Siitä salaamattomasta SMTP:stä puuttuu authentikaatio. Joka tekee siitä aivan naurettavan helposti spoofattavan. Eli se salaamaton SMTP ei todellakaan toimi aivan hyvin, jonka takia siitä on pyritty pääsemään eroon.
SMTP-protokollassa ei tietenkään ole mitään autentikaatiota, koska sitä käytetään sähköpostiviestien lähettämiseen vastaanottavalle palvelimelle ja niitä viestejä on tarkoituskin pystyä vastaanottamaan keneltä tahansa. Spooffaukseen tai sen helppouteen autentikaation puutos ei liity mitenkään. Spooffauksen voi estää liittämällä itse viestiin digitaalisen allekirjoituksen ja/tai käyttämällä itse viestissä päästä päähän salausta, kuten tuossa edellisessä viestissäni jo kirjoitin. Protokollan tasolla se spooffauksen estäminen ei ole mitenkään mahdollista, koska lähtökohtaisesti sen kummemmin palvelin kuin viestin lähettäjäkään ei ole luotettu.
SMTP-protokollaan on lisätty authentikaatio, ja se on aikalailla ainoa tapa miten SMTP:tä enää käytetään. Ainakin jos puhutaan mistään rehellisistä toimijoita, eikä mistään spammereista. Spooffauksen esto on erittäin olennainen syy käyttää tuota authentikaatiota.
Muuten kyllä, mutta SMTP Auth ei suoraan liity siihen saako joku palvelin lähettää viestejä jonkin toisen domainin nimissä. Kirjautumista käytetään palvelimen ja clientin välillä, jotta kuka tahansa ei voisi lähettää viestejä minkä tahansa SMTP-palvelimen kautta (ns. open relay). Lisäksi viestin lähetys tietyn palvelimen kautta on yleensä rajattu myös IP-osoitteiden perusteella.
Muuten kyllä, mutta siihen on lisätty vuosien varrella monenlaista lisätoiminnallisuutta.
Ei, se ei ole yleistä kuin niiden virheellisesti konfiguroitujen ja/tai muuten vain huonosti ylläpidettyjen palvelinten kohdalla ja sellaiset onkin syytä kitkeä pois verkosta samalla tavalla kuin muutkin haittaa aiheuttavat rikkaruohot.
Miksi toimiva pitäisi vaihtaa?
Ei kyse ole mistään huonosti ylläpitämisestä tai vääristä asetuksista. Google ja Microsoft yrittävät monopolisoida koko sähköpostiprotokollan itselleen ja järjestelmällisesti hankaloittavat pienemmistä sähköpostipalveluista lähetettyjen viestien vastaanottamista ja niihin viestien lähettämistä omista palveluistaan. Pienempiä palveluntarjoajia lisäillään mustille listoille älyttömistä syistä. Sähköpostin koko perusidea on alusta asti ollut, että kuka tahansa voi perustaa oman sähköpostipalvelimen ja käyttää sitä sähköpostin lähettämiseen ja vastaanottamiseen, eikä sähköposti voi toimia niin, että "mukaan päästäkseen" pitää jo valmiiksi olla jossain luotettujen toimijoiden listalla. Ja oikeastaan sama filosofia pätee koko internettiin.
Ei toimivaa pidä vaihtaa. SMTP vaan ei ole enää toimiva nykypäivän vaatimuksia ajatellen ja siksi sitä on paranneltu vuosien varrella kaikenlaisilla päälleliimatuilla vippaskonsteilla, jotka eivät kuitenkaan korjaa kokonaisuutta. Tuo kysymyksesi on vähän sama juttu kuin ihmettelisi, että miksi SMS ei riitä kaikkeen. SMTP:lle ei vaan ole vielä sitä kaiken korjaavaa vaihtoehtoa.
Tämä oli ihan omaa höpöhöpöäsi. Ei kyse ole mistään Microsoftin tai Googlen salaliitosta. Ne nyt vaan ovat niin merkittäviä toimijoita, että niiden tekemisillä on oikeasti merkitystä ja siksi niitä pyydetään myös ottamaan kantaa tähän(kin) asiaan laajemmin, jotta kaikilla olisi Internetissä parempi olla. Ja on niitä muitakin isoja toimijoita.
