Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

Lita aldrig på webbläsarens statusfält

Postat 2004-10-31, kl 17:42 • Ämne: Internet Explorer

I veckan har det dykt upp ett par nya metoder för att få MSIE att visa fel adress i statusfältet när användaren håller muspekaren över en länk.

En variant omsluter en länk med en tabell:

Benjamin Tobias Franz: The example below will display a faked URL (www.microsoft.com) in the status bar of the window, if you move your mouse over the link. Click on the link and IE will go to "www.google.com" and NOT to "www.microsoft.com"

<a href="http://www.microsoft.com/">
<table><tr><td>
   <a href="http://www.google.com/">Click here
</td></tr></table>
</a>

Observera att en </a> saknas. Detta trick fungerar bara delvis på SP2. En annan liknande variant som även fungerar på SP2 använder en <FORM> istället för tabell.

Detta är möjligen ett problem för dem som slagit av Javascript och därmed tror att deras statusfält inte kan manipuleras. Är Javascript påslaget är det en trivial sak att ändra texten i statusfältet. Till exempel för att ge en mera beskrivande text när användaren håller muspekaren över länken. Den viktigaste ingrediensen i lösningen är utbildning och vaksamhet. Man ska aldrig lita på att det som står i statusfältet stämmer överens med verkligheten.

ämne

Dilbert eases the pain

Postat 2004-10-29, kl 18:28 • Ämne: Arbetsliv, Skoj

Vi har nog alla varit med om det någon gång: en medarbetare har klurat ut en effektiv och smart åtgärd/regel som ska göra allting så mycket enklare. Dess enda riktiga nackdel är att den inte fungerar. I varje fall inte till något annat än att än att reta gallfeber på hela kontoret.

Ett sådant exempel är e-postsystemet på Karolinska Universitetssjukhuset som enligt en artikel i Computer Sweden tar det folkbokförda förstanamnet som förval när den skapade en e-postadress. Lite opraktiskt om det inte är ens vanliga tilltalsnamn. Som exempel nämner de en kvinna som heter Eva Marianne, kallas Eva men fick e-postadressen Marianne. Nu ska det enligt den förvaltningsansvarige gå att ändra så att denna lilla nackdel inte längre är något problem. Det brukar bli så att förnuftet segrar till sist. Det är bara tråkigt när mycket kraft och irritation måste ägnas åt annat än kärnverksamheten på grund av att någon inte tänkt efter, eller som i detta fallet inte informerat ordentligt om att det går att ändra.

[Dilbert.com official link icon] Men som allting så för det även något gott med sig. Om man inte är direkt inblandad kan man i alla fall få sig ett gott skratt. Scott Adams seriefigur Dilbert genomlever ett koncentrat av dessa arbetslivets absurditeter som läsarna skickat in. Det är just verklighetsförankringen som gjort serien så populär. I stort sett alla som läst Dilbert kan hitta någon strip som är precis som på deras egen arbetsplats. Och det kan vara god upplysning att hålla utkik efter vilka Dilbert som sitter uppklistrade på väggen om man är på besök. Speciellt om man själv är där och söker jobb. ;)

En intressant bieffekt till att så många ser liknelser med sin egen tillvaro i Dilberts värld är att man kan dra slutsatsen att det inte är så stor skillnad på var man jobbar, eller ens i vilken del av världen. Dessa absurditeter förekommer precis överallt. Men man kan i alla fall finna tröst i att man inte är ensam – och nöje i att läsa om andras missöden via Dilberts äventyr

.
ämne

SenderID Reloaded

Postat 2004-10-26, kl 01:07 • Ämne: Microsoft, Patent, Skräppost

Reuters: "Microsoft officials said they have revised their SenderID protocol to work better with an existing standard and have narrowed their patent application to make sure it does not cover other proposals. [...] Microsoft said it had resubmitted SenderID to the IETF for approval."

Det ska bli intressant att se om Microsoft menar allvar denna gång. Eller om det bara är kosmetiska förändringar och ett andra försök att driva igenom samma förslag. Förhoppningsvis har Microsoft insett goodwill-värdet i att kunna tillskriva sig äran som ett av företagen som var med och löste skräpposteländet. Och motsvarande hur mycket förtroende Microsoft har förlorat på senaste tiden genom att de varit den största bromsklossen i det arbetet.

