Lars Skovlund

Kommentarer

Re: Suspekte filnavne i kildekode

Man kan ikke konkludere ud fra en enkelt linje kode, at der er tale om test eller at højresiden ikke kan nås. Man er nødt til at kigge på kontekst for at se om koden kan nås i et produktionsmiljø. Altså en rigtig auditering.

Suspekte filnavne i kildekode

Jeg blev for nogle dage siden gjort opmærksom på nogle suspekte filnavne i den nu lækkede HT-kode. Filen ligger på github her: https://github.com/hackedteam/rcs-common/blob/master/lib/rcs-common/evid... og indeholder kode som: path = hash[:path] || ["C:\Utenti\pippo\pedoporno.mpg",...

Re: Ikke helt normal efterforskning

Ja de har skrevet det på en måde så det er helt sort, men det er altså et forbud imod reverse engineering, undtagen når det er nødvendigt for interoperabilitet. Hvis det skal tages helt bogstaveligt, må man slet ikke foretage reverse-engineering på andre klasser af ophavsretsbeskyttede vær...
Kommentar til OpenSSL lukker i dag alvorligt sikkerhedshul med ny patch

Re: Konkret beskrivelse af problemet

. Heldigvis er der dog vist ikke nogle af de store browsere der bruger OpenSSL client-side, så den brede masse går nok også fri i denne gang? Der findes kommercielle, missionskritiske systemer der benytter OpenSSL. Nogle af dem kan af div. grunde ikke opdateres med en ny OpenSSL straks.

Re: Ikke helt normal efterforskning

eller for den sags skyld ligge inden med viden om zero-day sårbarheder uden at informere producenten af den sårbare software. Careful what you wish for. Det er ikke sikkert at en indførsel af denne regel vil give it-sikkerhedsfolk den retssikkerhed vi har brug for (det /er/ jo lægfolk).
Kommentar til Politiets cybercenter-chef: Vi må lære at leve med kryptering

Enig i at de interviewede

Enig i at de interviewede virker sympatiske, men som officiel holdning manglede det da bare. Tænk på NemID. Meget har været sagt og skrevet her på Version2 om det, men selv det der er er jo intet værd, hvis den efterfølgende kommunikation ikke er krypteret. Givet den officielle holdning til digit...
Kommentar til Gratis rejsekort i yderligere to dage

Re: Typisk

Man kan vist få overskydende klip refunderet. Iøvrigt er det jo noget pjat at man sparer på vedligehold af automater; jeg sidder fx her med et langtursklippekort til Vestsjælland, og de bliver mig bekendt ikke afskaffet. Selv i busserne kan man jo klippe dem hvis man har lyst. Så automaterne bliv...
Kommentar til Nets skal redegøre for otte timer langt NemID-nedbrud

Re: Open Source alternativ

Der er masser af mennesker her i landet med indsigt og viden, det er slet ikke det der er problemet, men at hele fedtlaget af djØFFERe på ingen måde vil involvere dem Tja, mit håb for nu er, at det forestående EU-projekt om brug af andre landes login-tjenester (kan ikke huske hvad det hedd...
Kommentar til Farvel til klippekortet

Re: Rejsekort Anonymt

Man kan jo i hvert fald sige, at de er startet med at nedlægge abonnementsordningen - og så har de også hævet prisen (både up front og via den opsparing, der fandt sted i den nu bortfaldne ordning). Måske en forsmag på hvad der kommer.
Kommentar til Mainframes: Back to the future

Re: RACF som skurken ?

Gunner - straight from the horse's mouth: http://www-03.ibm.com/systems/z/os/zos/features/racf/?ca=zserieszracf/se... In 1976, IBM® set the standard for security products when RACF® was introduced! Så RACF er altså 48 år gammelt. De halvtreds er ikke helt ved siden af.
Kommentar til Alvorlig Linux-bug fundet

@Lars Lundin

Vi der kører bleeding-edge har haft dette fix i lang tid, jævnfør advisory'et. Jeg har kørt exploit-koden her (har ikke opdateret glibc i nogen tid: lars@starfish:~$ gcc -o exploit exploit.c lars@starfish:~$ ./exploit not vulnerable lars@starfish:~$
Kommentar til Dansk E-boks forsinket i Norge: Ikke god nok til nordmændene

Re: Har brugervenlighed nogensinde været et krav til e-boks

Derudover virker det som om de har lavet en web frontend til deres system. Noget der altid ender dårligt. Hvad mener du med det? At adskillelsen mellem frontend og backend er skidt? Eller at man skulle have skrevet en native app i stedet? Jeg må sige, jeg ikke er enig i nogen af delene... ...
Kommentar til Danskudviklet kryptering skal sikre telefonsamtaler mod aflytning

Re: Modtager kender algoritmen?

Hvis du har mod på patentjura, så er teksten her: http://patentscope.wipo.int/search/docservicepdf_pct/id00000020904434.pd...

...og en til bankerne og resten af det private erhvervsliv.

Det vil vel sige at en sådan løsning stadig ikke løser det fundamentale problem, at NemID lukker op for et utal af services med forskellige sikkerhedskrav, hæftelsesregler og juridiske forskelle i øvrigt. Bankerne vil så skulle dele NemID med diverse lånehajer og andre mere eller mindre lyssky fi...
Kommentar til Google bruger maskinlæring til at udfylde datahuller i regneark

Hvad med skolerne

Vil de elever, som bruger Google Sheets i skolen, nu begynde i stort antal at bruge denne feature? Det kunne godt gå hen og blive et problem, med mindre man bruger tid på at undervise i de potentielle konsekvenser/faldgruber?
Kommentar til Hackersagen dag 12 – Anklager: »Tiltalte har løjet i retten«

Re: Ehhhh

Det er den her passage der er tale om: De øvrige oplysninger fra chatten var dog ikke offentligt tilgængelige, mente Gohs. Det drejede sig blandt andet om en passage, der ligner en FTP-serverlog, som rummer et brugernavn og et kodeord. Internetarkiv afslører sikkerhedssjusk Lidt internetsnild...
Kommentar til NEMID hvordan 4/mange

Net-bank-fusk er f.eks

Net-bank-fusk er f.eks reduceret til næsten udelukkende at være et spørgsmål om efterkommere der "tager forskud på arven" og startskudet til skilsmissesager. Ja, man har jo begået den genistreg at inddele fusk med NemID i to: fusk med og uden økonomisk tab. Hvor førstnævnte er den...
Kommentar til Bjarne Stroustrup: Der er stadig ikke noget hurtigere end C++

Assembler

Der er specielle situationer hvor man kan have gavn af assembler (fx udnyttelse af specielle features i processorens instruktionssæt). Men hvis formålet er hastighed, må man efterprøve empirisk, at det man har knaldet sammen kører hurtigere. Ellers er det spildt arbejde, både nu og fremadrettet.
Kommentar til Lyt til Dan Geer

Re: punkt 9

Godt, ja... men jeg kan også se hvordan det bliver svært: Ofte vil næste version af et stykke software kodemæssigt have store dele til fælles med den tidligere. Så en sådan release skulle følges af nogle ret strikse licensbetingelser (á la MS WinWord 1.1 sourcen).
Kommentar til ICANN: Danmark ejer ikke topdomænet .dk

Re: Er de nuværende regler ikke

Jo men hvordan kan man påberåbe sig ejerskab af subdomæner hvis man ikke ejer topdomænet til at begynde med?