Vanha sivusto

Tämä on vanha itQ.fi-sivusto, ja sisällön ylläpitäminen sille on lopetettu. itQ siirtyi WordPress-alustalle 6.6.2015.

perjantai 19. marraskuuta 2010

Elisalla epävarmuutta vähimmäisnopeudesta

Kuten lupasin eilisessa kirjoituksessani, soitin tänään Elisan asiakaspalveluun jälleen kerran.

Pääasiana oli hyvitykset häiriöajalta, ja varsin ystävällinen asiakaspalvelija tarjoutui hyvittämään kahden kuukauden kk-maksut. Täytyy myöntää, että olin positiivisesti yllättynyt Elisan asenteeseen tämän asian suhteen. Luonnollisesti hyväksyin tällaisen tarjouksen. Hieman joudun tilannetta asiakaspalvelijalle avaamaan, sillä Elisan laskutusongelmista johtuen on pari muutakin laskua jouduttu mitätöimään. Tämän suhteen kaikki on kunnossa.

Tiedustelin samalla hiukan lisätietoa siihen, millaista nopeutta Viihteestä pitäisi odottaa, sillä en oikein löytänyt katetta väitteelle, että kolmasosaan olisi tyytyminen. Asiakaspalvelija kertoi yllättäen, että vähintään noin puolet (eli 50Mbit/s) pitäisi tulla läpi. Kysäisipä vielä työkaveriltaan, jolla myös Viihde on, millaisia nopeuksia hän on saanut. Tämä työkaveri nauttii 70Mbit/s Viihteestä.

Täytyy nyt tarkastella, josko jotain optimoimisenvaraa vielä löytyisi omasta verkkokonfiguraatiosta, jotta nopeutta saisi edes tuohon 50Mbit/s:iin. Tämä on kuitenkin jokseenkin aikaavievä prosessi, mutta tullen siitäkin blogissani jossain vaiheessa raportoimaan. Tätä kirjoittaessa 24h keskiarvo on n. 32Mbit/s ja edellinen mittaus näyttää nopeudeksi noin 40Mbit/s.

Ei muuta kuin lisää konffia peliin ja savun hälvennyttyä tarkistamme kytkennät.

torstai 18. marraskuuta 2010

Päivitystä Elisa-tilanteeseen: Jopa 100M=vähintään 33M

Elisa ilmoitti eilen saaneensa korjauksen tehtyä, ja raportoin siitä täällä. Tiedustelin heiltä hieman lisätietoja asiaan liittyen, ja sain seuraavanlaisen vastauksen:
Kapasiteetin nosto jyväskylän alueella on valmistunut 15.11.2010.

Sopimusehtojen perusteella luvatusta nopeudesta tulisi toteutua vähintään kolmasosa. Todellinen nopeus ei tässä tapauksessa valitettavasti selviä kuin kokeilemalla.

Hyvityksien osalta voitte olla yhteydessä asiakaspalveluumme numeroon 050 950 500.
Eli yhdellä suurimmista kännykkäoperaattoreista kestää kaksi päivää tiedottaa asiakasta? Ok, kännykkäliittymäni on kilpailijan, mutta kuitenkin.

Hämmennyin suuresti, kun luin toisen kappaleen. Vai että vähintään kolmasosa, eli siis tässä tapauksessa 33,3̅Mbit/s. Olisi ehkä pitänyt lukea sopimuspaperit ennen allekirjoittamista (eikun ai niin, en allekirjoittanut mitään). Tarkistin asiaa Elisan verkkosivuilta löytyvistä ehdoista, mutta näissä ei tällaisesta ⅓-säännöstä puhuta halaistua sanaa.

Tällä hetkellä Elisa täyttää tämän oman ehtonsa kirjaimen tarjoamalla 100-megaista laajakaistaa, jossa toteutunut alaslatausnopeus on 24 tunnin keskiarvona mitattuna 33,45Mbit/s+TCP overhead. Näytteenotto tapahtuu puolen tunnin välein kahdella vuoronperäisellä erikokoisella tiedonsiirrolla Funet-palvelimelta, yhteensä siis liki 100 testiä vuorokaudessa. Ok, testaus ei ota huomioon muuta linjankäyttöä, mutta mittausteni mukaan ne eivät kovin suurta heittoa tee.

Huomenna voisin soittaa heidän asiakaspalveluunsa ja tiedustella tätä asiaa heiltä tarkemmin. Samalla kyselen myös heidän korvausperiaatteistaan lisää.