Millä vuosituhannella oikein elät?
HTTPS = Hypertext Transfer Protocol Secure
en.wikipedia.org
Tuskin tällaiset tänne valittamalla korjaantuvat. Ota yhteyttä sinne koulun tukeen.
Veikkaan että vika ei ole postipalvelimessa, vaan jossakin muualla. Ensimmäisenä tulee mieleen, että voisiko tuo toimia niin, että opettaja lisää oppilaan kurssille/luennolle ja systeemi lähettää kaikista tapahtumista automaattisesti viestin seuraavana yönä tms? Tässäkin kannattaa olla yhteydessä sinne koulun tukeen.
IMAP ei tue kaksivaiheista autentikointia. Jos ja kun organisaatio vaatii sen käyttämistä, kuten nykypäivänä pitääkin, niin ei ole järkevää jättää porsaanreiäksi tällaisia legacy-protokollia.
Kyllä nuo viestit ainakin näyttävät ihan manuaalisesti lähetetyiltä.
Ei tuo koulun Exchangen käyttöliittymä ole ollenkaan tuon näköinen.
Ei Savonia käytä kaksivaiheista autentikointia. Ja kyllä sen saa IMAPiinkin esim. kertakäyttöisten salasanojen kautta, jos välttämättä haluaa. Mutta ihan käyttäjänimellä ja salasanalla tuolla mennään.
Eri versioissa se näkymä luonnollisesti vaihtelee, mutta kyllä ne headerit on kaikissa OWA-versioissa päässyt jotain kautta näkemään. En osaa tarkemmin ottaa kantaa siihen mikä versio siellä Savoniassa on käytössä ja miltä se näyttää.
OK, omituista jos eivät käytä kaksivaiheista tunnistusta, varsinkin kun vastahan sinne 1,5v sitten murtauduttiin.
Kertakäyttöinen salasanalista on aivan hyvä ja toimiva kaksivaiheisen tunnistuksen muoto, vaikka se ei sinunlaisille kelpaakaan, kun pitäisi ilmeisesti olla joku helvetin kännykkä-äppi.
Niin, ja sinulle sopii ne kertakäyttösalasanalistat, huolimatta siitä, että ne ovat kömpelöitä ja vanhanaikaisia, eikä sellaisia käytännössä mikään nykyaikainen järjestelmä taustalla enää tue ja vaikka tukisikin, niin sellaisilla virityksillä menee helposti rikki monta muuta toiminnallisuutta, kun eri järjestelmät käyttävät taustalla yhtä ja samaa identiteettipalvelua.
Tämä on sinun mielipiteesi, ei faktaa. Ja kun ottaa huomioon vastahakoisen suhtautumisesi tässä ja muissa ketjuissa kaikkeen uuteen teknologiaan, tai ylipäätään siihen mikä ei miellytä nimenomaan sinua konservatiivisten tottumustesi kautta, niin se asettaa kyseenalaiseen valoon nämä muutkin väitteesi.
Se vasta olisikin verovarojen tuhlausta, jos oppilaitoksen kaikki tietojärjestelmät rakennettaisiin ja ylläpidettäisiin alusta saakka itse. Se että kaikki ei ole kertalaakista valmista, on pieru saharassa.
Sieltähän se taas tuli. Eli ongelma on siinä, että pitäisi olla päätelaite, johon pitää asentaa joku sovellus. Eiköhän tuo vaatimus ole ilmaistu jo siinä vaiheessa, kun olet sinne kouluun hakenut opiskelemaan. Miten tämä alkaa vaikuttamaan siltä, että olet opiskelemassa vain jotta saat uuden syyn valittaa jostakin?
Zoomissa on oma sisäinen päivitysmekanisminsa. Jos olet kirjautunut sovellukseen, se osaa tilanteesta riippuen pitää aiemmin avatun session voimassa päivityksen aikana. Ei tässä ole mitään erityisen poikkeavaa.
