Povl H. Pedersen

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Sådan skaber du et gratis og gyldigt SSL-certifikat

Amazon, Lets Encrypt etc

Enterpriser løsninger fra Amazon giver vist mulighed for at lade Amazon selv udsteder certifikater. CloudFlare har også sin egen CA - Men man bør stadig trække et cert til sin backend server. Derudover skal man være opmærksom på, at LetsEncrypt certifikater lever 3 måneder, så skal de fornyes. D...
Kommentar til Amerikanske byer angribes af lækket NSA-sikkerhedshul

Eternalblue

Eternalblue er en bug i SMB v1. SMB v1 patches ikke længere, og Microsofts holdning er at man skal slå det fra. Men det er svært at få operations til det i en større virksomhed, for hvor meget legacy crap har man der stadig bruger det ? Det ved man ikke. Man burde begrænse det til en enkelt fils...
Kommentar til Nu hvor kvæget kommer hjem...

§108

Som jeg læser §108, så er enhver er sælger eller slutter sårbart udstyr til Internet faktisk en kadidat for straf jf. §108, de det sætter udenlandsk efterretningstjeneste (og mange andre) i stand til at operere indenfor rigets grænser. Teleselskaber der sælger telefoner med sikkerhedshuller.... ...

last line of defence

Brugerne er forhåbentlig en del af first line of defence, ikke last line of defence. Det skulle nødig være sådan at man har fuld kontrol når man er kommet forbi den første bruger. DMARC hjælper vist ikke meget på Phishing mails ? Dem jeg ser brugerne klikke på, og eventuelt indtaste passwords i ...

Problemet

Er vel at man kører Microsoft på serverne. Hvis man bruger Linux er det let at lade Lets Encrypt udstede gratis certifikater. Hvis man bruger CloudFlare, så udsteder Cloudflare gratis certifikater. Amazon hosting kan også udstede. Men Microsoft er ikke helt oppe på beatet med det her nymoderne p...
Kommentar til Stop morderkassen i byerne og løbehjulsmassakren

Løbehjul

Løbehjul er langt sikrere end cykler. De har et meget lavt tyngdepunkt, man falder ikke langt når man vælter (10 cm ?), og hvis man rammer noget solidt, så kastes man ikke af og flyver x meter frem. Så rent subjektivt er de meget bedre end cykler. Det eneste der taler for cykler er, at de rager o...
Kommentar til Scannings-databasen Shodan gør det legende let at hacke

Men

Man kunne vel også lade Cneter for Cybersikkerhed bruge den til at advare danskerne, eller til at tvinge ISP'er til at spærre for de dårlige servere. Lidt ligesom TDC i mange år spærrede for port 25 til deres kunder, da for mange mindre-kompetente personer havde åbne mail relays. Det ville være ...

Som jeg læser det

Så mener Apple ikke at de prissætter software. Det er heller ikke dem der handler med brugeren. Handlen indgåes mellem sælger - der sætter prisen - og kunden. Og jf tidligere domme så kan man ikke sagsøge forhandleren. Så det er en kompliceret sag. Det er også sjovt, at man kan sagsøge en virks...

Intet krav om betaling gennem Apple

Apple regler er ret klare. De kræver ikke in-app purchase. Men de kræver at in-app purchase er en mulighed - se nedenfor, og at man ikke forsøger at lokke brugeren til at købe et andet sted. F1TV er et eksempel på en anden App der kan købes mange steder, og som giver adgang til digitalt indhold....

Så kom med en workaround

Sælg abonnementet på en webside, og lad folk logge ind på iOS app'en med web password. Problem fixed. Det fungerer for mange andre. Men problemet er vel, at Spotify ikke kan lokke folk over på en webside og betale. Og spotify er selv et monopol som dem der leverer indhold igennem dem ikke er gla...
Kommentar til Ekspert: Tvunget skift af password er en sikkerheds-sovepude

Phishing

Er MFA en garanti mod Phishing ? NEJ NEJ NEJ. Det er trivielt at lave realtime-login i forbindelse med at Phishing angreb, og det bliver standarden når MFA får en passende markedsandel. Ved de fleste SAML logins, som det vel handler om her, så får man en token med en levetid på et sted mellem 1 t...

Re: Why not both?

En admin bruger uden Internet Adgang er et skridt på vejen. Så kan de meste malware ikke få sin stage 2 ned, eller ikke kommunikere med C&C servere. Men, hvem har ansvaret for at opgradere den installerede software hvis brugerne selv installerer ? Skal der været et patch ansvar som juridisk er...

Der er kun en løsning

En overnational militær myndighed der kan gribe ind mod cyberkriminelle. Problemet er, at der ofte er stater der direkte eller indirekte støtter og står bag de cyberkriminelle, og hverken Kina eller rusland vil blive glad hvis man bomber deres uofficielle hackergrupper. En kriminel der skaber ur...

Dernæst

Er det vel at sørge for at der er de folk der skal passe/patche og pleje kassen så den ikke bliver en sikkerhedsrisiko. Der er for mange der sætter kasser hen i hjørnet. En kasse giver som regel en hændelseslog som der ind imellem bør ses på, så boksen kan justeres og hændelser følges op på. En...

En process

I en stor virksomhed er det en process. Vi startede i SPF tiden, og fandt hurtigt ud af at 10 DNS opslag er ret få, specielt da vi som i skyen og det kostede 7 opslag i DNS at bruge O365 (de har ryddet op). Så vi lærte tidligt, at al reklameudsendelse, nyhedsbreve m.m. SKAL sendes fra subdomæner...

Problemet

Problemet er, at der ikke kommer nogen færdiguddannede ud fra nogen institutioner. IT Sikkerhed er typisk noget hvor man skal rende rundt i "lære" minimum et halvt til et helt år, og forstå virksomhedens kultur såfremt man skal komme med aktive tiltag. Christian skriver lige så meget om...

Hvorfor

Er der ikke bødestraf ? Fordi det er en tidligere offentlig virksomhed ? Forbrugerombudsmanden ville vel straffe med en bøde for ulovlig markedsføring. Eller forventer man at straffen vil være et gruppesøgsmål ?
Kommentar til Bliv klogere med forklarbar kunstig intelligens

AI

ML er dumt. Det er ikke bedre end det korpus man træner det med. AI er måske / måske ikke bedre. Når Amazon bliver ved med at foreslå at jeg køber X også lang tid efter at jeg har købt det hos Amazon, så er deres AI ubrugelig. Når man kan omgå diverse billedegenkendelsesalgoritmer ved at introd...
Kommentar til Her er Amazons tre indgange til Machine Learning

amazon

Hvis amazon.com / .de er et eksempel på hvor godt det fungerer, så er AI og Machine Learning altså dumpet 100%. Jeg har samme erfaring som de fleste, både på Amazon og andre steder bliver jeg ved med at få anbefalinger baseret på hvad jeg har søgt på. Dette også langt id efter at jeg har købt, e...
Kommentar til Spyware brugte Apple-enterprise-certifikat for at komme på iPhones

Kræver meget letsindig bruger

Først skal brugeren downloade og acceptere et Enterprise certifikat, og der bliver advaret. Derefter skal brugeren så download en malware app. Hvis man begynder at downloade apps til sin iPhone fra andre kilder end Apples AppStore, så er man selv ude om det. PS: Jeg har selv accepteret certifik...