Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

Mozilla Firefox räddaren i nöden

Postat 2004-06-30, kl 01:13 • Ämne: Säkerhet, Internet Explorer, Firefox

Nu får det vara nog. Idag har jag importerat alla mina inställningar till Firefox och börjat använda den som min primära webbläsare.

Hej då gamle vän

Som läget ser ut just nu är inte Internet Explorer bara sårbar – den är vidöppen! Jag har dragit på beslutet i det längsta eftersom jag faktiskt lärt mig gilla MSIE. Det har inte alltid varit så. När jag en gång i tiden slutade använda Netscape Navigator var det inte för att jag tyckte MSIE lockade, utan för att Netscape helt enkelt kraschade för ofta. På samma sätt är jag inte direkt lockad av Firefox, utan det är den gamla lösningen som inte håller längre.

Enkelt att byta

Så långt har övergången varit förvånansvärt smärtfri. Firefox lyfte över alla mina bokmärken, kakor och inställningar helt perfekt. Det finns till och med en Googlebar-plugin. Helt oumbärligt! Så hitintills har jag faktiskt inte märkt någon större skillnad. Jag misstänker att det blir problem när jag försöker se på video eller se på webcasts hos Microsoft. Men MSIE finns ju ändå kvar på maskinen så det löser sig nog.

Som en fotnot vill jag påpeka att jag inte tycker det är det minsta kul att kritisera MSIE. Det hade varit mycket enklare och bekvämare om den bara hade fungerat utan bekymmer!

Ladda hem

Mozilla Firefox 0.9.1

I samband med TechEd Europe har Microsoft har släppt publika betaversioner av en ny grupp utvecklingsprodukter som de kallar Express. De är förenklade nedbantade versioner av den kommande Visual Studio 2005 och riktar sig snarare till nybörjare och hobbyutvecklare än till proffs.

Det är förmodligen hotet från OSS som spökar igen, och Express är ett försök att attrahera fler utvecklare som inte vill betala de ganska stora prislapparna på Visual Studio och SQL Server. Det är alltså ett utmärkt tillfälle att ge sig i kast med .NET Framework v2.0. Gratis är gott!

Express-serien innehåller:

  • Visual Basic 2005 Express
  • Visual C# 2005 Express
  • Visual C++ 2005 Express
  • Visual J# 2005 Express
  • Visual Web Dev 2005 Express
  • SQL Server 2005 Express

Beskrivning av Visual Basic/C#/C++/J#:

Visual 2005 Express Edition enables you to create Windows Forms- and console-based applications as well as class libraries

Beskrivning av Visual Web Dev 2005 Express:

Visual Web Developer 2005 Express Edition is focused exclusively on Web development with ASP.NET 2.0. Choose from Visual Basic, C#, or J# languages

Beskrivning av SQL Server 2005 Express:

SQL Server 2005 Express Edition complements the other Express products by providing database support that is both powerful and easy to use.

Begränsningar: 1 CPU, 1 GB RAM, 4 GB database.

Ladda hem gratis från: Visual Studio 2005 Express Beta Products

Hur mycket dessa produkter kommer att kosta framledes är inte klart. Microsoft har bara sagt att: We have not announced pricing and licensing and will not do so until next calendar year. samt Express versions of tools to be priced in the "tens of dollars" range

ämne

MSIE Zone Bypass läcker lösenord

Postat 2004-06-29, kl 04:01 • Ämne: Säkerhet

Securityfocus skriver om ännu ett intressant problem med Internet Explorer. MSIEs säkerhetsmodell bygger på flera olika säkerhetszoner med individuella inställningar för vad som är tillåtet att göra med JavaScript och ActiveX. Tyvärr visar det sig gång på gång att hanteringen av dessa zoner är bristfällig.

Denna gång rör det sig om att man kan lura MSIE att tro att en webbsida som laddas från Internet-zonen hör hemma i local eller trusted zone med allt vad det innebär.

Securityfocus beskrivning: "Microsoft Internet Explorer is prone to a zone bypass vulnerability. Successful exploitation of this vulnerability could lead to the execution of malicious script or ActiveX controls in the Intranet zone. [...] this issue can also be exploited to bypass to other zones. For example, by using a trusted URI, an attacker can access the Trusted zone"

Internet Explorer använder informationen i adressfältet för att avgöra vilken säkerhetszon som sidan tillhör. Genom att konstruera adressen på ett visst sätt och kombinera det med ett par enkla inställningar hos webbservern kan man få MSIE att hämta sidan och tro att den är från en annan zon. Det behövs inte ens något speciell JavaScript eller andra klurigheter för att sätta planen i verket.

Det som gör saken ännu allvarligare är att MSIE i local zone som standard accepterar att försöka med NT challenge/response (NTLM) om webbservern begär det.

Jelmer: "Drew Copley was kind enough to point out to me that can steal any user's windows password simply by having them view a specially prepared page using this exploit. What basically happens is that the server sends an 8 byte challenge to the browser, the browser uses the lanman and nt password hashes to generate a response [...] If you know the response and you know the challenge (obviously we do since we control what's being sent) you can crack it quite easily using l0phtcrack"

Detta betyder att webbläsaren levererar följande intressanta information:

  • Ditt användarnamn
  • Namnet på din NT-domän
  • LanMan hash av ditt lösenord

Det sistnämna betyder i praktiken att angriparen nu har ditt lösenord. Redan 1997 upptäcktes en brist i LanMan hashen som gör att även 14 teckens lösenord blir knäckbara med uttömmande nyckelprövning. Programmet l0phtcrack knäcker även långa lösenord på en medelmåttig maskin på under 12 timmar. Kortare lösenord, säg 5 tecken, knäcks omedelbart.

Alla dessa uppgifter är såklart tacksamma att ha om man tänkt sig försöka ge sig på en nätkopplad windowsdator. Men även om vare sig NetBT eller några andra tacksamma portar är åtkomliga från nätet kan man tänka sig andra användningsområden. Användarnamnet kan till exempel vara intressant om man vill gissa en e-postadress att skicka reklam till. För att inte tala om social engineering.

Lösningar

Det verkar för i skrivande stund inte finnas något skydd förutom att låta bli att köra Internet Explorer. Alla windowsversioner är sårbara. Och inte ens den kommande XPSP2 räcker till denna gången.

ämne

Apple driver med Longhorn

Postat 2004-06-28, kl 06:50 • Ämne: Skoj, Apple

Apple WorldWide Developers Conference (WWDC 2004) i San Francisco som börjar idag presenterar Apple nästa version av MacOS X: ”Tiger”. Enligt MacMinute.com passar de också på att skoja lite med Microsofts nästa version av Windows som går under kodnamnet Longhorn.

Fyra stora banderoller har fått rubrikerna:

Det gäller ju att ta chansen att ingjuta ordentligt med entusiasm bland utvecklarna. Själv tycker jag att det är ganska skojigt.

Titta på banderollerna: WWDC: Apple blasts Microsoft's Longhorn

ämne

Laid Off: A day in the life

Postat 2004-06-27, kl 21:37 • Ämne: Skoj

Screenshot

En Flash-film om livet efter IT-bubblan att roa sig med såhär en slapp söndagskväll.

Oh XPSP2, where arth thou?

Sent på torsdagen började rykten cirkulera om ännu ett säkerhetsproblem med Internet Explorer som hunnit utnyttjas redan innan det blivit rapporterat (0day).

Inledande rapporter från NetSec talade om ett JavaScript som gömts i bilder som laddar hem och installerar en tangentbordsloggare. De tidiga uppgifterna var mycket diffusa. Nu verkar dock det hela ha klarnat något. Angreppet utnyttjar hål både i MSIE6 och IIS5. Microsoft bekräftade på fredagen problemet via en Security Alert som riktar sig mot IIS.

Beskrivning

Attacken utnyttjar en brist i IIS5 under Windows 2000 och sprider sig genom att använda funktionen för att lägga till en global sidfot på alla sidor som hämtas från den infekterade maskinen. Det betyder att den bifogas alla filer, inklusive bilder. Det är dock scriptet som bifogas den vanliga webbsidan som faktiskt körs. Detta script försöker kontakta en av två webbservrar. Den ena finns i USA och den andra i Ryssland. Därifrån laddar den sedan hem en av flera olika filer som körs på besökarens dator.

Denna (eller dessa) trojaner sägs ha funktioner för tangentbordsloggning, att öppna bakdörrar eller fungera som proxyserver. Och om datorn har en sårbar IIS försöker trojanen använda denna för att sprida sig vidare.

Själva webbsidorna på en infekterad IIS ändras alltså inte utan JavaScriptet läggs till på slutet av de filer som webbservern skickar. Besökaren ser inte heller någon synbar förändring på webbplatsen. Inte heller vid installationen ges någon varning utan hela processen är mycket diskret. Det är därför svårt att avgöra hur stor spridningen är. Enligt Symantec är den ganska begränsad, medan SANS talar om A large number of web sites, some of them quite popular. Problemet verkar vara temporärt avhjälpt då de webbplatser som distribuerar själva trojanerna ska har tagits ned.

Hålen som utnyttjas är på serversidan ett säkerhetshål som fixades med en patch den 13de April (Microsoft Security Bulletin MS04-011). Säkerhetshålet i Internet Explorer verkar vara samma svaghet som utnyttjades tidigare denna månaden för att installera spyware (Allvarlig säkerhetslucka i Internet Explorer). Microsoft har fortfarande inte presenterat någon patch för detta säkerhetshålet. Trots att en central komponent har varit känd sedan slutet av augusti förra året. Något som jag kritiserade för två veckor sedan: (Microsofts månadsuppdatering för stelbent).

Lösning

IIS5:

  • Se till att alla säkerhetsuppdateringar är installerade
  • Surfa inte på samma dator som du har din produktionsserver

Internet Explorer 6:

ämne

Applikationsanalys och algoritmkomplexitet

Postat 2004-06-25, kl 03:44 • Ämne: Säkerhet

Traditionell Denial of Service (DoS) innebär att angriparen överbelastar till exempel en webbplats med så mycket skräptrafik att den inte längre klarar av att hålla tjänsten öppen för vanliga användare. För stora webbplatser måste tusentals datorer samarbeta vid ett sådant angrepp, och det benämns då Distributed Denial of Service (DDoS).

Hemanvändare som slarvar med säkerheten kan ovetande få sin dator omvandlad till ett fjärrstyrt verktyg som deltar i attacken. Trojaner och maskar är redskap som hackers använder för att skaffa sig tillgång till datorer som sedan de kan fjärrstyra och koordinera att anfalla ett speciellt mål – så kallade Zombies.

Motiven varierar. Det kan vara allt från en enskild tonåring som vill visa sina kunskaper, till organiserade politiska eller ekonomiska motiv. Till exempel utpressning under hot om att få sin webbplats utsatt för DoS. Företag som bedriver handel på nätet är extra utsatta, t.ex Amazon och eBay. Microsoft är ett mycket populärt mål. SCO har råkat ut för DDoS på grund av att man stämt IBM angående Linux.

Den gångna veckans attack mot Akamais DNSer visar att angriparna ständigt utforskar nya och alternativa sätt att slå ut specifika tjänster. En mera tekniskt komplicerad variant är angrepp som utnyttjar brister i offrets arkitektur och implementation för att slå ut nyckelkomponenter. Ett sådant angrepp är svårare att upptäcka automatiskt då det oftast uppfattas som vanlig trafik. Rätt utfört behöver inte heller trafikvolymen utlösa några varningsklockor - det kräver alltså inte tillgång till en stor mängd zombies för att dränka offret i skräptrafik.

Algorithmic Complexity Attacks

Scott Crosby och Dan Wallach (Rice University) har skrivit en artikel som heter Denial of Service via Algorithmic Complexity Attacks

Scott Crosby och Dan Wallach: We present a new class of low-bandwidth denial of service attacks that exploit algorithmic deficiencies in many common applications' data structures. Frequently used data structures have "average-case" expected running time that's far more efficient than the worst case."

Tanken är att tvinga fram sämsta möjliga prestanda genom att noggrant välja indata som alltid utlöser längsta möjliga körtid:

"Using bandwidth less than a typical dialup modem, we can bring a dedicated Bro server to its knees; after six minutes of carefully chosen packets, our Bro server was dropping as much as 71% of its traffic and consuming all of its CPU.”

Det kräver alltså att man har viss kännedom om hur vilka algoritmer som används. Det är inte så komplicerat att ta reda på som det låter. Speciellt inte om systemet kör standardapplikationer som är Open Source. Med det menar jag inte att OSS har sämre säkerhet. Security Through Obscurity är bara en fråga om resurser och inget skydd. Tvärt om kan öppen granskning hjälpa till att ta bort algoritmer som har väldigt dåliga worst case.

Application Level DoS Attacks

Stephen de Vries (Corsaire’s Security Assessment team) har skrivit ett intressant white paper om Application Level DoS Attacks - [PDF]. Här fokuserar man mer på arkitekturen på en lite högre abstraktionsnivå. Stephen beskriver flera olika scenarion och angreppsmetoder som är bra att tänka på när man konstruerar sina lösningar. Vad händer till exempel om angriparen använder ett script för automatiskt skapa flera tusen konton och sen kontinuerligt försöker logga in med alla samtidigt? Eller låter ett par hundra klienter göra sökningar i databasen om och om igen? Det är scenarion som inte är helt triviala att hantera.

En sak som slog mig när jag läste artikeln var på vilket sätt en distribuerad SOA kontra en mera traditionell client/server arkitektur hanterar dessa problem. Med delar av applikationen distribuerad som Web Services via Internet riskerar man att en av dessa blir en single point of failure. Det är kanske lättare att göra en traditionell DoS mot denna tjänst istället för att ge sig på hela webbfarmens huvudingång med en bredsida skräptrafik. Med alla resurser på ett LAN bakom webbfarmen är det svårare att komma åt och välja ut en enskild komponent. Det omvända är såklart också möjligt - att applikationen har tillgång till flera redundanta tjänster att välja mellan och därför blir ännu mera stabil. Alltså något man noggrant måste ta med i sin arkitekturanalys.

ämne

Bloggar, källkritik och ryktesspridning

Postat 2004-06-24, kl 13:59 • Ämne: Bloggande

Webbloggar blir en allt viktigare del av min dagliga omvärldsbevakning. Och jag verkar inte vara ensam. Bloggare skriver ofta om vad andra har skrivit på sina bloggar. Och även större större webbplatser hakar på om det är intressanta nyheter.

Ibland kan det vara roligt att följa en nyhets väg genom systemets hackordning. På många sätt är det ett bra system. Det ger även mindre aktörer en chans att göra sin röst hörd om de har något intressant att säga. Bloggarna bildar tillsammans en distributionsväv där det inte är någon enskild person som avgör vad som är relevant eller intressant att skriva om.

Men när beslutsfattandet blir distribuerat blir även ansvaret det. Ett missförstånd eller direkt felaktighet är mycket svår att få korrigerad. Problemet förvärras av kampen om att vara först med en nyhet. När man som bloggare får reda på något intressant som inte har uppmärksammats tidigare är frestelsen stor att genast ge sig i kast med att skriva ett inlägg. Men hur väl sköts faktakontrollen? Och hur verifierar man överhuvudtaget ett påstående från en enskild källa? Och ännu värre, om någon försöker utnyttja den opinionsbildande kraften hos bloggarna för propaganda? Jag gör vad jag kan för att kolla bakgrunden på det materialet jag skriver här. Trots det har jag redan gått på pumpen minst en gång.

Nätet är fullt av minor. Ibland är det enkelt att genomskåda, och ibland näst intill omöjligt. Urban Legends Reference Pages är ett bra ställe att börja för att ta reda på vilka typer av vandringssägner som går runt. Och man bör nog titta igenom sidorna för att informera sig om de vanligaste. Om man nu litar på den sidan heller gubevars. I vilket fall är den bra att ha i bakhuvudet så man inte tappar vaksamheten och källkritiken. Här är några axplock.

Vandringssägner

Alla dessa påståenden är alltså falska:

Manipulerade bilder

De senaste 10 åren har persondatorer och kraftfulla program som Photoshop lett till en dramatisk ökning i antalet manipulerade bilder. Här är ett par exempel:

Manipulerade bilder

Skämt

Den webbplats som nog fått flest känslor att svalla är Bonsai Kitten. Den visar bilder på hur man kan forma sin egen kattunge som ett litet bonsai-träd genom att låsa in den i en glasburk och mata med slang. Givetvis är alltihop ett smaklöst skämt. Men många har tagit det på allvar och protestlistorna har avlöst varandra.

