Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

Enblogomdan

Postat 2005-01-31, kl 14:44 • Ämne: Bloggande

Min blogg har idag kommit med på Enblogomdan. Jag tackar för uppmärksamheten och den fina beskrivningen! Jättekul! Tack!

Paradox66: Enblogomdan

Att sitta med en stor mängd data som bara går att komma åt med verktyg från en viss leverantör kan bli en ordentlig ekonomisk smäll på sikt. Därför ställs det allt oftare krav på att information ska lagras i format baserade på öppna standarder.

Exakt vad som är en öppen standard är en definitionsfråga. Men ett minimalt krav måste nog vara att man både känner till hur informationen är strukturerad, och att man får lov att konstruera program som kan läsa och skriva formatet.

Microsoft omfamnar XML

Med .NET och nyare versioner av Microsoft Office har Microsoft omfamnat XML, och revolutionerat de tekniska möjligheterna för enkelt datautbyte på Microsoft-plattformen. Men då Microsoft naturligvis har patent på sina Office XML-Scheman har det funnits juridiska problem med att få lov att använda dem. Hotet från Officeprogram baserade på Open Source och upphandlingsregler som skulle kunna diskvalificera MS Office har fått Microsoft att börja tänka om.

Techworld: "Microsoft is loosening licensing rules on Office 2003 formats in order to get around new "open standard" restrictions to be adopted by the US state of Massachusetts [...] Governments around the world have begun to reconsider the use of proprietary formats, which usually lock them into using particular applications and may hinder archiving efforts."

Det nya villkoren betyder att vem som helst får lov att licensiera och använda Office XML-scheman utan att behöva betala något. Eftersom de traditionella Microsoft Office-formaten är väletablerade återstår det dock att se om det betyder någon förändring i praktiken. Men varje litet steg mot en mera lättintegrerad värld är ett steg i rätt riktning.

ämne

Uppdaterad WinAMP fixar flera säkerhetshål

Postat 2005-01-30, kl 05:12 • Ämne: Säkerhet

Nullsoft har släppt en ny version av min favoritsspelare WinAMP. De har täppt till ett par säkerhetsluckor i den nya versionen.

Winamp 5.08d:

  • Fixed playFile function in gen_ff.dll (Allows Modern skins to launch playback)
  • Created new eMusic bundles
  • Critical Security bug fixed in in_mp4.dll and enc_mp4.dll and libmp4v2.dll
  • HTTP Seeking corrected for webservers that refuse to return Accept-Range
  • Critical Security buffer overflow fixed in in_cdda.dll

Men vänta nu... Fixade de inte in_cdda.dll i v5.07? Samma fel som de misslyckades med att fixa i v5.06. Tredje gången gillt kanske?

Den nya versionen kan laddas ner här: WinAMP 5.08d Full Download

Uppdaterat: Exempelkod som visar hur man utnyttjar säkerhetshålen har börjat cirkulera på nätet. Det är därför viktigt att uppgradera snarast möjligt!

ämne

Windows XP SP2 DEP kan kringgås

Postat 2005-01-30, kl 04:35 • Ämne: Säkerhet, Windows

Positive Technologies säger sig ha hittat ett sätt att gå runt den spärr som ska förhindra att man kan köra kod från minne som reserverats för data.

Data Execution Prevention (DEP) introducerades i Windows XP Service Pack 2 och är tänkt att stoppa försök att utnyttja överskridning av databuffertar. En stor del av säkerhetshålen som upptäcktes förra året bestod just av denna typ av svaghet, där koden inte kontrollerade att mängden indata inte var större än vad som fick plats i det reserverade minnet. SP2 har mycket framgångsrikt reducerat denna typ av problem, som fortsätter att vara en plåga på Windows 2000 och XPSP1a.

Felet som man nu hittat i DEP är inte trivialt att utnyttja. Det fungerar dessutom inte på 64-bitars processorer med NX-stöd – det vill säga AMD64. Så på det hela taget måste man säga att SP2 DEP/NX fortfarande kan räknas som en mycket stor framgång.

Lösning

Positive Technologies har släppt ett verktyg: PTmsHORP

ämne

Piratlås kan försämra säkerheten

Postat 2005-01-29, kl 01:03 • Ämne: Säkerhet, Microsoft

Microsoft har aviserat att de tänker göra Windows Genuine Advantage obligatoriskt till sommaren. Den som sen vill ladda hem något från Microsoft måste först genomgå en kontroll för att visa att man har en giltig licens för Windows.

Ska försvåra för förfalskare

Motivet är att få fler till att köpa Windows och försvåra för dem som säljer förfalskningar – piratkopior som förpackats och saluförs som om de kom från Microsoft. Förfalskningar som säljs som äkta vara är ett mycket stort problem i Asien, och det är lätt att förstå att Microsoft vill ha betalt för sin produkt.

Men den här metoden har tyvärr några stora nackdelar. Microsoft påpekar att kontrollen inte ska gälla för "kritiska" säkerhetsuppdateringar och automatiska uppdateringar via Windows Update. Jag har ändå mina farhågor att det kommer att öka antalet maskiner som står uppkopplade mot nätet utan att vara ordentligt uppdaterade.

Sårbara maskiner sprider maskar och skräppost

Microsoft har spärrat installationen av sina Service Packs på Windows XP så att de inte går att installera på maskiner som använder de mest piratkopierade volymlicensnycklarna. Samma sak med Service Pack 1 till Microsoft Office 2003.

