Jesper Kristensen

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Undersøgelse: Hver femte hjemmeside bruger usikkert SHA-1 certifikat

SHA-1

Jeg giver ikke meget for den undersøgelse. Ved at scanne hele IPv4 får de en masse selvsignerede certifikater, som er sat op per default på services som aldrig har været tiltænkt at skulle tilgås over https/tls. De er ret ligegyldige. Browserproducenterne har længe forbudt certifikatautoriteterne...
Kommentar til Webhosting-firma i teknisk brøler: Udstedte 8.850 falske certifikater

Fejlen

Ifølge den refererede mail validerer GoDaddy ejerskab af et domænenavn fx "example.com" ved at udstede en kode fx "12345678", og bede brugeren oprette en side på adressen "http://example.com/12345678.html" som indeholder koden "12345678". Problemet er så...
Kommentar til Webhosting-firma i teknisk brøler: Udstedte 8.850 falske certifikater

Læs lige igen

"Udstedte 8.850 falske certifikater" -> nej, ud af alle de certifikater de har udstedt, var der 8850, som GoDaddy ikke kunne re-verificere om var falske eller ej, fordi disse kunder havde fjernet verifikationskoden fra deres domæner efterfølgende. "I praksis betød det, at...
Kommentar til Juleopgave del 3: Hvem er du?

CPR adressematch

CPR tilbyder at man kan abonnere på adressematch, så man kan få oplysninger om adresseændringer og dødsfald, uden at man behøver kende kundens CPR-nummer. Man skal blot kende kundens navn og adresse. Man kan få et mere præcist match, hvis man også kender fødselsdatoen. Det er ikke så nemt som DAW...
Kommentar til GlobalSign: Sådan fixer du problemer efter certifikatbommert

Stapling

Ifølge GlobalSigns incident report var problemet at deres OCSP software havde en bug, så da de tilbagekaldte et certifikat, genererede softwaren tilbagekaldelser for alle certifikater der havde en række attributter til fælles med det tilbagekaldte certifikat. Ville man som GlogalSign-kunde ikke ...

Klassisk bagudkompatibelt

HTML blev lavet en gang man ikke kendte til alle disse sikkerheds-issues, og da det skal være bagudkompatibelt, har man lukket de fleste af sikkerhedshullerne med opt-ins. Husker du at sætte rel="noopener" på alle dine eksterne links, at sætte Content-Security-Policy, X-Content-Type-...
Kommentar til Google klar til at skubbe Flash helt ud i kulden

Flash detektion

Dejlig nyhed, men jeg synes artiklen misser den mest interessante pointe, som man kan læse, hvis man klikker sig videre til kilden. Mange sites virker med og uden Flash, hvor man får Flash-versionen, hvis sitet detekterer at man har Flash. Det betyder at hvis man har Flash click to play eller en ...
Kommentar til Ondsindede Firefox-udvidelser kan snylte på NoScript og Greasemonkey

Sludder

Hvis man downloader og kører noget kode med fuld brugeradgang, så er det alment kendt at denne kode kan gøre noget du ikke vil have og samtidigt obfuskeres så dit antivirusprogram ikke kan genkende det. At påstå at Noscript, Greasemonkey og Firebug er "sårbare" fordi andet kode kan...
Kommentar til Har du talt dine rod-certifikater i dag?

Re: Alternativ til CA?

Ja, CA-systemet er sygt, men vi har stadig ikke et bedre alternativ. TOFU (Trust On First Use) som artiklen foreslår dur ikke i praksis. Det hører til Blame The Victim-kategorien. Langt de fleste ville ikke ane hvad de skulle svare på spørgsmål om certifikater, og dem som gør vil ikke have tid t...
Kommentar til Ny sårbarhed i databasen over Firefox-bugs

Den sidste sætning er forkert

Den sidste sætning er forkert. PerimeterX var ifølge deres egen beskrivelse i stand til at få udvidede privilegier, men ikke administratorprivilegier. De var heller ikke i stand til at se listen over alvorlige sikkerhedssårbarheder, men påpeger, at det ville have været muligt, hvis den pågældende...
Kommentar til Google trækker stikket på NemID-platform i Chrome til Linux

Re: Hvad gør ORACLE?

Jeg har meget svært ved at forestille mig at Java (eller ethvert andet traditionelt plugin) kan implementeres på PPAPI. PPAPI var oprindeligt tænkt som en erstatning til NPAPI, men endte med at blive noget helt andet (en del af NaCl). Det bidrager til forvirringen at Chrome implementerer Flash i ...
Kommentar til USA’s regering vil opgive opsyn med internettet

Oversættelse?

"Derfor har den amerikanske regering bedt Icann om at udarbejde en plan for, hvordan kontrollen skal overgå til et udvalg af private virksomheder samt repræsentanter fra forskellige regeringer." Er det ikke en fejloversættelse? Som jeg læser det vil de have kontrollen over DNS til at...
Kommentar til Flash på Linux er døende - kan jeg være ligeglad?

Re: vist mest mozilla's egen skyld

Svjv er det pepperAPI der bruges under chrome åbent dokumenteret ie det er mest fordi firefox kun implementere, chromium er rapportertet til at virke med pepper-flash, så der er opensource kode at læne sig op ad. ved ikke hvordan firefox windows snakker til flash. Mozilla's attitude har...
Kommentar til JavaScript: Det mest mærkværdige

Re: Andre mærkværdigheder

Ok, jeg kan godt se det var upræcist hvad jeg skrev. Browseren kan stadig foretage mange optimeringer, men der er nogen den ikke kan bruge, når man bruger direct eval eller with. Her er en simpel kode med en memory leak. Men den er noget større med direct eval i forhold til indirect eval (testet ...
Kommentar til JavaScript: Det mest mærkværdige

Andre mærkværdigheder

Jeg synes faktisk ikke dit eksempel er så interessant. Eval er noget skidt (både funktionen og operatoren) og det eneste man skal vide om den er at man aldrig skal bruge den, og hvis man ser noget kode der bruger den skal man skrive den om. Hvis man skal eksekvere en tekststreng som JavaScript, k...
Kommentar til Her de mest sårbare programmer på danskernes pc'er

Re: Hele sandheden

@Karsten Hansen: Hvis du læser nærmere på den kilde du nævner, vil du se at din liste er opgjort efter antallet af offentliggjorte sårbarheder, hvilket er et rimeligt ubrugeligt tal. Tallene i artiklen omhandler andelen af brugere, der har en gammel version installeret med en af disse sårbarhed...
Kommentar til Trods opdatering: Sikkerhedsfirma advarer stadig mod Java i browseren

Oracle erklærer Java i browseren forældet

Samtidig ændrer selskabet på Javas sikkerhedsindstillinger, så de nu sættes til 'High' i stedet for 'Medium' som standard. Det er endnu en hovedpine for de it-kriminelle, fordi brugeren dermed bliver tvunget til at godkende usignerede Java-appletter, der kører i...
Kommentar til Mozilla lancerer Marketplace: Konverterer wep-apps til desktoppen

Marketplace og mobil

Det er rigtigt at Mozilla har haft projekter før som Prism til at køre webapplikationer i deres eget vindue uden browser chrome og med genveje i operativsystemet. Men Mozilla har aldrig haft en tilhørende Marketplace, hvor man kan finde applikationerne, rate dem og betale for dem. Marketplace la...
Kommentar til Microsoft blokerer for Firefox på Windows 8 på ARM

Re: Firefox metro på vej?

Mozilla er ved at lave Firefox til Metro, men det er kun til x86 (+64) maskiner. Den kan ikke køre på en ARM Metro. Browseren får lov integrere med Metro, selvom det er en traditionel desktop-applikation. Men på ARM har man så vidt jeg har forstået slet ikke adgang til desktop-udgaven af Windows....
Kommentar til Danske 'Hitman'-folk flytter tunge 3D-spil ind i browseren

"i browseren"

Er det ikke lidt misvisende at kalde det spil "i browseren"? I mine ører dækker begrebet over noget der virker eller vil komme til at virke i flere forskellige browsere. Men der er tale om en Google-specifik teknologi (Native Client), der kun virker i Google Chrome, og ikke har nogen...