Ekoketti eli ekoquette on normatiivinen sääntö sille, “kuinka toimia ekologisesti ympäristöä säästäen”.

Ja sitten eikun käyttämään!

Eli tähtäimessä aloittaa ainakin toinen touhuista tän kesän aikana.

Saas nähdä sitten lokakuussa, onko kummankaan aloittamisesta - saati touhuamisesta tullut yhtään mitään. Oletettavaahan nimittäin on, ettei ole.

Yösijaa, anyone? Onko kukaan kulkemassa Tampereelle Jyväskylästä ja takaisin?

“Tietotyö vapauttaa” julistaa Mattilanniemestä vappuna löytynyt graffiti saksaksi. Blogissa kerrotaan:

Yliopistolaisten aamuihin puhtia tuovan sloganin toteutti mainostoimisto Das Kapital, Castells und Himanen, joka toimii toistaiseksi yrityksenä vailla yhteystietoja. Kampanja saa jatkoa kesän ja syksyn myötä. Nyt ei itketä, nyt ruvetaan töihin!

• TTVO:n ennakkotehtäväni 2008 - PDF 2,5 mt.

Klikkaa oikealla hiiren napilla ja “tallenna nimellä / save as”, jottei selaimesi jää jumiin tiedostokoon vuoksi.

Kiinnostuneet voivat lukea myös TTVO:n hakublogia. Kesäkuussa muistaakseni on haastattelut ja heinäkuussa tulee tietoa opiskelemaan pääsystä/hylkäyksestä. Ihan kivaa kun ei tarvitse hirveällä stressillä odottaa, lähinnä pienellä jänskätyksellä. Jos en pääse opiskelemaan niin jatkan kuten tähänkin asti: mielenkiintoisia töitä kyllä riittää enemmän kuin ehtisi tehdäkään. Päivitän tietoja hakuprosessista tänne ajan mittaan.

Tsemppiä kaikille muillekkin hakeneille!

Haastattelija: Onko sammon verkkopankissa tietoturva-aukko?
Hannu Vuola: Ei.
Haastattelija: Tänään kerrottiin että siinä olis ollu, mitä te sanotte siihen?
Hannu Vuola: Meillä oli tota pieni tietoturva ongelma meidän sivustolla, mut se ei ollu verkkopankissa kyllä suorastaan ja me on korjattu se monta tuntia sitten.

Viestintäjohtaja siis ajattelee, että erittelemällä verkkopankin ja sivuston informaatio-osuudet kahdeksi erilliseksi “sivustoksi”, voidaan sanoa ettei sammon verkkopankissa ole tietoturva-aukkoa. Tavalliset käyttäjäthän eivät näin ajattele.

Kun “pieni tietoturva ongelma” sitten löydettiin ja korjattiin, olisi fiksu pankki tietysti tutkinut ohjelmistonsa läpi muiden vastaavien ongelmien varalta. Muutoin tämmöiset pikkuohjelmoijat Jyväskylästä tsekkaa sivuston läpi ja löytää lisää aukkoja.

Lue lisää XSS-haavoittuvuuksista XSS-sivultani.

Koko yö meni nukkumatta. Aamulla sain bändin tyypeiltä kyydin Jyväskylään ja kuljettiin läpi ABC:n kahvien, Kuokkalan, Kypärämäen ja nyt mä olen tässä. Kello tulee yksitoista, lauantai vissiin on.

Aina sitä päätyy kaikkiin ihme seikkailuihin.

Ajattelin aluksi että teen sidonnan itse, mutta testikappale näytti niin hirveältä että peruin idean. Kello oli tosin jo niin paljon, etten kierrejousta missään ehtinyt teettää ja postitukset lähtevät kuudelta tai puoliseiskalta.

Tuli sit idis: jos teetänkin kunnon sidonnan aamulla ja sitten liftausreissu Tampereelle. Matskut tarttee olla opintotoimistolla klo 16.15.

Kivalta kuulostaa! Kunhan ei sada. Ai häh, ajoissako olis pitäny olla? :-)

• Lisäys 11.4. klo 8.41 - Perskele, tuollahan sataa räntää!
• Lisäys 11.4. klo 11.35 - Räntäsade loppui, kopijyvältä “spiraali” portfolionreunaan ja aurinkokin paistaa. Liftaan sittenkin. Juna olis lähteny 13.22
• Lisäys 11.4. klo 14.43 - Tuli yhteensä vaan vartti odottelua tien varressa (Nokiatalon edessä ja Jämsän liikenneympyrässä). Ennakkotehtävät palautettu ja nyt kanapurilaista saa nälkäinen sekkailija American Dineris. Täällä on ilmainen WLANikin.
• Lisäys 12.4. klo 10.53 - Kotona… örrr.

