Ole Laursen

Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

Det underliggende problem her er i mine øjne at Digitaliseringsstyrelsen er projektejere, og jeg tror simpelthen ikke de har kompetencerne. Mit indtryk er at det er en flok jurister.

NemID var i sin tid også en katastrofe - allerede før det blev rullet ud, byggede det på forældet teknologi i form af et Java-plugin. Nogle år senere da sikkerhedshullerne i Java for alvor blev kendt, betød det så at alle danskere med netbank let kunne hackes.

Når Digitaliseringsstyrelsen så ikke selv kan finde ud af det, så burde de måske overveje at operere med flere udbydere, og så lade markedet finde ud af det. Folk kan godt selv mærke hvor let forskellige identitetsudbydere er at bruge, og medierne kan godt finde ud af at viderebringe historier om usikkerheder til almindelige mennesker - skandalehistorier er en af de få ting de er gode til.

Men det ville så kræve et strategisk udsyn de heller ikke har kompetencer til at have. Det er det samme med det der latterlige e-boks/minpost/... Benchmarket er om det er billigere end at sende et brev!!!

30. september kl. 09:10
Uhyre simpelt hack kan gætte brugernavne og blokere adgangen til MitID

Vermund er en joke hvis hun ikke kan finde ud af det. Jeg gjorde det forleden og det tog få minutter alt i alt

Det er hvis du kan gå den snorlige vej. Hvis du er et af grænsetilfældene, så er det borgerservice. Og der er så tilstrækkeligt mange grænsetilfælde til at det fuldkommen har lagt borgerservice ned i mange kommuner.

30. september kl. 09:02
Ungdomsuddannelse betaler overpris til Statens IT: Må ikke vælge en billigere leverandør

Kunne I ikke bestille den minimale ydelse ved dem og så entrere med nogle andre? Så længe der ikke er pindet ud hvad præcis man skal bestille ved Statens IT. Jeg kunne ikke finde den bekendtgørelse artiklen omtaler.

26. august kl. 17:45
Eksperter med skarp kritik af 18 Chromebook-kommuner: »Vi har digitaliseret med hovedet under armen«

Det er et lidt spøjst spørgsmål.

Persondataforordningen handler jo ikke om at hver eneste systemindkøber skal sidde og forestille sig misbrugsscenarier, men om at sikre et grundniveau der formindsker mulighederne for misbrug, dels over for myndigheder hvor der skal en domstol ind over, dels over for kommercielle aktører hvor data ikke bare må flyde rundt i et stort datahav efter de kommercielle aktørers forgodtbefindende. Jo videre omkring og jo længere tid dataene opbevares, jo større er muligheden for misbrug.

Hvis du udelukkende er interesseret i misbrugsscenarier, så prøv dog at søg på dem. Stalking eller afpresning er vel typiske problemer. Måske skal du ind på de mere lyssky sider på nettet, for virkelig at se hvad det handler om.

I min optik er et problem som de her Chromebooks midlertidige. I den verden vi går ind i hvor så meget af det sociale liv flytter ind i det digitale, hvor alt kan registreres automatisk, er vi simpelthen nødt til at få hævet grundniveauet. I forhold til det er nogle kommuneskoler med dårlig planlægning peanuts - der skal nok komme en løsning.

22. august kl. 15:29
Millioner af danskere bruger stadig kun e-Boks trods udbuds-nederlag til Netcompany

Løsningen er i sin grundtanke forvirrende/meningsløs.

Den mest visionære løsning ville være at der er en tjeneste der tjekker om ens emailudbyder understøtter TLS, og i så fald bare sender direkte. Ellers kunne det for min skyld godt ryge til en eller flere statsbetalt emailudbydere, evt. med en taxameterordning.

Set fra helikopterperspektiv så mangler der TLS-tjek, register med CPR-nummer -> email og register med adresse/postnummer -> email, og så kunne det hele køre med åbne, veletablerede standarder. TLS-delen er måske et spørgsmål om tid før markedet selv har løst, men de to andre skal nok desværre beskyttes mod spammere, givet at vi ikke har et effektivt internetpoliti.

13. juni kl. 12:21
Tidligere chef for SKATs kæmpeprojekter: Sådan skal staten fastansætte dyre it-konsulenter

Hvis man læser i Henry Mintzbergs bog om organisationer, så er en grundlæggende konflikt her, som Andreas Berggreen også påpeger, at de statslige organisationer er organiseret som et bureaukrati. Det er ikke så mærkeligt, det er en effektiv måde at forvalte deres opgave på.

I et bureaukrati regner man tingene ud på forhånd, og så skal folk egentlig bare følge reglerne. Afvigelse fra reglerne er i udgangspunkt et problem.

Den arbejdsform er desværre ikke kompatibel med det som et udviklingsprojekt indebærer - behov for fleksibilitet, usikkerhed, eksperimenter, (midlertidigt) kaos. I et ikke-trivielt udviklingsprojekt ved vi ikke på forhånd præcis hvordan vi skal løse opgaven - vi ved ikke engang præcis hvad opgaven egentlig er. Det lærer vi, både udviklere og brugere, undervejs, og tilpasser projektet ud fra de muligheder vi kan se.

Det er ikke kun offentlige organisationer der har det her problem, der er jo også mange private virksomheder der fungerer som bureaukratier, og som i deres umodenhed som opgavestiller ender med at sabotere sig selv. Efter min opfattelse er hovedårsagen en grundlæggende nedvurdering af den nødvendige fleksibilitet i et sundt udviklingsprojekt.

Man kan i øvrigt genfunde problematikken på andre områder, f.eks. i undervisningspolitik. F.eks. er der lovkrav om at pædagoger i daginstitutionerne skal sidde og skrive læreplaner ned. Et naturligt valg for en cand.polit. som har brugt 10 år på KU på skriftlige arbejder og derefter 10 år i et ministerium med memoer der bliver sendt rundt. Knap så naturligt et valg for en børnehave.

20. april kl. 11:51
Nyt: ISO-9000 for FOSS projekter!

... og det er derfor jeg argumenterer for at man bør optimere processerne, med henblik på at reducere mængden af fejl. Det kræver selvfølgelig nogle resourcer til procesoptimeringsarbejdet, med det skal kun gøres én gang :-)

Hvis vi et øjeblik træder et skridt højere op end det du bevæger dig på her, så kan vi spørge os selv om det syn du lægger til grund her fører til effektive resultater. Jeg har personligt set eksempler på det modsatte, at "procesoptimering" førte til at folk spændte ben for sig selv. Omvendt optimerer jeg fra tid til anden med held på mine egne små processer, dog ikke ud fra det tankegods du giver udtryk fra.

Hvis jeg skulle sætte flere ord på, vil jeg sige at procesdesign er svært, og at mange mennesker efter min erfaring bedre kan arbejde med det intuitivt når de står i situationen, end formaliseret.

At det er svært skyldes bl.a. at der er modstridende hensyn, at kompleksiteten ofte er høj, og at feedback-løkken kan være støjfyldt og kræve langsigtede eksperimenter.

I øvrigt er det her du skrev tidligere en non-sequitur:

Man kan så vælge om de skal have lov til at sejle eller man vil have dem under kontrol. Hvis man ikke har beskrevet dem og har dem under kontrol er resultatet af dem umuligt at forudsige og i princippet også umuligt at vurdere.

Professionelle mennesker, dvs. ikke klamphuggere, har styr på deres processer, uden at de er beskrevet. Det kaldes selvorganisering. Medmindre kompleksitetsgraden at det udførte arbejde er lav så det kan udføres bureaukratisk med centralt udtænkte regler, er selvorganisering typisk det mest effektive.

3. juni 2021 kl. 17:24
Coronapasset er 80 procent færdigt: Sådan kommer det til at se ud

Hvis vi har klaret 80% og der stadig er 80% tilbage, så er vi faktisk allerede halvt færdig.

Nu glemmer du den sidste 1% som dog retfærdigvis ofte kan klares inden for 50% af tiden.

22. april 2021 kl. 09:08
Chrome OS overhaler MacOS blandt de mest populære styresystemer

Dvs. at der er et stort "mørketal" som godt kan se ret meget anderledes ud, f.eks. er jeg ret sikker på at hovedparten af de maskiner der kører Linux er født (og dermed figurerer i salgsstatistikken) som Windows maskiner, samt at hovedparten af Linux maskiner også er forrige generation

Ja, men det mørketal er bare (sandsynligvis) ikke særlig stort. Du kan se det i opgørelser over f.eks. browsere hvor man typisk også kan se styresystem.

The year of Linux on the desktop kommer når man kan købe det præinstalleret, og kender nogen der har prøvet det som det virker for - som ChromeOS er bevis på. De fleste mennesker gider ikke bruge tid på den slags, ligesom de fleste mennesker ikke gider købe smådelene og samle en maskine selv.

Hvis der tydeligt stod "Windows-licens: X kr." (tilsvarende for Apple), og man kunne fravælge den, så var der nok trods alt nogle flere der gad. Men når man ikke kan se prisen og det er præinstalleret...

19. februar 2021 kl. 16:43
Kæmpe GDPR-forskelle i EU: Bødestørrelser afgøres af kultur og ressourcer

Ja, det er sørme mærkeligt med de få bøder. Det er virkelig svært at gennemskue hvordan en politisk proces i et land hvor man har besluttet at give skatterabat til multinationale virksomheder i sådan en grad at man er blevet dømt af EU til at opkræve mere skat, at den politiske proces der på en eller anden måde kan resultere i et datatilsyn som ikke finder mange overtrædelser.

En ting kan man i hvert fald være sikker på - det har ikke noget med penge at gøre, for alle er jo lige for loven i de moderne retsstater.

Apropos var jeg ved at læse om Microsofts amerikanske antitrust-sag den anden dag:

https://en.wikipedia.org/wiki/United_States_v._Microsoft_Corp.

Det er bemærkelsesværdigt hvordan sagen går fra en dom som "skyldig som fanden, skal splittes op" til "skyldig, men lad da de gode folk selv løse problemet".

Hvis nogen skulle spekulere over hvem der egentlig bestemmer...

20. oktober 2020 kl. 11:45
PDF-koks hos Forsvaret: Sådan endte 45.952 danskeres sundhedsdata på usikker webserver

Jeg spurgte for et år eller to siden Forsvaret efter hvor længe de opbevarer data fra sessioner for det virker ærlig talt som temmeligt følsomme data på temmeligt mange mænd, og fik kontakt med en fjendtlig dame som i bedste kancellisprog gjorde alt for ikke at svare på spørgsmålet, men henviste til at de fulgte værnepligtsloven og at man ikke kunne få sine data slettet da de opbevarede data som de vurderede at de havde pligt til at opbevare for at kunne opfylde værnepligtsloven.

Jeg kunne så indsende mit personnummer og spørge efter mine egne data for det er de jo pisket til at skulle gøre - men så ville de jo netop blive databehandlet! Hun ville ikke svare på noget generelt.

Baseret på det skulle det ikke undre mig om mine egne data på et tidspunkt bliver hacket og lækket.

8. oktober 2020 kl. 08:50
Databeskyttelsesekspert om SSI's adgang til teledata: »Det giver super god mening«

Tilhænger af en myndighed kan gå ind i en akut situation og bruge teledata til at opspore potentielt smittede, f.eks. hjemvendte danskere fra Ischgl. Men det bør nok være politiet der varetager opgaven ud fra nogle på forhånd fastsatte retningslinjer, og ikke SSI.

Det andet her lyder som om de gerne vil have mere input til at fodre deres teoretiske modeller. Måske er det bare fordi jeg ikke er overbevist om værdien af deres teoretiske modeller i forhold til en praktisk model, men jeg synes ikke der er samme grad af indlysende værdi?

31. marts 2020 kl. 17:14
Ny undersøgelse: 44,5 procent af kvinder i it-faget er blevet krænket

Så samlet set er der 456 personer ud af 10.961, som fortæller, at de på et eller andet tidspunkt i deres arbejdsliv har oplevet en krænkende hændelse af udefineret grad, eller 4,16 %.

Populationen af kvinder er 1609 står der i undersøgelsen. Så det tal du skal regne på er 259 / 1609 = 16%. Og det er så under antagelse af at 0% af dem der ikke har deltaget, har oplevet et problem.

Men kig nu bare i rapporten, om ikke andet for de kvalitative indslag hvor der er eksempler på hvordan det går galt. Der er mange nuancer i det. Vi kunne godt være bedre til at passe på hinanden.

5. marts 2020 kl. 13:50
Ny undersøgelse: 44,5 procent af kvinder i it-faget er blevet krænket

Er der nogen der ved hvad basis er?

I rapporten på side 29

https://www.prosa.dk/fileadmin/user_upload/Politik/Chikane_i_it-faget/Kn%C3%A6k_tonen.pdf

er nævnt en undersøgelse af HK Privat. Den har jo så nok ikke spurgt om præcist det samme, men for kategorien af uønskede seksuelle tilnærmelser er tallene åbenbart nogenlunde på linje med HK Privats medlemmer (17% vs. 18-19%).

Den store gruppe krænkelser i rapporten ser ud til at være hvad man måske kunne kalde mands/kvinds-chauvinisme (34% kvinder, 3% mænd har oplevet det):

"Krænkende eller nedladende verbale kommentarer om dit køn? (fx vittigheder om dit køn, eller nogen udtaler at dit køn ikke er egnet til et bestemt arbejde/opgave)"

Jeg vil egentlig foreslå at man kigger i undersøgelsen, der er masser af eksempler.

4. marts 2020 kl. 23:50
Dansk mailtjeneste stod pivåben: Nu har 250 myndigheder og virksomheder anmeldt sikkerhedsbrud

Jeg er ikke helt sikker på, at jeg forstår, hvad du mener. Det har ikke være min hensigt at klandre kunderne her - bare at konstatere, at det er umuligt at gøre disse systemer sikre nok til, at det kan retfærdiggøre det digitale amokløb i det offentlige.

Du har nok ret i at hvis man indkøber usædvanligt tåbelige kompleksitetslag som her, så går det galt.

I virkeligheden burde det offentlige jo egentlig bare hjælpe borgere med at få sikret email. F.eks. med en tjeneste som her

https://www.paubox.com/secure-email-check

hvor man kan tjekke om modtagerens server understøtter TLS. Hvis ja, fint, send, hvis nej, så skriv til folk at de kan komme ned hos kommunen og se deres post, eller hvad man nu gør med folk som ikke har en emailadresse.

Så brokker folk sig til deres mailudbyder og i løbet af kort tid har alle adresser der kan nås med TLS.

Det ville også bevirke at de, måske langt mere personfølsomme, email folk sender til hinanden blev beskyttet. Men det kan kommunen måske være ligeglad med, for det handler slet ikke om at hjælpe borgerne. Eller hvad?

11. februar 2020 kl. 16:37
Tele-svigtet fortsætter: Efter tre uger kan du stadig få andres sim-kort på dit glatte ansigt

Sådan uforståeligt sløseri

Ikke at det er nogen undskyldning, men jeg synes ikke det er helt uforståeligt. Det sker tilsyneladende sjældent, det går ikke umiddelbart ud over teleselskabet når det sker, og den lette løsning giver dårligere kundeservice.

Problemet her er snarere at tjenester fra selv store internetgiganter har brugt telefonnummeret som om det var sikkert, og dermed bragt folk i farezonen. Det er jo ikke folk selv der har fundet på at de skulle indtaste deres telefonnummer som recovery, det er tjenesterne som ikke vil have supporten på recovery. Går den, så går den. Indtil direktøren for Twitter bliver hacket...

20. september 2019 kl. 10:15
Tele-svigtet fortsætter: Efter tre uger kan du stadig få andres sim-kort på dit glatte ansigt

Ja, det her kommer aldrig til at fungere. Jeg har fjernet telefonnummer fra de tjenester der har tigget om det, det her er alt for usikkert.

Ideen med at hardcode ind i systemet at man skal have et pas eller et kørekort - man kunne da umuligt forestille sig at det kunne give problemer...

20. september 2019 kl. 10:08
Richard Stallman træder tilbage fra FSF og MIT

Kristoffer, prøv at læs Michael Meeks analyse.

19. september 2019 kl. 00:03
Automatisering droppet: Rejsekort-passagerer må selv opdage overbetaling ved forsinkelser

Hvis det er for vanskeligt at beregne helt præcist, så er det måske noget med en approksimativ løsning hvor man kigger på benene i rejsen. Hvis et ben er forsinket, kunne man så give passageren ekstra tid, f.eks. to timer i stedet for kun én.

Kan godt se at der er en problematik med at registrere forsinkelser, men som andre i tråden er inde på, så må det da være noget der allerede arbejdes med?

Synes i øvrigt at det er et faresignal at leverandøren ikke er i stand til at udtænke en løsning til jer. Det er i mine øjne deres job at komme med forslag til det her for det er altså hardcore systemudvikling.

I øvrigt tak til Eskil Thuesen for at stille op til en omgang øretæver. :)

27. august 2019 kl. 19:04
Skal STARTTLS være et krav for følsomme email

Kræv STARTTLS, nedlæg e-boks/Digital post.

Evt. kan tjenesten få lov at køre videre som en almindelig emailservice til folk der ikke kan finde ud af at få sådan en et andet sted fra.

22. august 2019 kl. 12:51