Peter Makholm

Netværksfirma: Facebook-nedbrud skyldtes problemer med DNS

Cloudflares blog-indlæg er meget pædagogisk og beskriver både hvad DNS er og hvad BGP er.

Derfor er det trist at I kalder BGP for et DNS-system.

Det må og skal I gøre bedre, hvis I vil være et medie for IT-folk.

5. oktober 2021 kl. 10:43
Er der styr på software-komponenterne?

Alle ved at OpenSSL er en utaknemmeligt softwarekomponent at vedligeholde og at det kræver helt særlige egenskaber at vedligeholde uden at kompromiterere sikkerheden på hele internettet.

Og så er der de komponenter på 4 linjer kode, som kunne være udviklet af junior-udvikleren til jobsamtalen bare for at sortere folk der slet ikke kunne programmere ud.

Et eksempel på sidstnævnte var Node modulet 'leftpad', der på en måned i 2016 blev hentet 2,5 milloner gange, før udvikleren valgte at sige "Fsck NPM-miljøet" og gjorde modulet utilgængeligt. Det bevirkede at mange Node projekter pludselig ikke kunne installeres.

Det er bogstavlig talt 4 linjer kode, som folk hev ind som ubetydelig selvstændig afhængighed.

https://www.theregister.com/2016/03/23/npm_left_pad_chaos/

20. august 2020 kl. 10:58
URL'ens historie: Hvis du ville logge på, skulle du oplyse passwordet som en del af URL’en

Er overskriften ikke lige strammet en tak for meget?

Det er korrekt at syntaxen for URI'er tillader at authentificerings-oplysninger fremgår ar URI'en, men derfra og til at det var den normale måde at authentificerer sig på er der lidt et skridt.

Mig bekendt har alle interaktive browsere, med understøttelse for HTTP Basic Auth, altid givet mulighed for at skrive brugernavn og kodeord udenom url'en.

Hele forklaringen om Base64 er dog også malplaceret i en artikel om URL'ens historie, da det er et protokol-spørgsmål og ikke et addresserings spørgsmål.

20. maj 2020 kl. 10:32
Sådan blev Danmark en supermagt i programmeringssprog

Et andet programmeringssprog med danske tråde er Visual Prolog, der også blev solgt af Borland under navnet Turbo Prolog.

https://www.visual-prolog.com/vip/company.htm

19. september 2019 kl. 10:38
Søgning på dsb.dk giver over 2 gange prisforskel på den samme rejse

Hvad koster det så, hvis man bare naivt svinger sit rejsekort?

24. juni 2019 kl. 09:33
Jacob Sparre Andersen

Det er så sent som i sidste uge at Jacob diskuterede GDPR på en af vores fælles IRC-kanaler. Han vil blive savnet.

Jacob og jeg havde et tæt samarbejde i SSLUG omkring årtusindeskiftet, både om møder og om it-politik, Mange aftener er blevet brugt på trappestenen foran NBI efter SSLUG-møder, på Helse^WØlbaren i Elmegade eller i "Præsidentpaladset (også kendt som Jacobs lejlighed) på at diskutere teknik og det sociale sammenhold omkring teknik.

Jacob havde stærke og ideologiske holdninger, men kunne formidle dem åbent, venligt og imødekommende. Selv var jeg noget mere pragmatisk, men rå i min debatform. Sammen kunne vi træde et skridt tilbage og finde en fælles holdning. Dernæst kunne han skrive den diplomatiske version og jeg kunne skrive den noget mere udiplomatiske version – så blev alting sagt.

Jeg har altid haft stor glæde at at diskuterer med Jacob, også selvom det blev sjældnere med årene.

Farvel Jacob. Jeg håber du fik set Serenity selvom jeg ikke kunne finde mine DVD'er.

17. december 2018 kl. 17:15
Danske Medier om ePrivacy: Ansvarsfuldhed har erstattet paroler

Jeg er enig med Allan Sørensen om at antallet af cookie-popups har taget overhånd og at der er et alt for ensidigt fokus på Samtykkeerklæringen som brugerne bare klikker 'Ja tak' til (i betydningen 'Gå nu bare væk').

Mit udgangspunkt er dog ikke at fjerne kravet om samtykke, men at give brugerne effektive værktøjer til at administrerere et oplyst og overvejet samtykke.

Det glædelige er at jeg ser flere og flere steder klassificerer deres cookies. Således dokumenterere dr.dk 39 nødvendige cookies, 27 cookies anvendt til statisk, 31 cookies for forbedret brugeroplevelse og 57 endnu uklassificerede cookies.

Foreksempel ønsker jeg mig et værktøj der automatisk tillader mig at afvise cookies på websteder der ikke klassificerer cookies efter en fælles standard, godkende nødvendige cookies for alle websteder der følger standarden og websted for websted kunne anvende en anden profil for automatisk at godkende cookies. Desuden vil jeg gerne som bruger kunen sætte grænser for udløbstiden af cookies.

Hermed ikke sagt at DR's klassificering er god nok, men det er en start.

10. august 2018 kl. 11:25
‘Naivt’ Datatilsyn kontaktede Randers Kommune om problemer med hovsa-mails allerede i 2013

Fra artiklen:

»Randers Kommune burde have set det her i forbindelse med deres forberedelser til GDPR. Hvis man ikke har undersøgt, om man har tidligere sager med Datatilsynet, så har man allerede dér et muligt hul i ens datasikkerhed,« siger Catrine Byrne og bakkes op af Datatilsynet selv

Hvor mange kommuner og andre offentlige myndigheder har i forbindelse med GDPR kontaktet Datatilsynet om tidligere sager?

Fremgår denne anbefaling af informationsmateriale fra Datatilsynet eller andre statslige myndigheder? Jeg kan ikke umidelbart se at det fremgår at Datatilsynets introduktionspjece om de nye regler

7. august 2018 kl. 15:26
Forsker efter EFAIL: Stol ikke på PGP-værktøjer til meget følsom kommunikation

Det er egentligt lidt tankevækkende og lærerigt at overvejer hvorfor OpenPGP bliver fremhævet i denne historie.

En del af det handler om dårlig kommunikation. Vi har ikke et godt og entydigt navn for "OpenPGP messages embedded in a MIME structure". Så når vi rent faktisk taler om "OpenPGP messages embedded in a MIME structure", så bliver det bare forenklet til OpenPGP og kædet sammen med GnuPG som en af de vigtigtste implementationer. I gamle dage kunne vi tale om PGP/MIME (til forskel fra Application/PGP eller bare at bruge ascii armor-beskeder) men også det blev bare slidt ned til PGP.

På den anden side, så har vi et godt og mundret navn for "PKCS#7 messages embedded in a MIME structure" – det hedder "S/MIME". Tilgengæld er der mange brugere af S/MIME der rent faktisk ikke har hørt om S/MIME, fordi de kender det under produktnavnet "Sikker mail med NemID" og derfor ikek kæder S/MIME samme med noget der er relevant for deres hverdag.

16. maj 2018 kl. 10:17
Forsker efter EFAIL: Stol ikke på PGP-værktøjer til meget følsom kommunikation

Som jeg ser det, kan man vel ikke sige at PGP er i stykker, når der er mailklienter som håndterer MDC korrekt.

Det er efter min mening korrekt at sige at GnuPG ikke er i stykker, men det ville have pyntet noget på historien hvis udviklerne bag GnuPG havde skrevet noget ala "Ja, vi burde nok have gjort det til en fatal fejl nogle år efter vi introducerede fejlmeddelsen (det vil sige at fejlen skulle have været fatal i mindst 10 år nu)".

Så igen ige. Historien er dårligt spin fra EFF's side, hvilket har provokeret GnuPG projektet i en grad så de er gået i forsvarsmode.

16. maj 2018 kl. 10:05
Forskere afslører krypto-svagheder i mail: Både implementering og standarder får skylden

Jo, og man kan sige særligt ifb mailreadere der tillader HTML/script at hente/tilgå eksterne ressourcer

En af de interessante ting ved forskernes artikel er at de identificerer 40 kanaler der tillader at lække information selvom adgang til eksterne resurser er slået fra i mailreaderen.

De samme metoder kan også bruges til at implementere trackers i spam mails, og spændende nok har de faktisk undersøgt et stort korpus af spam for at se om nogle af disse metoder er udbredt ude i virkeligheden.

Men sikkerhedsbristen er som jeg forstår det primært et Man-in-the-middle angreb. Det kræver at der sidder een der opsnapper din krypterede klartekst mail

Begrebet "krypterede klartekst mail" virker underligt på mig. Men jo, angrebet kræver at der er en der opsnapper den krypterede mail. Men det kan eventuelt være fra en 2 år gammel backup hvis du har mails der er så gamle som du stadigvæk vil passe på.

15. maj 2018 kl. 16:13
Forskere afslører krypto-svagheder i mail: Både implementering og standarder får skylden

Hvilken embargo ? I nævner en embargo, som der ikke følges op på !

Når man opdager sikkerhedshuller af denne kaliber er det normalt anset som god skik at man går til producenterne og præsentere dem for sikkerhedshullet og samtidigt sætter en deadline for hvornår man offentligt fortæller om problemet.

Forskerne havde meldt ud at de ville fortælle offentligt om problemet i dag klokken 9 dansk tid.

I går eftermiddags var der dog en producent der – provokeret at EFF's spin – valgte at offentliggøre hvad problemt bestod i. Det fik forskerne til at lægge deres version frem tidligere end først annonceret.

15. maj 2018 kl. 16:01
Nyt værktøj lader dig køre din specialdesignede Linux på Windows

Vil M$ gerne ind og være en slags Docker?

Jeg er ikke helt sikker på hvad du forstår ved "en slags Docker".

Mit bud er at jeg er midt i målgruppen for WSL: Jeg er udvikler med hang til Unix-ligende systemer.

På arbejde bruger jeg Linux (og tidligere OSX) og ser med stor skepsis på de Microsoft-systemer som min arbejdsgiver forsøger at få mig til at bruge. Hvis det står til mig, så fravælger vi C#, Edge og SharePoint fordi det ikke passer ind i mit workflow.

Derhjemme bruger jeg OSX og er helt Microsoft-fri. Sidder jeg med et hobby-projekt er Windows-understøttelse det sidste jeg tænker på. Hvis jeg havde den vildfarelse at jeg kunne tjene lidt håndøre på mine projekter ville jeg udvikle til Apples App Store og ikke Windows Store.

Grundlæggende set: Jeg er beslutningespåvirker og indholdsleverandør som Microsoft hidtil ikke har kunne få i tale — og muligvis lige netop den type som forhindrede Windows Phone i at blive en success.

28. marts 2018 kl. 15:10
Nyttig viden - overflødig implementering

Det er sikkert alt for progressivt af et offentligt system, men en egenskab ved at have et særligt løbenummer til urnen er at man senere ville kunne anonymiserer urnen uden at skulle grave den op.

8. marts 2018 kl. 11:03
300.000 navne og mailadresser lå sammen med gaveønsker i åben PostNord-database

Burde det ikke være common sense i 2017 at beskytte brugeres oplysninger?

Jo, målet om at beskytte brugernes oplysninger er almindelig fornuft. Men forudsætningen for at opnå dette mål er at den rette faglighed er til stede og her kræves både udviklerens og operations faglighed.

I et miljø hvor man har sparet operations væk (fordi cloud og serverless) mangler man som udgangpunkt den faglighed der skal sikre operationel sikkerhed.

26. oktober 2017 kl. 09:23
300.000 navne og mailadresser lå sammen med gaveønsker i åben PostNord-database

Det er jo pænt træls at blive politianmeldt for hacking når man i bedste tro afslører sårbarheder.

Det ser ud til at personen har været i dialog med PostNord og det må derfor antages at de kender til personens identitet eller på anden måde have nok oplysninger til at politianmelde hændelsen.

Derfor læser jeg det mest som et ønske om at holde sig uden for offentlighedens søgelys ̣̣̣– det er altså os læsere der frygtes. Det kan jeg iøvrigt ikke fortænke personen i.

25. oktober 2017 kl. 16:40
300.000 navne og mailadresser lå sammen med gaveønsker i åben PostNord-database

Det er vel efterhånden en klassiker: En MongoDB uden nogen form for beskyttelse.

Som udvikler kender jeg det godt. Jeg skal bruge den og den funktionalitet, men jeg bekymrer mig ikke om det operationelle i at skulle drive en MongoDB-server. Devops var tænks som en mulighed for at udviklere og driften skulel tage fælles ansvar, men med cloud og serverless er drift blivet kørt ud på et sidespor og resultatet blevet "Devops, bare uden ops".

25. oktober 2017 kl. 09:35
Køwenhavnerier

…og ja, konkrete målsætninger vil være kontroversielle. De skal være kontroversielle, for det skaber debat og løbende reflektion. Er vi ambitiøse nok? Forstår vi det rigtige ved "progress"? Hvad er vores og samfundes behov? …

Som det står nu, spår jeg at "The Copenhagen Letter" er glemt om tre måneder og bare er atter en af disse glemte "building a better world" erklæringer.

12. oktober 2017 kl. 15:38
Køwenhavnerier

Af et debatindlæg der indledes med »Time to replace the empty rhetoric of “building a better world” with a commitment to real action.« sidder jeg noget skuffet tilbage.

Er jeg uenig med indholdet? – Nej, egentlig ikke.

Kan jeg bruge indholdet til noget? – Nej, egentligt ikke.

For hver enkelt overskrift savner jeg tre til fem helt konrekte aktiviteter: Hvad skal vi opnå i løbet af de næste 5 år for at komme videre?

Istedet for bare en tom floskel som »We need digital citizens, not mere consumers« skal det hedder »A digital citizen understands software development, therefore within 5 years programming should be part of a regular school curriculum« eller hvad man nu mener der skal til for at opdrage "digital citizens".

12. oktober 2017 kl. 15:26
Dansk maskinlæring kan eftersøge mennesker, skibe og ting på havet med droner

Problemet er, at AIS-systemet er fuldstændigt "åbent", og at alle de nævnte informationer, herunder ISÆR skibets identitet, leveres på usikker måde til AIS-systemet, hvorefter det udsendes. Identiteten indtastes manuelt.

Dette er vel sagtens netop baggrunden for udtalelsen der citeres i artiklen:

»Man ser jævnligt, at et skib har fejl i de udsendte informationer, for eksempel ved at udgive sig for at være et andet skib. Eller helt slukker for transponderen for at skjule forurening eller ulovlig last,« fortæller Christian Tveen.

31. august 2017 kl. 13:51