Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

Gårdagens rykte visade sig vara korrekt. Microsoft publicerade idag en fix för bland annat 180 Solutions Trojan. Se tidigare inlägg från den 10/6: Allvarlig säkerhetslucka i Internet Explorer.

Vulnerability Details:
* Navigation Method Cross-Domain Vulnerability - CAN-2004-0549
* Malformed BMP File Buffer Overrun Vulnerability - CAN-2004-0566
* Malformed GIF File Double Free Vulnerability - CAN-2003-1048

Detta är en god bit på vägen. Dock återstår fortfarande fler allvarliga buggar som inte är fixade. Men till skillnad från den förra uppdateringen som bara stängde av ADODB.Stream, fixar denna uppdateringen orsaken istället för verkan. Så det gör i alla fall världen lite säkrare om man måste använda Internet Explorer. Så uppdatera omedelbums!

Tidigare inlägg

2004-07-29 : Patch för MSIE på väg

ämne

Patch för MSIE på väg

Postat 2004-07-29, kl 22:17 • Ämne: Säkerhet, Internet Explorer

Det ser ut som om det börjar röra sig på säkerhetsfronten angående MSIE

Internetnews.com: "Microsoft plans to release an out-of-cycle security patch next week to fix a software flaw that led to the sophisticated Download.Ject malware attack, company officials disclosed on Wednesday."

Fast nu har jag precis lärt mig tycka om Firefox.

Det är lätt hänt. Det behövs bara 11 bytes för att sänka MSIE enligt ett inlägg på Full Disclosure.

Phuong Nguyen: "IE seems to have problems handling Cascading Style Sheet (CSS) elements and therefore an attacker can easily crash IE by using the following, imho, weird combinations of CSS elements: <STYLE>@;/* There you go, 11 bytes is all it takes to crash IE. Having <STYLE>@;/* alone is enough, other HTML tags are not necessary."

Whoopsie. :>>

ämne

Semestertider

Postat 2004-07-22, kl 02:49 • Ämne: Aktuellt

Det är juli och semestertider. Därav tystnaden på bloggen. Man kan inte leva av datorer allena. B)

ämne

Rengör dina Office-dokument

Postat 2004-07-18, kl 05:25 • Ämne: Säkerhet, Microsoft Office

Microsoft Office filformat har med åren blivit en de facto standard för hur man lagrar dokument. Konkurrenternas ordbehandlare och kalkylprogram står och faller med hur bra de kan läsa och skriva Word och Excelfiler. På gott och ont. Filformaten tillhör Microsoft och dokumentationen är inte fritt tillgänglig. Det är ett problem för de utvecklare som vill göra kompatibla programvaror. Samtidigt är det som användare skönt att ha standardformat alla kan läsa. I varje fall med lite god vilja. Även om det kan vara lite krångligt om man inte använder Windows, finns det Office-liknande program och omvandlare till de flesta plattformar. Jag har till och med en liten applikation som kan visa Word-dokument på min mobiltelefon.

Spåra Ändringar

Ett problem med MS Office-formaten är att de har sina fallgropar. Om man inte är försiktig kan dokument som man skickar iväg eller publicerar på nätet innehålla lite mer information än vad författaren tänkt sig. Funktionen Spåra Ändringar (Track Changes) har hängt med sedan Office97 och gett upphov till en och annan pinsamhet genom åren.

Till exempel publicerade Alcatel 2001 ett dokument om ett säkerhetshål i deras DSL-modem utan att ta bort tidigare ändringar och resonemang som de nog helst skulle vilja behålla för sig själva.

Förra året gick den brittiska regeringen på samma nit när de publicerade en dossier om vad de visste om Iraks vapenprogram. Den visade sig både innehålla rena plagiat av uppsatser publicerade på nätet och en historik som inte stämde med den officiella versionen om vem som haft tillgång till dokumentet. Denna låg sedan till grund för påståenden som Colin Powell gjorde i sitt berömda tal i säkerhetsrådet.

Andra som också råkat ut för samma sak är SCO och Microsoft. SCO hade först tänkt sig stämma Bank of America innan de ändrade sig och stämde DaimlerChrysler angående licensiering av Linux.

CNet: "In the case of SCO's lawsuit against DaimlerChrysler, the Word document identified Bank of America as a defendant until Feb. 18--at 11:10 a.m., to be exact. The location for filing the suit also was switched from Bank of America's principal operations in California to Michigan, DaimlerChrysler's home state, on Feb. 27."

