Ihminen.org

Kiitos ihmisille Jaikuporkkanablogi-miitistä!

Porkkanointi jäi vähälle, lähinnä mulle jälkeenpäin kiteytyi ideaksi että kuluttamisen(kin) suhteen ihmiset kyllä nykyään tietää mikä on eettistä tai kestävää ja mikä ei sitä ole. Ihmiset vain tuppaavat tekemään juttuja, jotka tietävät vääräksi tai haitallisiksi ihan tietoisestikin. Millä siihen sitten vaikuttaisi? Tehdäänkö positiiviset asiat helpoksi ja negatiiviset laittomaksi. Noin niinku kärjistettynä, vai jotain muuta?

Hoo, että porkkanointi? Sehän = semmoinen positiivissävytteinen kuluttaja-aktivismin muoto, joka on viimeaikoina saanut ihan mukavasti mediahuomiotakin. Jyväskylän toiminta muotoutunee pikkuhiljaa, seuraa Facebookia sekä ningiä.

“Parasta mitä hipit on keksineet vähään aikaan“.

Aivan älyttömistä lausunnoistaan (ja päätöksestä) nalkkiin jäänyt Almamedian toimitusjohtaja Kai Telanne, sekä Lapin Kansan nykyinen päätoimittaja Heikki Tuomi-Nikula “saivat aikaan” Suomen mittakaavassa aikastlailla ison ostoboikotin. Almamedia on iso mediakonserni, mutta sikäli sen kokoinen, ettei sen boikotoiminen ole aivan mahdottoman hankalaa.

Esimerksiksi Sanoman boikotoiminen olisikin jo aivan eri juttu. Yritys omistaa suurinpiirtein puoli Suomea, kuten vaikkapa huomattavan osan Suomen kaikista medioista; sanomalehtiä, aikakausilehtiä, verkkopalveluita, televisiokanavia, radiokanavia. Näiden lisäksi konserniin kuuluu valtava määrä muiden toimialojen yrityksiä Sanoma Traden (Rautakirja Oy) kautta.

Siinäpä siis firma jota ei aivan helposti boikottiin laitetakaan.

Mutta voi Almaparkaa! Se on vielä hahmotettavassa kokoluokassa ja kokonaisuudessaan boikotoitavissa. Kuvitteellisen Sanoma-boikotin kohdalla protestointi kohdistuisi luultavasti johonkin sen osaan, kuten sanomalehtiin. Alman kohdalla näin ei nyt ole, vaan boikotoinnin kohteeksi on joutunut myös yrityksen vasta ostama, yhden miehen johtama blogipalvelu Vuodatus.net. (Haastekampanja).

Blogiyhteisö käyttää politikointiin sen omia työkaluja, blogeja ja blogipalveluita. Bloggaajien verkko- ja yhteisövoima on perinteisesti ollut valtava, enkä yhtään epäilisi etteikö vuodatus.net joutuisi ongelmiin jos Almamedian kriisi ja konsernin boikotointi pitkittyisi.

Almamedian hallitus on kriisissä eikä erota yritykselle selvästi haittaa aiheuttanutta toimitusjohtajaansa. Kuinka Telanne voi toimia työssään, sillä tottahan toki alaisten luottamuspula TJ:aan on merkittävä ongelma. Boikotti on täysin oikeutettu, mutta pitäisikö meidän pohtia sen kohdistamista hieman uusiksi? Vuodatuksen menettäminen alalta olisi oikeasti merkittävä menetys yhteisölle.

Ymmärrän, että kaikki haluavat osallistua. Pitäisiköhän boikotin kärjen kuitenkin kohdistua lähinnä Lapin Kansaan, eikä sinne tänne minne sen kohdistaminen tuntuu helpommalta? Muistakaa koko boikottitohinalta myös viestittää suoraan yritykselle palautekanavia pitkin, kyllä sekin on toimivaa vaikkei niin dramaattiselta tuntuisikaan.

Viestinnän ammattilaist pyörittelivät päätään kun Nelosen uutiset lähetti Sampopankin viestintäjohtajan haastattelun pääsiäisen aikoihin.

Haastattelija: Onko sammon verkkopankissa tietoturva-aukko?
Hannu Vuola: Ei.
Haastattelija: Tänään kerrottiin että siinä olis ollu, mitä te sanotte siihen?
Hannu Vuola: Meillä oli tota pieni tietoturva ongelma meidän sivustolla, mut se ei ollu verkkopankissa kyllä suorastaan ja me on korjattu se monta tuntia sitten.

Viestintäjohtaja siis ajattelee, että erittelemällä verkkopankin ja sivuston informaatio-osuudet kahdeksi erilliseksi “sivustoksi”, voidaan sanoa ettei sammon verkkopankissa ole tietoturva-aukkoa. Tavalliset käyttäjäthän eivät näin ajattele.

Kun “pieni tietoturva ongelma” sitten löydettiin ja korjattiin, olisi fiksu pankki tietysti tutkinut ohjelmistonsa läpi muiden vastaavien ongelmien varalta. Muutoin tämmöiset pikkuohjelmoijat Jyväskylästä tsekkaa sivuston läpi ja löytää lisää aukkoja.

Lue lisää XSS-haavoittuvuuksista XSS-sivultani.

Minkä tuoteryhmän pakkaukset ovat perinteisesti näyttäneet aivan järkyn hirveiltä, eikä eri merkkejä ole edes erottanut toisistaan? Niinpä, kananmunien.

Kieku Oy:llä on kunnianhimoinen tavoite uudistaa hommaa:

Ministeri myös ilmaisi ihailevansa Kieku Oy:n pyrkimystä luoda kananmunasta brändi ja kiitosta sai myös rohkeus, jolla Kieku verkkosivuillaan on antanut yrittäjille kasvot.

Tiedote avajaisista 1.2.

Jännää miten sitä ihminen ostaa nätimmän paketin, vaikka ihan samoja luomumunia olis kaikissa paketeissa.

Ihmeteltiinkin vähän Minnan kanssa, et mitä tuo poliisisetä tota rakennusta oikein kiertelee ja taskulampulla katselee.

• KSML.fi: Talo vallattu yliopiston kampusalueella
• HS.fi: Yliopiston rakennus vallattin Jyväskylässä
• Yle: Yliopiston rakennus vallattiin Jyväskylässä

Muistakaa, että vaikka Helsingissä nuorisoliikehdintä lisätilojen (nuoriso- ja opiskelijapippalotilat) saamiseksi on ollut näkyvintä, puuttuu tiloja paljon myös Jyväskylästä. Onneksi kohta saadaan veturitallit kulttuurikäyttöön, edes.

Valtaajat kommentoivat osuvasti:

Yliopisto ja kaupunkitila ovat kriisissä. Monet urputtavat. Me teemme.

Pieni päivitys tähän viestiin. Muutin tämän sivun osoitetta (ja otsikkoa) sekä liitän tuon XSS-sivun suoraan tähän. Osoite www.ihminen.org/xss/ Toimii edelleen, mutta sama sisältö päivittyy siis automaattisesti myös tähän, joten kommentointi on mahdollista.

Viimeaikoina on uutisoitu paljon XSS (Cross Site Scripting) -aukoista, joten tsekkailin joutessani läpi suomalaisia uutispalveluita ja muita johtavia/turvallisiksi luultuja nettisivustoja ko. ongelman varalta. Lähes jokaisella sivustolla, jonka testasin, oli XSS-aukkoja. Yleensä viat löytyivät alle minuutissa. Todella harmillisella tolalla isojenkin sivustojen phising-sietokyky. Erityisesti minua huolettaa nuo pankit.

Listaamani esimerkit saattavat olla hieman karkeita, mutta ajan kanssa aukkojen avulla saisi hiottua todella taitavia huijauksia, jotka pahimmillaan aiheuttaisivat asiakkaille rahanmenetyksiä. Aikkoja löytyi myös Osuuspankin ja Aktia-pankin nettisivuilta, jotka luokittelisin vakavimmiksi.

