Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

Säkerhetshålet i Winamp fixat

Postat 2004-08-30, kl 01:40 • Ämne: Säkerhet

Nullsoft har nu täppt till säkerhetshålet i Winamp och uppmanar alla som kör Winamp 3.x eller 5.x att uppgradera till den nyaste versionen (v5.05).

Felet består i Winamps hantering av skins. En angripare kan lägga upp en preparerad fil av typen Winamp Skin file (WSZ – egentligen ett ZIP-arkiv) på en webbsida, och om besökaren använder Internet Explorer är det förvalda beteendet att filen automatiskt hämtas hem och öppnas med Winamp. Winamp kan sedan fås att köra en exekverbar fil som skickats med i WSZ-filen.

ämne

Longhorn utan WinFS

Postat 2004-08-27, kl 23:12 • Ämne: Windows Vista

Föga förvånande ser ut som om Microsoft har tagit sig vatten över huvudet med Longhorn. Idag blev det officiellt att WinFS (Windows File System) inte kommer att bli klart att levereras med Longhorn 2006.

WinFS

WinFS är det nya filsystemet som är tänkt att köras ovanpå NTFS och bland annat göra indexering och sökningar med metadata effektivare. I ett första steg kopplar man nu loss WinFS från Longhorn och skjuter det på framtiden.

"Microsoft will deliver a Windows storage subsystem, code-named "WinFS," after the "Longhorn" release. The new storage system provides advanced data organization and management capabilities and will be in beta testing when the "Longhorn" client becomes available."

Förmodligen är huvudskälet att utvecklingen av WinFS måste synkroniseras med serverversionen av Longhorn (Blackcomb) som inte är tänkt att komma ut förrän tidigast 2007.

Avalon och Indigo

Från början var det sagt att det nya presentationslagret Avalon och det nya enhetliga kommunikationslagret Indigo enbart skulle gå att köra på Longhorn. Avalon ersätter WinForms, är mera anpassat till högupplösta skärmar. Det för in idéer från WebForms i Windowsvärlden och använder XML och skript för att skapa applikationer. Indigo är tänkt att integrera och förenkla kommunikation som idag görs via en mängd olika metoder (Remoting, Web services, COM+, MSMQ). Det nya är att man nu tänker sig att göra detta tillgängligt även på Windows XP och 2003 Server. Det är ett stort steg. Och förmodligen vad som krävs för att få det att slå igenom ordentligt.

"Microsoft also announced that the Windows WinFX developer technologies, including the new presentation subsystem code-named "Avalon" and the new communication subsystem code-named Indigo, will be made available for Microsoft® Windows XP and Windows Server 2003 in 2006."

Priset för detta är nog att man kommer att skära i Avalon. Indigo är den del som man kommer att hålla fast vid längst. I praktiken spelar det kanske inte så stor roll. Att man ibland får offra funktionalitet för att bli klar i vettig tid är en del av verkligheten. Så det inte förvånande att allt godis inte kommer med.

För de om redan har börjat planera applikationer baserade på WinFS är det dåliga nyheter. Men det är priset för att vara ute tidigt. Longhorn är ännu så länge långt ifrån att ens vara beta, och spelreglerna för att få tjuvtitta på alfa måste man ha i bakhuvudet. Det är inte förrän produkten officiellt är färdig som man kan säga exakt vad som finns och inte finns. På det hela taget tycker jag att det ändå är goda nyheter.

Att man nu släpper in äldre versioner av Windows att använda de nya delarna uppväger. Det kommer att göra övergången klart mycket enklare än den stora vägbula som teknikskiftet annars skulle bli.

Under den senaste veckan har det varit lite kontrovers och motstridiga uppgifter angående vilka säkerhetshål i Windows XP som kvarstår även efter att SP2 installerats.

Den mest intressanta säkerhetsbristen är en variant på tidigare brister i drag’n’drop med Internet Explorer som gör att besökare på en webbsida kan få en exekverbar fil installerad i startup-mappen på sin dator. På grund av sensationsbegäret som blåst upp varje litet tecken på småfel i SP2 har denna relativt allvarliga säkerhetsbrist drunknat i bruset. Och tyvärr är hålet redan ute och utnyttjas på riktigt enligt SANS.

Beskrivning

För att detta ska fungera krävs det dock att användaren själv är behjälplig med att klicka och dra en bild. Det gjorde att den första Proof of Concept som presenterades av Http-equiv inte föreföll vara lika akut. Mikx tog sedan steget vidare och kom på att man kan lägga bilden i anslutning till rullningslisten. Resultatet blir att så snart användaren drar i rullningslisten för att komma längre ner på sidan så installeras filen. Hepp! Det lät så otroligt att jag var tvungen att kontrollera detta själv.

Jag installerade en fräsch Windows XP Professional (Engelsk version). Drog ner alla uppdateringar som finns tillgängliga. Och installerade Service Pack 2 RTM. Sedan gick jag direkt till Minx demosida med MSIE och kan därmed bekräfta att det verkligen fungerar. Hålet som utnyttjas är en brist valideringen av användandet av "Shell:". Secunia varnar också för att det möjligen går att utnyttja samma hål via en klickning istället. Det ser alltså ut som om Firefox fortsätter att vara ett tilltalande alternativ.

Lösning

ämne

Nyhetshamstring

Postat 2004-08-24, kl 02:28 • Ämne: Internet

Innan jag började använda en nyhetsaggregator bevakade jag mellan 5 och 10 webbplatser varje dag. Lite beroende på tid och lust. Mer än så var inte riktigt praktiskt görbart utan att ta tid från annat viktigare arbete. Så RSS är en skänk från ovan.

Mitt val föll på SharpReader och jag tycker fortfarande att den är väldigt smidig. Plötsligt gick det utmärkt att hålla reda på 50 webbplatser istället för 10. Och de som inte tillhandahåller någon RSS-feed hamnar som andrasortering. Men som vi alla vet från våra ständiga datoruppgraderingar är mera kraft och nya metoder bara en temporär respit. På senare tid har jag kommit på mig själv att inte vilja starta SharpReader eftersom jag vet att jag kommer att få titta på aviseringar flera minuter när den berättar att jag har 1543 olästa inlägg.

En nödlösning blev att installera NewsGator som integrerar med Outlook och lägga in de viktigaste prenumerationerna där. Det visade sig vara en bra idé. Vetgirig som jag är har jag dragit på det i det längsta att rensa bland mina RSS-prenumerationer. Men så idag fick yxan gå. Från över 300 ner till strax över 100. Och några till måste nog bort innan det blir riktigt bekvämt.

Min slutsats är att RSS ger mig möjligheten att bevaka ungefär 10 gånger fler resurser jämfört med manuell hantering. Frågan är vad som krävs för att ta nästa skutt? Nyckelordsfiltrering är en möjlig väg. Eller någon form av agent som lär sig vad jag är intresserad av och vilka webbloggar och nyhetsresurser jag prioriterar.

Som vanligt är det inte brist på information som är problemet. Det är sållningen.

ämne

Skadeglädjen flödar

Postat 2004-08-20, kl 09:36 • Ämne: Säkerhet, Windows

Förväntningarna på Service Pack 2 verkar ha övergått i baksmälla. Det var väntat att SP2 skulle ha bieffekter när förvalda beteenden ändras från bekväma till säkra inställningar. Och varje liten avvikelse rapporteras med sedvanlig skadeglädje.

De flesta problemen verkar ha sin grund i att brandväggen slås på när uppdateringen installeras. Det förvirrar många användare som inte förstår vad det är som har pajat deras applikationer. Att konfigurera en brandvägg korrekt är inte så lätt ens om man vet vad man sysslar med. Och definitivt ingen lek för användare som bara använder sin dator att kolla sin e-post.

Jag har full förståelse för att företag vill ta det lite lugnt och testa releaseversionen ordentligt. Men det ger tyvärr intrycket av att uppdateringen inte håller måttet eller är välkommen. Till den grad att en del hemanvändare drar sig för att installera den. Eller till och med tror sig klara sig bättre utan.

Det hela blir inte bättre av att webbplatser som Heise Security slår på stora trumman för något som i det större perspektivet är en mycket marginell brist. Tyvärr har man inte heller något reellt val. Alla de luckor som SP2 fixar går bara inte att lämna öppna.

ämne

Färre IT-studerande är inget problem

Postat 2004-08-17, kl 14:31 • Ämne: Arbetsliv

Aftonbladet skriver om att ungdomarna inte vill utbilda sig att arbeta med IT. Jämfört med toppåret 2000 har antalet ansökande minskat med 78%. - ”Jaha?” säger jag. Med tanke på den skyhöga arbetslösheten bland systemutvecklare är det väl bara bra att folk söker sig till bristyrken istället.

Kanske är det dags att satsa på kvalité istället för kvantitet. De som tog en sväng om IT-branschen med 20 veckors C-kurs från Komvux i bagaget har ju alla möjligheter att plugga vidare nu. Just utveckling är lite lustigt på det sättet. Ingen skulle väl ge sig på att arbeta som läkare eller advokat utan utbildning. Men alla som någonsin installerat Visual Basic 6 tror att de tillhör världseliten. Suck.

Branschorganisationen IT-företagen påstår också för att de svenska IT-företagen kan få problem att dra nytta av den uppåtvändande konjunkturen på grund av brist på arbetskraft. Tala om att sakna verklighetsförankring. Jag antar att det är samma företag som släppte folk som heta potatisar och paniksparkade för ett par år sedan.

Ett bra företag ser lite längre än näsan räcker och vidareutbildar sin personal. Inte bara använder människor som en förbrukningsvara som anskaffas och kasseras vartefter månadens behov. Alla har ett gemensamt samhällsansvar. Även företagen. Givetvis ligger det i IT-företagens intresse att det finns ett så stort utbud och konkurrens som möjligt. Då pressas lönerna. Men samtidigt är det en aning oförskämt mot de som går arbetslösa att säga att de inte duger eller räcker till.

Sällan har det varit så god tillgång på duktigt folk som just nu! Ta vara på det istället för att gnälla om att det blir färre välja och vraka bland om fem år. Det är en självförvållad situation.

ämne

Transformers breakdance

Postat 2004-08-13, kl 00:39 • Ämne: Skoj

Screenshots

Den som växte upp under senare hälften av 80-talet kunde knappast missa TV-serien Transformers. Förutom att de går i repris kan man nu även se dem dansa breakdance. Någon dag ska jag ta och börja lära mig Flash!

ämne

SP2: bra att skynda långsamt

Postat 2004-08-12, kl 17:32 • Ämne: Windows

Ibland är det bra att skynda långsamt. Nu när Service Pack 2 är ute på riktigt är det många som har råkat ut för problem på grund av den högre säkerhetsnivån. Trots flera betaversioner och att Microsoft tydligt sagt att denna uppdatering kommer att ändra mycket verkar inte alla tillverkare ha kollat upp det i tid.

Det ger också upphov till en del tråkiga rykten. Till exempel att SP2 inte fungerar med SQL Server. Problemet uppstår på grund av att SP2 slår på den inbyggda brandväggen. En mycket bra åtgärd i de flesta fall. Men det gör att det krävs en del konfigurering för de program som behöver kommunicera.

Det ryktas att vi inte kommer att få se någon SP2 till Svensk XP förrän i september. Det kanske man bara ska vara nöjd och glad för. Vid det laget har de som kör Engelsk XP redan gått på nitarna och redat ut eventuella problem. Sen är det bara att läsa på och ta gräddfilen vid installationen.

ämne

Första trojanen för Symbian: Mosquito

Postat 2004-08-11, kl 19:21 • Ämne: Säkerhet, Trådlöst

Det var väl egentligen bara en tidsfråga innan någon drog nytta av att nyare mobiltelefoner är datorer i fickformat. Tidigare i år demonstrerades att man kan få ett program att skicka vidare sig självt till alla telefoner inom räckvidd via blåtand. Nu har någon gjort en trojan som skickar SMS till betalnummer.

Informit: "The Symbian operating system powers many cellular phones, and also supports a wide range of third-party applications—including games. Unfortunately, one popular game turned out to have a "cracked" version that was secretly infected with a Trojan horse. The Mosquito dialer Trojan infects the popular game Mosquito with code that secretly messages pay-per-call numbers."

Ett skräckscenario i framtiden är att någon lyckas få dessa att sprida sig automatiskt och för att till exempel göra DDoS av SOS Alarm. Det skulle vara en mycket tråkig utveckling om det skulle visa sig nödvändigt med antivirusprogram även för mobiltelefonen. Då tror jag många skulle avstå ifrån alla de fördelar och förströelser som dessa telefoner ger, och gå tillbaka till gamla hederliga nallar som man bara kan ringa med.

Tack och lov krävs det ganska mycket för att vi ska hamna där. För att program ska installeras på telefoner idag måste man godkänna att så sker manuellt. På Symbian ger telefonen också en säkerhetsvarning om applikationen inte är digitalt signerad av en känd leverantör. Dessutom är kompatibiliteten mellan olika tillverkare, och ens olika modeller, ganska dålig. Denna heterogena miljö gör det svårt att konstruera ett program som sprider sig i större skala.

För att man ska råka ut för denna första trojan för Symbian OS som nu diskuteras måste man också göra ytterligare ett fel: installera en knäckt piratkopia av spelet Mosquito. Det är alltså lite av en synd som straffar sig självt. Det krävs alltså tre felsteg. Men som vi sett tidigare med traditionella e-postbaserade maskar behövs det bara lite enkel social engineering för att få folk att svälja både krok och sänke. Till exempel genom att utlova lättklädda bilder av vackra damer om användaren klickar på den bifogade filen.

ämne

Windows XP Service Pack 2 är klar!

Postat 2004-08-06, kl 21:57 • Ämne: Säkerhet, Windows

Äntligen verkar Microsoft ha putsat färdigt på XPSP2. Frågan är bara när de släpper en version för Svenska XP. Den Engelska uppdateringen är på 266MB.

"Final testing is complete and at 10:08am this morning we signed off on build 2180 as Windows XP Service Pack 2, releasing it to manufacturing. The final build will be available to beta sites immediately at windowsbeta.microsoft.com/download/dl3.asp. You will find both English and German versions there, Japanese will follow early next week. Next week the service pack will be available on the Microsoft Download Center for general download."

Lagom till den normala månadsuppdateringen alltså.

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot