Explore Posterous

Yubikey

Sizlere LastPass adlı çevrimiçi şifre saklama hizmetini incelerken rastgele keşfettiğim, çok yenilikçi bulduğum bir ürünü tanıtmak istiyorum. Yubikey, Yubico adlı bir şirketin ürettiği, USB bellek boyutlarında, fakat daha ince ve görünüşünden işlevi pek anlaşılmayan, üzerinde bir düğme olan, yenilikçi bir cihaz. Amaç, son zamanlarda hızla gelişen web 2.0 dönemi ve sonrasında, İnternet'in bugününde önemli bir yer işgal eden, gittikçe de daha fazla hayatımıza girecek olan "Cloud Computing" (bazıları "bulut hesaplama" olarak çevirmiş, ama tam olarak kastedileni karşıladığına emin olamadım) kapsamında değerlendirilen web hizmetlerinin güvenlik sorununu çözmek.

Peki bu sorun nedir? Kısaca tanımlayacak olursak, gittikçe daha fazla elektronik ortamda işlem yapar hale geliyoruz ve haberlerde de sıkça duyduğunuz gibi İnternet üzerinde hesapları çalınan, kandırılan, dolandırılan, kimliği taklit edilen, vs. bir çok kişi mevcut. Bu tür suçlar elektronik ortama geçilmeden önce gerçekleştirilmesi daha zor olan, fiziki güç ve olanak gerektiren, daha yerel şeylerdi ve kullanıcıların suçlulara karşı daha kolay korunabilmesi sağlanabiliyor, insanlar "kendi gözleriyle görmeden" inanmayabiliyor ve güvenmeyebiliyordu. Ama artık dünyanın her yerinden işlem yapabileceğiniz, kolay, erişilebilir, hızlı, ama bir o kadar da dünyanın her yerinden gelebilecek saldırılara açık, tehlikeli, görünmez bir teknolojiye sahibiz. Bu teknolojinin nimetlerinden sonuna kadar yararlanabilmemiz bu güvenlik sorunlarını çözmemizle mümkün olabilecek.

İşte Yubikey de burada devreye giriyor ve sizin için ek bir güvenlik etmeni oluyor. Güvenlikte iki-etmenli kimlik doğrulama (Two-factor authentication) denilen bir ilkeye göre, bu sistemi daha güvenli hale getirmek için tasarlanmış. Yubikey, bilgisayara USB portu üzerinden bağlanan ve aslında bir "klavye" olan bir cihaz. İnternet'te kullandığınız hesaplara giriş yaparken ikinci bir şifre de bu cihaz üzerinde üretiliyor ve sisteme, kullanıcının cihaz üzerindeki ufak bir düğmeye dokunmasıyla giriliyor. Böylece yeterince uzunlukta bir şifre kolayca girilebiliyor ve kullanılabiliyor. Bu uzunluk tabii ki güvenliği artırıyor. Aynı zamanda bu şifrenin üretilmesi de sistemdeki virüs, trojan ve keylogger gibi zararlı uygulamalara karşı önlem olarak tek-kullanımlı şifre (One-time password) yöntemiyle yapılıyor. Sonuç olarak kullanıcıların kolay ve hızlı kullanabileceği, ucuza mal edilebilecek, basit, taşınabilir, ara zararlı unsurlara karşı güvenlik sağlayan, zaten kullandığımız kullanıcı adı/şifre sistemlerine ikinci bir etmen getiren bir ürün çıkıyor. 

