Miten vaikeaa on opettaa turvallista toimintaa tavallisille käyttäjille?

Sep 03 2010

Taas on löytynyt uusi malware, vähän erilainen tällä kertaa. Rogue:MSIL/Zeven tunnistaa käyttäjän selaimen ja näyttää aidon näköisen virheraportin (esim. tällainen Chromelle). Ei ole mikään yllätys, että luultavasti valtaosa luottaa virheilmoitukseen, koska selain on kuitenkin asia, johon lähtökohtaisesti on pakko pystyä luottamaan. Ratkaisuna tietenkin olisi, että virheilmoitukset eivät olisi nettisivujen näköisiä, mutta ongelmana on, että nettisivuksi voi toteuttaa hyvin monen näköistä uskottavasti ja helposti.

Ongelma on varsin hyvin tunnettu: tavalliselle käyttäjälle annetaan tarpeellisina/pakollisina ohjeistuksina niin paljon erilaisia asioita, että kukaan ei muista kaikkea. Koska ei voida olettaa asioiden ymmärtämistä (“miten toimii HTTP” (“mikä on HTTP”), “mikä on DNS” jne.), tarvitaan sääntöjä, joita noudattamalla voi ainakin valtaosan ajasta selvitä ongelmitta. Joskus oli “jos osoitepalkissa lukee https, kaikki on hyvin”. Pahikset alkoivat käyttää https-sertifikaatteja. “Jos osoitepalkissa lukee https ja paypal, kaikki on hyvin” (Paypalia käyttäessä), pahikset rekisteröivät vaikkapa domainin trusted.com ja linkittivät osoitteeseen https://paypal.trusted.com/ . Osoitepalkissa näkyi https, paypal ja lukon kuva, jonka takaa löytyy info siitä, että SSL-sertifikaatti on aivan kunnossa.

Surullinen totuus: en itse osaa ehdottaa mitään ratkaisua asiaan, niin kauan kuin Internet pysyy avoimena. Paremmalla käyttöliittymäsuunnittelulla (ja paremmilla käyttöjärjestelmillä ja paremmalla ohjelmoinnilla ja paremmalla laadunvalvonnalla ja paremmalla testauksella ja …) voi siirtää osaa ongelmista hieman eteenpäin, mutta vain vähän. Ratkaisu olisi esimerkiksi luotettava autentikointi internetissä: kukaan ei voi pitää palvelinta, jos ei ensin rekisteröi sitä hallitukselle tai vaikkapa Verisignille, joka ei ikinä tekisi mitään väärää tai pahaa, ja toimisi aina oikein. Ja oikeus pitää verkkosivua voitaisiin helposti poistaa, ja käyttöehtojen noudattamista valvottaisiin. Tervetuloa poliisivaltioon, jossa sensuuri on voimissaan vaikkapa lapsipornofiltterinä, jonne päätymisestä valittaminenkin on tuskan takana.

Ei kommentteja

Lissabonissa

Aug 31 2010

Käytiin Lissabonissa jo hetki sitten (20.-25.8.). Otin läjän kuvia.

Mahdollisesti paras löytö oli maatalousministeriön järjestämä ilmainen viininmaistelu. Saatavilla oli iso valikoima viinejä kolmelta alueelta: Vinho Verdestä, Alentejosta ja Bairradasta (12,14 ja 20 kartalla). Yhdellä kertaa sai maistaa neljää viiniä, kahdestaan käydessä sai kahdella kerralla näppärästi 16 eri viiniä. Lähinnä oli melko erikoisia viinejä, mitään ei jäänyt mieleen erityisen positiivisena.

Jos aikoo tehdä vain yhden asian Lissabonissa, kannattaa mennä ratikalla (28e tai 12e). En olisi uskonut, että ratikalla pääsee sellaisia mäkiä.

Muita käymisen arvoisia paikkoja oli mm. Oseanaario (oceanarium, merimaailma, miten ikinä kannattaisikaan kirjoittaa), Bélem (sunnuntaisin 10-14 kaikkialle ilmainen sisäänpääsy) ja Hard Rock Cafe (vain hyvässä seurassa).

