Audyt Umysłu Hackera :Metryka i możliwości piramidy: piramida obrazu złożonego

Ze względu na naturę ujawniania podatności naiwne byłoby zakładanie, że dany przeciwnik znajduje się w tym samym punkcie piramidy ujawniania danej luki. Musimy jednak przypomnieć sobie, że kiedy dokonujemy charakteryzacji przeciwnika, jest to na podstawie ataku. Innymi słowy, to, co tak naprawdę próbujemy ocenić, to „średnie” lub złożone umiejscowienie

przeciwnika w piramidzie ujawniania w celu zmierzenia typowych poziomów inhibitorów, takich jak postrzegane prawdopodobieństwo sukcesu przy danej próbie. Aby lepiej zademonstrować ten punkt, rysunki 3.11 i 3.12 przedstawiają złożone rozmieszczenie dla dwóch całkowicie różnych typów przeciwników.

Rysunek przedstawia piramidę ujawniania wraz z punktami, w których pojedynczy przeciwnik został umieszczony w odniesieniu do wielu luk w zabezpieczeniach. Tego rodzaju wynik jest typowy dla przeciwników, którzy mają pewien stopień interakcji ze społecznością zajmującą się bezpieczeństwem, ale nie w takim stopniu, w jakim odkrywają własne luki w zabezpieczeniach. Chociaż nie jest to zasugerowane, najprawdopodobniej nie opracują własnego kodu potwierdzającego koncepcję (exploit) w celu wykorzystania przedstawionych luk w zabezpieczeniach. średnie ”wartości dla inhibitorów, na które mają wpływ możliwości techniczne. W celu zademonstrowania tej teorii wartości punktacji zostały przypisane do odpowiednich sekcji, na które podzielono diagram ostrosłupowy. Oprócz tego, niektóre przykładowe wartości wcześniej omówionych inhibitorów zostały przypisane wartościom wyświetlanym w piramidzie dla odpowiednich kategorii. (Zwróć uwagę, że wysoka liczba oznacza wysokie, postrzegane prawdopodobieństwo).

Trzeba przyznać, że liczby te są raczej arbitralne, dopóki nie umieścimy ich w kontekście poprzez porównanie z drugim przykładem przeciwnika, którego umiejscowienie w piramidzie ujawnień jest bardziej typowe dla osoby głęboko osadzonej w społeczności zajmującej się bezpieczeństwem informacji i jest o wiele bardziej prawdopodobne, że brać udział w opracowywaniu kodów weryfikacji koncepcji, aby wykorzystać nowo odkryte luki w zabezpieczeniach. Należy pamiętać, że pomimo zaangażowania przeciwnika w społeczność zajmującą się bezpieczeństwem, szereg luk w zabezpieczeniach pozostaje na samym dole piramidy ujawniania, ponieważ jest prawie niemożliwe, aby jeden przeciwnik był zaangażowany w odkrycie lub badanie każdej luki. – warunek wstępny, jeśli każde umieszczenie powinno znajdować się w kierunku szczytu miernika piramidy

Agile Leadership : OPRACUJ KONWERSACJĘ Z ODPOWIEDNIM PYTANIEM (UMIEJĘTNOŚCI MR 2)

Podczas rodzinnych wakacji w Santa Fe w Nowym Meksyku ojciec i jego trzyletnia córka wybrali się na spacer. Zatrzymując się, aby podziwiać wyjątkowo piękny krajobraz, ojciec zrobił zdjęcie swojej małej dziewczynki na tym pięknym tle. To było na długo przed czasami aparatu w smartfonie. Dziewczynie ojciec wielokrotnie powtarzał, że film trzeba zabrać do specjalnego sklepu w celu wywołania i że minie kilka dni, zanim będą mogli zobaczyć ich zdjęcia. Chociaż znała te informacje, i tak zadała pytanie, ponieważ trzylatki są tak skłonne do powiedzenia: „Dlaczego nie możemy teraz zobaczyć tego obrazu?” Jej ojciec cierpliwie po raz kolejny zaoferował wyjaśnienie, ale tym razem jej pytanie zadomowiło się w jego umyśle w sposób, w jaki nie było wcześniej… Dlaczego nie możemy teraz zobaczyć tego obrazu? Później Edwin Land, założyciel Polaroid, wspominał ten dzień w 1943 roku i dodał, że „w ciągu godziny aparat, film i chemia fizyczna stały się jasne”. Jako fizyk w fotelu opracował w swojej głowie nowy rodzaj systemu fotograficznego, który obejmowałby wszystkie elementy konwencjonalnej ciemni w jednym ręcznym urządzeniu – jeszcze przed powrotem ze spaceru. Tego samego dnia zadzwonił do swojego rzecznika patentowego. W sposobie, w jaki jego córka zadawała swoje pytanie, była pewna siła. Land zadał sobie pytanie, którego nigdy wcześniej nie rozważał. Pytania mogą być potężne. Każda rozmowa zaczyna się od tego, że każda osoba ma niewidzialne ramy wokół tego, o czym będą dyskutować, ramę, która wyznacza (zwykle podświadome) granice rozmowy. Musimy wynieść te ramy na powierzchnię. Użycie w tym celu odpowiedniego pytania może zarówno otworzyć nowe możliwości, jak i utrzymać rozmowę w produktywnym kierunku. David Cooperrider, profesor zachowań organizacyjnych na Uniwersytecie Case Western Reserve, mówi, że „żyjemy w świecie, który tworzą nasze pytania”. Spędzamy czas na opracowywaniu formułowania pytań, aby upewnić się, że wszyscy jesteśmy w tym samym świecie, tak jak wcześniej – przyglądając się tej samej rozmowie tak dokładnie, jak tylko potrafimy. Druga umiejętność zwinnego przywództwa polegająca na zaprojektowaniu rozmowy wokół pytania z oceną, pytania z wieloma odpowiedziami, które nadadzą rozmowie pozytywny kierunek. Dobre sformułowanie pytania jest na tyle złożone, że będzie wymagało głębszego przemyślenia i zaangażowania każdej osoby w rozmowę. To stwierdzenie ma wiele części, więc podzielmy je na elementy dobrego pytania, abyś mógł zadawać właściwe pytania w swoich rozmowach.

Lean Customer Development : Kontynuowanie

Prawdopodobnie zauważyłeś, że szablony początkowej wiadomości wprowadzającej nie zawierały harmonogramu. Jeśli nie znasz osobiście odbiorcy, początkowa wiadomość powinna być krótka. Planowanie dodaje dwa lub więcej zdań, które obciążają Twoją wiadomość. Wiadomości, które są zbyt długie, nie otrzymują odpowiedzi; są mentalnie odkładane na bok, dopóki nie mamy czasu, aby je przeczytać (co nigdy nie jest).

Czy Twoje wiadomości są przyjazne dla urządzeń mobilnych?

Pamiętaj, że Twój odbiorca coraz częściej czyta Twoją wiadomość na swoim telefonie. Litmus podaje, że w grudniu 2013 r. 51% e-maili było otwieranych na telefonach komórkowych. Spróbuj najpierw wysłać sobie kopię e-maila i przejrzeć ją na telefonie. Czy ktoś musiałby przewijać tylko po to, żeby przejść do rzeczy? Jeśli tak, postaraj się skrócić długość wiadomości o połowę.

Ile Google wie o Tobie : Ślad, który zostawisz za sobą

Teraz, gdy zapoznaliśmy się z podstawami działania sieci, spójrzmy szczególnie na ślady pozostawione w dziennikach serwerów internetowych i komputerów użytkowników końcowych.

Uwaga

Nawet prosta czynność polegająca na ustawieniu domyślnej strony głównej przeglądarki internetowej na Google lub jakąkolwiek inną witrynę internetową jest nietrywialnym ryzykiem związanym z ujawnieniem informacji. W ten sposób za każdym razem, gdy przeglądarka jest uruchamiana, akcja automatycznie generuje wpis dziennika na serwerze domyślnej strony głównej, tworząc puls obecności użytkownika w Internecie.

Dzienniki serwera sieci Web

Do tej pory odniesiono się do abstrakcyjnego „dziennika serwera WWW”, nie zajmując się szczegółami. Te dzienniki nie zawierają żadnej magii. Za każdym razem, gdy przeglądarka internetowa uzyskuje dostęp do strony internetowej, obrazu lub innego obiektu, pozostawia wpis w dzienniku serwera WWW. Serwer sieciowy zna określone informacje do działania i zapisuje kluczowe elementy w dzienniku tekstowym lub potencjalnie w bardziej niezawodnej bazie danych. Poniżej znajduje się przykład wpisu dziennika z witryny www.rumint.org.

W tym przykładzie internauta wyszukał w Google słowo kluczowe „RUMINT” i kliknął jeden z wyników wyszukiwania, co doprowadziło go do mojej witryny internetowej. Ta interakcja zapewniła każdy z elementów wpisu dziennika: adres sieciowy był wymagany do komunikacji przez Internet, a mój serwer zapisał lokalną datę i godzinę, a także żądanie HTTP odwiedzającego. Jego przeglądarka przekazała odsyłający adres URL i szczegóły, takie jak wersja przeglądarki internetowej i system operacyjny komputera. To tylko prosty przykład, ale pamiętaj, że nawet pobranie pojedynczej strony internetowej generuje znaczną ilość informacji. Teraz wyobraź sobie tysiące, a nawet miliony wpisów w dziennikach, które ludzie utworzyli, odkąd zaczęli korzystać z sieci, i zaczniesz mieć obraz śladu, który pozostawia po sobie każdy użytkownik. W poniższych sekcjach opisano szczegóły i konsekwencje każdego z głównych elementów znajdujących się w dziennikach serwera WWW

Zaufanie w Cyberspace : Zarządzanie zaufaniem w chmurze obliczeniowej

Przyjęcie chmury publicznej zasadniczo oznacza migrację danych do centrów danych znajdujących się poza własną siedzibą. Ta migracja danych oznacza zrzeczenie się kontroli nad danymi na rzecz dostawcy usług kryptograficznych i zaufanie do systemów chmurowych w zakresie bezpieczeństwa danych i aplikacji, które działają na danych. Ankieta przeprowadzona przez Fujitsu Research Institute wykazała, że ​​88% potencjalnych klientów chmury chce wiedzieć, co dzieje się na fizycznym serwerze zaplecza. Konsumenci martwią się, gdzie są przechowywane ich dane i kto ma do nich dostęp. To jest motywacja

za różnymi TMS, które są opracowywane, aby zapewnić użytkownikowi środki do ograniczenia ryzyka związanego z nieznanymi przedsięwzięciami. Zarządzanie zaufaniem to dziedzina aktywnych badań; terminologia dotycząca zarządzania zaufaniem jest jednak niejednoznaczna. Niejednokrotnie w literaturze badacze używali zamiennie terminów zaufanie, ocena zaufania i zarządzanie zaufaniem. W tej sekcji spróbujemy wyeliminować tę niejednoznaczność między tymi terminami i spróbować stworzyć ogólny obraz pełnego TMS w chmurze obliczeniowej. Pojęcie usługi sieci Web jest bardzo ściśle związane z przetwarzaniem w chmurze, a zarządzanie zaufaniem w usługach sieci Web było szeroko badane. Wykorzystujemy istniejące badania usług internetowych, aby zdefiniować i opracować wymagane komponenty kompleksowego TMS w chmurze obliczeniowej. W SOA TMS jest częścią systemu, która odpowiada na następujące pytania.

  1. Na rynku istnieje wielu usługodawców. Co należy zrobić, aby znaleźć te, które są wysokiej jakości, ale mniej reklamowane.
  2. Jakie parametry najlepiej nadają się do obliczenia zaufania i reputacji usługodawcy? Nazywamy je parametrami miary zaufania (TMP). Powiązane pytanie brzmi: w jaki sposób zbierane są te TMP?
  3. W jaki sposób te TMP są wykorzystywane do obliczenia namacalnej ilości, którą nazywamy zaufaniem? Ocena zaufania jako część TMS zajmuje się tym pytaniem, na które odpowiada solidny teoretyczny model obliczania zaufania.
  4. W jaki sposób użytkownicy systemu mogą przekazywać informacje zwrotne na temat swoich doświadczeń innym użytkownikom i wykorzystywać je do dalszego wzmacniania własnego zaufania w przyszłości?

Odpowiedzi na te pytania dostarczają nam składników TMS. TMS składa się z następujących elementów, a mianowicie wykrywania usług, wyboru i pomiaru TMP, oceny zaufania i ewolucji zaufania. W pozostałej części tej sekcji szczegółowo omówimy każdy z tych elementów i omówimy funkcje, które każdy z tych składników musi spełniać, a także omówimy artykuły, w których wspomina się o konkretnych technikach takich funkcji.

Ciemna Strona Neta :Mądre tłumy, nierozsądne przyczyny

Niezwykle surowe przepisy Tajlandii o obrazie majestatu zabraniają publikowania – w tym na blogach i tweetach – czegokolwiek, co może obrazić rodzinę królewską tego kraju. Jednak skuteczne nadzorowanie szybko rozwijającej się blogosfery w kraju okazało się dużym wyzwaniem dla tajskiej policji. Na początku 2009 roku lojalny wobec króla tajski poseł zaproponował nowe rozwiązanie tego trudnego do rozwiązania problemu. Utworzono nową witrynę o nazwie ProtectTheKing.net, aby tajlandzcy użytkownicy mogli zgłaszać linki do wszelkich witryn internetowych, które uważali za obraźliwe dla monarchii. Według BBC rząd zablokował 5000 przesłanych linków w ciągu pierwszych dwudziestu czterech godzin. Nic dziwnego, że twórcy witryny „zapomnieli” udostępnić sposób składania skarg na witryny, które zostały błędnie zablokowane. Podobnie Arabia Saudyjska pozwala swoim obywatelom zgłaszać wszelkie linki, które uznają za obraźliwe; 1200 z nich jest codziennie przesyłanych do krajowej komisji ds. Komunikacji i technologii informacyjnych. Pozwala to rządowi Arabii Saudyjskiej osiągnąć pewną skuteczność w procesie cenzury. Według Business Week w 2008 r. Oddział Komisji ds. Cenzury zatrudniał zaledwie dwadzieścia pięć osób, chociaż wielu z nich pochodziło z czołowych zachodnich uniwersytetów, w tym Harvardu i Carnegie Mellon. Najbardziej interesującą częścią saudyjskiego systemu cenzury jest to, że przynajmniej informuje użytkownika, dlaczego strona internetowa została zablokowana; wiele innych krajów wyświetla po prostu mdły komunikat, taki jak „nie można wyświetlić strony”, co uniemożliwia stwierdzenie, czy witryna jest zablokowana, czy po prostu niedostępna z powodu pewnych usterek technicznych. W przypadku Arabii Saudyjskiej zakazane strony pornograficzne zawierają komunikat wyjaśniający szczegółowo powody zakazu, odwołujący się do artykułu Duke Law Journal na temat pornografii napisanego przez amerykańskiego prawnika Cassa Sunsteina oraz badania na 1960 stron przeprowadzonego przez Komisję Prokuratora Generalnego USA. o pornografii w 1986 r. (Przynajmniej dla większości osób niebędących prawnikami są one prawdopodobnie znacznie mniej satysfakcjonujące niż strony pornograficzne, które chcieli odwiedzić). Praktyka cenzury „crowdsourcingu” staje się popularna również w demokracjach. Zarówno władze brytyjskie, jak i francuskie mają podobne plany, aby ich obywatele zgłaszali pornografię dziecięcą i kilka innych rodzajów nielegalnych treści. Ponieważ jest coraz więcej witryn i blogów do wyszukiwania nielegalnych materiałów, jest całkiem prawdopodobne, że takie schematy crowdsourcingu staną się bardziej powszechne. Władze Tajlandii, Arabii Saudyjskiej i Wielkiej Brytanii polegają na dobrej woli obywateli, ale nowy program w Chinach w rzeczywistości oferuje nagrody pieniężne każdemu, kto poda linki do pornografii internetowej. Znalazłeś stronę porno? Zgłoś to władzom i otrzymaj zapłatę. Schemat mógł jednak przynieść odwrotny skutek. Kiedy po raz pierwszy został wprowadzony na początku 2010 roku, odnotowano również znaczny wzrost liczby osób poszukujących pornografii. Kto wie, ile zgłoszonych filmów zostało pobranych i zapisanych na lokalnych dyskach twardych? Co ważniejsze, ile stron zawierających treści nieseksualne można znaleźć i rozwiązać w ten sposób? W niektórych przypadkach państwo nie musi w ogóle się bezpośrednio angażować. Grupy osób znających się na technologii, lojalne wobec określonej sprawy lub rządu krajowego, wykorzystają swoje sieci do cenzurowania swoich przeciwników, zwykle poprzez rozmontowywanie ich grup na portalach społecznościowych. Najbardziej znaną z takich sieci jest tajemnicza organizacja internetowa, która nazywa się Jewish Internet Defense Force (JIDF). Ta proizraelska grupa obrońców trafiła na pierwsze strony gazet, zestawiając listy antyizraelskich grup na Facebooku, infiltrując je, aby stać się ich administratorami, i ostatecznie je blokując. Jednym z jego najbardziej niezwykłych osiągnięć było usunięcie prawie 110 000 członków ze 118-tysięcznej grupy arabskojęzycznej sympatyzującej z Hezbollahem. W niektórych takich przypadkach administratorzy Facebooka są wystarczająco szybcy, aby interweniować, zanim grupa zostanie całkowicie zniszczona, ale często tak się nie dzieje. Kapitał społeczny online, którego rozwój trwał miesiące, marnuje się w ciągu kilku godzin. Ważne jest, aby zrozumieć, że coraz częściej to społeczności, a nie tylko indywidualni blogerzy, tworzą wartość w dzisiejszym internecie. W związku z tym współczesna cenzura w coraz większym stopniu będzie wykraczać poza zwykłe blokowanie dostępu do określonych treści i zamiast tego dążyć do erozji i niszczenia całych społeczności internetowych.

Audyt Umysłu Hackera : Piramidalne możliwości metryczne i powstrzymywanie ataku

Stawiamy hipotezę, że dla każdej danej podatności, im wyższy poziom, na którym dana osoba znajduje się w mierniku piramidy, tym wyższa będzie postrzegana (i częściej niż rzeczywista) zdolność jednostki. Teoria stojąca za tym opiera się na dwóch punktach: z których oba odnoszą się do pozycji osoby w piramidzie:

* Im wyżej dana osoba znajduje się w piramidzie, tym więcej czasu musi wykonać przeciwstawna czynność wobec celu, zanim dostępna będzie poprawka lub obejście (inhibitory ataku). I, jak omówiliśmy wcześniej, im wcześniej na osi czasu ujawnienia przebywa przeciwnik, tym większe będzie postrzegane prawdopodobieństwo sukcesu danej próby i tym mniejsze będzie postrzegane prawdopodobieństwo wykrycia danej próby.

* Im wyżej w piramidzie ujawnień przebywa dana osoba, jest wprost proporcjonalne do liczby „innych” osób, które wiedzą o danym problemie. Innymi słowy, im wyżej w piramidzie znajduje się przeciwnik, tym mniejsze prawdopodobieństwo, że atak zostanie wykryty (ponieważ mniej osób wie o ataku) i tym większe prawdopodobieństwo sukcesu, biorąc pod uwagę, że środki zaradcze prawdopodobnie nie zostały wprowadzone. Podsumowując Im wyżej w piramidzie ujawnienia znajduje się przeciwnik, tym większe postrzegane prawdopodobieństwo sukcesu danej próby [P (S / A)] i niższe postrzegane prawdopodobieństwo wykrycia danej próby [P (D / A)].

Agile Leadership : WYKORZYSTANIE UMIEJĘTNOŚCI: ZWINNY LIDER JAKO PRZEWODNIK ROZMOWY

Zwinni liderzy kierują rozmową w sposób, który wykracza poza wybór odpowiedniego pomieszczenia lub upewnienie się, że grupa jest odpowiedniej wielkości. Odpowiednikiem ery cyfrowej „nie czytaj gazety ani broszury” podczas głębokiej, skoncentrowanej rozmowy może być „odłóż smartfony”. Zdrowy rozsądek może dyktować, jakie powinny być odpowiednie zasady uprzejmości, jeśli chodzi o tworzenie i utrzymywanie bezpiecznej przestrzeni do głęboko skoncentrowanej rozmowy. Nasza zasada uprzejmości jest następująca – będziemy postępować w sposób, który buduje zaufanie i wzajemny szacunek. Komunikowanie się i wzmacnianie tej zasady to nie tylko rola zwinnego lidera, to wspólna odpowiedzialność wszystkich prowadzących rozmowę. Tak było również na Kongresie Kontynentalnym. Kiedy członek nie działał zgodnie z ustalonymi zasadami uprzejmości, mógł zostać „wezwany do porządku” przez każdego innego członka, a także przez George’a Washingtona. Tę jedną zasadę uprzejmości (lub inne zasady, o których możesz zdecydować w swoich własnych rozmowach) można z pewnością zasugerować, ale w naszej pracy zauważyliśmy, że lepiej jest wyraźnie określić tę regułę. Zwinne przywództwo oznacza stawianie takich oczekiwań. Jednym ze sposobów na to jest pomoc innym w zrozumieniu, że rozmowa strategiczna to szczególny rodzaj rozmowy, który wymaga tego rodzaju zachowania – niektóre z typowych sposobów interakcji między ludźmi są zawieszane na czas trwania rozmowy w określonym celu . Pamiętaj, że głęboko skoncentrowane rozmowy nie są typem rozmów, do których większość ludzi jest przyzwyczajona. Niektórzy mogli rozwinąć nawyki konwersacyjne, które nie sprzyjają wykonywaniu strategicznej, złożonej pracy, która jest wykonywana ręcznie. Twoim zadaniem jest pomóc im rozwinąć nową konwersację zwyczaju. Innym prostym nawykiem konwersacyjnym, który można dość łatwo wdrożyć, jest słuszność głosu. Kiedy gromadzisz małą grupę lub zespół w celu strategicznej rozmowy, wyjaśnij, że gdy poszczególne osoby pracują razem w grupach, istnieją dowody na to, że najlepsze wyniki osiągają grupy, które mają największy poziom „równości głosu”. Oznacza to, że kiedy spotykają się razem, każdy członek mówi o tym samym czasie. Po prostu poinformowanie członków grupy, że będziesz dążyć do równości głosu, może być bardzo potężne.

STUDIUM PRZYPADKU: USTAWIANIE ETAPU GŁĘBOKICH ROZMÓW W FLINT

Flint w stanie Michigan było kiedyś kwitnącym miastem zdominowanym przez przemysł samochodowy. General Motors zatrudniał ponad 80 000 osób we Flint, a między GM a ich dostawcami miasto cieszyło się pełnym zatrudnieniem i kwitnącym życiem obywatelskim. Każdy maturzysta wiedział, że czeka go dobrze płatna praca, która pozwoli im kupić dom, założyć rodzinę i wysłać dzieci na studia. Kiedy w latach 80-tych General Motors wyprowadził się z Flint, populacja miasta zaczęła gwałtownie spadać, od blisko 200 000 do około 97 000 obecnie. Gdy gospodarka podupadła, ci, którzy mogli się wydostać – głównie klasa średnia i wyższa – wyszli z tego, pozostawiając miasto z dużą koncentracją osób o niskich dochodach i bezrobotnych. Afroamerykanie stanowili teraz większość, a biali dominującą mniejszość. Miasto charakteryzowały się ograniczonymi możliwościami ekonomicznymi i zdesperowanymi ludźmi, którzy po prostu próbowali przetrwać. Wyzwania mieszkaniowe, ograniczone opcje zdrowej żywności, rasizm i ubóstwo były (i nadal są) powszechne. Przedstawiliśmy was wcześniej zespołowi Flint. Jak możesz sobie wyobrazić, rozmowy, które muszą mieć miejsce w tej społeczności, są często bolesne i wywołują silne emocje. Zaangażowanie zespołu w umiejętność zapewnienia bezpiecznej przestrzeni do głębokiej i skoncentrowanej rozmowy odegrało kluczową rolę w ich pracy w walce z problemami ubóstwa, przemocy i zakorzenionego instytucjonalnego rasizmu we Flint. Jednym z pojazdów, do których należał zespół, jest koalicja o nazwie Sąsiedzi bez granic. Bob Brown (zastępca dyrektora Center for Community and Economic Development na Michigan State University) przedstawił grupie podejście do strategicznego działania, a sposoby, w jakie pomógł zapewnić bezpieczną przestrzeń, utorowały drogę do głębszych i głębszych rozmów o tym, co to znaczy być zjednoczoną wspólnotą. Na pewnym spotkaniu, które zgromadziło mieszkańców Flint z każdej części miasta, Bob zaczął od zaproponowania, aby się trochę poznali. Poprosił ich o wyjęcie wizytówek, aby wspomóc ten proces – z pewnością nie jest to rzadka tradycja na wielu spotkaniach w niezliczonych społecznościach. To, co przyszło później, było jednak dalekie od tradycyjnego. Bob poprosił wszystkich, aby wrzucili swoje karty do kosza na śmieci. Przesłanie: każdy z nas ma coś do zaoferowania, nawet ci z nas, którzy mogą nie mieć wizytówki. W tym pokoju wszyscy – od prezesa fundacji po mężczyznę, który niedawno powrócił do społeczności z długiego więzienia – byliby równymi współtwórcami przyszłości, którą wspólnie zbudują.

Lean Customer Development: Wiadomości błyskawiczne

Przyznam się: komunikatory (IM) nie są moim ulubionym podejściem do przeprowadzania wywiadów. Komunikacja tekstowa dostarcza najmniejszej ilości informacji, co wiąże się z najwyższym ryzykiem błędnej interpretacji. Większość z nas ma trudności z interpretacją intencji lub emocjonalnej surowości pisemnych wiadomości. Zauważyłem też przez lata w różnych projektach badawczych użytkowników, że ludzie są bardziej świadomi siebie i bardziej skłonni do autocenzury tego, co piszą, niż tego, co mówią. Jednak czasami komunikacja tekstowa jest najlepszą dostępną opcją.

Aplikacje do czatu na żywo dają Ci możliwość porozmawiania z kimś, gdy jest on w Twojej witrynie. Jeśli nie będziesz rozmawiać z tym potencjalnym klientem w czasie rzeczywistym, nie będziesz mieć możliwości skontaktowania się z nim w przyszłości. Możesz także zaplanować rozmowy przez komunikator, jeśli martwisz się o jakość dźwięku – rozmawiając z rozmówcami z innych krajów, gdy Voice over IP jest zawodny lub rozmawiać z rozmówcami, których akcent utrudnia zrozumienie tego, co mówią.

Komunikator działa dobrze w przypadku:

  • Potencjalni klienci, którzy nie czują się swobodnie rozmawiając werbalnie (osoby nieśmiałe, z mocnym akcentem lub chcące kontrolować informacje, które udostępniają)
  • Rozmowy, w których ważna jest wymiana danych, takich jak adresy URL lub fragmenty kodu

Ile Google wie o Tobie : Podstawowa interakcja w sieci i przechowywanie danych

Głównym problemem ujawniania informacji w sieci jest współdziałanie przeglądarek internetowych i serwerów WWW. Na najbardziej podstawowym poziomie sieci internauci żądają stron internetowych i innych obiektów, wpisując jednolity lokalizator zasobów (URL) w pasku adresu przeglądarki lub klikając łącze zawarte na stronie internetowej. Adres URL to globalny adres do dowolnego publicznie dostępnego dokumentu lub innego obiektu w sieci. Adres URL jest prostą, ale elegancką koncepcją, ponieważ umożliwia stronom internetowym i aplikacjom internetowym łatwe żądanie dowolnego obiektu w sieci. Na przykład adres URL logo Google to

http://www.google.com/intl/en_ALL/images/logo.gif.

Przeglądarki internetowe i serwery internetowe komunikują się za pomocą lingua franca sieci, protokołu HyperText Transfer Protocol (HTTP). (Zwróć uwagę na „http” w poprzednim adresie URL). HTTP definiuje reguły dotyczące żądań i otrzymywania treści internetowych. Rysunek 3-1 przedstawia podstawową interakcję, w której przeglądarka internetowa używa polecenia HTTP do zażądania podanego adresu URL.

Proste żądanie przeglądarki dotyczące strony internetowej generuje pojedyncze wejście dziennika

 Jeśli wszystko pójdzie dobrze, serwer sieciowy odpowiada, wysyłając żądaną zawartość do przeglądarki internetowej, najprawdopodobniej strony internetowej w Hypertext Markup Language (HTML). Serwer sieciowy zwykle prowadzi dziennik wszystkich żądań adresów URL. W przypadku pojedynczego dokumentu HTML serwer WWW generuje pojedynczy wpis dziennika.

Prawdziwe strony internetowe prawie zawsze zawierają więcej treści niż pojedynczy dokument HTML, zwykle w postaci osadzonych obrazów i innych mediów. Po załadowaniu strony początkowej przeglądarka internetowa sprawdza kod HTML pod kątem tych adresów URL i pobiera dodatkowe obiekty bez żadnej interakcji z użytkownikiem. Rysunek 2 przedstawia ten bardziej realistyczny scenariusz, stronę internetową zawierającą obrazy.

Bardziej realistyczna strona internetowa zawiera osadzone multimedia, w wyniku czego wiele wpisów dziennika.

Przeglądarka pobiera oryginalną stronę HTML, a następnie pobiera dwa obrazy. Efektem końcowym są trzy żądania HTML, jedno dla strony HTML i jedno dla każdego obrazu. W takim przypadku docelowy serwer WWW tworzy trzy wpisy dziennika. Zwykle serwer WWW jest taki sam dla każdego z tych plików, ale nie musi tak być. Strona internetowa może zawierać multimedia z dowolnej liczby witryn osób trzecich

Media osadzone na stronie internetowej mogą pochodzić z dowolnego serwera WWW w Internecie, pozostawiając wpisy dziennika na wielu serwerach

Reklamodawcy internetowi wykorzystują takie zachowanie polega na umieszczaniu reklam na stronach internetowych w internecie, które wskazują na serwer reklamodawcy. Główne strony HTML są pobierane z witryn, których odwiedzenia żąda użytkownik, ale przeglądarka użytkownika pobiera również reklamy z serwerów dużego reklamodawcy, umożliwiając reklamodawcy śledzenie aktywności użytkownika w dużych częściach sieci. Serwer sieciowy to stosunkowo prosta aplikacja; zawiera wiele dokumentów, takich jak strony internetowe, obrazy i inne treści, a także prywatny dziennik na komputerze dostępnym w Internecie. Wielu odwiedzających może przychodzić i wysyłać żądania HTTP dotyczące publicznie dostępnych dokumentów treści, ale kto ma dostęp do dziennika? Istnieją dwa podstawowe scenariusze. W pierwszym scenariuszu firma internetowa zarządza bezpośrednio serwerem WWW i kontroluje dzienniki. W wielu przypadkach webmaster sprawuje fizyczną kontrolę nad maszyną i nie ma uprzywilejowanego dostępu do zawartości serwera, w tym do jego dzienników.

Przerywana linia na rysunku wskazuje granicę uprzywilejowanego dostępu do dzienników. Prywatny hosting ma miejsce w przypadku wielu średnich i dużych firm.

W drugim scenariuszu mniejsze firmy często płacą za hosting przez zewnętrzną usługę hostingową . Gdy serwer sieciowy obsługuje strona trzecia, należy ufać wielu dodatkowym osobom, które nie naruszą zabezpieczeń i ochrony prywatności serwera.

Bezpieczne zarządzanie serwerem internetowym e-commerce jest trudną propozycją, a ponieważ mniejsze firmy (i wiele dużych firm) mają ograniczone zasoby, często wydaje im się, że bardziej opłacalne jest outsourcing odpowiedzialności za hosting swojej obecności w sieci. Niestety, wprowadzenie firmy hostującej witrynę internetową udostępnia dziennik zarówno pierwotnej firmie internetowej, jak i pracownikom usługi hostingowej, tworząc kolejny potencjalny wektor ujawnienia. Co gorsza, najtańszą opcją hostingu jest zwykle hosting współdzielony, w którym wiele witryn internetowych znajduje się na tym samym serwerze fizycznym. Chociaż webmasterzy z tych innych witryn nie mają bezpośredniego dostępu do innych dzienników, mają uprzywilejowany dostęp do serwera współdzielonego i są w lepszej sytuacji niż osoba atakująca z zewnątrz, aby próbować uzyskać nieautoryzowany dostęp do dzienników innych hostowanych witryn. Efektem końcowym jest coraz większa grupa ludzi, którym należy ufać, że nie będą atakować ani niewłaściwie wykorzystywać poufnych danych dziennika. System nazw domen to kolejny komponent, który należy wziąć pod uwagę podczas badania wektorów ujawniania informacji związanych nawet z najbardziej podstawowym przeglądaniem stron internetowych. Protokół internetowy wymaga adresów IP do komunikacji z odległym serwerem. Dlatego gdy użytkownik wpisze adres URL, taki jak www.google.com, w pasku adresu przeglądarki, system operacyjny musi określić prawidłowy adres IP, którego ma użyć. Robi to za pomocą DNS. W tym przykładzie co najmniej dwa pakiety zawierają ruch DNS. Pierwsza, od użytkownika końcowego, zawiera zapytanie DNS żądające adresu IP www.google.com i jest wysyłana do lokalnego serwera nazw. Drugi pakiet to odpowiedź z lokalnego serwera nazw, która zawiera adres IP używany do komunikacji z www.google.com – w tym przypadku 64.233.169.99. Gdy komputer wysyłający żądanie otrzyma odpowiedź DNS, używa tego adresu IP przez pewien czas (często 24 godziny) i wysyła wówczas nowe żądanie. Kluczową ideą jest to, że aktywność DNS generuje kolejny ślad rekordów wskazujących miejsca docelowe surfowania po Internecie, poza bezpośrednim internautami i kanałem komunikacji firmy online. Należy jednak pamiętać, że żądania DNS obejmują tylko nazwy hostów, a nie adresy URL.