RSS
 

Archive for the ‘Integritet’ Category

Photoshop of you, check it out

03 Apr

Idag dök denna chat upp på Facebook, en vän skrev ”hey, i just made a photoshop of you, check it out :P: bit.ly/ihB3Cl”.

Bit.ly publicerar statistik för varje länk och man kan se att länken aktiverades för ungefär en timme sedan och sedan dess haft ungefär tusen besökare per minut.

Klickar man på länken skickas man vidare till Facebook-applikationen bandupl.co.cc som förutom generell information även vill ha tillgång till ens chat.

Har det inte dykt upp några varningsklockor tidigare kan man börja fundera på varför applikationen själv vill chatta med ens kompisar. Godkänner man applikationen skickas man vidare till en sida som ger följande meddelande.

Att testa om man är en människa genom att skicka ut pennset är onekligen en intressant tanke, men främsta syftet med denna ”Security check” är att skaparen av applikationen får betalt för att skicka besökare till olika sidor.

Är man inte intresserad av undersökningar och tävlingar kan man dock läsa källkoden för att direkt hitta resultatet.

Man skickas alltså till http://www.graphicdesignblog.org/strange-funny-photoshop-manipulations/ och bilden som visas är denna. Men oavsett om du väljer att genomföra någon undersökning eller inte har alla dina vänner redan fått en chat från dig där du tipsar om sidan.

 

Inga ändringar för Facebookannonser

29 Mar

De senaste dagarna har det cirkulerat information om att Facebook på fredag kommer att börja använda användarnas bilder i annonser. Varningen finns i några olika version, till exempel ”Viktigt!!! På fredag kommer Facebook börja använda dina bilder i annonser, som visas på profilsidorna hos dina kontakter. Detta är lagligt och nämns i det finstilta när du skapar ditt konto. För att stoppa detta gör följande: Konto, Kontoinställningar och välj Facebook-fliken och välj INGEN i rullgardinsmenyn och spara. Kopiera till din status så alla får veta!” och ”På fredag så kommer Facebook att börja använda dina foton i reklam som visas på dina vänners profiler. Det är lagligt och det var skrivet i finstilt i villkoren som du läste när du registrerade ditt konto. Hindra spridningen av dina bilder genom att göra dessa inställningar: klicka på ”konto”, ”kontoinställningar”, ”Facebook-annonser”, välj ”ingen” i menyn och spara ändringarna…. Visa mer Kopiera det här till din status!”.

Men det hela är en bluff. Ryktet har cirkulerat länge och redan 2009 skrev Facebook i sin blogg om de falska ryktena. Klickar man på Konto, Konstinställningar, Facebook-annonser hittar man två olika inställningar. Den första är ”Annonser som visas tredjepartsapplikationer” och enligt sidan ger Facebook aldrig ut rättigheter till namn eller foto till tredje part, inställningen är endast för framtida bruk och det verkar som att standard är att ”Ingen” får se dessa annonser.

Andra inställningen är ”Annonser som visas av Facebook” och är mer förvirrande. Annonsen kopplar ihop en social händelse med en annonsörs meddelande, det kan helt enkelt vara att annonsen visar att du gillar ett företags Facebooksida. Dessa annonser har funnits på Facebook i flera år.

Här kan du välja mellan ”Ingen” och ”Bara mina vänner”.

Det är inte bara nybörjare som lurats av varningarna, danska Facebookgruppen IT-sikkerhed gick idag ut med samma meddelande till sina läsare.

Peter (som jag känner till sen innan och fortfarande har stort förtroende för) har nu undersökt saken med Facebook och kan bekräfta att Facebook inte kommer att ändra något.

 

Tunisien stal befolkningens inloggningsuppgifter

25 Jan

I Tunisien tillhandahålls bandbredd av Agence tunisienne d’Internet, ATI, som ägs av tunisiska kommunikationsministeriet. Enligt egen uppgift censureras endast pornografi och terrorism men även sajter som Reportrar utan gränser blockeras.

Det har nu upptäckts att ATI lagt in javascript kod på inloggningssidor för bland annat Facebook, Gmail och Yahoo.

När man postar inloggningsformuläret, i det här fallet Facebooks, anropas funktionen hAAAQ3d(). Denna anropar en adress av formen http://www.facebook.com/wo0dh3ad?q=SLUMPAT&u=ANVÄNDARNAMN&p=LÖSENORD. Denna sida existerar inte men det blir väldigt lätt för ATI att ta fram användarnamn och lösenord ur sina loggfiler. Attacken upptäcktes av Facebook på juldagen och man inledde med att skicka tunisiska besökare till en HTTPS-server med krypterad kommunikation. Då data skickas krypterat till besökarens dator kan ATI inte längre lägga in egen javascriptkod. Nästa steg var att ändra lösenord för alla användare som loggat in under den tid intrånget skett.

 

Snart enklare att radera Flashcookies

15 Jan

I augusti 2009 publicerades en rapport om Flashcookies. Rapporten fick mycket uppmärksamhet då den visade att många sajter inte bara använder Flash för att spåra besökare utan även för att återställa webbläsarcookies som besökaren valt att radera.

Adobe menar att beteckningen Flashcookies är felaktig och föredrar att kalla det lokal lagring (”local storage”) vilket har en bättre klang ur integritetssynpunkt. Nu har de dock lyssnat på kritiken och kommer tillåta webbläsare att direkt ändra inställningar för och radera Flashcookies. På så sätt kan användaren rensa webbläsarcookies och Flashcookies på ett enda ställe. Både Firefox och Google Chrome kommer inom kort att erbjuda denna möjlighet.

Största problemet är att få användare känner till Flashcookies, men gör man det är det relativt enkelt att blockera dem. På Global Storage Settings panel kan man blockera framtida cookies genom att begränsa utrymmet för lagring till None.

För att ta bort existerande cookies använder man Website Storage Settings panel.

 

Höj säkerheten på Facebook?

29 Dec

Ovanför reklamannonserna till höger visar Facebook då och då en informationsruta med texten ”Skyddsstatus för ditt konto: Mycket låg”. Länken för att ändra detta har texten ”Höj säkerheten”.

I praktiken handlar det inte om att göra ditt Facebook säkrare konto, utan istället underlätta för att få tillbaka kontrollen över ett hackat konto. I många fall kan åtgärderna leda till att ens konto blir enklare att hacka. I de två första stegen ombeds man ange en alternativ e-postadress och sitt mobilnummer så att dessa kan användas för att få tillbaka kontrollen över kontot om man inte kommer åt sin vanliga e-postadress. Nackdelen är att man nu även ger obehöriga ytterligare två metoder att komma åt kontot. Tredje steget är att välja kontrollfråga och här är det verkligen risk att man underlättar för obehöriga att komma åt kontot.

Det var med hjälp av just kontrollfrågor som Sarah Palins e-postkonto hackades. Hur många av dina Facebookvänner vet vad din första fröken hette? Åtminstone de du var klasskamrat med på lågstadiet, andra kan enkelt ta reda på det. Samma gäller för var din mamma föddes och var du bodde när du var 8 år. De sista 5 tecknen på ditt körkort är bättre om du ser till att använda ditt administrativa nummer, för att få tag på ett personnummer är det bara att ringa Folkbokföringen och fråga efter det.

 

Nu avlyssnas historiken på allvar

06 Dec

Att en sajt kan kontrollera vilka andra sajter du varit inne på är ett säkerhetsproblem som diskuterats i flera år utan att det hänt så mycket. Fortfarande finns det inte någon enkel metod att skydda sig. Grundproblemet är att webbläsare som standard visar besökta och obesökta länkar i olika färger och att man med javascript kan kontrollera vilken färg som används för en viss länk. Vill ägaren av en sajt kontrollera om du varit inne på Youtube skapar han eller hon en länk till youtube.com och kontrollerar med javascript om länken är besökt eller inte, resultatet skickas tillbaka till sajten.

Computer Sweden rapporterar idag att flera webbplatser avslöjats med att samla in data från besökares webbläsarhistorik. Även om problemet varit välkänt länge har det tidigare inte använts i praktiken. Mest omtalad är porrsajten youporn.com som kontrollerat vilka andra porrsajter besökaren tidigare varit inne på. Mer intressant enligt mig är dock att annonsnätverket Interclick.com avlyssnade webbläsarhistoriken på flera olika större sajter. Bloggaren Kashmir Hill har fått en kommentar om syftet med avlyssningen. Interclick.com förklarar att de använt denna metod för att kontrollera kvaliteteten på den trafik (av besökare) de köper. Om de köpt besökare som ska vara intresserade av bilar kan de med avlyssningen enkelt kontrollera att besökarna brukar vara inne på bilrelaterade sajter.

Att blockera javascript hjälper inte mot alla former av historikavlyssning, det finns metoder som använder endast CSS och då drar nytta av att man kan ha olika bakgrundsbild beroende på om en länk besökts eller inte och kontrollera vilken bakgrundsbild som används.

Använder du Firefox kan du stoppa avlyssning genom att skriva ”about:config” i adressfältet, leta upp ”layout.css.visited_links_enabled” och sätta det till false.

Med Internet Explorer kan man skydda sig genom att använda funktionen ”InPrivate Browsing”.

 
 

BlackSheep vs FireSheep

24 Nov

IDG rapporterade för ungefär en månad sedan om FireSheep, ett plugin till Firefox som används för att kapa sessioner i ett trådlöst nätverk. Nu kommer BlackSheep, ett plugin som kan varna om någon försöker använda Firesheep.

BlackSheep skapar en falsk session och kontrollerar sedan om en annan dator försöker kapa sessionen, i så fall är det antagligen FireSheep som körs och användaren får upp en varning.