Tottakai se ostetaan kolmannelta osapuolelta. Sehän sen auditoinnin idea juuri on, ettei sitä tehdä itse, vaan sen tekee joku asiaan tarkemmin vihkiytynyt kolmas osapuoli. Raporttia en ole nähnyt, enkä osaa ottaa siihen kantaa, mutta sinä ilmeisesti olet nähnyt sen ja siinä olevat "täydet pisteet", vai kuinka? Oliko siinä raportissa jotain todellista kritisoitavaa ja jos oli, niin mitä?
Varmaan helvetin raskasta, kun kaikki on niin selvää itselle ja kaikki muut tekevät ja ajattelevat kaiken koko ajan väärin? Peilin paikka?
IMAPissa(portti 143) salasanat liikkuu salaamattomana, että todellakin kyseessä on turvaton protokolla.
Tietty tarkkuus on paikallaan, mutta googlasin esimerkiksi muutamia sivuja, joissa oli IMAP-asetuksista ohjeita ja minusta IMAPS ei ole kovin vakiintunut käsitteenä, vaikka onkin ollut käytössä. Kun puhutaan IMAP-asetuksissa, ohjeissa kuitenkin oli oletuksena SSL tai TLS käytössä ja portti 993. Tämä speksihän on ikivanha, joten olen aika yllättynyt, jos viimeisen 20 vuoden aikana joku on käyttänyt salaamatonta IMAPia.
Eipä tuota voi maksumuurin takaa lukea.
Digitalisaation vastenmielisimpiä piirteitä on se, että ihmiset de-facto pakotetaan käyttämään jotain härpätintä tai teknologiaa vastoin tahtoaan. Ei kännyköitä ollut koskaan tarpeen pakottaa ihmisille, vaan niitä hankittiin, koska ne koettiin äärettömän käteviksi ja hyödyllisiksi. Nykyään on pitkälti menty siihen, että eläminen ilman älypuhelinta ja/tai sirukorttia on jotakuinkin haasteellista.
yle.fi
Voidaanko sitten myös hinnoitella nuo palvelut siten, että ne vastaavat sitä käytettyä teknologiaa?Digitalisaation vastenmielisimpiä piirteitä on se, että ihmiset de-facto pakotetaan käyttämään jotain härpätintä tai teknologiaa vastoin tahtoaan. Ei kännyköitä ollut koskaan tarpeen pakottaa ihmisille, vaan niitä hankittiin, koska ne koettiin äärettömän käteviksi ja hyödyllisiksi. Nykyään on pitkälti menty siihen, että eläminen ilman älypuhelinta ja/tai sirukorttia on jotakuinkin haasteellista.
Pitäisi olla ihmisen oma valinta, mitä maksaa käteisellä, mitä kortilla ja milloin käyttää jotain puhelinsovellusta mutta yhä useammin pakotetaan johonkin tiettyyn. Esimerkiksi joukkoliikenteen käyttäminen käteisellä alkaa olla melkoinen temppurata. Miten nykyään edes ostetaan junalippu rahalla?
Teknologian pakottamisesta seuraa, että ihmiset joutuvat käyttämään järjestelmiä, joiden riskiprofiilia ei ymmärretä. Yleensä neuvontakin loppuu siihen, miten jotain käytetään ja riskeistä on paljon vähemmän puhetta. Käteisen riskit on aika helppo hallita mutta entä sitten, kun vaikka pankki on kännykässä? Tämä johtaa esim. tällaisiin tragedioihin:
On väärin, että pienen tekniikkahölmöilyn seurauksena menettää kymppitonneja mutta on myös väärin, että pankki on joutumassa maksumieheksi.Huijari vei pariskunnalta kymmeniä tuhansia euroja, pankki syytti uhreja – nyt oikeus määräsi pankin maksajaksi
Pankki kieltäytyi hyvittämästä nettihuijarin viemiä rahoja honkajokelaiselle Sivulan pariskunnalle. Käräjäoikeus asettui asiassa uhrien puolelle.
