Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

En titt på Solaris 10

Postat 2005-02-27, kl 01:09 • Ämne: G33k

Narayan Newton har skrivit en kort recension av Suns operativsystem Solaris 10, som man kan ladda hem och testa gratis på en vanlig PC.

Narayan Newton: "Solaris 10 is a rather amazing OS. [...] It is very fast, has new features that are revolutionary and old features that are not very well known, but deserve to be. Its hardware support could, and I think will, be improved, some software will be difficult to compile and it can be difficult to use at times when coming from other NIX. However, any relatively knowledgeable user should give it a shot. You may be impressed."

Nog blir man nyfiken alltid! Det gäller bara att ha en bra stund över, för Solaris har aldrig varit något man bemästrar på en kvart.

ämne

Blockeringen av Wine luktar gamla Microsoft

Postat 2005-02-26, kl 02:18 • Ämne: Microsoft

Beskedet om förändrade villkor för OEM-kunder och Microsoft Downloads blockering av användare som kör Wine, känns som en fläkt av tider man hoppades tillhörde det förgångna.

Sedan Microsoft gjorde upp med amerikanska justitiedepartementet har de gjort sitt bästa för att försöka tvätta bort stämpeln av profithungrig monopolist. Genom att öppna upp företaget och släppa in folk lite närmare in på livet har de försökt att bygga upp en samhörighetskänsla liknande den man finner bland MAC-användare och OSS-utvecklare

WINE

Wine är en implementation av WIN32-API och gör att man kan köra en hel del Windowsprogram på Linux - till exempel Microsoft Office. Detta är naturligtvis ingen användning som Microsoft stödjer, och tidigare har de valt att helt ignorera Wines existens.

Piratspärr

Men nu har Microsoft beslutat införa en obligatorisk kontroll, där man måste visa att man har en giltig Windowslicens för att få lov att ladda ner från Microsoft download. Det kallas Windows Genuine Advantage (WGA). Kör man Internet Explorer kan man göra kontrollen direkt i webbläsaren med en ActiveX-kontroll. Kör man någon annan webbläsare får man istället ladda hem ett program som kollar så att man inte har en installation det är något fuffens med. Problemet är bara att om man kör till exempel Office med Wine på Linux, och vill ladda hem något från Microsoft blir det problem.

Blockerar avsiktligt WINE

WGA-kontrollen testar specifikt om man kör med Wine – och gör man det blir det tvärstopp. Det kan tyckas okej eftersom man ju faktiskt inte har Windows installerat. Men har man köpt licens att använda Office eller en annan Microsoft-applikation har den ingenting att göra med om man har Windows eller inte. Det är också lite lustigt att man spärrar ute Wine från uppdateringar som är till Windows. Det är förmodligen det sista man behöver om man kör Linux.

Jag hoppas att detta inte innebär en återgång till det "gamla Microsoft". Det är mycket roligare att arbeta med produkter från ett företag man respekterar och känner att man kan lita på. Jag tycker om att arbeta med Microsofts teknik, och de har också utvecklats till ett mycket trevligare företag de senaste åren!

ämne

Microsofts piratspärr straffar hederliga användare

Postat 2005-02-24, kl 23:23 • Ämne: Windows

Microsoft kommer att begränsa möjligheten att aktivera Windows XP som köpts tillsammans med en ny dator, så kallade OEM-versioner*. Dessa levereras förinstallerade och föraktiverade hårddisken när man köper en ny maskin.

IDG: "I framtiden kommer det inte att vara möjligt att aktivera så kallade OEM-versioner av Windows över Internet. Till att börja med kommer endast de 20 största tillverkarna att omfattas av de begränsade nycklarna."

En Windows XP OEM-licens är knuten till en viss fysisk maskin och får inte flyttas till en annan dator om man uppgraderar. Det låter befängt, och jag undrar hur många som köper en dator med Windows som vet att reglerna är sådana. Det kommer nog att leda till många intressanta samtal när man måste ringa in och förklara sig för att få en aktiveringskod.

Microsoft: "Call center operators receiving these calls will only issue an override key to customers who correctly answer a series of questions which manually verify them as legitimate."

Givet att licensen är kopplad till en viss maskin, måste man fråga sig var gränsen går för hur mycket man får byta ut innan det anses vara en annan dator. En stationär PC är ingen given enhet, det är en samling komponenter som sitter i samma låda. Vad händer om något går sönder? Måste man till exempel köpa ny licens om bytat moderkort?

