Az informatikai biztonság érdekes téma. Úgy általában a
számítógépek nagyon jók, ha titkosítani kell valamit, és szintén
nagyon jók, ha egy titkosítást illetéktelenek akarnak
visszafejteni. Az okosok, akik ezzel foglalkoznak rájöttek, hogy az
igazán jó titkosítás az, amit:
úgy készítettek, hogy a matematikai alapok biztosítsák a nem
visszafejthetőséget, vagyis a titkosítási módszer gondosan
kidolgozott
a titkosítási módszer olyan, hogy annak ismeretében sem
könnyebb a titkosítás „feltörése”
a titkosítási módszert publikálták, és azt számos szakember meg
tudta vizsgálni
És persze akik a témával foglalkoznak tudják, hogy a legtöbb
„tökéletesen biztonságos” eljárás, amit a szerzője maga
fejlesztett, a működését igyekszik titokban tartani és lehetőleg
minden eszközzel megakadályozni, hogy az szakértők szeme elé
kerüljön általában főként kígyóolajból
van. Ez egy nagyon fontos alapja a tökéletes titkosításnak,
emellett minden betegségre jó, és mellékhatásként biztosítja az
örök életet.
Autópályamatrica
Az alapproblémám az, hogy matricával megyek autópályára, ami egy
alapvetően hülye és gazdaságtalan megoldás, de most ez nem téma.
Hogyan lehet matricához jutni? Benzinkútnál, például, ha épp arra
járok, mint ahogy általában nem. Mobilon szoktam venni, rátesznek
100 Ft-on fenéktörlési díjnak (mert tökmindegy hogy hívjuk, ez a
sáp), de ott nem tudom – vagy nem akarom tudni – hogy lehet nem 4
napos vagy előre vásárolt ricát matni.
Körbenéztem a weben, és két helyen lehet ingyér matricázni,
vagyis a matricát kifizeted de nem kell valagnyalat díjat
fizetni.
Az egyik az autopalya.info, ami egy nemrég indult
szolgáltatás. A cég létezik, nincs felszámolás alatt (mint az egyik „kedvezményes téligumiakció” cég volt
ősszel, de most nem ez a téma), beszéltem is velük 2 szót, igazinak
és olcsónak néz ki. Weben lehet bármilyen matricát venni, K&H
kezeli a bankkártyás részt. A következő matricám náluk fogom venni,
tesztelésből. Azért jegyezzük meg, hogy alapból nem https
(titkosított) lapra küldenek, de látszólag van ilyen is, csak
kézzel kell odamenni.
Ami miatt a bevezetőt íram, az a másik cég, az izishop. Nem állítom, hogy ennél bárgyúbb
nevet gyorsan tudnák kitalálni, de végülis tényleg mindegy (csak
nehéz megjgyezni). Ők mobilon árulnak mindent, a matricától az
akármikig, matrica tekintetében szintén nulla forintos sáppal.
Azonban ők egy Java alkalmazást töltetnek le a mobilodra, ami
GPRS-en kommunikál, így ez kell hozzá, viszont nincs sms
díj.
Ők hajlandóak (nem kötelezően) elmenteni a bankkártyaszámot, meg
az adataidat is, a mobilodra. Itt azonnal felsikoltottam, tekintve
a mobillopások számát, nem biztos hogy a bankkártya adataimat... na
de előbb nézzük, hogy létezik-e a cég. Létezik, jó. Mit mondanak
magukról? Hát hogy biztonságos mint atom, ezerrel. Jó, persze.
Felhívom őket, hátha van esély hallani, hogy a java programozó
hallott már a kiptográfia tudományáról, és egy ismert és
biztonságos módszert használt. Titkárnő próbál lepattintani:
„Minden információ ott van a weben!”
Áh, te is inkbb kávét főznél. Mondom neki hogy ugye nem gond ha
ez megírom. „Miért, cikket akar írni?” Hja. Most már. „Akkor
kapcsolom a pillanat.”
Kapcsolja. Udvarias uriember, aki az előbb nyilván azt mondta
Gizikének hogy rázzon le. Neki is elmondom, hogy aggódom, hogy az
adataim nem biztonságosak, és szeretném kérdezni, hogy vajon mi a
helyzet?
A helyzet az, hogy természetesen szuperbiztonságos minden, a
bank certifikálta! [CIB]
Ártatlan arccal rákérdezek, hogy ugye a telefonon tárolt
adatokról beszél, nem a banki tranzakcióról? – Ááá öööö nem, arról
persze nem, mert az az én felelősségem(!!) és ők a
szuperbiztos...
– Szóval akkor a módszer titkos?
– Nem áruljuk el. Szuperbiztos, de nem mondhatjuk el, hogy
hogyan. De ha olyan informatikus, fejtse vissza.