Ei kommentteja

Paypal

Aug 28 2010

Kuten valtaosa varmaan tietää, paypal on huisin kätevä rahanvälityspalvelu internetissä. Paypal on siitä jännä, että se herättää hyvin paljon ristiriitoja ihmisten mielipiteissä ja uskomuksissa.

Nyt on vuosi 2010, mutta neljä vuotta sitten oli iso säätö, jossa Paypal lupasi parantaa tiedotusta ja valitusten käsittelyä. Sitä ennen Paypal oli huonossa maineessa kohtuullisen pienestä määrästä absurdeja tapauksia, joissa ihmisiä tippui mielivaltaisesti limboon, josta rahoja ei saanut takaisin.

Nyt kun etsii internetistä esim. “paypal froze my account”, löytyy mainioita sivustoja, jotka näyttävät ulkonäkönsä puolesta lähinnä huijaukselta: esimerkiksi tämä, tämä ja tämä. Kaikki on rekisteröity anonymisointipalvelun kautta, ja kaikki tarjoavat tätä hyvinkin vakuuttavan näköistä maksunvälityspalvelua “hyväksi vaihtoehdoksi”. Kaikilla on vaikka muille jakaa samanlaisia huonolla englannilla kirjoitettuja “tein kaiken oikein mutta rahani vietiin”-juttuja, joiden todenperäisyyttä on mahdoton varmistaa mitenkään.

Selvästi kilpailijan pystyttämien sivujen lisäksi löytyi esimerkiksi consumeraffairs.comin listauksia Paypaliin liittyvistä valituksista. Heti ensimmäisenä on huikea tarina, joka nyt vaan on pakko pasteta kokonaan:

My son sold his PS2 game system to a person in Nigeria, the transaction went through PayPal. I was very skeptical but when PayPal sent me a e-mail stating they had the money and needed a tracking number to forward it into my account I mailed off the package. I gave them the tracking number and was told I’d have the money in 24 hrs. It was not there. When I called them I was told the money had never been placed into any account including theirs. I contacted the buyer and realized I was scammed. I blame PayPal since they informed me they already had the money. It seems PayPal’s policy is somewhat different from what they’re telling you in their emails to you. Don’t use this disservice!

Lopputuloshan ei ole mitenkään hauska (menetti PS2:n eikä saanut rahoja), mutta tarina on kyllä hauska. c’moon, nigerialainen haluaa ostaa PS2:n. “Paypal” ilmoittaa sähköpostilla ja pyytää postin seurantanumeron. Myyjä uskoi kaiken mitä sähköpostilla saapui, eikä vaivautunut käyttämään vaikkapa viittä minuuttia Paypalin infojen lukemiseen ja tietojen tarkistamiseen (paypalissa kaikki odottavatkin maksut näkyvät tilin tiedoissa). Tosin Playstation 2:n hinnat liikkuvat 40$ tienoilla, joten menetyskään ei ole valtava. Muutenkin ylläolevasta listauksesta löytyvistä tarinoista iso osa on ainakin osittain aivan roskaa.

I sold and mailed over 20 items in quick succession when PayPal imposed an account limitation without any prior warning or attempt to contact me with their concerns.

Ongelma on dokumentoitu ja perusteltu. Toki varoitus voisi olla kiva, mutta “quick succession” (raja 1700£ = 2000€) voi korujen kanssa olla varsin nopeasti.

I have been using PayPal to collect payment for a home business for 15 years now.

Umm, ainakin Wikipedian mukaan Paypal on ollut olemassa vuodesta 2000, ja sen edeltäjätkin vuodesta 1998 ja 1999.

Yksi kommentti

Lissaboniin

Aug 20 2010

Tätä lukiessanne olemme jo iloisesti Lissabonin viileässä auringossa. Ennuste lupaili hulppeaa 32°C, johon on kyllä jo Suomessakin tottunut. Hotellissa on ilmastointi, joten yöunien kanssa ei pitäisi olla ongelmaa. Osoittautuu, että Frankfurtin kentällä (parin tunnin vaihto molempiin suuntiin mennessä) olisi ollut Diner’s Clubin lentokenttälounge. Ei käyty katsomassa, ei ollut pukuja (“Dress code applies”) ja unohtui toinen kortti kotiin.

Ei kommentteja

Vanhemmat »