Alla som haft en Windowsburk vet att den förr eller senare strejkar på ett sätt som kräver en total ominstallation. Det kan bero på krånglande drivrutiner, applikationer, stabilitetsproblem i Windows, trasig hårddisk, ja det finns tusentals olika anledningar till att en sådan åtgärd kan bli nödvändig. Om Microsoft nu stryper möjligheten att aktivera över nätet, betyder det att varje gång man installerar om Windows måste man ringa till Microsoft och sitta i kö för att få aktiveringskoden.

eWeek: "Via the new XP product activation policy, Microsoft is hoping to eliminate piracy that occurs when product keys are stolen from COAs that traditionally have been placed on PCs by OEMs."

Målet med att spärra aktivering över nätet är att komma åt piratkopieringen. Men om det samtidigt gör livet surt för hederliga användare kan man tänka sig en motsatt effekt. Windows är dyrt nog utan att man ska behöva köpa ny licens om man uppgraderar sin maskin.

Alternativet till att krångla med telefonaktivering, är kanske att lägga sin OEM-licens på hyllan och installera en piratkopia. Det kanske är olagligt, men knappast omoraliskt. Man har ju redan betalt för att få använda programmet. Tyvärr går man då miste om uppgraderingar och säkerhetsfixar. De har ju som bekant Microsoft redan spärrat.

Man får inte fler betalande kunder genom att straffa de som redan gjort rätt för sig.

Fotnot: OEM = Original Equipment Manufacturer. En beteckning som används för en komponent ingår i ett större paket, i stället för att säljas direkt till slutkunden. Till exempel en CD-brännare eller mjukvara som ingår i en ny dator.

ämne

Kvantdatorn är kodknäckarens dröm

Postat 2005-02-23, kl 02:35 • Ämne: Kryptografi

Scientific American har en bra översikt av vad en kvantdator är och varför den skulle kunna revolutionera möjligheterna att lösa en viss typ av problem. Dagens generation av kryptosystem bygger på matematiska envägsfunktioner.

Till exempel att det är enkelt att multiplicera två primtal (p och q), men väldigt svårt att ta reda på vilka de två faktorerna är om man känner till produkten (p * q). Med vanliga datorer måste man systematiskt försöka dividera med ett tal i taget. Med en kvantdator hoppas man att kunna prova alla tal samtidigt.

Scientific American: "In a quantum computer, the information is represented by physical states that are sufficiently microscopic and isolated so that they obey the laws of quantum mechanics. [...] A normal coin can be placed on a table to show either heads or tails, reflecting the fact that the bit it represents must be valued at either 1 or 0. In contrast, the laws of quantum mechanics allow our quantum coins to show both heads and tails at once [...] This ability comes with the important provision that when we actually measure the orientation of a coin, it will make the choice between the two states."

Kommer man någonsin att kunna konstruera en sådan mackapär? Hitintills verkar det mest vara en teoretisk fantasi. Men vem vet. Det man kan vara säker på är att det skulle göra dagens asymetriska kryptosystem (med publika nycklar) totalt värdelösa, och ge en väldig makt till den som lyckas först.

ämne

Ny Longhorn på WinHEC 2005

Postat 2005-02-21, kl 21:56 • Ämne: Windows

WindowsItPro: "Microsoft confirmed this week that it will issue a refreshed technical preview build of Longhorn at the Windows Hardware Engineering Conference (WinHEC) 2005 trade show in April."

WinHEC 2005 hålls den 25-27 April i Seattle, och man kan nog räkna med att Microsofts bloggare kommer att dra igång den sedvanliga hypen någon månad i förväg.

ämne

Microsoft leetspeek

Postat 2005-02-18, kl 06:00 • Ämne: Skoj

Snokande föräldrar som tycker det är svårt att förstå vad barnen skriver, har nu fått hjälp av Microsoft som publicerat en guide till leetspeek.

Men trots att de verkar ha gjort en grundlig inventering av leet har de lustigt nog glömt både M$ och Micro$oft. Vilken tabbe! B)

ämne

Microsoft Update debuterar nästa månad

Postat 2005-02-17, kl 07:01 • Ämne: Microsoft

Nästa månad är det tänkt att Microsoft ska börja betatesta uppdateringstjänsten Microsoft Update, som konsoliderar Microsofts olika uppdateringstjänster under ett och samma tak.

eWeek: "the service will provide a single location for users to get security and performance patches for Windows XP, Windows 2000, Windows Server 2003, Office 2003 and Exchange Server 2003."

Det kommer framförallt att förbättra säkerhetssitationen för Microsoft Office. Väldigt många Office-användare vet inte ens om att det finns något som heter Office Update.

ämne

Grattis Håkan!

Postat 2005-02-17, kl 00:53 • Ämne: Bloggande

Tidningen Internetworld har startat en omröstning för att utse Sveriges bästa blogg 2005.

Min personliga favorit är Håkan Kjellerstrands Hakank.blogg som fått en välförtjänt nominering i kategorin IT & Media.

Grattis till nomineringen Håkan - du har min röst!

Bill levererade ett par riktigt goda nyheter i sitt tal på RSA Conference. Microsoft jobbar på en uppgradering av Internet Explorer, IE 7.0 som är tänkt att vara färdigt att börja betatestas till sommaren.

Förmodligen är det Firefox framgångar som tvingar Microsoft att börja agera för att inte tappa greppet om webbläsarmarknaden i framtiden.

Bill Gates: "We have a dialogue to make sure that we're understanding exactly what people would like to have us do in Internet Explorer, and what we've decided to do is a new version of Internet Explorer, this is IE 7, and it adds a new level of security. [...] this will be in the Internet Explorer that's available to people using Windows XP SP 2"

Det är bra att Microsoft tänker släppa en ny Internet Explorer för Windows XP, och inte som tidigare befarat bara som en del av den kommande generationen Windows "Longhorn". Jag hoppas bara att det inte innebär att Microsoft lämnar de som kör Windows 2000 i sticket!

Den andra goda nyheten är att Microsoft antispyware som just nu håller på att betatestas även i fortsättningen ska vara gratis.

Bill Gates: "We've looked hard at the nature of this problem, and made a decision that this anti-spyware capability will become something that's available at no additional charge for Windows users -- both the blocking capability, and the scanning and removal capabilities. Those are features we think should be available to protect every system."

Jag tycker det är ett bra beslut. Tanken på att ta betalt för antispyware som rensar upp efter säkerhetshål i deras egen produkt var lite väl magstark (även om man måste tänka på att mycket spyware installeras av oanande användare som inte noterar att spyware hänger med ett program de tror är gratis.)

Tidigare inlägg

2005-01-29 : Piratlås kan försämra säkerheten
2005-01-11 : Microsoft Antivirus
2004-12-18 : Microsoft AntiSpyware

ämne

Firefox stänger av IDN så länge

Postat 2005-02-16, kl 02:47 • Ämne: Firefox

Tills utvecklarna bakom Firefox hittat en bättre permanent lösning på problemet med IDN Spoofing kommer användaren att få slå på Firefox IDN-stöd själv efter avslutad installation.

För de flesta kommer det inte att spela så stor roll att IDN är avslaget. IDN – International Domain Names – är till för att man ska kunna använda domännamn med tecken som inte finns i det engelska alfabetet.

Netcraft: "The Mozilla development team said today that it will disable a browser feature that allows URL spoofing and could leave users open to scams. Upcoming releases of the Firefox and Mozilla browsers will turn off support for Internationalized Domain Names (IDN) by default to protect users from the spoofing"

Att stänga av stödet för IDN i Firefox 1.0 har visat sig inte vara så enkelt. Går man in under about:config och ändrar inställningen network.enableIDN till false slås IDN av tills man startar om webbläsaren. Sedan fungerar IDN igen, trots att inställningen fortfarande visar false! Nästa steg är att redigera filen compreg.dat. Det fungerar fram tills man installerar en ny utökning/insticksmodul – då automatgenereras filen och skriver över ändringarna.

ämne

Inför mjukvarupatent, annars flyttas jobben till USA!

Postat 2005-02-15, kl 08:18 • Ämne: Patent

Microsoft hotar med att flytta utvecklingsavdelningen i Danmark till USA, om inte förslaget om mjukvarupatent går igenom i EU. Det rör sig om ca 800 jobb på Microsoft Business Solutions i Vedbæk norr om Köpenhamn.

DR: "- Ellers flytter jeg det til USA, hvor jeg kan beskytte mine rettigheder, skal Bill Gates have sagt til blandt andre statsminister Anders Fogh Rasmussen, da han var i Danmark i november."

Det får han gärna göra för mig. Mycket hellre än att man inskränker skaparfriheten för miljontals europeiska mjukvaruutvecklare!

ämne

Minns du Orkut?

Postat 2005-02-12, kl 22:57 • Ämne: Google

För ett år sedan var webbplatsen Orkut det givna samtalsämnet bland datorintresserade. Orkut är Googles variant av ett "virtual community", som ska vara ett hjälpmedel att hålla kontakt med gamla bekanta såväl som att träffa nya människor.

Bara för inbjudna

Liksom flera andra betaprojekt som Google experimenterar med, krävs det att man blir inbjuden av någon som redan är medlem för att få lov att skapa ett konto. Inbjudningssystemet bidrog till lockelsen och fick det att verka fint och exklusivt att vara medlem.

Det gjorde också att de flesta av de tidiga medlemmarna på ett eller annat sätt hade samma teknikintresse som de som bjudit in dem. En lekplats för geeks som lockade till sig ännu flera geeks. Med andra ord ett ställe helt i min smak.

Nyhetens behag

Användarna flockades. Inbjudningar såldes för reda pengar på eBay. Det skapades tiotusentals diskussionsgrupper om allt ifrån himmel till jord. Man snickrade på sin presentation, och kunde sätta "poäng" på sina kompisar. Men sen blev det inte så värst mycket mer.

Bara en liten bråkdel hade något att säga i forumen. Det verkade som om (i stort sett) ingen riktigt hade tid, ork eller motivation att faktiskt använda systemet till något.

Brasilien och Iran tog över

Vad som hände sen hade nog få kunna gissa sig till. Av någon anledning har Orkut en otrolig dragningskraft för användare i Iran och Brasilien. Idag är endast 11% av användarna från USA, medan hela 63% kommer från Brasilien. Iran tar tredjeplatsen med 7,5%. Det har fört med sig att stora delar av diskussionerna nu förs på portugisiska.

Wallop

Idag är Orkut hopplöst ute. Istället pratas det om Microsofts motsvarighet: Wallop.

Microsoft: "In Wallop, you can share photos, blog, and interact with your friends. Wallop is a research project that explores how people share media and build conversations in the context of social networks. We are currently conducting a small, real world trial of Wallop with small friendship groups."

Kanske lyckas Microsoft bättre än Google. Speciellt om man integrerar med bloggarna på MSN Spaces, Hotmail, och MSN Messenger.

ämne

GMail für alle!

Postat 2005-02-11, kl 02:34 • Ämne: Google

CNET: "Gmail, the Web mail service operated by search engine Google, could be gearing up for its official launch, as people using the service have found recently that the number of invitations they can send out has increased from four to 50."

Det var länge sedan GMail-inbjudningar upphörde att vara en bristvara. Att man ändå tiodubblat tilldelningen kan bara tolkas som att man i praktiken öppnat tjänsten för allmänheten. Det ska bli spännande att se hur GMail utvecklas framöver!

Mera information

CNet: Gmail gearing up for full launch?

ämne

Webbkameror och smygfilmning

Postat 2005-02-10, kl 01:08 • Ämne: Personlig integritet, Övervakning

Pär Ström skriver om oskyddade övervakningskameror i senaste utgåvan av sitt nyhetsbrev Big Brother Bulletin. Via några enkla sökningar på Google kan man hitta en hel del webbkameror att titta på. De flesta är medvetet publika, men det finns också en del som ligger live av ren okunskap.

Påträngande webbkameror

Jag har aldrig varit speciellt förtjust i webbkameror, eller förstått varför en del finner dem så otroligt fascinerande. Jag förstår inte alls tjusningen med att ha en kamera upptryckt i ansiktet medan man sitter och jobbar. Och riktigt irriterad blir jag när någon blir så förälskad i konceptet att de inte kan respektera att jag inte vill vara med i bild. Speciellt populärt verkar det vara att montera upp kameror i gemensamma utrymmen som lunchrum och fikarum. Utan att fråga om det är okej. När jag håller kafferast vill jag kunna koppla av och hämta kraft inför nästa arbetspass. Det är lite svårt när hur många som helst kan sitta och glo mig över axeln med en webbläsare. Så jag har blivit expert på att hitta vart avstängningsknappen sitter på olika modeller.

Smygfilmning - en hel bransch!