Olen itse sitä mieltä, että teknologiaa on voitava käyttää huolettomasti eikä siihen saa silti liittyä esim. talouteen tai henkilöllisyyteen liittyviä olennaisia riskejä. Hivenen kuitenkin epäilen, että järjestelmissä on ihan tarpeeksi haasteita saada ne ylipäänsä toimimaan. Silloin turvallisuus voi käytännössä jäädä 2nd tier ominaisuudeksi, ja sitä todennäköisemmin mitä pienemmästä toimijasta on kyse.
No kaikkien hinnat nousevat koko ajan muutenkin jos et ole huomannut.. Jotain se teknologian kehittäminen ja käyttöönottokin on maksanut. Miksi käteisellä maksavat joutuvat maksamaan teknologian pakotuksesta?
Niin ja se teknologian käyttöönotto maksetaan kyllä niillä lipputuloilla. Mutta yleensä ne otetaan käyttöön siksi, että niillä voidaan säästää rahaa pitkällä juoksulla.
Teknisissä systeemeissä on erittäin pahoja ja kalleitakin puolia.
Itse käytin aiemmin pääkaupunkiseudulla satunnaisesti julkista liikennettä kun sellasen käyttömahdollisuus osui kohdalle. Pari kolikkoa taskusta ja muutaman kilometrin kävely vaihtui bussi- tai ratikkakyytiin, tai pidemmällä matkalla oma auto jäi juna-aseman parkkiin ja meninkin junalla. En enää, vaan omalla autolla. En ala ylläpitää mitään akkusyöppöä pieruappia muutaman satunnaisen käyttökerran vuoksi. Kokeilin, ja aina kun se satunnainen tarve iski kohdalle sovellus halusi päivittää itsensä, jumitti tai milloin mitäkin ja se sauma sitten meni sitä odotellessa. Kolikot pysyvät taskun pohjalla ja ne vaihtuvat tarvittaessa dieseliin.
Olen myös todistanut useamman kerran kun pankin virkailija kirkkain silmin kehuu, että ei tarvi välittää tietoturvasta tuon taivaallista, kun pankki kyllä korvaa aina jos tililtä katoaa rahat (tai credit-kortilla tulee ostettua hämärämiesten kaupasta). Aivan - pankki korvaa ja pankki laskuttaa kaiken kyllä asiakkailtaan yhteisvastuullisesti. Helppohan tuollaisia on luvata, kun itsellä ei ole mitään vastuuta.
Tuolla asenteella kuljettaisiin edelleen hevosilla ja teollistuminen olisi jäänyt kokonaan väliin. Vaikka kaikki ei ole uudessa teknologiassa aina täysin aukotonta, niin kokonaisuudessa mennään kuitenkin vähän kerrassaan käytettävämpään, helpompaan ja tehokkaampaan toimintamalliin. Se on selvä, että aina on muutama änkyrä, jotka eivät halua tai kykene omaksumaan mitään uutta, mutta ei niiden vuoksi voi jättää kehitystä väliin.
Esim. maksamisessa nyt on hiukan hankala sanoa, mikä on hevosvankkureita ja mikä nykyaikaa, kun nykyaikaiset pankkikortit kyllä uusitaan muutaman vuoden välein ja samalla voidaan päivittää uusimmat sirut ja algoritmit sisään, joten tietoturva ei nyt hirveästi ehdi hapantua. Jos S-kaupassa maksaa älykännykällä, jäävät maksutapaedut saamatta, mistä tulee kuluja asiakkaalle. Puhelimien ohjelmistoja päivitetään vain jonkin aikaa, joten maksaminen puhelimella on kaiken kaikkiaan paljon kalliimpi systeemi. Sama pätee älykelloihin. Korttien lähimaksuun verrattuna myös käyttöergonomia voi olla heikompi ainakin kännykällä. Parikin kertaa lounasjonossa on tullut vastaan noita, kun maksavat älylaitteella ja sitten "pahoittelevat", että joo sori tämä maksaminen on nyt taas vitun hidasta ja hankalaa kun on tämä tonnin tai kahden vuosittain uusittava älykello. Sori siitä. Takana tulevat odottavat toki erittäin mielellään, että kallis mikropeniksen kompensointilaite lähtee taas pelittämään.
Joopa joo. Kenelle se on kalliimpi? Millainen puhelimella maksaminen on kalliimpaa? Lähimaksaminen? Appi-maksaminen, kuten HSL?
Vaikka sulla olisi työnantajan 100% maksama 3000 euron premium-luuri, niin luultavasti maksat siitä verotusarvon mukaisesti. Laitapa samalla linkki siihen älypuhelimeen, jonka valmistus on halvempaa kuin massatuotettu muovikortti.
Laitapa uudempaa infoa jos tiedät: Google Payllä maksat ostokset kätevästi Android-puhelimella. En ole tämän tiedon jälkeen seurannut tosin kehitystä.
Käteiselle tai pankkikortille niin ei onneksi olisi voinut käydä.
Jos mulla on 3000 € puhelin, jota tarvitsen joka tapauksessa, niin tietenkin sillä maksaminen on noin laskettuna halvempaa kuin ylimääräisellä, erikseen maksamista varten tehdyllä muovikortilla. Odotin hieman enemmän.
Sulle se 3000 euron puhelimen omistaminen on no-brainer kun työnantaja ostaa sen. Miesvaltaisen vientiyrityksen taseessa joku 3000 euroa vuodessa per työntekijä on pyöristysvirheen pyöristysvirhe. Tulospektrin toisessa päässä taas eletään tyhmäpuhelimella tai vuosia vanhalla Androidilla, josta näyttö on halki ja jonka ohjelmiston tuen loppumisesta kirjoitetaan varoitusartikkeleita iltapäivälehtiin.
Miksi ihmeessä vastaat jos et tajua mikä ero on bonuksilla ja maksutapaedulla?
Edelleen odotan näyttöä väitteelle "maksaminen puhelimella on kaiken kaikkiaan paljon kalliimpi systeemi. "
Tässä käsi pystyyn, en tosiaan tiennyt tuollaisenkin härvelin olemassaolosta. Saati että se olisi merkittävä millään mittarilla. Tai varsinkaan ostajan hyväksi.
Minä olen maksanut jo vuosien ajan ihan kaikki pienet ja isot ostokset puhelimella. Lompakkoa en kuljeta mukana lainkaan muualla kuin autossa ja sielläkin vain ajokortin vuoksi. Kaikista tuhansista maksukerroista ongelmia on ollut ehkä 10 kertaa ja silloinkin niin, että maksu on mennyt läpi uudella yrityksellä, tai sitten on ollut valittuna väärä kortti tms. Tämä ei tietenkään tarkoita, etteikö jollakulla toisella voisi olla enemmän ongelmia, mutta kertoo se kuitenkin siitä, että parhaimmillaan se nimenomaan juuri on helppoa, nopeaa ja turvallista.
S-ryhmän maksutapaetu on 0,5% ostoksista. Jos ostaa keskitetysti ruoat ja polttoaineet hulppeasti 2000 eurolla kuussa, niin maksutapaetua voi saada sitä S-Pankin fyysistä korttia käyttäen 10€/kk. On olemassa ihmisiä, jotka eivät suostu vähentämään pullopalautuksiakaan kauppalaskusta, kun se vähentää bonusten määrää parilla sentillä. Tälle ihmisryhmälle tuo kymppi on ylittämätön kynnys.
Voi tästä keskustella ilman että pilkkaa saitoja ihmisiä. Ihan normaalille 500 eur/kk S-kauppaan pistävälle perheelle maksutapaetu on 30 eur/vuodessa. Joo ei paljon, mutta aika häviäjäasenne ajatella, että nämä on niin pieniä rahoja, että mieluummin ne lahjoittaa ison kasvottoman firman johtajille ökyveneilyyn. Samoin pullonpalautusten miinusvaikutus voi olla rapajuopolle pikkurahoissa näkyvä erä. Joku 20-30 eur/vuodessa on varmaan aika lähellä sitä mitä keskimääräinen asiakas saisi maksutapaetua ja kun asiakkaita on esim. puolet suomalaisista, on se merkittävä tulonsiirto. Ihan mielellään tuollaisista himmeleistä luopuisi, jos kauppa jotenkin tilittäisi rahat asiakkaille parempina hintoina, mutta aikamoisessa utopiassa saa elää, jos näin kuvittelee. Nythän Lidlkin on alkanut rakennella omia bonus-systeemejään. Tuossa maksutapaedussa on vielä se logiikka taustalla, että ei sitä voi virtaviivaistaa pois, kun osa transaktioista maksaa kaupalle enemmän, kun vastapäässä ei ole oma pankki.
Miten se hoituu kätevämmin digitaalisesti (btw, se korttikin on digi)?
Jos et huomannut, kirjoitin pitkän vuodatuksen, joka on ihan tositarina miten älypuhelimeen luottamisesta voi tulla ongelmia. En minä mitään satuile. Jos vaikka menen matkalle ja selaan puhelinta pitkin päivää, puhelimen akku voi olla aika finaalissa jossain kohtaa. Miksi ihmeessä ehdoin tahdoin haluaisin riippua akkua tarvitsevasta puhelimesta, kun kortin kanssa ei ole mitään ongelmaa? Tässä tuntuu ettei mikään esimerkki käy digipöhisijöille. Jos olisin ottanut esimerkiksi vaeltamisen Lapissa, minulle varmaan suositeltaisiin 10 kilon varavirtalähdettä reppuun ettei vaan missään nimessä tarvitsisi turvautua korttiin, kun siellä Abiskon kylämarketissa ostaa rakkolaastaria ja ruisleipää.
On olemassa ihmisiä, joille ei satanenkaan ilmaista rahaa ole mitään. Omalla kulutusprofiililla keikutaan siina 4% ja 5% rajalla vihreän ketjun bonuksissa. Joskus on jopa käynyt pullopanttien kanssa niin, että olisi jäänyt ylempi bonusraja rikkomatta, jos olisi vähennetty ostoksista. Sitten puhutaan jo euroista, ei senteistä
. Mieluummin ostan vaikka jotain suoratoistopalvelua, kuin suotta lahjoitan maksutapaedut ja pullobonukset S-ketjulle.
Housuissa muljahtelevat kivekset, työnantajan hankkimat tuhansien eurojen älykellot ja -puhelimet, 10 kilon varavirtalähteet ruotsalaisen kyläkaupan varalta... Melkoinen värisuora hypoteettisiä ongelmatilanteita.
Työnnän oma lusikkani soppaan ja totean että ainakin omalla kohdalla puhelin on kätevöittänyt montaa asiaa ja jotain kolikoita ei ole ollu varmaan kymmneen vuoteen enää taskuissa, saatika seteleitä. Kaikki hoituu digitaalisesti ja hyvä niin.
Väärä viittaus.
Tästä ollaan ihan samaa mieltä. Kolikot ja setelit kuulostavat omaan korvaan tosi vierailta kun kortilla tullut maksettua varmaan viimeiset 20 vuotta lähes pelkästään. Kyllä kaapissa muutama keltainen Forexin muovipussi on muistona. Korteissakin on ongelmansa ja tosi hyvä, että kohokuviot ja magneettinauhat ovat poistuneet tietoturvasyistä. Se jäljelle jäänyt sirukortti on kuitenkin ihan kelvollinen väline ja minulle ei ainakaan aukene, mitä sillä mentaalisella akrobatialla saavuttaa, että väittää jotain akkuvirtaa vaativaa paremmaksi joka tilanteessa (idealtaan samankaltaisia korttejahan on kännykän SIM-korttinakin). Tämä on kuitenkin teknologiapainotteinen palsta. Vai onko niin kova tarve runnoa läpi oma mielipide kasvojen menetyksen pelossa, että mikään muu ei vaan käy kun kerran otettu joku positio asiaan.
