Tietoturvauutiset ja blogipostaukset


Vielä on tietysti näitä firefox forkkeja, (esimerkkinä vaikka librewolf tai waterfox) joka vastaa vähän tilannetta mikä on chromen puolella ja sen forkeissa. Usein nuo firefoxin forkit on yhden tai muutaman hlö projekteja mutta kyllä se ihan surffaus käyttöön on tosi toimivia. On jätetty firefoxin parhaat puolet ja poistettu huonot. Useimmiten panostettu yksityisyyteen, mutta en noilla kuitenkaan ehkä pankkiyhteyksiä käyttelis kun ovat joidenkin "random" tyyppien tekeleitä? Mutta noitakin toki löytyy kyllä vielä esimerkiksi waterfox joka voi olla selaimen etsijälle kokeilemisen arvoinen.

Firefox on ihan ok selain. Välillä kun sen kehitys ei miellytä voi aina vaihtaa forkkiin.

Mutta jotain vaihtoehtoja sentään vielä onneksi löytyy.
 
Onnistuuko kuitenkaan? Tuossa tekstissä mainitaan, että "Always On VPN activation requires device supervision" minkä tulkitsisin tarkoittavan puhelinten MDM hallintaa mikä yleensä on vain valveutuneilla yrityksillä. Varmaan pääpointti tuossa, että yritykset voi keskitetysti pakottaa firman puhelimien liikenteen menemään keskitetyn palomuurin tmv läpi missä voidaan skannata kaikki puhelinten liikenne ja mahdollisesti ohjata resursseihin mitkä eivät ole julkiverkosta saavutettavissa.

Apple varmaan aika evvk privaatti vpn:ien suhteen.
Mahdollista että tuo Always On VPN ei onnistu.
Itsellä on käytössä Applen laitteissa VPN On Demand eli kun esim. iPhone tipahtaa kodin wifistä niin se ottaa VPN yhteyden automaattisesti tuohon pfSense purkkiin. Sitten kun liittyy takaisin tuohon kodin wifiin niin VPN yhteys menee poikki.
Jos VPN yhteys ei onnistu tuohon pfSense purkkiin niin iPhone yrittää silti koko ajan ja netti on jumissa.

Jotain viritystä löytyy tuohon Always On VPN, mutta ei kiinnosta tarkemmin tutkia. Aika vanha keskustelu.
 
Viimeksi muokattu:
Genshin Impact -pelin mukana tulevaa anti-cheat-ajuria on käytetty osana ransomware-hyökkäyksiä. Peliä ei siis ole asennettu koneelle, vaan hyökkääjä on ohittanut ajurista löytyvän tietoturva-aukon avulla Windowsin ja tietoturvaohjelmistojen suojauksia. Ensimmäiset tietoturvaongelmat tuosta ajurista löydettiin jo vuonna 2020
 
Genshin Impact -pelin mukana tulevaa anti-cheat-ajuria on käytetty osana ransomware-hyökkäyksiä. Peliä ei siis ole asennettu koneelle, vaan hyökkääjä on ohittanut ajurista löytyvän tietoturva-aukon avulla Windowsin ja tietoturvaohjelmistojen suojauksia. Ensimmäiset tietoturvaongelmat tuosta ajurista löydettiin jo vuonna 2020
Liikaa valtaa selkeästi annettu anticheat työkaluille ja peleille vaatia semmoisten asennuksia.
 
LastPassin lähdekoodia ym. sisäistä dataa on varastettu työntekijän toimesta. Salasanat tai käyttäjien data ei ole silti vaarantunut:

Avoimen koodin sovelluksissa ei onneksi ole vastaavaa vaaraa ;)
 
LastPassin lähdekoodia ym. sisäistä dataa on varastettu työntekijän toimesta. Salasanat tai käyttäjien data ei ole silti vaarantunut:

Avoimen koodin sovelluksissa ei onneksi ole vastaavaa vaaraa ;)

Just puoli vuotta sitten siirryin Lastpassista Bitwardeniin kun alkoi tuo firman turvallisuuskulttuuri näyttää niin kuppaiselle :redface:

Vaikka tuolla ei ilmeisesti missään vaiheessa VIELÄ ole tullut mitään kriittistä vuotoa, niin ei kerro oikein hyvää puljusta että joka vuosi pääsee uutisiin jonkun murron kanssa. Ja mun mielestä se sama master passu sekä tietokantaan että foorumille oli aika paska moka, ja firman vastine siihen ei mitenkään sellainen kuin olisi toivonut.
 
Chromium-pohjaiset selaimet antavat nettisivujen kirjoittaa tekstiä leikepöydälle käyttäjän tietämättä.

Chrome allows websites to write to the clipboard without the user's permission
Steps to reproduce:
1. Visit Web Platform News in a Chromium-based browser
2. Inspect your clipboard (paste it somewhere)

Commitin mukaan myös leikepöydän lukeminen onnistuu salassa.
 
Pitäisikö joitain tulla leikepöydälle (edgellä)?

Pitäisi. Itsellä ainakin tulee seuraava teksti Chromella ja Edgellä:
"Hello, this message is in your clipboard because you visited the website Web Platform News in a browser that allows websites to write to the clipboard without the user’s permission. Sorry for the inconvenience. For more information about this issue, see Interoperability issue: `navigator.clipboard.write()` and `navigator.clipboard.writeText()` user gesture requirement · Issue #182 · w3c/clipboard-apis."

Edge näyttäisi olevan versiota: Version 104.0.1293.70 (Official build) (64-bit)

Tuo nyt ei sinällään ole pahakaan juttu. Enemmän huolestuttaa tuo, että lukeminen onnistuu ilman käyttäjän toimia. Useasti kun tulee kopsailtua vaikka mitä tietoa leikepöydälle salasanoista lähtien.
 
Mikä lienee syynä tähänkin tunarointiin. Joku voisi väittää, että Google haluaa harjoittaa tällaistakin urkintaa, ja on lisännyt tuollaisen ominaisuuden kaikessa hiljaisuudessa suosituimpaan selainmoottoriin.
 
Jos jokin adblockeri tai muu laajennus estää JavaScriptin suorittamisen sivulla, silloin tietenkään mitään ei tapahdu myöskään leikepöydälle.
Adbock hajosi jo IE:n aikana, ei liene tässä koneella kuin hosts tiedosto, joss on reippaasti tavaraa..
Ehkä se ei toimi windows 7:ssa?
-------------------------------
Koitin uudestaan. Nyt siten, että leikepöydällä oli valmiiksi tavaraa, sitten toimi.
Onko niin, että jos leikepöytä on tyhjä, niin tuo ei jostain syystä toimi?
 
Adbock hajosi jo IE:n aikana, ei liene tässä koneella kuin hosts tiedosto, joss on reippaasti tavaraa..
Ehkä se ei toimi windows 7:ssa?

Ei pitäisi olla kiinni käyttöjärjestelmästä, vaan selaimesta ja sen versiosta. Ehkä sinulla on käytössä vanhempi versio jossa tuota ongelmaa ei ole.
 
Kesäkuussa tullut tuo tuo muutos, joten jos ei ole ihan uusi versio Edgestä, tuota ominaisuutta ei ehkä ole siinä.

Commit-tiedoissa muuten mainitaan:

author Anupam Snigdha <snianu@microsoft.com>

Eli Microsoftko se tätä ominaisuutta onkin halunut? :smoke:
 
Eli menin sinne ja koitin sitten pasteta notepadiin.. Ei mitään.
Kokeile refreshata sivu. Mulla ei kans Vivaldilla tullut mitään leikepöydälle kun avasin tuon linkin uuteen tabiin ja avasin sen tabin. Piti F5:sta painaa niin sitten tuli se teksti leikepöydälle.

Askel askeleelta mennään siihen, että kohta ei uskalla nettiä selata ollenkaan.
 
Testasin kanssa Chromella ja Edgellä niin teksti tuli leikepöydälle :facepalm:
Microsoft Edge Version 104.0.1293.70 (Official build) (64-bit)
Google Chrome Version 104.0.5112.102 (Official Build) (64-bit)

Tuon yllä olevan linkin keskustelussa mainittu, että joku lisännyt uBlockin filttereihin seuraavan
*##+js(acis, navigator.clipboard)
Lisäsin tuon AdGuardiin niin ei ainakaan Edgen kanssa tule leikepöydälle tekstiä.

Tuolla nyt ei ole itselle väliä kun Safari käytössä. Tuli vain testattua testikoneella, jossa Windows 11, Edge ja AdGuard.
 
Viimeksi muokattu:
Tuon yllä olevan linkin keskustelussa mainittu, että joku lisännyt uBlockin filttereihin seuraavan
*##+js(acis, navigator.clipboard)
Lisäsin tuon AdGuardiin niin ei ainakaan Edgen kanssa tule leikepöydälle tekstiä.

Tuolla nyt ei ole itselle väliä kun Safari käytössä. Tuli vain testattua testikoneella, jossa Windows 11, Edge ja AdGuard.

Kiitti. AdGuardiin tuo ja toimi. W11 ja Vivaldi
 
Kannattaa sitten varmaankin unohtaa koko saitti, jos puuhaa jotain epämääräistä leikepöydän kanssa..
Mistä keksit, että tekee jotain epämääräistä leikepöydän kanssa? Eikä ole kyse mistään ihan pikkusaitista. Joidenkin statsien perusteella paljon suositumpi kuin esim. joku aika iso Evernote.com. En lähtisi jakelemaan tuomioita saiteille yhden lavean blokkisäännön takia.
 
Mistä keksit, että tekee jotain epämääräistä leikepöydän kanssa? Eikä ole kyse mistään ihan pikkusaitista. Joidenkin statsien perusteella paljon suositumpi kuin esim. joku aika iso Evernote.com. En lähtisi jakelemaan tuomioita saiteille yhden lavean blokkisäännön takia.
Ei sillä ole väiliä, miten suosittu joku sivu on. Se voi jokatapauksessa puuhailla epämääräisiä asioita tai voi olla paskasti tehty ja aiheuttaa pahimmillaan esim tietoturvan vaarantumisen.
 
Samsung on kokenut jonkinlaisen tietovuodon:


 
Siihen tahtiin on kyllä isoja firmoja korkattu tässä lähiaikoina että taitaa alkaa olla aika normi touhua nää korkkaukset johan pitä ävaan tottua.
 
Siihen tahtiin on kyllä isoja firmoja korkattu tässä lähiaikoina että taitaa alkaa olla aika normi touhua nää korkkaukset johan pitä ävaan tottua.
Jep, vuosia ollut jo se tilanne, että firmat on todennäköisemmin korkattu kuin ei. Kaikki eivät vain ole tietoisia, että heidät on korkattu.
 
Jotain häikkää Microsoftilla Defender päivitysten kanssa.
Joo tänään hetikun puolenpäivän aikaan käynnisti koneen niin rupes tuleen ilmoituksia, olen nyt hetkellisesti korjannu ongelman asentamalla AVG free version.


Tuossa versiossa tuo päivitys tullu joka sen aiheuttaa
 
Jotain häikkää Microsoftilla Defender päivitysten kanssa.

Ongelmaan julkaistu päivitys. (1.373.1537.0)

Update 6:47 PM EST:
Microsoft has released Microsoft Defender security intelligence update version 1.373.1537.0, which from reports, appears to resolve the Win32/Hive.ZY false positive experienced by Windows users today.
You can follow the instructions at the end of this article to update to this version.

Update 9:25 PM EST:
Microsoft shared the following statement with BleepingComputer:
"We have released an update to address this issue and customers using automatic updates for Microsoft Defender do not need to take additional action." - a Microsoft spokesperson.
In addition Microsoft shared that enterprise customers managing their updates should ensure they are using detection build 1.373.1537.0 or newer.

 
Ei nyt ihan tietoturvajuttu, mutta sivuaa aihetta kuitenkin: Turussa on kähvelletty yleisavain, jota käyttämällä pääsee useimpien taloyhtiöiden yleisiin tiloihin.


Onkohan se ihan asianmukaista ja tarpeellista, että tällainen yleisavain on ylipäätään olemassa?
 
Onkohan se ihan asianmukaista ja tarpeellista, että tällainen yleisavain on ylipäätään olemassa?
On, esim. pelastuslaitos saattaa tarvita, ei tarvitse rikkoa paikkoja päästäkseen vaikka sammuttamaan paloa. Luulisin. :hmm:
Noissakin kai on erilaisia toteutuksia. Mekaaninen avain, joka sopii lähes koko kaupunkiin on hieman heikolta tuntuva idea.
 
Ei nyt ihan tietoturvajuttu, mutta sivuaa aihetta kuitenkin: Turussa on kähvelletty yleisavain, jota käyttämällä pääsee useimpien taloyhtiöiden yleisiin tiloihin.


Onkohan se ihan asianmukaista ja tarpeellista, että tällainen yleisavain on ylipäätään olemassa?
Sille on hyvä syynsä. Taloyhtiöissä/julkisissa rakennuksissa on putkilukko tai useampi avainsäilöille, jonka sisällä on yleisavain kaikkii teknisiin ja/tai yleisiin tiloihin. Tuota avainta käyttää mm. pelastuslaitos, sähköyhtiöt ja operaattorit tai heidän alihankkijansa.

Tuo kadoksissa oleva avain on siis yleisavain näille putkilukoille eikä suoraan kaikkiin noihin alueen taloyhtiöiden lukkoihin. Aiheutti kyllä aikoinaan itsellä pientä stressiä avaimista, että pysyy avainnippu tallessa.
 
Viimeksi muokattu:
On, esim. pelastuslaitos saattaa tarvita, ei tarvitse rikkoa paikkoja päästäkseen vaikka sammuttamaan paloa. Luulisin. :hmm:
Noissakin kai on erilaisia toteutuksia. Mekaaninen avain, joka sopii lähes koko kaupunkiin on hieman heikolta tuntuva idea.
Sille on hyvä syynsä. Taloyhtiöissä/julkisissa rakennuksissa on putkilukko tai useampi avainsäilöille, jonka sisällä on yleisavain kaikkii teknisiin ja yleisiin tiloihin. Tuota avainta käyttää mm. pelastuslaitos, sähköyhtiöt ja operaattorit tai heidän alihankkijansa.

Tuo kadoksissa oleva avain on siis yleisavain näille putkilukoille eikä suoraan kaikkiin noihin alueen taloyhtiöiden lukkoihin.

Käteväähän tuollainen tietysti on, mutta sitä voi sitten miettiä, onko se kätevyys riskien arvoista. Ehkä onkin. Sähköyhtiöillä ja operaattoreilla olisi kyllä yleensä aikaa odottaa isännöitsijää. Pelastuslaitoksella on kiire, mutta onko ulko-oven rikkominen sitten kovin paha juttu tulipalon rinnalla?
 
Käteväähän tuollainen tietysti on, mutta sitä voi sitten miettiä, onko se kätevyys riskien arvoista. Ehkä onkin. Sähköyhtiöillä ja operaattoreilla olisi kyllä yleensä aikaa odottaa isännöitsijää. Pelastuslaitoksella on kiire, mutta onko ulko-oven rikkominen sitten kovin paha juttu tulipalon rinnalla?
Nykyään näissä on ainakin Tampereella ja Helsingissä sähköistä avainta vaativa putkilukko. Avain ladataan kuukauden välein, jos laturille ei pääse ei avain toimi.
 
Pelastuslaitoksella on kiire, mutta onko ulko-oven rikkominen sitten kovin paha juttu tulipalon rinnalla?
Nuo kai käyvät yleensä kaikkiin tiloihin, asuntoja lukuun ottamatta, eli esim. kellarit, jotka saattaa olla useamman raskaan oven takana.

Mutta en tosin näistä tiedä enempää kuin mitä kommentteja nyt lukenut ja aikoinaan talon kokouksessa tätä asiaa sivuttiin. Asiasta tietävät jatkavat.
 
Käteväähän tuollainen tietysti on, mutta sitä voi sitten miettiä, onko se kätevyys riskien arvoista. Ehkä onkin. Sähköyhtiöillä ja operaattoreilla olisi kyllä yleensä aikaa odottaa isännöitsijää. Pelastuslaitoksella on kiire, mutta onko ulko-oven rikkominen sitten kovin paha juttu tulipalon rinnalla?
Sitä odottelua tulisi kohtuuttomasti jollekkin operaattorin alihankinta asennus kaverille, jos jokaisessa kohteessa joutuu venailemaan isännöitsijää. Minuutti aikataulua kun ei etukäteen voi tehdä.
 
Käteväähän tuollainen tietysti on, mutta sitä voi sitten miettiä, onko se kätevyys riskien arvoista. Ehkä onkin. Sähköyhtiöillä ja operaattoreilla olisi kyllä yleensä aikaa odottaa isännöitsijää. Pelastuslaitoksella on kiire, mutta onko ulko-oven rikkominen sitten kovin paha juttu tulipalon rinnalla?
Sähköyhtiöiden ja operaattoreiden työntekijöitä voi olla yllättävänkin paljon liikenteessä varsinkin kaupungeissa. Hukattua työaikaa voi kasaantua aika paljon riskiin nähden ja se onko isännöintiyhtiöillä riittävästä työntekijöitä juoksemassa ympäri kaupunkia. En kyllä uskalla sanoa.