Hallitus esittää Suomeen varoituskirjeitä waretuksesta

IT-viikko uutisoi tänään lakiehdotuksesta, jonka toteutuessa ISP:iden asiakkaille alkaisi ilmaantua tekijänoikeusjärjestöjen laatimia ja operaattoreiden välittämiä ilmoituksia tekijänoikeusrikkomuksista.

Lakiesitykseen kuuluu ensinnäkin se, että tuomioistuin voi määrätä operaattorit antamaan tietoja liittymänhaltijasta jo silloin, kun asiaa asetetaan vireille. Tästäkin muutoksesta voisin kirjoittaa postauksellisen, mutta en sitä tässä nyt tee, sillä hallituksen esitykseen kuuluu myös "pehmeiden keinojen" käyttöönottamista koskeva esitys.

Jos laki tulee voimaan ehdotuksen mukaisena, "Suomessa toimiva tekijänoikeuden yhteishallinnointijärjestö tai muu ammattimaista tekijänoikeuksien valvontaa harjoittava organisaatio" voisi toimittaa operaattorille tiedon, että tekijänoikeutta on rikottu IP:ssä 248.45.165.1241 18. marraskuuta 2011 klo 17.46. Tämän jälkeen operaattorilla olisi velvollisuus välittää tämä viesti liittymänhaltijalle. Lakiesityksessä mainitaan, että näitä ilmoituksia ei rekisteröitäisi millään tavalla, eikä tätä kautta tekijänoikeusjärjestölle tulisi tietoa liittymänhaltijasta. Tuomioistuimen päätöksellä tiedon voisi saada, kuten nykyäänkin.

Esitys ei tunnu vakuuttavan oikein ketään. "Muun maailman" mukaan se loukkaa yksityisyyttä ja on epätehokas ja tekijänoikeusjärjestöjen mukaan se on liian tehoton, kun he eivät pääse näihin tietoihin käsiksi eikä kirjeen lähettämisen lisäksi mitään muita toimenpiteitä voida tehdä. Piraattipuolue käsittelee esitystä blogissaan seuraavasti:
Itse asiassa vaikuttaa siltä, että opetus- ja kulttuuriministeriö on pyrkinyt laatimaan mahdollisimman vesitetyn kompromissin. Jotain on ollut oikeudenhaltijoiden lobbausvoiman alla "pakko tehdä", mutta on suostuttu vaatimuksiin mahdollisimman vähäisesti. --
Jyrki Kasvi (vihr.) oli ainoa esityksestä puheenvuoron antanut. Hän ei puheenvuorossaan uskalla olla vastaan eikä puolesta, mutta kuitenkin sanoo:
Teleyrityksillä on nimittäin jo nyt jonossa tätä lainsäädäntöä odottamassa kymmeniä tuhansia tällaisia pyyntöjä. Kävin juuri tänään äsken tilaisuudessa, jossa sain kuulla luvun olevan arviolta 50 000 per teleyritys.
IT-viikko kertoo kuitenkin, että:

Lehmuskallion [Turvallisuuspäällikkö, TeliaSonera] ja Vainion [Johtava lakimies, Elisa] mukaan operaattoreilla ei ole minkäänlaista jonoa. Myös Suomen tekijänoikeusjärjestöt kiistävät listanneensa valmiita ilmoituspyyntöjä.
En sitten tiedä mihin uskoa. Joka tapauksessa tällainen ilmoitusmenettely ei tuo oikeastaan mitään lisäarvoa kenellekään, ja oikeastaan ainoa näennäinen hyöty - tekijänoikeusjärjestöjen näkökulmasta - on se, että joitakuita tällaisella menettelyllä saadaan peloteltua.

Jos (ja kun) lakiesitys menee läpi ja astuu voimaan 2011, näitä lappuja voitaneen olettaa saapuvan runsain mitoin milloin mistäkin syystä. Vaikkakin esityksen mukaan ISP:lle aiheutuvat kustannukset maksaa tekijänoikeusjärjestö, lienee heidän intressiensä mukaista saada kansalaiset peloteltua ruotuun, vaikka se jonkin euron per lähetetty kirje maksaisikin.

