Autor: smarkacz (jps_at_NOSPAM.bti.pl)
Data: Mon 02 Nov 1998 - 20:29:02 MET
on Mon, 02 Nov 1998 07:21:37 GMT, Tomasz Krawczyk wrote:
> >A co mnie obchodzi nazwisko. Albo skad niby TPSA mialaby je znac.
> >Zastanow sie.
>
> No wlasnie sie zastanawiam. Przeciez autorowi pomyslu chodzilo o
> mozliwosc zobaczenia spod jakiego numeru tel. laczyl sie ktos na dany
> nr. IP o okreslonej godzinie. A nr. telefonu to zarazem adres i
> Nazwisko abonenta. Pewnie, ze nie wiesz kto siedzial przed klawiatura.
Nieprawda. Chodziło o zobaczenie z jakiego numeru (a i to
niekoniecznie, wystarcza jakikolwiek ciąg znaków przypisany na
stałe do tego numeru) jest (nie: był) połączony delikwent, który
usiłuje właśnie skorzystać z jakiejś usługi na moim serwerze -
najlepiej zrobić to przy pomocy identa, wtedy uzyskanie przez
osoby trzecie tej informacji jest nietrywialne (dlatego też
byłbym przeciwny rozwiązaniu z dynamicznym DNS - wtedy
wystarczyłoby co parę minut pingnąć np. frtufp.warszawa.tpnet.pl
- i już jest gotowa statystyka ile gość spędza w sieci, mimo że
nawet wtedy do znajomości jego numeru telefonu czy adresu bardzo
daleko).
> Ale jesli okazuje sie, ze ktos np. spedza na sieci okolo godziny
> dzienie, to stoi przed toba potencjalny klient na wszelkiego typu
> uslugi internetowe - callback, utrzymanie witryn itp. A to pewnie
> szczyt gory lodowej, bo pewnie da sie wymyslec wiecej. Zaznaczam, ze
> masz wowczas czarno na bialym adres danej osoby.
Nieprawda. Jeśli zostałoby zastosowane rozwiązanie typu ident,
nie zaś dynamic DNS to nietrywialne byłoby stwierdzenie czy w
danej chwili jestem połączony (nawet jeśli znałbyś mój userid,
te useridy nie powinny być publicznie dostępne) a co dopiero
zrobienie statystyki moich połączeń. Z kolei jeślibyś zrobił
nawet statystykę połączeń z danym userid, to pozostaje jeszcze
ustalić jakiemu numerowi telefonu on odpowiada. W przypadku gdyby
te useridy były przyznawane w momencie pierwszego połączenia,
losowo lub kolejno, ustalenie numeru telefonu byłoby praktycznie
niemożliwe (no, chyba żebyś znajomego w TPSA spytał, ale tak
można i teraz).
Jeszcze jedno, i tu jest już nieco większy problem: taki ident
musiałby zapamiętywać które połączenie zostało zainicjowane przez
dialup, i tylko na takie pytania odpowiadać - w przeciwnym
wypadku ktoś bardzo uparty mógłby próbować sam zainicjować
połączenie z dialupem, spytać identa kto jest po drugiej stronie
i na tej podstawie robić jakieś statystyki (być może przed tym da
się zabezpieczyć i bez zapamiętania która strona inicjowała
połączenie, nie wiem). Z kolei to na dobrą sprawę wymaga żeby
TPSA sniffowała połączenia swoich klientów.
> >Problem w tym, ze nawet jesli bede wiedzial kto to jest, to i tak
> >nie bede mogl odciac _jego_ komputera od mojej sieci.
>
> No to rozwiazaniem jest odciecie calej galezi TPSy i zostawienie
> podstawowych uslug typu www i ftp. Natomiast dostep dla pracownikow
> zalatwic poprzez wlasne modemy lub konta u okresloneo providera. Jesli
> natomiast firmy nie stac na taki krok, to widac dane na serwerze nie
> sa warte pieniedzy wydanych na zabezpieczenia.
Tu akurat nie chodzi o zabezpieczenie przed dzieciakami które
usiłują co jakiś czas puścić jakiegoś winnuka w mój serwer, albo
coś takiego. Chodzi o uniknięcie odpowiedzialności zbiorowej w
takich wypadkach - w tej chwili jeśli chcę (z jakichkolwiek
powodów) odciąć kogoś z tpnet od jakiejś usługi, muszę od razu
odcinać *@*.miasto.tpnet.pl - wtedy mógłbym odciąć według maski
userid@*.miasto.tpnet.pl, nie interesując się w ogóle do kogo ten
userid należy.
> Wacajac jednak do glownej mysli, sadze, ze Pana akurat nie trzeba
> przekonywac o tym jakie dane da sie uzyskac dzieki sieci i jak
> ulatwiaja one sprawe agencja reklamowym.
W tym wypadku osobom trzecim byłoby bardzo trudno uzyskać
jakiekolwiek dane na temat użytkownika dialupu, nawet w czasie
połączenia, po jego zakończeniu natomiast byłoby to niemożliwe.
Oczywiście wyłączając możliwość przejrzenia logów TPSA, ale
obecnie taki log też jest tworzony i nie ma żadnych powodów dla
których miałby być publicznie dostępny.
> Natomiast osobiscie jestem calkowicie przeciwny jakimkolwiek ogolno
> dostepnym logom moich polaczen z TPSA.
Tu akurat masz zupełną rację - ja byłbym za zorganizowaniem tego
raczej na wzór CLIP w sieciach komórkowych - to znaczy żebym mógł
ustalić userid osoby, która w danej chwili próbuje skorzystać z
jakiejś usługi na moim serwerze (podkreślam - nie musi to być
numer telefonu, wystarczy jakikolwiek ciąg znaków jednoznacznie
do niego przypisany). Co więcej byłbym nawet za możliwością
rezygnacji z takiego useridu - wtedy ident powinien zwracać jakiś
z góry ustalony ciąg znaków, jednakowy dla wszystkich. Oczywiście
wtedy każdy by z czystym sumieniem odciął nouserid@*.tpnet.pl od
wszelkich możliwych usług - tak jak nie otwiera drzwi komuś, kto
zasłania ręką wizjer.
Ale się rozpisałem.. jednak ta dyskusja dzięki rażącym swoją
demagogią i niekompetencją wypowiedziom kilku osób zeszła na co
najmniej niewłaściwe tory rzucania oskarżeń o próby wprowadzenia
jakiegoś "internetowego totalitaryzmu" /etc, podczas gdy raczej
chodzi o to, żeby TPSA umożliwiła swoim klientom pozbycie się
wymuszonej pseudoanonimowości.
-- [Jacek P. Szymański]#[jps_at_bti.pl]#[htc_at_iname.com]#[IRC: smarkacz] [Network Admin]#######[ZmieńNa_Fanklub: http://hultaj.bti.pl/znf] ##########[Do not underestimate the power of the Force]##########
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:17:17 MET DST