XSS-haavoittuvuutta voi hyödyntyää rikollisesti muotoilemalla sellaisen sähköpostin, että käyttäjä klikkaa viestissä olevaa linkkiä ja antaa jotain tärkeää informaatiota sivustolla joka linkistä aukeaa. Yleensä käyttäjätunnuksia ja tunnuslukuja sivustolle, jolla käsitellään rahaa. Lisää haavoittuvuudesta voi lukea esim. Wikipediasta tai Tietokone-lehden blogista.

Testailut olen tehnyt vain Opera-selaimella, joten jotkin XSS-aukot saattavat pikkusäätöjen vuoksi jäädä toimimatta muilla selaimilla. Ne ovat kuitenkin toimivia eivätkä vaatisi paljoa säätöä toimiakseen hyvin.

Materiaalit (tekstit ja kuvat) ovat vapaasti lehdistön ja bloggaajien käytettävissä.

Olen informoinut jokaista sivuston ylläpitäjää. Testataksesi haavoittuvuutta, klikkaa sivuston nimeä tai lue tarkemmat ohjeet/vian kuvaus.

Lista

Korjaamatta

1. Sampopankki (joukkolainat.fi korjaamatta)
   Sammon parjatusta verkkopankista löytyi jälleen tietoturva-aukko (19.4.). Aukon kautta on mahdollista suorittaa ns. phising-hyökkäyksiä. Esimerkeissä kirjoitan sivun päälle omaa sisältöäni, mm. youtube-videon.

   Toisessa esimerkissä näkyy Nordean sivu sampopankin päällä.

   Myös sampopankin palvelut Joukkolainat.fi sekä Rahastot.fi ovat haavoittuvaisia (katso esimerkit linkeistä).

   Tästä minulla on kuvakaappaus (TIF, 572 Kb), josta näkyy kuinka osoiterivillä lukee sampopankki.fi

   Olen aiemmin löytänyt aukot jo nordea-, osuus-, ja aktia-pankkien sivuilta. Sampopankkia en aiemmin jaksanut tutkia sivuston pätkimisen vuoksi. Nyt kun tsekkasin niin löytyihän sieltäkin moisia.

2. esim 1, esim 2). Ensimmäinen esimerkki aukaisee poliisi.fi-sivuston Ylen sivun päälle ja jälkimmäinen näyttää vain varoituksen.
3. Hätäkeskuslaitos
   Hätäkeskuksen sivuille voi kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston ko. sivun päälle.
4. Kuopion yliopisto
   Haavoittuvuuden avulla Kuopion yliopiston sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki kertoo haavoittuvuudesta virheilmoituksena.
5. Telkku.com
   Telkku.com on todella reikäinen ja sisältää vaarallisenkin XSS-aukon. Syötteitä ainoastakaan sivuston lomakkeesta ei tarkisteta ja sivuston URL kopioidaan sellaisenaan tarkistamatta sivuston lähdekoodiin - useita kertoja. Esimerkki lataa poliisi.fi-sivun.

   Sivustolle on myös mahdollista tallentaa pysyvästi haittakoodia muiden surffailijoiden nähtäväksi - tämä ei siis vaadi minkäänlaista linkin lähettämistä tms. hyökkääjältä, vain sen että telkku.comissa surffailija sattuu eksymään vahingoitetulle sivulle. Esimerkki varoittaa haavoittuvuudesta (muokattu telkku.comin käyttäjäsivu).

6. Sonera
   Soneran salatun yhteyden päässä oleva sivu antaa kirjoittaa laajakaistan tilauslomakkeeseen mitä tahansa haittakoodia. Esimerkki kirjoittaa pienen jekkuboxin sivun ylälaitaan.

   Aukko on siitä vaarallinen, että sivuston kautta käsitellään rahaa ja tarkkoja henkilötietoja.

7. Helsingin kaupunki (1/2 korjattu - wlan-aukko jäljellä))
   Helsingin rekrypalveluiden sivuilta vuotaa sivuille läpi käytännössä mitä tahansa haittakoodia. Tämän avulla voi tekaista esim. valheellisia työpaikkailmoituksia, tai sellaisia paikkoja johon ihmiset sitten jättävät lomalleella henkilötietojaan. Toinen aukko on WLAN-tukiasemien hakukartalla. Esimerkit latailevat taas tuttua poliisi.fi-sivua.

)
Esimerkki aukaisee hs.fi:n päälle poliisi.fi-sivun. Haavoittuvuuden avulla on mahdollista esimerkiksi vakoilla käyttäjän tunnukset. Tunnuksilla voisi esim. tehdä osoitteenmuutoksia, tuote- ja lehtitilauksia.

Aiemmin löytämäni XSS-aukko korjattiin 30.3.

8. Osuuspankki (korjattu)
   Osuuspankin sivuilla edelleenohjaussivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Sama ongelma kuin pohjolassa. Esimerkissä ko. sivun päälle on ladattu poliisi.fi. Joskus vian ilmeneminen vaatii ensin op.fi-osoitteessa käyntiä, en tiedä miksi.

   Tästä minulla on kuvakaappaus (TIF, 680 Kb), josta näkyy kuinka osoiterivillä lukee op.fi, sivuksi on ladattu poliisi.fi ja oikeassa ylänurkassa vieläpä onnistuneesta salatusta yhteydestä kertova lukko.

9. Pohjola (korjattu)
   Pohjolan sivuilla edelleenohjaussivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkissä ko. sivun päälle on ladattu poliisi.fi.
10. Aktia Säästöpankki (korjattu)
    Aktian sivuilta XSS-aukko löytyi ennätysnopeasti. Heti etusivulla muutamassa sekunnissa! Esimerkissä ko. sivun päälle on ladattu poliisi.fi.

    Tästä minulla on kuvakaappaus (TIF, 341 Kb), josta näkyy kuinka osoiterivillä lukee aktia.fi ja sivuksi on ladattu poliisi.fi

11. Tapiola (korjattu)
    Tapiolan sivuilla on lomake, joka antaa kirjoittaa sivupohjaan mitä tahansa haittakoodia. En ole vielä ehtinyt tutkia, miten sitä voisi hyödyntää XSS-aukkona (jotenkin sopivasti POST-tietoja tuonne lähettämällä jokatapauksessa), mutta voitte itse kokeilla kopioimalla vaikkapa yrityksen nimi-kenttään tämän tekstin: “><h1>XSS-aukko<!–
12. Opetusministeriö
    Opetusministeriön sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkissä ko. sivun päälle on ladattu poliisi.fi.
13. Opetushallitus
    Esimerkissä Opetushallituksen sivuston päälle aukaistaan poliisi.fi-sivusto. Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä OPH:n sivuston sisälle.
14. Eläke-Fennia
    Eläke-Fennian sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia ilman minkäänlaista tarkistusta. Esimerkissä ko. sivun päälle on ladattu poliisi.fi. Sivu voi ladata hetken (löytää paljon osumia hakukentän kautta.)
15. Oikeusministeriö (korjattu)
    Haavoittuvuuden avulla Oikeusministeriön sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
16. STT
    Haavoittuvuuden avulla STT:n sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa STT-sivun päälle poliisi.fi-sivuston.
17. Stakes (korjattu)
    Stakesin (Sosiaali- ja terveysalan tutkimus- ja kehittämiskeskus) sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkki kertoo haavoittuvuudesta varoitusikkunalla ja kirjoittaa sivulle JavaScriptilla tekstin XSS-haavoittuvuudesta. Tämä tapaus on siitä uskomaton, että sivusto jopa viimeistelee ja siistii kirjoittamani simppelin JavaScriptin kertomalla selaimelle että tässä hakusanassa on nyt tosiaankin JavaScriptiä eikä mitä tahansa “scriptiä”, kuten minä laiskasti väitän.
18. Otto (automatia) (korjattu)
    Automatian otto-palvelussa voi hakuominaisuuden kautta kirjoittaa sivustolle mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
19. tämä on identtinen bugi taloussanomien kanssa. Lisäksi Digitodayn keskustelualueen hakukentässä on XSS-aukko.
20. Nebula (korjattu)
    Haavoittuvuuden avulla Nebulan sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivun Nebulan päälle. Myös tilauslomake sisältää post-lomaketiedoilla hyödynnettävän aukon, mutta siitä en ehtinyt rakentamaan demoa. Voitte kokeilla tilausprosessissa edetessä ensimmäiseen eteentulevaan tekstikenttään kirjoittaa vaikkapa: <u>alleviivaus</u>
21. Suomen posti / Itella (2/2 aukkoa korjattu)
    Postin pakettilaskuri salliin koodin kirjoittamisen sivupohjaan. Esimerkki lataa poliisi.fi-sivuston.

    Tämä aukko korjattiin 1.4.:
    Postin sivuilla on todella uskomaton hakusysteemi käytössä. Sillä voi sisällyttää mitä tahansa sivuja postin palvelimella ajettavaksi, jolloin tietysti voidaan suorittaa mitä tahansa koodia. Esimerkissä postin sivun päälle ladataan oman palvelimeni kautta poliisin sivut. Kaikki sivustot jotka käyttävät samaa hakukoneta (Ultraseek) ovat haavoittuvaisia. Sama haavoituvuus löytyy tietysti myös Ultraseekin omilta sivuilta.

22. Helsingin karttapalvelu (korjattu)
    Helsingin karttapalvelu antaa kirjoittaa sivuillensa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivun. Lisäys: toimii näköjään vain jos osoitteen kopioi osoitekenttään.
23. Keskisuomalainen (korjattu)
    Haavoittuvuus lehdentilausprosessissa, siinä vaiheessa kun siirrytään maksamaan tilausta, mahdollistaa minkä tahansa koodin kirjoittamisen keskisuomalainen.com-sivustolla. Esimerkki lataa poliisi.fi-sivun.
24. Maikkari (korjattu)
    MTV3-kanavan sivustolla on videopalvelussa aukko, joka sallii javascript-komentojen suorittamisen sivustolla. Esimerkki lataa poliisi.fi-sivuston maikkarin sivun päälle (varoituksen kera).
25. City.fi / Deitti.net (5/5 aukkoa korjattu, kts. post-kohta) (Tämän ensimmäisen löysi Margus Sipria. )
    Deitti.net / City.fi -palveluiden lomake antaa kirjoittaa sivustolla tarkistamatta mitä tahansa koodia. Toinen aukko sijaitsee kerro kaverille -ominaisuudessa. Esimerkit lataavat poliisi.fi-sivun city.fi:n päälle. Tällä olisi mahdollista saada ihmisistä hyvinkin yksityisiä ja arkoja tietoja urkittua.
26. Nelonen.fi (korjattu)
    Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä Nelonen.fi-sivuston sisälle. Esimerkissä lataan ulkoisen HTML-tiedoston (punainen teksti) sivustolle. Tässä esimerkki punaisesta nelosesta.
27. JimTV (korjattu)
    Jim-televisiokanavan sivustolla on videopalvelussa aukko, joka sallii minkä tahansa koodin kirjoittamisen sivustolle. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
28. Plaza (korjattu)
    Plazan sivuille voi mobiili-sivun hakutoiminnon kautta syöttää mitä tahansa haittakoodia. Esimerkki lataa sivun päälle (hieman kömpelösti tosin) poliisi.fi-sivuston.
29. Afterdawn (korjattu)
    Afterdawn, digi-viihdetekniikkaan keskittynyt uutissivusto antaa hakukentässään kirjoittaa sivustolle mitä tahansa koodia. Esimerkki lataa poliisi.fi:n sivun päälle.
30. Taloussanomat (korjattu)
    Taloussanomien uutiskommentoinnin kautta voi sivustolle kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston. Myös taloussanomien tagi-sivu vuotaa vähän, mutta ihan XSS:ksi asti tästä ei ole.
31. Tietokone.fi (korjattu)
    Tuo aiempi aukko osoittautuikin vähän tehottomaksi, mutta uusi löytyi pienellä vaivalla. Tuo sivuston hakuboxi siis sallii html:n lisäämisen sivustolle, mutta vain keksien kautta, joten XSS-hyökkäyksessä sellaista on hankala hyödyntää. Uusi aukko antaa kirjoittaa mitä tahansa sisältöä sivustolle. Esimerkki lataa poliisi.fi-sivuston tietokone-sivun päälle.

    Tietokone-lehden sivustolla on alkeellinen hakukentän “XSS-karkaus”. Tämä on siitä ikävä, että sivusto tallentaa haut selaimeen, jolloin bugista ei pääse eroon. Tuon linkin jälkeen www.tietokone.fi siis näyttää aina poliisilta. ;-)

32. Iltalehti (korjattu)
    Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä Iltalehti.fi-sivuston sisälle. Esimerkissä näytetään selaimen varoitus ja kirjoitetaan iso teksti keskelle sivua.
33. Grafia (korjattu)
    Graafisen suunnittelun ammattilaisten järjestö, Grafia ry on XSS-haavoittuvainen. Sivustolle on hakukentän kautta mahdollista kirjoittaa mitä tahansa haittakoodia. Sivusto salaa yhteyden (https). Esimerkki lataa sivun päälle poliisi.fi:n.
34. Blogilista.fi (Sanoma Digital Oy) (korjattu)
    Sivustolle voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston blogilistan päälle, joskin sijoittelu vähän mättää: en ehtinyt käyttää hienosteluun aikaa.
35. Sektori.com (korjattu)
    Salasanamuistutuslomakkeen kautta voidaan sivustolle kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston sektorin päälle.
36. Patentti- ja rekisterihallitus (korjattu)
    PRH-sivustolla lomakkeelle voi syöttää mitä koodia tahansa “esitäytettäväksi”. Esimerkki lataa poliisi.fi-sivuston PRH:n päälle.
37. Pingstate.nu-yhteisösivu (korjattu)
    Sivusto antaa kirjoittaa mitä tahansa haittakoodia. Esimerkissä Punainen laatikko “XSS-haavoituvuus”-tekstillä.
38. Postin kampanja / PHS (korjattu)
    PHS-mainostoimiston toteuttamassa kampanjassa postille on lomakkeenkäsittelyssä puute, joka sallii minkä tahansa koodin kirjoittamisen sivuille. Esimerkissä pieni aprillipila. :-)
39. Verkkokauppa.com (korjattu)
    Verkkokaupan salasanamuistutus-lomake ei tarkista vastaanottamaansa POST-arvoa. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. En vielä ehtinyt rakentamaan javascript-formia, joka ensin avaisi tuon sivun, sitten lähettäisi post-käskyn uuden ikkunan oikeaan frameen. Pelkälle framesetille kun post-käskyä ei voi lähettää - eli sikäli aukko on vähän mutkan kautta käytettävissä. Voitte testata sitä kirjoittamalla sähköpostikenttään:
    <h1 style=”color:red”>Tässä on XSS-aukko</h1>

    Tämä on siitä vaarallinen aukko, että crakkeri pystyisi väärentämään esim. jonkin halvan tuotteen sivustolle, sekä myös maksupainikkeet - ja sitä kautta urkkimaan käyttäjältä pankkitunnukset/henkilökohtaisia tietoja/luottokorttitiedot jne.

POST-arvojen käsitelyvirhe -XSS-aukot

Nämä ovat siitä vaarallisia, ettei sivuston osoite näytä laisinkaan epäilyttävältä koodisotkulta. Toisaalta näitä ei voi jakaa ihan normaalisti osoitteina, mutta mitä sitten? HTML:nä sähköpostissa ja nettisivuilla nämä ovat silti vaarallisia. Nämä linkit ovat siis oikeasti lomake-nappeja, mutta tavallinen käyttäjä ei sitä välttämättä huomaa.

40. Lue näistä lisää lista-sivulta, en voinut sisällyttääkään kaikkea koska piti käyttää vähän erikoisempaa -tekniikkaa XSS-aukkojen metsästykseen.

Listaa päivitetty viimeksi 19.4.2008

Uutiset & linkit

• 30.3. - Keskisuomalaiseen on tulossa huomenna (ma) juttua tästä aiheesta etusivulle. Toimittaja haastatteli tänään ja kuviakin otettiin.
• 31.3. - Keskustelua aiheesta mm. pingstatessa.
• 31.3. - Osoitteessa xss.dy.fi on lisää listattuna XSS-haavoittuvuuksia suomalaisilla sivustoilla.
• 31.3. - Lisää haavoittuvuuksia osoitteessa piru.dyndns.org/~p/xss.txt.
• 31.3. - Keskisuomalaisen juttu luettavissa lyhennettynä myös ksml.netissä: Suurten yritysten verkkosivut reikäjuustoa. Koko juttu PDF:nä (15mt, klikkaa oikealla napilla linkkiä ja valitse “Save as / Tallenna nimellä”)
• 31.3. - Vierityspalkki kirjoitti jutun aiheesta. Jutussa on runsaasti hyviä linkkejä tietolähteisiin.
• 1.4. - Muropaketin keskustelualueella aiheesta, sekä muutamia haavoittuvuuksia listattuna.

Jos löydän haavoittuvuuden?

Ilmoita asiasta sivuston ylläpitäjälle sekä CERT-FI:lle osoitteeseen cert@ficora.fi. Voit myös halutessasi julkaista aukon tällä listalla (ks. yhteystiedot) tai xss.dy.fi-wikissä.

Lisätietoja:

Mikael Korpela, Jyväskylä
Graafikko & www-suunnittelija
mikael@ihminen.org
www.ihminen.org
www.ihminen.org/yhteystiedot/ (tarkemmat yhteystiedot)

Voi helkkari kun osaa ihmiset olla kaksinaamaisia. Bjarne Kallis kenraali Gustav Hägglundin säestyksellä hokee Uralin perhosesta, että nyt on ihmisiä loukattu. Eikä Marskin biseksuaalisuus suinkaan Bjarnea tai Gustavia loukkaa (eipä)… kunhan vain mesoavat siitä että veteraaneja on ehdointahdoin lähdetty häpäisemään. Eivät vaan kehtaa sanoa mitä oikeasti ajattelevat seksuaalisista vähemmistöistä.

Täytyy kyllä todeta Katariina Lillqvistin olevan nero. Sadulla sisällissodan haavoista hän onnistuukin löytämään Suomalaisista yllättävän vahvan ja edelleenkin yleisen homokammon.

No, mitäpä minä höpisen. Katsokaa leffa ja A-talk niin voitte itse tehdä päätelmänne keskustelusta. Ohjaaja Katariina Lillqvist, kenraali Gustav Hägglund ja poliitikot Minna Sirnö ja Bjarne Kallis - A-talk väittelee Marski-animaatiosta. (Ohjelmassa myös klippejä leffasta, nimenomaan Ne kohtaukset)

Eilisissä Ylen klo 18 uutisissa oli hauska aloituslause: “Suomalaiset joivat viimevuona viinaa taas enemmän kuin ennen”. Seuraavaan uutislähetykseen se oli jo muutetty tylsempään “alkoholin kulutus on kasvanut”-muotoon. Kuuden uutiset voi katsoa areenalta.

Keskisuomalainen ivaili tänään Ylelle kysymällä päivän netti-kysymyksenä: juotko enemmän viinaa kuin koskaan? Kyllä / Ei.

Muita huomioita netistä:

Jyväskyläläinen Tapani Tarvainen on tehnyt kantelun internetaktivisti Matti Nikin sivuston sensuroinnista.

Almamedia on ostanut Telkku.comin. Minusta erityisen kiinnostava on tämä kohta: Tavoitteenamme on myös vahvistaa Telkku.comin asemaa yhteisöllisenä mediana ja nostaa se Suomen kolmen suurimman verkkoyhteisöpalvelun joukkoon.

Nykyäänhän telkku.comin “yhteisöllisyys” on lähinnä kuihtuvaa keskustelua tv-ohjelmista, eikä keskustelun taso edes ole niin korkeaa että sitä voisi sanoa keskusteluksi. Saapa siis nähdä mitä tekevät, ihan mielenkiinnolla täällä odotetaan uusia avauksia melko kuumana käyvillä yhteisösivustojen markkinoilla. Saattavat muutenkin tarkoittaa “kolmen suurimman suomalaisen joukkoon”. Jokatapauksessa: jotain uutta ja repäisevää tekisi mieli nähdä Suomessakin, vaikka idikset sitten haettaisiinkin ulkomailta.

Jyväskylästä tulee mahdollisesti iltaisen valtuuston päätöksen myötä Suomen seitsemänneksi suurin kunta väkiluvussa mitattuna. Onnea sen johdosta!

Harmittaa, kun jäi Erkan kännyvideo-streaming näkemättä. Sille olisi vaikka kuinka moni blogi vinkannut, jos olisin hoksannut päivän aikana vain vilkaista blogilistaa…

Hieno esimerkki kuitenkin toimivasta kansalaismediasta. Streamille ehti kertyä varsin monipäinen yleisö.

Mitä lie muita käyttömahdollisuuksia tuollaisella olisi? Olisi hienoa saada tänne toimiva kansalaismedia, sellainen, johon käyttäjät voisivat itse streamingin lisäksi lähettää valokuvia, tekstejä ja videonpätkiä kaupungista. Huomioita, tunnelmakuvaa ja informaatiota (tapahtumat, onnettomuudet, kummalliset pikkujutut, poliittiset tempaukset yms.) Sisältöä varmasti riittäisi, kun vain homman saisi pelittämään tarpeeksi helppokäyttöisenä ja ylipäätänsä ihmisiä pyörittämään sellaista. Kulkurissa olisi siihen potentiaalia, mutta se vain lepää laakereillaan aika/ihmispulan vuoksi…

Ehkäpä joku flickr:n, youtuben, googlemapsin yms. palvelut yhdistävä mashup-nettisivusto? Voisin melkein kuvitella että sellaisen rakentaminen olisi mahdollista jo pelkästään WordPressin (tämän blogisoftan) plugareilla.

Toivottavasti hesari lähtee viemään omakaupunki.hs.fi -palveluaan siihen suuntaan - ja mikä parasta, laajentaisi sen kattamaan koko maan.

Viimepäivät ovat menneet Päivin lailla apurahahakemusten parissa. Phuh! Ja jotkut tekee näitä työkseen… Aiheeseen liittyen: YLE: Taiteilija-apurahojen jakoperiaatteet muuttumassa. Ihme sanahelinää tuo taas, vai mitä ihmettä tarkoittaa “…taiteilijatukijärjestelmä vaikuttaakin olevan siirtymässä puhtaasta laatuajattelusta kohti jonkinlaista sosiaalista oikeudenmukaisuutta”?

Jokatapauksessa, tervetuloa katselemaan ja ennenkaikkea osallistumaan. Levittäkää viestiä eteenkinpäin:

Live Herring 2008
Jyväskylän taidemuseo / The Jyväskylä Art Museum
29.10. - 16.11. 2008 Jyväskylä, Finland

Live Herring ‘08 kutsuu pohjoismaiset taiteilijat tarjoamaan näyttelyyn uusmediataideteoksia, digitaalisia kuvia ja aiheeseen liittyviä työpaja-ehdotuksia.

Teosten ilmoittautuminen alkaa: 15.10. 2007
Teosten ilmoittautuminen päättyy: 30.4.2008
Ei jurytys- tai osallistumismaksua.

Live Herring ‘08 näyttely etsii kaikenlaista pohjoismaista uusmediataidetta verkkotaiteesta installaatioihin ja tietokonetaiteesta ääniteoksiin. Valittujen teosten / taiteilijoiden lista julkaistaan Live Herring -verkkosivulla (www.liveherring.org) 15.6.2008. Live Herring etsii myös työpaja-ehdotuksia. Näyttelyyn voi tarjota uusmediataideteoksia kaikista genreistä. Taideteokset voivat olla interaktiivisia, staattisia, online tai offline, hypernarratiivisia tai abstrakteja.