Mielestäni kirjeillä ei voiteta mitään, varsinkaan kun niihin ei sisälly mitään lisätietoja, kuten sitä, mistä teoksesta on kyse, tai sitä, miten teosta on jaettu - tällä halutaan turvata yksityisyyttä. Toisaalta se ei anna yhteisötilaajille mitään mahdollisuuksia kohdentaa sisäisesti ilmoituksia tietylle taholle. Esityksessa mainitaankin:
Myös vanhemmat saisivat tiedon, jos lapset tai nuoret jakavat suojattuja sisältöjä luvattomasti verkossa. Parhaassa tapauksessa ilmoitus voisi saada aikaan tietoverkoissa toimimisen pelisäännöistä tarpeellisen ajatustenvaihdon niiden kesken, jotka kyseistä liittymää käyttävät.
Halutaan siis laki, jonka tarkoitus on herättää perheen sisällä keskustelua? Mielestäni tällainen lakiteknisen kikkailun kautta vanhempien painostaminen lasten kasvattamiseen tiettyyn ajatusmaailmaan ("Piratismi on pahasta") on vähintäänkin arveluttavaa.

Itseäni tällainen ongelma saattaa koskettaa sitten, kun itse kirjeen saan. Kuluttajaliittymääni käyttäen kehtaan nimittäin röyhkeästi tarjota erilaisia julkisia palveluita, kuten verkkosivuni. Jos saan kirjeen, jossa lukee "Hyihyi, liittymästäsi waretetaan. T. TTVK", en voi asialle oikeastaan mitään. Minulla ei ole resursseja - eikä kaikilta osin edes laillista oikeutta - valvoa kaikkea palvelinteni ja verkkolaitteistojeni kautta valuvaa liikennettä.

Jos kaikki tapahtuman tiedot jätetään kertomatta, ei itselleni jää mitään muuta vaihtoehtoa kuin jättää tällaiset kirjeet tyystin huomioimatta ja heittää kirjeet kuorineen paperinkeräykseen. Mielestäni tällaisessa kukaan ei voita mitään.

Huolestuttavaa on myös se, että kun tällainen "Lex Nokia 2" saatetaan lakikirjoihin, on oikeastaan vain ajan kysymys, milloin Lex Nokia 3:sta aletaan valmistella. Siihen voitaisiin sitten jo alkaa viritellä three-strikes -politiikkaa, jossa tuomioistuin voitaisiin kokonaan siirtää syrjään ja antaa tekijänoikeusjärjestöille vapaat kädet tehdä mitä ikinä tahtovat. Itse en tällaista toivo.

Tietosuojavaltuutettu Reijo Aarnio ottaa mielestäni varsin asiallisesti kantaa esityksen ongelmiin YLE:n maanantaisessa A-studiossa. Sen sijaan toiminnanjohtaja Antti Kotilainen TTVK:sta tekee itsestään lähinnä pellen samassa yhteydessä.

Piraattipuolueen varapuheenjohtaja Ahto Apajalahti toteaa blogipostauksen lopuksi:
Pidän todennäköisenä, ettei vihreistä aiota ylipäänsä äänestyttää lakia. Se olisi hallituspuolueelta liian huonoa käytöstä vaalien alla. Vasemmistoliitto varmaankin äänestyttää lain. Veikkaukseni lopputuloksesta: laki hyväksytään äänin 130-20 (50 poissa). Kansalaisaktivismilla ei enää tässä vaiheessa ehditä lakiin vaikuttaa, mutta onhan sitä symboliikan vuoksi kannattavaa tehdä varsinkin näin vaalien alla. Ehkä mielenosoitus?
Valitettavan totta. Mediakin kiinnostui (sen vähän mitä nyt ylipäänsä kiinnostui) aiheesta aivan liian myöhään. Onneksi kevään eduskuntavaalit lähestyvät päivä päivältä. Kai tiiätte ketä äänestetään!

Päivitys 25.11.2010: Korjattu kirjoitusvirhe, kts. kommentit.

1) Jos mietit kenelle tuo IP kuuluu: ei kenellekään. Se on IANA:n tulevaisuuden laajennuksille varatussa blokissa.

keskiviikko 17. marraskuuta 2010

Elisa aikaansa edellä!

Elisasta ei aina löydy vain hyvää kirjoitettavaa, mutta tänään Elisa yllätti ilmoittamalla (automaattitekstiviestillä) aivan puskista että "Ilmoittamanne häiriö -- on korjattu 17.11.2010.--". Kun tiedustelin Elisalta aiemmin aikataulua, vastaus oli:
-- Arvio korjaus aikataulusta [sic] on vuoden loppuun mennessä --
Vuotta on vielä 44 päivää jäljellä, ja Elisa sai (oman ilmoituksensa mukaan) vian korjattua! 100M nettinihän nousi 20M:sta 50M:aan jo marraskuun alussa, enkä ole aivan varma, kestikö Elisalla kaksi viikkoa saada tekstiviesti liikkeelle (ei kovin mairittelevaa teleoperaattorille) vai onko ongelma laisinkaan poistunut.