Ettől kicsit meglepődöm, erre nincs kész válaszom. Mondom, hát
az ÁSZF meg a licenc általában nem engedi meg...
– Mi laza cég vagyunk, nálunk nincs ilyen. Ha letöltötte, akkor
az már a magáé, fejtse vissza nyugodtan.
Hát köszöntem, viszonhallás.
Nem volt még türelmem a java decompilerekhez, de ha valakinek
van kedve, megnézheti. Első blikkre barkácsmegoldásnak tűnik, nagy
adag kígyóolajjal leöntve. Egyelőre a bankkártyámat inkább nem
adnám meg neki...
És most nem is a titkosított
serverük klassz beállítása miatt, ami csak megerősít abban,
hogy a cég komolyan gondolja a biztonságot. Is.
Náluk egyelőre igyekszem azért nem vásárolni, amíg a
programjukat át nem futottam. Ha már szabad...
Szakmai tárgyú bárgyú hörgésem nem szakmai tárgyú olvasóim
lépjék által.
Drága elektronikus levelezőservert üzemeltetű véreim, az Úrban,
ti, akik RBL-eket közvetlenül használtok!
Fájdalommal megtört szívvel tudatom, hogy a DSBL hosszas
szenvedés, kínlódás, vergődés és hörgés után elhunyt.
Mivel a szolgáltatás lassan fél éve nincs, mondhatnám, hogy már
talán mindenki tudja. Nem. Viszont mivel március 9-én megszűntek a
DNS serverei is, így azok, akik ezeket az SMTP serverben
használják, olyan DNS timeoutra futnak a semmibe révedő SMTP
protokollal, mint Prosztó Józsi amikor Bögyös Maca tökönrúgta
krónikus nemfizetés miatt. Ilyenkor a serveretek, Allah bocsássa
meg neki, 30-80 másodpercig áll, mint Bálám szamara, és így
bizonyos esetekben, melyeket nem szeretnék itt feszegetni, kifut a
rendelkzésre álló, igen bő lére eresztett 15 illetve 30 másodperces
timeoutból, ami tekintev a normálisan millisecundumos várakozási
időket nagyjából három és fél örökkévalóságnak felel meg.
Tessék törölni!
Tessen továbbá átnézni, hogy melyik RBL szűnt meg, és azt is
kiszedni, mint etnikumpurdé fejéből körzeti védőnő a tetveket, mert
isten bizony mérges leszek.
- Jónapot a D*** Kft-től (műsorelosztó, akinél alapcsomagunk
van) hívom, Z. Renáta vagyok. Bizonyára hallott a HBO fantasztikus
akciójáról, amely...
- Nagyon szépen köszönöm, de nem szeretnék HBO előfizetést
akciósan sem.
- Megkérdezhetem hogy miért?
- Mert nem nézünk tévét. Nagyon ritkán. Amennyit igen, annyiért
még a mostani havi díj is sok, de hát néha azért legyen. De ennél
igazán egy fillérrel sem szeretnék többet fizetni, de inkább
kevesebbet.
- De hát nem néznek este sem filmet?
- Nem.
- És moziba sem járnak?
- De járunk, méghozzá akkor amikor a hatalmas vászon és a teljes
termet betöltő hang nyújt valami pluszt.
- De....
- Nézze, mondottam, egy fillérrel sem többet, mert ez is sok. Ha
nem fizetek többet, magának nem lesz úgysem jutaléka. Szerintem
hagyjuk.
- Értem, de azért az előnyeit elmesélném...
- Jó, persze, semmi akadálya. Egyre kérném, hogy a végén
kiáltson egy nagyot.
- ...de... miért?
- Mert akkor meghallom, felveszem az asztalról a telefont és
leteszem.
Bocs, megint bepillantás az informatikába, mert ki kell magam
dühöngeni.
A servereim nem engedik be a hamis feladójú emaileket, pont. Ha
a feladó nem kézbesíthető, akkor nem létezik, akkor hamis.
Ellenőrzöm. Ezzel a spamek mondjuk 60%-át további (jelentős
erőforrásokat igénylő) ellenőrzés nélkül át sem vesszük, vagy
fogalmazhatom úgy, hogy 60 000 kézbesített levélre jut 200 000
csatlakozási próbálkozás. A módszer tehát elég hatékony, de ez
amúgy is döntés kérdése.
Az internten a serverek nagyon nagy része valódi feladókat
használ, még azok is, akik "noreply" címeket üzemeltetnek.
Nagy serverek is. Kevés kivétel van, és ha egy
hibabejelentés alapján kiderül, szoktam nekik kedvesen írni, sőt,
ha a hülye titkárnő kapja a levelet és megválaszolja, hogy "kedves
ügyfél nem látja hogy noriplály, hát arra ne válaszoljon", akkor
még kedvesen telefonálni is szoktam, hogy egy informatikushoz
jusson el, aki megérti, és gyakran javítja.
Gyakori az, hogy nem értik, hogy ez miért gond. Általában el
tudom magyarázni, hogy azon túl, hogy nem felel meg az idevágó
szabályoknak (RFC), és hogy a spamszűrés miatt ez amúgy sem
szerencsés, és hogy így valóban nem kapnak értesítést arról, ha egy
email cím nem létezik, így akár évekig is küldik nekik a
hírlevelet.
De ez a mai... pár emberen át eljutottam egy külföldi cég magyar
lyánycégének ügyvezetőjéig, aki meglepően képben volt olyan
szinten, hogy hajlandó volt kifejteni, hogy én miért vagyok hülye,
és ő miért okos, dacára annak hogy...
Nulladik felvetésként jelzi, hogy tegyem őket én kivétellistába.
Azért, mert ő hamisítja a feladót, én tegyem kivétellistába. Mondom
neki, kedvesen, hogy azért azt meg kell értenie, hogy 1) én több
tucat servert nyomatok, és nem szeretek több tucat kivétellistát
vezetni, de 2) van még néhány százezer server a neten amit nem én
csinálok, és ott nem lesz whitelistben akkor sem, ha
bermudanadrágban átugrik a lángoló karikán. Ezen gyorsan
átsiklunk.
Szerinte azért küldenek ki hamis feladóval levelet, hogy:
1. Az ügyfelek ne válaszoljanak rá. Jeleztem, hogy vagy most is
válaszol rá, és hibaüzenetet kap, akkor meg válaszol rá, és a levél
vagy megy a szemetesbe, vagy kap egy automata választ. No fscking
difference.
2. A nem létező címek visszapattanásait nincs erejük olvasni. Ne
olvassák. Vegyék át, és ha erre van gusztusuk, dobják ki a kukába,
semmi közöm hozzá.
3. De a nem létező visszapattanásait erőforrásigényes
kezelni, hiszen akár tízezer levelet is kiküldenek. Óh!
Igen, ezt valóban bársonyszékben ötlötte ki valaki, mert ha
kipróbálja rájön, hogy napi akár „több száz” levél átvétele és a
kukába hajítása mekkora erőforrást igényel (megmondom: semmit).
Megnéztem, az egyik serveren 60ezer kézbesítés van naponta, és
200ezer próbálkozás. És a servert kifejezetten alulkihasználtnak
tekintem. Szóval erőforrásigényes, csak épp ez az erőforrás
mérhetetlenül kicsi.
4. És amúgy is, ha már az erőforrásoknál tartunk: ha a tízezer
címes hírlevelüket kiküldik, és nem jön visszajelzés, hogy abból
ezer cím már évek óta nem létezik, akkor ezer szorozva a napok
számával szorozva mondjuk 5 nap alatt 100 próbálkozással, mert
ennyiszer próbálja kiküldeni minden egyes nem létező címre a
levelet, az mekkora erőforrás? Neki, meg annak akihez kézbesíteni
akarja a levelet. És a visszapatanások feldolgozása finoman szólva
is megoldható automatikusan.
És az ügyvezető megunja és mondja, hogy „akkor köszönjükaz
értesítéstviszont hallásra”, majd amikor finoman becsúszó
szereléssel megkérdezem hogy „és akkor az ügyfelemnek mit is
mondjak, hogy akkor most Önök foglalkoznak a problémával?” akkor
aszongya hogy majd továbbítja a műszaki illetékesnek aki dönteni
tud a kérdésben. Dönteni, hogy foglalkoznak-e vele. Majd utána
esetleg javítják, ha, és amikor.
De tudjátok mit, a tököm se fog aggódni, hogy az ügyfél nem
kapja meg a leveleteket. A ti ügyfeletek, édes véreim. Illetve
lehetett volna. De vitatkozzatok, legyen igazatok, érezzétek, hogy
morálisan legyőztetek. Ahelyett hogy pár mozdulattal javítanátok a
rendszereteket, és az ügyfeleiteken keresnétek.
(mint az egyik „kedvezményes téligumiakció” cég volt
ősszel, de most nem ez a téma), beszéltem is velük 2 szót, igazinak
és olcsónak néz ki. Weben lehet bármilyen matricát venni, K&H
kezeli a bankkártyás részt. A következő matricám náluk fogom venni,
tesztelésből. Azért jegyezzük meg, hogy alapból nem https
(titkosított) lapra küldenek, de látszólag van ilyen is, csak
kézzel kell odamenni.