sociala nätverk

Länkkraften hos Facebook

Av Anders Thoresson i Bloggat Inga kommentarer Tags: , , ,

I början av september postade bit.ly ett blogginlägg där länkarnas “livslängd” på Facebook, Twitter, e-post och Youtube mättes. Tanken var att ta reda på hur lång tid det tar innan ett länktips slutar dra trafik. Resultatet var inte särskilt överraskande. Länkar på Twitter tappar kraft snabbast, vilket förklaras av tjänstens strikt kronologiska upplägg. Nya tweets staplas på varandra allt eftersom de skrivs. Den som inte tittar på sitt twitterflöde i samma ögonblick som en länk postas, eller en kort stund därefter medan andra retweetar den riskerar att missa länken. Facebook tar däremot med fler faktorer än tid i sin sortering, som baseras på en algoritm som fått namnet Edgerank. (Överraskande var däremot att Youtube är en så stark länkkälla.)

Nu har nätkändisen Kevin Rose gjort ett liknande experiment. Han postade samma länk på Twitter, Facebook och Google+ för att undersöka vilken tjänst som drog mest trafik. Klar vinnare, i förhållande till hur många personer som följer honom på respektive plattform, är Facebook.

Den som vill dra mycket trafik till sin sajt gör bäst i att sprida länkarna på så många ställen som möjligt, så klart. Och för de Twitter-användare som vill minimera risken att missa bra och intressanta länkar Summify en bra tjänst.

Skydda dig mot Firesheep med hemmaroutern som VPN

Av Anders Thoresson i Bloggat En kommentar Tags: , , , , ,

Att Firesheep har varit dagens stora it-nyhet är det väl knappast någon tvekan om. Själv har jag inte hunnit testa verktyget, men Tomas Carlssons artikel hos Ny Teknik är rätt skrämmande läsning. Säkerhetsluckorna som Eric Butlers verktyg utnyttjar är inte nya. Men för första gången finns ett verktyg som är väldigt enkelt för vem som helst att använda.

Flera av de stora tjänster vars användare är i riskzonen för Firesheep säger idag att man ska se över säkerheten. Men det kommer att ta tid, och det finns gott om webbplatser med samma brister på nätet. Listan med webbplatser som Firesheep kan angripa är redan lång, delen med webbplatser som är på gång är ännu längre.

Läge att fundera på vad man som användare själv kan göra för att skydda sig alltså. Ett bra alternativ är att på egen hand kryptera trafiken, nu när jättar som Facebook och Twitter dröjer med att göra det. Lösningen kallas för VPN, och är i första hand ett verktyg för företagsanvändare. Det innebär att ett program i datorn skapar en krypterad “tunnel” hela vägen fram till företagets VPN-server. Därifrån fortsätter trafiken ut på nätet. Då är det förvisso i okrypterad form, men eftersom trafiken är krypterad när den lämnar din dator kan personer som använder samma trådlösa nätverk inte använda Firesheep för att komma över dina inloggningsuppgifter.

Men vad gör man som privatperson? Det finns flera företag som säljer VPN-lösningar till privatpersoner, AllTele och Ipredator är två exempel. Priserna varierar, från femtio kronor i månaden och uppåt. Men för den som inte vill eller har råd att betala, eller har svårt att hitta en VPN-leverantör som man känner att man litar på finns ett annat alternativ: Kanske går routern som står i hemmet att använda som VPN-server. Det är i alla fall möjligt med min.

Jag bryr mig inte om att gå igenom inställningarna i detalj, eftersom det här är något som skiljer sig från fabrikat till fabrikat. Men jag ska i alla fall förklara principen:

Det är inte bara dyr företagsutrustning som kan fungera som en VPN-server. Också mer avancerade modeller för hemmabruk har den möjligheten. För att ta reda på om just din modell klarar av det är tipset att googla på modellnamnet och VPN, eller titta i handboken om du har den kvar. Installationen kommer ske i tre steg:

  1. Först ska du se till att din router fungerar som VPN-server. Det innebär bland annat att den funktionen ska aktiveras. Bland annat kommer du få välja vilken typ av kryptering som ska användas. Välj gärna L2TP i kombination med IPSec, vilket är en av de kraftfullare varianterna som finns i hemutrustning. Du behöver också skapa ett användarkonto med ett användarnamn och ett lösenord. Här är det viktigt att vara noga med lösenordet, och välja ett med många bokstäver, siffror och andra tecken. Vad VPN-funktionen gör är nämligen att skapa ett “hål” genom din brandvägg, från internet och in i ditt hemmanätverk. Därför är det viktigt att se till att lösenordet är svårt att gissa eller ens knäcka. Har du tur stödjer din router också engångslösenord. Med ett program i din iPhone skapas då ett unikt lösenord varje gång du loggar in, vilket höjer säkerheten ytterligare. En annan sak du kan göra är att bara aktivera VPN-funktionen när du vet att du kommer att behöva den.
  2. Nästa steg är att se till att din bärbara dator, eller mobiltelefon för den delen, använder VPN. Oavsett vilket operativsystem du använder finns det stöd för VPN.
  3. Kontrollera att allt fungerar. Koppla upp dig via 3G-nätet och surfa in på http://whatismyipaddress.com. Där ser du vilken ip-adress datorn har när den är uppkopplad till internet direkt via 3G-abonnemanget. Anslut sedan till routern, via VPN, och besök http://whatismyipaddress.com igen. Om allt fungerar som det är tänkt kommer du nu se en helt annan ip-adress – den som din router i hemmet har.

En stor nackdel med den här lösningen är att hastigheten många gånger kommer att försämras rejält, jämfört med om du surfar i ett wlan utan VPN, eller för den delen använder någon av de kommersiella lösningarna. Anledningen är att många bredbandsabonnemang har olika maxhastighet för nedladdning och uppladdning. Normalt, när du sitter hemma, är det inget problem eftersom de flesta internetanvändare laddar ner mer än vad de laddar upp. Men när allt du gör från din bärbara dator när du är på resande fot först ska passera routern där hemma, då blir upplänkshastigheten en flaskhals.

Ett annat problem är att de flesta bredbandsabonnemang inte har en fast ip-adress. Det innebär att VPN-serverns adress kommer variera från gång till annan. Lösningen på det här ett konto hos tjänster som DynDNS. Då behöver du inte längre hålla en ip-adress i huvudet, utan får istället ett domännamn. Routern kommer sedan automatiskt att hålla DynDNS uppdaterad om vilken ip-adress den finns på.

Möjligen finns det fler problem, eller till och med risker, med den här lösningen, saker som jag inte tänkt på. Kommentera gärna i så fall!

Om allt det här kändes alldeles för komplicerat, eller om routern inte har en VPN-funktion, då finns det ändå några saker du kan göra för att skydda dig.

Har du ett trådlöst nätverk i hemmet, se till att kommunikationen är krypterad med WPA eller WPA2, inte det äldre och sämre WEP. Med WPA/WPA2 är det svårare (omöjligt?) att använda Firesheep i ditt nätverk. Samtidigt har du skaffat dig ett bättre skydd mot de säkerhetsrisker som Uppdrag Granskning sände ett inslag om den 13 oktober. Känner du dig osäker på inställningarna är ett alternativ att sluta surfa trådlöst i hemmet, och istället använda en nätverkskabel.

Ska du använda din bärbara dator på resande fot är ett enkelt alternativ att rata kaféets eller hotellets öppna wlan och istället använda mobiltelefonen eller ett modem för mobilt bredband och surfar via 3G-nätet.

Firesheep avslöjar dina lösenord på nätet

Av Anders Thoresson i Bloggat Inga kommentarer Tags: , , , ,

Idag är en bra dag att leta fram en nätverkskabel ur gömmorna, eller nöja sig med den långsamma hastighet som 3G-modemet erbjuder. Ett nytt program för att kapa kontouppgifter släpptes i helgen. Med det kan vem som helst logga in som dig på Facebook, Twitter och en mängd andra sajter. Lösningen är att undvika öppna trådlösa nätverk.

Utvecklaren Eric Butler visade upp Firesheep, ett tilläggsprogram till webbläsaren Firefox, på hackerkonferensen Toorcon i söndags. Syftet är att visa hur lätt många stora webbplatser tar på användarnas säkerhet.

Uppsåtet lyckades.

Kombinationen Firesheep och öppna trådlösa nätverk är en riktigt dålig kombination.

De flesta sajter, som Facebook och Twitter, skyddar sina inloggningssidor med kryptering, SSL, vilket bland annat syns genom att det står “https” istället för “http” före webbadressen.

Krypteringen är tänkt som ett skydd mot tjuvlyssning, ingen ska kunna snappa upp användarnas inloggningsuppgifter när de knappas in på datorn och skickas via nätet till webbtjänstens servrar.

Problemet, som Eric Butler vill rikta uppmärksamheten mot, uppstår när besökarna återvänder till webbplatsen.

För att underlätta för besökarna använder de flesta webbplatser så kallade cookies. En cookie är en liten datafil som webbläsaren sparar på datorns hårddisk. En av möjligheterna med cookies är att automatiskt logga in återkommande användare, så att de slipper mata in sitt användarnamn och lösenord vid varje besök till sajten.

Vilket är en bra idé. Om den genomförs på ett bra sätt.

Men det är här slarvet sker: Många sajter, listan på webbplatser vars användaruppgifter är möjliga att komma åt med hjälp av Firesheep är lång och innehåller bland annat Facebook, Twitter och Dropbox, bryr sig inte om att kryptera förbindelsen när informationen i cookie-filen skickas. Och på ett öppet trådlöst nätverk, som bland annat finns på många arbetsplatser och kaféer, är det då möjligt att använda Firesheep för att snappa upp innehållet i cookie-filerna och med en knapptryckning logga in som en annan användare.

Som användare finns några saker man kan göra för att skydda sig. Surfar du hemma och är osäker på om du har ett öppet eller skyddad trådlöst nätverk är ett alternativ att leta fram gammal nätverkskabel i en låda och stänga av det trådlösa nätverket i datorn. Behöver du surfa på stan kan det vara en bra idé att välja bort kaféets trådlösa nätverk och istället köra med ditt eget 3G-modem.

Ett mer avancerat alterantiv är att använda ett så kallat VPN, virtual private network. Det är en krypteringsteknik som ser till att datatrafiken som lämnar din dator är skyddat av ett krypteringslager. Många företag gör den tekniken tillgänglig för sina anställda. För privatpersoner finns också VPN-tjänster att abonnera på. Till webbläsare som Firefox och Google Chrome finns också tilläggsprogram som försöker tvinga användningen av kryptering.

På sikt kan man nog räkna med att företagen bygger om sina webbplatser, så att större delar av dem skyddas av kryptering. Värt att notera är att riskerna varit kända länge, utan att något gjorts. Facebook är ett exempel. Där går alla interna länkar till en okrypterad sida, även om du startar på https://www.facebook.com.

Värt att tänka på är också att säkerhetshålet inte bara är en risk för dig, utan också för alla dina vänner på bland annat Facebook. Även om du inte tycker att du lägger ut något känsligt kan det finnas andra som resonerar annorlunda.

För dig som är sugen på att använda programmet, tänk på att du begår ett brott om du gör det.

Dags att bygga din egen community

Av Anders Thoresson i Bloggat Inga kommentarer Tags: , ,

”Det ska bli spännande att se vad som händer när murarna rivs. När det sociala nätverken kan börja dela information med varandra.”

Så sa Matt Mullenweg när jag intervjuade honom förra våren.

Som grundare till det populära bloggverktyget WordPress har han varit med och gjort verklighet av ett av nätets grundlöften: Möjligheten för vem som helst att uttrycka sin åsikt.

I år är det tänkt att WordPress ska vara med och lägga grunden för en ny revolution. Med avknoppningen Buddypress (som egentligen är ett uppköp av ett enmansprojekt) ska vem som helst kunna bygga ett socialt nätverk, ett Facebook i miniatyr. För sina vänner, för sin stad eller för alla som är intresserade av [välj ämne här].

Med tjänster som Ning är det redan möjligt att på några minuter starta ett eget nisch-nätverk. Med Buddypress blir det mer komplicerat, men belöningen kommer i bättre kontroll över det innehåll man är med och skapar. Både vad det gäller vilka som kommer åt det, men också hur det används.

Men Matt Mullenweg sa också en annan sak: ”Vi planerar att stödja de standarder som är mest öppna och bäst för användarna.”

Idag finns ingen möjlighet att skicka meddelanden mellan Facebook och Myspace. Använder några av dina vänner Jaiku för att mikroblogga, medan andra valt Twitter? Sannolikheten att du skaffar användarkonton på fler än en tjänst är i det närmaste hundraprocentig, åtminstone om du fastnar i mikrobloggandet.

ReadWriteWeb finns en film som visar hur saker och ting skulle kunna fungera istället. Med öppna standarder för hur byggstenarna i ett socialt nätverk (den personliga profilen, meddelanden, aktivitetsströmmar och så vidare) ska se ut och fungera blir det inte längre inlåsta. Och med det behöver man som användare inte längre ha flera konton. Det räcker med ett, och via det kan du kommunicera med alla vänner, oavsett var de valt att skapa sitt.

DiSo och NoseRub är två projekt som strävar åt det hållet. Och Buddypress är alltså enligt Mullenweg ett tredje. Än verkar man inte kommit så långt när det gäller möjligheterna att få en Buddypress-sajt att fungera i ett större sammanhang. Men beta två är klar att ladda ner.

Det tänker jag göra. På pappret ser den perfekt ut som teknisk lösning för ett önskemål som kom från några vänner i höstas. Jag återkommer med mina erfarenheter.