Архив за етикет: сигурност

За отдалеченото подслушване на телефони (BTV)

Така, BTV репортерите, СРС, как да подслушват телефони. Няма да коментирам как председателя на комисията за СРС гледа, като теле в железница, след като му удариха телефончето, и че гледа като ударено от влак теле от железница, като разбра, че това е масово.

Обаче имам една забележка към БТВ и господина, който бе техния „хакер“. Не го познава човека, и с цялото ми уважение, можеше да кажеш истината. Тоест да не всявате „паника“ с това видео, че едва ли не всеки може да бъде „бъгнат“. Не зная, може пък и репортажа да е „поръчков“ и да има точно такава цел. Може и да е свързано със скандалите със СРС, това няма значение, репортажа бе грешен.

Не казвам, че това което демонстрираха не може да се случи, то се случва. Приложенията ги има и работят, като показаха, и не е необходимо да си хакер, или кой знае колко умен потребител (щом под Win XP с IE7 успя ахахахахах, сещайте се ). Това което ме „издразни“ е, че заблуждават хората, че едва ли не за 5 секунди, без да ви пипат телефона ще го „бъгнат“ и ще ви следят. Просто НЕ става така. Сега ще се опитам да обясня защо, като обясня някой от най-основните начини за подслушване

Слушане от оператора

Мобилния оператор просто си записва всичко. Така или иначе, в момента операторите го правят, за да може да имаме разпечатка на сметката. Отделно полицията може да се „закачи“ и да използва тези данни. Тук единственото, което може да направите е да нямате телефон, или да нямате батерия на телефона. Изключения телефон не винаги е гаранция.

Слушане „човек по средата“

Купувате си мобилна клетка (2-3 хиляди $ струват) и лаптоп. Сядаде близо до човека, настройвате вашата клетка да ретлансира към истинска, мобилния телефон на подслушвания се закача към вас, понеже сигнала е най-силен (така работи GSM мрежата) и всичко, което минава от там може да се слуша. Но за да го направите, ви трябват умения в телекомуникацията, оборудването се купува легално и лесно. Няма как да се предпазите, освен да нямате телефон, или батерия в телефона. Този метод е почти 100% сигурен, не остава никакви следи, но не е нещо, което ще се случи на „обикновен“ човек. Но ако човек застане в Шератон с това оборудване, което е около 4 кила с лаптопа и се побира в куфарче, може да байпасне клетка, а наблизо е президентството и министерски съвет. Все пак, не е толкова лесно. Определено ви трябва човек от някой телеком 🙂

Слушане с бръмбари

Класиката, радио микрофон сложен в някоя саксия с цветя 🙂 Помотайте се из сайтове за шпиони, и ще се изненадате, какви чудесии има, и колко са малки. Някой от тях даже не ги хващат детекторите, понеже „мълчат“ и в един момент се пускат. По време на студената война това е било върха на технологиите, с такива пасивни устройства руснаците са слушали в американското посолство с години, сега се купува за дребни левчета. Този тип слушане е може би най-масовото, особено за любовници и подобни, понеже лесно се инсталира по стаи, имат връзка с интернет и подобни. Тук спасение няма, но то не се използва толкова често за слушане на телефони, въпреки, че според моето абсолютно скромно и абсолютно некомпетентно мнение, точно така са слушани… е сещате се. При другите типове слушане записва ли се сигнала „свободно“ или „изчакване“. Казах, че съм некомпетентен 🙂

Със софтуер

Точно това показаха в репортерите. Как инсталират софтуер, който си работи отзад, и си праща всичко на някакъв сървър. Обаче ето тук пропуснаха нещо изключително важно, че телефона трябва да е определена марка и модел, не всички го могат. Също така, че ти трябва достъп до телефона. Също пропуснаха да кажат, че много лесно може да се разбере има или няма такава програма, защото колкото и скрита да е, то тази програма и там и се вижда. Да, не всеки разбира, но закона не може да защити откровено тъпите хора. Както винаги съм казвал, ако оставиш колата отключена с ключове а таблото, не ти е виновна алармата, че са ти я откраднали. Този тип програми работят основно на Нокиа. iPhone забравете, освен ако не е рутнат, и пак се вижда, при андроид може да се сложи, но се вижда отвсякъде. Просто не може да се скрие напълно (за нокиа не знам, може да има някой шашав хак) но андроид, iPhone забравете да не се вижда. Тоест тук може нещо такова да ви се случи, но лесно може да се осетите. Ако имате съмнения, просто си проверете или процесите, или списъка с приложенията. Или просто си сложете една парола за екрана, и ако ви се наложи да го оставяте, ха да видим как ще  я качат тая програма хакерите. „Хакера“ каза, че имало начин да се хакне телефона отдалечено, да се качи програмата без въобще да има достъп до телефона. На теория става. Принципно операторите могат да качват приложения, рингтонове и подобни, има си протоколи за това. Тоест на теория, ако има хак чрез SMS или WAP може телефона да се експлойтне. Обаче искам да видя как ще стане това. Не съм чул за такова работещо нещо. Говоря за нещо масово. На определен модел, точно определен може и да има начин, но аз съм с Cyanogen,  не ми се вярва., iOS определено не става, то ако ставаше ….., нали се сещате, че щеше да е изтрещяло до сега. Така че господа хакери, и аз съм чувал, че може да се хакне AIX, ама само съм чувал, и май това никой не го е виждал. Така, че ще ме извинявате това не е реалистичен начин за хакване. А да не забравяме, че дори и да се хакне, и да се качи това приложение, после приложението пак ще се вижда 🙂

Разбирате ли, ситуацията е такава, че ако някой иска да ви слуша или следи, има много много начини да го направи, без да се налага да разчита на телефоните ви. Частните дедективи знаят много добре. В това предаване само си говорят. Я ми кажете какво ще стане, ако си пусна GSM „залълаката“, която е напълно легална, и струва 50$, която мога да и кажа да излъже всяко едно GPS устройство в радиус от 10 метра, че съм по средата на Тихия океан. Просто излъчва по-силен сигнал от GPS сателита, и го заглушава, и мога да си правя каквото си искам. Какво ще стане, ако имам нокиа 3310 или в моя случай моторола „скакалец“, повечето даже не си спомнят тези телефони. Какво ще стане, ако имам телефон, но съм забранил data transfer? Какво ще стане, ако просото си махна батерията на телефона.

Разбирате ли, има толкова начини този тип следене да пропадне, че „професионалистите“ не разчитат на него. Да, използват го, но на принципа „ако мине“. Така че господа журналисти, нали девиза ви е „всички гледни точки“. Тука определено се поизложихте, и наблегнахте на всички гледни точки, ама от един ъгъл. Не плашете хората. Ако искахте да сте полезни, щяхте да кажете и начините за защита от този тип атаки.

Как да сърфираме по мрежата на чисто

Интернет отдавна е средата на младите, също така се превръща във водеща рекламна платформа, и дори в някой държави измести телевизията. Естествено рекламодателите се усетиха много отдавна, и постепенно мрежата се препълни с реклами от всякакъв тип.

Колко пъти моето IP било избирано за „печелившо“, и ако кликна ще спечеля 100 000$, колко „уникални“ услуги и продукта ми мигат по банери, колко флаш неща изяждат и без това малкото ми процесорно време. Колко ли „трохочки“ оставям на рекламодателите, за да могат да ме „засекат“, и да ми предложат „най-изгодната“ за мен застраховка, лизинг или козметика.

Забелязвате ли, колко думи са в кавички. Интернет бъка от измисления прекрасен свят на рекламите. Лошо няма, но мен почти винаги са ме дразнели, и едва ли някоя от рекламите е повлияла на избора ми. За щастие има начин това да се пооправи, благодарение на няколко разширения за FF или Chrome.

Всъщност кои са „проблемите зони“:

  • рекламата – почти винаги флаш, товари компютъра, генерира трафик, разсейва неприятно
  • бисквитки и LSO – така оставяме дигитални следи. Като цяло не е кой знае колко лошо, или опасно, но пък защо да го правим.
  • разни „анализиращи“ библиотеки – някакъв JS, който ви разпознава, и следи как използвате сайта. Събират прекалено много информация.

Рекламите

Влизате в някой сайт, и процесора скача на 100%. Кака ви предлага да се запознае с вас, отдолу има изгодна застраховка, а отстрани парфюми за 10 лева бройката. Тук таме се появява и някоя онлайн игра. Оказва се, че порно сайтовете имат по-малко реклами, отколкото „обикновените“ такива. Разбира се, това е един от основните доходи на компаниите, но аз като потребител винаги имам правото да НЕ ги гледам. Никой не може да обвърже използването на услуга с задължително гледане на реклами (надявам се, че не може). Тоест, аз искам да не ги гледам, и за това си качих разширението Adblock Plus (има го и за Chrome)

Това разширение е изключително хитро измислено, и доста качествено изпълнено. Идеята е проста, то има „отпечатъци“ на рекламни компании, и когато страницата се зарежда, то блокира рекламите идващи от тези рекламни компании. Самите списъци с „отпечатъци“ се генерират от потребителите и се споделят. Така потребители от целия свят трупат една голяма база данни, и рекламодателите „нямат шанс“. Ако случайно някоя реклама, или нежелано съдържание се промъкне, много лесно може да го отбележите и блокирате, като този „отпечатък“ може да остане само за вас, или да го споделите с останалия свят. Всичко е доста интуитивно и става само с мишката. Най-хубавото на приложението е, че не поврежда дизайна. Ако рекламата ще заема квадрат 200×200 (егати и банера) то това място пак ще е запазено, но просто рекламата няма да се покаже. Направете си експеримент, качето това разширение, изберете филтър „България“, и отворете някой от любимите ви сайтове. При мен разликата в зареждането е между 2 и 10 пъти по-бързо, защото рекламните материали не се свалят. Други разширения скриват рекламите, това спира даже и да не се свалят. За по-бавни връзки, като тези на БТК (да де ВиВаКоМ) резултатите може и да с по-драматични 🙂 Разширението винаги може да бъде спряно, само с натискането на 1 бутон с мишката, не е необходимо да се деинсталира. Има възможност да спира и рекламите във видеата на youtube, но това все още е бета, и понякога прави проблеми. Но пък много лесно може да кажете да НЕ го прави конкретно за youtube. Въобще супер добре е измислено, аз даже им пратих леко дарение на хората, които го правят, понеже мрежата изглежда супер добре сега 🙂

Бисквитки и LSO

Реално бисквитките не е хубаво да се пипат, понеже така ще загубим сесии, ако ги спрем напълно, огромна част от интернет няма да работи както трябва за нас, така че те са един компромисен вариант. Сами по себе си те не представляват опасност, понеже бисквитките са видими само от домейна, от който са сложени. Тоест бисквитка сложена от сайт A, не може да бъде видяна от сайт B, и обратното. Обаче LSO са друга работа. Това на практика е флаш, който записва данни на твърдия ви диск, и след това почти всеки може да ги чете. Тези данни не се изтриват от браузъра, данни сложени през FF са видими през IE, и въобще положението там е сериозно. Страшно много хора дори не подозират за съществуването им. За щастие отново има разширение, което се оправя с тях.

BetterPrivacy е едно от тях. Има малко дървен интерфейс, и от начало е „стряскащо“, но като го пуснете в автоматичен режим, няма въобще да ви се натрапва. Като цяло приложението намира всички LSO, и може да ги изтривате едно по едно, или да му кажете да ви ги изтрива винаги като затворите браузъра, без да ви пита. Аз лично направих така, и даже забравих че го имам. Съвсем спокойно може да кажете всички LSO да ви бъдат унищожавани. Това няма да повреди нито един сайт или услуга, която ползвате. Е, винаги има варианта девелопъра на сайта да е бил с идеята, че всеки на този свят има инсталиран флаш (LSO са флаш), и да е объркал нещата, но аз до сега не съм попаднал на такъв сайт.

Разни „анализиращи“ библиотеки

Това са неща като google analytics, и други подобни, най-често JavaScript библиотеки, които се зареждат в браузъра ви, разпознават ви, следят какво натискате, кога го натискате, колко време седите в сайта, чете ли или просто сте остави страницата отворена, с какъв компютър сте. На практика всичко до което могат да се докопат, или да предположат. Принципно тези данни са много важни за развитието на сайта, продукта, услугата, но както с рекламите, никой не може да ме задължи да давам тази информация. Никъде не ми е дадена възможността да НЕ ги давам, и за това има ето това разширение, с интересното име Ghostery. Това разширение работи по подобен начин на Adblock Plus ,тоест има списък с библиотеки, и като засече, че страницата се опитва да зареди такава, директно я блокира (библиотеката, не страницата). Разбира се имате пълен контрол върху какво се блокира, лесно може да включвате/изключвате приложението за определени сайтове, въобще просто, удобно и лесно. По подразбиране приложението вади едни малки „попъпи“, и казва какво е блокирано, от начало това е интересно, понеже виждате какви неща са сложили адмиите на сайта (до сега не съм видял сайт без google analytics), след време става дразнещо. Разбира се имате възможността да ги спрете.

Опитайте, винаги може да махнете тези разширения, но съм почти сигурен, че след като видите как изглежда една „чиста“ мрежа, няма да искате да си ги махнете.

Правила за защита от XSS атаки

Предполагам сте изгледали видеото, в което обяснявам какво е XSS. Тук ще се опитам да дам практически съвети за девелопърите как да избягват XSS.

Никога не вярвай на потребителя

Винаги валидирайте, нормализирайте и филтрирайте всички входящи данни. Това правило няма изключение и не се отнася само за XSS, а за всичко по принцип. Ето обикновено какво правя аз:

  • Прехвърлям всичко в UTF-8
  • Проверка дали дадена стойност идва
  • Махам интервалите в началото и края (trim)
  • Махам, ако има, повече от 1 интервал между думите $d = preg_replace('/\s\s+/', ' ', $_POST['comment']);
  • Проверявам за минимална/максимална дължина на текста, или големина на числото
  • Ако има проблем до тук слагам стойност по подразбиране.

До тук не сме направили нищо, което пряко да ни предпази от XSS, но пък XSS понякога върви в комбинация с други трикове, а част от тях вече са спрени, ако сме се убедили, че входните данни са чисти, и в последствие спокойно може да работим с тях. Респективно е показана грешка на потребителя, и кода не се е изпълнил, ако има проблем с тях.

Използвайте bbcode

Ако bbcode е подходящо за вашето приложение, то тогава вземете готова bbcode библиотека, или следвайки идеята на bbcode направете собствена имплементация. Идеята е проста, всичко което постъпва от потребителя минава през strip_tags(), което премахва всички html тагове. По този начин, почти не остава начин за изпълнение на XSS, но пък се губи форматирането. strip_tags() свежда всичко до текст без тагове. Единият вариант е да разрешите серия тагове, като b,i и подобни, но това не е добра идея. Понеже bbcode има собствени тагове, те минават, и в последствие, в сигурна среда тези bb тагове се конвертират в съответните b,i и подобни.

Ако няма да използвате bbcode по някаква причина, то тогава трябва да:

Изчистите най-вероятните причинители на XSS

Задължително трябва да прехвърлите определени знаци, в съответните им HTML entry и да ги изпращате към браузъра само в този вид. Задължително трябва да конвертирате:
& -> &
< -> &lt;
> -> &gt;
“ -> &quot;
‘ -> &#x27;
/ -> &#x2F;
Всеки език има функции или обекти да направи това прехвърляне. Хубавото на това е, че когато браузъра види &lt; ще го визуализира като < тоест <script ще бъде пратено като &lt;script , и бразузъра няма да го изпълни като javascript.

Прекарвайте всичко през подобно филтриране, не само „текстовете“

Примера до тук бе с текстово поле за коментар, но това не значи, че само от там може да се изпълни XSS. На практика, ако позволите на някой да „пише“ по вашия html, без значение дали това е коментар, URL на снимка, CSS дефиниция или каквото и да е, то той може да изпълни XSS атака. Ако сте пропуснали – „Никога не вярвайте на потребителя“

Пазете оригинала на данните

Това не е правило, а по-скоро идея, която аз използвам. Когато обработвам данните от потребителя, ако засека намек за XSS, тоест усетя, че има някой от знаците като <> записвам оригиналните непроменени данни в лог, заедно с данни за потребителя. Така лесно може да се проследи, кой какво и как се опитва да хитрува. Внимавайте колко записвате, ако сайта е посещаван, бързо може да съберете гигабайти. Не слагайте тези неща в базата, по-добре е в текстови лог.

Не слагайте лични данни и „коментари“ на една страница

XSS не е само за крадене на сесия, XSS може да вземе цялата HTML страница, или част от нея, и да я изпрати на някой сървър. Тоест ако на страницата за „профил“ на потребителя имате някакво поле, чийто данни идват от външни потребители, то ако мине XSS атака, този код, ще може да вземе цялата страница с всички данни на потребителя. Ако дизайна или друго ви налага да сте в такава ситуация, то тогава измислете начин да не сте. Опасно е! Ако все пак не можете, намерете начин да объркате показаната информация. Използвайте някой от методите за защита на показан email. Тоест JS прави така, че дадени текстове да се виждат от човек, но да са абсолютно безсмислени за код. Все пак, промяната в дизайна е по-добрата опция.

HTTPOnly флаг на бисквитките

Всеки език позволява да вдигнете този флаг, и повечето браузъри го спазват. Това което прави е, че не позволява на JS да чете тези бисквитки. Тоест ако мине XSS, то кода не може да види бисквитките с този флаг, тоест няма кражба на сесия. Винаги го ползвайте за сесийните бисквитки.

Направете отпечатък на браузъра

Когато стартирате сесия на потребителя направете хеш от вид и версия на ОС и Браузър.

$fingerprint=md5($_SERVER[‘HTTP_USER_AGENT’]);

Може да запишете и оригинала, без хеширане, въпрос на избор, но идеята е, при следващи заявки да проверявате дали отпечатъка отговаря с оригиналния. Ако има XSS и сесията бъде открадната, трябва и отпечатъка да съвпадне, което е още една защита. Ако отпечатъка не отговаря, нещо се е случило. Може потребителя да е обновил браузъра си, но това се случва рядко, и си заслужава да има тази защита.

Алгоритъм за разстояние

Използвайте geoIP за да намерите приблизителното местоположение на потребителя. PHP има добра библиотека за целта. При стартиране на сесия засичате потребителя на ниво град, и при всяка следваща заявка проверявате дали е в този район. Не може за 30 минути да отиде от София до Варна. Има доста примери по темата в интеренет. Тази защита се брои за доста напреднала, така че правете я само ако знаете какво правите понеже:

На IP не може да се разчита

Голяма част от хората са с динамични IP адреси, други минават (доброволно или не) през прокси сървъри, и е възможно 2 заявки от един и същи потребител, да дойдат от 2 различни адреса, дори и заявките да са в рамките на секунда. Някой доставчици правят нещата още по-зле, като AOL , понеже при тях всяка заявка е с различно IP, и на всичко отгоре е и от различен град.

Не стряскайте потребителя

Ако засечете нещо, което ви изглежда нередно, и може да е следствие от XSS, не вадете големите червени екрани, и не стряскайте потребителите. Може заради неразбиране, грешка, или извънземните, нещо да се е объркало. В този случай просто помолете отново за парола, както го правят google. Ако е XSS, кракера има сесия, но не и парола. Елегантно и спокойно помолете потребителя да си въведе паролата, и ако е ОК, значи е ОК.  Ако не е ОК, вие вече сте унищожили сесията 🙂

Направете си своя библиотека за филтриране

XSS е пряко свързан с браузъра, и както излизат нови версии, така се появяват и нови „хакове“. Опитайте се да съберете всички правила във собствен клас, които да може да разширявате в последствие.

Проверете вашия клас

Може да влезете тук и да намерете списък на почти всички известни XSS „врътки“. Там няма да видите код за чист XSS, а просто техниката, по която може да вкарате JS в браузъра. Тоест, прекарайте примерете през вашия клас, и ако мине, значи имате проблем. Някой от примерите са специфични на конкретен браузър, примерно бъг на IЕ в енкодинга, така че трябва да тествате библиотеката си и през различните браузъри.

Една идея за поверителност при снимките

Здравейте, минаха празниците, направиха се хиляди снимки, на хиляди хора и сега почва голямото качване по FB,Picasa, Flicker и подобните им. Лошо няма, но имаме проблем. На тези снимки има хора, които не желаят снимки, в които участват, да бъдат качвани в интернет на общо достояние. Аз съм един от тези хора и просто няма начин аз да забраня на лицето X да качи снимки от празника в неговият FB примерно. Това е грубо нарушение на неговата свобода, да споделя и изразява. Мога да го помоля да не качва снимки с мен в FB, но да кажем, че на някоя снимка сме 10 човека, и останалите 9 искат да имат тази снимка. Тя ще бъде качена, а след това, кой какъв достъп ще има до нея няма как да се знае. Лицето Y ще я свали или сподели с приятел (извън компанията), който евентуално ще я сподели с негов приятел и така ….. на теория може да достигне до всеки. Още по-сериозно е положението в мрежите като FB, с тези „оповестявания“, кой какво е харесал, тагнал….

Изглежда, че единственият начин аз да се предпазя от това някой да получи снимка с мое участие без мое знание и разрешение е тя да не се публикува никъде. Това е невъзможно, няма какво да се залъгваме, целия FB е заради снимки, тагване и от време на време копане.

Обаче докато се къпех ми хрумна едно решение, което може и да свърши работа. Запитах се „Какъв е точно проблема, дадена снимка да се качи“. Отговорът е ясен „Аз съм там, а не искам непознати да виждат къде съм, с кого съм, как съм, какво ям, какво пия, с кого танцувам…..“. Има хиляди причини някой да не иска снимката да е видима, това не важно, приемаме че има причина.  Но причината, независимо каква е, е свързана с „АЗ“. Тоест ако „АЗ“ го няма, вече няма проблем. Казано по-ясно, ако моето лице е „маскирано“ то тогава няма проблем снимката да я излъчват 24/7 по CNN ако искат. Обаче тогава остава проблема как да накарам човека, качващ снимката да ме „маскира“. Едва ли някой ще седне да крие лица, преди да качва снимките, а в някой случай е трудно да им обясниш как се прави. Отделно остава проблема с това, че лицето маскирано 1 път не може да се върне обратно, тоест аз (или някой друг) трябва да пазя 2 различни копия на снимките. Това са сериозни проблеми. Нека да обобщим най-главните:

  • не е лесно някой да маскира лица преди да качи снимка
  • не може да се махне маската
  • само едно лице ли се маскира или всички, тоест този който качва трябва да пита всеки поотделно
  • трябва да се пазят оригиналите някъде извън мрежата, което почти сигурно ще доведе до загубата им

Ето как смятам, че този проблем може да се реши:

  1. Извършва се автоматично разпознаване на лица
  2. Зоните с лица се копират в паметта
  3. Зоните с лица се „маскират“ с някой филтър като „шум“ или подобен
  4. Зоните с лица, които съдържат в себе си самата графична информация на лицето, се криптират
  5. Криптираните зони се вписват в „мета данните“ на снимката
  6. Снимката се качва

Тоест автоматично всички лица са маскирани, но нямаме загуба на информация, понеже оригинала е записан в мета данните и може да бъде върнат винаги, стига да има паролата. Така решаваме всички проблеми:

  • Няма нужда от сложни действия по маскиране преди качването
  • Всички са маскирани, тоест няма нужда ад се пита поотделно всеки един
  • Работи се с едно копие, понеже данните винаги може да се възстановят, но само с паролата
  • Снимката може да бъде качвана свободно навсякъде, понеже тя си е снимка.

Как на практика може да се реализира?

Не съм правил някакви сериозни проучвания, но това лесно става като разширение на браузър. Самото разширение може да прихване снимката преди да се качи и да извърши всички тези действия с JavaScript. Разпознаването на лица с JS може да се направи с кода на LiuLiu (това е уникален хак) самото замазване на лицата и другите манипулации би трябвало да могат да се правят с API на браузъра. Обратното действие (декодирането) е по-лесно, понеже само трябва да се декриптират мета данните и да се заместят изображенията.

При PHP има всички нужни библиотеки за това. Примерно за разпознаване на лица може да се ползва този клас, маскирането на изображенията става с GD, което е доста тривиално, за криптиране/декриптиране има MCrypt класовете, предполагам има и някой за писане на мета данни по снимките.

Общо взето това е, има някой неща за уточняване, надявам се да ми помогнете с това.

Веднага, предполагам, някой ще каже, че то реално разлика няма, ако някой има паролата, може да ползва снимките винаги, и ще е прав, по същият начин, че ако някой има паролата ти за пощата, ще може да я ползва винаги.

Това, което ще реши подобен подход е автоматичното разпознаване на хора от системи като FB. Както знаете, вече тагването там става автоматично, тоест FB има данни за вас, и чрез тези данни може да ви разпознае на всяка една снимка или видео, без значение от къде е източника. Нека да не влизаме в „теория на конспирацията“ и параноизма, да кажем, че не е хубаво всяка една охранителна камера по света да може да ви разпознае за под 50 милисекунди. „Може да си махнеш таговете“ казват някой, но FB никога не трие данни, тоест веднъж тагнати, това остава завинаги в техните сървъри, това че вие не го виждате в съвсем друга тема.

Другият проблем, който това ще реши е случайното изтичане на снимки, което си е опасно, особено ако някой иска да се добере до тях. Стокърите са добър пример за това, също така застрахователни компании, работодатели, жени,любовници…… В този случай, по който и начин някой от заинтересуваните да се добере до снимките, те са неизползваеми за тях, понеже нямат паролата, а без паролата виждат снимката, но не и лицата, които са просто едни размазани квадрати.

Това е само повърхностна идея, искам да я обсъдим и изчистим, и да намерим начин за техническата и реализация.

Всеки, който сметне, че може да реализира подобно нещо, под каквато и да е форма, без значение от технологията, нека да го направи, аз нямам абсолютно никакви претенции за идеята. Дори и комерсиално да е решението, няма (и не мога) да имам никакви претенции.

Google вече прекалиха

Днес попаднах на два нови рекламни клипа на google за една не много нова тяхна услуга google health (google здраве) и направо съм потресен. Да, харесвам google повече от всички други, но всичко трябва да има граница. Ето линкове към клиповете (1) (2)

За какво става дума? Ами за здравето ни. Google вече отдавна се докопа до поведенческите ни модели, интересите ни, реакциите ни, времето ни, гео локацията ни, рутината ни, в някой случай и до ДНК- то ни, сега вече се докопаха и до здравето ни.

Това което предлагат е услуга, която нашата здравна система може само да желае и сънува – електронен здравен картон. Там се описва всичко за вас, заболявания, периоди, лекарства, храни, упражнения…. ВСИКО като главната идея (уж) е да ви помогне да следите здравето си, да получавате „ранно предупреждение“ и подобни неща. Добре, не я ползвай, ще кажат хората, доброволна е. Да ама НЕ, оказва се, че не доброволна. Google са сключили договор с производители на оборудване, което АВТОМАТИЧНО ще качва данните в google. Тоест купувате си кантар, и всеки път като се претеглите, кантара ви прави запис в медицинския картон. Карате колело? – няма проблем, колелото записва кога, къде и колко го карата. Схващате ли картинката?

Това е НЕДОПУСТИМО. Ми след 2-3 години ако НЕ може да си купиш хладилник без подобна връзка, и той следи колко кутии сладолед ядеш (или кила ракия в БГ варианта), ами ако в обществените ресторанти системите се вържат? И как ще ни разпознават? Ми има хиляди не-преки техники. През време/пространство. Нееее, не говоря за научна фантастика и паралелни вселени. В Макдонълдс някой е поръчал 8 бикмака и 4 кила кола в 12:33 (и в 13:00 сте в болница ама това е друга тема). А вие с умен телефон с GPS сте били в 12:33 на еди кои си координати, и гледаш ли там имало Макдонълдс. Колко мислите е сложно компютърен алгоритъм да свърже 2-те неща. Ами  NFC технологията, която сега навлиза. Айде да не навлизам в тая тема.

И пак ако не сте разбрали за какво мрънкам, google се опитват да се докопат до здравето ви. Не само физическото а и менталното. Какво лекарства взимате, кога, как ви влияят, какви странични ефекти. ОК, на пръв поглед полезно, но то и ядрената енергия на пръв поглед е полезно нещо.

Технологията ще освободи човечеството –казват някой философи, да ама НЕ. Сами си го навираме и сами си губим свободата.

Web сигурност

Здравей 🙂 можеш ли да направиш едно видео, във което да разкажеш за добрите практики за уеб относно сигурността? Какви методи е добре да прилагаме във приложенията си, със цел по-добро security? Също ще се радвам да чуя, да споделиш как се записват сесийте във базата от данни.