25 juuli, 2014

Mis saab Google kontost peale sinu surma

Vaikselt ja peaaegu märkamatult on Google lisanud oma konfiguratsiooni võimaluse mõjutada, mis juhtub Google kontoga peale sinu surma. Ameerikalikult ollakse rõvedalt poliitkorrektsed ning nimetatakse seda seadistust - "Passiivse konto haldur." Pole ime, et sellise nimetuse alt ei pruugi normaalselt mõtlev eurooplane üles leida võimalusi seadistamaks Google kontot, enda surma korral. Sest olgem ausad - ainuke reaalne vajadus, miks sa vajaksid passiivsele kontole haldurit on juhul, kui sa oled surnud, pikaks ajaks vanglas või röövitud kusagil konfliktipiirkonnas. Normaalse inimesega ei juhtu teine ja kolmas variant kuigi sageli, küll aga 100% kindlusega juhtub esimene lahendus. Kunagi.

Passiivse konto haldur võimaldab määrata, mis juhtub teie kontoga kui te ei kasuta seda teatud aja (teie määratud aeg 3 kuust kuni 18 kuuni) jooksul. Enne konto üleandmist saadetakse ka teie lisameiliaadressile või telefonile märguanne kontrollimaks, kas te ikka olete kindel, et see funktsioon aktiveeritakse.

Seejärel on võimalik seadistada kuni kümme inimest, kellele antakse üle teie kontoga seonduvad materjalid, kui nad seda peaks soovima. Oluline on ka mainida, et passiivse konto haldurit ei teavitata sellest enne, kui konto loetakse passiivseks. Soovitav on oma väljavalituid siiski sellest teavitada, selleks et nad üleandmise kirja kogemata maha ei kustutaks. Ühtlasi saate panna peale ka automaatvastuse, mida hakatakse saatma kõigile, kes teiega ühendust proovivad saada.

Lisaks eelnimetatule saate määrata ka, et kõik teie kontoga seonduvad materjalid kustutatakse peale konto deaktiveerimist.

Ühesõnaga, tegu on väga kasuliku lahendusega, mida tulevikule mõtlev inimene peaks kasutama. Nii ei jää sinu digitaalne jalajälg internetti laokile peale sinu surma.

Seega, mine ja tee see asi Google Settingust korda.

Loodan, et sellised lahendused jõuavad peatselt ka teiste platvormide (Facebook, Twitter, jne) praktikasse.

24 juuli, 2014

Waze kui reklaamikanal Eestis

Olen pikaajaline navigeerimisrakenduse Waze kasutaja. Siiani polnud ma märganud, et Eestis kasutaks keegi ka Waze-i kui reklaamikanalit. Hoolimata sellest, et võimalus selleks on olemas kaua aega ning ka Waze kasutajaid on Eestis päris märkimisväärselt.

Lähenedes Tartule, märkasin uut moodi ikooni keset Tartu linna. See oli McDonaldsi märk, mis oli ilmunud teiste, tuttavamate ikoonide sekka.
Klikkides märgil avanes reklaambänner, mis pakkus kohest võimalust koostada marsruut ja minna kohale. Kindlasti oleks huvitavam olnud, kui koos sõidujuhistega oleks bänneril olnud ka mingi meelitav eripakkumine, miks kohale tulla. Samas, vaadates pilti ning arvestades, et olin väga näljane oli mul väga suur kiusatus ka reaalselt kohale minna.
Ilmselt võib lähiajal Waze kasutamist reklaamikanalina kohata järjest sagedamini. Seda eelkõige toitlustusasutuste, poodide aga kindlasti ka autoremondi töökodade poolt. Loodame, et seda põnevat kanalit reklaamiga üle ei koormata.

Uuendatud 24.07

Täna tekkis nimetatud ikoon jälle ja sain lähemalt uurida. Eripakkumised on täitsa olemas, kuid läti keeles. Pakkumise (Specials) vaba tõlge eesti keelde oleks järgmine - Maitse, mis kunagi ei maga. Kuna reklaam on läti keeles ja Läti McDonald's teeb sarnast kampaaniat siis eeldan, et reklaam on sattunud kogemata eesti kaartile, või püütakse sellega Lätist tulevaid turiste. Alltoodud kolm pilti iseloomustavad, mis juhtub, kui reklaamil vajutada nuppu i .






11 juuli, 2014

Elisa iseteeninduse turvalisuse paha praktika


Elisa iseteenindusse MobiilID-ga sisse logides avaneb kummaline nähtus, mida võib nimetada turvalisuse pahaks praktikaks. MobiilID üks turvalisuse tagavatest elementidest põhineb asjaolul, et audentimisel näidatakse sisselogitaval lehel (arvutis) ning eraldiseisval seadmel (mobiilis) kontrollkoodi. Kontrollkoodid peavad olema identsed ja koosnevad neljast numbrist. Kontrollkood võib olla seega vahemikus 0000-9999, ehk 10 000 erinevat võimalust.


Selline lähenemine aitab tagada, et kurja ja karvase käega häkkeril (V. Praust™) on tunduvalt keerulisem trikitada ja petta kasutajat, suunates teda audentima vale veebilehekülje vastu.

Proovisin 10. minuti jooksul järjepidevalt siseneda Elisa iseteenindusbüroosse. Mulle pakutud kontrollkoodid olid alljärgnevad:

1709
1783
1615
1585
1864
1743
1740
1704
1890
1606
1795
1567
1695
1696
1705
1547
1732
1775
1568
1619
1642
1632
1549
1604
1613

Ilmselt, ei ole vaja väga tähelepanelikku silma, et märgata teatavat mustrit:
  • esimene number on alati üks
  • teine number on 5-8
Seega kasutusel on 10000 võimalikust kontrollkoodist ainult 400 koodi, ehk 4% kõigist võimalikest kontrollkoodidest. Tegin korduvalt katseid ka teise brauseriga ning teisel kellaajal, kuid eelnimettaud kaks omapära jäid kehtima.

Miks see nii on, ei oska öelda. Ilmselt on tegu mingi tarkvaraarenduse käigus tekkinud veaga või piiranguga, mis on peale pandud ajutiselt ning ununenud muuta.

Kas see on kriitiline turvaauk?

Ei ole. Antud juhul pole tegu turvaauguga, kui kindlasti lihtsustab selline kontrollkoodi omapära võimalikke potentsiaalseid ründeid, mistõttu tuleks see kiiremas korras parandada.


Edastasin teavituse antud postituse kohta ka Elisale ja Serifitseerimiskeskusele.

Täiendus 18.07.2014

Nüüd, kui postitusest on nädal aega möödas saan öelda järgmist. Elisa teavitas mind esmaspäeval (14.07) automaatteavitusega, et "Seoses päringute mahuga lõplik vastus viibib." Uut, täiendavat vastust ei ole laekunud. Reedel iseteenindussüsteemi testides tuvastasin, et olukord on jätkuvalt nagu kirjeldatud.

Sertifitseerimiskeskus vastas mulle esmaspäeval (14.07). Kuna nende vastus oli huvitav siis toon olulisema siinkohal ka välja. Nimelt moodustatakse MobiilID kontrollnumber e-teenusepakkuja ja Sertifitseerimiskeskuse poolt genereeritud numbritest. Kusjuures esimesed kaks numbrit loob teenusepakkuja (antud juhul Elisa) ja viimased kaks Sertifitseerimiskeskus. 

Ka teavitas Sertifitseerimisekeskus, et nad on sarnasest olukorrast teadlikud, ning on kirjeldanud seda ka SK aastakonverentsil (Slaidid on siin (https://www.sk.ee/upload/files/AK2013_Urmo%20Keskel.pdf) ja salvestus siin (https://soundcloud.com/sertifitseerimiskeskus/urmo-keskel_l-petamata). Ajaliselt tutvustab Urmo muret salvestusest ~18:30 ajal.). 

Sertifitseerimiskeskus andis teada, et peale kollektiivpuhkust suhtlevad nad ka ise Elisaga, kui selleks ajaks  see probleem juba Elisa poolt parandatud pole.

Täiendus 31.07.201428. juuli teavitas Elisa kirja teel, et viga on nüüdseks parandatud. Ka reaalsed katsed iseteenindusega näitasid seda ja tundub, et süsteem töötab nii nagu see peaks toimima. Täna helistati ekstra Elisast ja tänati sellele asjale tähelepanu osutamast ning ühtlasi sooviti mind tänada Elisa meenega, mis on minu poole teel. Väga meeldiv neist ja kindlasti 5+ käitumine klienditeeninduse seisukohalt.