»

Bizaren hrošč pri Amazonu omogoča prijavo z napačnim geslom

Heise - Na Redditu so odkrili bizaren hrošč v Amazonovem sistemu za prijavo, ki omogoča prijavo tudi z variantami gesla. Hrošč se pojavi le v primeru, da uporabnik svojega gesla v zadnjih letih ni spremenil. Takrat se upošteva le prvih osem črk gesla, ostanek pa je lahko povsem naključen, pa bo Amazon še vedno pustil prijavo. Hrošč tudi pokvari razlikovanje med velikimi in malimi črkami, tako da je prijava mogoča s poljubno kombinacijo. Testi na Heise so pokazali, da so ranljiva gesla, ki so bila starejša od enega leta, čeprav nekateri problema niso mogli ponoviti niti s starejšimi gesli. Rešitev je zelo enostavna: ob zamenjavi gesla, četudi ga zamenjate z istim, hrošč izgine.

14 komentarjev

Profiliranje uporabnikov brez piškotkov

ComputerWorld - Piškotki (angl. cookies) so znan način za identifikacijo in sledenje uporabnikom na spletnih straneh, ki omogoča izboljšavo uporabniške izkušnje. Vsaka stran lahko, če imate brskalnik tako nastavljen, na vašem računalniku ustvari majhno datoteko ali piškotek, s katerim vas vsakokrat prepozna (dokler ga ne izbrišete ali pa poteče). Z njihovo uporabo vam Slo-Tech vsakokrat pokaže, katere teme v forumu ste že prebrali in v neprebranih nariše slavno rdečo črto. Toda tudi brez piškotkov in celo pri uporabi posredniškega strežnika, ugotavlja raziskava (PDF-datoteka) organizacije Electronic Frontier Foundation, vaš brskalnik pušča prstne odtise.

Brskalniki namreč vedno v splet pošljejo informacije o naloženem operacijskem sistemu, jeziku, verziji...

27 komentarjev

Analiza slovenskih gesel

Infosec.si - Gorazd Žagar je na svojem blogu Infosec.si tokrat objavil zanimiv prispevek o geslih, ki jih za različne internetne storitve izbiramo uporabniki.

Na spletu najdemo kar nekaj analiz gesel, vendar gre večinoma zgolj za gesla iz angleškega govornega področja. Gorazd Žagar pa je tokrat pripravil analizo gesel slovenskih uporabnikov. Seznam zajema skupno 55.096 gesel, pridobljenih v letih od 2001 do 2006 iz različnih virov.

Najpogostejše slovensko geslo je 123456, precej pa jih vsebuje tudi lastna imena. Vsekakor gre za zanimivo analizo, ki kaže na pogoste napake uporabnikov pri izbiri gesel, zato si jo vsekakor velja ogledati.

39 komentarjev

Osem milijonov poizvedb lokacije v letu dni

Wired News - Bloger in aktivist za večjo zasebnost Christopher Soghoian se je prikopal do zanimivih informacij o sledenju uporabnikom s pomočjo njihovih mobilnih telefonov. Odkril je, da so med septembrom 2008 in oktobrom 2009 pri operaterju Sprint Nextel oblastem kar osemmilijonkrat posredovali zemljepisne koordinate zahtevanega telefona. Še več, obstaja namreč portal, kjer lahko policija vpiše številko in avtomatično dobi koordinate.

Predstavnik podjetja za stike z javnostmi je takoj začel miriti javnost, da številke niso tako ogromne, kot se zdi na prvi pogled. Ni šlo namreč za osem milijonov naročnikov, marveč mnogo manj številk. Kot pravi, se številka hitro nabere, saj gre za posamezne poizvedbe, ki se seveda večkrat nanašajo na isto številko, ki jih policija sledi tudi več...

28 komentarjev

Čitalec prstnih odtisov na USB

The Register - Podjetje Lexar je predstavilo zanimivo napravo, ki združuje dve funkciji. Prva je precej običajna, naprava se namreč obnaša kot USB flash pomnilnik, druga pa je bolj neobičajna - JumpDrive TouchGuard zna namreč z uporabo posebnega senzorja prebrati prstni odtis, medtem ko priložena programska oprema poskrbi za shranjevanje do 200 uporabniških imen in gesel, do katerih nato dostopa na podlagi prebranega prstnega odtisa. Tako lahko, na primer, shranite uporabniško ime in geslo za dostop do Slo-Techa, nakar ko odprete stran, položite prst na biometrični čitalec in priložena programska oprema poskrbi, da se uporabniško ime in geslo znajdeta na ustreznem mestu. Napravica deluje na Windows 2000 in XP in podpira 256-bitno kodiranje podatkov.

Za podrobnejši opis novosti odsurfajte sem.

29 komentarjev

Biometrija na letališčih

Slashdot - Kot poroča CNN, so v ZDA začeli s tim. Registered Traveler programom, ki potnikom, ki veliko potujejo z letalom, omogoča, da se identificirajo s pomočjo biometrije in se tem izognejo dolgotrajni letališki kontroli.

Morda uporabno, ne pa nujno tudi varno, kajti kot je v svoji magistrski nalogi z naslovom Liveness Detection in Fingerprint Recognition Systems ugotovila Marie Sandström, je mogoče čitalce prstnih odtisov prevarati. Svojo tezo je preverjala na CeBIT-u na devetih različnih sistemih, preiskusa pa ni prestal nobeden od njih.

Bo visoka tehnologija postala obvezna veščina teroristov prihodnosti?

5 komentarjev

OperacijskiSistem 2008: Please laugh in!

The Register - Biometrija -- biološka statistika. Pri IT pod tem pojmom mislimo predvsem na proučevanje telesnih atributov in njihovo izkoriščanje v namene sledenja in avtentikacije uporabnikov. Človeštvo obvladuje prstne odtise, očesne mrežnice, bedna gesla 'admin' in osebno zaupanje, sedaj pa se jim pridružuje še glas -- vendar tokrat na veliko nižji ravni.

Govorim o programu SoundHunter, katerega namen je sledenje uporabniku in prijava v sistem, še preden uporabnik sam sploh doseže ciljni računalnik. Pri tem pa ne bi bilo nič zanimivega (kaj šele vrednega omembe ;)), če ne bi delovalo na principu prepoznavanja smeha kot gesla in analize korakov, na podlagi katere si sistem predstavlja gibanje osebka v prostoru in ga avtomatično prijavi v računalniški sistem, kateremu je najbližji oz. h kateremu je napoten. Zanimivo? TheRegister!

1 komentar

MPAA: pričakujte naše odvetnike

The Register - TheRegister zopet poroča o nadvse zanimivem primeru ustrahovanja malega človeka. Represivne težnje tokrat izraža ameriški filmarski krožek, MPAA, ki od Laurenca Skegga zahteva prepustitev domene www.ratednc-17.com, češ da si lastijo pravice do blagovne znamke in posledično tudi domene.

Pri tem gre po mnenju pisca predvsem za blefiranje (beri: korporacija proti malemu kmetu), saj navajajo nemalo neresnic. Tako ga obtožujejo namernega izkoriščanja priznane blagovne znamke (za katero sam še nikoli nisem slišal) v komercialne namene (fante na strani poganja -- osebni dnevnik), povrhu vsega pa celo namigujejo, da proti njemu morda -- ako jim domeno prepusti zelo hitro -- ne bodo vložili tožbe, v kateri bi lahko zahtevali izplačilo 100.000 ameriških zelencev (nepomembna podrobnost: fante ni Američan, ampak Anglež--). Vsekakor zanimivo branje.

11 komentarjev

RIAA: Zakon je zakon. Mi ga bomo upoštevali.

The Register - RIAA -- nas s svojimi izjavami preseneča. Redno. Tokrat pa je prišlo že do tako humoresknih izjav, da sem novico, ki jo je objavil TheRegister, preveril še na drugih spletiščih -- da, deluje avtentično.

Pretekli teden sem bolj v šali kot zares zapisal, kakšnih metod bi se RIAA v svojem legitimnem boju proti nelegalninam lahko poslužila. Očitno pa resnica ni daleč.

Kakor med drugim poroča tudi New York Times, naj bi vrli krožkarji spletnim uporabnikom ponudili kar 3 trojanske konje, vsi pa so povezani z grobim posegom v uporabnikovo koriščenje računala, ako program zazna prisotnost nelegalno pridobljenih glasbenih datotek. Prvi naj bi tako uporabnike usmerjal na strani, kjer je moč povsem zakonito kupovati glasbo; 'freeze' za nedoločen čas (minute -- ure?) zamrzne računalo, s čimer se ob trdem resetiranju pojavi riziko izgube podatkov. Tretji Zlobjek™ preišče trdi disk in izbriše sumljive datoteke -- problematično je le to, da njegov algoritem za ločevanje med legitimno in...

34 komentarjev

Zob za zob, email za email...

The Register - Obstajajo ljudje, katerih zgodbe o uspehu so prav zavidanja vredne, a je kaj zanimivo opažati njihovo reakcijo, ko se znajdejo na drugi strani -- internetne povezave.

Alan Ralsky je takorekoč zaslužil milijone s svojim biz-om: pošiljanje milijarde neželjene elektronske pošte dnevno. [Članek si -- prosim lepo -- preberite. Morda dobite idejo za modifikacijo svoje sobe [>:D].]

Vprašanje pa je, kako mu bo T1 pomagal sedaj, ko so ga Zli in Jezni uporabniki pričeli prijavljat na vse mogoče spamerske sezname. Verjetno bolj malo -- se je pa odločil za tožbo teh spletnih neotesancev. TheRegister.

2 komentarja