Microsofts själva har publicerat flera Word-dokument på sin webbplats "Get the facts" som innehåller pinsamma redigeringar. Get the Facts är en kampanj där Microsoft jämför Windows och Linux och berättar varför Windows är ett bättre alternativ. Det är en ganska rolig läsning att se hur de har filat på texterna för att få det att se så snyggt ut som möjligt. Hur trovärdig informationen är får var och en bedöma.

Enligt Microsoft Knowledge Base Article 290945 - How To Minimize Metadata in Microsoft Word 2002 kan Word-dokument innehålla bland annat följande metadata:

  • Your name
  • Your initials
  • Your company or organization name
  • The name of your computer
  • The name of the network server or hard disk where you saved the document
  • ther file properties and summary information
  • Non-visible portions of embedded OLE objects
  • The names of previous document authors
  • Document revisions
  • Document versions
  • Template information
  • Hidden text
  • Comments

Läser man artikeln av Simon Byers (AT&T Labs-Research) i IEEE Security & Privacy nämner han en en viktig sak som saknas i Microsoft lista: "Information about the hardware on which the document was composed"

XML

I och med att Office har börjat jobba med XML tillkommer fler problem. Dana Epp (Security consultant) har skrivit på sin blogg om hur man enkelt kan använda Google för att hitta intressant information i Office-dokument som ligger ute på nätet. Hur häftigt som helst.

Dana Epp: "If you have some time to blow one day, go onto google and do a search for some interesting files. During some competitive research I was doing one day I typed something like: filetype:xls inurl:sales It ended up giving me results for sale forecast information for various companies who have erroneously configured their servers."

Lösningar

Men vad gör man då åt problemet? Ett sätt är att lära sig använda funktionerna för att spåra ändringar och veta hur man stänger av dem. Ett annat är att alltid använda PDF när man lägger ut dokument på nätet. Klippa och klistra allt till ett nytt dokument när man är färdig bör också fungera. Eller om man inte vill behöva bry sig alls kan man använda Microsofts verktyg för att skrubba rent sina Office-filer: Office 2003/XP Add-in: Remove Hidden Data

ämne

Mina förhoppningar på Media Center Edition 2004

Postat 2004-07-14, kl 05:03 • Ämne: Windows

Dag König ställde ett par mycket bra frågor angående mitt inlägg Windows XP Media Center åt folket. Det fick mig att tänka efter och här kommer mitt något långrandiga svar.

Dag: Men tror du att vi har stor nytta av det operativet innan vi kan få svenska tv-listningar och dylikt?

Vad jag förstår har DVR (Digital Video Recorder) redan fått sitt genombrott i USA. Mycket på grund av TiVo som är nära kopplad till tablåerna och som man kan ställa in att t.ex. alltid spela in Vänner när det än går. Eller automatiskt spela in alla filmer av Stephen Spielberg. Den har tydligen till och med någon funktion som automatiskt försöker gissa vad man vill se baserat på vad man tittat på tidigare. Och föreslår program eller helt enkelt spelar in dem automatiskt. Illa fräckt. Och lite läskigt.

Jag har aldrig sett eller provat en TiVo, men jag har hört många lustiga historier om vad folks TiVo hittat på. Om MCE stödjer likadana funktion faller det såklart platt om man inte kan få in TV-tablåerna. Jag tror att det är en slags prenumerationstjänst som gör att TiVo får all information den behöver. Man kan ju hoppas att det är enkelt att ställa in. Eller att man i varje fall kan koppla systemet till Text-TV.

Jag har hört det ryktas om att ett kort som ska stödjas är MSI TVAnywhere. Till stor glädje för mig eftersom jag redan har ett sådant. Det är ett av de billigaste korten för TV-In (549:-) och väldigt bra. Och det har även stöd för Text-TV. Fast för mig är dessa fiffiga funktioner mest grädde på moset. Jag vill ha något som är lika enkelt och smidigt som en videobandspelare men ändå har direkttillgång till alla filmer och musik jag har på datorn. Jag har systematiskt fört över det mesta av mina gamla videoband till DivX. Allt eftersom hårddiskpriserna går ner kan det till och med bli möjligt att lägga över alla sina DVD på en serverdator och slippa rota i hyllan. Ungefär som med MP3.

Just nu har jag en liten Shuttle barebone "skolåda" som står i stereoracket och kör Windows XP. TV in/ut och så styr jag det hela med en trådlös mus/tangentbord (radio). Filmer och musik har jag på en filserver i datorrummet och pytsar över vid behov. Men gränssnittet är svårt att få att fungera bra på en TV. Jag har inte heller hittat något riktigt bra TV-ut kort. Jag har provat med äldre Matrox, Asus Geforce 2, Gainward Geforce 4, Det inbyggda nForce2 och två olika varianter av de externa omvandlarna från Grand Ultimate. Det bästa hitintills har varit Grand Ultimate 2000 via RGB. Tyvärr gick mitt exemplar sönder och min handlare rekommenderade storebror Ultimate XP Pro som har fler inställningar. Tyvärr har det inte samma bildkvalitet. Nåväl åter till saken.

Dag: Vilket är de största fördelerna tycker du?

MCE är i princip en uppgradering av Windows XP. Det är tre saker som jag hoppas att det ska ge mig:

  1. Bekvämlighet: Det går att använda trådlös mus och tangentbord. Men det är lite klumpigt. Och det är långt ifrån att bara trycka på play. En knepighet är att dessa trådlösa manicker är gjorda för att användas till vanliga datorer och inte för soffbruk. Räckvidden är för kort, alltså måste jag ändå dra fram mottagaren till soffbordet. En sladd som det snubblas på nästan på daglig basis. En genomtänkt fjärrkontroll som kunde styra allt skulle inte vara dumt. Jag hoppas att fjärren till MCE ska göra att jag kan ställa undan tangentbordet och bara använda det i undantagsfall.
  2. Genomtänkt gränssnitt: Det finns flera bra mediaspelare till Windows. Men det verkar inte som om någon har tänkt så mycket på hur det ser ut på en TV. Läckra skins och snygga former i all ära, med från soffan blir det bara en gröt. Det ska vara få, stora och tydliga knappar som inte går att missa. Jag hoppas att gränssnittet är vältestat och enkelt så det bara är att klicka runt. Och att man inte behöver använda för mycket tredjepartsprogram för att spela upp t.ex. DivX. Lämplig testperson är en 80-årig närsynt tant med starr. Kan hon navigera gränssnittet så är det godkänt. Lustigt nog är MSIs program för att spela in video ett typiskt exempel på hur det inte ska se ut.
  3. Standardiserade komponenter: När jag skulle köpa mitt TV-kort kändes det som att totalt blint köpa grisen i säcken. Hur mäter man hur bra en TV-tuner är? Får man bra programvara med? Inte en aning. Det finns en lista över vilka kort som är testade med Adobe Premiere och som skulle kunna vara någon form av kvalitetsstämpel. Men det är inte det programmet jag tänkt använda, och det Adobes lista är ganska kort. Jag hoppas att MCE ska göra att hårdvarutillverkarna får en serie krav de ska leva upp till för att få logon ”Designed for Windows XP Media Center Edition”. Då vet man att de i varje fall håller en viss klass. Dessa måste såklart ha drivrutiner som stödjer någon form av gemensamt API som MCE kan använda för att styra kortet. Och om då tredjepartstillverkare kan skriva program för detta API, så vips kan man välja kort och spelare separat och veta att de fungerar ihop. Ett TWAIN för videokort kan man säga.

Det är fullt möjligt att alla mina förhoppningar kommer på skam. Tidiga versioner av MCE kritiserades för att det inkluderade DRM som gjorde att man inte kunde spela in TV-program, bränna på DVD och titta skivan på någon annan dator. Helknasigt. Likaså Microsofts ovilja att sälja MCE till OEM eller retail. Min högst personliga gissning är att den nuvarande versionen kräver exakt rätt hårdvara för att inte balla ur. Det vet Microsoft. Och de vet också att om de släppte den till en vidare publik så förstörde de varumärket MCE. Antagligen har de filat på skavankerna och tuffat upp den till version 2004 som ska komma i höst. Jag hoppas Microsoft lyckas bra så jag klarar mig med (ännu en) fjärrkontroll i TV-soffan.

ämne

Juli månadsuppdatering 2004

Postat 2004-07-14, kl 02:57 • Ämne: Säkerhet, Microsofts månadsuppdatering

Månadens uppdatering från Microsoft innehåller sju separata säkerhetbulletiner och 22 patchar. Bland annat finns det nu en fix för säkerhetshålet i Windows Help / MSIE. Rock on!

Microsoft: Windows Security Updates for July 2004

ämne

Windows XP Media Center åt folket

Postat 2004-07-13, kl 04:18 • Ämne: Windows

Äntligen släpper Microsoft på bromsarna för Windows XP Media Center Edition och låter fler tillverkare sälja MCE. Tidigare har det bara varit några få utvalda tillverkare som fått använda MCE till specifika produkter. Highend-PC med highend-prislapp. Vad jag vet har de inte ens gått att få tag på i Sverige.

ExtremeTech: "Previously, Microsoft had restricted sales of its Windows XP Media Center Edition to PC OEMs like Hewlett-Packard Corp. Now, a new version of the software due this fall will be much more widely distributed, a boon to chip companies which design TV tuner cards as well as PC graphics chips [...] Later this fall, Microsoft will roll out details of a new "Designed for Windows XP Media Center Edition" logo program that will limit the system builders' choice of components to a select list."

Äntligen kanske jag slipper sitta med ett klumpigt trådlöst tangentbord till min lilla vardagsrums-PC. Jag har sett att man kan köpa fjärrkontrollen via eBay och sedan försöka använda den med det vanliga Windows XP. Men det skulle ändå vara en lapptäckslösning. Så detta är verkligen goda nyheter!

ämne

MSIE: Klicka så kapar vi

Postat 2004-07-13, kl 03:34 • Ämne: Säkerhet, Windows, Internet Explorer

Den senaste MSIE-buggen som dykt upp är riktigt skojig. HijackClick 3 går ut på att man snabbt flyttar undan och byter ut fönstret när användaren klickar på en länk. På så sätt får man Windows att tro att användaren gör en drag and drop. Hur klurigt är inte det?

Microsoft har tydligen åtgärdat detta problemet två gånger tidigare. Då var det javascript-funktionerna window.moveTo och sedan window.resizeTo de täppte till. Denna gången åker man istället dit på Popup.show(). Tricket fungerar enligt upptäckaren även med XPSP2 - andra hävdar motsatsen.

Kör man Firefox är man säker. Man ska dock inte glömma att uppdatera Firefox med den senaste patchen så att man får protokollet shell: svartlistat från länkarna. Det har varit lite skriverier om att Firefox släpper igenom shell:. Några har haft problem att skilja det från problemet med MSIE Shell.application och således gjort det till en större sak än det är. Men det är ingen fara på taket.

Ladda, Patcha, Skölj...

ämne

Vodafones spamplåga

Postat 2004-07-12, kl 01:31 • Ämne: Trådlöst, Skräppost

Jag har varit kund hos Vodafone i snart 6 år. Mycket har förändrats. Till exempel hette företaget Europolitan på den gamla goda tiden. Och min första Nokia med grön skärm kändes som ett tekniskt underverk Europolitans tjänster fungerade smärtfritt och jag har aldrig tidigare funderat på att byta operatör. Snarare tvärt om har jag rekommenderat Europolitan till alla som frågat. Men den gamla monokroma Nokian är nu ett minne blott. Och tyvärr snart också mitt förtroende för Vodafone.

För ett halvår sedan började de skicka skräppost och reklam-SMS till mig. I slutet på deras meddelanden upplyste de om att det bara var att kontakta kundtjänst om man inte ville ha fler så kallade "erbjudanden". Så jag gjorde det. Och passade på att vänligt påpeka att det var en smula fräckt av dem att använda Opt-Out. Speciellt som jag får betala en avgift för varje avisering via SMS på e-post till mitt Euromail-konto. Med andra ord får jag betala Vodafone för att få reda på om Vodafone skickat skräppost till mig.

Några månader gick och så började det plinga till i telefonen igen. Mera reklam! Aningen mer irriterad denna gång ringde jag kundtjänst och påpekade att jag faktiskt avsagt mig all reklam redan. De lovade bättring och att all reklam nu skulle vara avstängt för mitt abonnemang. Men icke! För några dagar sedan var det dags igen. Denna gång fick jag nöjet att vänta i en hel timme för att komma fram till kundtjänst för att upplysa om att jag inte uppskattar att bli väckt mitt i natten av "information" om nya "erbjudanden". Och att jag känner mig illa behandlad när de blankt struntar i att jag inte vill ha reklam!

Slaget om e-posten verkar redan vara förlorat. Skräpposten dominerar stort och när Outlook flaggar om nya meddelanden känns det inte speciellt akut att omedelbart kolla vad som tagit sig förbi filtren. För det är nästan alltid så som är fallet. Ska SMS gå samma öde till mötes?

När telefonen piper till vet jag att det är avsett för mig och att det är ett viktigt meddelande. Alla jag känner gör precis som jag och kollar telefonen direkt när de hör SMS-signalen. Det är vad som gör SMS så bra att kommunicera med: asynkront, koncist, snabbt, verkningsfullt. På samma sätt känner jag ingen som har någon större tolerans för skräp-SMS. Men det har tydligen inte marknadsföringsfolket på Vodafone insett.

Att skicka skräppost till sina egna kunder är korkat. Att skicka skräp-SMS är självmord. Efter 6 år som kund kan jag tänka mig att byta om Vodafone fortsätter att strunta i vad jag tycker. Alternativet är att skaffa mig ett program som svartlistar vissa telefonnummer. Jag har sett att det ska finnas sådana applikationer att få tag på. Tydligen är det ett verkligt problem i andra länder. Men när man måste skaffa sig ett sådant för att filtrera ut SMS-reklam här i Sverige är det en svart dag i mobiltelefonins historia.

Reklamnissarna ska helt enkelt hålla sina kladdiga fingrar borta ifrån min telefon!

ämne

Intel NX

Postat 2004-07-08, kl 13:23 • Ämne: Säkerhet, Hårdvara

Nu börjar även Intels planer för NX-stöd läcka ut. Det verkar som om Intel kommer att börja leverera processorer med NX i slutet av september (end of Q3). Till att börja med är det processorer med socket T (LGA775) som får NX och de kommer då att markeras med ett J i slutet på modellbeteckningen.

Tidigare inlägg

2004-06-06 : NX Stöd för Linux

ämne

Googlemacro till Visual Studio

Postat 2004-07-07, kl 22:07 • Ämne: Visual Studio, Google

Använder du Google ibland när du sitter och kodar? Lägg till ett macro i Visual Studio så kan du lätt markera text och göra sökningar med Google direkt inne i utvecklingsmiljön.

Woo Seok Seo har skrivit ett kort och enkelt macro som gör detta. Det är också en bra anledning att lära sig lite om macros i Visual Studio. Observera att koden använder koreanska Google och det kanske är en god idé att ändra den URLen.

ämne

Freenet

Postat 2004-07-06, kl 23:48 • Ämne: Fildelning

Freenet är ett krypterat P2P-nätverk som består av en samling noder som tillsammans utgör ett virtuellt nätverk med distribuerad datalagring.

Lokal proxy krypterar

För att koppla upp sig på Freenet installerar man en Freenet-klient på sin dator. Denna hanterar kommunikationen till andra datorerna som kör Freenet och agerar som en nod i nätverket Freenet. Klienten fungerar också som en proxy som ger tillgång till innehållet på Freenet från en vanlig webbläsare. Användaren använder alltid denna lokala proxy för att hämta information från Freenet.

För användaren fungerar det precis som på webben med sidor och länkar. Mest tydligt blir det när man tittar på adressen.

En typisk freenetadress: http://127.0.0.1:8888/SSK@M7yZgrl8gwtAe1xEcR5Xyv4tFsoPAgM/fiw/7//

Sidan hämtas alltså via den lokala freenetproxyn (127.0.0.1 port 8888). Och den går till Freesite Insertion Wizard. Ett verktyg för publicering.

Total anonymitet

Freenets främsta mål är garanterad anonymitet och total yttrandefrihet. Det finns ingen kontroll över vad som publiceras och censur är en praktisk omöjlighet. Freenet är fullständigt P2P och har således ingen central punkt som kan tas ned. Den enda som behövs för att komma igång är en hänvisning till en annan nod (dator som kör Freenet-klienten) som redan ingår i nätet. Det får man genom att ladda hem en fil med "seeds" från Freenets hemsida eller genom att få en adress till en kompis befintliga nod.

Varje nod donerar resurser

Varje klient som deltar i nätet donerar en viss mängd lagringsplats och bandbredd. Det kan vara hur mycket eller lite som man själv vill. Det man inte får bestämma är vilket innehåll som lagras eller distribueras via ens dator. Faktum är att man inte ens får veta det. Både kommunikationen och lagringen är krypterad, och det går inte att se vilken del av Freenet ens egen dator råkar lagra. Det kan vara sidor man själv har hämtat eller information som passerat genom ens nod på väg till en annan användare. Av anonymitetsskäl finns det heller ingen sökmotor utan man får leta efter information via etablerade portaler. Om man inte vet sidans ID på förhand. Den som använde Internet före sökmotorernas intåg känner igen sig.

Inga funktioner för radering av innehåll

Det saknas medvetet funktioner för att radera eller ändra en redan publicerad sida. Det går bara att publicera nya sidor och nya versioner existerar parallellt med de gamla. Information replikeras bland noderna efter hur populär den är - det vill säga hur ofta den efterfrågas. Populär information lagras på många noder och sprids i nätverket. Information som inte efterfrågas sjunker i prioritet och försvinner så småningom när mera efterfrågad information behöver dess lagringsplats. Det gör att nätet är mycket svårt att ta ned. Så länge någon nod har kvar en kopia av sidan finns den kvar i nätverket. Och då det är efterfrågan istället för utbudet som styr replikeringen är det svårt att fylla nätet med skräpdata.

Tiga ihjäl enda metoden

Det är näst intill omöjligt att ta reda på vem som man ska gå på för att få bort någon specifik sida, då ingen vet exakt var denna finns lagrad eller i hur många exemplar. Det är snarare så att ju mer man letar efter en viss sida desto mer replikeras den! Om man vill ha bort någon sida från Freenet är alltså enda sättet att kollektivt ignorera den tills den ersätts med något annat. Eller ta ner hela Freenet. Tanken med att man inte ska kunna peka ut vem som lagrar informationen, eller ta reda på vem som publicerat den, är att alla ska kunna publicera och vidarebefordra sina åsikter utan att riskera att bli straffad efteråt. Det finns alltså en uttalad filosofi och politisk ståndpunkt som drivkraft bakom konstruktionen.

Noderna ska veta så lite som möjligt

Freenets skapare verkar ha gjort sitt yttersta för att se till att varje nod vet så lite som möjligt om sin omgivning. Att noder kan hackas och ersättas med loggande klienter har tagits med i beräkningen. Den egna noden känner bara till de noder som den själv kommunicerar med och vilken av dem den ska tala med för att hämta en känd resurs. Och när användaren vill komma åt en sida den inte hämtat tidigare skickar klienten ut en broadcast med sidans ID. Om inte någon av de närmaste grannarna har sidan lagrad skickas förfrågan vidare till den nodens alla grannar tills sidan hittas eller ett angivet antal nätverkshopp har uppnåtts. Om någon dator har en kopia av sidan så skickar den tillbaka den samma väg som anropet kom. På så sätt lär sig noderna efterhand om sin omgivning och bygger upp sakta sin egen routingtabell.

Motmedel mot trafikanalys

Men även om man hittar en sida som bara ligger ett nätverkshopp bort (man kan sätta max antal nätverkshopp i klienten) betyder det ändå inte att man vet vem som lagrar sidan. För Freenet räknar bara hopp ibland. För att man inte ska kunna veta om det är ens granne som lagrar eller letar efter något, eller om den bara är en proxy för en nod ännu längre bort. Allt för att motarbeta eventuella försök till trafikanalys. Många parametrar för klientens agerande på TCP/IP-nivå går också att ställa in, så det är inte helt trivialt att se på trafiken att någon kör Freenets klient. Därför har Freenet inte heller någon förvald TCP-port utan ett förslag slumpas fram vid installationen.

Freenet är en intressant konstruktion. Men utan sökmotor och med noder som går upp och ned hela tiden är det svårt att hitta något alls. Det finns inga garantier för att informationen man letar efter ens finns kvar i nätet. Den sista kopian kan ha försvunnit med en nod som gått ned. Eller kanske hamnat på ett annat subnät som inte längre har kontakt med det man själv befinner sig på. Mera troligt är att man helt enkelt inte vet om att den finns.

Tar tid att komma igång

Det första dygnet kommer man i princip inte åt någonting alls innan klienten har börjat fylla på sin routingtabell. Och mycket längre sträckte sig inte mitt tålamod. Inträdeströskeln är ganska hög. Det är mest intressant ur en rent teknisk synvinkel. Baksidan med total publiceringsfrihet utan något ansvar blir också uppenbar om man tittar på vad som finns på Freenet. Att döma av länkarna i portalerna tycks det ha attraherat en salig blandning av allt som normalt är för extremt att publicera på nätet. Usenet inkluderat.

Grundfilosofin är att demokratin behöver meddelande- och yttrandefrihet utan risk för repressalier. Och jag håller med. I resursstarka diktaturer som t.ex. Kina tror jag Freenet mycket väl kan vara till stor nytta. Men i västvärlden är Freenet ännu så länge för mycket lösning på för lite problem.

Freenet är implementerat i Java och är Open Source.

ämne

The Day That IT Died

Postat 2004-07-04, kl 23:54 • Ämne: Aktuellt, Skoj

Channel9 kan man se Pat Helland sjunga om "The Day that IT Died" från deras framträdande på TechEd Europe. David Chappell och Don Box kompar på piano och gitarr.

"Bye, Bye Mr. CIO-Guy, Gonna outsource every resource ‘til the business runs dry."

Läs artikeln: Pat Helland - Sings Bye Bye to Mr CIO Guy - [direktlänk till videon]

Jag har inte riktigt bestämt mig för vad jag ska pyssla med när programvaruindustrin flyttat ut till Polen, Indien och Kina. "Skomakare bliv vid din läst" var i varje fall inget bra råd när skoindustrin flyttade till Sydostasien.

ämne

Switch to ... uh ...

Postat 2004-07-03, kl 22:23 • Ämne: Skoj

I'm Steve, And I'm a super villain

Jag snubblade av en händelse över en gammal Flash av Chris Hill om varför en riktig superskurk måste köra Linux. Detta och fler skojigheter hittar man på Ubergeek. Wicked!

Microsoft har idag släppt en workaround för Internet Explorer som förhindrar att adodb.stream ActiveX kan skriva till disk från Internet Explorer. Därmed drar man undan mattan för de trojaner som använt sig av säkerhetshålet i adodb.stream.

Overview: "Adodb.stream provides a method for reading and writing files on a hard drive. This by-design functionality is sometimes used by web applications. However, when combined with known security vulnerabilities in Microsoft Internet Explorer, it could allow an internet web site to execute script from the Local Machine Zone (LMZ). This occurs because the ADODB.Stream object allows access to the hard drive when hosted within Internet Explorer."

Den workaround som Microsoft nu släppt som officiell är exakt samma enkla registry-förändring som fanns att hämta på eeye.com redan den 10:de juni. Och om man tittar noga på sidan och på datumen på filen ser man att den bara är uppdaterad den 10/6. Patchen däremot skrevs och släpptes redan i början av oktober förra året. Inte så konstigt kanske då säkerhetshålet omskrevs på e-postlistan Full Disclosure redan den 26/8 2003: FullDisclosure: ADODB.Stream object.

Denna fix löser inte en rad andra problem som rapporterats under senare tid - combined with known security vulnerabilities. T.ex. problemen med säkerhetszonerna kvarstår. Detta är minsta möjliga insats som görs efter en storm av klagomål online, och vad som nog måste ses som en PR-mässig katastrof för ett företag som har sagt security is number one. Ska man hitta något positivt är det att Microsoft låtit bli att vänta till nästa månadsuppdatering med att släppa patchen.

Uppdateringen finns tillgänglig via Windows Update.

ämne

Knäcka MD5 och Lanman med rainbow tables

Postat 2004-07-02, kl 00:13 • Ämne: Säkerhet, Kryptografi

Ett intressant tillkännagivande dök upp på e-postlistan Full-Disclosure idag. Det handlar om en webbplats som experimenterar med att knäcka MD5 hashar.

MD5

MD5 är en matematisk envägsfunktion som räknar fram en 128-bitars kontrollsumma ("fingeravtryck") för en godtyckligt lång text. Det är mycket svårt att konstruera två klartextmeddelanden som har samma MD5 och på samma sätt näst intill omöjligt att beräkna klartexten som skapat en viss kontrollsumma. Ronald Rivest (MIT/RSA) konstruerade MD5 först och främst som ett sätt att kontrollera att en längre bit text inte blivit manipulerad (se RFC 1321).

Men då det är osannolikt att ens två korta bitar klartext har samma MD5-värde är det också en enkel och populär metod att spara lösenord. När användaren matar in sitt lösenord beräknas MD5 för texten och jämförs med den MD5 som redan finns sparad i databasen.

Rainbow Tables

Metoden som används av passcrack.com är Rainbow Tables som implementerar Philippe Oechslin "faster time-memory trade-off technique". För att ta reda på vilken klartext som hör till en given MD5 beräknar man helt enkelt systematiskt MD5 på så mycket klartext som möjligt och sparar det i en associativ tabell. Naturligtvis är detta bara möjligt att genomföra för mycket begränsad mängd klartext då tabellen blir väldigt stor och tar lång tid att beräkna.

Rainbow Tables handlar om hur man gör detta så effektivt som möjligt.

Beskrivning: "(MD 5 Online Cracking using Rainbow Tables) is dedicated to crack md5 hashes online through web interface. [...] we can break almost all hashes (99.56%) which are created from lowercase plaintext with letters and/or digits up to length of 8 characters. [...] total size of the tables reach 47.6 Gb. Average time for checking one hash is ~40 minutes, but the speed increases as the count of hashes is getting higher. So generally the speed of cracking is ~150 hashes / 24 hours."

Det hela fungerar så att man matar in sin MD5 och hamnar i en kö. Sen är det bara att vänta och titta på resultatsidan. Vem som står bakom sidan och deras motiv är oklart. Men förmodligen är det fråga om en kul grej kombinerat med kryptografiskt intresse. Det finns flera projekt som arbetar med att visa att MD5 är föråldrat och osäkert. Och förr eller senare får de antagligen rätt. Säkerhet är som bekant en kamp mellan de resurser och den beslutsamhet som läggs ned på skydd respektive angrepp.

Lanman

Under Future Plans: "In future we plan to add more Rainbow Tables - like a-z;A-Z;0-9;symbols [7] and 0-9 [13] as well as complete LM hash tables"

Det riktigt intressanta här är LM, som betyder Lanman. Sarca rainbow tables är en annan webbplats som påstår sig redan kunna knäcka alla lösenord sparade som Lanman-hashar och som är begränsade till bokstäver och siffror samt de vanligaste tecknen - Cracked hashes: 2780 of 4233 (65.67%). Deras totala tabellstorlek är 18,7Gb och ett lösenord knäcks på i genomsnitt 5 minuter.

ämne

Orkut Reloaded

Postat 2004-07-01, kl 01:59 • Ämne: Google

Wired skriver i en artikel att Orkut Buyukkoktens förre arbetsgivare, Affinity Engines, misstänker att han tagit med sig företagets kod till Google.

Affinity Engines som startades av Orkut Buyukkokten och den tidigare studiekamraten Tyler Ziemann, utvecklar programvara för samma typ av social-networking som Orkut nu gjort för Google. Affinity Engines tycker att Orkut.com är så lik deras egen produkt, inklusive nio specifika buggar, att de nu dragit Google inför domstol.

Google: "We have repeatedly offered to allow a neutral expert to compare the codes in the two programs and evaluate Affinity's claims, but Affinity has rejected that offer. We have investigated the claims ... thoroughly and concluded that the allegations are without merit."

Det är nog inte så ovanligt att utvecklare bär med sig kod från ett företag till ett annat. Oavsett om de får det eller inte. Många gånger är det lösningar på triviala problem, till exempel en klass för att hantera en fil. Sådana saker som inte är svåra, men som är tråkiga att koda gång på gång. De blir lätt en del av en verktygslåda.

CNet: "The anonymous online survey of more than 3,000 developers found that almost 70 percent of respondents keep a personal library of code that they freely carry from employer to employer."

Fast det behöver inte ens vara fråga om kopierad kod. Man lär sig av erfarenhet hur man bäst löser ett problem och därför är det kanske inte så konstigt om ens kod liknar något man skrivit tidigare. Och om lösningen liknar en tidigare lösning finns det risk att bristerna gör det samma.

I fallet med Orkut verkar det vara något med betydligt högre verkshöjd som kopierats. En hel lösning. Om det nu inte bara är ännu en i raden av alla de som vill tälja guld på ett framgångsrikt företags bekostnad. Det skulle inte förvåna mig ett dugg!

Wired: "Meanwhile, for Google, the suit comes at an awkward time. The company is currently in the process of an initial public offering, which is expected to be one of the biggest ever."

Det är lite lustigt att man kommer dragandes med detta nu. Luften verkar ha gått ur Orkut.com för länge sedan. Rimligtvis borde man väl ha sett eventuella likheter redan i februari.

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot