej gor - JAZ nisem imel problema 'priznati', da ne 'implementiram' backend for in posledično nimam pojma, kdo je 'avtor' tiste slavne 'Google Avtentikacije'.

Itak pa to nima veze z tematiko, ali mojimi trditvami - ki si jih v bistvu iste ponovil za menoj - le z razliko, da si avtorstvo pripisal drugam in se križal pred Googlovim avtentikatorjem, ki je po tvoje najhujše zlo, ki te lahko doleti.

Skratka...kje je zdaj MINA?

Aja.. pa še reklamo sem dela? Za koga Google?
Prej bi rekel, da sem delal reklamo za zdravo pamet in razum.

Glej, če iščeš kreg in provociranje prosim podi drugam. Mogoče pejta z Jype-om eno rundo na kolesu žgat, pa bo tukaj koj manj krega.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

MrStein ::

Hermit Bob je izjavil:

MrStein je izjavil:

Uf, še en zagovornik trolov. No, pol ni čudno, da smo, kjer smo...

Kjer smo je ravno posledica salabajzerjev, ki mislijo, da razumejo karkoli, pa jim ni nic jasno.

Saj to so troli. In njihovi zagovorniki.


Kamor spadas tudi sam. Furas nek brezvezen image, namestoz da bi se poglobil... V karkoli. Homo "sapiens" nismo zato ker se pocutimo pametne. In tega se nisi presegel, si pustis, da ti korporacijski PR pove kaj moras misliti. Good luck.

Uf, za trenutek se je zdelo, da si razumen.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

MrStein je izjavil:


Uf, za trenutek se je zdelo, da si razumen.

Nisi edini, ki mu je nasedel.
Ampak ni vredno zgubljat še dodatnih besed okoli tega. Jih je že bilo preveč.

Drugače ne ne vem, kje si pobral, da raje 'izdam' telefonsko številko, kakor nek (izmišljen/enkratni) mail naslov.

Toda certifikati niso za enačiti z mail naslovi. Nihče se na neko stran za zajebancijo ali zmenkarije ne bo šel prijavljati s svojim 'uradnim' certifikatom, ki ga uporablja za posle z državno upravo, banko, itd. V tem priemru se lahko tudi takoj vpiše z pravim imenom in priimkom, ker se ta informacija nahaja v cerifikatu - v javnem delu in jo lahko prebere vsakdo.
In ravno to bo naredil 'nevešči uporabnik', če mu boš vsilil prijavo z certifikatom. Izdal se bo z imenom, priimkom, 'uradnim' mail naslovom in če se ne motim, je še davčna številka vsebovana v NLB certifikatu. Če pa uporabi certifikat, ki je bil izdan za podjetje, pa bo boleg imena izdal še kje je zaposlen.

Odpri "manage user certificates" (certmgr.msc), pojdi na Certificates-current User/Personal/Certificates in odpri (2x klikni) na certifikat od SigenCA, NLB, PostarCA,... Izberi tab z podrobnostmi in si poglej, kaj piše v Subject polju.

Ko si to pogledaš, ti bo jasno, zakaj nočeš uporabljatu 'uradnih' certifikatov za 'neumnosti'.

"Navadni uporabnik" pa razen teh 'uradnih' niti ne ve, kje in kako dobiti še kakšne 'alternativne'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

MrStein ::

Fant, poznam certifikate. Hvala. Res.

SeMiNeSanja je izjavil:


Drugače ne ne vem, kje si pobral, da raje 'izdam' telefonsko številko, kakor nek (izmišljen/enkratni) mail naslov.

Če bi sledil temi, bi opazil, da je to rdeča nit. Ne nit, točka.
Uporabniki so dali telefonsko. Jaz sem predlagal milijonkrat bolj varno alternativo. Pa tudi zasebno, kakorkoli obračaš.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

@MrStein - kaj pa imaš na veliko za debatirat okoli tega, če je ali pa ni telefonska številka za dajat kar enim internetnim servisom?

To 'rdečo nit' smo razčistili takoj na začetku. Zakaj bi to ponavljali kot pokvarjeno ploščo?

Je pa potem prišel pametni predlog, da naj bi za prijave uporabljali naše certifikate.

Ne vem...praviš da 'poznaš certifikate' - ampak očitno si pozabil na par 'problemčkov' ki jih ti prinašajo s seboj.
Nenazadnje telefonsko številko še vedno lahko zamenjaš. Ime in priimek ter davčno številko (ali celo zaposlitev), kar z 'uradnim' certifikatom razkrivaš, pa ne moreš tako preprosto zamenjati.

Katera varianta je potem bolj 'tvegana'?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

MrStein ::

DŠ razkrije samo AC NLB. Ki je specifičen CA za specifične potrebe. (pa mogoče Pošta(r)CA, odvisno od primera)

Tako da ja: če iščeš dlako, jo najdeš.

Na tak način lahko karkoli označiš za slabo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

In koliko drugih veljavnih osebnih certifikatov še imaš, ki ne razkrivajo tvoje prave identitete?

Sploh veš kje in kako ga dobiti? Kao da 'obvladaš'.... če potem odgovor ne streseš takoj iz rokava, potem ne vem, kako pričakuješ, da bo normalni smrtnik uporabljal certifikate in niti pod razno ne bo 'zamočil' in pomotoma kliknil na napačni certifikat, ko se bo prijavljal na spletišče xy.

Pa še ta namig: certifikat za spletni strežnik ni isto, kot osebni certifikat za npr. mail, podpisovanje,... da ne boš preveč pameten in nakladal, kako jih na letsencrypt za tabo mečejo...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

WhiteAngel ::

MrStein je izjavil:

X.509
It works. It's safe. Nobody uses it.


Meh.. to je iz prejšnjega tisočletja. Pa tako "zakomplicirano" :(

MrStein ::

SeMiNeSanja je izjavil:

In koliko drugih veljavnih osebnih certifikatov še imaš, ki ne razkrivajo tvoje prave identitete?

Cel kup.

In lahko jih kadarkoli kreiram nove.

Sploh veš kje in kako ga dobiti? Kao da 'obvladaš'.... če potem odgovor ne streseš takoj iz rokava, potem ne vem, kako pričakuješ, da bo normalni smrtnik uporabljal certifikate in niti pod razno ne bo 'zamočil' in pomotoma kliknil na napačni certifikat, ko se bo prijavljal na spletišče xy.

Pa še ta namig: certifikat za spletni strežnik ni isto, kot osebni certifikat za npr. mail, podpisovanje,... da ne boš preveč pameten in nakladal, kako jih na letsencrypt za tabo mečejo...

Uf, kaj ko bi se nehal napihovati?

SeMiNeSanja je izjavil:


Zakaj torej v frontalni napad?

Mogoče je čas, da samega sebe to vprašaš...

SeMiNeSanja je izjavil:


Sploh veš kje in kako ga dobiti? Kao da 'obvladaš'.... če potem odgovor ne streseš takoj iz rokava, potem ne vem, kako pričakuješ, da bo normalni smrtnik uporabljal certifikate in niti pod razno ne bo 'zamočil' in pomotoma kliknil na napačni certifikat, ko se bo prijavljal na spletišče xy.

Če bi ti imel pojma o tematiki, bi vedel, da spletišče določi, katere certifikate sprejme, in tako user zelo težko "kline na napačnega". Ker jih ni prikazanih.

Razen tega ti spet predpostavljaš (a sodiš po sebi?) da je večina ljudi trolov in mora skrivati svojo identiteto. Resnica je obratna, večina se trudi, da bi imela prikazano svoje pravo ime, zraven pa še značko "to je preverjeno ta oseba".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

AndrejO ::

Bi vidva počasi nehala? Mislim, da je sedaj že vsem jasno, da sanjajočega ne zanimajo stvari, ki niso "off the shelf", kamniti pa malo preveč hvali pristop, ki ni izpiljen na nivoju "en klik v brkljalniku".

Ker sta to osebni mnenji, kjer je vsakdo utemeljeni upravičen enega ali več njih, iz te poddebate ne bo več nobenega dodatnega izplena ali celo konsenza.

MrStein ::

x.509 ni off the shelf?
Izpiljen sicer res ni.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

AndrejO je izjavil:

Bi vidva počasi nehala? Mislim, da je sedaj že vsem jasno, da sanjajočega ne zanimajo stvari, ki niso "off the shelf", kamniti pa malo preveč hvali pristop, ki ni izpiljen na nivoju "en klik v brkljalniku".

Ker sta to osebni mnenji, kjer je vsakdo utemeljeni upravičen enega ali več njih, iz te poddebate ne bo več nobenega dodatnega izplena ali celo konsenza.

Kje vraga si v vsem zgornjem razlaganju nepraktičnosti z vidika končnega uporabnika pobral karkoli o nezanimanju za stvari, ki niso "off the shelf"?

Če že komentiraš:

a) preberi kaj /zakaj je kdo nekaj napisal / zagovarjal / trdil
b) odgovori konstruktivno / strokovno / argumentirano

Take pavšalne (deloma že na meji žalitve!) komentarje pa si prosim prihrani za kam drugam.

Če ti gre na jetra 'prerekanje', to lahko poveš v enem stavku: "Prosim nehajta se prerekat". Bi imel moje polno razumevanje, ker tudi meni že preseda.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Twitterjev hrošč omogočal pridobivanje osebnih podatkov prek telefonskih številk

Oddelek: Novice / Zasebnost
53470 (2365) MrStein
»

Facebooku pet milijard dolarjev globe in 20 let nadzora

Oddelek: Novice / Tožbe
348572 (6625) Cruz
»

Prispel brezplačen Office za Android

Oddelek: Novice / Pisarniški paketi
4722889 (13770) noraguta
»

Yahoo uvaja šifriranje e-pošte in ukinja gesla

Oddelek: Novice / Varnost
2810808 (8963) Glugy
»

EBA za višjo varnost pri internetnih plačilih v Evropi

Oddelek: Novice / Varnost
55951 (4153) cegu

Več podobnih tem