Troels Arvin

Kommentarer

Re: Farlige links

Inspiration fra Amiga er nok svær at sælge. Jeg synes hellere, at man skal kigge på, hvor succesfuld smartphones har været: Du har milliarder af brugere, hvoraf mange er komplet ligeglade med sikkerhed. Og alligevel har der ikke været massive malware-bølger i stil med ILOVEYOU. Det viser, hvad d...

Sikkerhed bør ikke være løsrevet

Det er muligt, at der mangler it-sikkerhedsfolk, som kan revidere politikker, politik-efterfølgelse og opsætte/overvåge systemer til detektion af sikkerhedsproblemer. Men hvad værre er: Der mangler dygtige folk til at gøre kernesystemerne sikre, dvs. holde infrastuktur og applikationer tilpas op...

Re: Kunne man bruge borger.dk til kriseinformation?

Hennested: At have en kriseinfo-hjemmeside har været forsøgt, men man er gået bort fra det igen: https://brs.dk/omstyrelsen/presse/nyheder/pages/2012_01_01.aspx Mit gæt er, at relevante myndigheder kunne have svært ved at huske at bruge siden, når der var kriser. Og dermed vedblev den at være i...
Kommentar til CFCS i DMARC-smutter: »Det er selvfølgelig en ren tilståelsessag«

Re: Markering af non-mail domæner

God idé, Henrik: Alle nye domæner burde i DNS-mæssig sammenhæng blive født med en SPF-record, som lukker af for mail -- lige så naturligt som at de har en SOA record. Men hvad med subdomæner? Nogle steder synes folk at anbefale, at man formulerer SPF som wildcards for at hindre, at spammere send...
Kommentar til CFCS i DMARC-smutter: »Det er selvfølgelig en ren tilståelsessag«

Markering af non-mail domæner

Hvad er en nem måde for et domæne at markere, at det ikke forventes at blive anvendt ved mail-afsendelse? Måske har SPF en måde, hvorpå man eksplicit kan markere, at der ikke skal komme mail fra det givne domæne?
Kommentar til Flertal for stop af tredjepartscookies på offentlige sider

Referer-headers

Jeg synes, at det lyder fornuftigt som udgangspunkt at holde sig fra 3.-part cookies på offentlige sider. En ulempe, som det kan give, er at et hav af offentlige organisationer derefter hver især bruger en masse krudt på at opsætte egne systemer til trafik-analyse, fordi de ikke længere kan bruge...

Re: Sikkerhedsopdateringer

Mikkel, Jeg kender ikke detaljerne for alle distributioner, men jeg vil mene, at Red Hat bryder kontrakten, hvis de ikke sørger for at rette de sikkerhedsfejl, som bliver påvist i de PHP5-pakker, som er del af deres aktivt understøttede operativsystem-generationer (6 + 7). Det er jo bl.a. derfor...

Sikkerhedsopdateringer

I artiklen står bl.a.: "Dermed vil vil de omkring 62 procent af alle internetsider, der stadig kører på en PHP 5.x-version, ikke længere modtage sikkerhedsopdateringer" Det er noget vrøvl. Mange (de fleste?) PHP-installationer er del af grund-operativsystemet, dvs. følger med i fx Red...
Kommentar til Sådan fjerner du Oracles Java og installerer OpenJDK

Re: Er der nogen der har erfaring med Zulu?

Nej, ingen erfaringer med Zulu, men jeg har svært ved at forestille mig, at den ikke fungerer. Zulu planlægger at tilbyde supporteret JDK/JRE 8 helt frem til udgangen af 2024, hvilket må siges at være et stykke tid. Hvis man benytter RHEL/CentOS kan man man også vælge blot at benytte deres indby...
Kommentar til Sådan fjerner du Oracles Java og installerer OpenJDK

Re: JRE

Stig skrev: "synes bare det virker mærkeligt at installere et Development Kit på en produktionsserver" Det synes jeg nu ikke er så mærkeligt. Der er jo ikke tale om et stort IDE; det er blot en lille kommandolinje-compiler og lidt ekstra, der ikke fylder alverden. JDK indeholder ikke...
Kommentar til Sådan fjerner du Oracles Java og installerer OpenJDK

Re: JRE

Så vidt jeg kan se, er der ikke længere nogen sondring mellem JDK or JRE fra og med generation 11. Men erfaring er, at OpenJDK fungerer fint, så der er ikke noget teknisk problem. Problemet er, at mange softwareprodukter tradtionelt har krævet Oracle's Java og/eller kun har været testet...
Kommentar til Regeringen vil sammenlægge rejsekortet og Rejseplanen i én app

Re: Konkurrence

@Henrik Størner: Når jeg tager mine optimisme-briller på og læser https://www.altinget.dk/artikel/ole-birk-har-11-forslag-om-kollektiv-tra... så tænker jeg, at din idé om APIer allerede er i spil.
Kommentar til Ingeniørforeningen: Afskaf CPR-nummeret

Husk hvorfor vi har CPR

Husk nogle vigtige egenskaber ved CPR: 1. Det skal håndtere, at der er flere mennesker, der hedder det samme. På hospitalsafdelinger rundt omkring i landet spørges folk hundredevis af gange daglig om CPR-nummeret, som led i at forsøge at forebygge misforståelser. 2. Det skal være noget, der er ti...
Kommentar til Dansk professor i R’s Core Team: Vi har et foryngelsesproblem

Respekt

Stor respekt for den indsats, som Peter Dalgaard & co yder. Det er vigtigt, at folk med dyb faglighed bidrager til at sikre kvaliteten af vigtig software såsom R.
Kommentar til Intel sagsøges efter Meltdown-sårbarhed

Minder om VW-sagen

Jeg synes, at det minder lidt om VW's diesel-motor sag: En producent traf nogle valg, som simpelthen må have fået nogle af deres ingeniører til at rynke brynene -- af hensyn til performance. Det bliver spændende at se, hvordan sagen udvikler sig.
Kommentar til Meltdown og Spectre: Enorme sikkerhedshuller fundet i CPU'er

Re: test af spectre her

Jacob: Den er jeg med på. Men ikke desto mindre udsender operativsystem-leverandørerne patches (som så er workarounds). Mit spørgsmål gik derfor på, hvordan man validerer, at workaround'et har virket. (spectre-programmet, som du link'ede til, giver for mig samme output før og...
Kommentar til Meltdown og Spectre: Enorme sikkerhedshuller fundet i CPU'er

Re: test af spectre her

Mht. https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6: Hvordan tester man, at patches (dvs. workarounds) fungerer? Når jeg kører spectre-testeren efter patching af en RHEL 7 server, så bliver den ved med at se ud til at være ramt, men det er vel fordi, at nævnte detektionskode ...
Kommentar til Meltdown og Spectre: Enorme sikkerhedshuller fundet i CPU'er

POWER er angivelig også påvirket

I følge Red Hat er også POWER CPUer omfattet. Har ikke kunnet finde noget fra IBM om det. https://access.redhat.com/security/vulnerabilities/speculativeexecution
Kommentar til Medie: Bug i Intel-cpu bag omfattende opdateringer i Linux og Windows

Re: Pressemeddelelse fra Intel

OK, man behøvede ikke vente så længe. Gys: https://spectreattack.com/
Kommentar til Medie: Bug i Intel-cpu bag omfattende opdateringer i Linux og Windows

Pressemeddelelse fra Intel

Der kommer nyt i næste uge, siger Intel: https://lwn.net/Articles/742714/