Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  32 11609
Hei, dere har vel alle sett den nye "trendy" appen jodel.
For de som ikke har sett den er det basically twitter, bare at man er anonym og at du "tweeter" bare lokalt.

Denne appen har allerede begynt å tiltrekke seg oppmerksomhet av mobberne.
Har lest om ufattelige mange tilfeller der folk har blitt mobbet grovt over denne appen og i tillegg har jeg sett dette på min skole. personangrep med fullt navn og hele pakken. Det har blitt så gale at folk ikke tør å gå ut i friminuttet engang. (VGS)

Ettersom jeg er litt over average IT interessert har jeg begynt å analysere trafikken til/fra appen får å se etter en måte å kunne identifisere disse jævla tragiske mobberne. Jeg begynte med å sniffe trafikken med appen "Packet capture". Med dette har jeg funnet ut litt av vert. Som dere ser under har jeg kartlagt litt av api'en til Jodel:

Kode

//-----------------------------------------------------------------------------------------
//				Jodel api v2:															  |
//-----------------------------------------------------------------------------------------

//-----------------------------------------------------------------------------------------
//				Base headers:
//-----------------------------------------------------------------------------------------
User-Agent: <example: Jodel/65000 Dalvik/2.1.0 (Linux; U; Android 5.0.1; GT-I9505)>
Authorization: Bearer <unique user id>
Host: api.go-tellm.com
Connection: Keep-Alive
Accept-Encoding: gzip
//-----------------------------------------------------------------------------------------
//				Requests:
//-----------------------------------------------------------------------------------------

// Base url
URL: api.go-tellm.com

// The users (your own) posts
GET /api/v2/posts/mine

// Gets the jodel posts from around the user.
GET /api/v2/posts/

// Gets the user's karma
GET /api/v2/users/karma

// deletes a post
DELETE /api/v2/<POST_ID>/ 
//example: DELETE /api/v2/posts/56686ab12e8690742c3361aa

//-----------------------------------------------------------------------------------------
//				Sample posts:
//-----------------------------------------------------------------------------------------


GET /api/v2/posts/ HTTP/1.1
User-Agent: Jodel/65000 Dalvik/2.1.0 (Linux; U; Android 5.0.1; GT-I9505 Build/XXXXXX)
Authorization: Bearer xxxxxx-xxxxx-xxxx-xxxx-xxxxxxxx
Host: api.go-tellm.com
Connection: Keep-Alive
Accept-Encoding: gzip


HTTP/1.1 200 OK
Access-Control-Allow-Origin: *
Content-Type: application/json; charset=utf-8
Date: Thu, 10 Dec 2015 12:04:10 GMT
ETag: W/"G3zqfe1s2daCq1BB8=="
Server: nginx/1.6.2
Vary: Origin
X-Powered-By: Express
Content-Length: 19000
Connection: keep-alive

{
    "posts": [{
        "post_id": "566969dba08b0675720af115",
        "created_at": "2015-12-10T12:02:35.248Z",
        "message": "Df når du skal til klasserommet og hele idrett blokker gangen ",
        "discovered_by": 0,
        "updated_at": "2015-12-10T12:02:35.248Z",
        "post_own": "friend",
        "discovered": 0,
        "distance": 10,
        "vote_count": 6,
        "color": "FF9908",
        "location": {
            "name": "Bildå¸yna",
            "loc_coordinates": {
                "lat": "60.35",
                "lng": "5.11"
            }
        },
        "ptp_location": []
    }, {
        "post_id": "566969d4484bd59025f9c610",
        "created_at": "2015-12-10T12:02:28.012Z",
        "message": "DF når du stikker flasken i ræven på jack og må drikke av den etterpå.",
        "discovered_by": 0,
        "updated_at": "2015-12-10T12:03:44.906Z",
        "post_own": "friend",
        "discovered": 0,
        "distance": 10,
        "vote_count": 1,
        "color": "9EC41C",
        "location": {
            "name": "Straume",
            "loc_coordinates": {
                "lat": "60.35",
                "lng": "5.11"
            }
        },
        "ptp_location": []
    }
Etter man finner ut av brukerens unike OAuth 2 id;

Kode

Authorization: Bearer xxxxx-xxxxx-xxxx-xxxx-xxxxxxxx
kan man "logge inn" på brukeren sin jodel account og gjøre alt man normalt kunne gjort med sin egen Jodel. I dette eksempelet bruker jeg postman og henter postene mine for å visualisere det bedre for dere:
http://i.imgur.com/n8gQiug.png?1

For å gjort dette i praksis mot eventuelle mobbere måtte man selvfølgelig gjort en hel mer. Siden trafikken går over HTTPS må du dekryptere SSL for å kunne lese info-en. Tror det finnes noen forskjellige metoder for å gjøre dette, men den mest typiske er en MITM(man in the middle attack). Å gjøre dette på en skole tror jeg ikke er det lureste du finner på. Men ideen min er følgende: Hva om istedenfor at skolen blokkerer Jodel burde de gjort noe i den duren jeg beskriver over. lage et sertifikat og deretter sniffe trafikken for å finne ut hvem som mobber. Etter som min skole og mest sannsynlig mange andre bruker en gateway for å logge på nettet (it's learning brukernavn og passord) tror jeg ikke det skal være så vanskelig å finne frem til hvem som postet ut ifra å compare den interne ip adressen mot vedkommendes it's learning bruker.

Grunnen til at jeg foreslåt en slik fremgangsmåte istedenfor å bare blokkere det er fordi uansett hvor mye man prøver å blokkere det vil det uansett finnes måter å gå rundt dette på. Letteste ville jo bare vert å bruke mobildata... Så min konklusjon er å gjøre dette på en lignende måte over (kanskje en litt mer lovlig måte) for å heller ta mobberne på fersken istedenfor å ligge barrikader som kanskje vil fjerne 10% av brukerene og la mobbingen fortsette.
Asosial introvert
Duckie's Avatar
Jeg kan ingenting om dette, men jeg støtter dette i stedet for totalforbud. Jeg vet at det skal være noe med "#libphonenumber" eller noe sånt inni koden. Er det mulig å kombinere OAuth 2 id; og "libphonenumber for å finne ut hvem som eier telefonen og ha et møte med foreldrene, læreren og ungen som mobber på skolen?

Legger til at jeg bruker denne appen mye selv, men har ikke lagt mye merke til mobbing her i Trondheim. Det er noen ladede kommentarer, men det er ikke mobbing.
Trigonoceps occipita
vidarlo's Avatar
Donor
Så dei sjekker ikkje sertifikat? Det er jo åpenbar glipp som dei bør fikse. Heile poenget med SSL er jo at kommunikasjon skal vere kryptert, og mitm vanskeleg.

Forøvrig har eg lite tru på sensur og overvåking for å hindre mobbing - gi det ei uke så popper det opp ny app...
Sitat av Duckie Vis innlegg
Jeg vet at det skal være noe med "#libphonenumber" eller noe sånt inni koden. Er det mulig å kombinere OAuth 2 id; og "libphonenumber for å finne ut hvem som eier telefonen og ha et møte med foreldrene, læreren og ungen som mobber på skolen?
Vis hele sitatet...
Har ikke sett noe "libphonenumber" noen plass. Kan være dette ligger hardcodet i selve appen, men den har jeg ikke rørt. Såvidt jeg har sett på nettverktet er det bare det jeg har postet som er av relevanse. Kan muligens være "libphonenumber" er noe appen sender til serveren første gang man "registrerer" seg.

OAuth id'en er bare masse bokstaver og tall ut ifra det jeg har lest. Har ingen hint til bruker dessverre, eneste er at du kunne brukt metoden min. Funnet vedkommende via ip og tatt en lokal test på telefonen han/hennes og bekreftet at det er h*n.

Sitat av vidarlo Vis innlegg
Så dei sjekker ikkje sertifikat? Det er jo åpenbar glipp som dei bør fikse. Heile poenget med SSL er jo at kommunikasjon skal vere kryptert, og mitm vanskeleg.
Vis hele sitatet...
Hvem sjekker ikke sertifikat? Alt jeg har gjort er "lokalt" på min egen telefon. For å kunne sniffe ssl'en måtte jeg installere et sertifikat fra sniffing appen "packet capture". Den appen fungerer i seg selv som en mitm proxy/vpn såvidt jeg har fått med meg. Om du tenker på skolen, så var egentlig ideen min at de hadde lagd et eget sertifikat på gatewayen der som bruker må godkjenne. (temp) Slik at de får mulighet til å sniffe på nettet. Jeg er langt ifra noe mester på dette SSL området, men det er slik jeg har skjønt det ihvertfall.

For å klarere litt hva jeg tenker har jeg sittet sammen en kjapp og enkel wireframe.
Sist endret av blitZz96; 11. desember 2015 kl. 00:54. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av blitZz96 Vis innlegg
Hvem sjekker ikke sertifikat? Alt jeg har gjort er "lokalt" på min egen telefon. For å kunne sniffe ssl'en måtte jeg installere et sertifikat fra sniffing appen "packet capture". Den appen fungerer i seg selv som en mitm proxy/vpn såvidt jeg har fått med meg. Om du tenker på skolen, så var egentlig ideen min at de hadde lagd et eget sertifikat på gatewayen der som bruker må godkjenne. (temp) Slik at de får mulighet til å sniffe på nettet. Jeg er langt ifra noe mester på dette SSL området, men det er slik jeg har skjønt det ihvertfall.
Vis hele sitatet...
Kvifor skulle nokon godta det på sin telefon? Det er gigantisk sikkerhetshol. Og kvifor skal elevane bruke skulen sitt WiFi? Har du fått med deg at dagens smarttelefoner har god kvalitet på data over mobilnettet? Og skjer den problematiske bruken på skulen, der skulen sitt wifi er tilgjengeleg?

Sorry mac, men tanken din vil ikkje funke.
Sitat av vidarlo Vis innlegg
Kvifor skulle nokon godta det på sin telefon? Det er gigantisk sikkerhetshol. Og kvifor skal elevane bruke skulen sitt WiFi? Har du fått med deg at dagens smarttelefoner har god kvalitet på data over mobilnettet? Og skjer den problematiske bruken på skulen, der skulen sitt wifi er tilgjengeleg?

Sorry mac, men tanken din vil ikkje funke.
Vis hele sitatet...
Fordi folk vet ikke bedre, i tillegg kan jo bare ikt si "alle må godta det nye sertifikatet". Sikkerhetshull, ja. Men du bruker jo ssl til elevene også. Jodel ssl -> mitm proxy -> proxy ssl. Elevene bruker skolens wi-fi pga det er mye bedre enn å bruke mobildata, naturligvis. På skolen våres er det bring Your own device. Ja, det er bare der jeg har sett det. Så bår alle har gått er det ingen problematiske posts lenger.
Sitat av vidarlo Vis innlegg
Så dei sjekker ikkje sertifikat? Det er jo åpenbar glipp som dei bør fikse. Heile poenget med SSL er jo at kommunikasjon skal vere kryptert, og mitm vanskeleg.
Vis hele sitatet...
Jeg testet litt selv via en Android-emulator i lys av bombetrussel-saken for en tid tilbake. Da nektet Jodel-appen å autentisere seg når trafikken ble kjørt gjennom Fiddler (og root-sertifikat). Dette virker utmerket på en del lignende apps, så *noe* beskyttelse har de der inne. Å spoofe GPS-koordinater gikk appen derimot med på (Jodel viser bare personer innenfor 7 miles elns).

Hadde vært interessant å greppe etter flere tilgjengelige API-kall i app-filene, for å se om det er noen latente modereringsverktøy der. Er det også mulig å slette poster du ikke har laget selv?
Støtter deg, at det er bedre å luke ut mobberne og straffe dem, men nå er den norske loven så firkantet at all overvåking av enkelt individer er ulovelig. Så lenge det er i en bedrift, offentlig instutisjon eller lignende.
Alt som er med på å hindre mobbing er supert i min bok! Alle som mobber burde få svi, spesielt de som er patetiske nok til å gjemme seg bak "anonymitet".
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av The Riddler Vis innlegg
Alt som er med på å hindre mobbing er supert i min bok! Alle som mobber burde få svi, spesielt de som er patetiske nok til å gjemme seg bak "anonymitet".
Vis hele sitatet...
Så vi skal ofre privatlivet til alle for å ta eit lite mindretal? Og det på ein metode som er tvilsomt om vil fungere? Det er jo nok at ein forstår funksjonaliteten og seier det til andre, så bruker ingen WiFi på skulen...

I tillegg til at det er trivielt for utviklerane av jodel å legge til sertifikat-pinning som gjer funksjonaliteten som er skildra her ubrukelig.

Så alt i alt er forslaget idiotisk, i strid med norsk lov og vil ikkje funke.
Sitat av vidarlo Vis innlegg
Så vi skal ofre privatlivet til alle for å ta eit lite mindretal? Og det på ein metode som er tvilsomt om vil fungere? Det er jo nok at ein forstår funksjonaliteten og seier det til andre, så bruker ingen WiFi på skulen...

I tillegg til at det er trivielt for utviklerane av jodel å legge til sertifikat-pinning som gjer funksjonaliteten som er skildra her ubrukelig.

Så alt i alt er forslaget idiotisk, i strid med norsk lov og vil ikkje funke.
Vis hele sitatet...
Jeg for alt som kan hindre mobbing - personlig tror at ved å fjerne anonymitet så vil det ha et kraftig utslag på mobbingen. Svært få ville gått frem for å mobbe andre i offentligheten. Åpenbart kan man ikke avsløre folk på en ulovelig måte, men det er alltid en mulighet å oppfordre skaperene til å avskaffe anonymiteten dersom dette blir et problem.

Hvis forslaget er så idiotisk ville jeg foreslå at du prater med TS fremfor en som støtter bidrag som kan minske muligheten for at folk blir mobbet.
Sitat av Dyret Vis innlegg
spoofe GPS-koordinater gikk appen derimot med på (Jodel viser bare personer innenfor 7 miles elns).
Vis hele sitatet...
Helt korrekt gjør dette selv hele tiden pga min lokasjon er så langt ifra sivilisasjonen at det er 1 post per uke. Om jeg ikke tar helt feil er det mulig å hente posts via apien fra en spesifikk lokasjon uten å spoofe med en 3rd party app.

Sitat av Dyret Vis innlegg
Hadde vært interessant å greppe etter flere tilgjengelige API-kall i app-filene, for å se om det er noen latente modereringsverktøy der. Er det også mulig å slette poster du ikke har laget selv?
Vis hele sitatet...
Kan ta en titt nå å se hva jeg finner. Det er mulig å slette posts du har laget selv, som du ser i det jeg allerede har ligget ut;

Kode

// Deletes a post
DELETE /api/v2/<POST_ID>/ 

// Example: 
DELETE /api/v2/posts/56686ab12e8690742c3361aa
User-Agent: Jodel/65000 Dalvik/2.1.0 (Linux; U; Android 5.0.1; GT-I9505 Build/XXXXXX)
Authorization: Bearer xxxxxx-xxxxx-xxxx-xxxx-xxxxxxxx
Host: api.go-tellm.com
Connection: Keep-Alive
Accept-Encoding: gzip
Derimot, for å svare på spørsmålet ditt angående om det er mulig å slette ande folk sine posts/jodels er jeg nok ganske sikker på at man må ha OAuth keyen til vedkommende for å kunne autentisere del requesten.
Med mindre det er en bug eller en annen api / en gammel test api som ikke har blitt slettet.
Sist endret av blitZz96; 11. desember 2015 kl. 17:26.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av The Riddler Vis innlegg
Jeg for alt som kan hindre mobbing - personlig tror at ved å fjerne anonymitet så vil det ha et kraftig utslag på mobbingen.
Vis hele sitatet...
Kva får deg til å vere så optimistisk? Forekom ikkje mobbing før mobiltelefoner dukka opp? Førekjem ikkje mobbing via facebook? SMS? Skrift på dassveggar? Knuffing på skulevegen?

Eg trur ikkje du gjer spesielt mykje med problemet ved å fjerne ein anonym kanal, all den tid det finst mange andre anonyme kanaler - og i tillegg er den tekniske framgangsmåten som er foreslått her totalt idiotisk, fordi den krev at mobbarar er idioter (ein del er kanskje det, men det er nok at ein person forstår kva som skjer), og det tar nøyaktig 1 sekund å omgå forslaget totalt - skru av WiFi.
Sitat av The Riddler Vis innlegg
Svært få ville gått frem for å mobbe andre i offentligheten.
Vis hele sitatet...
Det trur eg at eg og veldig mange andre som har vorte mobba kan tilbakevise som pisspreik.
Sitat av The Riddler Vis innlegg
Åpenbart kan man ikke avsløre folk på en ulovelig måte, men det er alltid en mulighet å oppfordre skaperene til å avskaffe anonymiteten dersom dette blir et problem.
Vis hele sitatet...
Nei, anonymitet i seg sjølv er på ingen måte negativt. Tvert imot kan det vere svært viktig, spesielt i ei tid der den midlertidige samtalen er i ferd med å forsvinne. Då kan stadvis avgrensa anonym kommunikasjon vere svært interessant - og viktig.

Lær ungdommen opp til å nytte anonymitet fornuftig. Ikkje forby det.
Sitat av vidarlo Vis innlegg
Kva får deg til å vere så optimistisk? Forekom ikkje mobbing før mobiltelefoner dukka opp? Førekjem ikkje mobbing via facebook? SMS? Skrift på dassveggar? Knuffing på skulevegen?

Eg trur ikkje du gjer spesielt mykje med problemet ved å fjerne ein anonym kanal, all den tid det finst mange andre anonyme kanaler - og i tillegg er den tekniske framgangsmåten som er foreslått her totalt idiotisk, fordi den krev at mobbarar er idioter (ein del er kanskje det, men det er nok at ein person forstår kva som skjer), og det tar nøyaktig 1 sekund å omgå forslaget totalt - skru av WiFi.
Vis hele sitatet...
Selvsagt både har og vil mobbing foregå på andre arenaer enn på mobilen, men det endrer vell ikke at man burde prøve å slå ned på slike saker uavhengig om man ikke klarer å fjerne alt.

Personlig er jeg uenig med at man ikke gjør mye med problemet, da Jodel for tiden er en meget populært app innen mange ungdomsmiljøer. Og jo, jeg tror at noe så enkelt som å "tvinge" de til å skru av WiFi vil være med å luke vekk en stor prosentandel idioter/mobbere.

Sitat av vidarlo Vis innlegg
Det trur eg at eg og veldig mange andre som har vorte mobba kan tilbakevise som pisspreik.
Vis hele sitatet...
Man finner mobbere i alle former, men det er ofte ikke de samme mobberne som banker deg på skoleveien hjem som slenger ut rykter og henger ut enkeltpersoner på sosiale medier.

Sitat av vidarlo Vis innlegg
Lær ungdommen opp til å nytte anonymitet fornuftig. Ikkje forby det.
Vis hele sitatet...
På alle måter enig, men tror fortsatt det ikke hadde vært dumt å blokkere eller i ytterste konsekvens tracke hvem som står bak meldingene i enkelte situasjoner.

Lær opp til å bruke informasjonen fornuftig. Ikke å misbruke den.
Sitat av vidarlo Vis innlegg
Og kvifor skal elevane bruke skulen sitt WiFi? Har du fått med deg at dagens smarttelefoner har god kvalitet på data over mobilnettet?
Vis hele sitatet...
På min vgs bruker så og si alle skolen sitt wifi. Hvem vil bruke opp dataen sin når du kan få gratis nett? Også er noen skoler bygd slik at mobilnettet er dårlig noen plasser mtp tykke vegger etc.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Round Vis innlegg
Selvsagt både har og vil mobbing foregå på andre arenaer enn på mobilen, men det endrer vell ikke at man burde prøve å slå ned på slike saker uavhengig om man ikke klarer å fjerne alt.
Vis hele sitatet...
Jo, for all del. Men eg trur ikkje tekniske mekanismer er rett måte - generelt - for å løyse mellommenneskelege problem. Problemet er ikkje at det går an å mobbe. Problemet er at folk mobber. Å fjerne ein arena er ikkje ei løysing på problemet, det vil vere litt på linje med å stenge flyplassane flya 11. september tok av frå permanent, som løysing på terrorisme.
Sitat av Round Vis innlegg
Personlig er jeg uenig med at man ikke gjør mye med problemet, da Jodel for tiden er en meget populært app innen mange ungdomsmiljøer. Og jo, jeg tror at noe så enkelt som å "tvinge" de til å skru av WiFi vil være med å luke vekk en stor prosentandel idioter/mobbere.
Vis hele sitatet...
Og for eit halvår sidan hadde ingen høyrt om appen. Trendane endrer seg kjapt, og eg tippar brukarane vil flykte rimeleg kontant om bruken vert overvaka. Anonymitet er jo eit feature.
Sitat av Round Vis innlegg
Man finner mobbere i alle former, men det er ofte ikke de samme mobberne som banker deg på skoleveien hjem som slenger ut rykter og henger ut enkeltpersoner på sosiale medier.
Vis hele sitatet...
Nei, det er det gjerne ikkje. Men gitt at du overvakar jodel - kva hindrer folk i å bruke mobilnettet, bruke vpn, bruke vilkårleg anna teneste?
Sitat av Round Vis innlegg
Lær opp til å bruke informasjonen fornuftig. Ikke å misbruke den.
Vis hele sitatet...
Og aksepter at teknologi kan brukast på mange måter, og at teknologi ikkje grunnleggande er god eller ond.
Sitat av vidarlo Vis innlegg
Jo, for all del. Men eg trur ikkje tekniske mekanismer er rett måte - generelt - for å løyse mellommenneskelege problem. Problemet er ikkje at det går an å mobbe. Problemet er at folk mobber. Å fjerne ein arena er ikkje ei løysing på problemet, det vil vere litt på linje med å stenge flyplassane flya 11. september tok av frå permanent, som løysing på terrorisme.
Vis hele sitatet...
Nei ingen løsning på problemet, men i mine øyne et steg i riktig retning. Om man sammenligner det med et nyoppstartet flyselskap som lar deg reise fritt uten pass kan jeg være enig med analogien din.

Sitat av vidarlo Vis innlegg
Og for eit halvår sidan hadde ingen høyrt om appen. Trendane endrer seg kjapt, og eg tippar brukarane vil flykte rimeleg kontant om bruken vert overvaka. Anonymitet er jo eit feature.
Vis hele sitatet...
Ja det tviler jeg ikke på, men det er jo ingen problemstilling for en skole om massene flykter fra appen. Poenget mitt er at om de har muligheten til å strupe majoriteten av slike saker burde man i det minste være åpen for muligheten.

Sitat av vidarlo Vis innlegg
Nei, det er det gjerne ikkje. Men gitt at du overvakar jodel - kva hindrer folk i å bruke mobilnettet, bruke vpn, bruke vilkårleg anna teneste?
Vis hele sitatet...
Sier på ingen måte at man vil klare å hindre alle mulige måter å uttrykke seg anonymt (ikke at jeg er for det). Derimot trenger man ikke å gjøre det enklere enn nødvendig. Av personlig erfaring kan jeg avsløre at en del av disse amøbene ikke har evner til å verken benytte seg vpn eller proxy. Min oppfatning er da at man, ikke ved å fjerne anonymiteten, men ved å vise at man har muligheten til å finne brukeren av appen vil føre til færre slike situasjoner.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Round Vis innlegg
Sier på ingen måte at man vil klare å hindre alle mulige måter å uttrykke seg anonymt (ikke at jeg er for det). Derimot trenger man ikke å gjøre det enklere enn nødvendig. Av personlig erfaring kan jeg avsløre at en del av disse amøbene ikke har evner til å verken benytte seg vpn eller proxy. Min oppfatning er da at man, ikke ved å fjerne anonymiteten, men ved å vise at man har muligheten til å finne brukeren av appen vil føre til færre slike situasjoner.
Vis hele sitatet...
Anonymiteten er imho viktig. Det vert stadig færre samtalar som ikkje vert loggført under fullt navn, og som potensielt kan lekke og få konsekvensar. Det som før var ei bisetning i gangen, kan i dag dokumenterast. Det er problematisk, og som svar på det dukker det opp nye kommunikasjonskanaler, som ikkje har ein del av dei karakteristikkane. Snapchat, jodel, telegram m.fl. er kommunikasjonskanaler som har vokse raskt, der anonymitet og/eller midlertidige samtaler er viktig.
Sitat av vidarlo Vis innlegg
Anonymiteten er imho viktig. Det vert stadig færre samtalar som ikkje vert loggført under fullt navn, og som potensielt kan lekke og få konsekvensar. Det som før var ei bisetning i gangen, kan i dag dokumenterast. Det er problematisk, og som svar på det dukker det opp nye kommunikasjonskanaler, som ikkje har ein del av dei karakteristikkane. Snapchat, jodel, telegram m.fl. er kommunikasjonskanaler som har vokse raskt, der anonymitet og/eller midlertidige samtaler er viktig.
Vis hele sitatet...
Ja den tankegangen følger jeg og er enig i. Loggføring og generell overvåkning som krenker privatlivet har uheldige sider. Derimot tror jeg ikke full anonymitet vil være det beste alternativet i alle situasjoner, da det som oftest finnes unntak fra regelen.

Jeg tror da ikke at parallellen kan dras over til f.eks en underholdningsapp som er rettet mot vittige one-liners fra studenter som går på samme skole.
Sitat av Round Vis innlegg
Sier på ingen måte at man vil klare å hindre alle mulige måter å uttrykke seg anonymt (ikke at jeg er for det). Derimot trenger man ikke å gjøre det enklere enn nødvendig. Av personlig erfaring kan jeg avsløre at en del av disse amøbene ikke har evner til å verken benytte seg vpn eller proxy. Min oppfatning er da at man, ikke ved å fjerne anonymiteten, men ved å vise at man har muligheten til å finne brukeren av appen vil føre til færre slike situasjoner.
Vis hele sitatet...
Er veldig enig i det du formidler! Må spesielt påpeke
Sitat av Round Vis innlegg
men ved å vise at man har muligheten til å finne brukeren av appen vil føre til færre slike situasjoner.
Vis hele sitatet...
Det var egentlig litt av målet mitt med denne posten.

Mobbing er ulovlig. Skulle man ikke etterforsket et ran, Bare fordi raneren brukte "finlandshette"? Må jo opprettholde anonymiteten.

Blir litt dumt å dra alt under en kam spør du meg.
Sist endret av blitZz96; 11. desember 2015 kl. 23:29.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av blitZz96 Vis innlegg
Mobbing er ulovlig. Skulle man ikke etterforsket et ran, Bare fordi raneren brukte "finlandshette"? Må jo opprettholde anonymiteten.
Vis hele sitatet...
Jo, men å etterforske vil ikkje sei å overvake alle som standard, slik du foreslår.

Vi får håpe utviklarar tar i bruk sertifikatpinning i større grad, slik at det ikkje vert gjennomførbart å overvake på den måten du foreslår.l
Sitat av vidarlo Vis innlegg
Jo, men å etterforske vil ikkje sei å overvake alle som standard, slik du foreslår.

Vi får håpe utviklarar tar i bruk sertifikatpinning i større grad, slik at det ikkje vert gjennomførbart å overvake på den måten du foreslår.l
Vis hele sitatet...
Nei, jeg enig i det. Jeg postet en fremgangsmåte som er mulig å utføre og får folk som deg og meg til å reflektere rundt dette temaet. Jeg foreslår også at de kunne brukt en lignende metode, ja. Men målet er ikke å overvåke alle. Denne måten er som du sier litt for "aggressiv" på overvåkning, skal si meg enig i det. Men å bygge videre på dette som startpunkt er håpet mitt. Det er mye bedre å ta mobbing på alvor å lete etter tiltak enn å bare sitte og se på å si "vi kan ikke gjøre noe med det, folk mobbet face to face før, nå digitalt. Sånn har det bare blitt." Enig?
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av blitZz96 Vis innlegg
Men målet er ikke å overvåke alle. Denne måten er som du sier litt for "aggressiv" på overvåkning, skal si meg enig i det. Men å bygge videre på dette som startpunkt er håpet mitt. Det er mye bedre å ta mobbing på alvor å lete etter tiltak enn å bare sitte og se på å si "vi kan ikke gjøre noe med det, folk mobbet face to face før, nå digitalt. Sånn har det bare blitt." Enig?
Vis hele sitatet...
Jo, å skru av krypto med formål å finne folk er faktisk å overvake alle. Eller er ikkje DLD masseovervaking?

For å oppnå det du vil må du bygge eit register som har ein relasjon mellom bruker og fysisk person, og det er å deanonymisere i utgangspunktet anonym kommunikasjon. Ein stort betre definisjon av overvaking er ikkje lett å komme på.

Og ja, sjølvsagt må vi ta mobbing på alvor. Men eg trur ikkje løysinga på sosiale problemer er teknologi. Mobbing er som sagt hverken betinga av anonymitet eller telekommunikasjon. Skriv på dassveggane, knuffing på skulevegen, utfrysing m.m. er svært reelle mobbeteknikker som ikkje er spesielt teknologiavhengig.

Så fjerner du ein arena dukker det opp ein ny. Det må arbeidast med haldningar, framfor spesifikk teknologi.
Jeg ser synspunktet ditt og må vell egentlig si meg enig.
Sitat av vidarlo Vis innlegg
Jo, å skru av krypto med formål å finne folk er faktisk å overvake alle. Eller er ikkje DLD masseovervaking?

For å oppnå det du vil må du bygge eit register som har ein relasjon mellom bruker og fysisk person, og det er å deanonymisere i utgangspunktet anonym kommunikasjon. Ein stort betre definisjon av overvaking er ikkje lett å komme på.
Vis hele sitatet...
Ja det blir jo en form for overvåking. Er det dog ikke mulig å se det som at målet helliger midlet? I mine øyne blir det ikke det samme å sammenligne DLD og overvåkning av Jodel. Er du imot alle former for overvåkning uansett? Såvidt jeg vet støtter du at freak.no selv gir ut IP adresser i kriminalsaker? Blir det feil å sammenligne de? Skjønner at det forskjell mellom kriminalitet og mobbing, men i mitt hodet er vell egentlig de to sakene litt av samme karakter?
Sist endret av Round; 12. desember 2015 kl. 00:15.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av Round Vis innlegg
Ja det blir jo en form for overvåking. Er det dog ikke mulig å se det som at målet helliger midlet? I mine øyne blir det ikke det samme å sammenligne DLD og Jodel. Er du imot alle former for overvåkning uansett? Såvidt jeg vet støtter du at freak.no selv gir ut IP adresser i kriminalsaker? Blir det feil å sammenligne de? Skjønner at det forskjell mellom kriminalitet og mobbing, men i mitt hodet er vell egentlig de to sakene litt av samme karakter?
Vis hele sitatet...
Nei, målet helgjer ikkje middelet. Spesielt ikkje når du ikkje oppnår målet, som er å fjerne mobbing. Maksimalt flytter du det til ein annan arena.

Eg ser ikkje prinsippskilnaden mellom DLD og tiltaket OP foreslår, utover at DLD er mindre inngripande, ettersom det har som mål å lagre metadata, medan OP har som mål å lagre data.

Freak deler, som alle andre aktører, ut informasjonen dei sit på som følgje av ei gyldig utleveringsbegjæring. Det er eit par viktige detaljer å få med i så måte:
1: freak utleverer kun det dei har, og det vert ikkje loggførst ekstra informasjon for å gjere politiet sitt arbeid lettare.
2: alternativet til å utlevere er at politiet henter - og mao. tar freak.no offline.
3: freak forsøker ikkje å identifisere deg om du nyttar 10minutemail og tor. OP foreslår eit tiltak som aktivt forsøker å identifisere deg.
4: Innhentinga av informasjon vil i ei etterforsking skje etter rettskjennelse, ogxetter at handlinga er utført. OP foreslår preventiv overvaking. Det er ein litt annan sko enn å samle informasjon i etterkant.
Sitat av vidarlo Vis innlegg
Eg ser ikkje prinsippskilnaden mellom DLD og tiltaket OP foreslår, utover at DLD er mindre inngripande, ettersom det har som mål å lagre metadata, medan OP har som mål å lagre data.
Vis hele sitatet...
Nei enig med at det i prinsippet er rimelig likt, derfor jeg spurte litt om du var mot alle former for overvåkning. Vet at det blir å ta ting ut av proposjoner, men hva da med kameraovervåkning i f.eks butikker? Disse kan jo og bli brukt for å lage et digitalt fotspor. Er det da korrekt å forstå at du setter skillet ved aktiv overvåking da?

Sitat av vidarlo Vis innlegg
Nei, målet helgjer ikkje middelet. Spesielt ikkje når du ikkje oppnår målet, som er å fjerne mobbing. Maksimalt flytter du det til ein annan arena.
Vis hele sitatet...
Da tror jeg rett og slett at vi er uenige på det punktet. I denne spesifikke situasjonen så mener jeg "overvåkning" av Jodel, hvor majoriteten av brukere er tenåringer som deler dårlige vitser, vil være etisk korrekt
@vidarlo, jeg har ikke lyst til å fortsette denne diskusjonen din. Som @Round sier
Sitat av Round Vis innlegg
Da tror jeg rett og slett at vi er uenige på det punktet.
Vis hele sitatet...
Det eneste jeg vil tilføye dette er at jeg føler du fokuserer mer på at det er så gale og overvåke. Jeg er enig i det! Men i denne sammenheng føler jeg ikke det er noe man kan sammenligne med DLD. Som @Round sier er det en app for underholdning og teite one-liners. I tillegg vil jeg tilføye at om dette skulle vert noe som hadde blitt tatt i bruk ville jeg semi-automatisert det. Han som "sniffer" ville ikke sett postene til andre brukere/hvem de er. Den søker rett og slett bare etter den unike id'en som er lik id'en til mobberen. Det eneste man da "overvåker" er de som mobber. Jeg føler også dette er etisk riktig.

Jeg er nok ganske sikker på at du ikke finner deg enig i det jeg sier, men da får vi være uenig. Derimot, det jeg er enig med deg i er at generell overvåkning er bad business. (Vet jeg mot-argumenterer meg selv litt, men håper du skjønner hva jeg mener)
Sitat av Round Vis innlegg
Da tror jeg rett og slett at vi er uenige på det punktet. I denne spesifikke situasjonen så mener jeg "overvåkning" av Jodel, hvor majoriteten av brukere er tenåringer som deler dårlige vitser, vil være etisk korrekt
Vis hele sitatet...
Så siden det er tenåringer så er det etisk korrekt?

Sitat av blitZz96 Vis innlegg
Men i denne sammenheng føler jeg ikke det er noe man kan sammenligne med DLD.
Vis hele sitatet...
Nei, det har du rett i. DLD overvåker og lagrer kun metadata, mens du snakker om å overvåke og behandle hele datapakken. Dette kan jo sammenlignes med et overvåkingskamera utfor ytterdøra din representerer DLD i denne sammenhengen. Her ser myndighetene når vedkommende kommer og går. Mens din ide er å installere overvåkingskamera i alle rommene i huset, for å se hva hver enkel foretar seg inne i huset.

Selv DLD er såpass inngripende at den ble kjent ulovlig.

Sitat av blitZz96 Vis innlegg
Som @Round sier er det en app for underholdning og teite one-liners. I tillegg vil jeg tilføye at om dette skulle vert noe som hadde blitt tatt i bruk ville jeg semi-automatisert det. Han som "sniffer" ville ikke sett postene til andre brukere/hvem de er. Den søker rett og slett bare etter den unike id'en som er lik id'en til mobberen. Det eneste man da "overvåker" er de som mobber. Jeg føler også dette er etisk riktig.
Vis hele sitatet...
Så du skal være både politi, dommer og bøddel i friminuttene på skolen?

Sitat av blitZz96 Vis innlegg
Jeg er nok ganske sikker på at du ikke finner deg enig i det jeg sier, men da får vi være uenig.
Vis hele sitatet...
Det tror jeg du har rett i, og jeg tror det er få som deler ditt syn her på forumet. Mobbing er noe som må tas på alvor, men å ta loven i egne hender er ikke veien å gå. Hvis du ønsker å bekjempe mobbing på Jodel, så vil første skrittet være å melde fra om det til ansvarlige ved skolen eller gå å anmelde dette. Jodel er kun anonym for brukere av appen, ikke for administratorene, så politiet vil få ut informasjon til å identifisere mobberen fra Jodel med en rettslig kjennelse.

Når dette er sagt, så er dette prosjektet uansett dødfødt, skal vi tro Dyret.

Sitat av Dyret Vis innlegg
Jeg testet litt selv via en Android-emulator i lys av bombetrussel-saken for en tid tilbake. Da nektet Jodel-appen å autentisere seg når trafikken ble kjørt gjennom Fiddler (og root-sertifikat).
Vis hele sitatet...
Jeg personlig har ikke testet ut appen, eller eksperimentert med den. Men det gir mening at dem sjekker at sertifikatet matcher, noe annet er idioti. Hvis du der i mot ønsker å fortsette med dette prosjektet, så må du få tilgang til privat nøkkel som tilhører CA sertifikatet til Jodel, slik at du kan signere ditt hjemmelagde sertifikat med en valid CA. Eller finne sikkerhetshull i TLS protokollene.
Sist endret av 0xFF; 12. desember 2015 kl. 05:19.
Sitat av 0xFF Vis innlegg
Jeg personlig har ikke testet ut appen, eller eksperimentert med den. Men det gir mening at dem sjekker at sertifikatet matcher, noe annet er idioti. Hvis du der i mot ønsker å fortsette med dette prosjektet, så må du få tilgang til privat nøkkel som tilhører CA sertifikatet til Jodel, slik at du kan signere ditt hjemmelagde sertifikat med en valid CA. Eller finne sikkerhetshull i TLS protokollene.
Vis hele sitatet...
For å komme seg rundt pinning så trenger man ikke gå så langt. Appen kan rekompileres med et nytt sertifikat eller patches til å ikke utføre sjekken.

Jeg tror det er litt misforståelser fra mange her i tråden som ikke har brukt appen. I korte trekk så fungerer den slik:
- Første gang du starter den får du automatisk en bruker opprettet. Det er igen innlogging i appen, og bytter du mobil så har du mistet brukeren din.
- Det er ingen profiler eller brukernavn synlige for andre, og ingen måte å kommunisere med eller identifisere en enkeltperson eller dens meldinger.
- Hver bruker har noen aktivitetspoeng kalt "karma" knyttet til kontoen sin. Disse er, så vidt jeg har skjønt, kun for å skryte. Ingen andre enn deg kan se dem.
- Du kan poste meldinger, eller svar på meldinger, samt stemme opp eller ned både meldinger og svar. Disse meldingene er synlig innenfor 7 miles av den geografiske posisjonen til posteren. Alle meldinger er offentlige.
- Poster og svar eies av den virtuelle brukeren som postet dem, og man kan finne igjen egne poster innenfor et lite tidsrom.
- All personlig identifiserende informasjon er forbudt, og slettes av moderatorer. Det er mulig å rapportere poster du synes bør modereres.

Så selv om MITM-planen til trådstarter går i boks, så er det eneste nye man ser en oAuth-sessionid. Ingen ikke-offentlig informasjon vil utveksles. Derimot så får skolen muligheten til å gjenkjenne meldinger fra samme bruker, og kan krysskoble denne mot brukernavnet man brukte for WiFi (gitt f.eks. 802.1x). Det er, som vidarlo sier, trivielt å unngå ved å bare hoppe over til mobildata før man sender meldinger. Eller sende meldingene hjemmefra. Og det er her det hele faller litt sammen.

Hadde det vært opp til meg så hadde nettverkene på skolen bare blokkert alle slike API-servere rett i brannmuren. Facebook, Viber, WhatsApp, Jodel, Wordfeud og andre nettbaserte apps kunne bare fått en brutal stans rett i muren. Da kan de mer alvorlige rapportene faktisk ende opp hos mobiloperatøren din, i stedet for en IT-avdeling som ikke logger hvem som var hvor til enhver tid.
Sist endret av Dyret; 12. desember 2015 kl. 15:32.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av blitZz96 Vis innlegg
Han som "sniffer" ville ikke sett postene til andre brukere/hvem de er. Den søker rett og slett bare etter den unike id'en som er lik id'en til mobberen. Det eneste man da "overvåker" er de som mobber. Jeg føler også dette er etisk riktig.
Vis hele sitatet...
Grunnleggande feilslutning. Kva vil hindre nokon i å identifisere andre eller alle? Kva med misbrukspotensialet? Kva om ein skule vil bruke det litt viare enn tenkt - til å t.d. identifisere kritikarar av skulen?

Eit kamera er kameraovervaking, sjølv om ingen ser på filmen før etter at noko har skjedd.
Sist endret av vidarlo; 12. desember 2015 kl. 15:32.
Sitat av Dyret Vis innlegg
For å komme seg rundt pinning så trenger man ikke gå så langt. Appen kan rekompileres med et nytt sertifikat eller patches til å ikke utføre sjekken.
Vis hele sitatet...
Jeg snakker om å utføre MiTM angrep. Appen sjekker vel at sertifikatet fra serveren er signert av en gyldig CA? Og motsatt, at serveren sjekker at klient sertifikatet er signert av gyldig CA?

Hvis TS setter opp et MiTM angrep på skolen, der han stripper bort TLS krypteringen, leser av dataen, re-krypterer og signerer dataen med hans hjemmesnekrede TLS sertifikat, så vil vel appen avvise sertifikatet. Da hans hjemmesnekrede sertifikat ikke er signert av Jodel's CA?

Jeg tviler på at TS klarer å overbevise elever ved skolen om å installere hans hjemme kompilerte app, der sertifikatene er byttet ut.
Sitat av 0xFF Vis innlegg
Jeg tviler på at TS klarer å overbevise elever ved skolen om å installere hans hjemme kompilerte app, der sertifikatene er byttet ut.
Vis hele sitatet...
Jeg også, men det var nå en gang slik det ble foreslått å gjøre. Enten det, eller å godta hans mistenkelige rot-sertifikat. Men nå virker det ikke som om de gjør noen form for sertifikat-pinning heller, kun en sertifikat-sjekk (siden trådstarter klarte å sniffe).