Joskus muistan, että joutunut odottamaan isännöitsijää tai huoltoyhtiötä kun jossain ei ollut putkilukkoa, niin kyllä siinä aikaa meni aikaa hukkaan aika paljon. Olen siis käyttänyt tällaisia avaimia joskus lähes 20 vuotta sitten.
 
Nykyään näissä on ainakin Tampereella ja Helsingissä sähköistä avainta vaativa putkilukko. Avain ladataan kuukauden välein, jos laturille ei pääse ei avain toimi.
Juu, onneksi nuo ovat siirtymässä noihin sähköisiin avaimiin. Ensinnäkin avain tosiaan pitää olla aktiivinen, lukkoon jää jälki millä avaimella on avattu ja nykyään putkilukkoon laitetaan monesti jo mikrokytkin joka antaa ilmoituksen eteenpäin kun putkilukko avataan joten ihan salassa noita ei enää pääse räpeltämään. Toki noissa vanhoissa tavallisen avaimen kohteissakin tuo mikrokytkin putkilukossa auttaisi jo paljon, kiinteistöhuolto, vartiointiliike tai joku mu taho saisi aina ilmoituksen kun putkilukkoa käytetään niin päästäisiin aika äkkiä jäljille että joku asiaton on käynyt paikalla.
 
Sähköyhtiöiden ja operaattoreiden työntekijöitä voi olla yllättävänkin paljon liikenteessä varsinkin kaupungeissa. Hukattua työaikaa voi kasaantua aika paljon riskiin nähden ja se onko isännöintiyhtiöillä riittävästä työntekijöitä juoksemassa ympäri kaupunkia. En kyllä uskalla sanoa.

Joskus muistan, että joutunut odottamaan isännöitsijää tai huoltoyhtiötä kun jossain ei ollut putkilukkoa, niin kyllä siinä aikaa meni aikaa hukkaan aika paljon. Olen siis käyttänyt tällaisia avaimia joskus lähes 20 vuotta sitten.
Juu, itsekin aikanaan asentajana ollessani olen monesti odotellut "ikuisuuden" kun asiakas ei olekaan muistanut järjestää kulkua kaikkiin paikkoihin kun joku huoltomies tulee toiselta puolelta kaupunkia avaamaan ovea. Voisin sanoa että alle puolen tunnin ei paljon voi laskea tuota menetettyä työaikaa, kyllä siinä aina vähintään sen verran kesti kun joku tuli jostain availemaan ovia. Kyllä noihin itselläkin tuhrautui turhaa odotteluaikaa varmaan työpäivän verran vuodessa.
 
Onkohan se ihan asianmukaista ja tarpeellista, että tällainen yleisavain on ylipäätään olemassa?
On, turvallisuus juttu.

Avaimia tarvitsevalla ei tarvitse olla kuin yksi tai muutama avain, helpompi, turvallisempi hallita, helpompi, turvallisempi pitää ajantasalla.
Ja katoamistapauksisa varsinkin, helpompi ja halvempia päivittää. Riskikohteissa joissa tärkeää suojata, niin voidaan nopeasti tiedon saatua putki tyhjentää , tai niiden voimassa olo katkaista.

Putkilukon avaimen hallinta voi olla moderni, vaikka itse putkessa olevat avaimet olisi vanhoja. Eli toimii vanhoissa että moderneissa.

Yllättävän vähän aikaa on siitä kun eräässä taajamassa uutisointien mukaan katosi viranomaispuolen (* avain, "karmeus" oli siinä että se mekaaninen avain itsessään oli yleisavain joka oli varsin laajasti toimiva mm alueen kerrostaloissa.


(*
Mielikuva että pelastupuolella.
 
Operaattorien ja sähköyhtiöiden työntekijät voisivat tietysti ilmoittaa isännöitsijälle ennakkoon, että oven avaus tarvitaan. Ylimääräinen odotus sitten laskun loppusummaan.

Sähköinen avain ja oikeuksien hallinta on tähän tarkoitukseen ihan hyvä juttu. Nähtävästi Turussa ei vielä sellaista harrastettu.
 

Statistiikka

Viestiketjuista
259 109
Viestejä
4 502 251
Jäsenet
74 329
Uusin jäsen
Bopperhopper

Hinta.fi

Back
Ylös Bottom