Kieku Oy:llä on kunnianhimoinen tavoite uudistaa hommaa:

Ministeri myös ilmaisi ihailevansa Kieku Oy:n pyrkimystä luoda kananmunasta brändi ja kiitosta sai myös rohkeus, jolla Kieku verkkosivuillaan on antanut yrittäjille kasvot.

Tiedote avajaisista 1.2.

Jännää miten sitä ihminen ostaa nätimmän paketin, vaikka ihan samoja luomumunia olis kaikissa paketeissa.

• KSML.fi: Talo vallattu yliopiston kampusalueella
• HS.fi: Yliopiston rakennus vallattin Jyväskylässä
• Yle: Yliopiston rakennus vallattiin Jyväskylässä

Muistakaa, että vaikka Helsingissä nuorisoliikehdintä lisätilojen (nuoriso- ja opiskelijapippalotilat) saamiseksi on ollut näkyvintä, puuttuu tiloja paljon myös Jyväskylästä. Onneksi kohta saadaan veturitallit kulttuurikäyttöön, edes.

Valtaajat kommentoivat osuvasti:

Yliopisto ja kaupunkitila ovat kriisissä. Monet urputtavat. Me teemme.

Viimeaikoina on uutisoitu paljon XSS (Cross Site Scripting) -aukoista, joten tsekkailin joutessani läpi suomalaisia uutispalveluita ja muita johtavia/turvallisiksi luultuja nettisivustoja ko. ongelman varalta. Lähes jokaisella sivustolla, jonka testasin, oli XSS-aukkoja. Yleensä viat löytyivät alle minuutissa. Todella harmillisella tolalla isojenkin sivustojen phising-sietokyky. Erityisesti minua huolettaa nuo pankit.

Listaamani esimerkit saattavat olla hieman karkeita, mutta ajan kanssa aukkojen avulla saisi hiottua todella taitavia huijauksia, jotka pahimmillaan aiheuttaisivat asiakkaille rahanmenetyksiä. Aikkoja löytyi myös Osuuspankin ja Aktia-pankin nettisivuilta, jotka luokittelisin vakavimmiksi.

XSS-haavoittuvuutta voi hyödyntyää rikollisesti muotoilemalla sellaisen sähköpostin, että käyttäjä klikkaa viestissä olevaa linkkiä ja antaa jotain tärkeää informaatiota sivustolla joka linkistä aukeaa. Yleensä käyttäjätunnuksia ja tunnuslukuja sivustolle, jolla käsitellään rahaa. Lisää haavoittuvuudesta voi lukea esim. Wikipediasta tai Tietokone-lehden blogista.

Testailut olen tehnyt vain Opera-selaimella, joten jotkin XSS-aukot saattavat pikkusäätöjen vuoksi jäädä toimimatta muilla selaimilla. Ne ovat kuitenkin toimivia eivätkä vaatisi paljoa säätöä toimiakseen hyvin.

Materiaalit (tekstit ja kuvat) ovat vapaasti lehdistön ja bloggaajien käytettävissä.

Olen informoinut jokaista sivuston ylläpitäjää. Testataksesi haavoittuvuutta, klikkaa sivuston nimeä tai lue tarkemmat ohjeet/vian kuvaus.

Lista

Korjaamatta

1. Sampopankki (joukkolainat.fi korjaamatta)
   Sammon parjatusta verkkopankista löytyi jälleen tietoturva-aukko (19.4.). Aukon kautta on mahdollista suorittaa ns. phising-hyökkäyksiä. Esimerkeissä kirjoitan sivun päälle omaa sisältöäni, mm. youtube-videon.

   Toisessa esimerkissä näkyy Nordean sivu sampopankin päällä.

   Myös sampopankin palvelut Joukkolainat.fi sekä Rahastot.fi ovat haavoittuvaisia (katso esimerkit linkeistä).

   Tästä minulla on kuvakaappaus (TIF, 572 Kb), josta näkyy kuinka osoiterivillä lukee sampopankki.fi

   Olen aiemmin löytänyt aukot jo nordea-, osuus-, ja aktia-pankkien sivuilta. Sampopankkia en aiemmin jaksanut tutkia sivuston pätkimisen vuoksi. Nyt kun tsekkasin niin löytyihän sieltäkin moisia.

2. esim 1, esim 2). Ensimmäinen esimerkki aukaisee poliisi.fi-sivuston Ylen sivun päälle ja jälkimmäinen näyttää vain varoituksen.
3. Hätäkeskuslaitos
   Hätäkeskuksen sivuille voi kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston ko. sivun päälle.
4. Kuopion yliopisto
   Haavoittuvuuden avulla Kuopion yliopiston sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki kertoo haavoittuvuudesta virheilmoituksena.
5. Telkku.com
   Telkku.com on todella reikäinen ja sisältää vaarallisenkin XSS-aukon. Syötteitä ainoastakaan sivuston lomakkeesta ei tarkisteta ja sivuston URL kopioidaan sellaisenaan tarkistamatta sivuston lähdekoodiin - useita kertoja. Esimerkki lataa poliisi.fi-sivun.

   Sivustolle on myös mahdollista tallentaa pysyvästi haittakoodia muiden surffailijoiden nähtäväksi - tämä ei siis vaadi minkäänlaista linkin lähettämistä tms. hyökkääjältä, vain sen että telkku.comissa surffailija sattuu eksymään vahingoitetulle sivulle. Esimerkki varoittaa haavoittuvuudesta (muokattu telkku.comin käyttäjäsivu).

6. Sonera
   Soneran salatun yhteyden päässä oleva sivu antaa kirjoittaa laajakaistan tilauslomakkeeseen mitä tahansa haittakoodia. Esimerkki kirjoittaa pienen jekkuboxin sivun ylälaitaan.

   Aukko on siitä vaarallinen, että sivuston kautta käsitellään rahaa ja tarkkoja henkilötietoja.

7. Helsingin kaupunki (1/2 korjattu - wlan-aukko jäljellä))
   Helsingin rekrypalveluiden sivuilta vuotaa sivuille läpi käytännössä mitä tahansa haittakoodia. Tämän avulla voi tekaista esim. valheellisia työpaikkailmoituksia, tai sellaisia paikkoja johon ihmiset sitten jättävät lomalleella henkilötietojaan. Toinen aukko on WLAN-tukiasemien hakukartalla. Esimerkit latailevat taas tuttua poliisi.fi-sivua.

)
Esimerkki aukaisee hs.fi:n päälle poliisi.fi-sivun. Haavoittuvuuden avulla on mahdollista esimerkiksi vakoilla käyttäjän tunnukset. Tunnuksilla voisi esim. tehdä osoitteenmuutoksia, tuote- ja lehtitilauksia.

Aiemmin löytämäni XSS-aukko korjattiin 30.3.

8. Osuuspankki (korjattu)
   Osuuspankin sivuilla edelleenohjaussivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Sama ongelma kuin pohjolassa. Esimerkissä ko. sivun päälle on ladattu poliisi.fi. Joskus vian ilmeneminen vaatii ensin op.fi-osoitteessa käyntiä, en tiedä miksi.

   Tästä minulla on kuvakaappaus (TIF, 680 Kb), josta näkyy kuinka osoiterivillä lukee op.fi, sivuksi on ladattu poliisi.fi ja oikeassa ylänurkassa vieläpä onnistuneesta salatusta yhteydestä kertova lukko.

9. Pohjola (korjattu)
   Pohjolan sivuilla edelleenohjaussivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkissä ko. sivun päälle on ladattu poliisi.fi.
10. Aktia Säästöpankki (korjattu)
    Aktian sivuilta XSS-aukko löytyi ennätysnopeasti. Heti etusivulla muutamassa sekunnissa! Esimerkissä ko. sivun päälle on ladattu poliisi.fi.