Men efterföljande säkerhetsåtgärder är inte sällan beroende på att användaren redan har installerat någon av dessa Service Packs!

Visst finns det användare som varken vill eller förstår varför de behöver uppdatera. Men en del undviker också att köra Windows Update på grund av att man är rädd för att bli upptäckt med att köra piratkopierad programvara. Det problemet kommer säkert att bli än större när man inför en obligatorisk kontroll. Resultatet av detta är lätt att se på topplistan över virus och maskar. Det cirkulerar massvis med maskar som utnyttjar säkerhetshål som Microsoft lagat för länge sen.

Alla användare drabbas

Det är inte bara piratkopieraren som far illa av att hans maskin är sårbar. I det större sammanhanget är infekterade maskiner är något som alla förlorar på. Maskarna slösar bort en hel del bandbredd när de försöker hitta andra maskiner att infektera. Och ofta innehåller de också en fjärrstyrningsmodul som gör maskinen till ett verktyg i virusmakarens tjänst. Det används sen för att skicka ut skräppost, angripa andra maskiner, eller till utpressning mot e-handelsföretag. Beskyddarpengarna som dessa företag måste betala ut drabbar i sin tur kunden i form av högre priser.

Skräppost landar som bekant även i hederliga Windowsanvändares e-postboxar.

Vinst viktigare än säkerhet

Microsoft har sagt att företagets prioritet är security first. Men i praktiken visar det sig underordnat målet att alltid vinstmaximera. Förmodligen har de räknat på saken och kommit fram till att man tjänar mer på att höja ribban för piratkopierare än man förlorar på att Windows fortsätter att förknippas med dålig säkerhet.

Jag är övertygad om att Microsoft om några år kommer att ha betydligt säkrare system. Men så länge de inte gör sitt bästa för att minimera skadorna orsakade av sina äldre produkter kommer de att få dras med dåligt rykte angående säkerheten.

Spärra gärna åtkomsten till krimskrams som Photo Story 3. Men sätt inte käppar i hjulet för någon som vill installera uppdateringar!

ämne

Manipulerad bild kostade jobbet

Postat 2005-01-28, kl 22:55 • Ämne: Skoj

Det verkar som om tidningen Slitz blivit lite väl glada i att retuschera bilder. Det handlar inte längre bara om att bättra på redan sköna damer, utan om att de lagt in ett lik på en tom bår. Resultat blev att en av killarna på bilden helt enkelt fick sparken.

Expressen: "Dokusåpadeltagaren Lars Gåre är avstängd från jobbet som bårbilschaufför. Orsaken är att herrtidningen Slitz har förfalskat en bild där Lars Gåre bär en tom bår. Slitz har monterat in ett lik på båren. [...] Bildtexten lyder: "Likdrängarna Richard och Magnus bär ut dagens första kropp". På Martin von Kroghs originalbild syns tydligt att det inte ligger någon kropp på båren de bär ut till bilen."

Ordet bildbevis har helt tappat sin betydelse. Vem som helst med lite Photoshop-kunskaper kan fixa till en bild på saker som aldrig har hänt. Och om man har lite större budget, ja då kan man till och med få presentera sina alster för säkerhetsrådet. :>>

Det är med stor glädje jag noterar att Aktuellt och Rapport igår tog upp integritetsproblematiken kring flera nya förslag till utökad elektronisk övervakning av medborgarna. Pär Ström beskriver också förslagen i senaste utgåvan av nyhetsbrevet Big Brother Bulletin

Polisen vill smyginstallera spionprogram

Beredningen för rättsväsendets utveckling vill att polisen ska få möjlighet att utföra så kallad hemlig dataavläsning. Det innebär att det ska vara tillåtet för polisen att i smyg göra inbrott i en misstänkt persons bostad eller arbetsplats (eller hacka sig in via nätet) för att installera spionprogram eller avlyssningsutrustning som ger övervakaren fullständig kontroll över maskinen. En slags hemlig husrannsakan.

Sydsvenskan: "Programmet registrerar allt som sker och tidigare har skett på datorn. Webbsidor som besöks. E-post. Affärer på internetbanken. Texter som skrivs. Gamla kärleksbrev. Och andra personliga filer som aldrig är tänkta att lämna datorn."

Lokalisering av mobiltelefoner

Man vill bredda lagen så att polisen får möjlighet att positionera mobiltelefoner även när de inte används, och kunna gå tillbaka och kartlägga vart en person rört sig med hjälp av lagrade positionsdata. Det innebär att man använder mobiltelefonen som en spårsändare och kan på så sätt se hur en person rört sig geografiskt. Det fungerar med alla befintliga GSM-telefoner, och använder information från de basstationer mobilen har kontakt med. Precisionen är ca 125 meter eller bättre.

Avlyssning utan misstänkt eller brottsmisstanke

Skulle man sakna en misstänkt ska det inte vara något hinder för att inleda avlyssning. Man vill kunna avlyssna hela lokaler och registrera all kommunikation inom ett visst område. SÄPO ska också få möjlighet att göra så kallad preventiv teleavlyssning. Avlyssning som sker utan att man har något brott att utreda.

Lagring av trafikdata

Samtidigt tog nyheterna upp förslaget till nytt telekomdirektiv i EU, där Sveriges regering tillsammans med Frankrike, Irland, Storbritannien är drivande. Det innebär i stora drag att detaljer kring allt som sker via telefon eller Internet lagras hos operatören i upp till tre år.

Alla ska ha en akt där det lagras detaljerad information om vem man på ett eller annat sätt haft elektronisk kontakt med, vilka webbplatser som man besökt m.m. Det är viktigt att poängtera att förslaget omfattar alla helt utan utskiljning.

Förslaget är så genomgripande att det förmodligen strider mot Europakonventionen om mänskliga rättigheter.

Mats Einarsson(v): "EU:s dataskyddschefer i den så kallade 29-gruppen, vars uppgift är att värna integriteten, riktar svidande kritik mot förslaget och avstyrker det. Efter en analys konstaterar gruppen att förslaget varken lever upp till europakonventionens krav på legitimitet eller proportionalitet."

Närmare bestämt är det denna artikel som är aktuell:

Europakonventionen artikel 8: "Envar har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens."

29-gruppen: The routine, comprehensive storage of all traffic data, user and participant data proposed in the draft decision would make surveillance that is authorised in exceptional circumstances the rule. This would clearly be disproportionate. [...] Not everything that might prove to be useful for law enforcement is desirable or can be considered as a necessary measure in a democratic society, particularly if this leads to the systematic recording of all electronic communications."

Europakonventionen om mänskliga rättigheter är inskriven i svensk grundlag.

Rättssäkerheten måste stärkas

Tittar man historiskt så har rättsäkerheten rörande hemlig avlyssning varit minst sagt bristfällig. Vi tycks redan ha glömt både SÄPOs hemliga avlyssning av Grön Ungdom och IB-affären.

Polisen måste naturligtvis ha verktyg att arbeta med för att ha en rimlig chans att bekämpa brottsligheten. Men det måste också gå att leva ett normalt svenssonliv utan att man ska behöva fundera på vem som ständigt kikar över axeln. Tvångsmedel måste därför alltid gå att motivera med välgrundad misstanke om brott eller brottsplanering.

Frihet och säkerhet i balans

Frihet och säkerhet är inte två intressen som står i absolut konflikt med varandra. Styrkan i ett demokratiskt samhälle vilar på förmågan att hitta en bra balans där människor känner sig både fria och säkra.

Tidigare inlägg

2004-11-29 : De vill lagra allt du gör på nätet

ämne

(Mo)bilvirus angriper Lexusbilar

Postat 2005-01-27, kl 00:27 • Ämne: Virus, Skoj, Trådlöst

Inte ens bilar går längre fria för angrepp på den inbyggda mjukvaran. SC Magazine rapporterar att den inbyggda navigeringsdatorn i några Lexus-modeller är sårbar för angrepp via blåtand:

SC Magazine: "Lexus cars may be vulnerable to viruses that infect them via mobile phones. Landcruiser 100 models LX470 and LS430 have been discovered with infected operating systems that transfer within a range of 15 feet."

Är detta månne det första exemplet på något som kan kallas "bilmask"? I framtiden får man kanske vara noga med vem man parkerar bredvid, så man inte får bilen nedsmittad med något otrevligt medan man är och handlar. Annars kanske det bara blinkar "pwn3d – LOL !!" på instrumentbrädan när man kommer ut och försöker starta bilen.

När får vi se denna klisterlapp på bilrutan: "Protected by F-Secure antivirus for cars". :>>

Uppdaterat 2005-05-11: Håkan Kjellerstrand tipsade mig om den här artikeln som tillbakavisar påståendet att Lexus bilar skulle vara sårbara för attacker via Bluetooth: Car virus myth debunked

Tack Håkan!

ämne

250Mb Hotmail bara för Amerikaner

Postat 2005-01-26, kl 02:03 • Ämne: E-post, MSN

Förra månaden skrev jag om Hotmails uteblivna 250Mb lagringsutrymme för gratiskonton. Det var i samband med Googles introduktion av GMail som budgivningen gick igång om vem som tillhandahöll mest plats på sin webmail. Google erbjöd 1000Mb från start och det fick Yahoo och Hotmail att kontra med 2Gb för betalande kunder och 250Mb för gratiskonton.

Med den lilla skillnaden att hos Hotmail, likt Folksagan om Mäster Skräddare, bidde det i praktiken ingenting. Om man inte bor i USA. Nu står det nämligen såhär på Hotmails inloggninssida:

Hotmail: 250MB inbox available only in the 50 United States, District of Columbia, and Puerto Rico. Eligible Hotmail users will first receive 25MB at sign-up. Please allow at least 30 days for activation of your 250MB storage to verify your e-mail account and help prevent abuse. Microsoft Corporation reserves the right to provide 250MB inbox to free Hotmail accounts at its discretion."

Med andra ord kan man känna sig blåst. Det hade inte gjort något om Microsoft bara berättat detta till att börja med, så man slapp fundera på saken. För i praktiken spelar det inte så stor roll. I varje fall inte så länge GMail och Yahoo förblir gratis.

Tidigare inlägg

2004-12-30 : Hotmails 250Mb låter vänta på sig

En skola i Wales överväger att utrusta skolbarnen med RFID-armband som ska övervaka att barnen inte lämnar skolans område. Denna mindre lysande idé kläcktes av en av lärarna efter att han fått tekniken demonstrerad för sig på en IT-konferens.

IDG: "Det är svårt att hålla reda på alla barnen på rasterna på en skola som Lonlas lågstadieskola nära Swansea. [...] Tanken är att de 350 skolbarnen och 60 dagisbarnen på skolan ska utrustas med RFID-armband så att personalen, via ett centralt kontrollsystem, kan få en varning när något eller några av barnen vandrar utanför skolområdet"

The Spring Independent School District i Texas har infört ett liknande system för att hålla reda på vart och när skolbarnen går av och på skolbussen. Säkerhetsexperten Bruce Schneier har analyserat systemet i ett inlägg på sin blogg, och beskriver det som ett ineffektivt system med marginell säkerhetseffekt.

Bruce Schneier: "What’s going on here? Have these people lost their minds? Tracking kids as they get on and off school buses is a ridiculous idea. It’s expensive, invasive, and doesn’t increase security very much."

Det handlar förmodligen om en kombination av övertro på teknikens fördelar och att skolledningen vill visa att de gör sitt yttersta för att måna om barnens säkerhet. Och det sistnämnda kan vara nog så viktigt.

Bruce Schneier: "If a kidnapping occurs on school property, the subsequent investigation could easily hurt school officials. They could even lose their jobs. If you view this security countermeasure as one protecting them just as much as it protects children, it suddenly makes more sense."

Jag tror inte att RFID-märka skolbarn är en bra idé. Helt enkelt för att det inte löser problemen. Det är inte mycket mer än ett kontaktlöst passerkort som uppfinningsrika skolbarn snabbt kommer att klura ut hur man lurar. Gamla beprövade metoder som staket, grindar, rastvakter och utbildning är kanske inte lika häftiga, men de fungerar i praktiken.

Det är också viktigt att komma ihåg att skolan uppfostrar och lär morgondagens vuxna vad som är rätt och fel. Lär man barnen att acceptera konstant övervakning som en del av en normal vardag, ja då är vi illa ute.

ämne

MSN Messenger nere

Postat 2005-01-23, kl 20:20 • Ämne: MSN

Neowin: "The MSN Messenger Service is experiencing worldwide sporadic problems this weekend. Ranging from contact lists not being available, to service outages, the problems have worsened today with many unable to sign on at all."

Jag har inte lyckats logga in på hela dan. - Hallå...? Vem drog ur kontakten?

Uppdaterat 2005-01-26:En möjlig förklaring till problemen - Messenger worm out and about

ämne

Mjukvarupatent - Money talks

Postat 2005-01-21, kl 18:03 • Ämne: Patent

Patentförespråkarna slösar ingen tid. Eftersom de inte fick sitt förslag genomröstat utan diskussion på förra mötet mellan EUs jordbruksministrar, försöker man nu göra exakt samma sak – igen! På något sätt har man lyckats övertala Polen att inte sätta sig på tvären denna gången och det hela kan klubbas redan på måndag.

Det handlar om att köra över det direktvalda Europaparlamentet, som vid flera tillfällen röstat emot att möjliggöra mjukvarupatent.

Carl Schlyter, EU-parlamentariker (mp): " - Ministerrådet har varken tagit hänsyn till de fakta som talar mot patent på databehandling eller de demokratiska processer som pågår kring direktivet. Om EU:s ministrar klubbar igenom frågan utan diskussion på måndag följer de lydigt storföretagens väg in i patentträsket. Hela mjukvarubranschen riskeras att göras om till en juridisk sankmark."

Demokrati? Den som har mest pengar bestämmer!

Uppdaterat: 2005-01-24: NoSoftwarePatents.com - JURI is still out on EU software patents
ämne

Internet Explorer behåller greppet

Postat 2005-01-20, kl 17:08 • Ämne: Internet Explorer, Firefox

Enligt en undersökning som Tidningen Mikrodatorn gjort verkar det inte som om Svenskarna är speciellt intresserade av alternativ till Internet Explorer. 95% av användarna fortsätter att använda någon version av Microsofts webbläsare.

Hade jag inte varit intresserad av ämnet datorsäkerhet hade förmodligen jag också kört MSIE idag. Men sommarens många säkerhetshål gjorde att jag motvilligt gav Firefox en riktig chans. Nu har jag lärt mig älska eldräven, inte minst för alla praktiska insticksmoduler som finns att tillgå!

Try it, love it.

Via gnuheter

ämne

Microsoft fixar Windows Media DRM

Postat 2005-01-19, kl 22:27 • Ämne: Säkerhet, Windows

eWeek: "One week after saying it had no plans to change the way WMP (Windows Media Player) handles the download of DRM licenses, Microsoft now says it will release an update in the next 30 days to help thwart the threat of spyware infection."

1) Ignorera. 2) Förneka. 3) Laga. Varför ska det alltid behöva vara en sådan prestigecirkus?

ämne

Introduktion till SQL Injection

Postat 2005-01-19, kl 22:00 • Ämne: Säkerhet

Om en applikation bygger sina databasrop dynamiskt och inte filtrerar indata, kan det vara möjligt för en angripare att manipulera en databasfråga så att det utför någon helt annat än vad som ursprungligen var avsett. Denna typ av angrepp kallas SQL Injection attacks.

SQL Injection går ut på att försöka modifiera funktionen hos en applikations databasanrop genom att föra in extra SQL-kod i någon parameter.

Steve Friedl har skrivit en bra introduktion till ämnet kallad SQL Injection Attacks by Example. Han går igenom ett typiskt exempel, från det att man upptäcker att applikationen är sårbar, till komplett expoit.

ämne

Obegripligt angrepp på Datainspektionen

Postat 2005-01-14, kl 18:54 • Ämne: Internet

IDG rapporterar att Datainspektionens webbplats under en längre tid varit utsatt för en överbelastningsattack (DDoS).

Datainspektionen: "Datainspektionens webbplats är utsatt för en s.k. DDoS-attack sedan i julas, vilket innebär att alla webbtjänster inte är fullt tillgängliga. Incidenten är polisanmäld. Tillsammans med vårt webbhotell arbetar vi på att snabbt komma tillbaka i full drift."

Vad jag inte riktigt förstår är vad man kan ha för motiv att göra något sådant. Att skurkar försöker pressa privata näthandlare på pengar är en sak, men jag har svårt att tänka mig att det skulle funka mot en myndighet. Som maktdemonstration är det också ett dåligt mål. För hur många tittar på den webbplatsen under helgerna? Helt obegripligt.

ämne

Microsoft tar hjälp av externa testare

Postat 2005-01-14, kl 15:31 • Ämne: Windows

Microsoft har beslutat sig för att ta hjälp av utomstående för att förbättra kvalitén och snabba upp hanteringen av uppdateringar. Security Update Validation Program erbjuder utvalda företag och MVP att delta i betatestningen av säkerhetsuppdateringar för att säkerställa att de inte ställer till problem med tredjepartsapplikationer.

Testarna får inte veta vilka problem som uppdateringarna åtgärdar och ska arbeta under sträng sekretess. Allt för att inte detaljer om säkerhetshålen ska läcka ut innan uppdateringarna är färdiga.

Jag tycker detta verkar vara en utmärkt idé! Många av säkerhetshålen som upptäcks är triviala att åtgärda. Det kan handla om ett par rader kod som lägger till en extra kontroll av en parameter. Det är snabbt gjort. Problemet är att så snart man komplierat om programmet är man testmässigt tillbaka på ruta ett. Det räcker inte att man tror att den lilla ändringen man gjort åtgärdar problemet utan att påverka något annat i systemet – man måste förvissa sig om det. Och det tar tid.

Släpper man ut en uppdatering som ställer till med andra problem minskar förtroendet radikalt, och systemadministratörerna kommer att vilja ha längre egna testperioder innan man accepterar en uppdatering. Det gör att fler system är sårbara under längre tid.

Desto högre kvalitén är på Microsofts patchar, desto fortare kommer de att installeras. Och om man dessutom kan korta av tiden mellan upptäckt och att en uppdatering finns tillgänglig är det jättebra!

ämne

Microsoft förnekar brister i Windows Media DRM

Postat 2005-01-14, kl 14:10 • Ämne: Säkerhet, Windows

Inte helt oväntat anser Microsoft inte att det är deras problem att man kan utnyttja funktioner Windows Media DRM för bedrägliga syften. De väljer att skylla på användaren.

IDG: "Det är inget fel på DRM-skyddet i Windows Media Player utan användare måste lära sig att inte hämta hem filer från opålitliga källor säger Microsoft efter Sophos larm om att tekniken utnyttjas för att sprida skadlig kod."

Om det finns en lärdom att dra av det här, så är det snarare att ge sjutton i att använda Windows Media!

ämne

VANSINNE: Patent på liv

Postat 2005-01-14, kl 13:16 • Ämne: Patent

Även om patent på mjukvara är det som ligger mig närmast om hjärtat, inser jag att det finns de som har ännu större problem med de senaste decenniernas utökningar i vad som går att ta patent på. Värst av allt är nog möjligheten att ta patent på liv.

Monsanto är ett av de företag som säljer genmanipulerade grödor. Genom att manipulera en gen i till exempel Soja kan de få ensamrätt på en viss typ av planta. De tar alltså något levande, ändrar det lite, och kallar det sedan sin egen uppfinning. Det är fullständigt absurt. Och det får absurda konsekvenser.

AP News: "Monsanto Co.'s "seed police" snared soy farmer Homan McFarling in 1999, and the company is demanding he pay it hundreds of thousands of dollars for alleged technology piracy. McFarling's sin? He saved seed from one harvest and replanted it the following season, a revered and ancient agricultural practice. [...] Saving Monsanto's seeds, genetically engineered to kill bugs and resist weed sprays, violates provisions of the company's contracts with farmers."

Jag läste om ett ännu lustigare fall i Kanada. Där grannen hade planterat genmanipulerad gröda som spritt sig till bondens fält, som sedan blev stämd när han använde sin egen skörd som utsäde. Trots att han aldrig själv planterat genmanipulerad gröda på sitt eget fält. Vansinne!

ämne

iPod shuffle

Postat 2005-01-13, kl 13:08 • Ämne: Apple

När ryktena började cirkulera på nätet om en ny IPod utan skärm var jag övertygad om att det var en hoax. Men tydligen tycker Apple att man inte behöver någon skärm på sin minnesbaserade MP3-spelare, och har därför släppt en liten vit pinne de kallar iPod shuffle

Jag tycker det ser ut som ett totalt hjärnsläpp. Produktinformationen på Apple.com är en enda lång bortförklaring där man försöker övertyga om det häftiga i att inte ha en aning om vilken ordning låtarna spelas. Finns det någon CD/MD/MP3 spelare som producerats de senaste 25 åren som inte har "Shuffle mode"?

Det finns spelare som är både billigare och bättre. Den enda fördelen denna spelaren har är att den heter "iPod". Tyvärr kommer det säkert att lura en och annan stackare att köpa skräpet.

ämne

Vem läser din GMail?

Postat 2005-01-12, kl 22:53 • Ämne: Säkerhet, Google

Slashdot uppmärksammar en intressant bugg i Googles webbmail GMail. Det var när HBX Networks UNIX Community Group skulle göra ett e-post utskick som en bugg i deras PERL-skript gjorde att avsändaradressen inte blev korrekt urformad.

HBX Networks: "where it should have been "From:<hbxnetworks@gmail.com>", we had "From:<hbxnetworks@gmail.com".

När ett sådant brev skickades till en GMail-adress blev det ett överraskande resultat. Avsaknaden av det avslutande ">"-tecknet gjorde att en bit av någon annan användares e-post kopierades in i avsändarfältet.

HBX Networks: "This, apparently, was enough to get GMail to provide us with some portion of someone else's messages. We speculate that there is a subroutine which determines where the "From" address component of a message, ends - and that this subroutine relies upon the closing ">" bracket to distinguish this end. When unable to find this character prior to a carriage return, it simply continues to read past the end of the allocated buffer for this component"

Jag är säker på att alla utvecklare någon gång gjort liknande antaganden om hur formatet på applikationens indata ser ut. Detta är ett jättebra exempel på hur ett litet tankefel kan få stora konsekvenser.

ämne

Januari månadsuppdatering 2005

Postat 2005-01-11, kl 22:01 • Ämne: Microsofts månadsuppdatering

Microsofts månadsuppdatering i januari består av tre säkerhetsbulletiner. Det är glädjande att se att felen som rapporterades lagom till Jul är med bland uppdateringarna. Snabbt och bra jobbat!

ämne

Microsoft Antivirus

Postat 2005-01-11, kl 20:39 • Ämne: Virus, Windows

I mitten av 2003 köpte Microsoft antivirusföretaget Gecad software, och allt sedan dess har det gått rykten om att Microsoft skulle släppa ett eget antivirusprogram. Idag släpper Microsoft programmet Malicious Software Removal Tool som kommer att skickas ut till alla som kör Windows XP via Windows Update.

Komplement till antivirus

Malicious Software Removal ToolDet är inte någon komplett antiviruslösning, utan är främst avsett för att rensa upp när datorn väl blivit infekterad. Enligt Microsoft ska det ses som ett komplement till vanliga antivirusprogram.

Programmet tar bort varianter på följande maskar/virus:

Märkligt nog verkar nummer ett på virustoppen saknas: Netsky.

Antivirusprogrammens Notepad

Då vanliga antiviruslösningar aktivt försöker blockera infektioner, söker igenom filer automatiskt, och dessutom tar bort sådant som hittas vid en genomsökning är det svårt att se vad MSRT kan tillföra. Det är inte heller någon fullgod lösning för den som inte har något antivirusprogram installerat. Ett antivirusprogrammens "Notepad" kan tvärt om förleda användaren att tro att det är ett komplett virusskydd. Möjligen kan det vara ett trubbigt vapen på en maskin som man av någon anledning inte kan köra antivirusprogram på.

Tittar man på statistiken över vilka virus som cirkulerar, verkar det som det ändå finns många användare som varken har ett uppdaterat virusskydd eller har installerat alla uppdateringar. Så allt som kan hjälpa till att motverka spridningen av virus är såklart bra. MSRT kan hjälpa till med att rensa upp på infekterade maskiner. Fast haken är väl att just de användare som behöver det mest, de som inte uppdaterar sina maskiner, är precis de som inte kommer att ladda ner det via Windows Update.

Kritik oavsett pris

Överhuvudtaget är Microsofts insteg på antivirus- och antispyware-marknaden en het potatis. Oavsett om de tar betalt eller inte kommer de att få kritik. Kanske är det därför Microsoft släpper ett program som är gratis, men inte tillräckligt bra för att ersätta antivirusprogram som F-Secure, Norton eller Mcafee. Det är ett tecken på god vilja. Och ett sätt att sondera terrängen för att se vilket mottagande en antiviruslösning från skulle Microsoft få.

Den bästa lösningen vore att försöka korta av tiden mellan upptäckt och när en säkerhetsfix finns tillgänglig. Idag rör det sig ofta om månader. Visst finns det brister i all mjukvara, och att Windows behöver ständiga uppdateringar är inte alls konstigt eller onormalt. Jag skulle bara önska att det gick lite fortare.

Man kan inte heller lasta Microsoft för hela världens spyware- och virusproblem. En hel del beror på godtrogna användare som klickar "ja" när de inte borde.

Tidigare inlägg

2004-12-18 : Microsoft AntiSpyware

ämne

Grattis Jimmy!

Postat 2005-01-11, kl 15:18 • Ämne: Microsoft, Aktuellt

Jimmy Nilsson på JN SystemKonsult AB har blivit utnämnd till MVP inom området Visual Developer - Solutions Architect. Jag lyfter på hatten och gratulerar!!

MVP står för Most Valued Professional och är den högsta status man kan få utan att vara anställd på Microsoft. I Sverige är det bara 25 personer som fått denna utmärkelse.

"The Microsoft Most Valuable Professional (MVP) Award is an annual award that is given to outstanding members of Microsoft's peer-to-peer communities, and is based on the past year's contributions those members make in those communities online and offline."

Jimmys blogg hittar man här: Jimmy Nilsson's Weblog

ämne

Hittade säkerhetshål – stämdes av tillverkaren

Postat 2005-01-11, kl 13:18 • Ämne: Virus

Det är mänskligt att tycka det är jobbigt att få kritik. För helst vill man ju alltid lyckas 100 % i alla lägen. Men mjukvara är något av det mest invecklade man kan ge sig på att arbeta med – och därför är det i praktiken omöjligt att helt undvika buggar. Det gör konstruktiv kritik livsnödvändig för att man ska utvecklas, lära sig av sina misstag, och fixa buggarna.

Skjut inte budbäraren

Man måste utgå ifrån att det finns folk som ständigt letar efter svagheter i alla applikationer som är de minsta populära. Det är inget man kan förhindra. Det enda man kan hoppas på är att den som hittar en svaghet rapporterar detta till tillverkaren, istället för att använda kunskapen för att ställa till med något elände. Större opublicerade säkerhetshål är en eftertraktad vara som en del i skumma kretsar är villiga att betala för. Det omsätts sedan till spyware, botnet-maskar, utpressning och annat otrevligt.

Tyvärr finns det fortfarande företag som reagerar reflexmässigt och blir arga på budbäraren. De vill inte att någon ska hitta fel i deras produkter som kan ge negativ publicitet. Istället för att vara tacksamma att något arbetat gratis och rapporterar sina testresultat väljer en del att ignorera, smutskasta eller till och med stämma den som hittat felet.

ZDNet skriver om fransmannen Guillaume Tena som blivit stämd för att han publicerat information om svagheter i Tegam Viguard antivirus:

ZDNet: "In 2001, French security researcher Guillaume Tena found a number of vulnerabilities in the Viguard antivirus software published by Tegam. Tena […] published his research online in March 2002. [...] Tegam responded in a "weird way" by first branding him a terrorist and then filing a formal complaint in Paris"

Antivirusföretag borde agera föredömligt

Det är extra allvarligt när ett antivirusföretag agerar på detta sätt, eftersom det är just deras produkter som ska skydda mot andra säkerhetsproblem. Det är oklart om Tena försökt att samarbeta med Tegam innan han publicerade detaljer rörande säkerhetshålen. Vad jag förstår är det kutym att man ger tillverkaren 30 dagar på sig att laga säkerhetshålet innan man går ut med fullständig information. Fast det är kanske inte så lätt om företaget kallar en terrorist.

Jag hoppas att detta inte är början på en trend där säkerhetsintresserade inte vågar rapportera svagheter till tillverkaren för att inte riskera efterräkningar. Eller ännu värre, att de väljer att byta sida och säljer informationen till någon med mera illvilliga motiv. Det skulle vara mycket olyckligt och i slutändan drabba både tillverkarna och konsumenten.

Via Slashdot

Tidigare inlägg

2004-11-12 : Tala tyst om fel i Windows

ämne

BSoD - En föreläsares mardröm

Postat 2005-01-10, kl 10:58 • Ämne: Microsoft
XBOX BSoD

Vad säger man om man är program manager för Microsoft XBOX Studio, och ens XBOX gör en Blue Screen of Death medan man visar ett fräckt nytt spel tillsammans med Bill Gates?

Garrett Young vet hur det känns, och hans kommentar var: This is a little bit of demo karma, sorry, I'm out of system memory apparently. Uh ... Yeah .... Stackars man.

Och stackars den som är ansvarig för spelet han försökte visa - Forza Motorsport.

Plötsligt känns det som det är 1998 igen.

 

ämne

Bill ser rött

Postat 2005-01-06, kl 18:58 • Ämne: Patent

I en intervju på CNET ventilerar Bill Gates sina åsikter om allt ifrån Apple till XBOX.

Han skräder inte orden när han svarar på frågan om han tycker lagarna rörande immateriella rättigheter behöver reformeras:

Q: do you think intellectual-property laws need to be reformed?
A: No, I'd say that of the world's economies, there's more that believe in intellectual property today than ever. There are fewer communists in the world today than there were. There are some new modern-day sort of communists who want to get rid of the incentive for musicians and moviemakers and software makers under various guises."

Tala om att bekänna färg. Open Source-utvecklare, patentkritiker, piratkopierare, idealister och alla andra som på något sätt tycker att monopol på idéer är dåligt, är helt enkelt kommunister. Alla över en kam! Jösses.

Det låter nästan som ett dåligt eko från Sagan om Karl Bertil Jonssons julafton: Tyko Jonsson hörde till dem som tror att alla som frivilligt ger bort någonting är kommunister.

ämne

Tänk om all skräppost var så här underhållande

Postat 2005-01-06, kl 04:49 • Ämne: Skoj, Skräppost

Jag snubblade över en lustig sida häromdagen som fick mig att stanna upp och dra på mungiporna. Det är en desperat förfrågan om assistans av någon som kan det här med tidsresor.

Det har förmodligen några år på nacken, men är ändå tidlöst roligt. Jag antar att avsändaren inte fått något seriöst svar på sin förfrågan ännu, för då borde han redan fått hjälp med sitt problem, och aldrig behövt skicka brevet till att börja med. Knepigt.

Fast tidsresor och sådana trassliga saker behöver väl alla hjälp med någon gång då och då. Man kan bara önska att all skräppost var lika underhållande.

Time travelers PLEASE HELP!!!!!!

PC World har en artikel om preparerade Windows Media-filer som slänger upp reklam, popup-fönster, försöker ändra webbläsarens startsida, och till och med försöker ladda hem adware på datorn. För att lyckas med detta använder man sig av funktioner för Windows Media DRM (Digital Rights Management).

Utnyttjar licensfunktionen

Tanken är att när man försöker öppna en DRM-skyddad fil utan att ha rätt licens på datorn, kan utgivaren ha angivit en webbadress som laddas så att användaren kan köpa licensen som fattas. Webbadressen kan sättas till godtycklig sida, och resultatet blir att när användaren försöker öppna filen laddas den angivna webbsidan i ett Internet Explorer-fönster med alla säkerhetsluckor det innebär.

Bakom filerna står Overpeer Promotional Solutions, som försvarar sig med att påpeka att de användare som drabbas har försökt piratkopiera musik via P2P. Ett klassiskt försvar som småbarn lär sig redan vid tidig ålder genom att påpeka att "Pelle slog mig först!". Det verkar dock vara svårare att lära sig att det aldrig fungerar.

Overpeer är också kända för att tjänar pengar på att hjälpa skivbolag att försvåra spridningen av musik via P2P. Deras metod är att själva dela ut falska filer med samma namn som populära låtar, och på det viset försöka lura användaren att ladda hem skräp i stället för äkta vara. Metoden har aldrig fungerat speciellt bra, och då modernare P2P-applikationer i allt högre grad beräknar checksummor på filerna som överförs blir det allt svårare att störa trafiken på det viset.

Bryter själva mot licensreglerna

Kanske är det därför Overpeer nu ertappats med fingrarna i syltburken. Ironiskt nog har de duktiga copyright-sherifferna förmodligen brutit mot Microsofts DRM-licensregler när de försöker installera 180search Assistant bakom ryggen på användaren. Så det kan gå.

Det ska bli intressant att se om Microsoft gör något åt saken innan de första allvarligare angreppen dyker upp. Och om de ens då accepterar att det rör sig om ett säkerhetshål, eller bara säger att man "inte ska ladda hem filer från webbplatser man inte litar på". De riktigt stora problemen uppstår på grund av att det har blivit normalt att Internet Explorer är ständigt sårbar på ett eller annat sätt.

Jag har aldrig varit förtjust i Windows Media. Och Windows Medias bristande popularitet kanske är den bästa boten mot infektioner den vägen. Det må ha sina tekniska meriter, men risken att sitta med filer som inte går att konvertera eller spela upp i framtiden är oacceptabel. Att fritt kunna välja mjukvara och plattform att spela upp innehållet överskuggar allt annat. DRM förvärrar det problemet även utan att någon preparerat filerna.

ämne

Podcasting

Postat 2005-01-02, kl 00:10 • Ämne: Bloggande, Musik, Upphovsrätt

Aftonbladet skriver om trenden att sända egen amatörradio via nätet. Att göra egna radioprogram och lägga ut för nedladdning kallas Podcasting. Ett namn som anspelar på Apples portabla audiospelare IPod. Tanken är att man har alla sina favoritlåtar på sin IPod, och med lite mellansnack är det allt som behövs för att göra egna avsnitt.

Genom att använda RSS för att påannonsera nya avsnitt skapar man i praktiken en audio-blogg. Själva idén att köra sin egen nätradio har några år på nacken. Till exempel har Nullsofts Shoutcast har hängt med sedan 1999, och gör att man enkelt kan förvandla sin WinAMP till en nätradiostation och ”sända” live – så kallad webcasting. Att audio-blogga, eller Podcasting, är en intressant förlängning.

Adam Curry* som tidigare arbetat som VJ på MTV är en stor anhängare av formatet. Han lär enligt Aftonbladet sagt att Nittionio procent av det du hör på radio idag är skräp.. Även om jag är böjd att hålla med, tycker jag mig känna igen det från en äldre generation som avfärdade melodiradion som "dunka dunka". Smaken är olika.

Jag är ännu inte helt övertygad om att Podcastingens förträfflighet. Det är ganska mycket jobb och kräver talang att göra ett bra program med mer än bara musik. Och det är tveksamt om man har tid att surfa runt och lyssna på en massa audio-bloggar. Det är ju också lite svårt att skumläsa en audio-blogg. En annat troligt problem är att man inte får lägga upp musik till nedladdning hur som helst. Då vill nog skivbolagen ha en del av kakan tyvärr.

Men bara för att jag inte är entusiastisk betyder det inte att Podcasting är dåligt. Målet är förmodligen inte heller att göra världen bästa radioprogram. Det är snarare ännu ett sätt, och ännu en möjlighet att uttrycka sig på. På samma sätt som att bloggare har olika anledning, mål och motivation att skriva på sin blogg.

Låt skaparglädjen flöda!

*) Aftonbladets artikel påstår att Adam Curry uppfann Podcasting. Wikipedia anser att den äran tillfaller Dannie J. Gregoire.

ämne

Trångt i nyårsetern

Postat 2005-01-01, kl 02:01 • Ämne: Aktuellt, Trådlöst

Årets nyårshälsningar via SMS stötte på ordentlig patrull. Tidigare år har det funkat utmärkt för mig att både ringa och skicka SMS kring tolvslaget. En lyx som inte upprepades denna nyårsafton.

I år fick jag bara iväg tre SMS innan hela rasket klappade ihop. Vodafones SMS-center vill inte veta av mig, och så här två timmar in på det nya året ligger mina meddelanden fortfarande kvar i telefonens Utkorg och skräpar.

Men skam den som ger sig. Det är bara att försöka igen. Gott Nytt År!

Uppdaterat: Efter 2 ½ timme och en omstart av nallen fick jag iväg allt. Just det senare kändes inte som ett tekniskt framsteg.

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot