Tietoturva & kyberhyökkäykset

HiTec

HiTec

Eipä turhia höttyillä :)
No tässä tuo Nordea
1733817635576.png


Ja siis esim. tuo viesti on itselleni hyvinkin tärkeä tieto, mutta... Ja sen sijaan tuonne on tuotu täysin turha 'Saldo' joka kertoo tilin saldon ko. tapahtuman jälkeen. Ehkä tuo 'Otsikko' voisi olla se kaivattu viesti, mutta se on hyvin usein sama kuin 'Nimi' niin eipä silläkään kyllä mitään tee :confused:
 
A

Arisoft

Hyperaktiivi
HiTec sanoi:
viesti on itselleni hyvinkin tärkeä tieto
Klikkaa laajentaaksesi..

Oletkos ottanut pankkiin yhteyttä asiasta. Siellä varmaan arvelevat ettei kukaan käytä koko toimintoa. OP teki jonkin muutoksen jokin vuosi sitten mutta palauttivat nopeasti se toimimaan vanhalla tavalla. Luulen että tuli palautetta. Sinänsä typerää edes lähteä poistamaan tietoja tällaisesta tietokoneluettavasta aineistosta jos ne tiedot kumminkin näkyvät tiliotteessa.
 
H

hemaris

Aktiivinen jäsen
HiTec sanoi:
No kokeiltiin nyt sitäkin. Usein vaan nuo ovat olleet kuin tuuleen huutamista, mitään vastausta ikinä noista kuule, saati että asioille tehtäisiin jotain...
Klikkaa laajentaaksesi..
Minä onnistuin kerran teettämään muutoksen käytössä olevaan verkkolaskutusten ohjelmistoon/rajapintaan. Omat verkkostosten laskut epäonnistuivat harvakseltaan mutta systemaattisesti tiettyjen firmojen kanssa. Sain kerättyä sen verran dataa ja tapahtumien aikapisteitä että lopputuksena oma pankki löysi järjestelmästään virheen ja teki siihen korjauksen.

Suurin vaiva tässä päästä normi aspan läpi keskustelemaan varsinaisten ammattilaisten kanssa. Tämä onnistui mm verkkokauppa.comissa ja heidän datan avulla myös lopulta pankissa. Tämän kun pystyy tekemään niin keskustelun sävy muuttuu kun vastapuoli oikeasti kuuntelee ja pyrkii ymmärtämään tilannetta. Mutta sitkeyttä tuo vaatii sillä ihan helposti ei normi aspa päästä ketään noiden asiantuntijoiden juttusille. Siinä saa jonkin aikaa vakuuttaa että oikeasti tietää mistä puhuu.
 
Viimeksi muokattu:
Husky

Husky

Hyperaktiivi
Joo Nordean verkkopankkiin tullut useita turhia huononnuksia.

En voi käsittää, miksei tilin saldo näy kuin pari viikkoa taaksepäin. Siis mikä v*tun logiikka tai vaikeus tuossa on.

Ja isompi juttu on, että ellei itse tallenna tilitapahtumia, niin eivät ole käytettävissä kuin vuoden taaksepäin, vai oliko vain 6kk! Muistaisin että alunperin säilytys oli 10v
 
Husky

Husky

Hyperaktiivi
Katsoin vaaralistaa niin ei nyt paha ole. Salasanoja urkitaan mutta nehän nyt on julkisia käytännössä aina. Eikä niillä mitään oikeata tuhoa saa aikaiseksi, kun mikään oikea asia ei ole salasanasuojattu kuten esim nettipankki.

Kaipaisin medialta enemmän tietoja minkälaisille erilaisilla keinoilla noita nettipankkihuijauksia tehdään. Osa keinoista kyllä tiedossa, mutta raivostuttavan usein jää se todellinen tapahtumakulku sanomatta ja sanotaan ne asiat mitkä tietää jo valmiiksi.
 
hanks

hanks

Aktiivinen jäsen
fraatti sanoi:
TP-link jenkkien hampaissa.

yle.fi

Selvitys yhdisti Suomessakin suositut kotimodeemit Kiinan kyberhyökkäyksiin – USA harkitsee kieltävänsä tuotteet

Yhdysvalloissa viranomaiset selvittävät, missä määrin kiinalaisyritys TP-Link aiheuttaa kansallista uhkaa.
yle.fi yle.fi
Klikkaa laajentaaksesi..
Jaa-a, itselläkin on TP-linkin reitittimiä useampia mesh-verkossa. En olisi ehkä eniten huolissani tietoturvahaavoittuvuuksista, vaan siitä että kyseiset reittimet ovat TP-linkin pilvipalvelun hallinnassa, ja täten TP-linkillä/Kiinalla on tarkka tieto missä IP-osoitteessa ja fyysisessä sijainnissa ko. reittimet ovat käytössä. Halutessaan voisivat pistää reittimet tekemään jotakin muuta kuin mihin ne on tarkoitettu.
 
Husky

Husky

Hyperaktiivi
Vai Valiolla tietomurto. En tiedä millainen oli, mutta tuollaiset firmoihin tehdyt voivat joissain tapauksissa saada aikaan yksittäisen työntekijän verkkopankin murtamisen. Tämä on niitä skenaarioita, joita eivät noteeraa ne lukemattomat, jotka sanovat ettei kannata murehtia jos pitää silmät auki ja tarkistaa oikeinkirjoituksen ja pari muuta mantraa mitä hoetaan.
 
K

kaihakki

Vakionaama
Valion keisissä näyttää olevan tilanne, että ovat ulkoistaneet tietotekniikkansa Vincit firmalle. Käytössä nykyaikaiset pilvipalvelusysteemit. Tähän samaan settiin voi kuulua myös muita Vincitin asiakasfirmoja. Oli uutisointia, että hakkerit ovat kryptanneet tietokannat, joten Valio ei saa niitä käyttöönsä. Ihmettelen vaan, että miten varmistuksia hoidetaan tänä päivänä. Varmistuksethan pitää ottaa vähintään kerran päivässä niin, että tallessa on useita sukupolvia irrallaan olevilla kovalevyillä. Näistä voi sitten tarvittaessa palauttaa melko ajan tasalla olevan tietokannan ja jatkaa pöhinää.

www.kauppalehti.fi

Vincitin toimitusjohtaja avaa nyt jättimäistä tietomurtoa – kohteena 10 yritystä

Myrskyn silmään joutuneen Vincitin johto selittää, miksi kyberhyökkäyksestä tiedottaminen kesti yli viikon.
www.kauppalehti.fi www.kauppalehti.fi

Vincitin toimari on pahoillaan tilanteesta.
Olisi paljon fiksumpaa anteeksipyyntöjen sijaan kertoa, että minkälaisilla teknisillä ratkaisuilla tietomurrot estetään nyt ja tulevaisuudessa. Asiakaskuntaa ei kiinnosta pätkääkään kuunnella tällaisia anteeksipyyntöjä. Taitaa olla partiopoikia nykyjohdossa.
 
Viimeksi muokattu:
H

Harrastelija

Vakionaama
Eikös tuossa ollut saatu murrettua alihankkijan salasana?
Liekö nähty lojumassa paperilapulla työpöydällä vai ihanko raakalla voimalla salasana löytynyt.
 
HiTec

HiTec

Eipä turhia höttyillä :)
kaihakki sanoi:
Oli uutisointia, että hakkerit ovat kryptanneet tietokannat, joten Valio ei saa niitä käyttöönsä.
Klikkaa laajentaaksesi..
No eipä ainakaan itselleni moista silmään osunut. Se että pääsee jonkin alihankkijan tunnuksilla sisään systeemiin urkkimaan tietoja tuona alihankkijana, niin siitä on vielä todella pitkä matka system-tason oikeuksiin, joilla pääsisi ronkkimaan suoraan itse tietokantaa käyttis-tasolla.
 
K

kotte

Hyperaktiivi
HiTec sanoi:
Se että pääsee jonkin alihankkijan tunnuksilla sisään systeemiin urkkimaan tietoja tuona alihankkijana, niin siitä on vielä todella pitkä matka system-tason oikeuksiin, joilla pääsisi ronkkimaan suoraan itse tietokantaa käyttis-tasolla.
Klikkaa laajentaaksesi..
Alihankkija varsin mahdollisesti hallinnoi omien asiakkaidensa palveluja pilvessä sijaitsevilla virtuaalikoneilla, jolle tietokannat sun muut on sovellusohjelmistojen ohella asenneltu. Aivan ajateltavissa oleva mahdollisuus on, että noiden virtuaalikoneiden hallintatillin olisi päästy jotenkin käsiksi, mutta tämä on tietenkin aivan hypoteettista spekulaatiota ziljoonien mahdollisuuksien joukossa. Tuollainen murto kylläkin saattaisi tehdä mahdolliseksi koko koneen taikomisen olemattomaksi tai miksei myös korvaamisen sisältöineen aivan toisella. Riippuu osin pilvipalvelun tarjoajasta ja alihankkijan omista varmistusjärjestelyistä, olisiko alkuperäiset virtuaalikoneet tietosisältöineen jotenkin palautettavissa tämänkaltaisen katastrofin jäljiltä.
 
H

Harrastelija

Vakionaama
Voihan se olla että alihankkijan tunnuksella pääsi suoraan nimenomaan itse tietokantaan. Itse tietokannankin ylläpitohan voi olla ulkoistettu. Pilvi puoli voi olla ulkoistettu ihan eri firmalle.
Ei siis välttämättä tarvi pilvitunnuksia. Ja jos fiksusti tehty niin samalla tunnuksella ei pääsekään käpisteleen sekä pilveä että tietokantaa (sovellusta).
Mutta kait ulkoa päin tuleva yhteys jonkinlaisen tunnistautumisen tarvii? Esim vpn jollain ms authentikation tyyppisellä sovelluksella? Eli pelkät tunnarit ei riitä. Siitäkin päästy läpi?
 
HiTec

HiTec

Eipä turhia höttyillä :)
kaihakki sanoi:
Täältä löytyy kryptausjuttua Valioon liittyen.
Klikkaa laajentaaksesi..
No juu, tuo jo hiukan avaakin sitä että se oli ohjelmistotoimittaja itse, jonka (työntekijän) tunnareilla sinne oli menty. Itse ymmärsin tuon ensin jonain palkanlaskijan tms. tunnareiksi ja Vincitin olleen tässä vain pelkkä IT-toimija jonka tarjoamilla palveluilla nuo systeemit pyörii.
 
P

puuteknikko

Vakionaama
Mikki sanoi:
Ei kyllä anna hyvää kuvaa että tuollaisen palveluntarjoajan systeemeihin pääsee pelkällä salasanalla sisään.

Kaksivaiheisen tunnistautumisen luulisi olevan jo peruskauraa.
Klikkaa laajentaaksesi..
Yhteiskäyttötunnus ja jonkun tyypin puhelinnumero laitettu MFA:han, sitten vaan kuitattu kun on ajateltu että Pertin pitää päästä kirjautumaan :huh2:

No, tuskin kuitenkaan ihan noin vaikka jotain mainintaa on näkynyt huonosta tuuristakin.
 
HiTec

HiTec

Eipä turhia höttyillä :)
Mikki sanoi:
Kaksivaiheisen tunnistautumisen luulisi olevan jo peruskauraa.
Klikkaa laajentaaksesi..
No jos tuokin tehdään oikein, niin MFA avaa vain yhteyden jollekin lipalle, jolle pitää sitten osata tarjota läppäriltään oikeaa sertiä, jotta se avaa omat salaisuutensa ja päästää näin edelleen varsinaiselle palvelimelle käsiksi. Näin niitä kerroksia on pari enempi kuin sipulissa konsanaan ja luonnollisesti aivan kaikesta rakennetaan audit-logia, jolloin jäljet kuka (tai kenen tunnareilla) teki ja mitä ovat melko lyhyet, jokainen luonnollisestikin vain niiden omien tunnareidensa rajoitusten puitteissa. Admin-pääsyä ei ole alihankkijoista kellään ilman että asiakkaan puolelta erikseen vahvistetaan väliaikainen oikeuksien nosto vain ja ainoastaan kyseiselle sessiolle. Juu, kuulostaa hankalalle ja hitaalle, mutta näin on tarkoituskin, sen verran pahat scenariot tuolla on takana että halutaan olla aivan varmoja että pääsy palvelimelle on ihan oikeasti tarpeen.

Toki tuolta löytyy sitten omat backup-scenarionsa vielä lisäksi, eri aikatauluin eri tasoisia ja nuo lukitaan niin ettei niitä sieltä pääse edes admin muokkaamaan saati poistamaan, systeemi itsekin putsaa ne vasta ajan X kuluttua = riittävän monta eri versiota riittävän pitkältä ajalta on jatkuvasti tallessa ei ainoastaan eri palvelimilla, mutta myös eri maantieteellisissä lokaatioissa, eri tileillä joskos vaikka tuo paikallinen admin-tilikin olisi jotenkin ihmeen kummassa saatu murrettua.
 
K

kkk

Aktiivinen jäsen
www.hs.fi

Tutkiva journalismi | Venäläistaustaisen tutkijan toiminta herätti epäilyksiä – Tampereen yliopisto vei poliisille

Suomi tarjosi venäläiselle korkean teknologian tutkijalle koulutuksen, professuurin, rahoitusta ja kansalaisuuden. Samaan aikaan hän palveli tutkijaverkostoineen synnyinmaataan.
www.hs.fi www.hs.fi

"Hakijat halusivat PN:n Nordplus-rahoituksella rakentaa uuden Pohjoismaiden ja Baltian kriittisen infrastruktuurin kyberturvallisuutta edistävän Procsi-tutkijaverkoston."

"PN myönsi verkostolle yhteensä 50 000 euroa rahoitusta vuosina 2022–2024. Uuden verkoston kokoontumiset järjestettiin Fruct-konferenssien yhteydessä.
Miksi Pohjoismaiden Neuvosto rahoitti venäläistaustaisten tutkijoiden kehittämää kyberturvallisuushanketta?"

Edit: Maksumuurin takana
 
F

fraatti

Hyperaktiivi
Meinaavat että uusituvien tuotantolaitteissa olisi etäkäyttövermeitä mitkä olisivat reikäisiä.

Disrupt signals
Many wind turbines and solar power farms used the same remote systems, with it possible to hijack the signals by simply getting an off-the-shelf transmitter close enough to an individual site, they said.

It is not clear how many facilities use the EFR devices and the company would not comment when contacted by Montel, but Positive Security estimated up to 40 GW of wind and solar sites could be vulnerable.

Hackers would only need to disrupt around 3 GW to seriously unbalance Germany’s power grid, potentially leading to widespread blackouts, said Braeunlein, while Melette speculated it could take a dedicated hacker about six months to organise such an attack.

Germany’s IT security regulator BSI told Montel it was aware of the potential risk but added the hurdles to launching such an attack were “very high”.

Current German legislation does require facilities to make security upgrades but the full roll out was unlikely before 2030.
Rekiteröitymällä pääsee lukemaan loput (ilmainen)
montelnews.com

40 GW EU power faces cyberattack risk – IT specialists

At issue was the use of remote devices provided by German company EFR to manage output from renewables units in Germany, Austria, the Czech Republic, Hungary and Slovakia, said Fabian Braeunlein and Luca Melette of Berlin-based IT firm Positive Security. “I was really surprised that there was...
montelnews.com
 
janti

janti

Moderaattori
Ylläpidon jäsen
"Alkuvuodesta 2025 DNA ja Elisa lanseeraavat Mobiilivarmenne-sovelluksen, joka muun muassa mahdollistaa digipalveluihin tunnistautumisen myös sormenjälki- ja kasvontunnistusta käyttäen."
mobiilivarmenne.fi

Mobiilivarmenne uudistuu – tunnistusnäkymä muuttuu 14.1. alkaen - Mobiilivarmenne

Suosittu Mobiilivarmenne uudistuu vaiheittain vuoden 2024 aikana. Ensimmäisenä näkyvänä muutoksena tunnistusnäkymät saavat uuden ilmeen.
mobiilivarmenne.fi mobiilivarmenne.fi
 
Husky

Husky

Hyperaktiivi
janti sanoi:
"Alkuvuodesta 2025 DNA ja Elisa lanseeraavat Mobiilivarmenne-sovelluksen, joka muun muassa mahdollistaa digipalveluihin tunnistautumisen myös sormenjälki- ja kasvontunnistusta käyttäen."
mobiilivarmenne.fi

Mobiilivarmenne uudistuu – tunnistusnäkymä muuttuu 14.1. alkaen - Mobiilivarmenne

Suosittu Mobiilivarmenne uudistuu vaiheittain vuoden 2024 aikana. Ensimmäisenä näkyvänä muutoksena tunnistusnäkymät saavat uuden ilmeen.
mobiilivarmenne.fi mobiilivarmenne.fi
Klikkaa laajentaaksesi..
Vaikuttaa siltä että tämän päivityksen myötä kansalliskirjaston e-kirjasto ollut nyt monta päivää täysin tiltissä. No tuo sovellus on muutenkin ihan karmean huono, mutta nyt ei pääse kirjautumaankaan varmenteella.

Varmenteen alkusivu on muuttunut erilaiseksi päiviyyksessä
 
F

fraatti

Hyperaktiivi
janti sanoi:
"Alkuvuodesta 2025 DNA ja Elisa lanseeraavat Mobiilivarmenne-sovelluksen, joka muun muassa mahdollistaa digipalveluihin tunnistautumisen myös sormenjälki- ja kasvontunnistusta käyttäen."
mobiilivarmenne.fi

Mobiilivarmenne uudistuu – tunnistusnäkymä muuttuu 14.1. alkaen - Mobiilivarmenne

Suosittu Mobiilivarmenne uudistuu vaiheittain vuoden 2024 aikana. Ensimmäisenä näkyvänä muutoksena tunnistusnäkymät saavat uuden ilmeen.
mobiilivarmenne.fi mobiilivarmenne.fi
Klikkaa laajentaaksesi..
Uudistuu myös hinnoittelun osalta Elisalla, mutta uutisista on hyvin pimitetty se ikävämpi osuus. Aikaisempi 1.99e/kk on nyt 2.99e/kk, 50% korotus. Ei koske itseäni, mutta kunhan totean tilanteen. Suunta on huono.
 
Husky

Husky

Hyperaktiivi
ML sanoi:
Internetin kaupankäynnissä leviää haittaohjelma rahasi ovat vaarassa

poliisi.fi

Varo internetin kaupankäynnissä leviävää haittaohjelmaa - rahasi ovat vaarassa

Varo internetin kaupankäynnissä leviävää haittaohjelmaa - rahasi ovat vaarassa
poliisi.fi
Klikkaa laajentaaksesi..
Hyvin laajasti puhutaan, että ei ole riskiä että puhelin voitaisiin kaapata mitenkään siten, että pankkitilit vaarassa. Että koskee vain tietsikoita.

Tässäkin (tai sisarketjussa) tuollaisia kirjoituksia on ollut.

Ja kuitenkin poliisin sivuilla lukee näin:
"Uhrin lataama sovellus on todellisuudessa sisältänyt haittaohjelman, jonka avulla huijarit saavat haltuunsa koko puhelimen. He pystyvät esimerkiksi kirjautumaan verkkopankkiin ja siirtämään rahaa. Myös kaikki muut puhelimen salasanat ja kirjautumistiedot ovat vaarassa."

Itse olen suht valveutunut kyberasioissa ja vaikken mikään IT-guru ole, niin on kuitenkin perustaidot käyttämisasioista, ja silti omastakin puhelimesta on nyt löytynyt jollakin tavalla tulleita epävirallisia sovelluksia. Tuo kaikkien hyväksy-nappien painelu kiireessä tapahtuu niin pirun helposti ja vaikka täytyykin pistää puhelin taskuun jostain syystä ettei huomaakaan jos lataileekin jotakin. Enkä ole vakuuttunut, ettei vaikka noiden typerien eväste-nappien taakse voida naamioida jotakin ihan muuta kuin mitä siinä lukee.
 
Viimeksi muokattu:
P

puuteknikko

Vakionaama
Husky sanoi:
Hyvin laajasti puhutaan, että ei ole riskiä että puhelin voitaisiin kaapata mitenkään siten, että pankkitilit vaarassa. Että koskee vain tietsikoita.

Tässäkin (tai sisarketjussa) tuollaisia kirjoituksia on ollut.

Ja kuitenkin poliisin sivuilla lukee näin:
"Uhrin lataama sovellus on todellisuudessa sisältänyt haittaohjelman, jonka avulla huijarit saavat haltuunsa koko puhelimen. He pystyvät esimerkiksi kirjautumaan verkkopankkiin ja siirtämään rahaa. Myös kaikki muut puhelimen salasanat ja kirjautumistiedot ovat vaarassa."

Itse olen suht valveutunut kyberasioissa ja vaikken mikään IT-guru ole, niin on kuitenkin perustaidot käyttämisasioista, ja silti omastakin puhelimesta on nyt löytynyt jollakin tavalla tulleita epävirallisia sovelluksia. Tuo kaikkien hyväksy-nappien painelu kiireessä tapahtuu niin pirun helposti ja vaikka täytyykin pistää puhelin taskuun jostain syystä ettei huomaakaan jos lataileekin jotakin. Enkä ole vakuuttunut, ettei vaikka noiden typerien eväste-nappien taakse voida naamioida jotakin ihan muuta kuin mitä siinä lukee.
Klikkaa laajentaaksesi..
Edelleen kyse on siitä, että joku on mennyt hölmöyksissään asentamaan malwarea sisältävän sovelluksen puhelimeensa. Se ei ole hypännyt sinne itsestään, vaan esimerkiksi perus-Android kyllä kyselee hyväksyntää ennen asentamista.
 
W

wannabe

Aktiivinen jäsen
Tarvitaan sovellus, joka tarkistaa ollaanko aloittamassa sovelluksen lataamista sovelluskaupasta, joka ei ole virallinen. Mahtaako moinen jo olla saatavilla? Jos on, niin mielellään virallisesta sovelluskaupasta ottais. Jos tollanen herjaa, että meinaakko ihan toen perrään jatkaa aikomasi sovelluksen lataamista ja jos jatkaa, niin jos huonosti käy, niin peiliin katsomisen paikka. Itte onneksi olen hyvin arka latailemaan mitään pilipali kivoja turhanpäiväisiä hupisovelluksia.
 
T

tet

Hyperaktiivi
wannabe sanoi:
Tarvitaan sovellus, joka tarkistaa ollaanko aloittamassa sovelluksen lataamista sovelluskaupasta, joka ei ole virallinen. Mahtaako moinen jo olla saatavilla? Jos on, niin mielellään virallisesta sovelluskaupasta ottais. Jos tollanen herjaa, että meinaakko ihan toen perrään jatkaa aikomasi sovelluksen lataamista ja jos jatkaa, niin jos huonosti käy, niin peiliin katsomisen paikka. Itte onneksi olen hyvin arka latailemaan mitään pilipali kivoja turhanpäiväisiä hupisovelluksia.
Klikkaa laajentaaksesi..

Androidissa tämä on sisäänrakennettuna, asetuksista pitää erikseen valita että muualta kuin Google Playstä asentaminen ylipäätään on mahdollista. Näin ainakin Samsungin puhelimissa, en tiedä onko kaikissa. Ja vaikka olisi sallittu, niin silti taitaa kysyä asiaa, jos oikein muistan (voi hyvin olla että muistan väärin). Mutta tuonkin mahdollisuuden voi policyllä estää. Itsellä firman luuri johon ei pysty mitenkään asentamaan ohjelmia muualta kuin Google Playstä.
 
T

tet

Hyperaktiivi
janti sanoi:
"Alkuvuodesta 2025 DNA ja Elisa lanseeraavat Mobiilivarmenne-sovelluksen, joka muun muassa mahdollistaa digipalveluihin tunnistautumisen myös sormenjälki- ja kasvontunnistusta käyttäen."
Klikkaa laajentaaksesi..

Piti oikein tarkistaa, että onhan tuo ihan rehellinen sivusto, iski epäilys kun varmentaja on Let's Encrypt. Tuohan ei vaadi varmenteen saajan identiteetin varmentamista, kuka vaan voi ilmaiseksi moisen hakea ilman henkilöllisyyden todistamista. Mutta näyttää tuo mobiilivarmenne.fi olevan Elisalle rekisteröity, joten eiköhän tuo ihan virallinen sivusto ole. Ei pisteitä kuitenkaan Elisalle moisesta, kyllä mielestäni pitäisi olla virallisempi varmenne moisella sivustolla, joka varmentaisi myös sen kenelle sivusto kuuluu.

muoks: Tällä foorumillakin on mielestäni parempi varmenne, kuin tuolla mobiilivarmenne.fi-sivustolla. :p
 
T

Ton1A

Vakionaama
Let's Encrypt vaatii vain sen, että pystyt todistamaan että sinulla on hallinta ko. domainiin. Käytännössä tuo menee niin, että Let's Encrypt myöntää sertin, jos pystyt luomaan pyytämääsi domainiin (esim. tuo mobiilivarmenne.fi) tietueen joka sisältää Let's Encrypt'n antaman haasteen. Varmenne on voimassa vain 3 kuukautta kerrallaan.

Työkuvioissa ollaan käytetty tuota paljon testijärjestelmien varmenteiden myöntäjänä, nuo kun eivät maksa mitään. Saadaan helposti ihan kaikkialle https käyttöön.
 
Husky

Husky

Hyperaktiivi
puuteknikko sanoi:
Edelleen kyse on siitä, että joku on mennyt hölmöyksissään asentamaan malwarea sisältävän sovelluksen puhelimeensa. Se ei ole hypännyt sinne itsestään, vaan esimerkiksi perus-Android kyllä kyselee hyväksyntää ennen asentamista.
Klikkaa laajentaaksesi..
Joo o. Kirjoitinkin tuossa etten ole varma ettei jonkin noista lukemattomista ok painalluksista, mitä solkenaan klikkailee, joukossa tule hyväksyttyä jotakin muuta mitä siinä lukee. Vaikka evästeistä.

No arvaan vastauksen: ei voi tekstissä lukea eri asiaa kuin olet hyväksymässä. Kunnes taas jostakin tiedotteesta selviää, että oho...
 
K

kotte

Hyperaktiivi
Ton1A sanoi:
Let's Encrypt vaatii vain sen, että pystyt todistamaan että sinulla on hallinta ko. domainiin.
Klikkaa laajentaaksesi..
Joissakin tilanteissa tuo riittää ja tekee toki TSL-käytön mahdolliseksi. Toisaalta tuossa on sellainen sudenkuoppa, että jos huijari keksii ovelan vapaana olevan domain-nimen tyyliä omakanta.mywire.org (paljon salakavalampia käyttäjän kenen tahansa hallittavissa ja juuridomainia lukuun ottamatta aivan mielivaltaisesti nimettäviä domaineja löytyy pilvin pimein; arvannet, mihin viittaan), nettisivun klikkaaja ei välttämättä kiireessä huomaa koko polkua ja, että pyyntöön vastaava palvelin voi olla aivan missä tahansa ja sisältää mitä vain, eikä selain osaa antaa minkäänlaista varoitusta, että taustalla voi hyvin olla vaarallinen kalastelusite tms.
 
Sinun on kirjauduttava sisään tai rekisteröityä kirjoittaaksesi tänne.
Back
Ylös Bottom