Jesper S. Møller

Er statens data altid "vores" data?

Fin idé!

FYI: Mange billån optages som blanco-lån, d.v.s. uden tinglysning i bilbogen, så at sige på lånerens glatte ansigt (suppleret med kopi af et par årsopgørelser eller lønsedler)

Og på leasingbiler der debitor som regel leasingselskabet.

16. oktober 2012 kl. 12:21
Hug adgangskoderne midt over og undgå en LinkedIn-fadæse

LinkedIn problemet er bestemt ikke løst, da problemet i virkeligheden er 2 problemer. Ja, det er et problem at mange passwords bliver kompromitteret p.g.a. dårligt design, men det er bestemt et selvstændigt problem at folk bruger samme passwords på tværs af services. Der er jo andre måder at angribe passwords på end ved at læse gemte hashes.

Løsningen er at have færre passwords som vi mennesker skal huske. OpenID er én måde at løse dette på, Lastpass m.v. en anden, og en browserbaseret per-site sikkerhedsløsning kunne være en tredje (det bør i den sidste ende være op til brugeren at vælge hvor de lægger deres tillid og risiko)

16. oktober 2012 kl. 11:56
Hug adgangskoderne midt over og undgå en LinkedIn-fadæse

De to halvdele svarer til to halvdele af hashen. Derved er det ikke nødvendigt at beholde passwordet i klar tekst.

16. oktober 2012 kl. 11:35
Hug adgangskoderne midt over og undgå en LinkedIn-fadæse

Det lange svar: Den længere hash virker ikke -- det er ikke kollisioner, der er risikoen, men rainbow tables og/eller brute force genkendelse af passwords på tværs af sites/systemer ud fra passwordlister.

Så ja, forskellig salt per bruger bør vær normen, og langsommere hashes (SHA-x familien er jo bevidst hurtig, nyttig til behandling/verifikation, men ikke til modvirkning af brute force).

Det korte svar: bcrypt

Jeg kan anbefalehttp://codahale.com/how-to-safely-store-a-password/

16. oktober 2012 kl. 11:24
Signatur-ekspert: Dokumenter underskrevet med NemID kan ikke valideres om 50 år

Men hvordan kan det virke, hvis brugeren ikke "har" sin key, og/eller ikke kan skaffe/har gemt et nøglekort?

Det ligger i PKI modellen at du netop regner baglæns fra det signerede dokument uden brug af den private nøgle: Dokumentet er hashet og hashen er krypteret med den private nøgle og kan derfor checkes med den offentlige nøgle. Den offentlige nøgle indgår i certifikatet, som er kopieret med ind i signaturen. Certifikatet er signeret af udstederen, men for at gøre det komplet skal du også have et (signeret) tidsstempel af hvornår underskriften er sket - fra en pålidelig kilde, OG en kopi af spærrelisten fra udstederen. For personcertifikater bør man jo nok også have et underskrevet svar på PID->CPR servicen.

Når du har alt dette kan du i dag validere at signaturen er OK.

I 2022 år kan man forventeligt finde en hashkollision i det valgte setup (algoritmer, hash- og nøglestørrelser) ved brute force, så man kan forfalske signaturer som de så ud i 2012. Derfor er det nødvendigt at kontrasignere det underskrevne måske i 2012 og så igen og igen med stadigt stigende styrke (man skal være ude i så god tid at man ikke ville have kunnet forfalske signaturen i mellemtiden).

(Der er én ting mere: Man skal også have tillid til nøglecenteret, ellers er det hele jo ligemeget)

26. september 2012 kl. 11:27
HP snart klar med afløseren for SSD: Memristoren er datalogers urgamle drøm

Mens det selvfølgelig er en interessant tanke at integrere flash-logikken direkte på motherboardet, er der bare meget mere i spil end den rå overførselshastighed imellem systemets bus og SSDens flash hukommelse.

Skrivning til flash er ikke adresserbar på byte-, word- eller cachelinjeniveau som RAM er det (man skriver hele blokke), og af hensyn til netop slid/antal overskrivninger, er der ikke en én-til-én mapning fra logisk adresse til fysisk lagerpladsering. Det er derfor, du ikke ser flash chips som en forlængelse af RAM. Til indbygget brug findes MiniSATA, der benytter en mini-PCIe bus, men alligevel sér man ikke 2 eller 10 gange hurtigere overførsler af den grund.

Med andre ord: Hverken memristorer eller flashteknologi kan afskaffe lagerhierarkiet, men pris og hastighed går stadig den rigtige vej.

24. september 2012 kl. 15:43
Agil udvikling er reaktiv og resignerende

Med frygt for at bryde ind i en længere tanke- og artikelrække ved at nitpick'e for tidligt: At kalde den agile tilgang til tingene for reaktiv er da en misforståelse af rang.

Hvis du som virksomhed eller organisation ser IT som et nødvendigt onde for at agere imod omverdnen, så er det dén indstilling og taktik, der er reaktiv. Hvis du i stedet bruger IT mulighederne til at skabe værdi på nye måder, på at "forstyrre" den herskende orden, kan man vel næppe kalde det "reaktivt", blot fordi du angriber det agilt.

Hvis du vælger at implementere dine strategiske IT tiltag på den klassiske vandfaldsmåde, som ikke kan eller vil tage højde for ændringer undervejs, så kan det godt være at du får udviklet det tiltag, du havde specificeret -- men hvis verden har ændret sig imens har du tabt din strategiske fordel.

Mit gæt er at laaangt de fleste "disruptive" projekter/produkter/virksomheder, der skyder op i disse år og udfordrer den gamle verden, arbejder agilt, om de kalder det eller ej. Ikke for at være reaktive, men fordi det er den fremgangsmåde, der skaber de hurtigste resultater. Selvfølgelig kan man også se det modsatte, f.eks. når den offentilige sektor innoverer, men de har jo lissom også et monopol at beskytte sig under...

"Reaktivt eller disruptivt" er dit "hvad", "agilt eller vandfald" er dit "hvordan". Fokusér på at gøre de rigtige ting!

13. august 2012 kl. 11:35
QCon New York - 1. del

NASA JPL havde haft samme indgangsvinkel - "tør vi det?" - og havde startet deres cloud-anvendelse med applikationer, som gerne skulle ud til så mange som muligt, f.eks. undervisningssites. Men så var de gået videre derfra: Pointen er at du er nødt til at overveje - helt overordnet: Hvem stoler du på?

I det klassiske serverrum "i kælderen" stoler du både på din fysiske sikkerhed, på dine vagtfolk hvis du har den slags, på dine sysadm'er og andre, der har severadgang, på udviklere, på operativsystemet, firewalls og på hardwareleverandørerne -- og på at du har designet sikkerheden ordentligt. Ved cloud-deployment flytter du en del af (men langt fra al) denne tillid fra en leverandør til en anden, men du får måske også noget igen i form af bedre fysisk sikkerhed.

Og så er cloud altså ikke det samme som "tilgængelig på internettet". Du vælger selv om du har et public net-interface på, du har stadig både hypervisorens firewall og instansens egen interne firewall og du kan hos f.eks. Amazon med Virtual Private Cloud (VPC) vælge at lukke helt af for andet end den VPN tunnel du sætter op imellem dit netværk og din virtuelle netværk hos dem.

Men et andet forhold er også i spil: De fleste klassiske driftscentre i DK - også dem, der gemmer på de der "for-vigtige-til-at-komme-ud-af-landet"-data, kan nås igennem et par lag af VPN og fjernadgang: En persistent, fokuseret angriber med tid, penge og viljen til at bruge f.eks. vold kan komme igennem disse typer af beskyttelse på den ene eller anden måde: Det er menneskerne, der er det svage led hér.

Jeg vil derfor mene det er lidt mere nuanceret end sikkerhed vs. pris.

Der er jo andre fordele end pris, nemlig tid. Som Khawaja Shams sagde det: Hvis du har en beregning som tager 100 timer på én maskine eller 1 time på 100 maskiner, så koster det det samme at køre det parallelt, men din forsker har 99 timer mere til at analysere resultaterne og skrive sit paper.

19. juni 2012 kl. 04:36
EuroPark - når “don’t be evil” ikke er firmamottoet

Eksemplet med SKAT holder desværre ikke, Torben -- for SKAT ved ikke i hvilket forhold, renter er indbetalt da de kun får at vide fra bankerne at der er flere debitorer på lånet, ikke i hvilket forhold de indbetaler (da de jo typisk hæfter solidarisk er det jo helt åbent hvad der er sker).

Faktisk synes jeg år for år at SKAT gør meget for at lette indbetalingsbyrden for "normaltilfældene" og for at øge informationsmængden for "særtilfældene".

At sammenligne skatteinddrivningen, som alt andet lige er en nødvendig funktion i ethvert samfund, med parkeringsfirmaer, hvis business case er at leve af folks forglemmelser, og hvis kunder lukrerer på det, er måske lidt langt ude.

15. maj 2012 kl. 12:38
Hvordan mindskes frafald?

Nu er det godt nok længe siden jeg begyndte på DIKU (og snart også længe siden jeg blev færdig) men kunne man ikke "simulere" små projektgrupper ved at lade de studerende organisere obligatoriske studiegrupper på 5-6 mennesker, men én organisator som så skulle "afrapporere" til instruktorerne.

Jeg tænker det kunne holde folk til ilden og give rum til faglige diskussioner imellem øvelsestimerne (som er for store til den slags) og rapportgrupperne (som jo er meget meget fokuserede på de skriftlige opgaver)

På den måde kunne man måske få mere ud af de fagligt stærkeste studerende, og få alle med og også få fanget dem som havner i et "jeg forstår det ikke, jeg tror jeg springer fra"-mindset tidligere.

Organisatoren skulle stå for at indkalde og planlægge f.eks. hvilket stof og hvilke opgaver, der skulle arbejdes med, og kunne for dette belønnes med et point i bonus -- eller en tur i Tivoli ligesom skolepatruljerne ;-)

8. maj 2012 kl. 13:44
Microsoft frigiver 3 web-teknologier som open source

Det er lidt misvisende at vise et Apache logo, da Microsoft jo ikke ligefrem har tænkt sig at bruger Apaches projekthosting eller deres styringsmodel, men blot Apache Public License.

Jeg tror ikke Apaches projektmodel, herunder diversitetskrav, ville passe Microsoft særlig godt...

31. marts 2012 kl. 00:37
Dansk hosting-firma: Helt normalt at fraskrive sig ansvar for datatab

Kan du få nogen IT chef, SAN-operatør, etc. til at påtage sig ubegrænset ansvar for datatab? Altså hvor han/hun personligt tager erstatningsansvar for værdien af den skade som datatabet udgør (f.eks. tabte indtægter, udgift til genopretning) uden han selv har handlet groft uagtsomt eller med overlæg? Jeg tvivler.

Verden er et usikkert sted, inden for murene eller udenfor.

25. januar 2012 kl. 11:38
Rejsekort dumper usability-test med kæmpe brag

@Jesper Lund:

[quote]
... men den ene gang jeg har glemt at checke ud (efter 1 uges betatest) opvejes af de tre gange hvor jeg nåede et checke ind og hoppe på et metro-tog som jeg ikke ville have nået med mit klippekort.

Jeg har svært ved at se at det skulle være hurtigere at checke ind end at klippe på et klippekort. [/quote]

Så prøv det i praksis.

  1. Jeg kan bippe rejsekortet uden at pille det ud af tegnebogen.
  2. Det tager mindre end ét sekund at bippe det.
  3. Der er flere check-in standere end der er klippekortautomater.
  4. Det sker altså jævnligt at klippekortautomaterne (som ikke altid er godt placeret) enten ikke virker, eller kræver noget tålmodighed på at få et klippekort ind. Navnligt er metrostationernes klippekort-automat lidt snævrere end stationernes.

Min benchmark er om jeg kan komme med et tog, der allerede har åbnet dørene, allerede når jeg træder op på perronen.

Ja, det er ikke mange sekunder, det handler om, men jeg sparer at glippe et tog fra tid til anden.

Mød mig på Flintholm i morgen tidlig hvis du ikke tror mig, jeg kan kigge efter én med nej-hatten på, ikke? ;-)

20. december 2011 kl. 14:09
7 danske muldyr sigtes for hæleri - østeuropæiske cyber-bagmænd går fri

For så risikerer vi bare at Politiet bringer EM slutrunden i fare!

20. december 2011 kl. 11:23
Rejsekort dumper usability-test med kæmpe brag

Lille dims med RFID læser, og accelerometer, lille højttaler og en knap.

Med mellemrum læser den kortets checkind/check ud statud, og sammenholder det med historik for bevægelsesmønsteret: Er man på et transportmiddel eller ej? Hvis man ikke er på transportmidlet, men er checket ind, skal den bippe, så man husker at checke ud. Tryk på knappen fungerer som snooze, til når man holder på hovedbanegården eller går frem og tilbage i toget. Kunne evt. også sammenholdes med SSID navne på tilgængelige wifi netværk, så den kunne genkende f.eks. bus+tog (kræver mere batteri, velsagtens).

20. december 2011 kl. 11:15
Rejsekort dumper usability-test med kæmpe brag

... men den ene gang jeg har glemt at checke ud (efter 1 uges betatest) opvejes af de tre gange hvor jeg nåede et checke ind og hoppe på et metro-tog som jeg ikke ville have nået med mit klippekort.

Nye vaner tager tid at komme ind i, ligesom med månedskort kontra klippekort.

(Men det er tog, lidt andet problem end i bussen. Og når det så er sagt er der alle privacy-betænkelighederne)

20. december 2011 kl. 11:07
Nu kan du bruge Microsofts SQL Server i Linux-applikationer

... med mindre man har brugt FreeTDS (ODBC) eller jTDC (JDBC) i årevis, så er det mere en undren over at Microsoft ikke gør mere for at få folk på deres faktisk udmærkede SQL Server.

30. november 2011 kl. 11:07
DanID: Ja, vi står bag fire skjulte programfiler i NemID

Tænk hvis SKAT havde adgang til disse informationer: "Flest Windows 95 brugere har restancer over for det offentlige".

Det har de forresten allerede, da der jo er rigtig mange, der bruger TastSelv. My bad.

18. november 2011 kl. 16:34
DanID: Ja, vi står bag fire skjulte programfiler i NemID

Stort set alle sites indsamler information om

•Browsertype •Computertype •Styresystem •Forbindelsestype (ISDN, ADSL o.l.) •Skærmopløsning

Og formålet er selvfølgelig klart nok at kunne tilpasse løsningen til publikum - det er der ikke noget sært i. Vi kan nok ikke gøre andet end at håbe på at de, som de lover i vilkårene, ikke sammenknytter disse informationer med de personhenførbare, da det vil være lidt underligt.

Tænk hvis SKAT havde adgang til disse informationer: "Flest Windows 95 brugere har restancer over for det offentlige", eller hvis DR fik en liste over hvilke personer, der havde hvilke IP adresser. Pejlevogn på stereoider!

Jeg letter på sølvpapirshatten og siger god weekend!

18. november 2011 kl. 16:28
Sikkerhedsekspert: Skjult NemID-kode på din pc er en rigtig dårlig idé

Tjah, det har da sikkert taget lidt længere tid end ellers at finde ud af hvad den native kode gør, men det er rigtigt, de kunne have skjult den langt bedre med få midler.

Jeg tror folk klikker OK til NemID Apletten fordi de regner med at NOGEN kigger på koden. Og det er der jo så også NOGEN, der gør, bare nok ikke dem, Hr. og Fru. Hansen regner med.

18. november 2011 kl. 12:33