Søren Løvborg

IT-Havarikommission nu!

En IT-Havarikommission – det kommer ikke til at ske for der ingen politisk opbakning, som i slet ikke.</p>
<p>Det danske folketing har en sjælden grad af enighed blandt samtlige partier, om ikke at oprette noget der er IT-relateret. Om det er et IT-ministerium, et IT-udvalg, en IT-Havarikommission eller hvad det nu måtte være.

En imponerende tåbelig ting at sige, i og med at både Enhedslisten, Alternativet og Dansk Folkeparti har bakket op om at oprette både IT-havarikommision og et decideret IT-ministerium.

Måske problemet snarere er vælgerne, end politikerne?

24. marts 2021 kl. 23:04
Dansk It: For risikabelt med digitale valg - ingen har endnu hacket en blyant

Til FV2015 blev 11.153 stemmesedler kasseret som ugyldige (alle årsager, ikke blot fordi de ikke kunne aflæses). Det er 0.3 % af de afgivne stemmer, hvilket lige er nok til et halvt mandat. Ugyldige stemmer har ingen betydning for valgresultatet.

16. november 2017 kl. 16:39
Hul i Aarhus-stemmesystem lukket: Østerbroer kan stadig stemme - men det er ikke en fejl

Assembly Voting, i konsortium med Siemens, var en af de spillere der lobbyede aggressivt for elektroniske folketingsvalg tilbage i 2011 or so. Da det faldt på gulvet trak Siemens sig ud markedet, men Assembly Voting lever i bedste velgående som leverandør til mindre valghandlinger, hvor sikkerhedskravene er lavere (reelt: ikke-eksisterende). Både softwaren og den generelle holdning til sikkerhed er umiddelbart den samme som dengang.

20. september 2017 kl. 15:56
Microsoft vil oversætte C# til C++ for at få .Net-applikationer til at virke på Internet of Things

Spilenginet Unity benytter samme teknik (i en proprietær udgave kaldet IL2CPP) til at køre C#-kode på en lang række platforme, herunder iOS og Android.

Mest kringlet bliver det med HTML 5/WebGL, hvor C# kompileres til IL (via Mono), der kompileres til C++ (via IL2CPP), der så kompileres til JavaScript (via Emscripten), hvorefter koden køres i browseres JS-engine – i enkelte benchmarks endda med bedre performance end den oprindelige C#/IL-kode under Mono.

19. oktober 2016 kl. 02:30
Blackphone2 review (2)

One thing that is painfully obvious is that Android (that is, the thing people think of as Android) is not open source. It's at best "open core", with Google moving increasing amounts of functionality from the Android Open Source Project into closed source Google apps.

Since I have no Google account, and the phone is not registered with Google, I obviously cannot use Google Play store, though I can use various semi-shady sites to obtain free apps from the store, e.g. Rejseplanen. F-droid gives me basics like Firefox (for now, at least), VLC, Document Viewer and PocketMaps. But cutting the Google umbilical cord means that security updates are shaky, and so is the GPS. (Modern smartphones rely on augmented GPS a great deal for optimal GPS operation. There are alternatives to Google though, e.g. Mozilla.)

Apps like Swipp and MobilePay are unavailable: Both apps send your financial data via the Google mothership. At this rate, Jolla might soon have a larger app ecosystem than an "unsupervised" Android phone.

So, yeah... Android is out, from a privacy perspective. So is iOS (at least I can install an app without informing the manufacturer). FirefoxOS to the rescue? ;P

10. januar 2016 kl. 17:33
Blackphone2 review (2)

It sounds like Blackphone compromised its security gains for the benefit of usability by including Google apps. And honestly, you may get away with letting Google build your house, but you won't get any privacy if you let them stay in your home afterwards.

For comparison, I'm currently running CyanogenMod on a rooted Nexus 5 without Google apps. It's hardly secure (e.g. it has the same list of 150 more or less dubious CAs) but at least Google is nowhere to be seen, and I have basic protections like Privacy Guard and the AFWall+ firewall, which help to reenable the original Android "jail" mechanism of isolated apps. Still doesn't mean that a malicius app couldn't wreak havoc... Fortunately, the selection is limited. ;)

10. januar 2016 kl. 17:33
Kan du navnet på én global europæisk webtjeneste? Næppe!

Jeg kan nævne to globale webtjenester alene fra Danmark: Issuu og Momondo.

14. november 2015 kl. 00:21
4k er so last year: Her kommer 8k-kablet

4K og højere kan give mening når det gælder data; dvs. til computerskærme, hvor brugeren kun kigger på en del af skærmen ad gangen. Man kan måske argumentere for at denne brug også dækker visse sportsudsendelser på tv.

Men film og tv-serier, der i sagens natur er designet til at brugeren ser hele billedet på én gang? Nej.

Full HD / 1080p / 2K (kært barn, mange navne) er alt rigeligt til film. 4K og højere er meningsløst; 99% af film bliver slet ikke produceret i den opløsning, så med en 4K TV betaler du bare for en digital opskalering af en 2K original. Hvis filmens budget tillader det, er enkelte scener måske filmet i 4K eller 5K, af hensyn til digitale effekter. Men den endelige film er næsten altid klippet færdig i 2K... fordi det er rigeligt. Selv film med stor budgetter og med instruktører, der går op i den visuelle teknik, er produceret i 2K... fx Avatar og Peter Jacksons Hobbit-trilogi.

Der findes ganske rigtigt enkelte nyere produktioner, som er klippet færdig i 4K, og der vil nok komme flere i fremtiden, men p.t. finder Google under 250 4K film på IMDb: http://surl.dk/ee3

For ældre film, som er klippet færdigt analogt, vil nogen argumentere for at kun 4K kan fange alle detaljer fra den oprindelige 35mm film... men i betragtning af at de individuelle filmkorn typisk er ganske synlige allerede ved 2K, er det tvivlsomt hvor meget der er at vinde.

(Noget helt andet er komprimering og bitrate; og her kan "4K" give mening, alene fordi "4K" materiale typisk vil være komprimeret ved en højere bitrate end "2K". Det er fx tilfældet med Sonys "Mastered in 4K" 1080p udgivelser, og Netflix "4K".)

17. januar 2015 kl. 18:11
Facebook betaler rekordstor findeløn til hacker for fund af sikkerhedshul

[Der] er forskellige tekniske muligheder for at gemme eksterne DTD referencer lokalt så de ikke nødvendigvis skal hentes hver gang.

En DTD kan i praksis sjældent indkapsle al protokolsemantik, så man er tvunget til at lave i hvertfald noget af sin validering i applikationslaget. Men hvis man bruger DTD-validering, skal det selvfølgelig være mod en lokal cache. Hvad skulle pointen være i at automatisk hente en ekstern DTD? Din applikation får jo ikke på magisk vis support for fx MathML, bare fordi den automatisk kan hente DTD'en http://www.w3.org/Math/DTD/mathml3/mathml3.dtd og validere en XML-stump mod den.

Jeg vil derudover sige at en parser af et filformat aldrig skal lave eksterne HTTP requests uden eksplicit tilladelse. Jeg tager mig faktisk til hovedet over at have skrevet den sætning, så absurd er idéen.

Jeg forstår ikke din påstand om at XML input er "untrusted".

Jeg sagde "som hovedregel". Her mener jeg at XML, i højere grad end fx JSON og Protocol Buffers, ofte bruges til dataudveksling med tredjepart i form af standardiserede protokoller/formater. JSON derimod anvendes langt oftere som en intern ad-hoc kommunikationsprotokol (typisk fra server-side til client-side i webapps), og kunne derfor ofte parses med et kald til den ellers pivusikre "eval" funktion, da man kunne stole på indholdet (grundet fx same-origin policy).

27. januar 2014 kl. 01:31
Facebook betaler rekordstor findeløn til hacker for fund af sikkerhedshul

Artiklen ovenfor indeholder ingen detaljer om sårbarheden, og snakker om kommunikation "mellem Facebook og OpenID", hvilket må basere sig på en misforståelse, da OpenID er en protokol, og ikke en part, der kan kommunikere. Men i den linkede Zdnet-artikel finder man dog flg. bid, der forklarer problemet:

The mere act of parsing the XML response from a fake provider opens it up to attack due to a known XML external entity processing vulnerability. This vulnerability allows an attacker to specify a URI to be stored in a system identifier, and then call upon that identifier to retrieve data.

Vi er med andre ord endnu en gang vidne til resultatet af XML-parsere, der automatisk følger indlejrede URL'er i XML-dokumenter (såsom DTD-reference), en feature som er fuldstændig sindsyg taget i betragtning at XML-input som hovedregel er untrusted.

Det er ikke første gang at det fører til et DoS-angreb; i 2008 modtog W3C i perioder op til 350 Mb/s trafik fra XML-parsere, der insisterede på at loade DTD'en, hver gang de parsede et XHTML-dokument. Hvilket må siges at være selvforskyldt, siden det nu er W3C selv, der har standardiseret den tåbelige feature i XML...

På trods af at problemet således har været kendt i 6+ år, er det stadig normen at man eksplicit skal slå henting af eksterne resourcer fra. I .NET blev det først rettet med .NET 4.0 fra 2010. I libxml2 blev det først rettet i 2012. I Java er det implementationsspecifikt, både hvorvidt eksterne entitieter hentes som standard, og hvordan det i så fald slås fra. Det er derfor ikke overraskende at Facebook heller ikke har styr på denne "feature".

25. januar 2014 kl. 20:08
NSAs gennembrud -- eller noget

Det er en rigtig fin ACM-artikel. Kryptering er et besnærende løsningsforslag for it-folk, men det er (som altid) en sisyfosopgave at løse sociale problemer med tekniske løsninger.

"NSA kan faktorere store tal"

Så sandt. NSA kan givetvis brute-force 1024 bits RSA, som stadig nyder betydelig udbredelse på internettet.

If we are optimistic, it may be possible to factor a 1024-bit RSA modulus [before 2020] by means of an academic effort on [a] limited scale.

(Kleinjung et al., 2010, http://eprint.iacr.org/2010/006.)

Den samme artikel estimerer 2 millioner CPU-år for at faktorisere 1024 bit RSA. Det er omkring 500 mio. USD på Amazon EC2, men NSA har dedikerede datacentre, dedikerede ASICs, bedre algoritmer og for mange penge. Et realistisk bud er at NSA kan bryde en 1024-bit RSA-nøgle for så lidt som USD 50.000 per SSL certifikat. Men hvorfor skulle de gøre det, når det er så meget billigere at angribe selve kryptosoftwaren?

Debians RNG-fiasko er et spektakulært eksempel på hvor let det kan gøres, selv hvis det vitterligt var et uheld. Og vi skal nok heller ikke afskrive de gamle rygter om en bagdør i OpenBSD, eller den berygtede NSAKEY i Windows.

OpenSSL er jo notorisk for at være noget slamkode, men alternativernes kvalitet er også diskuterbar. Til dem der ikke har set den, kan Moxie Marlinspike's præsentation til DEFCON 17 anbefales. Han tager NSS (Network Security Services, som fx Firefox bruger) under kærlig behandling 30 minutter inde i videoen, men hele præsentationen er seværdig: http://www.youtube.com/watch?v=ibF36Yyeehw

I virkeligheden er løsningen nok både teknisk og social - vi skal have bedre krypto OG bedre lovgivning.

9. september 2013 kl. 00:40
Sådan er det bare...

Hvordan skulle ITHK blive en teknisk handelshindring? Det er køber der betaler de 10 %, og det gør de uanset hvem der vinder udbuddet. Man kunne jo evt. skrive ITHK-reglerne ind i udbuddet, omend det ville være lidt redundant; at overholde lokal lovgivning er vel givet.

Jeg kan heller ikke se det store overlap med Datatilsynet i sager om læk af private oplysninger.

Datatilsynet er en tilsynsmyndighed, der kontrollerer hvorvidt loven overholdes, og som har politianmeldelse som eneste sanktionsmulighed. ITHK's opgave ville være at undersøge hvorfor loven ikke blev overholdt, noget der helt uden for Datatilsynets virksomhed. ITHK har slet ingen sanktionsmuligheder, da det det udelukkende er dens opgave at udrede årsager til "havarierne".

1. september 2013 kl. 12:18
2. Blackmail Microsoft

Christian, det er dig der vrøvler.

Med hardware-acceleret videodekodning som standard i alle nyere ARM-baserede SoC er webbrowseren reelt et af de mest ressource-krævende programmer - hvis man ser bort fra computerspil.

En Raspberry Pi eller VIA's "Paper" bruges af gode grunde ikke til hverken "seriøs" gaming eller tung billed- og videobehandling... men de bruges til at køre en browser. Og jeg kan personligt bekræfte at en browser i hvert fald let tvinger en RPi i knæ. "Paper" er en nyere ARM-model end RPi, og har formodentligt bedre drivere, så det går nok bedre her, men jeg ville ikke satse på en gnidningsløs oplevelse.

Ja, simple sites med mest tekst, og begrænsede mængder billeder, scripts osv. er ikke et problem... men hvor mange af sådanne websites er det lige der er, nu om dage?

Der er da mange meget mindre maskiner

Er der det? Enhver nyere smartphone er bedre spec'et end "Paper". Den 2½ år gamle iPhone 4: 1 GHz. Den 1½ år gamle Galaxy Nexus: 1.2 GHz (dual core). Den 7 mdr. gamle Galaxy S III: 1.4 GHz (quad core!)

Og jeg hører jævnligt folk brokke sig over at deres smartphone er for langsom...

24. januar 2013 kl. 13:00
Amazon Kindle: Nej Tak

§ 75 c regulerer kun handlinger som er omfattet af ophavsretsloven. Modsat kopiering (eksemplarfremstilling) er tilegnelse af værket i privatsfæren (eller "afspilning i hjemmet", hvis du ikke vil lyde som en advokat..) ikke reguleret af ophavsretsloven. Derfor er det uden betydning af du bryder en effektiv teknisk foranstaltning sålænge du blot afspiller.

Ja og nej. Ophavsretloven skriver:

§ 12. Af et offentliggjort værk må enhver fremstille eller lade fremstille enkelte eksemplarer til sin private brug, såfremt det ikke sker i erhvervsøjemed.

MEN:

§ 75 c. Det er ikke tilladt uden samtykke fra rettighedshaveren at foretage omgåelse af effektive tekniske foranstaltninger.

Det fremgår ikke klart hvilken paragraf, der har præcedens, så vi må tage Kulturministeriets ord for hvordan situationen skal fortolkes. De har bl.a. gjort klart at man godt må omgå DRM, i det omfang det er nødvendigt for at benytte værket. Men det er en minimal tilladelse: Du må fx godt afspille en dvd i VLC - men kun hvis du ikke har mulighed for at afspille dvd'en i en licenseret afspiller (fx fordi du hverken kører Windows eller Mac OS X).

Jeg ville måske gerne bruge VLC på Windows, eller evt. rippe min dvd, så jeg kan lægge den på harddisken i mit mediecenter og se filmen uden at skulle grave skiven frem. Det er umiddelbart IKKE lovligt.

Det skal således understreges, at det fortsat er lovligt at tage kopier af bl.a. cd’er og dvd-film til personlig brug inden for en husstand. [...] Hvis der er en kopispærring, må man imidlertid ikke omgå denne for at fremstille kopien.

(Her undlader KUM fint at nævne det faktum at 99.999% af dvd'er er kopispærrede.)

Hvis du har købt ebøger til din Kindle, må du derfor IKKE fjerne kopibeskyttelsen for at læse dem på en anden ebogslæser, da du har en licenseret ebogslæser i form af din Kindle.

24. oktober 2012 kl. 21:27
Beskidte data

Nu er denne seks måneder gamle rapport ikke just første gang Greenpeace fokuserer på grøn it.

Deres Guide to Greener Electronics er udkommet med jævne mellemrum siden 2006, og benytter samme grundlæggende princip som deres rapport om cloud computing, nemlig at stille forskellige leverandører op over for hinanden, sammenligne deres miljøprofil, og ved at sætte fokus på dette (forhåbentligt) presse de dårlige leverandører til at forsøge at matche de bedste leverandører.

Det har virket ganske effektivt mht. grøn elektronik, hvor fx Apple er gået fra en af de mest forurenende elektronikproducenter til en af de reneste.

På samme måde forsøger Greenpeace tydeligvis her at presse cloud-virksomheder til at forsøge at matche energieffiktiviteten og andelen af vedvarende energi hos Yahoo og Google, der begge har målsætninger om CO2-neutrale datacentre.

Derudover demonstrerer Greenpeace (på s. 16) hvordan Power Usage Effectiveness (PUE) er en mangelfuld benchmark, og advokerer for mere retvisende benchmark-tal, fx CUE (Carbon Usage Effectiveness), og generelt større åbenhed om energiforbrug i datacentre.

Facebook har ellers fået en masse omtale i forbindelse med anlægget af et stort nyt datacenter i Luleå i Nordsverige, hvor der kan spares meget energi til køling af de varme computere.

Ja, fx er Facebooks initiativ nævnt på side 6 i den omtalte Greenpeace-rapport i listen af "Key findings". Facebook roses for sin energipolitik på s. 26.

Det tyder på at Greenpeace hellere skulle prøve at begrænse papirforbruget og til gengæld støtte brugen af IT.

Den implicitte påstand om at Greenpeace ikke har fokus på miljøskaderne ved papirproduktion er bizar.

18. oktober 2012 kl. 14:37
Flyvevåbnet lækker krigshemmeligheder til avis i PDF-brøler

@Henrik: Nej, det er ingen garanti for at det forsvinder. En PDF-printer rasteriserer ikke dokumentet, men tager blot vektordata ind og sender videre ud. I resultatet vil teksten med al sandsynlighed stadig kunne læses.

Hvis du printer og derefter scanner dokumentet, så er du... stadig ikke sikker. Se fx side 2 i:

Lopresti & Spitz (2005). "Information Leakage Through Document Redaction: Attacks and Countermeasures." http://surl.dk/bcf/

11. oktober 2012 kl. 16:41
Er den private sky lyserød?
10. oktober 2012 kl. 15:14
Danmark som SW-patent-helle

Hvornår er det sidst lykkedes at overtale enten Ø eller O til at stemme for at afgive suverænitet til EU?

Især Ø, der som bekendt både er imod suverænitetsafgivelse OG imod softwarepatenter.

Folkeafstemning får vi ikke de næste mange år, nu hvor finanskrisen har gjort EU upopulært igen i befolkningen.

En mere sandsynlig løsning bliver at gøre aftalen tilstrækkelig uklar til at man kan holde masken mens man siger at der ikke er tale om suverænitetsafgivelse, og der derfor hverken er behov for en folkeafstemning eller mere end almindeligt flertal. Det er trods alt en strategi der har været anvendt før med stor success.

19. september 2012 kl. 15:39
3F: Selvfølgelig sætter vi ikke 30.000 mennesker til manuelt at indberette dagpenge

Hvilken tvivl? Antyder I ligesom Anonymous-gruppen at 3F fakede et DDOS-angreb, og derefter lavede en falsk anmeldelse til politiet?

Selvfølgelig offentliggør de ikke uden videre logfilerne, da de indeholder fortrolige interne tekniske data samt persondata, inklusiv persondata på personer der ikke har noget med angrebet at gøre.

7. september 2012 kl. 13:59
3F's hjemmeside kæmper mod gentagne DDoS-angreb

Det vi taler om, er at hvis avisen ikke gjorde som der blev sagt, var hele avisen ikke udkommet. Vi har altså en situation hvor en privat organisation truer en udgiver. Det er helt uacceptabelt i et frit demokrati.

Nej, de ansatte på avisen truede deres arbejdsgiver, i overenstemmelse med almindelig praksis på det danske arbejdsmarked.

Siger du at hvis man er ansat i en medievirksomhed, så må man ikke strejke? Hvad så hvis man arbejder i et hosting-firma?

Hvis du er ansat af kommunen til at rydde sne, og du strejker, krænker du så andre folks ret til fri forsamling?

Kravet var "drop annoncen, ellers nedlægger vi arbejdet". Hvad skulle de have truet med? At undlade at trykke en enkelt af avissiderne, med den pågældende annonce?

20. juli 2012 kl. 15:20