Pyysin Elisaa kertomaan minulle nopeuksia, joihin pitäisi olla satamegaisenprosenttisen tyytyväinen, jotta voin sitten niitä lähteä vertailemaan toteutuneeseen nopeuteen.

Sen jälkeen jääkin enää korvausten neuvottelu. Aion ehdottaa Elisalle korvauspolitiikkaa siten, että maksan vain siitä, mikä on toteutunut. Koska nopeus nousi jonkin verran kuun alussa, menee laskutoimitus hieman aiempaa spekulaatiotani monimutkaisemmaksi. Koska Elisa tuskin suostuu lyömään kylmää käteistä pöytään, voisi paikallaan olla järjestely, jossa esim. seuraavan puolen vuoden kuukausimaksuista vähennettäisiin siivuissa se, mitä Elisa "velkaa" jää. Mutta detaljeista tappelun aika on myöhemmin.

Jotta postaukseni ei menisi aivan Elisan pilkkaamiseksi, on sanottava, että yleisesti ottaen olen Elisaan, ja varsinkin heidän asiakaspalveluunsa, varsin tyytyväinen. Heille ei sentään tarvitse puolustella käyttöjärjestelmävalintojaan.

Mikään ei ole IT-maailmassa koskaan täydellistä, mutta niin kauan kuin parannusta tapahtuu, voin olla tyytyväinen. Kun muutkin operaattorit ottaisivat jatkuvan parannuksen tavoitteekseen, voisi Elisalle löytyä haastajiakin.

DISCLAIMER: En oikeasti tiedä Elisan tavoitteista ja suunnitelmista tuon taivaallista, ja esitän tässä vain valittuja omia mielipiteitäni. Jos olet eri mieltä, voit mielipiteesi ilmaista esim. kommenteilla.

tiistai 16. marraskuuta 2010

HP D2660 vaihtui D2680:aan.

UPS kantoi tänään kotiin uuden HP-tulostimen (miksi?). Mukana tuli paperi, joka kertoi englanniksi, unkariksi, tšekiksi, hollanniksi, puolaksi, saksaksi, ranskaksi, venäjäksi, espanjaksi, italiaksi ja portugaliksi, muttei kuitenkaan suomeksi, että:
-- Due to availability issues with your old HP Deskjet, you will find in this box an HP deskjet in place of the defective unit you send us for repair. --
 Vaikkakaan en lähettänyt heille mitään korjattavaksi (koska se ei ole HP:n huoltopolitiikan mukaista), tämä pitikin paikkansa. HP DeskJet D2660:n tilalle tuli HP DeskJet D2680. Saatekirje jatkuu (korostus omani):
The replacement Deskjet has exactly the same functions as your old printer. --
Tämä piti täysin paikkaansa, sillä kuten kerroin aiemmassa postauksessani, myös rikkinäinen yksilö jäi minulle. Siispä tutkimaan, mitä eroa D2660:lla  ja D2680:lla on. En tutustunut laitteen sielunelämään ottamiani valokuvia enempää, mutta on todettava, että tulostin on 99,99% täsmälleen sama:

D2660 edestä

D2680 edestä

D2660 edestä sisältä

D2680 edestä sisältä

D2660 edestä sisältä: ei karvoja paperin ulostulon yläpuolella

D2680 sisältä edestä: paperin ulostulossa on karvahapsuja

D2660 takaa - takapaneeli auki

D2680 takaa - takapaneeli auki

D2660:n tunnustarra

D2680:n tunnustarra
Nuo karvat ovat ainoa eroavaisuus, mitä koko laitteesta onnistuin löytämään - poikkeavaa sarjanumeroa lukuunottamatta.

Nyt nurkkiini jäi jollekin sitä tarvitsevalle liki hyvä HP D2660 -tulostin, joka varmaankin pienellä laitolla lähtisi toimimaan kuin uusi. Musteethan siihen pitäisi ostaa ja USB-B→A -piuha jostain kaivaa. Jos haluat itsellesi tällaisen, kommenttia saa jättää.

Kuvien lisenssi:

Creative Commons Lisenssi
"D2660-D2680 -vertailukuvat" jonka tekijä on Riku Eskelinen on lisensoitu Creative Commons Attribution-ShareAlike 1.0 Finland lisenssillä.

lauantai 13. marraskuuta 2010

Skanska ei korjannut haavoittuvuuttaan

Kirjoitin viikko sitten XSS-haavoittuvuuksien tämänhetkisestä tilasta:
Yhdeltä ainoalta sivustolta 20:stä löytyi jonkinasteinen aukko, mutta siinäkin tietynasteista syötteentarkastusta oli havaittavissa. Tämän sivuston ylläpitäjää on informoitu asiasta, ja tulen kertomaan sivuston nimenkin tässä yhteydessä sitten, kun kohtuullisena pitämäni viikon korjausmahdollisuusaika on umpeutunut. Mikäli sivusto korjataan ennen sitä, kerron myös siitä.
Viikko kului, eikä vastausta kuulunut, saatika aukkoa korjattu. Tulkoon tässä sitten tietoon, miltä sivustolta haavoittuvuus löytyi: Skanskan hakukenttä ei tarkista saamiaan syötteitä riittävällä tasolla, joten on mahdollista upottaa HTML-elementtejä hakuun ja ne ajetaan sellaisenaan Viimeisimmät haut-listaan. En tässä yhteydessä ala sen suurempia käyttöohjeita antamaan, mutta kovin monimutkaista tuollaisen haavoittuvuuden käyttö ei olisi.

Kovin suuresta riskistä ei voida puhua, mutta kuitenkin XSS-haavoittuvuus on kyseessä. Mielestäni Skanska osoittaa suurta välinpitämättömyyttä asiakkaitaan kohtaan, kun se ei ole ryhtynyt mihinkään toimenpiteisiin aukon korjaamiseksi tai edes minulle vastaamiseksi. Skanskalta vastattiin, kts. postauksen loppu ja kommentit.En kuitenkaan kiellä ketään vetämästä omia johtopäätöksiään vapaasti.

Päivitys 25.11.10:  Skanskan verkkopäätoimittaja Sari Perento oikaisi kommenteissa 22.11. sen verran, että he eivät "suinkaan jättäneet reagoimatta viestii[ni] --", vaan tekevät töitä aukon korjaamiseksi. Tätä päivitystä kirjoittaessa aukko on yhä hyödynnettävissä.

Tukiasemat tukkoon vaan, vai?

Helsingin Sanomat uutisoi tänään, että poliisi olisi saamassa laajemmat oikeudet puheluiden estämiseen:
Laki mahdollistaisi yhden tai useamman tukiaseman sulkemisen poliisin päätöksellä, mikä käytännössä estäisi kaikkien alueella olevien matkapuhelimien käytön.
Tällä tavoin voitaisiin estää esim. puhelimella räjäytettävän pommin laukaisu. Ideana tämä on varsin hieno, mutta näen tässä erään melko pahan ongelman. Kun pommeja alkaa ilmaantua katukuvaan, yleensä ihmisillä on myös hätä. Kun näiltä ihmisiltä viedään mahdollisuus soittaa hätänumeroon, alkaa paniikki ja kaaos alueella. Havainnollistan itseäni kuvasarjalla. Kuvasarjassa on pommi, pommin räjäyttäjä, apua tarvitseva ja tukiaseman kuuluvuusalue.
Alkutilanne

Alkutilanteessa kaikilla kolmella päätelaitteella (pommi, apua tarvitsevan puhelin ja räjäyttäjän puhelin) on mukavasti kenttää ja kuuluvuutta.

Poliisi saa kuitenkin tietoonsa, että jossain mustan täplän alueella voisi olla kaukoräjäytettävä pommi. Ryhdytään toimiin. Poliisilla on useita vaihtoehtoja, joista mikään ei ole kovin ongelmaton.
Tilanne A
Tilanne A: Poliisi sulkee pommia lähimmän tukiaseman, tässä tapauksessa siis pommista hieman lähteen olevan. Kas kummaa, vaara ei poistu. Räjäyttäjä voi edelleen soittaa pommiinsa ja räjäyttää sen. Toisaalta apua tarvitseva voi myös edelleen soittaa mihin haluaa.
Tilanne B
Tilanne B: Poliisi sulkee kaikki pommin lähellä olevat tukiasemat, jolloin pommi luonnollisesti ei ole räjäytettävissä, ainakaan kännykän välityksellä. Toisaalta, apua tarvitsevallakaan ei ole mitään mahdollisuuksia soittaa hätäkeskukseen.

Vaikka pommi onkin nyt "vaaraton", voi olla että räjäyttäjällä on useita pommeja sijoiteltuna eri paikkoihin.
Tilanne C
Tilanne C: Kaikkien potentiaalisten tukiasemien sulkeminen, mukaanlukien ne, jotka ovat räjäyttäjän epäillyn sijainnin lähistöllä.

Jos poliisin työ olisi täysin tarkkaa, tämä poistaisi vaaran, vaikka pommeja olisi toisaallakin. Valitettavasti täydellisyyteen hyvin harvoin päästään. Kun mietitään, että räjäyttäjiä on useita, ja pommeja vielä enemmän, alkaa tilanne olemaan siinä pisteessä, että tehokkainta olisi katkaista koko maan matkapuhelinyhteydet, ja jättää kaikki suomalaisten liki 7 miljoonaa matkapuhelinta mykäksi. Tämä aiheuttaisi todennäköisesti suuren kokoluokan paniikin ja kaaoksen.

Mikäli asia jäi epäselväksi, pähkinänkuoressa en usko että tukiasemien estämisellä voidaan voittaa enemmän kuin hävitä. Tässä esittämäni skenaario on hyvin pelkistetty, eikä ota huomioon sitä, että pommeihin voidaan asentaa myös toissijaisia räjäytysmekanismeja. Jos itse haluaisin jotain räjäyttää tällä lailla, harkitsisin enemmänkin kuolleen miehen kytkimen tapaista ratkaisua, jossa pommille pitää soittaa esim. 30 minuutin välein, jotta se ei räjähdä. Tällöin poliisin hätiköidyt tukiasemien tukkimiset saattaisivat vain pahentaa tilannetta.

On selvää, että näen asian maallikon silmin ja poliisilta löytyy tietotaitoa enemmän tällaisen asian pohdiskeluun, mutta jos oikeuksia käytetään hätiköidysti - kuten voi käydä, kun todellinen kriisitilanne on päällä - alkavat vahingot käydä hyötyjä suuremmiksi.

Poliisin tukiasemien sulkemisoikeutta parempana vaihtoehtona - vaikkeivat ne toisiaan poissulkevia olekaan - näen laajemman tiedustelutoiminnan ja sitä kautta ennen kaikkea tällaisten tilanteiden ennaltaehkäisyn.

Yleensä Suomi nähdään eräänlaisena lintukotona, ja tätä kuvaa on hyvä pitää yllä - ei keinotekoisesti - vaan todellista turvallisuutta valvomalla ja tarvittaessa sen palauttamista kaikin keinoin. Se on poliisin tehtävä.

torstai 11. marraskuuta 2010

HP:lta positiivinen yllätys

HP-tulostimeni vikaantui ja olin yhteydessä HP:n tukeen asian tiimoilta. Erinäisten hämäryyksien jälkeen he pyysivät minua lähettämään kirjeitse heille tulostimen itsetestisivun, ja sen heille Ruotsiin lähetinkin.

Posti kuljetti kirjettä oman aikansa, ja HP päätti että laitevaihto on paikallaan:
- Olen tilannut sinulle vaihtolaitteen.
- Se on pelkkä runkotoimitus, joten säästä vanhasta tulostimestasi mustepatruunat, johdot, virtalähde ja kaikki vastaavanlaiset irto-osat.
- Anna niiden olla kiinni viallisessa laitteessa kunnes saat siirrettyä ne vaihtolaitteeseen.
- Vaihtolaitteen tuo annettuun osoitteeseen UPS:n kuriiripalvelu.
- Laitteen arvioitu saapumispäivä on torstai, 17. marraskuuta 2010.
- Sen jälkeen kun vaihtolaite on saapunut, siirrä vanhasta tulostimestasi em. irto-osat vaihtorunkoon.
Ok, tehokasta toimintaa. Viesti jatkuu:
Viallista laitetta ei tarvitse palauttaa. Toimita se asianmukaiseen kierrätykseen tai anna jollekin tekniikasta kiinnostuneelle tutkimusmateriaaliksi.
Ilmeisesti tuo tulostimen mystinen diagnostiikka-asiakirja ihan oikeasti sisältää jotain raakoja faktoja laitteen kunnosta, sillä muutoinhan tällaisessa olisi suuri väärinkäytöksen riski.

Ok, kun uuden laitteen myyntihinnasta vähennetään HP® Mustepatruunoiden® ja HP® Virtalähteen® myyntihinta, ollaan jo raa'asti miinuksella. Ilmeisesti HP tekee niin hyvää tiliä mustepatruunoillaan, että tulostimia on varaa lahjoitella kuluttajille. En tässä halua tietenkään ketään yllyttää väärinkäytöksiin, ja haluan korostaa, että oma laitteeni on ihan oikeasti rikki.

Mietin, mahtaako rikkinäisten HP-tulostimien antaminen "jollekin tekniikasta kiinnostuneelle tutkimusmateriaaliksi" olla HP:n virallinen kanta. Mikäli joku haluaa tutkimusmateriaalia, voin tulostimesta (ilman "irto-osia") luopua, jos sen joku haluaa tulla hakemaan, kunhan uusi laite saapuu. Kiinnostuneet kommentoikoon. Jos (/kun) halukkaita ei löydy, täytynee tulostin viedä SER-pisteeseen kierrätettäväksi. Nyt siis kaikki markorepairsit ja pasiviherahot liikkeelle :)

Viimeisenä mietteenä pohdin vielä, kuinka UPS aikoo toimittaa pakettini, kun kerrostaloni rappukäytävä on jatkuvasti lukossa, eikä edes posti-pate pääse sisään. Puhelinnumeroanikaan ei raasuilla ole. Tämä jäänee nähtäväksi, mutta onhan tässä viikko aikaa odotella.

lauantai 6. marraskuuta 2010

XSS-haavoittuvuudet suomalaisilla sivuilla vuonna 2010: 5%

Vuonna 2008 kirjoitin blogiini cross-site scripting (XSS-) -haavoittuvuuksista. Nyt, reilun kahden vuoden jälkeen, lienee hyvä hetki tarkastella asian kulkua.

Testasin muutamalla "pahantahtoisella" hakulauseella 20 verkkosivun hakukenttiä, ja niistä vain yksi oli lievästi XSS-haavoittuvainen. Sivut oli valittu Googlen haulla ja rajattu vain suomalaisiin .fi-verkko-osoitteisiin. Läpi menivät seuraavat verkkosivut:

thl.fi, kommunportalet.fi, ruokatieto.fi, varastokirjasto.fi, tampere.fi, environment.fi, st1.fi, lieksa.fi, itameriportaali.fi, stat.fi, luontoon.fi, cimo.fi, minedu.fi, mediakasvatus.fi, yrittajat.fi, tekes.fi, hse.fi, terve.fi ja lahtienergia.fi.

Se, että käyttämäni hakulauseet eivät saaneet sivuja näyttämään mitään hassua, ei tarkoita sitä, etteivätkö ne voisi olla muuten haavoittuvaisia. En esimerkiksi kokeillut SQL-injektioita lainkaan, enkä lähtenyt jokaista sivuston kenttää kokeilemaan.

Mitä sitten  on tehty, että nykyään verkkosivut eivät ole yhtä reikäisiä kuin ennen? Moni sivu näytti vuonna 2008 hakukentässä tai muualla hakusanat, ja tässä oli iskun paikka. Nykyään noita tietoja ei käyttäjälle enää juurikaan näytetä. Ei ehkä käyttäjäystävällisin ratkaisu, mutta tässä suhteessa pomminvarma.

Osa sivuista oli toteuttanut asian "oikealla" tavalla, ja muutti HTML:n pahat merkit niiden entiteettimuotoihin. Mutta nämä sivut jäivät selkeästi vähemmistöön.

Yhdeltä ainoalta sivustolta 20:stä löytyi jonkinasteinen aukko, mutta siinäkin tietynasteista syötteentarkastusta oli havaittavissa. Tämän sivuston ylläpitäjää on informoitu asiasta, ja tulen kertomaan sivuston nimenkin tässä yhteydessä sitten, kun kohtuullisena pitämäni viikon korjausmahdollisuusaika on umpeutunut. Mikäli sivusto korjataan ennen sitä, kerron myös siitä.

Selkeästi vuoden 2008 mediamylläkkä sai verkkosivujen ylläpitäjät hereille tällaisista aukoista, sillä nykyinen 5 %:n taso on varsin positiivista. Työtä tosin riittää, ja muunkinlaisia haavoittuvuuksia löytyy verkkosivuista joka hetki. Laput silmillä ei siis kannata kulkea nykyäänkään.

torstai 4. marraskuuta 2010

Muutamia päivityksiä ja sananen maailman menosta

HP ja Linux


Kirjoitin joku aika sitten HP:n omituisesta Linux-hylkimisestä. Tämä asia on edennyt verrattain hyvin, lähetin HP:n Suomen tukeen Ruotsiin postitse tulostimeni itsetestisivun, ja kun maamme lakkoileva postilaitos saa kirjeen rajan taakse ja paikalliset posteljoonit siitä perille, vikaankin saatanee selvyys. HP:lla on kuitenkin mielenkiintoinen laitevaihtopolitiikka (lainaus sähköpostikirjeenvaihdosta):
  • Mikäli takuun alaisessa laitteessa on tekninen vika joka ei korjaannu antamillamme ohjeilla, asiakkaalle toimitetaan vaihtolaite.  
  • Takuun alaisia laitteita ei korjata tai huolleta, laitevaihto on  vialliselle laitteelle ainoa vaihtoehto.
  • Vaihtolaitteen toimittaminen edellyttää vianetsintää ja ongelmanratkaisun suorittamista.
  • Ongelmanratkaisutoimenpiteiden suorittaminen edellyttää yleensä sitä, että käytetään HP:n tukemaa käyttöjärjestelmää. 
  • Ellei ongelmanratkaisua pystytä suorittamaan sen takia, että käytössä on ns. ei-tuettu käyttöjärjestelmä, ei myöskään laitevaihtoa pystytä suorittamaan.
Hämärää. Tiivistettynä siis HP:n omien periaatteiden mukaan laitteistovian aiheuttama laitevaihto saattaa vaatia Windowsin. Tähän lienisi kuluttajansuojaviranomaisilla mielipiteensä annettavana. Koska kuitenkin ilmeisesti itse kuuluin siihen vähemmistöön, jonka ei tarvitse käyttää HP:n tukemaa käyttöjärjestelmää ja diagnostiikkatoimenpiteet olivat suoritettavissa vaikka ilman tietokonetta, en ala tästä asiasta tämän enempää itkemään.

Elisan 100M viihde 

Kirjoitin myös Elisan kaapeliviihteestä, joka on "jopa 100Mbit/s". Tämähän ei luonnollisesti toteutunut lähellekään, ja Elisaa asiasta lähestyin. He kertoivat aikataulun olevan sellainen, että vuoden loppuun mennessä homman pitäisi olla kunnossa.

En tiedä, mitä ovat Elisalla tehneet, mutta kertomistani yhteysnopeuksista ollaan päästy parempaan suuntaan. Tällä hetkellä alaslatausnopeus näyttäisi olevan 24h keskiarvona noin 30Mbit/s. 24h minimi 9,3Mbit/s ja maksimi 51,8Mbit/s. Näissä luvuissa ei ole edes otettu huomioon TCP:n overheadia, joten todellisuudessa nopeudet ovat himpun verran suurempia.

Kuitenkin Elisan mainitsema tekstiviesti siitä, että vika on poistunut, on jäänyt tulematta, joten odottelen nyt ainakin toistaiseksi sitä samalla tilannetta tarkkaillen. Parempaan suuntaanhan tässä ollaan menty, vaikkei oikein tavoitteessa vielä voidakaan sanoa oltavansa[1].

Muutamia asioita, joiden tilaa seuraan tällä hetkellä

Internetin ihmeellisessä maailmassa tapahtuu jatkuvasti kummia, mutta muutamaa tarinaa olen seurannut enemmän tai vähemmän säännöllisesti. Tässä niistä kaksi:

Matti Virkkunen ja viallinen läppärin näppäimistö. Tätä kirjoittaessa em. henkilö on tapellut HP:n kanssa jo yli kolme kuukautta. Uskomatonta tarinaa HP:n tuotteiden ja huollon toimivuudesta. Toivoa sopii, ettei tulostimeni kanssa tarvitse samaan hullunmyllyyn joutua, vaikkakin kirjoittaja kertookin tarkoituksella HP:ta piinaavansa.

Ison-Britannian oma "VR" ja sen suhtautuminen julkaisemansa junadatan käyttöön Alex Hewsonin ilmaisessa sovelluksessa. Mielenkiintoista avoimuutta kertakaikkiaan. Toivoa sopii, että PR-paineet ovat tälle yritykselle liikaa ja taipuvat kehittäjän tahtoon.


* * * * *

Tällaista päivitystä tällä kertaa. Kommentoida saa.


1) Ihana suomenkieli. Joku voisi kertoa, taivutinko kaikki sanat oikein tuossa, sillä kielikorvani - niin harjaantunut kuin se onkin - meni täysin lukkoon kun tuota luin.