Raven
(Varning för tråkigt inlägg.)
När jag anlände Cambridge för tre år sedan fick jag ett användarnamn (kallat CRSid, Common Registration Service identifier) kopplat till konton på tre olika system:
Hermes: E-post (som jag för övrigt vidarebefordrar till GMail)
PWF (Public Workstation Facility): Inloggning på datorsalsdatorer
Raven: webb-autentisering, ungefär som OpenID
Vilken hemsida som helst får använda Raven - ett exempel är när en person lade upp fotografier av resultatlistorna som sätts upp utanför senathuset. Då begränsade han sidan så att endast folk med Raven-konto (eller som sitter på datorer i cam.ac.uk-domänen) kunde se den. (Man kan ha åsikter om huruvida resultatlistorna ska publiceras överhuvudtaget, men givet att resultaten publicerats offentligt där vem som helst i staden kan se dem anser jag att han gör rätt i att lägga upp dem på en begränsad sida så att även de studenter som åkt hem över sommaren får se dem.)
Raven används även som inloggning till CamSIS (Cambridge Student Information System), där man får reda på sina provresultat. (För övrigt måste man logga in på Raven två gånger när man använder CamSIS utifrån - en gång för att visa att man är medlem av universitetet så att man får tillgång till inloggningssidan, och en gång för att logga in och komma åt ens personliga information.)
För några dagar sedan fick jag lära mig att det finns ett stort "säkerhetshål" i Raven: Jag loggade in på CamSIS på en kompis dator för att se mitt provresultat, och efter att jag loggat ut visade han hur han hade tillgång till min e-post.
Anledningen är att man när man loggar in på en sida via Raven dels loggar in på sidan, och dels loggar in på Raven. När man sedan loggar ut från sidan är man fortfarande inloggad på Raven. Om man sedan öppnar Hermes och väljer att logga in via Raven istället för med sitt Hermes-lösenord (så varför finns Hermes-lösenordet överhuvudtaget?) så behöver man inte ange sitt Raven-lösenord igen utan man får tillgång till e-posten direkt.
Jag tror att standard-inställningen på Raven är att man förblir inloggad som beskrivet ovan, men när man är Raven-inloggad och en ny okänd sida kräver Raven-autentisering så måste man klicka för att godkänna innan ens privata information skickas iväg. Detta skyddar mot onda hemsidor, men inte mot onda datoranvändare. Nu har jag ställt in så att jag aldrig blir riktigt inloggad in på Raven, utan endast på sidan som jag vill autentisera mig mot.
När jag anlände Cambridge för tre år sedan fick jag ett användarnamn (kallat CRSid, Common Registration Service identifier) kopplat till konton på tre olika system:
Hermes: E-post (som jag för övrigt vidarebefordrar till GMail)
PWF (Public Workstation Facility): Inloggning på datorsalsdatorer
Raven: webb-autentisering, ungefär som OpenID
Vilken hemsida som helst får använda Raven - ett exempel är när en person lade upp fotografier av resultatlistorna som sätts upp utanför senathuset. Då begränsade han sidan så att endast folk med Raven-konto (eller som sitter på datorer i cam.ac.uk-domänen) kunde se den. (Man kan ha åsikter om huruvida resultatlistorna ska publiceras överhuvudtaget, men givet att resultaten publicerats offentligt där vem som helst i staden kan se dem anser jag att han gör rätt i att lägga upp dem på en begränsad sida så att även de studenter som åkt hem över sommaren får se dem.)
Raven används även som inloggning till CamSIS (Cambridge Student Information System), där man får reda på sina provresultat. (För övrigt måste man logga in på Raven två gånger när man använder CamSIS utifrån - en gång för att visa att man är medlem av universitetet så att man får tillgång till inloggningssidan, och en gång för att logga in och komma åt ens personliga information.)
För några dagar sedan fick jag lära mig att det finns ett stort "säkerhetshål" i Raven: Jag loggade in på CamSIS på en kompis dator för att se mitt provresultat, och efter att jag loggat ut visade han hur han hade tillgång till min e-post.
Anledningen är att man när man loggar in på en sida via Raven dels loggar in på sidan, och dels loggar in på Raven. När man sedan loggar ut från sidan är man fortfarande inloggad på Raven. Om man sedan öppnar Hermes och väljer att logga in via Raven istället för med sitt Hermes-lösenord (så varför finns Hermes-lösenordet överhuvudtaget?) så behöver man inte ange sitt Raven-lösenord igen utan man får tillgång till e-posten direkt.
Jag tror att standard-inställningen på Raven är att man förblir inloggad som beskrivet ovan, men när man är Raven-inloggad och en ny okänd sida kräver Raven-autentisering så måste man klicka för att godkänna innan ens privata information skickas iväg. Detta skyddar mot onda hemsidor, men inte mot onda datoranvändare. Nu har jag ställt in så att jag aldrig blir riktigt inloggad in på Raven, utan endast på sidan som jag vill autentisera mig mot.
Kommentarer