Morten Grouleff

AU lukker akut ned for it-systemer og aflyser eksaminer: Frygter Log4shell-angreb

Problemet var jo kendt og udbredt allerede fredag morgen.

15. december 2021 kl. 11:00
Ekspert: SKAT må starte forfra med kriseramt Ejendomsvurderingssystem

Skatteminister Morten Bødskov (S) har ikke ønsket at kommentere artiklen, men ministeriet har leveret en skriftlig kommentar til Altinget, hvori ministeriet skriver, at det ikke kan »genkende det billede af projektet.«

Selvfølgelig kan man ikke det - hvis man kunne, var man jo nødt til at gøre noget, og det vil man for enhver pris ikke. Der er ikke stemmer i at erkende at pengene brugt på fatamoganaet er tabt, vel?

15. juni 2021 kl. 11:22
Organisationer efterspørger klar aftale om dataoverførsler efter Schrems II-dom

»Vi har ikke i dag reelt muligheden for at fravælge dataoverførsler til 3.-lande, og i særdeleshed ikke til USA.«

Jo vi har. Hvorfor skulle vi ikke have det? Er der en lov imod at bruge lokale datacentre?

Vi kan bruge datacentre i DK/EU uden ejere udenfor EU.

Men det er besværligt, for det indebærer at fravælge alle selskaber stor tilknytning til USA, og det er ofte ikke så let som det måske lyder. Det udelukker alle de store.

Nej, jeg tror ikke på at der er nogen forvirring. Jeg tror, at alle er klar over, at det er et problem, men de fleste afventer nok om alle kan forsætte med at "lege struds" og lade som ingenting alligevel... Det er for svært at se realiteterne i øjnene for rigtig mange.

Det er dovenskab og økonomi. Ikke mangel på andre muligheder indenfor reglerne.

23. december 2020 kl. 22:01
Organisationer frygter cloud-kaos: Staten skal finde erstatning for Privacy Shield

Amerikansk lov skal ændres. Ellers kommer der en Schrems 3 og 4...

Anbefaling: Meld dig ind i https://noyb.eu/

25. november 2020 kl. 12:03
Efter gentagne fadæser: Teleselskaber overvejer helt at droppe udleverering af sim-kort i fysiske butikker

Problemet er jo ikke, at man kan få et SIM-kort. Det sker der ikke noget ved, så længe der ikke bindes et eksisterende nummer til det nye kort.

Problemet er, at man kan få adgang til et eksisterende nummer uden ordentlige check af at man "ejer" det nummer. Og når de to så sker samtidigt, sammen med en (provisionslønnet?) sælger, så er andres sikkerhed aldrig det vigtigste emne.

Så løs de opgaver hver for sig!

Så forsvinder undskyldningen med at give bedre service også - man kan sagtens få et SIM-kort nu og her, men før du får dit påståede nummer overflyttet, skal der sikkerhedhed i form af selvbetjening på en fælles hjemmeside (med nemid), eller fremmøde i Borgerservice.

Pointen er at adskille sælgeren i teleselskabet, der jo gerne vil "hjælpe" fra det kritiske skridt: Det skal ligge et sted, hvor der ikke sker et salg.

Borgerservice kan jo vælge at checke ID pas eller på andre måder, og de er traditionelt ikke er så nemme at løbe om hjørner med..

Turisterne vil stadig nemt kunne hente et SIM-kort, og burde være ligeglade med at få et "nyt" nummer til det.

Kerne-problemet er nok, at teleselskaber i egen optik "ejer" numrene, hvor det burde være en samfunds-opgave. Kunne de ikke oprette et selskab som kan drive den del for sig, ejet af de 3 udbydere?

18. oktober 2019 kl. 14:08
Rejsekort-svindel blev ikke stoppet som følge af softwarefejl

Forsvarerne for de tiltalte, en familie på tre samt deres to svenske venner, mener, det er væsentligt, at en softwarefejl betyder, at svindlen ikke blev stoppet tidligere.</p>
<p>Argumentet er, at snyderiet - og dermed dets økonomiske omfang - ville være blevet markant mindre, hvis softwaren hos Rejsekort A/S ikke havde fejlet.

A'hva? Er det nu rejsekortets skyld, at de tiltalte har svindlet? Det er jo ikke fordi, kortet "selv fyldte sig op", vel? Man har "sat penge ind" på en måde, jeg ikke kan se hvordan man skulle tro var hæderlig og gyldig. Man må have simpelthen vidst bedre...

... som hvis en indbrudstyv giver politiet skylden for alle indbrud med forklaringen, at de jo bare kunne have fanget ham noget før? Og dermed kun vil erklæres skyldig i eet indbrud?

19. oktober 2016 kl. 19:00
Er softwarepatenter døde?

Jeg er imod software patenter.

Jeg læser også resten af din kommentar som imod patenter - du nævner ikke en grund til at bevare patenter på noget område.

Mit indtryk er, at patenter generelt ses som skadelige på ens eget fag-område, men at man ikke helt kan afvise, at de måske giver gavn i et andet felt. Problemet er blot, at ovre på det andet felt, mener man det samme - at de er skadelige her, men nok gavnlige et andet sted...

Patenter er monopoler på noget. Monopoler gavne kun dem, der har dem, og selv der typisk kun kortvarigt. Samtidig skader de alle andre. (Undtaget "naturlige monopoler" - det giver vist ikke mening at have 4 parallelle vandledninger ind til mit hus...)

9. oktober 2016 kl. 20:54
Banker beder om pas og kørekort tilsendt i pivåben mail

Danske bank beder også om foto af ID på email.

Jeg har netop fået en mail fra en Danske bank medarbejder, der bad mig sende foto af sygesikringsbevis og pas/kørekort som ukrypteret mail. (Jeg er ikke kunde i DB, men bestyrelsesmedlem i den lokale grundejerforening, hvor banken vil have se ID fra hele bestyrelsen, hver gang ,der udskiftes i den.)

Det er vel omtrent lige så betryggende, som da jeg tidligere sendte lignende fotokopier i en kuvert med postdanmark til banken.

30. maj 2016 kl. 08:55
Drown: Ny sårbarhed rammer hobevis af SSL-servere

Samme nøgle på flere services har aldrig været en god ide. Men det er temmelig udbredt alligevel, er min erfaring.

Mon ikke problemet er, at certifikat-udstederne tager penge for hver nøgle, de udsteder et certifikat til?

...Indtil https://letsencrypt.org/ kom på banen. (Modulo Rate Limit, dog)

3. marts 2016 kl. 12:12
Rigsrevisionen: Digital Post i det offentlige kan være én stor fuser

Portoen stiger jo netop fordi, der sendes færre breve: Det koster ikke ret meget mere at aflevere 5 breve i en postkasse end 1. Så når der er færre breve til at deles om at betale omkostningen ved at aflevere noget i en postkasse, så stiger portoen, eller der leveres meget sjælnere - derfor også den lavere pris på B-post.

På den måde kan man siger, at hvis IKKE vi havde digital post fra det offentlige, så ville det offentlige levere statsstøtte at fastholde en lavere porto for alle breve...

28. januar 2016 kl. 10:22
En million websider benytter stadig svag SHA-1 kryptering

Kan man ikke forvente, at V2 kender forskel på "kryptering" og "hashing?"

SHA-1 er en envejs-funktion. "Kryptering" bruger man normalt kun om noget, hvor der også findes en "dekryptering", der er markant lettere end brute-force.

Læs f.eks. https://en.wikipedia.org/wiki/SHA-1

23. oktober 2015 kl. 11:04
Apps med falske rodcertifikater fjernet fra App Store

Det lyder ikke som et godt design i udgangspunktet?

Kan det virkelig passe?

9. oktober 2015 kl. 11:25
Lusket phishing-app lokker Facebook-brugere lige i fælden

Det hjælper ikke de "mest sårbare", men for os andre og dem vi kender, kan

https://www.facebook.com/settings?tab=security&section=approvals&view

anbefales. Det gør det noget sværere at lade sig snyde, uden at være bevidst om det.

...Indtil facebooktheme.net og lignende begynder at fishe brugerens 2. faktor også?

11. september 2015 kl. 19:40
Ikke mere tillid

Jeg kører også min mailserver selv, men for "andre mennesker", der ikke synes at det er en sjov hobby, der er "brug Gmail" faktisk et godt råd. Det er svært at pege på noget med bedre price/performance ratio. Også selvom prisen betales med fravær af privatliv, for det gør den formentlig også de fleste andre steder, man som "almindelig bruger" kan vælge imellem.

Kan vi gøre noget?

Jeg kan ikke se, at jeg lovligt kan drive en bedre mail-service for offentligheden end Google gør med Gmail. Den vil vel ret hurtigt blive underlagt CfCS, hvis jeg driver den, og tilsvarende "tjenester" de fleste andre steder.

Eller overser jeg noget?

16. juli 2015 kl. 13:32
Foreløbig aftale: Roaming bliver gratis i Europa fra 2017

Det samme var jo aftalt med effekt fra 15. december 2015. Men den aftale blev annulleret inden den trådte i kraft...

Er det også denne gang en delaftale af et større kompleks, som derfor let kan falde på grund af andre delaftaler?

30. juni 2015 kl. 11:31
Kommentar: Kan jeg købe en server om 10 år?

På økonomi alene er det nok rigtigt, at vi ikke kan konkurrere "in-house" med cloud de kommende år.

Men hvad med sikkerheden for at have vores data i fred for NSA og andre?

Efter min mening burde næsten alle offentlige udbud indeholde et krav ala:

Skal driftes fysisk i Danmark, adgang (fysisk + remote) til servene kun tilladt for sikkerhedsgodkendte personer med dansk folkeregisteradresse.

Det er faktisk svært at komme på et offentligt system, der ikke burde have det krav. Ethvert system med CPR-numre i er oplagt på listen...

11. juni 2015 kl. 15:02
Bekræftet: Brugere kan vælge og vrage i app-tilladelser med Android M

Nu er der kommet dokumentation online, og det ser godt ud, ikke som jeg frygtede! Citat:

Note: On devices running the M Developer Preview, a user can turn off permissions for any app (including legacy apps) from the app's Settings screen. If a user turns off permissions for a legacy app, the system silently disables the appropriate functionality. When the app attempts to perform an operation that requires that permission, the operation will not necessarily cause an exception. Instead, it might return an empty data set, signal an error, or otherwise exhibit unexpected behavior. For example, if you query a calendar without permission, the method returns an empty data set.

http://developer.android.com/preview/features/runtime-permissions.html

Så får vi se, hvad "...the operation will not necessarily cause an exception..." betyder i praksis. Det lyder i det mindste lovende.

29. maj 2015 kl. 12:02
Bekræftet: Brugere kan vælge og vrage i app-tilladelser med Android M

"These permission policies will only apply to apps being made against the most recent version of the Android API versions, which means your current apps or apps that haven't updated in a while follow these same guidelines."

Citat fra http://www.androidcentral.com/app-permissions-are-getting-massive-overhaul-android-m

Dermed kan apps, der gerne vil slippe for at spørge, bare fortsætte med at bygge med "target=L". Det er der ingen problemer i at gøre.

Jeg HÅBER fortsat, at ovenstående citat (og omtalen på I/O) var upræcis, og at Google istedet gør det bedre. Og med bedre mener jeg, så det rammer ALLE apps, man kører på "M", men med forskellig effekt alt efter compile target:

Target >= M: Fint forslag fremadrettet fra Googles side.

Target < M: Lad brugeren vælge i settings hvad de enkelte apps må. Når brugeren har svaret nej til en app til adgang til f.eks. kontakter, så returner en tom liste, når app'en alligevel beder om dem. Det bør være let at implementere.

De fleste (alle?) privacy-relaterede API'er kan fint opføre sig sådan: SMS'er? Næh, svar med tom liste. Billeder? Næh, svar med tom liste.

For mig lugter det som, at Google ikke i virkeligheden ønsker at give brugerne kontrollen. Desværre.

29. maj 2015 kl. 11:22
Kommentar: Derfor hader it-folket valgkampen

Torben, er det ikke kun SF og enhedslisten, der benytter kreds-opstilling?

Personligt synes jeg, at det er en uskik. Men det passer godt til de to partier, at det er partiet og ikke vælgernes stemmer, der reelt vælger hvem, der skal på tinge blandt de opstillede...

28. maj 2015 kl. 11:14
Kryptoprofessor efter Diffie-Hellman-sårbarheder: Brug altid nøgler der er rigeligt store

Problemet her er vist lige så meget, at der bruges en Diffie-Hellman, hvis sikkerhed bygger på, at det er ineffektivt at faktorisere store tal, som at "1024" er for lille et tal. Se http://en.wikipedia.org/wiki/Key_size#Asymmetric_algorithm_key_lengths

28. maj 2015 kl. 11:04