Tidigare inlägg

2004-09-23 : IETF lägger ner arbetsgruppen mot skräppost
2004-09-21 : Schack matt för SPF?
2004-09-16 : IETF nobbar SenderID

ämne

Bara Microsoft älskar Passport

Postat 2004-10-23, kl 22:58 • Ämne: Microsoft

Microsoft har nu gett upp tanken på Passport som gemensam inloggningslösning för allt och alla. Passport ska i framtiden bara användas av Microsofts egna tjänster och av deras närmaste partners.

Gemensam inloggning

Grundtanken med Passport var att användaren skulle slippa hålla reda på flera användarnamn och lösenord för olika webbplatser. Genom att webbplatsen var kopplad till Passport kunde man logga in direkt och slippa mata in alla sina uppgifter ännu en gång. Det finns många som tilltalas av scenariot med så kallad Single Sign On (SSO). Människans strävan efter bekvämlighet är en av de starkaste krafterna bakom teknikutvecklingen.

Massor av användare

Man kan inte säga att Passport misslyckats på grund av för lite marknadsföring. En av de första ballongrutorna som kommer upp när man installerat Windows XP är en uppmaning att omgående skapa ett Passport-konto. Det är ett olyckligt designval på flera sätt. Dels känns det redan från början som om Passport är något som pådyvlas användaren. Dels ger det nya användare intrycket att det som kommer upp i ballongrutorna inte är speciellt viktig information – inte heller ballongrutan som senare uppmanar användaren att slå på automatiska uppdateringar.

Även om man står emot att skapa ett Passport-konto från början är risken stor att man ändå snart skaffar sig ett. Vill man använda Hotmail är det Passport som gäller. Likaså om man vill använda MSN Messenger. Även funktioner som Windows XP Remote Assistance går via Windows Messenger och användarens Passport. Användare saknas det alltså inte. 200 Miljoner Hotmail-användare var Microsofts trumfkort.

Förlorat inflytande

Från utvecklarens synvinkel är det praktiskt att slippa omaket med att hantera användarkonton och allt som det innebär. Tanken var också att Passport skulle locka användare genom att webbplatsen blev enklare att logga in på. Men lösningen var långt ifrån gratis att använda:

Microsoft .NET Passport: "There are two fees for licensing Passport: a periodic compliance testing fee of US$1,500 per URL and a yearly provisioning fee of US$10,000 per company."

Samtidigt förlorade den individuella webbplatsen inflytande över inloggningförfarandet och man var tvungen att dubblera funktioner för att skruva in det i ett befintligt system som redan hade användare. Att det var just Microsoft som stod bakom Passport ökade misstänksamheten mot eventuella baktankar och dunkla motiv. Utan alternativa leverantörer och en central databas för alla användare är beroendesituationen lätt att se. När Microsoft nu drar i handbromsen måste problematiken med att någon utomstående styr över en nyckelkomponent vara uppenbar för de få som trots allt byggt sin webbplats på Passport.

Storebror Passport

Ur användarens perspektiv är SSO bekvämt och praktiskt. Men surfare tycker inte om att känna sig övervakade, och det betyder nog mer än eventuella bekvämlighetsvinster. Det krävs inte mycket fantasi för att misstänka att SSO skulle kunna användas för att följa en surfare från webbplats till webbplats, och samla information som sedan kan användas i marknadsföringssyfte. Om det verkligen går att göra så med Passport i praktiken är mindre viktigt. Det räcker med att surfaren tror det och låter bli att använda tjänsten.

En annan aspekt är problemet med vad som händer om uppgifterna faller i fel händer. Den urgamla rekommendationen att man inte ska ha samma lösenord på mer än ett ställe är till för att minimera skadan om lösenordet avslöjas. Har man ett och samma användarnamn och lösenord överallt betyder ett läckt lösenord total tillgång.

Liberty Alliance

Microsofts storskaliga försök från DotCom-eran att uppifrån förena webben under en centraliserad inloggning har misslyckats. Liberty Alliance jobbar vidare med sitt alternativ, och kanske även Microsoft så småningom ger dem sitt stöd. Deras filosofi verkar vara att skapa standarder så att olika inloggningslösningar ska kunna kommunicera med varandra och sedan låta hågade företag ta fram produkter och tjänster. Det har en mycket större chans att bli framgångsrikt.

ämne

Vedermödornas vecka för webbläsarna

Postat 2004-10-21, kl 07:54 • Ämne: Internet Explorer, Firefox

IDG slår på stora trumman för Secunias varning om att ett flertal webbläsare som använder flikar kan fås att visa en dialog från en webbplats (laddad i en flik) så att den ser ut som om den kom från annan webbplats (laddad i en annan flik).

Sårbarheten finns i Netscape, Mozilla, Opera, Konqueror, Safari, Maxthon och Avant, men inte Internet Explorer. Vilket ju skulle kunna bero på att man vackert får klara sig utan flikar i den sistnämnda. Maxthon som nämns är också mer känt som MyIE2 och använder Internet Explorers renderingsmotor till sina flikar.

Spoofing är naturligtvis allvarligt och kan användas för att lura användaren och genomföra phishing-attacker. Samtidigt känns det lite jantelag att slå upp det så stort. Det ser väldigt häftigt ut att kunna rada upp sju webbläsare med denna brist – speciellt när inte det vanliga sorgebarnet är med. Även om det har en allvarlighetsnivå på "Less critical" enligt Secunia.

Det som kanske gjorde att jag fnissade lite extra åt krigsrubrikerna var att jag tidigare precis läst om ännu ett sätt att använda drag’n’drop för att via Internet Explorer placera filer på användarens dator. Även denna gång på en dator med Windows XP XP2 och MSIE 6 SP2. Och till och med trots den senaste omgången uppdateringar. Dessa anses av Secunia vara "Highly critical".

ämne

Kod för att utnyttja WMF och EMF släppt

Postat 2004-10-20, kl 23:52 • Ämne: Windows, Internet Explorer

Källkod för att utnyttja säkerhetshålet i Windows hantering av bildformaten Microsoft Windows Metafile (WMF) och Enhanced Metafile (EMF) har dykt upp på flera säkerhetsrelaterade e-postlistor.

Genom att koden nu är fritt tillgänglig är risken genast betydligt större att någon ska försöka hitta på något bus. Säkerhetshålet är väldigt likt problemet med JPEG - men det har inte fått alls samma uppmärksamhet. Det räcker att användaren försöker titta på en webbsida med en manipulerad fil eller att Windows försöker visa en miniatyr av bilden i en mapp för att felet ska gå att utnyttja.

CERT: "A remote attacker may be able to cause a denial of service or potentially execute arbitrary code on a vulnerable system by introducing a specially crafted WMF or EMF file. This malicious WMF or EMF image may be introduced to the system via a malicious web page, HTML email, or an email attachment."

Lösning

Felet är åtgärdat i SP2 för Windows XP, och Microsoft släppte en fix för andra versioner av Windows som en del av MS04-032 förra veckan. Tumme upp alltså!

ämne

Great moments in security screening

Postat 2004-10-16, kl 23:43 • Ämne: Skoj

Via Bruce Schneiers månatliga nyhetsbrev Crypto-Gram: Great moments in security screening

ämne

Jorden till Gates

Postat 2004-10-15, kl 18:02 • Ämne: Internet Explorer, Spyware

Det kan inte vara lätt att vara så påpassad som frontfigurerna hos Microsoft är. Men grodorna har haglat ovanligt tätt den senaste tiden.

Ballmers oförsiktiga uttalande om att alla IPod-ägare var musiktjuvar retade många, och han tvingades senare ta tillbaka det han sagt. Bill Gates senaste påstående om att säkerhetsproblemen med Internet Explorer skulle bero på tredjepartsprogram får det att låta som om han inte har riktig verklighetsförankring.

Om kunderna visste precis hur stora säkerhetshål som funnits i Internet Explorer det senaste halvåret hade de nog funderat ett par gånger extra innan de använt programmet. Det var anledningen till att jag själv väldigt motvilligt blev en Firefox-användare. Det är snarare ganska underligt att det inte varit fler incidenter. Delvis kan det bero på att säkerhetshålen mest använts för att installera spyware som inte direkt förstör något på datorn. Men också på att det är just tredjepartsprogramvara i form av virusskydd och andra säkerhetsprogram som fått ta en allt större roll i att skydda användaren.

Microsoft lär ha en produkt på gång för att bekämpa spyware. Samtidigt är deras egna lösningar lite tveksamma ur integritetssynpunkt. Microsoft vägrar till exempel att berätta vilken information man samlar in via Windows Update. Den information som finns tillgänglig kommer ifrån att Mike Hartmann analyserat trafiken, och visat att det handlar om detaljerad beskrivning av hårdvarukonfigurationen och möjlighet att ta reda på exakt vilka applikationer som är installerade på datorn - oavsett tillverkare. Tidigare versioner av Windows Update gjorde filtreringen av listan över applicerbara uppdateringar på klienten. Nu sker det på serversidan.

ämne

Flash i PDF kan läsa lokala filer

Postat 2004-10-14, kl 01:41 • Ämne: Säkerhet, Adobe

Secunia har publicerat en Advisory angående ett säkerhetshål Adobe Acrobat 6 / Adobe Acrobat Reader 6.

Med version 6 är det möjligt att inkludera flera typer av multimediafiler direkt i en PDF - däribland Macromedia Flash. Jelmer Kuperus har upptäckt att när Acrobat öppnar en PDF som innehåller en Flash-animation mellanlagrar Acrobat animationen som en temporärfil på hårddisken. Eftersom filen sedan laddas lokalt (även om PDF-filen laddats över nätet) får den läsrättigheter på den lokala hårddisken.

Observera att den dock inte får skrivrättigheter.

Lösning

Stäng av Javascript i Adobe Acrobat / Adobe Reader.

ämne

Oktober månadsuppdatering 2004

Postat 2004-10-13, kl 04:48 • Ämne: Microsofts månadsuppdatering

Månadens skörd av uppdateringar från Microsoft går inte av för hackor. Av de 11 (10 nya och en uppdaterad) säkerhetsbulletinerna är 7 markerade som kritiska.

De flesta handlar om säkerhetsproblem som har rapporterats direkt till Microsoft och inte publicerats offentligt. Därför är det mycket sparsamt med detaljer att tillgå. De som handlar om Internet Explorer är dock välbekanta och det är på tiden att dessa hål nu täpps till. Några av bulletinerna innehåller mer än en uppdatering och totalt är det över 20. Många av hålen är buffertöverskridningar som tack vare omkompilering med /GS redan är fixade i XPSP2. Jag har läst igenom bulletinerna och skrivit lite kommentarer.

Uppdateringar markerade kritiska

MS04-032: Security Update for Microsoft Windows

Denna bulletin består av fyra olika säkerhetsuppdateringar. Alla är fixade i XPSP2.
  • En lokalt inloggad användare kunde öka sina rättigheter via icke specificerade anrop i Window Management API.
  • En lokalt inloggad användare kunde köra ett 16-bitars program med ogiltiga maskinkodsinstruktioner i virtual DOS Machine (VDM) och utnyttja en brist i felhanteringen för att exekvera kod som SYSTEM.
  • En angripare kunde skapa bildfiler i WMF / EMF format som levererade kod som kördes när användaren öppnade bilden. Ungefär som problemet med JPEG.
  • En bugg i NT/2000/2003-kernel som gjorde att en användarapplikation kunde sänka hela datorn. Lustigt. Ska det inte vara så? ;)

MS04-033: Vulnerability in Microsoft Excel Could Allow Code Execution

Microsoft Excel 2000/XP kunde fås att köra bifogad kod genom att användaren öppnade ett preparerat kalkylark. När en sträng skulle kopieras från filen använde Excel en räknare som anger hur lång denna sträng ska vara. Genom att sätta denna räknare till ett mycket stort värde kunde man får en stack overflow i Excel.

MS04-034: Vulnerability in Compressed (zipped) Folders Could Allow Code Execution

Ett fel i den inbyggda hanteringen av ZIP-arkiv på Windows XP och 2003 öppnade för en angripare att exekvera bifogad kod om användaren öppnade en speciellt preparerad ZIP-fil. Felet fanns i filen DUNZIP32.DLL som drabbades av en buffertöverskridning om ett filnamn i arkivet var längre än 32767 tecken. Angriparens kod kördes då med samma rättigheter användaren som öppnade arkivet. Problemet är åtgärdat i XPSP2.

MS04-035: Vulnerability in SMTP Could Allow Remote Code Execution

IIS e-postserver och Exchange Server Routing Engine på Windows 2003 och XP64 hade ett fel i hanteringen av de svar den tog emot efter DNS-uppslag. En buffertöverskridning kunde leda till angriparen fick full kontroll över servern. Angreppet sker i två steg och börjar med att man skickar e-post till servern så att den gör ett uppslag i DNS. Om IIS då gör uppslaget via TCP kan man fylla bufferten som tar emot svaret och utnyttja säkerhetshålet. Observera att problemet inte påverkar Windows 2000 eller 32-bitars Windows XP.

MS04-036: Vulnerability in NNTP Could Allow Code Execution

Fix för en buffertöverskridning i NT4/2000/2003 Server NNTP-komponent (Network News Transfer Protocol). Felet uppstod när servern skulle hantera kommandot XPAT som används för att hämta rubriker utvalda genom mönstermatchning av texten i news-artiklarnas meddelandehuvud. En räknare används för att hålla reda på hur mycket av den 4000 tecken stora bufferten som är i bruk. Denna räknare kan fås att visa fel och därmed tillåta mer indata än bufferten kan hantera.

MS04-037: Vulnerability in Windows Shell Could Allow Remote Code Execution

Den här är lite mystisk. Det framgår i princip endast att det handlar om en buffertöverskridning. Får se om det kryper fram mera detaljer senare. Fixat i XPSP2.
MS04-038: Cumulative Security Update for Internet Explorer
Ett helt gäng uppdateringar som till exempel fixar problemet med att man kunde krascha Internet Explorer med stilmallar, göra cross zone scripting och installera program med drag’n’drop.

Uppdateringar markerade viktiga

MS04-029: Vulnerability in RPC Runtime Library Could Allow Information Disclosure and DoS

Uppdatering för Windows NT4.

MS04-030: Vulnerability in WebDAV XML Message Handler Could Lead to a Denial of Service

WebDAV är en utökning av protokollet HTTP/1.1 och används för att ändra innehåll på en webbserver över nätet. Anropen formateras i XML och fungerar ungefär som en web service. Säkerhetshålet bestod i att man inte satt någon gräns på hur många attribut som fick anges för element PROPFIND. Det öppnade upp för möjligheten att ange extremt många attribut och få webbservern att gå på 100% CPU under en längre tid. Problemet är åtgärdat i XPSP2.

MS04-031: Vulnerability in NetDDE Could Allow Remote Code Execution

NetDDE är ett gammalt protokoll som härstammar från Windows 3.11. Det är vanligtvis är avslaget i en normal installation. Problemet är åtgärdat i XPSP2.

Övrigt

Dessutom har Microsoft uppdaterat MS04-028 (Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution) från förra månaden med patchar till Visio 2002/2003 Viewer och PowerPoint 2003 Viewer.

ämne

Nytt snyggt tema till Windows XP: Energy Blue

Postat 2004-10-12, kl 18:37 • Ämne: Windows, Skoj
[Energy Blue / Royale blue]

Microsoft har släppt ett nytt visuellt tema till Windows XP Tablet PC Edition 2005 som kallas Energy Blue. Temat är väldigt läckert och ger en mera rundad glossy look av stålblå.

Försöker man installera det rakt av på en vanlig XP får man ett felmeddelande att det endast är avsett för Tablet PC. Men går man förbi den medföljande uppackaren genom att extrahera filerna med WinRAR eller WinZIP går det utmärkt att använda på en vanlig XP också.

Det är synd att Microsoft håller så hårt på stödet för teman i Windows. Vill man göra egna teman måste man ersätta systemfilen uxtheme.dll med en knäckt version. Detta tema fungerar naturligtvis utan några modifieringar.

Så ladda ner och njut!

Microsoft Download: Energy Blue Theme Pack
ämne

Stopp på MSN Messenger

Postat 2004-10-12, kl 00:35 • Ämne: IM, MSN
[MSN Messenger]

Microsofts IM-tjänst MSN Messenger har krånglat i mer än två dagar. Störningarna verkar påverka användare över hela världen, som inte kan logga in på sina konton på MSN. Hotmail och Passport fungerar så det förefaller vara själva Messenger-tjänsten som krånglar. Det har också påverkat Microsoft Alerts. Det är lite pinsamt då det är en funktion som Microsoft puffar för att få utvecklare att använda i sina egna applikationer.

Det är ännu så länge okänt vad som orsakat det långa driftstoppet. Men det ligger nära till hands att sätta det i samband med betatestningen av MSN Messenger version 7. Kort efter att den första betaversionen började testas upptäckes ett säkerhetsproblemen i funktionen för att skicka så kallade "winks" (i princip flash-animationer). När det blev känt drog Microsoft i handbromsen för betatestningen och klientens tillgång till Messenger-tjänsten spärrades. Vilket i sin tur gjorde att några som blivit förtjusta i betan fixade en patch som åter gjorde det möjligt att använda klienten. Det blev säkerligen inte blev populärt hos MSN. :>>

Att man inte saknar kon förrän båset är tomt är väl ett talesätt som kan passa in på situationen. Jag använder i första hand Messenger för att chatta med kompisar. Men det är nog många som använder den som ett arbetsredskap och som har det lite bökigare dessa dagar. Häri ligger nackdelen med gratistjänster. Man är utelämnad till leverantörens goda vilja. Senast jag gjorde en traceroute på min uppkoppling mot Messenger-servern vill jag också minnas att mina meddelanden var över pölen och vände. Så man ska nog akta sig för att invaggas i tron att det är en privat konversation. Och är ju extra viktigt om man använder den på jobbet, till exempel inom ett projekt. Det finns dock tredjepartsklienter och insticksmoduler som erbjuder basal kryptering.

ämne

Windows Säkerhetscenter

Postat 2004-10-11, kl 05:12 • Ämne: Windows
[Windows Säkerhetscenter]

En av de mest påträngande nya funktionerna som introducerades med Windows XP SP2 är kontrollpanelen Säkerhetscenter. Säkerhetscentret är en bra funktion som inte minst kommer att hjälpa nybörjare och användare som inte är medvetna om att deras datorer behöver uppdateras och skyddas mot angrepp. Men det kan också vara riktigt irriterande om det är så att man av någon anledning vill frångå Microsofts kriterium för en säker dator. Och det är säkert avsett att fungera precis så. Det finns enkla sätt att göra säkerhetscentret mera medgörligt.

Samlad översikt

Säkerhetscenter ger en lättbegriplig och samlad översikt över statusen för de viktigaste komponenterna i användarens grundskydd. Det finns också direktlänkar till den senaste säkerhets- och virusinformationen från Microsoft och till Windows Update. I själva panelen har Microsoft samlat inställningarna för brandväggen, automatiska uppdateringar, virusskydd och inställningarna för Internet Explorers säkerhetszoner (Internet-alternativ). Om inte allt står rätt till får användaren varningar och en ilsket röd sköld-ikon i meddelandefältet. Kontrollen sker fortlöpande och om till exempel ett virus lyckas stänga ner antivirusprogrammet får användaren genast en varning.

Konfigurationskrav

Det som krävs för att säkerhetscentret ska vara helt nöjt är:

  1. Att det finns en aktiverad brandvägg
  2. Att automatiska uppdateringar och automatisk installation är påslaget
  3. Att det finns ett fungerade antivirusprogram på datorn
  4. Att eventuell tredjepartsprogramvara för dessa funktioner identiferar sig för säkerhetscentret.

Ett alternativ som jag inte kan acceptera är att installationer av uppdateringar sker i det tysta bakom min rygg. Därför har jag alltid en gul varning som uppmanar mig att kontrollera inställningar. Automatiska nedladdningar av uppdateringar är okej, men jag vill gärna att min dator är i samma skick när jag börjar använda den som när jag lämnade den sist. Det finns få saker som är så irriterande som att mötas av en blåskärmad dator på morgonen och behöva börja med att komma på vad som kan ha hänt under natten. Ett annat problem kan vara att ens favoritbrandvägg inte är uppdaterad så att man kan stänga av Windows Brandvägg och ändå få grön markering. Det är viktigt att notera att Microsoft inte rekommenderar att man använder mer än en brandvägg på datorn. Lika lite som att man inte ska använda två olika antivirusprogram. Kanske det funkar om man har tur, men det är att utmana ödet.

Stänga av Säkerhetscenter eller ändra aviseringar

[Ändra hur varningsmeddelanden visas] Det bästa och enklaste alternativet är att välja vilka varningsmeddelanden man vill ha visade. Det gör man genom att klicka på länken "Ändra hur varningsmeddelanden visas" och klicka ur de komponenter som man inte vill att Windows ska tjata om mer. Det är viktigt att man har en god anledning om man väljer att stänga av någon av dessa varningar. Om de dyker upp utan att man vet varför är det nog en bättre idé att ta reda på om det pågår något fuffens!

Om man av någon anledning blivit totalt allergisk mot Säkerhetscenter och vill ta ut permanent skiljsmässa kan man stänga av det genom att stoppa tjänsten Security Center och ställa den till manuell uppstart.

ämne

Säkerhetshål i ASP.NET adresshantering

Postat 2004-10-08, kl 19:51 • Ämne: ASP

Secunia har publicerat en advisory för säkerhetsproblemet ASP.NET Canonicalization Vulnerability

Beskrivning

Genom att utnyttja det här säkerhetshålet kan en besökare i värsta fall gå förbi en webbplats inloggningsformulär och få tillgång till skyddade sidor utan att logga in. Felet uppstår när ASP.Net ska tolka webbadressen för att hitta rätt resurs på webbservern. Beroende på hur servern är konfigurerad kan till exempel "/dir/test.dat" och "../../test.dat" hänvisa till samma fil. Adressen måste omvandlas så att man får fram rätt fysiska resurs, till exempel "c:\dir\test.dat". Det är i denna omvandling som inte fungerar korrekt om man skickar med ett omvänt snedstreck istället för vanligt snedstreck. Detta märks inte med Internet Explorer då den automatiskt ersätter "\" med "”/". Det gör däremot inte Firefox. Men genom att skicka med värdet för omvänt snedstreck "%5c" fungerar det i Internet Explorer också.

Felet finns i alla versioner av ASP.Net oberoende av vilken IIS man kör med. Problemet kan lösas på ett par olika sätt. Antingen genom att lägga till ett par rader i Global.asax eller genom att installera Microsofts ValidatePath-modul.

ämne

Quake2.Net: The End

Postat 2004-10-08, kl 02:54 • Ämne: Skoj

I början av september provade jag Vertigo Softwares .Net portning av spelklassikern Quake2. Trots att det har många år på nacken är det förvånansvärt vanebildande. Så till den grad att jag spenderat en hel del nätter med att ”bara spela lite till”.

Spelet är större än jag trodde! Demoversionen innehåller bara första nivån, men har man Quake2 sedan tidigare kan man kopiera den 175Mb stora datafilen pak0.pak från CDn och spela hela spelet. Så igår knäppte jag den sista bossen och kan därmed berätta att .NET-varianten fungerar hela vägen från start till mål. Jag har varit med om att det har lagt av någon gång på ett speciellt ställe (ett hörn i ett rum) i spelet, men det får nog klassas som skönhetsfel.

Poängen med portning var ju att visa att det gick att föra över ett prestandakrävande spel till att köras under CLR.

[Bilder på de som utvecklat Quake2][Bilder på de som utvecklat Quake2][Några av spelets monster sitter och myser]

När man klarat av spelet kan man skjuta sönder en vägg och hitta en presentation av gänget på ID Software som skrev spelet en gång i tiden. Och som grädde på moset finns det ett easter egg i själva galleriet – där man kommer vidare till, tja, monster som sitter och myser lite med varandra :>>

Tidigare inlägg

2004-09-02 : Quake2.NET

ämne

Open Office vs Office 97

Postat 2004-10-05, kl 19:15 • Ämne: Microsoft Office, OpenOffice

Steven Bink (MVP) skriver på sin blogg Bink.nu om att Microsofts Steve Ballmer uttalat sig om Open Source i allmänhet och Open Office i synnerhet på Microsoft Dutch Fusion. Hans omdöme var ungefär att Open Office känns som en gammal produkt som närmast är att jämföra med Office97.

Bra basfunktioner i Office97

Om man bara ser till Word och Excel som de flesta använder hemma vet jag många som är nöjda med funktionalitet som finns i Office97. Så jag tycker det är ett helt okej betyg. Word97 är en utmärkt ordbehandlare och är otroligt kvick att jobba med på en ny maskin. Men så är ju jag också en av de få här i världen som faktiskt tycker att Clippy bara är söt.

Det som jag saknar mest om jag råkar hamna på en maskin med gammal version av Office är rättstavningen och den automatiska hanteringen av flera språk. Där har det gjorts viktiga framsteg. Bortsett från DRM i Office 2003 är också filformaten kompatibla och man kan läsa varandras filer. Problemet ligger snarare i att produkten inte underhålls längre och att det inte släpps några säkerhetsfixar för den gamla trotjänaren. Så till exempel en gammal version av Outlook är verkligen inte att rekommendera.

Företag måste hänga med

På kontorssidan är situationen naturligtvis lite annorlunda. Inte minst när vi börjar tala om egna instickprogram och skript man har tagit fram för den egna organisationen. Men trots allt tror jag att det är långt ifrån alla som drar nytta av de gruppfunktioner och de stora möjligheterna att konfigurera och bygga egna lösningar ovanpå de nyare versionerna av Office.

Det man betalar för är snarare stabiliteten att köpa från en tillverkare som Microsoft som har riktig support om något strular. Och att slippa utbilda personalen på ett nytt system med de produktionsbortfall det innebär.

Nackdelen är att man sitter i fällan att bli tvungen att uppgradera när Microsoft vill snarare än när man själv vill.

Open Office - ett alternativ att räkna med

Så kanske slutsatsen av det Steve säger är att gratisordbehandlarna faktiskt är ett alternativ att ta på allvar i stället för att på slentrian bara uppgradera till nyaste versionen av Microsoft Office. Speciellt för hemanvändare eller i skolan där det faktiskt kan vara en poäng att visa att det finns olika system.

ämne

Pengar av plast

Postat 2004-10-04, kl 22:15 • Ämne: Ekonomi

Förra veckans incident där 7000 kreditkortsnummer blev exponerade hos en av SJs underleverantörer i Mälardalen manar till en viss eftertanke.

[kreditkort] När man väl börjar fundera på hur ofta och på hur många ställen man använder sitt kontokort/kreditkort dagligen är det inte så konstigt att något sådant händer förr eller senare. De flesta är väldigt noga och medvetna när de använder sina kreditkort till att beställa varor eller tjänster via Internet. Man vet ju inte vem som sniffar trafiken och hur det är ställt med säkerheten bakom snygga fasaderna. Att däremot lämna över sitt kontokort till tanten på Konsum eller på en restaurang utomlands känns inte lika farligt. Eller som i det här fallet att använda sitt kort för att köpa biljett i en av SJs biljettautomater.

Tänker man efter är det ju klart att detaljer kring transaktionen lagras någonstans. Förmodligen i flera år. Hur många olika system innehåller då inte information om ens kort innan det hinner bytas ut? Hur väl skyddade är dessa system, och kan man lita på administratörerna och utvecklarna som jobbar med programmen?

I praktiken har man nog inget val utan att bara hoppas på det bästa. Samhället är anpassat till att i stort sett alla har någon form av plastkort i plånboken. Om så bara ett automatkort för att få ut kontanter från bankomaten. Jag antar att bankernas debetkort är säkrare än kreditkort då man faktiskt måste ha kortet eller en kopia av kortet tillgängligt rent fysiskt. Men då många bankkort är både debetkort, automatkort och kreditkort i ett är det kanske inte så enkelt att veta exakt vilken metod som den aktuella butiken använder. Om de går via kreditkortsföretaget eller drar det direkt från banken.

Medvetenheten kring problemen online har gett upphov till smidiga lösningar som till exempel tjänsten E-kort. Det är en tjänst där man sätter en köpgräns och får ett engångsnummer genererat som gäller för ett köp inom en månad. Då numret ser ut och fungerar som ett vanligt kreditkortsnummer behöver inte säljaren ens få veta att man inte gett ut sitt riktiga kreditkortsnummer. Tyvärr klickar tjänsten ibland och köpen går inte igenom. Men hellre en för lite än en för mycket om man säger så.

ämne

Varför är det just 80 tecken på en rad?

Postat 2004-10-01, kl 03:55 • Ämne: Datorhistoria

"Har ni någon gång undrat varför det just har varit 80 tecken på en rad i kommandofönstret eller dylikt?" frågar Dag König.

Och svaret kan du läsa på hans blogg: Datorhistoria: Varför är det just 80 tecken på en rad?

Passa gärna på och kika runt på vad han har bloggat om tidigare - där finns många guldkorn!

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot