Parannusboksi

[bitofhope]

Zertap tuossa väitti, että »[e]letään nyt kuitenkin emoji[-]aikaa». Itse en ollut huomannut siirtymistämme uuteen historialliseen aikakauteen, mutta sen sijaan olen ollut huomaavinani, että Maailmanverkko siirtyy hiljalleen kohti TLS-protokollan suosimista. Esimerkiksi Danbooru tukee TLS:ää [tēälässǟ] jo oikein sujuvasti.

Haluaisiko joku selittää, kuinka paljon pelkkää HTTP:tä parempi HTTP:n ja TLS:n yhdistelmä oikeastaan on?

Itseni kaltaisen foliohatun mielestä huomattavasti, siinä määrin että mielestäni HTTP ilman TLS:ää voitaisiin mm. Let's Encryptin olemassa ollessa kokonaan deprekoida.

TLS (Transport Layer Security) on siis SSL (Secure Sockets layer) -salausprotokollan uudempi versio. Usein TLS:stäkin puhuessa käytetään termiä SSL, sillä erot ovat lähinnä protokollatasolla, eivätkä vaikuta paljon ylläpitäjän tai käyttäjän toimintaan. TLS- tai SSL-salatusta HTTP-protokollasta käytetään nimeä HTTPS. Pähkinänkuoressa ajatuksena on, että HTTPS-verkkoliikenne on on salattu palvelimen ja asiakasohjelman (tässä tapauksessa yleensä www-selain) välillä. Ulkopuolinen hyökkääjä voi nähdä kommunikaation päätepisteiden IP-osoitteet (ellei tätäkin kierretä esim TOR-verkon avulla) mutta ei sisältöä. Esimerkiksi Danboorua TLS:n yli selaillessani internet-palveluntarjoaja tietää minun yhdistävän IP-osoitteeseen 67.202.114.133 tai 67.202.114.134 ja nimipalvelin (yleensä vakiona internet-palveluntarjoajan operoima) tietää kyseessä olevan danbooru.donmai.us, mutta sivun URL ja data ovat luettavissa ainoastaan kommunikaation päätepisteissä, palvelimella ja minun koneellani.

Käytännössä HTTP/2 -protokolla (HTTP:n uudempi, rinnakkaislatauksia tukeva versio) on käytännössä tuettu ainoastaan TLS-salausta käyttäessä. Toisin sanoen, HTTPS on yleensä käyttäjälle salaamatonta HTTP:ta nopeampi!

Entä kuinka paljon se kuormittaa palvelimia? Miksi Touhou.fi ei tue TLS:ää?

TLS:n käyttöönotto vaatii tietysti vähän vaivaa (ja ennen Let's Encryptin tuloa yleensä myös rahaa). Arvelisin palvelinkuormituksen olevan triviaali.

[Hieda no Mukyuu]

Itseni kaltaisen foliohatun mielestä huomattavasti, siinä määrin että mielestäni HTTP ilman TLS:ää voitaisiin mm. Let's Encryptin olemassa ollessa kokonaan deprekoida.

Jaksaisiko foliohattu vielä antaa kansantajuisen esimerkin siitä, millainen ja miten suuri vaiva sivullisen on toisaalta HTTP-protokollan ja toisaalta HTTPS-protokollan alla nähtävä, jotta hän kykenisi vaikkapa omin luvin lukemaan ja ymmärtämään foorumiyksityisviestieni sisältöä? Osallistuminen tähän on sallittua muillekin kuin Bitofhopelle.

En nimittäin hevin usko, että TLS-salaus ei olisi missään oloissa kenenkään murrettavissa.

Sanastopuolelta mainittakoon, että SSL (Secure Sockets Layer) on minulle hämärästi tuttu jo vuosien takaa, samoin HTTPS (jonka olen käsittänyt HTTP:tä muistuttavaksi mutta jotenkin suojatummaksi yhteydeksi), mutta ennen tätä viikkoa en ollut edes tiennyt, että SSL ja HTTPS liittyisivät toisiinsa... Enkä ole koskaan tehnyt itselleni kunnolla selväksi, ovatko SSL ja SSH eri asioita. Nähtävästi ne ovat aivan eri asioita, vaikkakin suomenkielisen Wikipedian mukaan myös jälkimmäistä voi jollakin tavalla käyttää HTTP-liikenteen suojaamiseen.

[bitofhope]

Itseni kaltaisen foliohatun mielestä huomattavasti, siinä määrin että mielestäni HTTP ilman TLS:ää voitaisiin mm. Let's Encryptin olemassa ollessa kokonaan deprekoida.

Jaksaisiko foliohattu vielä antaa kansantajuisen esimerkin siitä, millainen ja miten suuri vaiva sivullisen on toisaalta HTTP-protokollan ja toisaalta HTTPS-protokollan alla nähtävä, jotta hän kykenisi vaikkapa omin luvin lukemaan ja ymmärtämään foorumiyksityisviestieni sisältöä? Osallistuminen tähän on sallittua muillekin kuin Bitofhopelle.

Oletan että tämä riippuu pitkälti Simple Machines -foorumisoftan sekä käytetyn HTTP-palvelinohjelmiston hienouksista. Yksinkertaisimmillaan kyseessä on noin puolen tunnin homma; pahimmillaan sattuu vahinko ja forkan sisältö katoaa bittiavaruuteen. Yleisesti puhuen kyseessä on aika rutiinijopi. Let's Encryptin sertifikaatit ovat melko lyhytikäisiä ja ne pitää uusia 90 päivän välein tai useammin, mutta moinen homma on melko helposti automatisoitavissa vaikkapa cronin avulla. Voin kysäistä ircin puolella.

En nimittäin hevin usko, että TLS-salaus ei olisi missään oloissa kenenkään murrettavissa.

En minäkään. Jotkut^[ketkä?] uskovat, että NSA tai muu tiedustelupalvelu olisi tämän tason salauksen saanut purettua, mutta yleinen mielipide kryptografian asiantuntijoiden kesken on, että 256-bittinen symmetrinen salaus sekä yleisesti käytössä olevat julkisen avaimen koot (1024, 2048, ja 4096 bittiä) ovat riittävän vahvoja vastustamaan tunnettuja kryptografisia murtotekniikoita vielä vuosien ajan laitteiston kehityksestä huolimatta.

Sanastopuolelta mainittakoon, että SSL (Secure Sockets Layer) on minulle hämärästi tuttu jo vuosien takaa, samoin HTTPS (jonka olen käsittänyt HTTP:tä muistuttavaksi mutta jotenkin suojatummaksi yhteydeksi), mutta ennen tätä viikkoa en ollut edes tiennyt, että SSL ja HTTPS liittyisivät toisiinsa... Enkä ole koskaan tehnyt itselleni kunnolla selväksi, ovatko SSL ja SSH eri asioita. Nähtävästi ne ovat aivan eri asioita, vaikkakin suomenkielisen Wikipedian mukaan myös jälkimmäistä voi jollakin tavalla käyttää HTTP-liikenteen suojaamiseen.

SSH on protokolla salatun yhteyden ottamiseen toiseen tietokoneeseen verkon yli, aivan kuin HTTPS. Erona on, että SSH-protokollaa käytetään yleensä komentojen ajamiseen kohdekoneella, tai muuten mielivaltaisen datan siirtämiseen. SSH:n avulla voidaan etäkoneesta tehdä SOCKS-protokollaa (protokollia löytyy kuin C3PO:lta konsanaan) käyttäen välityspalvelin, jonka läpi voidaan ohjata koneen HTTP(S)-yhteydenotot. SOCKS-proxyä kutsutaan joskus köyhän miehen VPN:ksi, sillä sitä käyttäessä kommunikaatio näyttää tapahtuvan SOCKS- ja web-palvelimien välillä ja sisältö siirtyy asiakaskoneelle web-palvelimelta salaa. SSH:lla saattaa pystyä suojaamaan HTTP-yhteyksiä muutenkin, mutta tuo oli ensimmäinen mikä tuli mieleen.

Nyrkkisääntönä HTTPS:llä selataan nettisivuja ja SSH:lla käytetään verkon yli serveriä suoraan.

[Hieda no Mukyuu]

Kiitoksia foorumin protokolladroidille (human–IRC relations) tästäkin oppitunnista. Luulisin ymmärtäneeni suurimman osan.

[bitofhope]

Vielä sellainen huomio, että luin ensimmäisen kysymyksen väärin, siis:

Millainen ja miten suuri vaiva sivullisen on toisaalta HTTP-protokollan ja toisaalta HTTPS-protokollan alla nähtävä, jotta hän kykenisi vaikkapa omin luvin lukemaan ja ymmärtämään foorumiyksityisviestieni sisältöä?

HTTP:llä riittää että sivullinen on samalla alueella jos käytät suojaamatonta wifi-verkkoa ja lähetät viestin. Vielä paremmin nuuskinta käy, jos urkkijalla on reititin tai kytkin matkan varrella, kuten esimerkiksi internet-palveluntarjoajalla väistämättä on. HTTPS:llä taas vaaditaan HTTP:n vaatimusten lisäksi kvanttitietokone ja/tai astronominen määrä energiaa ja laskentatehoa. Tai sitten hyökkääjä voi kidnapata sinut ja hakata kumiletkulla kunnes kerrot salasanasi. Jälkimmäistä vastaan eivät tietotekniset keinot taida auttaa.

Ilman TLS-salaustakin voit tietysti käyttää esimerkiksi PGP-salausta yksityisviesteissä, mutta tämä menee jo aiheen ulkopuolelle. Jos jotakuta kiinnostaa, avaimeni on B7DF23C954AF7846B3FE52BEA3DA3F3E849FF248, mutta älä luota siihen että tuossa näkyvä koodi on oikea ainakaan niin kauan kuin sivu ei tule HTTPS:n yli. https://keybase.io/bitofhope on luotettavampi.

Vielä viimeisenä huomiona todettakoon että TLS suojaa myös sivun sisällön muokkaamiselta, eli voit varmistua, että koneelle tulevat bitit ovat samoja kuin palvelimelta lähtevät. Palveluntarjoajien tiedetään ainakin lisänneen mainoksia nettisivuihin matkan varrella.

[Hieda no Mukyuu]

HTTP:llä riittää että sivullinen on samalla alueella jos käytät suojaamatonta wifi-verkkoa ja lähetät viestin. Vielä paremmin nuuskinta käy, jos urkkijalla on reititin tai kytkin matkan varrella, kuten esimerkiksi internet-palveluntarjoajalla väistämättä on.

Kas, päästiin myös siihen kysymyksen osaan, joka minua eniten kiinnosti. Tarvitaanko tähän nuuskimiseen erillistä panostusta, vai onko Internet-palvelinten haltijoilla lähtökohtaisesti käytössään ohjelmat, joilla he voivat milloin tahansa esimerkiksi huvikseen lueskella palvelintensa kautta kulkevan liikenteen tekstisisältöä?

Tämä on vuosia mietityttänyt minua, kun toistuvasti olen törmännyt varoituksiin siitä, että tavallinen HTTP-liikenne on kolmansien osapuolten tarkasteltavissa (en nyt äkkiseltään löydä nimenomaista käytettyä sanamuotoa).

(Juttu jää aina vähän samalla tavalla hämäräksi kuin se, että kondomin »ehkäisyteho on 97–98 prosenttia». Onko se raskautta vastaan 100 % vai ei, jos kumi ei näkyvästi puhkea tai luisu pois paikaltaan? Esiintyykö myös vuotoja, joita ei voi omin neuvoin mitenkään havaita? Sitä ei koskaan kerrota, vaikka aiheesta kirjoitetaan niin paljon.)

[anounyym1]

Korjaisin muuten mutta ei ole root oikeuksia. Ne hemmetin emojitkin varmaan korjaantuisi päivittämällä tietokanta utf8mb4 lokaaliin.

[Hieda no Mukyuu]

Johtuuko viimeaikoina korkeempiin lukuihin noussu vierailijamäärä siitä ettei käyttäjät jaksa/viiti enää kirjautua sisään vai onko oikeesti uusia lurkkaajia spawnannu coneissa pidettyjen mainospuheiden ansiosta?

Olin jo kiinnittänyt huomiota tilanteeseen ja pikkuisen tutkinut asiaa, mutta Korven soturin kysymys sai minut tutkimaan lisää.

Foorumin henkilökunnan työkaluihin kuuluu väline, jolla voi tarkastella käyttäjien IP-osoitteita ja kysellä lisätietoja alueellisilta verkkorekistereiltä (RIR). En osaa tulkita tuloksia kovin hyvin, mutta aikaisempina vuosina tavallista on ollut, että liikennehuippujen aikana arviolta vähintään 40 % (ja usein paljon suurempi osa) vierailijoista on ollut Yahoon ja Googlen »hämähäkkejä» eli hakurobotteja. Kirjautumattomien vierailijoitten suurista määristä ei siis kannata paljoa innostua. Lähinnä ne kertovat, että sivustomme on tarpeeksi kiinnostava, jotta hakukonejättiläiset haluavat pitää ainakin suuren osan sen sisällöstä tietokannoissaan.

Ihmeekseni tämänkertaisen vierailija-aallon IP-osoitteitten tiedoissa ei kuitenkaan näy Yahoota eikä Googlea. Sen sijaan tekemäni pistokokeet, joita oli useita, johtivat nyt kaikki tavalla tai toisella ranskalaiseen yritykseen nimeltä OVH (lausu: suomalaisittain [ōvēhō] tai ranskalaisittain [ovea·š]). Googlen kautta löysin tietoa, että jotkut verkonkäyttäjät ovat harmissaan OVH:n IP-osoitteista tulevasta runsaasta, kuormittavasta liikenteestä. Toiset korostavat, että OVH on luotettava ja harmiton yhtiö. Pikaisen selailun perusteella kukaan ei kerro, miksi moista liikennettä on niin runsaasti. (Tämä keskustelu viittaisi siihen, että OVH tarjoaa verkkopalveluita rehellisten ihmisten ja yritysten ohella myös roistojen käyttöön.)

Lisätiedot kelpaavat.

[Mia]

[...] onko Internet-palvelinten haltijoilla lähtökohtaisesti käytössään ohjelmat, joilla he voivat milloin tahansa esimerkiksi huvikseen lueskella palvelintensa kautta kulkevan liikenteen tekstisisältöä?

Tämä on vuosia mietityttänyt minua, kun toistuvasti olen törmännyt varoituksiin siitä, että tavallinen HTTP-liikenne on kolmansien osapuolten tarkasteltavissa (en nyt äkkiseltään löydä nimenomaista käytettyä sanamuotoa).

Kyllä he voivat lukea, jos haluavat. Ei välttämättä ilman että useampi henkilö talon sisällä tietäisi asiasta, mutta silti. Ei edes tarvita isoa laitetta. Mainitsemasi "kolmas osapuoli" on nimenomaan mikä tahansa laite tiedonkulun reitin varrella, kenen hallinnassa se sitten lienekään. Siksi HTTPS on kannattavaa: Sillä voi helposti suojata lähestulkoon kaiken tiedon, eikä suojaamisen tarvittava laskentateho ole juurikaan oleellinen nykypäivänä.

Kuten taidettiin mainita, HTTPS on useimmissa tapauksissa lähes mahdoton murtaa. On paljon todennäköisempää, että urkittavan kohteen laitteelle on mahdollista murtautua jonkin muun haavoittuvuuden kautta, oli kyseessä sitten huijaussähköposti, haavoittuvuus selaimessa tai käyttöjärjestelmässä, tietojen sieppaaminen muiden vuodettujen salasanojen avulla jne.

[Juce]

Tuli mieleen, että voisiko rekisteröitymiseen vaadittavan bottitunnistuskysymyksen viereen tai alle laittaa vaikka tuollaisen kuvan?



Nythän siinä on kysymyksenä "First name of red hair tubes touhou?", mutta eihän suomen kielisellä foorumilla pitäisi tarvita osata englantia

[bitofhope]

Onnistuin löytämään pätkän ohjelmakoodia mystisestä portaalista. Loput koodista jäi toiselle puolelle.

Koodia: [Valitse]

#!/usr/bin/env python3

#==========================================================================
# A neural network to recognize Touhou characters from CAPTCHA images
#==========================================================================

#==========================================================================
# Copyright © 2017 Nitori Kawashiro (河城　にとり) <210ri@kappamob.gsk>
#
# This work is free. You can redistribute it and/or modify it under the
# terms of the Do What The Fuck You Want To Public License, Version 2,
# as published by Sam Hocevar. See the COPYING file for more details.
#==========================================================================

import tensorflow as tf

…

Vitsit sikseen, kuvasta töhön tunnistaminen voisi kyllä toimia hyvin, mutta en usko nykyisen mallin tuottavan merkittäviä vaikeuksia. Eiköhän Tōhō-juttujen isompi harrastaminen vielä toistaiseksi vaadi ainakin englannin tai japanin taitoja Suomessakin. Foorumille on ilmeisesti joskus tullut vähän ulkomaalaistakin porukkaa, joten suomenkielinen kysymys ei myöskään liene eduksi.

Yksi vaihtoehto olisi lyödä tohon joku obskuurimpi hahmo mallia Unshou/Rin Satsuki/Sokrates ja varmistaa korkeatasoinen tosifanitaso, josta meidät varmasti tunnetaan. 

[Hieda no Mukyuu]

Kamit huomio, olisikos taas (vuoden)aika vaihtaa oletusteemaa?

[Juhozki]

Kappas perhana mihin on aika taas rientänyt.

*ALAKAZAM!*

[anounyym1]

Hankala muistaa vaihtaa teemaa kun ei erota eroa kevään, kesän ja syksyn välillä ulos katsomalla.

[zertap]

Tää tulee ehkä hieman myöhään, mutta minusta tää miten smf toteuttaa käyttäjien deletoinnin on tosi huono, koska kyseisen käyttäjän viestejä ei voi enää helposti hakea. Muutenkin, tarvitseeko käyttäjän itse olla edes voipa poistamaan omaa käyttäjätiliään. Luulisi että oikea tarve tuollaiselle on aika erikoistapaus, ja lähinnä sitä on täällä käytetty ovet paukkuen foorumeilta poistumiseen.