arthut

Andmeturve: Copy Fail ja Mitnicki valem Selle nädala teema oli andmeturve ja ülesanne oli valida üks suurematest IT-turvariskidest ning analüüsida seda Mitnicki valemi kolme komponendi kaudu: tehnoloogia, koolitus ja reeglid. Valisin hetkel väga aktuaalse teema ja mida ise tööl ka lahendama pidin. Mis on Copy Fail? Copy Fail (CVE-2026-31431) avalikustati 29. aprillil 2026 ja see on Linuxi kerneli turvaauk mis on olnud olemas alates 2017. aastast. Sisuliselt laseb see tavalisel kasutajal ilma mingite eriõigusteta saada root ehk täieliku kontrolli süsteemi üle. [ 1 ] Kõige hullem on see et exploit on 732 baiti pikk Pythoni skript mis töötab muutmata kujul kõikidel suurematel Linuxi distributsioonidel: Ubuntu, RHEL, SUSE, Amazon Linux, Debian, kõik. See ei vaja mingeid race condition'e ega kerneli offset'e, see lihtsalt töötab. Iga kord. [ 2 ] Viga on Linuxi kerneli krüptograafia alamsüsteemis, täpsemalt algif_aead moodulis. 2017. aastal lisati optimisatsioon mis lubas teatud oper...

Selle nädala teema oli abitehnoloogiad ja ligipääsetavus IT-s. Räägiti kuidas puuetega inimesed arvutit kasutavad ja mis tehnoloogiad neid aitavad. Nägin foorumis postitust kus mainiti Eestit ja Eesti ligipääsetavust võrreldi välismaailmaga ja mõtlesingi täpselt sellest kirjutada, kuidas meil Eestis on. Tarkvara pool on päris hästi Minu aus vastus on see et Eesti on tegelikult päris heas kohas. Meie riigi veebilehed nagu  eesti.ee  ja  e-MTA  järgivad WCAG 2.1 AA standardit, toetavad klaviatuuriga navigeerimist ja töötavad ekraanilugejatega. [ 1 ] TTJA (Tarbijakaitse ja Tehnilise Järelevalve Amet) jälgib, et avaliku sektori veebid oleksid ligipääsetavad ja vajadusel saab ka trahvida. [ 2 ] Tarkvara poolel on asjad üldiselt lahendatud. Apple saadab iga seadmega kaasa VoiceOver'i mis on täiesti tasuta ja päris hea. Windowsil on NVDA mis on samuti tasuta. Isegi Linuxil on Orca olemas. Nö põhitööriistad on olemas ja ei maksa midagi. Riistvara on teine lugu Probleem on p...

Selle nädala teemaks on kasutatavus veebis ja ülesanne tuua üks positiivne ja üks negatiivne näide. Kuna ma pakun, et paljud võivad kirjutada nt Steamist ja mingist muust lehest siis valisin hoopis  SteamDB  mis on nö Steami telgi tagune variant kus on võimalik näha palju rohkem infot kui Steam ise sulle näitab. Kasutan Jakob Nielseni viit kasutatavuse komponenti: õpitavus, tõhusus, meeldejäävus, veakindlus ja rahulolu. [ 1 ] Positiivne: SteamDB SteamDB  on kommuuni poolt loodud veebileht mis jälgib Steami andmebaasi ja näitab sulle mängude hindade ajalugu, online mängijate statistikat, uuenduste logi ja palju muud mida Steami enda lehelt ei leia. Joonis 1. SteamDB esileht Õpitavus  on väga hea. Leht on üles ehitatud nii et ülevalt on otsing ja menüü, vasakul filtrid ja keskel andmed. Kui oled kunagi mõnda andmebaasi kasutanud siis saad kohe pihta. Isegi kui ei ole, siis otsingukast on esimene asi mida näed ja sealt läheb kõik edasi.  Tõhusus  on see koht k...

See nädal tuli analüüsida üht arendus- ja üht ärimudelit konkreetse tarkvaraprojekti näitel. Valisin Proxmox VE, sest kasutan seda ise igapäevaselt tööl ning tean kuidas asi päriselt töötab. Mis on Proxmox? Lühidalt: avatud lähtekoodiga virtualiseerimisplatvorm mis haldab nii KVM virtuaalmasinaid kui ka LXC konteinereid läbi veebiakna. Arendust alustasid 2005. aastal Dietmar ja Martin Maurer Austrias, esimene avalik versioon tuli 2008. Kood on AGPL v3 litsentsi all ehk tugeva copyleft'iga. [ 1 ] Arendusmudel: katedraal, mitte turg Selle nädala teemas räägiti Eric Raymondi "katedraali" ja "turu" mudelist. Proxmox on selgelt katedraal. Firma Proxmox Server Solutions GmbH juhib kogu arendust, otsustab mis sisse läheb ja mis mitte. See ei ole selline kaos nagu mõni Github-põhine kogukonna projekt. Minuarust üks huvitav detail on see, et Proxmox ei võta vastu Github'i pull requeste. Kes tahab koodi panustada, peab kasutama meililisti. [ 2 ] See on natuke mö ...

  Naatan Nohiku tarkvaraprojektil on valida kolme litsentsi vahel ja see valik on elu või surma küsimus (okei, mitte päris aga tähtis ta on ikka). Litsents määrab ära, kes su koodi kasutada saab ja mida sellega teha tohib. EULA - suletud lähtekood EULA ehk  End-User License Agreement  on see, mida näed iga kord kui installid mingit tasulist tarkvara ja vajutad "I Agree". Keegi ei loe neid aga nõustud ikka. Suurim pluss on kontroll: keegi ei näe su lähtekoodi, keegi ei saa seda kopeerida. Kui tahad raha teenida litsentside müügiga, siis EULA on loogiline valik. Küll aga valides EULA oled oma projektiga üksi, kõik arenduskulud on sinu kanda ja kasutajad ei saa kontrollida, mida kood tegelikult teeb. EULA headeks näideteks tooksin näiteks Epic Gamesi  ning Adobe . GNU GPL - tugev copyleft GNU GPL  on Richard Stallmani leiutis mille põhimõte on lihtne: kui kasutad GPL-koodi, pead ka sina oma koodi samadel tingimustel jagama. Seda nimetatakse  copyleft 'iks. [ 1...

Fakt on see, et Eesti on muutunud üle aja digiriigiks: Meil on  e-hääletus ,  digiretseptid ,  e-maksuamet  ja palju muid teenuseid, mida saab teha internetis paari minutiga. See teeb elu mugavaks, aga samal ajal tekib küsimus: kui suur osa meie elust toimub internetis, siis kui palju meist tegelikult jälgitakse?  Eestis ei pruugi see probleem olla nii suur kui mõnes teises riigis, aga täiesti olematu see ka nüüd ei ole. Paljud veebilehed kasutavad  reklaamivõrgustikke  ja  jälgimisskripte , mis koguvad kasutajate andmeid. Samal ajal on Eesti riigi süsteemid ehitatud üsna läbipaistvalt. Näiteks  X-tee  võimaldab riigil andmeid turvaliselt vahetada ning teatud juhtudel on võimalik näha ka seda, kes sinu andmeid vaadanud on. [ 1 ] Valge variant Minu vaates optimistlikus tulevikus suudetakse tehnoloogia ja privaatsus paremini tasakaalu viia. Euroopa Liit on juba praegu kehtestanud päris ranged reeglid andmete kasutamise kohta ning miski ei ...