Şimdi de bu ürünün hikayesine ve yayılma öyküsüne bir bakalım. Ürünün en önemli yönü "görünmeyen" ve "kullanılamayan" bir klavye olması. Zaten yenilikçilik ve yaratıcılık da burada yatıyor. Cihazı yapanlar İsveçli bir şirketin (Yubico ve önceleri Cypak) kurucuları: Stina Ehrensvärd ve Jakob Ehrensvärd. Cihazın tasarımcıları daha önceleri, daha zor kullanılan ve kullanıcının sistemine yüklenmesi gereken ek bir yazılım ile çalışan bir cihaz tasarlamışlar, bu cihazı bir bankaya sunmuşlar ve tahmin edebileceğiniz nedenlerle kullanışsız bulunmuş. Daha sonra bir gün bu cihazı basitçe, sisteme bir klavye olarak tanıtarak bu sorunları çözebileceklerini farketmişler ve ortaya Yubikey çıkmış. Hepimiz klavye ve fare kullanıyoruz, sisteme tanıtmamız gerekmiyor, sürücüsü bütün işletim sistemlerine entegre şekilde geliyor ve bütün uygulamalarla sorunsuz çalışıyor. Niye aynı şeyi bir "USB cihaz" üzerinde kullanamayalım? Cihaz, kendini sisteme bir "klavye" olarak tanıtıyor ve şifreyi oluşturan tuş kodlarını sistemin anlayacağı şekilde gönderiyor. Bu ürünün web üzerindeki güvenliği (aslında masaüstü uygulamalarınızda da ikinci etmen olarak rahatlıkla kullanabilirsiniz, bunun için ya uygulamanın İnternet üzerinden Yubico sunucularına bağlanarak doğrulama yapması gerekiyor ya da cihazınızı statik şifre üretecek şekilde ayarlamanız) çok artırabileceğini düşünen tasarımcılarımız, bu ürünü üretmek için bu şirketi kuruyor ve tamamen donanımın satışı üzerinden kazanmayı, ürün seri üretileceği ve eğer yeterince yayılırsa maliyetler çok az olacağı için de ucuza satmayı planlıyorlar. Ürünün bağlı olduğu sunucu yazılımları, APIleri ve masaüstünde ürünü ayarlamak için kullanacağınız yazılımlar tamamen açık kaynak, aslında ürünün çalışma prensibi ve detayları da iyi belgelendirilmiş (Tabii ki hemen piyasada basit bir kopyası türemiş ve Umikey adıyla satılıyor). RSA 2008 konferansında cihaz, güvenlik uzmanlarına tanıtılmış ve burada cihazı edinen ve aynı benim düşündüğüm gibi çok yenilikçi bir ürün olarak gören Steve Gibson ile Leo Laporte düzenli olarak yaptıkları Security Now! podcast'inde bu konuyu ele almışlar. Daha sonra ürün çeşitli yazılarda tanıtılmış. 

Bugün Yubico'nun sitesinde ürün 25 $ fiyatla satılıyor ve bazı iyileştirmeler yapılmış olan 2.0 sürümü mevcut. Çalışma yöntemlerini ve belgeleri sitede bulabilirsiniz, ayrıca güvenlik değerlendirmeleri de var. Eğer yeterince iyi tanıtım yapılabilir ve web hizmeti veren kişilerin ve kuruluşların ilgisi bu ürüne çekilebilirse amaçlananlara ulaşılabileceğini ve web üzerindeki güvenliğin artırılabileceğini düşünüyorum. Şimdilik sadece LastPass, MashedLife, PassPack ve Clipperz gibi çevrimiçi şifre saklama siteleri üzerinden kullanılabilir. (Şu anda sadece LastPass, MashedLife ve Yubico'nun sitesindeki KeyGenius destekliyor, Clipperz açık kaynak olduğu için eklenebilir, PassPack ise bu desteği eklemeyi düşünüyor diye tahmin ediyorum.) Daha sonra da bu hizmetleri incelemeyi ve sistemin güvenlik özelliklerini anlatan ve tanıtan bir yazı yazmayı düşünüyorum.

Loading mentions Retweet

Comment (0) »

Login as Any User into a Django website

Note: Just recently I found a thread in one of the popular forums, asking a similar question. So felt like giving this solution(which I developed long back).

So login as any user into a website ?

Hey dont get me wrong! I am not telling a way to hack into Django's authentication system or steal the password of a user on a Django Site.

If you are an admin of a django site and many times it feels to visualize or experience how a normal website user actually sees different pages of your website. So to get this done, we create a normal user (just for testing purposes) and check the same, which is good. But sometimes we need to actually login as the same person to resolve a issue or to trace a particular exception which only one user or a specific set of users are experiencing.

Enough said. So you need to login as "Anybody" to gain access to their account/pages. Ofcourse you are site admin, and for some non-ambigous, quite-healthy purposes, you need a tool to get that done. Here it is. The django authentication module lets that possible.

Public Clone Url: git://gist.github.com/242439.git

def login_using_email(request, email):
    '''DONT EVER USE this method for normal purposes. This is only there, for debugging specific problems related to users'''
    from django.contrib.auth import get_backends
    backend = get_backends()[0]
     from django.contrib.auth.models import User
    user = User.objects.get(email=email)
    user.backend = "%s.%s" % (backend.__module__, backend.__class__.__name__)
    from django.contrib.auth import login as django_login
    django_login(request, user)
    #set_any_extra_session_variables(request)

Usage:login_using_email(request, "example@example.com")

I have mentioned only the helper or core method which is responsible for the actual user "logging-in" simulation. Proper view permissions(remember I mentioned only admins should use this) can be wrapped around it. Any thoughts on improving it? Always invited....

Loading mentions Retweet

Comment (0) »

TV Everywhere Getting Closer to Reality, Thanks to thePlatform

Comcast-owned ThePlatform is arguably the top Online Video Platform (OVP) provider, and almost certainly is within the TV industry.  They unseated encumbent Brightcove over the last year by launching Hulu.com, CBS.com, TV.com, and a slew of other broadcast and cable TV networks. They announced even more TV programmer customers today (most of whom are owned by Comcast) as well as Rogers, Canada's largest cable operator.  ThePlatform also powers online video for Comcast's largest competitors: Time Warner Cable, Cox, and CableVision.

Today, thePlatform made a major announcement that brings TV Everywhere a HUGE step closer to reality.

ThePlatform is launching a cable Authentication & Authorization component to its white-label video publishing product that will enable programmer web sites (HBO.com, Showtime.com, NBC.com, etc) to publish their premium TV shows on their sites, requiring the user to authenticate himself as a cable subscriber with access to that channel (ie, you can only watch HBO shows online if you pay for HBO through your cable provider).  Enforcing this authentication ensures everyone in the media supply chain gets credit for that view, and money is transferred accordingly.  To that end: an integration with Nielsen to directly track views would be a killer strategic move by thePlatform! 

This solution also has the following compelling side benefits for the MSO's and TV Programmers:

• Keeping cable subscribers happy and hooked (cable companies fear that free online TV services like Hulu may result in cable subscribers canceling their pay TV services).
• Upselling subscriptions: if I'm a Comcast subscriber but don't pay for the HBO cable package, I may be compelled to sign up now if it means I can watch all HBO shows whenever I want, online (or on my HD TV via Boxee or the like).
• Upselling content: if I am not an HBO subscriber but want to watch just a single HBO show, now there is a mechanism to buy shows a la cart.  This is the model that Disney currently loves.

Here's a nice diagram of how this new component works:

ThePlatform is initially providing this technology only to TV Programmers for their sites (broadcast networks and cable channels).  That's a great first step, though I believe the killer app will be making this capability available to any web site, not just NBC.com or HBO.com, etc. I wrote about this just yesterday.

Regarding the rest of thePlatform's competition in the OVP space...  DigitalSmiths, despite its strong TV Everywhere positioning campaign last month, hasn't released any technology yet that addresses the initiative's largest challenges: authentication and authoriziation.  Meanwhile, Ooyala and Brightcove appear to be sitting on the TV Everywhere sidelines.

Loading mentions Retweet

Comment (2) »

Django: django.contrib.auth.views.py

(zn)hdknr@deblen:~/.ve/zn$ grep def
lib/python2.5/site-packages/django/contrib/auth/views.py

ユーザーをログインさせます
def login(request, template_name='registration/login.html',
redirect_field_name=REDIRECT_FIELD_NAME):

ユーザをログアウトさせます。
def logout(request, next_page=None,
template_name='registration/logged_out.html',
redirect_field_name=REDIRECT_FIELD_NAME):

ユーザをログアウトさせてから、ログインページにリダイレクトします。
def logout_then_login(request, login_url=None):

ログインページにリダイレクトし、ログインに成功したら別の URL に戻れるよ
うにするためのビューです。
def redirect_to_login(next, login_url=None,
redirect_field_name=REDIRECT_FIELD_NAME):

ユーザがパスワードをリセットできるようにします。また、新たなパスワード
をメールで送信します。
def password_reset(request, is_admin_site=False,
template_name='registration/password_reset_form.html',

ユーザがパスワードをリセットした後のページを表示するためのビューです。
def password_reset_done(request,
template_name='registration/password_reset_done.html'):

def password_reset_confirm(request, uidb36=None, token=None,
template_name='registration/password_reset_confirm.html',

def password_reset_complete(request,
template_name='registration/password_reset_complete.html'):

ユーザがパスワードを変更できるようにします。
def password_change(request,
template_name='registration/password_change_form.html',

ユーザがパスワードを変更した後のページを表示するためのビューです。
def password_change_done(request,
template_name='registration/password_change_done.html'):

Loading mentions Retweet

Comment (0) »

Should Facebook be the authentication provider for TV Everywhere?

With over 300M consumer accounts and adding 5M new accounts EACH DAY, Facebook will likely reach the 1 BILLION in 2010. It is therefore safe to assume that the vast majority of Comcast, Time Warner, DirecTV, and Dish subscribers will have a Facebook account.

Without any doubt, Facebook has now become the "identity gatekeeper" of the web. Facebook is the defacto openID provider.

As such, there ought to be an easy way to leverage Facebook to solve TV Everywhere's authentication challenge.

Imagine if we could link our cable / satellite accounts to our Facebook accounts. A couple clicks using Facebook Connect on the cable provider's web site is all it would take. Once a link is established between DirecTV and Facebook, for example, DirecTV could provide Facebook with that user's content access rights (such as: user has rights to HBO content but not Showtime).

Here's a back-of-the-napkin use case of how it might play out:

• Let's say I am a basic Comcast cable subscriber and have a Facebook account.
• I sign into Comcast.net with my Comcast-assigned username and password. I am prompted to click on a FB Connect link and then the "Authorize" button. Comcast sends my cable TV account info to Facebook, which Facebook stores as part of my Facebook profile.
• I then go to Yahoo and select the latest Simpsons episode to watch. Yahoo's TV Everywhere "enabled" video player (see explanation below) prompts me to sign in via Facebook Connect. I click "approve" and Facebook sends the video player my Comcast profile, which tells the video player what I'm eligible to watch. The player stores my cable profile info via a cookie and begins streaming the episode. When I try to watch a HBO content, the video player knows to block the stream.
• The above example could take place on ANY website that uses a TV Everywhere "enabled" video player. This could simply be a "chromeless" Flash-based player with Facebook Connect implemented and logic to interpret content provisioning based on cable account profiles.
• Using Facebook Connect for authentication, any site would be able to present TV Everywhere content and (almost) every cable subscriber would be able to participate after only a few "I Authorize" clicks.

OK, I know the above may be overly simplified, but hopefully you get the gist.

The big question here is whether the MSO's would be willing to share any customer account information with Facebook. To make TV Everywhere work easily for consumers, I believe they will need to share.

Loading mentions Retweet

Comment (15) »

Twitter Warning: Don’t Change Your Email, Username or Password!

Loading mentions Retweet

Comment (0) »

Sign up for Comcast's TV Everywhere trial! But only IF you remember your comcast.net email. WHO DOES?!

You can now sign up for Comcast's TV Everywhere ("On Demand Online") trial on their web site.  See screenshot from Comcast.net below:

HOWEVER, you must dig out your comcast.net username and password issued to you when you first signed up for the cable service.  Ugh.  If you don't use that email address as your personal email, then chances are you've long forgotten it. 

So you click the "Forgot your Comcast.net email address?" link.  You get get this page:

Double Ugh.  Not very helpful.  At all.

This is surprising and a bit concerning.  Getting the Authentication piece is arguably the most critical consumer-facing element of TV Everywhere.  The cable companies MUST NAIL IT.

Loading mentions Retweet

Comment (1) »

7 Things About Federated Identity Management

Educause has published another in their 7 things series: 7 Things About Federated Identity Management. "Identity management refers to the policies, processes, and technologies that establish user identitities and enforce rules about access to digital resources... Deploying new IT capabilities is easier because the authentication mechanism is already in place, and, as such, federated identity can play a key role in using cloud computing to provision IT functions and services. Federated identity management puts the focus on users of information and services rather than on entities that house those resources. By ensuring reliable access from multiple locations, federated identity systems provide a measure of mobility..." -- Courtesy of Stephen @ Stephen's Lighthouse

Loading mentions Retweet

Comment (0) »