Bonsai Kittens

A web site is selling merchandise to help people create 'bonsai kittens'

Som Mikael Wiehe sjöng: Vem i hela världen kan man lita på?

ämne

Hemmabyggarens bäste vän: Memtest86

Postat 2004-06-23, kl 04:26 • Ämne: Hårdvara

För ett par veckor sedan beslöt sig den ena hårddisk-controllern på mitt moderkort att den inte ville vara med längre. Min gamla trotjänare från MSI har varit med i nästan tre år så det må väl vara hänt. Kortet gick ändå inte att uppgradera mer än jag redan gjort. Så ut på jakt efter ett nytt moderkort.

Jag hittade inget MSI som föll mig i smaken, så jag beslöt mig för att prova ett ASUS A7N8X-E Deluxe. Ett av de få korten med Gbit LAN, SATA Raid och Firewire. Varför inte - jag har haft bra ASUS-kort tidigare. Ut med det gamla och in med det nya som de säger på nyårsafton. Inte raketforskning precis. Men den gamle Murphy lurar man inte så lätt. Kan det krångla så krånglar det.

Problem direkt

Installationen av Windows XP blåskärmade stenhårt. Och när jag väl fått in Windows XP gjorde Service Pack 1 samma sak. Installationsprogrammet till Windows XP är annars enligt min erfarenhet ganska stabilt. När det väl buggat ur tidigare har det alltid varit på grund av fel på hårdvaran: skadat minne, BIOS som inte rapporterade ACPI-stöd korrekt och en laptop med trasig hårddisk.

Minnestesten som körs när datorn startas berättar på sin höjd hur mycket minne som är installerat. Som felsökningsverktyg är det helt värdelöst.

Memtest86

I dessa lägen är hemmabyggarens bäste vän ett program som heter Memtest86 (GPL). Det går igenom och testar det installerade minnet mycket grundligt. Det testar inte bara att det går att läsa och skriva ordentligt, utan även med olika bitmönster om någon bit är känslig för hur dess grannar förändras.

Det är också bra att köra Memtest86 även om man bara har mindre fel man inte kan hitta någon förklaring till. Kör igång Memtest86 en natt och kolla så det inte beror på minnesfel. Subtila minnesfel och dåliga noname-kraftaggregat orsakar fler fel än man kan tro. Just kraftaggregatet snålar i stort sett alla på och köper det billigaste. Tro mig, det är en mycket dålig idé.

Kräset moderkort

Det tog bara 10 minuter med Memtest86 så började felen rassla in. Efter mycket pyssel visade det sig att minnet inte klarade av att köras med specificerad hastighet på det nya kortet. Eftersom det är så populärt att överklocka datorer har de flesta BIOS idag stöd för att ändra minnesbussens hastighet i mindre steg. Det räckte att sänka minnesbussen 2Mhz under specifikation för att felet skulle försvinna. En underklockning på mindre än en 1%.

Efter mera googling har jag fått reda på att just detta kortet är kinkigt med vilket minne det accepterar. Skulle inte förvåna mig ett dugg om det beror på att ASUS själva pressar komponenterna lite väl nära gränsen för att inte få dåliga testresultat. Hemmabyggarnas prestandahunger vet inga gränser och ett par poäng mer eller mindre i någon benchmark kan göra stor skillnad.

Stabilitet viktigare än prestanda

Själv är jag totalt ointresserad av överklockning. Jag har hellre en långsammare dator som alltid fungerar än en muskelmaskin som är instabil. Den läxan har jag lärt mig den hårda vägen. En sak som förvånar mig är alla jumpers på det nya kortet. Till och med mitt gamla kort har stöd för att ändra i princip vad som helst direkt i BIOS. Jumpers känns väldigt förlegat och opraktiskt.

Nu är det "bara" alla program och inställningar som ska läggas in igen. Förvånande nog gick det att omaktivera Norton Antivirus 2004 utan problem trots att jag bytat moderkort. Bra jobbat Symantec!

MEMTEST86

Beskrivning: Memtest86 is thorough, stand alone memory test for x86 architecture computers. BIOS based memory tests are a quick, cursory check and often miss many of the failures that are detected by Memtest86. [...] Since Memtest86 is a standalone program it does not require any operating system support for execution. It can be used with any PC regardless of what operating system, if any, is installed. The test image may be loaded from a floppy disk or may be loaded via LILO on Linux systems. Any Unix, Windows or DOS system may be used to create a boot floppy or bootable CDROM.

ämne

Blockera reklamen

Postat 2004-06-20, kl 22:18 • Ämne: Internet

Webben är smockfull med reklam för allt mellan himmel och jord. I bästa fall tar reklamen bara plats på skärmen, och i värsta fall är den ett stort irritationsmoment. En del webbplatser är så översållade med reklam att de i princip är oanvändbara.

Spray, MSN och Passagen är bara några exempel. Än värre är företag som Doubleclick som förutom reklam också använder tracking cookies för att kartlägga besökarens intressen. Men det finns enkla sätt att slå tillbaka.

Reklamen hämtas ofta från andra servrar än själva sidan. Och genom att själv översätta reklamservrarnas adresser i hosts-filen kan man peka om dem rakt ut i kapernaum. På så sätt slipper man se reklamskräpet. Mike Skallas tillhandahåller en hosts-fil som regelbundet uppdateras med kända reklamservrar. Dessa adresser pekas om till användarens egen dator (loopback). Jag har kört med den installerad några månader och har bara positiva erfarenheter. Den finns till och med ett riktigt installationsprogram för den som inte vågar gå in och rota själv.

ämne

Hitta hem till familjen Simpson!

Postat 2004-06-19, kl 16:22 • Ämne: Skoj
Springfield

The Simpsons är förmodligen den bästa tecknade TV-serien som någonsin gjorts. Efter hela 15 år tuffar den bara på och det ryktas som kommande långfilmer. Jag är imponerad över hur de har lyckats etablera och fördjupa karaktärerna och ändå bibehålla deras dynamik. Att författarna lyckas komma på nya fräscha idéer efter så många avsnitt är smått otroligt.

I de många vilda äventyren har tittaren fått följa med runt i Springfield och besöka alla dess märkliga platser. Nu finns det också en karta så man kan hänga med ordentligt.

Undrat var KBBL Radio ligger i förhållande till Kwik-E-Mart? Eller vad Homer åker förbi på vägen från jobbet till Moes? Då är du inte ensam.

Jerry Lerma och Terry Hogan har luskollat alla avsnitten och skapat Guide to Springfield USA!

Naturligtvis kan en sådan karta aldrig bli fullständigt korrekt då de olika avsnitten ibland motsäger varandra - det är trots allt bara underhållning. De har ändå lyckats mycket bra och kartan är ett måste för varje Simpson-älskare!

ämne

MOS 6581 Rockar än!

Postat 2004-06-18, kl 03:25 • Ämne: Datorhistoria

1981 fick Bob Yannes uppdraget att konstruera ett ljudchip till Commodore C64. Det viktigaste var inte priset eller att det skulle vara speciellt elegant. Det viktigaste var att konstruktionen fick plats på den tillgängliga chipstorleken och att han blev färdig snabbt. Mycket snabbt. I övrigt fick han fria händer. Så föddes MOS 6581 Sound Interface Device, mer känt som SID.

1983 började C64 produceras, och i den satt det trekanaliga SID-chippet. Som skulle komma att undersökas i detalj och pressas till sitt yttersta av en hel generation unga musikintresserade datorentusiaster. Resten är som man säger historia. Men vad har det då för relevans idag mer än 20 år senare? Jo, SID lever än.

När Commodore C64 hamnade på en dammig hylla i källaren följde inte musiken med. Den samlas, emuleras, remixas, moderniseras och avnjuts. Flera CD har givits ut med covers på gamla C64-klassiker. Sveriges Radio har sänt program med den bästa musiken från C64 och Amiga.

Chris Hülsbeck, Rob Hubbard, Martin Galway beundras än idag för sina kompositörsinsatser. Det som den oinsatte hör som blipp-blopp är ljuva toner i öronen på en gammal datorräv. Och när man sen lagt på ett riktigt trumspår och lite extra effekter blir det riktigt mysigt. Musiken kom inte bara från spel - de som producerade demos till C64 höll också hög klass. Jag lyssnar ofta på gamla SID-klassiker. Ibland till och med på bussen. Något som fick mina arbetskamrater att tycka att jag gått över gränsen för hur geekig man får vara. So geek me up!

Men jag har faktiskt aldrig ägt en Commodore 64. Jag hade en Oric 1 och en ZX Spectrum på tiden det begav sig. Spectrumens spartanska enkanaliga ljud gjorde att kompisarnas C64 lät ännu bättre. Oricen hade samma typ av trekanaliga ljudchip som sedan hamnade i Atari ST (General Instruments AY-3-8912, kompatibelt med Yamaha YM 2149). Tyvärr jobbade inte de riktigt duktiga kompositörerna inte med Oric som hade en mycket liten marknadsandel.

Hur lyssnar man då? Man kan antingen göra det lätt för sig och leta upp MP3 av gamla låtar på nätet. Eller så laddar man hem en SID-spelare och emulerar. Det finns SID-spelare till alla större operativsystem. Den som är riktigt intresserad kan till och med köpa ett instickskort med SID-chip och sätta i sin PC: HardSID PCI.MOS 6581 Sound Interface Device

ämne

3G till vilket pris som helst

Postat 2004-06-17, kl 18:05 • Ämne: Trådlöst

Operatören Tre är ständigt i blåsväder. Senast för att de lät det gå flera dagar innan de reagerade på att deras kunder inte kom åt att ringa via GSM. 3G har fortfarande sparsam täckning och fungerar rent ut sagt uselt. Telefoner som inte håller måttet. Samtal som bryts när telefonen byter sändare.

Glappet mellan den glassiga reklamen och verkligheten kunde inte vara större. Många är de kunder som tycker Tre borde sluta skryta om videosamtal och MTV i mobilen och se till att den i varje fall kan fungera vettigt som en vanlig telefon! Ovanpå detta kommer deras tvivelaktiga marknadsföring där det är näst in till omöjligt att ta reda på vad den faktiska kostnaden per månad är.

Jag har inte faktiskt inte riktigt förstått vad 3G ska vara bra till. I min GPRS-telefon kan jag prata, skicka text, MMS och till och med surfa med Operas webbläsare. 3G ger bättre bandbredd och tillgång till videotelefoni. Det låter som en häftig idé. Men hur användbart blir det när nyhetens behag har lagt sig? Att kunna ringa skatteverket i kalsonger och skäggstubb tycker jag är en av telefonens stora förtjänster.

Man kan knappast kalla mig teknikfientlig. Men den här gången kan jag inte se hur det fyller något behov. Det verkar mer som om man bygger en 20-filig motorväg mellan Narvik och Kiruna och hoppas att någon har nytta av den. Lite som WAP en gång till. Givetvis är det viktigt att bygga ut infrastrukturen så det blir möjligt att skapa nya tjänster. Men varför börjar man då inte med att dra riktigt bredband till alla istället för att låta Telia sitta och pytsa ut en Mbit här och en där?

3G kostar åtskilliga miljarder. Och hälsoriskerna är inte utredda. Snarare är det så att de nyaste rönen visar att strålningen påverkar hjärnan även vid mycket låga effekter. Bland annat genom att försämra minnet. I ett svep har det blivit väldigt relevant för min egen situation. Häromdagen upptäckte jag att min hyresvärd att upp en 3G sändare på taket på huset där jag bor. Utan att fråga vad vi som bor här tycker. Eller ens informera om att det skulle ske. Så jag hoppas verkligen att det är så fullständigt ofarligt som SSI säger. Annars ligger jag illa till.

Det hade kanske varit bättre att man skyndat lite långsammare. Funderat över vilka tjänster det är vi behöver 3G till. Tagit reda på vilka skadeverkningar det har. Och byggt ut ett fungerande system innan man lurar vanliga människor att köpa nya telefoner som knappt duger att ringa med.

ämne

Microsoft antivirus - ett intressant dilemma

Postat 2004-06-16, kl 15:15 • Ämne: Virus, Microsoft

Microsoft ligger i startgroparna med att utveckla sin egen antiviruslösning. Det är tänkt att konkurrera med företag som F-secure och Symantec.

Microsoft köpte förra året det rumänska företaget GeCAD Softwares antivirusteknik. GeCAD har lång erfarenhet och har producerat antivirusprogram sedan 1994. Enligt Mike Nash som är chef för Microsofts affärsenhet för datorsäkerhet (Microsoft Security Business & Technology Unit) kommer Microsoft att sälja sitt antivirusprogram som en separat produkt och inte som en del av Windows.

Det låter riskabelt. Microsoft stiger in på en marknad där det redan finns aktörer som levererar fungerande lösningar. Om man börjar erbjuda en liknande produkt helt gratis riskerar man att hamna i samma situation som när Netscape kostade pengar och Internet Explorer var gratis. Vilket ledde till att Netscape på ett par år konkurrerades ut och Microsoft hamnade i rättssalen. Om man tar betalt för sin lösning vill man förmodligen också att produkten ska gå med vinst. Och då uppstår en annan intressant situation. Microsoft är det företag som utvecklar Windows och därmed har (viss) kontroll över hur kvalitén och säkerheten. Samtidigt säljer man en produkt vars existens och framgång beror på brister i företagets egna produkter. Man tar i så fall betalt för sina egna fel. Ungefär som om företaget skulle ta betalt för sina servicepacks.

Jag kan tänka mig att en anledning till att man är intresserad av antivirusmarknaden är att Windows säkerhetsrykte är så skamfilat. Och man vill använda kunskapen som antivirusgruppen kan tillföra för att förbättra Windows. Allt Microsoft gör är inte onskefullt. Men samtidigt sätter man foten i en moralisk och politisk myrstack. Det ska bli mycket intressant att se hur man kommer att hantera det. Man får hoppas att de är extremt framgångsrika och lyckas utradera dagens virusplåga med ett gemensamt grepp om Windows säkerhetssituation. I så fall tror jag att både Microsoft och användare blir nöjda!

ämne

Första masken till mobiltelefon

Postat 2004-06-15, kl 17:39 • Ämne: Virus, Trådlöst

Innan någon blir orolig vill jag börja med att säga att det är helt ofarligt. Så, till saken. Någon med för mycket ledig tid har gjort en mask för Symbian som letar efter andra mobiltelefoner med Bluetooth påslaget. Om den hittar en annan telefon med Symbian OS skickar den över sig självt som en installationsfil. Mottagaren måste sen alltså själv acceptera installationen av programmet.

F-Secure: Cabir replicates over bluetooth connections and arrives to phone messaging inbox as caribe.sis file what contains the worm. When user clicks the caribe.sis and chooses to install the SIS file the worm activates and starts looking for new devices to infect over bluetooth.

Blir det inte värre än såhär är det väl okej. Hur dum får man vara om man tar emot och installerar program från en okänd telefon på bussen hem?

ämne

Ingen är perfekt

Postat 2004-06-15, kl 13:51 • Ämne: Säkerhet, Linux

Problem med Windows brukar ge stora rubriker i datorpressen, medan problem med Linux ofta förblir en diskussion på BugTraq. Inte så konstigt kanske då Windows har 90% eller mer av marknaden. Och problem med Windows påverkar betydligt fler människor. Men det är viktigt att det inte blir för ensidigt och ger en orättvis bild.

Ett fel som nog fick alla hostingfirmor som kör Linux att hicka till lite är en brist som gör att en vanlig användare kan ta ner hela burken:

linuxreviews.org: A Linux kernel bug allows a simple C program crash the kernel, effectively locking the whole system. The security hole affects both 2.4.2x and 2.6.x kernels on the x86 and x86_86 architectures. [...] The program works on any normal user account, root access is not required.

Whoops. Att skriva bra och säker programvara är svårt. Och ingen är perfekt.

ämne

Tack Peter!

Postat 2004-06-14, kl 12:35 • Ämne: Aktuellt

Peter Lindberg fixade fram ett GMAIL-konto till mig idag. Det ska blir roligt att kika på. Tack Peter!

Peters blogg hittar man här: Tesugen Check it out!

ämne

Microsofts månadsuppdatering för stelbent

Postat 2004-06-13, kl 22:32 • Ämne: Säkerhet, Microsoft

Bill McCarthy (VB MVP) är inte den som är rädd att säga vad han tycker. Han har skrivit ett inlägg på sin blogg apropå de senaste säkerhetsproblemen med MSIE, och ställer sig frågan varför Microsoft verkar hålla fast vid sina månatliga uppdateringar och inte åtgärdar denna typ av problem direkt.

Bill: MS seems to have adopted a monthly/lunar cycle for security updates. One really has to ask why and at what cost? [...] why is it that Microsoft takes a month to ship critical security updates ? Is it some sick PR campaign to make people think there are less patches, less flaws by only updating your system once a month?

Jag har ställt mig samma fråga. Det är definitivt något som fattas i min RSS feed från Microsoft Security Bulletins. Förmodligen sliter hela gänget med att få ut den försenade XPSP2. Men det betyder inte att man får lov att lämna skeppet vind för våg. Det är bara en tidsfråga innan någon virusmakare hittar ett sätt att baka in det i sin nästa kreation. Då problemet ska vara fixat i XPSP2 är det ju inte orimligt att tänka sig att de redan har en lösning på lager.

Tidigare inlägg

2004-06-10 : Allvarlig säkerhetslucka i Internet Explorer

ämne

Iskall Social Engineering

Postat 2004-06-13, kl 04:23 • Ämne: Säkerhet

DN skriver om en iskall kille som lurat till sig möbler hos en stockholmsaffär. Det är ett utmärkt exempel på vad någon som är riktigt skicklig på Social Engineering kan åstadkomma.

DN: En man med falsk identitet som utgav sig för att vara journalist lyckades förra veckan lura till sig möbler till ett värde av 70.000 kronor [...] Denne presenterade sig världsvant som "Fredrik von Essen" och utgav sig för att representera trendtidningen Highlife.

Bild av Carl Schlyter och soptunnan

Carl Schlyter (miljöpartiet) måste skaffa sig en större soptunna. Eller kanske det borde vara pappersinsamling för att vara helt miljövänligt. Han är i alla fall den kandidat till EU-parlamentet som engagerat sig mest mot mjukvarupatent i Europa.

Och jag skulle inget hellre vilja än att han får möjlighet att stoppa kommissionens patentförslag i sin lilla tunna. Pelle Pettersson (IT-konsult) har frågat kandidaterna via e-post hur de ser på mjukvarupatent.

Carl Schlyter inleder sitt svar med: När jag skriver detta mail har jag Gröna Gruppens kampanj T-shirt "No to software patents" på mig.

Som kuriosa verkar han också vara en ZX Spectrum-kille. Det ger pluspoäng!

För den som undrar är jag inte partipolitiskt aktiv. Jag är inte heller miljöpartist. Men jag vill gärna ha möjlighet att utöva det yrke och intresse jag brinner för även i framtiden.

ämne

Kontraproduktivt kopieringsskydd

Postat 2004-06-11, kl 15:32 • Ämne: Upphovsrätt

Idag firade jag sommarens och helgens antåg med att lyssna på Gyllene Tiders 25års-album "Finn 5 fel".

Jag köper inte så mycket skivor nuförtiden. Dels har den musikaliska huvudfåran gått i en annan riktning än min smak och blivit mer enkelspårig. Dels tycker jag inte om hur skivbolagen säljer fåniga icke-standard audio-CD som inte garanterat fungerar i alla spelare. Sen är det inte heller så kul att veta att ens pengar går till att stötta en bransch som stämmer 12-åriga flickor. Men det är en annan historia. Skivan jag fick med posten är också den kopieringsskyddad. Och det var jag väl medveten om. Men jag gör undantag för Per Gessle. Han är en av de ytterst få musiker som jag får erkänna att jag har som popidol. Han har en förmåga att skriva låtar som gör mig glad helt enkelt. En talang som är få förunnat.

Men att säga att jag lyssnar på skivan är inte helt korrekt. Det första jag gjorde var att starta igång ExactAudioCopy och gå förbi kopieringsskyddet. Jag har alla mina CD som MP3 på datorn och denna blir inget undantag. Det är inte för att jag tänkt begå olagligheter och piratdåd. Det är rena bekvämlighetsskäl. Ännu så länge är det lagligt (och enkelt) att gå förbi spärren och avnjuta sin lagligt inköpta musik när och hur man själv vill. När den nya upphovsrättslagen införs efter årsskiftet är det förmodligen slut med det. Då får jag lyssna på CD-skivan. Men inte forcera skyddet och lyssna på låtarna som MP3. Kommer Thomas Bodström hem och jobbar gratis som discjockey åt mig må det vara hänt. Fast det låter inte så troligt.

Jag betvivlar starkt att kopieringsskydden på CD-skivor har någon som helst positiv effekt. Dels är de triviala. Och om någon skulle misslyckas kan de hämta hem en kopia via P2P. Det är till och med så att man riskerar att motivera köpare att lära sig använda P2P-program för att de vill lyssna på sina skivor på datorn. Det kan ju inte ligga i skivbolagens intresse.

Det borde inte heller ligga i deras intresse att reta upp sina kunder. Jag brukade köpa en hel del skivor förr. Faktiskt så många att jag nära på fyllt en Billy-bokhylla. Tyckte jag att det lät bra så avskräckte inte ens hutlösa 200:-. Det är en helt annan känsla att ha ett riktigt album i handen än en taskig CDR. Det är inget alternativ för mig.

Men så beslöt sig skivbolagen för att börja sälja sekunda produkter. Plötsligt var det inte säkert de fungerade i bilstereon. Eller i den bärbara. Att försöka öka försäljningen genom att straffa de som betalar för sig är ingen lysande idé. Då stängde jag plånboken och började lyssna på de skivorna jag redan köpt. Och jag vet många som resonerar på samma sätt. Inget företag har någonsin tjänat långsiktigt på att trampa på sina betalande kunder. Någon dag kanske skivbolagen inser det också.

ämne

Enklare hantering av Trusted Zone

Postat 2004-06-10, kl 17:19 • Ämne: Säkerhet, Internet Explorer

Veckans säkerhetshål i Internet Explorer har på nytt aktualiserat frågan om att surfa med Javascript avstängt. Microsofts Michael Howard (Security Program Manager) anser att detta är en av de viktigaste försiktighetsåtgärderna som en genomsnittlig användare bör vidta.

Hans andra råd är att aldrig köra som lokal administratör. I kort intervju på Channel9 besvarar Michael Howard frågan:What are the top things the average person can do to protect themselves

Då Javascript används av de flesta webbplatser är detta en smula obekvämt att ha det ständigt avstängt eller godkänna script varje gång det körs. Det bästa sättet är att själv lägga till de webbplatser man litar på i Trusted Zone och bara låta dessa köra Javascript. Här uppstår nästa problem. Det är en ganska obekväm process att gå in i inställningarna och lägga till i Trusted Zone manuellt. Men som tur är finns det hjälp. Susan Bradley (SBS MVP) tipsar på sin blogg om ett gammalt verktyg till MSIE5 som gör det enkelt att lägga till betrodda webbplatser i Trusted Zone.

Susan: if I have a web site that I really trust and know if an OK site, I add it to “my trusted site” list. Now this normally is a pain and a bother.... tools, options, security, internet zone, add sites, blah blah... way way way too cumbersome. Well not anymore! My MVP buddies showed me this gem"

Ladda hem

Internet Explorer 5 Power Tweaks Web Accessories

Från beskrivningen: "Restriction commands in the tools menu help you set sites as trusted or restricted without having to wade through the control panel to find the controls."

Det fungerar även till MSIE6 SP1 och påstås även fungera med XPSP2. Inte alls dumt.

ämne

Allvarlig säkerhetslucka i Internet Explorer

Postat 2004-06-10, kl 03:23 • Ämne: Internet Explorer

I måndags postade Jelmer Kuperus från Holland information på e-postlistorna Full-Disclosure och BUGTRAQ om två nya säkerhetshål i Internet Explorer. Dessa kan kombineras med en tidigare känd brist för att ta kontroll över besökarens dator.

I tisdags gick Secunia ut med en varning och bekräftade problemet. Det första livstecken jag har sett från Microsofthållet ännu så länge är Harry Waldrons blogg (Server Security MVP - okej, inte formellt anställd, men insatt) som helt kort postade Secunias information på sin blogg.

De aktuella säkerhetsbristerna liknar fel som tidigare har drabbat Internet Explorer och fixades så sent som med MSIE 6 SP1. Dels är det en Cross Zone Scripting som gör att Javascript som laddas ner från Internet kan komma att köras i Local Machine Zone (LMZ). Det andra är en brist som gör att sidor laddade från Internet kan ladda hjälpfilen för Internet Explorer (C:\WINDOWS\Help\iexplore.chm) från den lokala disken.

Detta kombineras med en tidigare känd säkerhetslucka (ADODB.Stream) som gör att ett JavaScript som körs i LMZ kan ladda hem och köra valfri kod. Denna säkerhetslucka har varit känd sedan augusti förra året men inte ansetts som allvarlig då den kräver att koden körs i LMZ. Tyvärr visar det sig att försummelsen att fixa den bristen nu blir sista delen i pusslet för en angripare att ta över kontrollen och köra valfri kod hos besökaren.

Det som gör Jelmers information alarmerande är att han själv hittat den genom att en webbplats lyckades installera spyware på hans maskin. Trots att han hade alla uppdateringar installerade. Angreppet är mycket finurlig, och kräver att flera olika script körs i en iframe och en dialog. För till sist få ett script att köra i LMZ som då kan ladda hem och installera program. Javascriptkoden levereras i flera steg och är kodad med Windows Script Encoder. På så sätt lyckas den lura flera antivirusprogram från att upptäcka vad den försöker göra.

Lösning

  • Symantec har uppdaterat Norton Antivirus 2004 så att den blockerar skriptet.
  • Stäng av scripting för allt utom betrodda webbplatser.
  • Kör Firefox eller Opera tills Microsoft hittar en lösning
  • Den som har installerat Windows XP Service Pack 2 Beta är redan skyddad
ämne

Microsoft Developer Tools Roadmap

Postat 2004-06-09, kl 20:54 • Ämne: Visual Studio

Microsoft har uppdaterat sin roadmap för Visual Studio. Visual Studio codename "Whidbey" har nu fått produktnamnet Visual Studio 2005. "Yukon" får namnet SQL Server 2005. Nästnästa version av Visual Studio, som planeras i samband med Windows codename "Longhorn", kallas codename "Orcas".

Med Visual Studio 2005 kommer den första riktigt stora uppdateringen av .NET Framework: v2.0.

Läs mer: Microsoft Developer tools Roadmap

ämne

TODO or not TODO

Postat 2004-06-09, kl 03:40 • Ämne: Microsoft, Patent

CNET rapporterar att Microsoft har beviljats patent på ännu en höjdaruppfinning. Denna gången handlar det om automatiska att-göra listor som skapas från kodkommentarer.

CNET: "Leave a "TODO" comment in the source code, and an authoring application automatically creates an item in the task list. Check an item off on the task list, and the corresponding source code comment is changed."

Äh. Jag har aldrig gillat den funktionen ändå...

ämne

Venuspassage

Postat 2004-06-08, kl 10:32 • Ämne: Vetenskap

Idag var det dags för den första venuspassagen sedan den 6:e december 1882. Då var den dock inte synlig i Sverige. Senast det gick att se här var 3:e juni 1769. När Adolf Fredrik var kung.

En venuspassage är när Jorden, Venus och Solen befinner sig på en nästan rät linje med Venus i mitten. Dessa kan bara ske i juni eller i december, och inträffar för det mesta parvis med mer än hundra år mellan varje par. Nästa passage kommer att ske den 6:e juni 2012. Universitetet i Oslo och Norsk Astronomisk Selskap har under förmiddagen haft flera webcasts av begivenheten på Astronomy.no

Venuspassage 2004-06-08 - Bilder från astronomy.no

Klicka på bilden för att se en större version.

ämne

En bra tekniker måste vara geek

Postat 2004-06-07, kl 13:20 • Ämne: Arbetsliv

Håkan Ogelid skriver idag i sin krönika i Computer Sweden att "En bra tekniker måste vara nörd". Och jag är böjd att hålla med, till en viss gräns.

En tekniker som inte förmår att kommunicera eller sälja sin genialitet kommer aldrig att nå någon framgång. Men det betyder inte att han måste vara något socialt geni. Att nördar inte går att prata med är en myt. Nyhetsgrupper, e-postlistor och IM är uppfunna av nördar som vill kommunicera. Nördar älskar att berätta om vad de sysslar med. Det gäller bara att våga fråga. Men alla måste inte arbeta i konsultbranschen. I många fall räcker det långt att en tekniker kan förklara sina idéer för sin chef och sina kollegor. Det skadar naturligtvis inte om han är en duktig humanist som är expert på att hantera kunder, men det är trots allt inte hans specialitet. Om så vore kunde företaget klara sig utmärkt utan att avlöna säljare. Däremot duger det inte att en tekniker är en bra humanist med tveksam teknisk kompetens. Funkar det inte så funkar det inte.

Håkan undrar i sin krönika vad det är för mening att övertyga de som hellre vill bli programledare på Kanal5 till att studera teknik. Den frågan är mycket väl befogad. Den som inte brinner för sitt yrke och inte vill "ge järnet" kommer väldigt snart att få byta jobb. Informationsbelastningen och den snabba förändringstakten inom datorområdet gör att man verkligen måste vilja hänga med för att orka göra det. Det är inte så mycket ett jobb som en livsstil. Det är att vara beredd, villig och mottaglig att lära sig nya saker 365 dagar om året. Det orkar man inte göra om man inte är nyfiken, öppen och genuint intresserad. Då kommer utbrändheten som ett brev på posten.

Med Internets intåg har spelplanen blivit global, och man konkurrerar inte längre med duktiga människor i sin stad, eller ens i sitt land. Man konkurrerar med de skarpaste hjärnorna var de än finns. Då måste man älska det man gör och inte tro att fortbildning kommer att serveras på fat.

Måste en duktigt tekniker då alltid sitta och mögla framför datorn? Inte alls! Det handlar mindre om antal timmar än om inställning. Det är nog snarare så att det är viktigt att hitta andra intressen för att inte tappa det viktiga suget.

Sen handlar det såklart om vad man lägger i ordet nörd. Jag brukar föredra att använda ordet Geek då det är mindre negativt värdeladdat. En Geek är för mig en person som är kompetent och djupt engagerad inom sitt område. En duktig person helt enkelt.

ämne

Googla med bilder

Postat 2004-06-06, kl 12:25 • Ämne: Google

Scobleizer bloggar om en ny helhäftigt idé från Google. Nu kan man få en liten förhandstitt i form av en bild bredvid varje sökresultat.

Dock måste man installera ett litet program för att det ska fungera. Och det kräver Windows / MSIE 5 eller senare.

Uppdaterat: Johan Hermansson påpekar det jag missade i min entusiasm:
MoreGoogle - not from Google
Ljusgrå text är också text...
ämne

NX Stöd för Linux

Postat 2004-06-06, kl 04:08 • Ämne: Säkerhet, Linux

Stöd för AMD64s NX-flagga (No Execute) finns nu till Linux. Stöd för NX är en av de förändringar som kommer att införas med Service Pack 2 till Windows XP senare i sommar. Men redan nu finns det alltså till Linuxkärnan.

Tidigare har det inte funnits något fungerande sätt att förbjuda processorn att köra kod i minne allokerat för data. Normalt är detta inget problem då utvecklaren/kompilatorn håller reda på vad som är vad. Men om inte indata från användaren kontrolleras noga kan säkerhetsproblem uppstå. Ett exempel är att användaren matar in mer data än utvecklaren gjort plats för, och lyckas på detta sätt att skriva information utanför den del av minnet som är avsett som inmatningsbuffert (buffer overrun). I vissa fall lyckas angriparen då skriva över programkod och kan få processorn att köra den kod angriparen vill.

AMDs 64-bitars processorer är alltså först på plan med NX. Intel antas komma att lägga till det i sin P4 och Transmeta säger också att de kommer att införa det i sina processorer.

Ökända exempel på angrepp som utnyttjat denna typ av buggar är Windows-maskarna Blaster (buffer overrun i MS-RPC) och Sasser (buffer overrun i MS-LSASS).

Mera information om patchen till Linux finns här: NX (No eXecute) support for x86, 2.6.7-rc2-bk2

ämne

VS2005 Team System TechEd Demo

Postat 2004-06-05, kl 14:40 • Ämne: Visual Studio

En video från den övergripande föreläsningen om Microsoft Visual Studio 2005 Team System på TechEd 2004 finns nu att ladda hem från Microsoft. Den är cirka 70 minuter lång och innehåller en demo av VSTS på strax under en timme.

De demonstrerar hur VSTS integrerar projekthantering, arbetsflöde, arkitektur, kodanalys och testning i ett och samma verktyg. Videon finns med tre olika bitrates. Tyvärr är skärmbilderna ganska suddiga även på 300Kbit. Det kan ändå vara intressant att se VSTS "in action" och hur det används när de olika rollerna i ett projekt interagerar.

Videon hittar man här: VSTS TechEd 2004 General Session Demo

ämne

Ge mig fingret så spelar jag en låt!

Postat 2004-06-05, kl 02:53 • Ämne: Säkerhet, Upphovsrätt

The Register skriver i en artikel att svenska Thinking Materials har konstruerat en mediaspelare tillsammans med biometriföretaget Veritouch. Idén är att musik och video ska kopplas till användarens fingeravtryck och därmed inte gå att kopiera.

Thinking Materials skriver på sin hemsida:

"a revolutionary, patented hand held audio/video player capable of biometrically encrypting and decrypting digital media content. The authorised user authenticates via a fingerprint and can then use iVue to listen to music and watch DVD-quality videos"

Att medieindustrin är desperat att hitta ett sätt att trygga sina vinster är inte så konstigt. Inte heller att ett biometriföretag gärna vill sälja sin teknik. Det stora mysteriet är hur de tror att någon ska vilja köpa spelaren och lämna ut sitt fingeravtryck för att få lyssna på musik. Den hamnar då inte i min ficka i första taget.
ämne

Att poppa eller inte poppa

Postat 2004-06-03, kl 21:57 • Ämne: Bloggande

En annan gammal god Netch-kompis som har kommenterat på min nya webblogg är Andreas. Han tycker det är lite knöligt att de sidor som jag länkar till inte öppnas i ett nytt fönster automatiskt.

Jag tycker han har en bra usability-poäng där. Om man vill ha kvar inlägget och titta på flera sidor som det länkar till, är det praktiskt att få dem öppnade i ett andra fönster. Observera att jag pratar om ett gemensamt läsfönster för alla länkar - inte ett nytt fönster för varje länk. Tyvärr är det extremt inflammerat att öppna nya fönster. Det är en funktion som missbrukas så ofta att jag helt enkelt inte vågat använda den. Så jag står lite mellan två hötappar.

Tips, råd och kommentarer mottages tacksamt.

ämne

Tack Håkan!

Postat 2004-06-03, kl 10:06 • Ämne: Bloggande

Min gode vän Håkan Kjellerstrand har skrivit ett väldigt snällt och uppmuntrande inlägg i sin webblogg. Den som skulle har gjort den stora missen att inte redan ha hans blogg på bevakning redan bör omgående bege sig till hakank.blogg. Jag vågar mig på gissningen att hans blogg är en av Sveriges absolut bästa resurser för statistiska klurigheter, filosofiska tankenötter, datamining och roliga geekigheter. Det är en mycket omfattande och spännande samling inlägg Hakank har skrivit under de senaste två åren året. Check it out!

ämne

Myten om renlärig .NET

Postat 2004-06-03, kl 01:29 • Ämne: .NET

Scott Hanselman skriver i en artikel på MSDN om renläriga .NET-utvecklare och utvecklingschefer som tror att deras produkter blir bättre bara de förs över till 100% managed code.

Ny och gammal kod kan samexistera

Många företag har mycket investerat i gamla väl fungerande COM-komponenter skrivna i till exempel C++. Dessa samexisterar utmärkt med ny kod skriven i något språk som körs under CLR. COM Interop sköter om det administrativa och det går att göra anrop åt båda hållen. Ändå finns det en tendens att se applikationer skrivna helt i managed mode som överlägsna sådana som utnyttjar befintlig kod. Microsofts marknadsföring fungerar.

Som utvecklare är det alltid roligt att få chansen att rätta gamla fel och modernisera sin applikation. Men det kostar. Och det är inte helt säkert att man kan räkna hem en sådan investering. Minskade kostnader för underhåll på grund av ökad produktivitet står mot arbetstiden som krävs för nyutveckling. Den senare bör naturligtvis ske i managed code av den enkla anledningen att det är åt det hållet Microsoftplattformen rör sig på längre sikt. Men Applikationen blir inte bättre i den bemärkelsen att den inte använder COM och Win32.

Använder COM Internt

.NET Framework använder själv COM internt och utgör på sina ställen ett mycket tunnt lager. Som exempel på detta nämner Scott GDI+. Samma sak blir tydligt när man läser Programming Microsoft Windows With C# av Charles Petzold som är en bok jag rekommenderar om man är intresserad av GDI. Trots att bokens inriktning är C# är exempelkoden då och då nere och anropar Win32 via P/Invoke.

Scott: "The implication is that an application entirely written in .NET, presumably without any interoperation with COM or direct calls to the Win32 API, is superior to an application that is a combination of technologies. The tragic irony of the goal of "as little interop as possible" is that the very .NET Framework you're building upon is itself a fantastic example of interoperability. [...] The .NET Framework Library itself isn't "pure .NET," as it uses every opportunity to take full advantage of the underlying platform primitives."

Man måste komma ihåg att ny kod innebär nya buggar. Det är troligt att ens produkt initialt får högre felfrekvens än den som varit i drift en längre tid. En möjlig fördel med att helt klippa av banden med Win32 och COM är att koden rent teoretiskt blir plattformsoberoende. I praktiken är det som vanligt lite svårare. Projekt som DotGNU Portable.NET och Mono är under utveckling. Men för att det ska vara av något värde måste kompatibiliteten vara i det närmaste perfekt. Java Applets (client-side Java) demonstrerade detta väldigt tydligt. Löftet om Write once run everywhere förvandlades till Write once debug everywhere.

Fungerar bäst på Windows

Det ser bra ut i reklamen att .NET Framework är oberoende av vilket operativsystem man använder. Men Microsoft ser nog helst att det fungerar suboptimalt på annat än Windows. Egentligen är portabiliteten inte någon nyhet. Win32 finns emulerad på Linux via WINE. COM är både språk- och plattformsoberoende (med stark lutning mot C++). Till exempel finns COM för MacOS X. Konkurrenterna har helt enkelt valt att utveckla andra alternativ som förvandlats till öppna standarder. Till exempel CORBA.

Säkerhetsaspekten är mer intressant. Code Access Security (CAS) har ingen direkt motsvarighet i unmanaged code och är en stor förbättring. Det förutsätter dock att man verkligen använder sig av CAS. I en värld där var och varannan normal användare dagligen kör som lokal administratör på sin dator ser det inte helt ljust ut. Med det menar jag inte att användarna är korkade - det är helt enkelt väldigt obekvämt att köra Least Privilege User på Windows. Denna situation ser ut att bli bättre med Longhorn.

Mera information

Läs mer i artikeln: The Myth of .NET Purity, Reloaded

ämne

Microsoft får patent på dubbelklick

Postat 2004-06-02, kl 22:38 • Ämne: Patent
Microsoft har beviljats patent på att välja funktion efter hur användaren klickar på en knapp. Olika saker genomförs vid enkelklick, nedtryckt, eller dubbelklickad knapp. Det är så man tror det är första april. Ytterligare ett bevis på hur vansinnigt det amerikanska patentsystemet är.

"Alternative application functions are launched based on the length of time an application button is pressed."

Läs mer här: Microsoft granted patent for double-click (Sidan är nu borttagen)

Förtydligande: Patentet gäller för "apparater med begränsade resurser". I klartext PDA och SmartPhones. Lustigt nog har jag dessa funktioner på alla mina mobiltelefoner, min Palm, och t.om ett 20 år gammalt digitalur (håll inne för att ändra tid). Man kan inte annat än skratta åt det.

EU är på väg att införa patent på mjukvara. Vad de svenska kandidaterna till EU-parlamentet anser om detta kan man läsa här: Var står partierna idag?

För den som inte orkar surfa dit kan jag upplysa om att Socialdemokraterna och Moderaterna röstade för att Sverige skulle stödja det irländska ordförandeskapets förslag, som innebär obegränsad patenterbarhet för datorprogram. Om detta tycker jag inte.

ämne

Bruce Schneier ryter till om XPSP2

Postat 2004-06-02, kl 02:22 • Ämne: Säkerhet, Windows

När Microsoft släppte Service Pack 1 till Windows XP passade de på att spärra de två mest spridda volymlicensnycklarna som använts för piratinstallationer. Ett rättvist och smart drag kan man tycka. Men knappast effektivt. Microsoft tillhandahöll nämligen själva både verktyg och instruktioner om hur man kunde ändra sin licensnyckel utan att installera om.

Opatchade system skadar även betalande kunder

De kopierade volymlicenserna var lagligt köpta av något företag. Och de behövde verktygen för att byta till nya icke-spärrade nycklar. Med andra ord var åtgärden ganska meningslös. För att inte säga rent av skadlig. De som förhindrades att uppdatera, eller inte vågade försöka, använder samma Internet som alla andra.

Och opatchade system som sprider virus och äter upp bandbredd skadar även betalande kunder. Speciellt de som köpt en laglig licens och slarvat med att hämta uppdateringar, och kanske åker på ett virus serverat av en piratinstallation. En vanlig svenssonfamilj är kanske inte van att deras hemelektronik behöver uppmärksamhet en gång i veckan. Med andra ord var det som att skjuta sig själv i foten.

Är säkerhet verkligen prioritet ett?

Och nu är det dags igen. Microsoft har slagit på den stora trumman om hur säkerhet är nummer ett inom företaget. Windows dras med stora trovärdighetsproblem på säkerhetsfronten och Microsoft inser att det inte håller i längden. Service Pack 2 har högsta prioritet och kommer att innehålla en rad åtgärder för att strama upp säkerheten. Man lägger 2,2 miljarder på att rulla ut den. Men inte heller denna gång har man tänkt låta personer med ljusskygga installationer använda uppdateringen. Detta har fått Bruce Schneier (författare till bl.a. Beyond Fear) att ryta till.

I en artikel på NetworkWorldFusion skriver han:

Bruce Schneier: "This decision, more than anything else Microsoft has said or done in the past few years, proves to me that security is not the company's first priority. Here was a chance for Microsoft to do the right thing: to put security ahead of profits."

Tidigare inlägg

2004-05-28: Microsoft snålar inte på säkerheten

ämne

Ekonomiskt perspektiv på säkerhet

Postat 2004-06-02, kl 01:18 • Ämne: Säkerhet, Ekonomi

För många av oss som arbetar med teknik är datorsäkerhet i första hand en teknisk fråga om vem som har tillgång till vad. Men man kan också ha ett ekonomiskt perspektiv på säkerhet.

Politiska och ekonomiska faktorer

Efter tekniken är utbildning näst i tur så att användaren vet hur och vad han får göra. Samt kontrollrutiner för att försöka upptäcka och förhindra insiderbrott och social engineering. Det är inte lika vanligt att man angriper problemet med politisk eller ekonomisk teori, och analyserar vem som tjänar och vem som förlorar på olika produkter och åtgärder. Förutom då möjligen kostnaden för dataförlust, rent installationspris och vems huvud som får rulla om det hela visar sig vara otillräckligt.

Ross Anderson från Cambridge University har skrivit en uppsats som heter Why Information Security is Hard - An Economic Perspective (PDF) som behandlar de ekonomiska (och till viss del politiska) faktorer som ligger till grund för de avvägningar som görs vid säkerhetsarbete.

En grundobservation han gör är:

Ross Anderson: "In general, where the party who is in a position to protect a system is not the party who would suffer the results of security failure, then problems may be expected."

Som exempel på detta tar han DDoS-attacker som drabbar målet för attacken, men där de enskilda (omedvetna) hemanvändarna är ansvariga för säkerheten hos de datorer som deltar. Samma resonemang gäller för datorer som kör med öppna mail relays och drabbar andra med störtfloder av skräppost. Viss förändring har börjat synas på detta området eftersom operatörerna i allt större grad försöker att förhindra att deras nät utnyttjas, och att de stänger av kunder som upprepade gånger anmäls till abuse.

Artikeln är Microsoft-kritisk och antyder att en del av Microsofts säkerhetssystem har som sekundärt mål att låsa kunden hårdare till deras produkter. Han förklarar också de ekonomiska krafterna bakom Microsofts filosofi "Those who ship win", och varför det är viktigare att vara först på marknaden än att göra den bästa produkten.

Fear, Uncertainty, and Doubt

Det är sällan som produkter och åtgärder väljs enbart på grundval av nytta och kvalité. IBM har länge haft ett grundmurat förtroende de kunnat använda för att sälja sina produkter. FUD – "fear, uncertainty, and doubt" påstås härstamma från den metod IBMs försäljare använde för att få kunden att välja trygga, säkra IBM istället för en annan kandidat.

Ross Anderson: "managers often buy products and services which they know to be suboptimal or even defective, but which are from big name suppliers. This is known to minimize the likelihood of getting fired when things go wrong."

Försvararens dilemma

Andra höjdpunkter i uppsatsen är en beskrivning av den ekonomiska svårigheten att hitta och täcka över alla säkerhetshål. Den som anfaller att system har alltid en fördel. Det behövs bara ett säkerhetshål för att vinna. Men försvararen måste täcka alla för att vinna. Ross gör en jämförelse med terrorism. Samhället måste försvara alla alltid var de än befinner sig. En terrorist kan själv välja vart och när han vill slå till.

Ross Anderson: "Attack is simply easier than defense. Defending a modern information system could also be likened to defending a large, thinly-populated territory like the nineteenth century Wild West: the men in black hats can strike anywhere, while the men in white hats have to defend everywhere."

Ett operativsystem har samma problematik. Det ska vara tillåtet att köra vilken sorts program som helst. Utom vissa speciella program som är skadliga. Till exempel virus.

ämne

Stanley Lippman om C++.NET framtid

Postat 2004-06-01, kl 06:23 • Ämne: Visual Studio, C++

I .NET-världen har C++.NET hamnat lite i skymundan. Övergången till managed extensions och att släppa ifrån sig kontrollen över minneshanteringen är inte helt smärtfri. Framförallt C# har charmat många som tidigare jobbade med C++. Stanley Lippman (mjukvaruarkitekt för Visual C++.NET och lite av en husgud för mig) svarar på frågan om C++ framtid inom .NET i sin blogg:

Stanley Lippman: "C++/CLI [...] is both an ongoing ECMA standard and in liaison with the new ISO-C++ committee work. I personally guarantee that anyone that feels passionate about C++ will be both delighted by and engaged with the C++/CLI language that will be shipped with Visual Studio 2005"

Läs mer här: A Reader Bleakly Asks About the Future of C++ within Microsoft

ämne

Virtuellt minne i Windows XP

Postat 2004-06-01, kl 05:18 • Ämne: Windows

En ganska vanlig fråga jag får är hur man stänger av det virtuella minnet i Windows XP. Ofta har frågeställaren använt Windows 95 tidigare och där sett att man där kan stänga av det virtuella minnet. Det korta svaret är att det kan man inte - och man ska inte heller försöka!

Bakgrunden till frågan brukar vara att användaren vill göra sin dator snabbare och tror sig kunna gör det genom att förhindra att minnessidor skrivs ut till disk. Vanligtvis är det när han köpt en dator med mer än 1Gb internminne och tycker att det borde räcka mer än väl. Det som gör frågan svår att besvara ordentligt, är att det krävs viss förkunskap hos frågeställaren. Utan någon kunskap om hur virtuellt minne fungerar är det svårt att ta till sig hur NT-kärnans Memory Manager fungerar. Och varför det inte är något som man behöver bry sig så mycket om.

I normal installation stödjer Windows 2000/XP totalt 4 GB minne. 2Gb används av Kernel Mode (system, drivrutiner etc) och 2Gb av User Mode (användarens program och data). Även om man har 2Gb fysiskt minne betyder inte det att man täckt upp för hela adressrymden. Varje process har 2Gb privat virtuellt adressutrymme. Och dessa måste översättas till en gemensam fysisk adressrymd.

Perris Calderon har skrivit en utförlig förklaring hur Windows hanterar virtuellt minne i en artikel på tweakhound.com med titeln: Understanding Virtual Memory

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot