Tobias Tobiasen

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Hold nu op med at bruge langtids levende passwords...

Jeg har været med til at lave miljøer hvor alle passwords og hemmeligheder er midlertidige med en levetid under en time. Det har den fordel at hvis nogen leaker et password det så virker det ikke efter kort tid. Man slipper også for at bruge 5 dage på en password skift marathon. Eller når ex-meda...
Kommentar til For mange agile projekter ender i ren ragnarok

Iterationer?

Det står ikke klart hvor tit du anbefaler man udfører "Planlægning", "Produktionsfasen" og "Leverance"? Er det en iterativ process hvor man kører "Planlægning", "Produktionsfasen" og "Leverance" hver uge eller hvordan?
Kommentar til For mange agile projekter ender i ren ragnarok

Max 8 timer?

"Sæt en grænse på max. 8 timer til hver del-opgaveløsning. Det kan sagtens lade sig gøre!" Det er et meget brugt mantra og lyder rart på overfladen. Men ofte oplever jeg det kræver urimeligt meget arbejde at bryde ting ned i max 8 timer. Og hvis man gør så bliver opdelingen kunstig. Lad...

Re: Hvem efterlader sin computer ulåst?

Nej, men du kan logge ind som guest, bruge denne fejl til at "unlocke" admin-tingene, og enable "other" logins - og så logge ind som root uden password fra login-skærmen. Ja. Så er det næste spørgsmål om guest er enabled pr. default. Jeg har to Macs og ingen af dem har guest...

Re: Hvem efterlader sin computer ulåst?

Det kan også udnyttes fra login skærmen. Kan man på en standard opsat Mac logge ind fra login skærmen som root uden password? Alle de eksempler jeg har set har været vage omkring lige netop dette. Nogle antyder at man skal enable et eller andet først.

Hvem efterlader sin computer ulåst?

Så vidt jeg kan gennemskue er dette kun et problem hvis man er logget ind som en almindelig bruger og har forladt sin computer ulåst. Er det virkeligt et kæmpe problem? Bevarares det er ikke smart, men er local privilege escalation er set før. På min computer er den skade man kan lave væsentlig ...

Brug roller i stedet

"Hvis du går og er i tvivl om, hvorvidt du kom til at efterlade den hemmelige nøgle til Amazons AWS-skytjeneste eller lignende til offentligt skue i dit GitHub-projekt, så kan Truffle Hog (da. trøffelsvin) måske hjælpe." I AWS burde du ikke bruge hemmelige nøgler. Så hvis du overhovedet...
Kommentar til Store flyttedag med to petabyte data og nye mainframes hos KMD

Nedetid?

Hvorfor skiftede de ikke bare til deres backup mainframe for at undgå nedetid? For det lyder som en meget vigtig maskine så de har vel en backup server stående klar i tilfælde af den primære mistes.

bulldozeren?

Er det en bulldozer? Det ligner mere en rendegraver. Måske journalisten har brugt Google Translate til at oversætte artiklen....

Re: Uprofessionelt

Jeg ville ikke have det særlig godt med at starte den klient på min egen pc. Det er fint nok de skriver at den "kun" tager screenshots, men du ved jo reelt ikke hvor meget den overvåger på din pc. Hvis du bekymrer dig om hvad klienten gør på din egen PC kan du jo bare geninstallere...

Re: Uprofessionelt

Java er frygteligt, don't get me started. Hvorfor er Java frygteligt?
Kommentar til Ekspert om WPA2-sårbarhed: »Himlen er ikke ved at falde ned, men...«

Genovervejer datatilsynet mon "http login side" sagen

Hvis mitm virkelig er så let som videoen viser mon det så får Datatilsynet til at genoverveje deres holdning til form sider uden https? Det er denne historie jeg tænker på https://www.version2.dk/artikel/datatilsynet-afviser-anmeldelse-manglend... Det kunne være spændende hvis version2 ville gr...
Kommentar til Ekspert om WPA2-sårbarhed: »Himlen er ikke ved at falde ned, men...«

Re: Hvem er truet?

Netop. Der er faktisk en video på krackattacks.com som viser netop hvordan sårbarheden udnyttes til at lave et man-in-the-middle angreb så brugeren ender med at tilgå et site med http i stedet for https. Skræmmende video. For mig ligner det en bug i browseren. Er der nogen der kan forklare hv...
Kommentar til Ekspert om WPA2-sårbarhed: »Himlen er ikke ved at falde ned, men...«

Re: Hvem er truet?

HTTPS hjælper ikke ret meget for de fleste brugere. Du kan tvinge dem over på et fake accesspoint/evil twin og vise dem en kopi af det site de vil tilgå automatisk, i http format, og indsamle logins Det lyder meget mærkeligt. Hvis jeg f.eks. går ind på https://danskebank.dk i min browser kan ...
Kommentar til Equifax havde åbenbart ikke: Har du styr på din patch-management?

Man kommer langt med OWASP dependency check

Er du på en Java platform så kommer man meget langt med OWASO dependency check. https://www.owasp.org/index.php/OWASP_Dependency_Check Den kan fortælle dig om usikre dependencies i dit projekt. Det skal selvfølgelig køre med jævne mellemrum og man skal tage outputtet seriøst. Hvis det er et leve...
Kommentar til Skat til borgere: Bare ignorer certifikat-advarsel

Re: billede af certifikatfejl!!

Jeg har selv været inde i skat og der er det hele i orden. Pointen i historien er jo ikke om certifikaterne på skat er i orden. Pointen er at hvis en borger henvender sig med en certifikat fejlbesked så må Skat ikke sige at fejlbeskeden skal ignoreres.
Kommentar til Skat til borgere: Bare ignorer certifikat-advarsel

Re: Lidt analyse..

Ssllabs analyse giver skat.dk et A- som må siges at være i den gode ende https://www.ssllabs.com/ssltest/analyze.html?d=www.skat.dk Nu er det publish.skat.dk der blev linked til fra Facebook. Den får F i den test.
Kommentar til Skat til borgere: Bare ignorer certifikat-advarsel

Trusted site

"Den konkrete rådgivning om at lægge skat.dk ind som et trusted site i sin browser er efter vores vurdering helt korrekt" Hvorfor er det nødvendigt at tilføje skat.dk som trusted for nogle brugere? Burde Skat ikke lave deres side så den virker uden sådanne tweaks?
Kommentar til Skat til borgere: Bare ignorer certifikat-advarsel

Ingen henvisning til kilden?

Det er mine screenshots Version2 bruger i historien. Det er fair nok for jeg har jo sendt de screenshots til Version2. Men jeg undrer mig over at Version2 ikke laver en kildehenvisning. Det plejer man jo at gøre med billeder. Men der gælder måske andre regler for screenshots?

Er det ikke det samme arbejde?

»Hvis vi skulle løse det her uden blockchain, skulle vi lave 4.000 systemmæssige relationer – et for hver af vores partnere. Når du går på blockchain, har du kun én forbindelse – nemlig den til blockchainen.« Skal der ikke laves 4.000 systemmæssige relationer alligevel? Alle partnere skal jo cod...