Keskustelua tietoteknisistä laitteista, sovelluksista ja ongelmista

Joo, tuolla hinnalla M1 Macbook Pro on kyllä täysin soiva peli. Merkitävästi parempi tuore malli kun olisi maksanut tasoa tuplat…

Majoittaudun Turkissa kerrostalon Airbnb yksityisasunnossa jossa on huoneiston oma wifi (nopeus on ok n. 30Mbps). Kännykässä ja läppärissä on kummassakin F-Secure Freedome VPN päällä. Kirjauduin kännykällä onnistuneesti Nordnet sovellukseen. Ongelma on se, että kun pitäisi skannata puhelimella läppäristä Nordnetin kirjautumis QR niin QR ei tule ollenkaan näkyviin läppärin näytölle. Suomessa toimi aina hyvin. Freedomea ei ollut vielä Suomessa vaan se on täällä vasta nyt hankittu.
Läppärissä on Win10 ja selaimena on Chrome.
Olisko vinkkiä mitä kannaisi kokeilla?
Vai onko muutenkin niin hazardia hommaa ATK-tumpelolle että kannattaa unohtaa koko Nordnet muutaman kuukauden reissun ajaksi

Kokeile ilman VPN:ää? Ei VPN anna mitään oleellista lisäsuojaa kun yhteys on muutoin salattu (HTTPS, SSH, SFTP jne.). Kaikki data kulkee salattuna Nordnetiin. Wifin omistaja lähinnä näkee, millä sivustolla olet käynyt ja siinä se.

Jos luotat käyttämäsi verkon ylläpitäjään, niin sitten se on noin, mutta lähtökohtaisesti ei.

Wifi-verkon ylläpitäjälle on suoraan mahdollista tehdä ns. MiTM-hyökkäys, eli toimia pahantahtoisena välikätenä, mikä nimenomaan mahdollistaa salatun yhteyden (esim.HTTPS) tarjoaman suojan purkamisen. Wikipedia-artikkelin esimerkki on aika hyvin tähän nimenomaiseen tilanteeseen sopiva.

En suoraan osaa sanoa miten hyvin Nordnetin kirjautumismekanismi suojaa tällaiselta tilanteelta, mutta lähtökohtaisesti verkon ylläpitäjällä on valta päättää siitä mihin päädyt kun naputtelet selaimeen osoitteen nordnet.fi (tai inderes.fi), ja hänellä on myös valta luoda oma kopio verkkopalvelun kirjautumissivusta (tai sovelluksen käyttämästä rajapinnasta).
Vaatii se kyllä hyökkääjältä jo vähän teknistä osaamista. Selaimen (tai tässä Nordnet-appin) pitää esimerkiksi luottaa hyökkääjän verkkosivun/-palvelun käyttämään TLS-sertifikaattiin, joten mikä tahansa itse allekirjoitettu sertifikaatti ei kelpaa). Hyökkääjän pitäisi tietysti myös olla valmistautunut (tai kyetä tekemään se verkon käytön aikana) juuri Nordnetin palvelun feikkaamiseen, ja toisaalta vaikeustaso riippuu myös tässä tapauksessa Nordnetin mahdollisesti käyttämistä tällaisia hyökkäyksiä vastaan kehitetyistä tekniikoista. En ole tosiaan varma siitä miten Nordnet-app kirjautumisen suorittaa, ja olisiko yhteyttä vakoilevan mahdollista saada tunnuksia suoraan haltuun, mutta esimerkiksi liikenteen muokkaaminen sinänsä kyllä lähtökohtaisesti onnistuisi.

Yhteenvetona voisi ehkä sanoa, että on ei liene todennäköistä että keskiverto AirBnB host vakoilisi asunnon Wifin liikennettä, ja on vielä epätodennäköisempää että siellä olisi varauduttu juuri Nordnetin käyttäjän ryöväämiseen, mutta kysymys on siitä että voiko luottaa siihen ettei hän (tai joku kolmas henkilö, jolla on asunnon Wifi hallinnassaan) sitä tekisi?
Mutta pelkkä HTTPS-yhteys ei tosiaan välttämättä tarjoa kummoistakaan suojaa kun käytät jonkun toisen ylläpitämää verkkoa.

Siis jos selain on päivitetty ja virustorjunta on omassa koneessa kunnossa, niin HTTPS-liikennettä ei millään pureta eikä mitään epäilyttävää tapahdu jos käyttäjä menee oikealle sivustolle ja tarkistaa että serit on kunnossa. Niitä sertejä ei voi väärentää kun se selain tarkastaa koko ketjun juurisertiin asti joita se Airbnb-isäntä ei voi puukottaa mitenkään.

Jos verkko ohjaa käyttäjän sivustolle nordnet.fl, niin sitten pitää toki olla tarkkana. Mutta niin pitää ihan samalla tavalla jos käyttää VPN:ää, sekään ei suojaa käyttäjää siltä, että tämä menee väärälle sivulle, jolla näyttää olevan validi serti, eikä huomaa että viimeinen i-kirjain onkin pieni L-kirjain.

HTTPS on täysin turvallinen käyttää ihan missä tahansa verkossa.

Olet @Paapaa sikäli oikeassa, että jos kukaan ei mokaa, eikä protokollasta löydy uutta haavoittuvuutta, HTTPS on tosiaan lähtökohtaisesti turvallinen myös MiTMiä vastaan. Miulta jäi edellä huomioimatta se, että nimipalvelun myrkyttäminen (mikä on helppo nakki wifi-verkon suuntaan verkon haltijalle) ei vielä avaa suoraan hyökkääjälle mahdollisuutta käyttää näennäisesti oikeaa varmennetta, koska tämän pitäisi vielä saada myös joku varmenteita jakava taho vakuutettua olevansa kyseisen verkkonimen omistaja. Mutta ihmiset tekevät virheitä, ja protokollistakin löytyy virheitä (tuossa Wikipedia-artikkelissakin on jokunen mainittuna), joten HTTPS:n väittäminen kategorisesti täysin turvalliseksi missä tahansa verkossa on aika rohkeaa, ja se oli syy miksi tähän tartuin.

Mitä tulee alkuperäiseen @Stetson-Harrison_Cap kysymykseen, niin en tiedä miksi QR-koodi Freedomen kanssa tule näkyviin läppärissä, ainakaan jos Freedomessa käytät suomalaista palvelinta (sikäli kun Nordnet tai Nordnetin käyttämä tunnistautumispalvelu on jostain syystä halunnut estää kirjautumisen joistain maista). Tosin en tiedä mitä kaikkea Freedome koneella tekee, asentaako se esimerkiksi selaimeen jonkun lisäosan joka mahdollisesti voisi blokata jotain asioita jossain tilanteessa tms.

HTTPS on täysin turvallinen missä tahansa verkossa, jos käyttäjä avaa oikean nettiosoitteen, jos se käyttää HTTPS-protokollaa (ja kun tietokoneen tietoturva on muutoin kunnossa). Tuollaisessa tilanteessa ei ole tarvetta VPN:lle vaikka olisi paha Airbnb-loordi tai suojaamaton nettikahvila. Kaikki data kulkee salattuna ja kohde on varmasti oikea (ja selain myös sanoo, että serti OK). Ja toisin kuin VPN:n kohdalla, se salaus menee koko matkan selaimelta vastaanottavalle palvelimelle. HTTP-yhteydet taas ovat joka tapauksessa turvattomia sieltä VPN:n exit nodesta palvelimelle, eikä sellaisen yli koskaan saisi lähettää arkaluontoista data. VPN ei auta siinäkään kuin osan matkasta.

Musta VPN:n markkinointi on kohtuuttoman agressiivista ja harhaanjohtavaa, ja ihmisille annetaan virheellinen käsitys sen tarpeellisuudesta ja hyödystä. Musta turhien palvelujen ostaminen ei ole järkevää ellei siihen ole oikeasti hyvä syy. Siksi vähän protestion ja kyseenalaistan sen tarpeellisuuden. VPN:stä voi olla joskus hyötyä tietyissä tilanteissa tai käyttötarkoituksissa, mutta keskimääräinen käyttäjä, joka käy ulkomailla nettipankissa ja lukee webbimailin ei sitä kyllä tarvitse.

Musta ihmisille ei saisi uskotella, että salaamattoman verkon yli ei saisi käyttää HTTPS-yhteyttä. Musta se on vääristelyä ja harhaanjohtamista.

VPN menee vähän samaan kategoriaan kuin maksulliset virustorjunnat. Markkinointi on mahdollisimman agressiivista, ja pelottelulla ihmiset saadaan maksamaan. Punaiset jatkuvasti pomppivat varoitukset turjutuista uhista tehostavat vaikutelmaa. Vaikka oikeasti 99,99% pärjää Windowsin omalla ilmaisella virustorjinnalla.

Ja siis voidaan sopia, että olemme asiasta ja VPN:n tarpeellisuudesta eri mieltä.

Juuri näin,ja ketään vanhusta ei pitäisi päästää yksin operaattorien myymälään,myydään kaikki mahdollinen virusturva,identiteettisuoja ja vpn,juurikin tuolla pelottelulla.
Lisäksi myytiin 5g liittymä ikivanhaan 4g mokkulaan (ihmettelen miksei myyneet kylkeen 400€ 5g reititintä).
Kyllä nyt on turvallista käydä nettipankissa ja lukea sähköpostia,tosin nyt kertoo että häntä seurataan ja nyt näkee kuinka monta seuraajaa on estetty…Että ei ne turhaan pelotelleet liikkeessä…

Nojoo, surullinen ilmiö tuokin, josta viimeksi Gigantti sai täyslaidallisen mediassa kun vanhukselle myytiin 300e edestä jotain tukisopimuta tms. Täytyy toivoa, että Gigantti ottaa vaarin ja muuttaa noita käytäntöjään (tai miten provikka muodostuu). Itse en ole koskaan ollut tuollaisissa myyntihommissa, mutta hävettäisi tuollainen ihan puhtaaseen harhaanjohtamiseen ja jossain määrin toisen kehtaamattomuuteen perustuva myynti. Olen melko varma, että ne myyjät tietävät, ettei ostaja tee sillä sopimuksella mitään ikinä.

Itse yritän olla mukana kun vanhuksille jotain pitää ostaa. Tai ohjeistaa, ettei osteta mitään muuta kuin mistä on ollut puhe.

Tässä hyvä myös huomioida se, että “HTTPS:n” turvallisuus on hyvin paljon kiinni myös siitä endpointin turvallisuudesta (miten konfiguroitu) johon ollaan kommunikoimassa. Siinä tangossa kun on kaksi tanssijaa (client ja server).

Se on periaatteessa näin, mutta käytännössä päivitetty selain suojelee käyttäjää aika hyvin. Tämä on asia, josta ei normikäyttäjän tarvitse murehtia kunhan pitää selaimen päivitettynä. Esim. pääselaimissa ei ole SSL enää lainkaan tuettuna. Chromessa/FF:ssä ei ole myöskään TLS 1.0 tai 1.1 -tukea, vaan se vaatii vähintään 1.2:n. Eli kyllä selaimet pitävät käytännössä huolen, että HTTPS:stä on käytössä turvallinen versio.

Eri asia on sitten intternetsin sankarit, jotka eivät päivitä selaimiaan kosa syy X ja Y tai tekevät muutoin jotain typerää. Tai käyttävät jotain esoteerista selainta, johon ei tipu tietoturvapäivityksiä. Eli joku vastuu jää käyttäjälle.

Se VPN on auki, koska halutaan katsoa telkkaria.
Tässä ei kannata alkaa miettimään liikaa.

Toi onkin hyvä syy! Tai että haluaa suoratoistopalvelusta toisen markkina-alueen tarjonnan käyttöönsä. Noissa VPN:stä on ihan konkreettinen hyöty.

Hyvin monesti asia on juuri näin, kuten sanoit. Mutta edelleen se palvelinpää on hyvin tärkeässä osassa salatun yhteyden toteutuksessa (appseissa tyypillisesti enemmän, kuin selainta käytettäessä). HTTPS:stä ei ole sinänsä olemassa mitään yksittäistä turvallista versiota, vaan siinä on eri versioita protokollapinoista (SSL/TLS), jotka sitten tukevat erilaisia joukkoja salausalgoritmeja (cipher suite). Ja nämä cipher suitet sitten määrittelevät tavat, joilla mm. avaimet vaihdetaan turvallisesti ja joilla itse yhteys salataan. Esimerkiksi TLS 1.2 tukee edelleen heikompia cipher suiteja, joita vastaan on mahdollista suorittaa erilainen kirjo hyökkäyksiä (Cloudflare käsitellyt hieman asiaa kirjoituksessaan, jossa suosittelevat TLS 1.3:n käyttöönottoa, https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/). Ja tässä tullaan nimenomaan siihen palvelinpään konfigurointiin. Handshakea tehdessä selain (tai appsi) “neuvottelevat” palvelinpään kanssa mitä cipher suitea käytetään. Ja vaikka miten olisi TLS 1.2 protokollapino käytössä, niin palvelinpää käytännössä määrää sen millä cipher suitella avaimet vaihdetaan ja yhteys salataan. Eli palvelinpäästä huonosti konffaamalla saadaan kyllä HTTPS yhteys ei-niin-turvalliseksi, vaikka client tukisikin pelkästään TLS 1.2 (ja siitä ylöspäin) -versiota. Ja toki myös toisin päin, eli hyvin konffatusta TLS 1.2 tuesta on tyypillisesti tiputettu pois nippu huonoimmasta päästä olevia cipher suiteja.

Lisäksi sitten palvelinpäässä voidaan tehdä asioita, jotka helpottavat/auttavat ihan selainkäyttäjääkin erilaisilla konfigurointitoimenpiteillä, joista mm. HSTS (HTTP Strict-Transport-Security) on yksi (muttei suinkaan ainoa).

Käyttäjien onneksi monet (edit: aiemmin luki “suurin osa”, muutin lausuntoa ettei jää väärää kuvaa kokonaisuudesta, itse tarkoitin lähinnä keskeisimpiä pankki- ja viranomaispalveluita, mutta yleisesti ottaen huonosti kryptografisesti konfiguroidut palvelut ovat valitettavan yleisiä) tyypillisesti käytetyistä palveluista (kuten vaikkapa kotimaiset pankkipalvelut) ovat nykyisellään yleensä konfiguroineet oman päänsä ihan asianmukaisesti, jolloin juurikin mainitsemasi toimenpiteet selaimen ajan tasalla pitämisestä ja osoitteen oikein syöttämisen varmistaminen (paras tapa käyttää kirjanmerkkiä, jolloin se menee aina oikein) on paras käyttäjän suoja. Mutta päin sitä itseään (palvelinpäässä) konffattu HTTPS ei valitettavasti ole pomminvarma yhteyden suojaamiseksi.

Sitten vielä yhtenä huomioina, tämän päivän selaimet osaavat aika hyvin käsitellä erilaisia virhetilanteita salatun yhteyden muodostamisessa (eli jos jokin tuntuu haisevan, niin estä yhteys/infoa käyttäjää), mutta appseissa on tämän osalta todella isoa kirjoa, joka voi vaikuttaa negatiivisesti sovelluksen käytön turvallisuuteen ns. vihamielisessä ympäristössä.

Tietokonetta (desktop) olisin ostamassa ja kun tuo black friday suhahti ohi tarjouksineen niin @OldFeki (muutkin toki voi vastata) kysyisin että soveltuuko tämä linkin kone kaltaiselleni, joka nyt ei ole ihan avuton koneiden kanssa (osaan vaihtaa akut ja muistikammat) mutta en erityisen osaavakaan…eli onko näissä valmiina näytönohjain, jolla voi katsoa suoratoistona mm urheilua (jääkiekko, jalkapallo jne…) ilman että kuva tökkii (mulla oli Vietnamissa Dell XPS 8910 ja siinä oli NVidian näytönohjai, jolla homma toimi mutta intelin omalla ei. Mahdollisesti kiinnostaisi myös kaksi näyttöä, joten lähinnä kysyn neuvoa, onko tämän käyttöönotto yksinkertaista ja tarvitseeko muuta lisää kuin näytön? Kiitos avustanne, jos löytyy!

Edullinen kone, jos kestää muutaman vuoden.
Siihen voi kytkeä 4 näyttöä ja tehoa riittää ihan varmasti urheilun katsomiseen ja pelailuun.
Kaksi HDMI-piuhapaikkaa näyttäsi olevan koneen takana.
https://www.notebookcheck.net/AMD-Radeon-780M-GPU-Benchmarks-and-Specs.680539.0.html

Tuli sitten tingittyä 100 euroa hinnasta kun salkkukin lähes YTD-pohjissa (-27%) eli toivon että tämäkin sitten riittää urheilun ym. suoratoistoon ja yöllä vielä menin ostamaan viinihöyryissä LG:n Ultragear Gaming Monitor (27GN800-B), vaikka en itse edes pelaa tietsikkapelejä vaan kaipa tuo sopii ihan tavalliseenkin ihmettelyyn, toivoa sopii.

Minisforum EM680 mini pc1408×670 124 KB

Pitäis tosiaan uus läppäri hommata. Enimmäkseen tulee pyöriteltyä exceleitä, kevyttä ohjelmointia, urheilun katsomista, ja myös kouluhommia. Nykyinen läppäri käy turhan hitaana varsinkin excelin, sekä ohjelmoinnin kanssa. Kotona löytyy kyllä pc, mutta läppäriä olis tarkoitus välillä käyttää “pääkoneenakin”.

Mistäköhän kannattais lähteä etsiskelemään noihin spekseihin sopivaa konetta? Budjettia on sinne kahteen tonniin asti. Itse olen aika ulapalla näiden kanssa, niin kaikki vinkit/ehdotukset otetaan vastaan. Macbookit varmaankin ajavat asiansa, mutta löytyykö parempia hintalaatusuhteita. Ainut kriteeri läppärille olis, että näytöllä on edes jonkin verran kokoa, koska urheilua tulee tosiaan katsottua.

Itse päädyin aikalailla samoilla specseillä tähän:

Ja olen kyllä ollut enemmän kuin tyytyväinen hankintaan.
Tuosta saa vielä -8% opiskelija-alennusta jos kouluhommat tarkoittaa että olet opiskelija?

Käytetyt yrityskannettavat ovat ekologinen ja edullinen vaihtoehto uudelle koneelle. Käytettyjä yrityskoneita myyvät esimerkiksi seuraavat liikkeet: