Thue Kristensen

Jeg er interesseret i computersikkerhed, softwarearkitektur, programmeringssprog og open source software.

Kommentarer

Kommentar til Allianz: Bitcoin er værdiløs

Ikke så forskellig fra guld

Selv om guld har nogle industrielle anvendelser, så er gulds værdi jo heller ikke begrundet af denne anvendelse. Hvis guld ikke havde nogle anvendelser, ville guld jo stadig have "værdi". Jeg er enig i at bitcoin er en boble, men jeg synes at "En bitcoin har ikke rod i noget eller...

Re: Hvordan sikrer man sig?

Man kan sikre sig imod det ved at følge reglerne ved brug at slemid. Giv ALDRIG kode, kortoplysninger osv. til andre. Med den "lille detalje", at Nets har glemt at giver brugerne nogle kriterier for hvor de må indtaste deres koder. https://www.version2.dk/blog/nemid-er-ikke-...

"Potentielt"

Til gengæld kan Spectre potentielt misbruges gennem JavaScript, der kører i en browser. Snarere "reelt" end "potentielt". De har jo demonstreret det i deres artikel: https://spectreattack.com/spectre.pdf
Kommentar til Bitcoin-kurs eksploderer - Den Europæiske Centralbank advarer imod boble

"bitcoins ikke er bundet til nogen reel værdi"

Sååå, ligesom guld og diamanter? Eller fiat penge for den sags skyld? At 1g guld koster 260kr er jo ikke fordi at brugsværdien af guldet er 260kr; modsat e.g. hvede, hvor brugsværden præcis er prisen. Så heller ikke guld er "bundet til nogen reel værdi"; prisen på guld er 3 gange så høj...

Key stretching

I takt med at der dukker sårbarheder op, og hardwaren bliver kraftigere, så er nogle algoritmer i dag fuldstændig ubrugelige til lagring af kodeord. Det gælder for eksempel hash-funktionen MD5. Det har ikke noget at gøre med at hardware bliver kraftigere, at MD5 er ubrugelig til lagring af ko...
Kommentar til Python er verdens hurtigst voksende sprog

Re: Ikke nødvendigvis let

Jeg sidder og skriver et program til at tilgå en WSDL-SOAP tjeneste i Java (sprog påkrævet). Det bliver på cirka 100 linjer. Jeg har fundet et eksempel på nettet, skrevet i Python, som gør det på 3 linjer. Så er det selvfølgelig ikke type-sikker som i Java, men det viser stadig forskellen. Nogle...

Re: Hvad med inkompetence

Motivet er dog noget sværere at gennemskue. Det kan være et ideologisk slag mod verdenshandlen. Det kan være et test-run for et større og mere omfattende angreb. Og det kan være et forsøg på at pumpe bitcoinprisen op igennem øget eksponering af valutaen. Det eneste det nærmest ikke kan være er ...

Link til specialet?

Hvorfor er der ikke noget link til specialet i artiklen?

"Digitaliseringsstyrelsen er tavs »af hensyn til sikkerheden.«"

»De nærmere forhold og detaljer, der ligger bag vores valg af sikkerhedsforanstaltninger, kan vi som sagt desværre ikke uddybe nærmere af hensyn til sikkerheden i løsningen,« oplyser Digitaliseringsstyrelsen i et skriftligt svar, der skulle stamme fra en ikke nærmere specificeret kilde i Nets. ...

Re: NemID bør anvendes

NemID bør anvendes, jeg ville aldrig oplyse f. eks. mit CPR nummer på denne måde, det er en overflødig handling. Men der er jo ingen meningsfuld garanti for at en NemID-loginboks er reel, så du ville ikke være sikrere ved at indtaste dit CPR-nummer via NemID.
Kommentar til Intet krav om grøn hængelås til sider med NemID

Absurd.

Svaret fra både Nets Ulrik Marschall og Teamleder hos Digitaliseringsstyrelsen Kenneth Mose Kruuse er absurde. At sige at "NemID tjenesteudbyderne skal stå for sikkerheden for deres egen løsning" er absurd, når NemID's design gør at et sikkerhedhul hos en NemID-udbyder kan...
Kommentar til Github blokerer for forsøg på at snyde SHA-1

Hvorfor blev det ikke fikset for år siden?

Vi har vidst at det bare var et spørgsmål om tid, før der blev fundet SHA-1 kollisioner, i flere år. Hvorfor er det først nu at git-udviklerne arbejder på en migration til en sikker hash?

Ikke teoretisk

Det er endnu kun en teoretisk mulighed, da Google-demonstrationen af SHA-1-sårbarheden gjaldt for særlige tilfælde og udnyttede, at en PDF-fil kan få tilføjet indhold, som ikke vises, men blot er med til at påvirke hashværdien. Det er altså ikke teoretisk. PDF-filer kan også tilføjes til git....

Re: Ligger mine data så internationalt?

Så e-boks.com er ok, så længe der er en hængelås? Hvorfor så ikke købe e-boks.nu , som er til salg lige nu. Det er gratis at få et Let's Encrypt certificat, så der kommer en hængelås på. .nu er præcis lige så latterligt som .com (selvfølgeligt skal det være .dk). Og andre sider, så som...

Re: Muligvis rekord, men ingen IPv6

Svaret er vel ret simpelt. Alle "kunder" jo IPv4, DR når ikke nogen nye seere ved at tilføje IPv6-understøttelse. Det bliver bare endnu en ting som kan gå galt, og koster penge at understøtte. Grundlæggende er hele IPv6-transitionplanen (eller mangel på samme) meget dårligt designet.
Kommentar til FBI renser Clinton: Dropper undersøgelse af nye e-mails

Re: Jeg må nok

erklære mig enig med Trump i at det lyder mystisk at 650.000 emails er blevet gennemgået med en tættekam for ulovligheder på 5? dage. Jeg har svært ved at de at er nået så langt i automatisk tekstforståelse kombineret med jura og jeg finder det meget usandsynligt at de har sat flere 100 persone...

NemID er ikke kryptologisk sikker

udfolder smishingangrebene sig typisk som en spambesked, hvor hackeren forsøger at lokke folk ind på en hjemmeside og taste deres NemID Brugeren gør jo ikke noget galt her. Der er jo ikke udstukket nogle retningslinjer for hvornår man må indtaste sin NemID-adgangskode. Så en bruger som følger...

Min computer er mit slot

Indholdet på en computer er i princippet dybt privat, private dokumenter, emails, etc.. Man skal ikke kunne tvinges til at installere et program, specielt når det tilsyneladende er så invasivt og ikke er open source (hvilket jeg går ud fra at det ikke er). Så jeg mener at SDU skal stille compute...
Kommentar til Nets advarer mod endnu en bølge af fupmails og -beskeder

Re: Hvor svært kan det være

Wow. Jeg tilføjer det til listen af grunde til at Nets er komplet ligeglade med sikkerhed og/eller inkompetente. Det er en ret lang liste, efterhånden. Det er jo ikke raket-videnskab at sætte DMARC op.
Kommentar til Selvudråbt Bitcoin-bagmand trækker i land

Gavin Wright?

Hvem er denne "Gavin Wright" artiklen taler om, og er han i familie med Craig Wright eller Gavin Andresen?