    Tästä minulla on kuvakaappaus (TIF, 341 Kb), josta näkyy kuinka osoiterivillä lukee aktia.fi ja sivuksi on ladattu poliisi.fi

11. Tapiola (korjattu)
    Tapiolan sivuilla on lomake, joka antaa kirjoittaa sivupohjaan mitä tahansa haittakoodia. En ole vielä ehtinyt tutkia, miten sitä voisi hyödyntää XSS-aukkona (jotenkin sopivasti POST-tietoja tuonne lähettämällä jokatapauksessa), mutta voitte itse kokeilla kopioimalla vaikkapa yrityksen nimi-kenttään tämän tekstin: “><h1>XSS-aukko<!–
12. Opetusministeriö
    Opetusministeriön sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkissä ko. sivun päälle on ladattu poliisi.fi.
13. Opetushallitus
    Esimerkissä Opetushallituksen sivuston päälle aukaistaan poliisi.fi-sivusto. Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä OPH:n sivuston sisälle.
14. Eläke-Fennia
    Eläke-Fennian sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia ilman minkäänlaista tarkistusta. Esimerkissä ko. sivun päälle on ladattu poliisi.fi. Sivu voi ladata hetken (löytää paljon osumia hakukentän kautta.)
15. Oikeusministeriö (korjattu)
    Haavoittuvuuden avulla Oikeusministeriön sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
16. STT
    Haavoittuvuuden avulla STT:n sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa STT-sivun päälle poliisi.fi-sivuston.
17. Stakes (korjattu)
    Stakesin (Sosiaali- ja terveysalan tutkimus- ja kehittämiskeskus) sivuilla hakusivu antaa kirjoittaa sivulle käytännössä mitä tahansa koodia. Esimerkki kertoo haavoittuvuudesta varoitusikkunalla ja kirjoittaa sivulle JavaScriptilla tekstin XSS-haavoittuvuudesta. Tämä tapaus on siitä uskomaton, että sivusto jopa viimeistelee ja siistii kirjoittamani simppelin JavaScriptin kertomalla selaimelle että tässä hakusanassa on nyt tosiaankin JavaScriptiä eikä mitä tahansa “scriptiä”, kuten minä laiskasti väitän.
18. Otto (automatia) (korjattu)
    Automatian otto-palvelussa voi hakuominaisuuden kautta kirjoittaa sivustolle mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
19. tämä on identtinen bugi taloussanomien kanssa. Lisäksi Digitodayn keskustelualueen hakukentässä on XSS-aukko.
20. Nebula (korjattu)
    Haavoittuvuuden avulla Nebulan sivuille voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivun Nebulan päälle. Myös tilauslomake sisältää post-lomaketiedoilla hyödynnettävän aukon, mutta siitä en ehtinyt rakentamaan demoa. Voitte kokeilla tilausprosessissa edetessä ensimmäiseen eteentulevaan tekstikenttään kirjoittaa vaikkapa: <u>alleviivaus</u>
21. Suomen posti / Itella (2/2 aukkoa korjattu)
    Postin pakettilaskuri salliin koodin kirjoittamisen sivupohjaan. Esimerkki lataa poliisi.fi-sivuston.

    Tämä aukko korjattiin 1.4.:
    Postin sivuilla on todella uskomaton hakusysteemi käytössä. Sillä voi sisällyttää mitä tahansa sivuja postin palvelimella ajettavaksi, jolloin tietysti voidaan suorittaa mitä tahansa koodia. Esimerkissä postin sivun päälle ladataan oman palvelimeni kautta poliisin sivut. Kaikki sivustot jotka käyttävät samaa hakukoneta (Ultraseek) ovat haavoittuvaisia. Sama haavoituvuus löytyy tietysti myös Ultraseekin omilta sivuilta.

22. Helsingin karttapalvelu (korjattu)
    Helsingin karttapalvelu antaa kirjoittaa sivuillensa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivun. Lisäys: toimii näköjään vain jos osoitteen kopioi osoitekenttään.
23. Keskisuomalainen (korjattu)
    Haavoittuvuus lehdentilausprosessissa, siinä vaiheessa kun siirrytään maksamaan tilausta, mahdollistaa minkä tahansa koodin kirjoittamisen keskisuomalainen.com-sivustolla. Esimerkki lataa poliisi.fi-sivun.
24. Maikkari (korjattu)
    MTV3-kanavan sivustolla on videopalvelussa aukko, joka sallii javascript-komentojen suorittamisen sivustolla. Esimerkki lataa poliisi.fi-sivuston maikkarin sivun päälle (varoituksen kera).
25. City.fi / Deitti.net (5/5 aukkoa korjattu, kts. post-kohta) (Tämän ensimmäisen löysi Margus Sipria. )
    Deitti.net / City.fi -palveluiden lomake antaa kirjoittaa sivustolla tarkistamatta mitä tahansa koodia. Toinen aukko sijaitsee kerro kaverille -ominaisuudessa. Esimerkit lataavat poliisi.fi-sivun city.fi:n päälle. Tällä olisi mahdollista saada ihmisistä hyvinkin yksityisiä ja arkoja tietoja urkittua.
26. Nelonen.fi (korjattu)
    Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä Nelonen.fi-sivuston sisälle. Esimerkissä lataan ulkoisen HTML-tiedoston (punainen teksti) sivustolle. Tässä esimerkki punaisesta nelosesta.
27. JimTV (korjattu)
    Jim-televisiokanavan sivustolla on videopalvelussa aukko, joka sallii minkä tahansa koodin kirjoittamisen sivustolle. Esimerkki lataa sivun päälle poliisi.fi-sivuston.
28. Plaza (korjattu)
    Plazan sivuille voi mobiili-sivun hakutoiminnon kautta syöttää mitä tahansa haittakoodia. Esimerkki lataa sivun päälle (hieman kömpelösti tosin) poliisi.fi-sivuston.
29. Afterdawn (korjattu)
    Afterdawn, digi-viihdetekniikkaan keskittynyt uutissivusto antaa hakukentässään kirjoittaa sivustolle mitä tahansa koodia. Esimerkki lataa poliisi.fi:n sivun päälle.
30. Taloussanomat (korjattu)
    Taloussanomien uutiskommentoinnin kautta voi sivustolle kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa sivun päälle poliisi.fi-sivuston. Myös taloussanomien tagi-sivu vuotaa vähän, mutta ihan XSS:ksi asti tästä ei ole.
31. Tietokone.fi (korjattu)
    Tuo aiempi aukko osoittautuikin vähän tehottomaksi, mutta uusi löytyi pienellä vaivalla. Tuo sivuston hakuboxi siis sallii html:n lisäämisen sivustolle, mutta vain keksien kautta, joten XSS-hyökkäyksessä sellaista on hankala hyödyntää. Uusi aukko antaa kirjoittaa mitä tahansa sisältöä sivustolle. Esimerkki lataa poliisi.fi-sivuston tietokone-sivun päälle.

    Tietokone-lehden sivustolla on alkeellinen hakukentän “XSS-karkaus”. Tämä on siitä ikävä, että sivusto tallentaa haut selaimeen, jolloin bugista ei pääse eroon. Tuon linkin jälkeen www.tietokone.fi siis näyttää aina poliisilta. ;-)

32. Iltalehti (korjattu)
    Haavoittuvuuden avulla voidaan ladata mitä tahansa sisältöä Iltalehti.fi-sivuston sisälle. Esimerkissä näytetään selaimen varoitus ja kirjoitetaan iso teksti keskelle sivua.
33. Grafia (korjattu)
    Graafisen suunnittelun ammattilaisten järjestö, Grafia ry on XSS-haavoittuvainen. Sivustolle on hakukentän kautta mahdollista kirjoittaa mitä tahansa haittakoodia. Sivusto salaa yhteyden (https). Esimerkki lataa sivun päälle poliisi.fi:n.
34. Blogilista.fi (Sanoma Digital Oy) (korjattu)
    Sivustolle voidaan kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston blogilistan päälle, joskin sijoittelu vähän mättää: en ehtinyt käyttää hienosteluun aikaa.
35. Sektori.com (korjattu)
    Salasanamuistutuslomakkeen kautta voidaan sivustolle kirjoittaa mitä tahansa haittakoodia. Esimerkki lataa poliisi.fi-sivuston sektorin päälle.
36. Patentti- ja rekisterihallitus (korjattu)
    PRH-sivustolla lomakkeelle voi syöttää mitä koodia tahansa “esitäytettäväksi”. Esimerkki lataa poliisi.fi-sivuston PRH:n päälle.
37. Pingstate.nu-yhteisösivu (korjattu)
    Sivusto antaa kirjoittaa mitä tahansa haittakoodia. Esimerkissä Punainen laatikko “XSS-haavoituvuus”-tekstillä.
38. Postin kampanja / PHS (korjattu)
    PHS-mainostoimiston toteuttamassa kampanjassa postille on lomakkeenkäsittelyssä puute, joka sallii minkä tahansa koodin kirjoittamisen sivuille. Esimerkissä pieni aprillipila. :-)
39. Verkkokauppa.com (korjattu)
    Verkkokaupan salasanamuistutus-lomake ei tarkista vastaanottamaansa POST-arvoa. Sivustolle voi kirjoittaa mitä tahansa haittakoodia. En vielä ehtinyt rakentamaan javascript-formia, joka ensin avaisi tuon sivun, sitten lähettäisi post-käskyn uuden ikkunan oikeaan frameen. Pelkälle framesetille kun post-käskyä ei voi lähettää - eli sikäli aukko on vähän mutkan kautta käytettävissä. Voitte testata sitä kirjoittamalla sähköpostikenttään:
    <h1 style=”color:red”>Tässä on XSS-aukko</h1>

    Tämä on siitä vaarallinen aukko, että crakkeri pystyisi väärentämään esim. jonkin halvan tuotteen sivustolle, sekä myös maksupainikkeet - ja sitä kautta urkkimaan käyttäjältä pankkitunnukset/henkilökohtaisia tietoja/luottokorttitiedot jne.

POST-arvojen käsitelyvirhe -XSS-aukot

Nämä ovat siitä vaarallisia, ettei sivuston osoite näytä laisinkaan epäilyttävältä koodisotkulta. Toisaalta näitä ei voi jakaa ihan normaalisti osoitteina, mutta mitä sitten? HTML:nä sähköpostissa ja nettisivuilla nämä ovat silti vaarallisia. Nämä linkit ovat siis oikeasti lomake-nappeja, mutta tavallinen käyttäjä ei sitä välttämättä huomaa.

40. Lue näistä lisää lista-sivulta, en voinut sisällyttääkään kaikkea koska piti käyttää vähän erikoisempaa -tekniikkaa XSS-aukkojen metsästykseen.

Listaa päivitetty viimeksi 19.4.2008

Uutiset & linkit

• 30.3. - Keskisuomalaiseen on tulossa huomenna (ma) juttua tästä aiheesta etusivulle. Toimittaja haastatteli tänään ja kuviakin otettiin.
• 31.3. - Keskustelua aiheesta mm. pingstatessa.
• 31.3. - Osoitteessa xss.dy.fi on lisää listattuna XSS-haavoittuvuuksia suomalaisilla sivustoilla.
• 31.3. - Lisää haavoittuvuuksia osoitteessa piru.dyndns.org/~p/xss.txt.
• 31.3. - Keskisuomalaisen juttu luettavissa lyhennettynä myös ksml.netissä: Suurten yritysten verkkosivut reikäjuustoa. Koko juttu PDF:nä (15mt, klikkaa oikealla napilla linkkiä ja valitse “Save as / Tallenna nimellä”)
• 31.3. - Vierityspalkki kirjoitti jutun aiheesta. Jutussa on runsaasti hyviä linkkejä tietolähteisiin.
• 1.4. - Muropaketin keskustelualueella aiheesta, sekä muutamia haavoittuvuuksia listattuna.

Jos löydän haavoittuvuuden?

Ilmoita asiasta sivuston ylläpitäjälle sekä CERT-FI:lle osoitteeseen cert@ficora.fi. Voit myös halutessasi julkaista aukon tällä listalla (ks. yhteystiedot) tai xss.dy.fi-wikissä.

Lisätietoja:

Mikael Korpela, Jyväskylä
Graafikko & www-suunnittelija
mikael@ihminen.org
www.ihminen.org
www.ihminen.org/yhteystiedot/ (tarkemmat yhteystiedot)

Tarinat paskaisista selleistä eivät juurikaan eroa Oikeutta eläimille -järjestön julkaisemista videoista tuotantoeläinten kohtelusta. Jos tuotantoeläinten kohdalla olikin kyse vain yksittäistapauksista - mitä epäilen, koska lakikaan koko asian osalta ei ole eläinystävällinen - niin miten on asianlaita Lehtosaaren ja kumppaneiden kohdalla?

Lehtosaaresta saa raportaasissa hyvinkin älykkään kuvan, väkivaltaisista teoistaan huolimatta. Miehellä on selkeästi ollut aikaa miettiä ja toisaalta monet väkivallanteot ovat selkeästi olleet seurausta vakavista psyykkisistä ongelmista.

Pari otetta:

Polvella painettiin päätä lattiaan - turvasaappalla. Sitten roikotettiin puoltoista tuntia käsiraudoissa kahlittuna. Alasti. - Jere Lehtinen

Me asuttiin jossain vaiheessa olosuhteissa missä ei pystyny kunnolla hengittämään. Palvelu pelas yhteen suuntaan vaan, eli ruoka tuotiin lautasella kolmesti päivässä ja mitään ei saatu ulos. Eli se kaikki ne jätteet keräänty meidän selliin. Vessanpönttöjä ei vedetty ja niin edelleen. Siellä rupes olee aika kova dunkkis. Lopulta se huipentu siihen että vartija kanto lapiolla sitä paskaa meidän selleihin - heitteli sitä seinille ja me sitten asuttiin niissä tiloissa. Me ei päästy peseytymään yli kahtee kuukauteen, meille ei annettu vaihtovaatteita yli kahteen kuukauteen. Se muu kohtelu noudatteli tätä samaa linjaa.
- Eikka Lehtosaari

Ja niin edelleen: pahoinpidellyt eivät saa lääkärinlausuntojaan, valvontakamerakuvia ei tutkita, kanteluihin ei reagoida… vankiloiden lainvastaiset menetelmät muuttuivat jonkin verran ohjelmanteon aikana.

Reportaasi “Pahan palkka” on nähtävissä Ylen Areenalla.

Minkähän näille nyt oikein mahtaisi?

Täytyy kyllä todeta Katariina Lillqvistin olevan nero. Sadulla sisällissodan haavoista hän onnistuukin löytämään Suomalaisista yllättävän vahvan ja edelleenkin yleisen homokammon.

No, mitäpä minä höpisen. Katsokaa leffa ja A-talk niin voitte itse tehdä päätelmänne keskustelusta. Ohjaaja Katariina Lillqvist, kenraali Gustav Hägglund ja poliitikot Minna Sirnö ja Bjarne Kallis - A-talk väittelee Marski-animaatiosta. (Ohjelmassa myös klippejä leffasta, nimenomaan Ne kohtaukset)

Keskisuomalainen ivaili tänään Ylelle kysymällä päivän netti-kysymyksenä: juotko enemmän viinaa kuin koskaan? Kyllä / Ei.

Muita huomioita netistä:

Jyväskyläläinen Tapani Tarvainen on tehnyt kantelun internetaktivisti Matti Nikin sivuston sensuroinnista.

Almamedia on ostanut Telkku.comin. Minusta erityisen kiinnostava on tämä kohta: Tavoitteenamme on myös vahvistaa Telkku.comin asemaa yhteisöllisenä mediana ja nostaa se Suomen kolmen suurimman verkkoyhteisöpalvelun joukkoon.

Nykyäänhän telkku.comin “yhteisöllisyys” on lähinnä kuihtuvaa keskustelua tv-ohjelmista, eikä keskustelun taso edes ole niin korkeaa että sitä voisi sanoa keskusteluksi. Saapa siis nähdä mitä tekevät, ihan mielenkiinnolla täällä odotetaan uusia avauksia melko kuumana käyvillä yhteisösivustojen markkinoilla. Saattavat muutenkin tarkoittaa “kolmen suurimman suomalaisen joukkoon”. Jokatapauksessa: jotain uutta ja repäisevää tekisi mieli nähdä Suomessakin, vaikka idikset sitten haettaisiinkin ulkomailta.

Harmittaa, kun jäi Erkan kännyvideo-streaming näkemättä. Sille olisi vaikka kuinka moni blogi vinkannut, jos olisin hoksannut päivän aikana vain vilkaista blogilistaa…

Hieno esimerkki kuitenkin toimivasta kansalaismediasta. Streamille ehti kertyä varsin monipäinen yleisö.

Mitä lie muita käyttömahdollisuuksia tuollaisella olisi? Olisi hienoa saada tänne toimiva kansalaismedia, sellainen, johon käyttäjät voisivat itse streamingin lisäksi lähettää valokuvia, tekstejä ja videonpätkiä kaupungista. Huomioita, tunnelmakuvaa ja informaatiota (tapahtumat, onnettomuudet, kummalliset pikkujutut, poliittiset tempaukset yms.) Sisältöä varmasti riittäisi, kun vain homman saisi pelittämään tarpeeksi helppokäyttöisenä ja ylipäätänsä ihmisiä pyörittämään sellaista. Kulkurissa olisi siihen potentiaalia, mutta se vain lepää laakereillaan aika/ihmispulan vuoksi…

Ehkäpä joku flickr:n, youtuben, googlemapsin yms. palvelut yhdistävä mashup-nettisivusto? Voisin melkein kuvitella että sellaisen rakentaminen olisi mahdollista jo pelkästään WordPressin (tämän blogisoftan) plugareilla.

Toivottavasti hesari lähtee viemään omakaupunki.hs.fi -palveluaan siihen suuntaan - ja mikä parasta, laajentaisi sen kattamaan koko maan.

Olen aina kummeksunut Jehovien tapaa kutsua ovelta ovelle kiertämistä “vapaaehtoistyöksi”, sikäli kun seurakunta velvoittaa jäseniään siihen - joissakin käsittääkseni jopa tarkoilla tuntimäärillä. Lusmuilijoita sensijaan paheksutaan, joten kiertämiselle on sosiaalinen paine. (Luin joskus ex-Jehovien blogeja ja kotisivuja.)

Tänään en jaksanut avata näille ovea. Nautin kupista kahvia NYTin kera ja päivä oli parhaimmillaan, kun kuulin rappukäytävästä jotain supattelua. Näin aina: mutta ei se mitään että ne supattelevat viitisen minuuttia ennen ovikellon soittamista, tyttöpari supatteli oven takana vielä 20 minuuttia ovikellon soittamisen jälkeenkin!

Mitä ne siellä höpöttävät? Kyttäävätkö ne että kuuluuko täältä meteliä? (Teki mieli kolistella vaikka tiskejä tai jotain, että olisivat voinee soitella lisää ovikelloa - mii so eevil). Lopulta sitten jättivät heippalapun ja uhkasivat palata pian takaisin. Keskustelisin mielelläni kanssasi siitä, mitä Raamattu kertoo Eedenin tapahtumista ja siitä, mitä Jumalan tarkoitus on Maan suhteen..

Ensi kerralla lupaan avata ja ehkä kysyäkin tuosta supattelusta.

Jokatapauksessa, tervetuloa katselemaan ja ennenkaikkea osallistumaan. Levittäkää viestiä eteenkinpäin:

Live Herring 2008
Jyväskylän taidemuseo / The Jyväskylä Art Museum
29.10. - 16.11. 2008 Jyväskylä, Finland

Live Herring ‘08 kutsuu pohjoismaiset taiteilijat tarjoamaan näyttelyyn uusmediataideteoksia, digitaalisia kuvia ja aiheeseen liittyviä työpaja-ehdotuksia.

Teosten ilmoittautuminen alkaa: 15.10. 2007
Teosten ilmoittautuminen päättyy: 30.4.2008
Ei jurytys- tai osallistumismaksua.

Live Herring ‘08 näyttely etsii kaikenlaista pohjoismaista uusmediataidetta verkkotaiteesta installaatioihin ja tietokonetaiteesta ääniteoksiin. Valittujen teosten / taiteilijoiden lista julkaistaan Live Herring -verkkosivulla (www.liveherring.org) 15.6.2008. Live Herring etsii myös työpaja-ehdotuksia. Näyttelyyn voi tarjota uusmediataideteoksia kaikista genreistä. Taideteokset voivat olla interaktiivisia, staattisia, online tai offline, hypernarratiivisia tai abstrakteja.

www.pinkisart.com

“Helmikuussa 2008 ensimmäisen kerran ilmestyvä taidelehti PINKISART etsii uusia, nuoria taiteilijoita ja suunnittelijoita sivuillensa esittelemään töitään.

PINKISART tulee olemaan ilmaisjakelulehti, jonka ensimmäinen painos on 2000-2500 kpl ja jonka kohderyhmä on taiteilijat, taide/design opiskelijat, galleriat/museot ja niiden asiakkaat, taidekeräilijät ja kaikki nykyajan visuaalisesta kulttuurista kiinnostuneet ihmiset.”

www.cssnordic.net

CSS Nordic on uusi, vain pohjoismaalaisille web-suunnittelijoille
suunnattu CSS-galleria. Palvelu avataan käyttäjille virallisesti 1.
päivä marraskuuta.

Kulkuri-lehden pyörittämisessä on ollut omat kommervenkkinsä ajan puutteen vuoksi, mutta olen nyt saanut avukseni kaksi mainiota ilmoitusmyyjää. Voi itse keskittyä lehden ulkoasun kehittämiseen ja toimitustyöhön.

Huh, ja kohta Japaniin! Jänskäpänskä.

Annan levyn kuitenkin mielelläni eteenpäin kiertoon, joten jos jotakuta tämä kiinnostaa, laittakoon sähköpostia tahi kommenttia! Ensimmäinen saa ilmaiseksi.