En förutsättning för att kunna undvika att bli filmad är att man känner till kamerornas existens till att börja med. Att smygfilma har blivit en hel bransch. Pär Ström skriver om att man kan köpa så kallade "nanny cams" där en kamera diskret monterats in i ett vardagsföremål. Det kan vara en klocka, en brandvarnare, en bok, en kaffebryggare, blomsterkruka, en TV, you name it. Som namnet antyder marknadsförs de som ett sätt att kolla så att barnvakten inte hittar på något hyss. Men det är naturligtvis bara en fasad.

Dåligt rättsskydd

Man kan kanske avfärda detta som ett typiskt amerikanskt fenomen. Men i det här fallet kan jag tänka mig att de faktiskt har bättre rättsskydd än vi har i Sverige. På arbetsplatsen är det i praktiken fritt fram för arbetsgivaren att montera upp övervakningskameror. På allmän plats är man i det närmaste rättslös. Det visar inte minst alla TV-reportage med dold kamera där journalisten kan fortsätta filma trots att den som ”intervjuas” gång på gång begär att få slippa att medverka i TV.

Inte ens i hemmet har man något verkligt skydd. Det fick en 18-årig kvinna erfara efter att hon hittat en kamera i badrumsventilen i sin lägenhet. Genom att följa kabeln upp till vinden och sedan ned till ett källarförråd hittade hon en TV, videobandspelare och inspelade band. Kameran tillhörde hyresvärden. Men själva smygfilmningen visade sig inte vara straffbar! Endast hemfridsbrottet att dröja sig kvar för att montera kameran gick att beivra. Det gav tre månader i fängelse.

ämne

Militär teleportering utredd

Postat 2005-02-10, kl 01:07 • Ämne: Skoj

Amerikanska flygvapnet har utrett möjligheterna att använda teleportering för att förflytta militär materiel. Uppdraget gick till företaget Warp Drive Metrics i Las Vegas som producerade en rapport på 78 sidor för $25 000. William Shatner (Kirk) kan tänka sig att ställa upp och leda projektet. Tyvärr verkar inte förutsättningarna vara så goda.

NBC: "And after much talk of "wormholes" and "parallel universes" came a conclusion: "We are still very far away from being able to entangle and teleport human beings and bulk inanimate objects"

Den där slutsatsen kunde de ha fått av mig till ett mycket fördelaktigare pris. :>>

ämne

Februari månadsuppdatering 2005

Postat 2005-02-09, kl 03:32 • Ämne: Microsofts månadsuppdatering

Microsofts månadsuppdatering i februari består av hela 12 säkerhetsbulletiner som fördelar sig på ett brett fält av olika applikationer. Majoriteten åtgärdar fel i Windows och Internet Explorer. Men även Windows Media Player, MSN Messenger, Microsoft Office XP, SharePoint Services och .NET Framework får en släng av sleven. Jag har läst igenom bulletinerna och skrivit lite kommentarer.

Uppdateringar markerade kritiska

MS05-005: Vulnerability in Microsoft Office XP could allow Remote Code Execution

Genom att lägga in extremt mycket data i en länk kan man åstadkomma en buffertöverskridning i Office XP. En sådan länk kan se ut såhär:

<a href="data:application/x-msdos-program;base64, ... [512 Kb data ]... ">

Påverkar: Office XP, Project 2002, Visio 2002, Works 2002 / 2003 / 2004.

MS05-008: Vulnerability in Windows Shell Could Allow Remote Code Execution

Uppdatering för ännu en variant av de segdragna problemen med Drag-and-Drop i Internet Explorer. Allt eftersom Microsoft tätar hålen klurar folk ut hur man gör samma sak med nya kommandon. Målet är att få Windows att tro att användaren dragit en fil från en webbsida till en lokal mapp, och på så sätt spara ner en fil på användarens dator. Själva uppdateringen är en del av MS05-014.

Påverkar: Windows 2000, XP SP1/SP2 och 64-bit, Server 2003, 98/ME.

MS05-009: Vulnerability in PNG Processing Could Allow Remote Code Execution

Innehåller uppdateringar för Windows Media Player, Windows Messenger och MSN Messenger. Windows Media Player har problem att hantera extremt höga eller breda (vad det nu innebär) PNG-bilder. Jag har aldrig hört talas om någon som använder WMP för att titta på bilder med. Men det är klart efter tycke och smak. Windows Messenger och MSN Messenger har problem att hantera korrupta eller manipulerade PNG-bilder, och detta går att utnyttja genom att skicka en manipulerad visningsbild eller emoticon till klienten.

Påverkar: Windows Media Player 9 på Windows 2000, XP SP1 och Server 2003. Windows Messenger 5.0. Microsoft MSN Messenger 6.1 / 6.2.

MS05-010: Vulnerability in the License Logging Service Could Allow Code Execution

Genom att utnyttja en buffertöverskridning i License Logging service kan en angripare ta kontroll över den licensserver som hanterar en organisations CALs.

Påverkar: Windows NT4, 2000 Server, Server 2003

MS05-011: Vulnerability in Server Message Block Could Allow Remote Code Execution

Åtgärdar ett fel som gör att man kan ta kontroll över en dator via speciellt utformade anrop med det protokoll som används för att komma åt hårddiskar som är utdelade på andra datorer. Inga närmare detaljer anges. Förutom att man naturligtvis ska spärra åtkomst till portar (TCP 139 / 445) som Windows använder för fildelning, så att de inte går att komma åt ifrån maskiner som inte är betrodda. Avsaknaden av detaljer är inte så konstigt, för det här är ett fel som kan komma att visa sig väldigt tacksamt för virusmakare att utnyttja mot opatchade maskiner när tekniska detaljer väl läcker ut!

Påverkar: Windows 2000, XP SP1 / SP2 och 64-bit, Server 2003

MS05-012: Vulnerability in OLE and COM Could Allow Remote Code Execution

Åtgärdar felaktig minneshantering i OLE (Object Linking and Embedding) som kan utnyttjas för att ta kontroll över maskinen och höja användarens privilegier till systemnivå. OLE kan sägas vara är ett slags filsystem inuti en fil och används i första hand av Microsoft Office. Exempelvis för att inkludera ett kalkylark i ett Word-dokument. OLE har nära kopplingar till COM och det har historiskt varit en ren namncirkus när Microsoft då och då bytt namn och betydelse på begreppen OLE, COM och ActiveX.

Påverkar: Windows 2000, XP SP1/SP2 och 64-bit, 2003 Server, Exchange 5.0 / 5.5 /2003, Office XP.

MS05-013: Vulnerability in the DHTML Editing Component ActiveX Control Could Allow Remote Code Execution

Åtgärdar ett fel i ActiveX-kontrollen DHTML Edit som gör att man kan kringgå spärren i Internet Explorer som hindrar att Javascript kan bryta sig ur sin säkerhetszon. Detta kan användas för att lura XPSP2 popup-blockerare och köra script från webbsidor på nätet i zonen Local Machine.

Påverkar: Windows 2000, XP SP1/SP2 och 64-bit, Server 2003, 98/ME.

MS05-014: Cumulative Security Update for Internet Explorer

Denna bulletin består av fyra olika säkerhetsuppdateringar.
  • Drag-and-Drop Vulnerability
  • URL Decoding Zone Spoofing Vulnerability
  • DHTML Method Heap Memory Corruption Vulnerability
  • Channel Definition Format(CDF) Cross Domain Vulnerability
CDF är en kvarleva från 97/98 då begreppet "push" var ett modeord. Man kunde publicera information i en "kanal" som sedan webbläsaren kunde prenumerera på. Man kan säga att det var lite av en föregångare till RSS. Undermålig kontroll av Javascript som skickas med i kanaldefinitionen medför att man kan köra script i valfri säkerhetszon.

Påverkar: Windows 2000, XP SP1/SP2 och 64-bit, Server 2003, 98/ME.

MS05-015: Vulnerability in Hyperlink Object Library Could Allow Remote Code Execution

Buffertöverskridning i Hyperlink Object Library.

Påverkar: Windows 2000, XP SP1/SP2 och 64-bit, Server 2003, 98/ME.

Uppdateringar markerade viktiga

MS05-004: ASP.NET Path Validation Vulnerability

Åtgärdar ett fel i ASP.NET som i värsta fall kan utnyttjas av en besökare för att få tillgång till skyddade sidor utan att logga in.

Påverkar: .NET Framework 1.0 / 1.1.

MS05-007: Vulnerability in Windows Could Allow Information Disclosure

En säkerhetsbrist i Named Pipes som tillåter en angripare att ta reda på användarnamnen för användare som är uppkopplade mot en delad resurs. Till exempel en utdelad hårddisk eller nätverksskrivare.

Påverkar: Windows XP SP1 / SP2 och 64-bit.

Uppdateringar markerade måttligt viktiga

MS05-006: Vulnerability in Windows SharePoint Services and SharePoint Team Services Could Allow Cross-Site Scripting and Spoofing Attacks

En klassisk XSS (cross-site scripting) som möjliggjorts av att man inte spärrat möjligheten att mata in Javascript tillsammans med indata.

Påverkar: SharePoint Services for Windows Server 2003, SharePoint Team Services.

Ingen uppdatering av Windows Media DRM

Det verkar som att uppdateringen av Windows Media DRM får vänta till nästa månad. Jag har inte lyckats hitta den i någon av bulletinerna.

Svepande formuleringar

Det tar lite tid att skära sig igenom lagren av svepande formuleringar i Microsofts säkerhetsbulletiner. Det mesta är standardfraser som är utformade så de låter imponerande utan att egentligen säga ett enda dugg.

Tanken är att få användaren att känna sig informerad och vilja installera alla uppdateringar utan att man avslöjar några detaljer som kan hjälpa en angripare. Det är bra. Men det gör samtidigt att det är lite svårt att med säkerhet konstatera vilka fel man åtgärdat. Det vill säga, vilka redan kända säkerhetshål som finns kvar att oroa sig för.

Efter ett tag blir det rätt tröttsamt att läsa dessa meningar om och om igen:

Microsoft: "An attacker could exploit the vulnerability by constructing a malicious Web page. This malicious Web page could potentially allow remote code execution if a user visited a malicious Web site or viewed a malicious e-mail message. An attacker who successfully exploited this vulnerability could take complete control of an affected system."

Svammel och tokigheter

Ännu värre är IT-journalisternas hantering av informationen som Microsoft nu skickar ut tre dagar i förväg. Microsoft berättar hur många uppdateringar det rör sig om, ungefär vilka programvaror som påverkas och hur allvarliga felen är.

Det är bra så man i förväg vet ungefär hur mycket av nästkommande natt som går åt att analysera informationen. Men det är magert underlag att basera en artikel på, och leder till att en hel del svammel och rena tokigheter. Till exempel Andrew Brandt på PC World som skriver The stability of the Internet may depend on how quickly Windows users install these fixes. Och detta utan att ens ha sett vad uppdateringarna åtgärdar!

Jag tycker det är viktigt att man försöker att inte överdriva de säkerhetsproblem som finns och skrämma upp folk i onödan. Det finns tillräckligt att oroa sig för ändå. Därför försöker jag att inte bara skriva om problemen – utan att även inkludera en lösning när sådan finns.

ämne

Festhissen

Postat 2005-02-08, kl 17:12 • Ämne: Skoj

Skulle du stiga in i den här helt underbara hissen? :>>

ämne

Flera webbläsare sårbara för IDN Spoofing

Postat 2005-02-07, kl 22:53 • Ämne: Säkerhet, Firefox

IDG rapporterar att flera webbläsare hanterar domännamn med tecken som inte finns i det Engelska alfabetet på ett sätt som öppnar för phishing.

IDG: "Secunia kallar bristen för IDN Spoofing Vulnerability och anger att den finns i webbläsarna OmniWeb, Opera, Mozilla, Firefox, Camino, Konqueror, Netscape och Safari."

Problemet är en bieffekt av hur man implementerat hanteringen av International Domain Name. Standarden som kanske en dag gör att den skånska kommunen Hörby slipper det mindre smickrande domännamnet www.horby.se. ;)

Secunia: "This can be exploited by registering domain names with certain international characters that resembles other commonly used characters, thereby causing the user to believe they are on a trusted site. "

Secunia har lagt upp en sida man kan testa med. Tittar man på koden visar det sig att de länkar till "payp&#1072;l.com". "&#1072;" beskriver ett tecken som webbläsaren visar som "a". Vilket resulterar i att det står ”paypal.com” i adressfältet.

Hur borde det då fungera? Det är inte ett enkelt problem. Adressen är giltig men det saknas rätt typsnitt för att visa alla tecken korrekt. Istället för att försöka hitta en visuell motsvarighet kan man kanske byta ut eller markera det med en annan färg.

Internet Explorer klarar sig undan på grund av att den inte klarar av att hantera länken alls.

Lösning

Uppdaterat 2005-02-16: Se tråden IDN Spoofing Issue i forumet MozillaZine.

ämne

Microsoft ska bli en god lagspelare

Postat 2005-02-07, kl 03:23 • Ämne: Microsoft

Bill lovar i ett pressutskick att Microsoft ska bli bättre på att samarbeta med mjukvara från andra leverantörer.

"interoperable by design"

I framtiden ska all mjukvara från Microsoft vara interoperable by design, och fungera som en god medspelare i laget. Vad han i praktiken pratar om är att fortsätta på den inslagna vägen att använda XML och Web Services. Rent tekniskt har det blivit enklare att använda Microsoft produkter tillsammans med lösningar från andra leverantörer. Men samtidigt söker man entusiastiskt patent på allt man kan tänka sig och minerar vägen juridiskt.

Historiskt har Microsoft gjort sitt bästa för att se till att det är enkelt att flytta data till deras produkter - och ett mindre helvete att gå åt andra hållet. På det viset har man försökt låsa kunderna till sin egen plattform och tvinga fram uppgraderingar med jämna mellanrum. Det är en lyckad strategi så länge det inte finns något riktigt alternativ.

För att kunna konkurrera med J2EE var Microsoft mer eller mindre piskade att omfamna XML i .NET. På klientsidan har Linux och Open Source-alternativ till Microsoft Office börjat erodera monopolet och gett kraft bakom kraven på datalagring med "öppna standarder". Att Microsoft nyligen fälldes i EU-domstolen innebär också att man beordras att offentliggöra, och låta konkurrenterna licensiera ett antal kommunikationsprotokoll.

Det är nog mot denna bakgrund man ska se Microsofts nyfunna entusiasm att samarbeta. Kortsiktigt är det säkert en sur medicin, men i längden kan det visa sig fördelaktigt för alla inblandade. Större valfrihet tvingar fram lägre priser och bättre applikationer. Och finns inget som säger att Microsoft inte kommer att klara sig utmärkt i fri konkurrens med andra leverantörer!

ämne

Praktiska tillägg till Firefox

Postat 2005-02-06, kl 21:22 • Ämne: Firefox

PC Magazine har gjort en djupdykning bland alla de fiffiga tillägg man kan ladda hem för att utöka funktionaliteten i webbläsaren Firefox. De 15 bästa presenteras i artikeln Top 15 Firefox Extensions.

En given favorit är naturligtvis Googlebar. De har dock missat min personliga favorit: Image Zoom!

Tidigare inlägg

2004-12-11 : Flera startsidor med Firefox

Ny Teknik: "Den nya passlag som introducerar biometriska pass är nu på gång. Men många oroar sig för att känsliga uppgifter om passinnehavarna och deras resvanor läcker ut och missbrukas. Det är problem som inte analyseras i lagförslaget, hävdar datainspektionen."

Jag tror inte det spelar så stor roll vad datainspektionen tycker i detta fallet. USA inför biometriska pass och då får EU snällt följa efter. Det finns också andra mer akuta integritetsproblem som avgörs på nationell nivå.

Ny Teknik: "Det blir även förbjudet med personsökning i digitala passbilder. Övervakningsbilder, typ de på "NK-mannen" ska alltså inte kunna samköras mot passregistret."

Och PKU skulle bara användas för rent medicinska ändamål. Jaja, vi får väl se. :p

ämne

Security workaround

Postat 2005-02-05, kl 00:26 • Ämne: Säkerhet, Skoj
Gate at University of Bielefeld, Germany

Som Bruce Schneier skriver på sin blogg: Det spelar ingen roll vilken typ av säkerhetssystem du använder om det är lätt att gå runt.

Exempel på detta är att man håller servern inlåst och säkrad, medan banden med säkerhetskopiorna står i systemadministratörens bokhylla.

Eller att man tror att kryptering gör att ingen kan komma åt ens hemligheter, tills någon installerar ett spionprogram eller sätter en liten tangentbordsloggare på kabeln till tangentbordet.

Det är sannerligen inte lätt att tänka på allt!

Bilden ska vara ca två år gammal och tagen på tyska University of Bielefeld.


ämne

IPod kan vara skadlig för karriären

Postat 2005-02-04, kl 23:03 • Ämne: Skoj

Ledningen på Microsoft har börjat irritera sig på att de anställda går runt med Apples musikspelare IPod. Så till den grad att en del anställda har bytt ut spelarens karaktäristiska vita hörlurar mot andra lite mer diskreta.

Wired: "Some people are a bit concerned about being traitors, not supporting the company [...] at the Windows Digital Media Group, which is charged with software for portable players and the WMA format, using an iPod is not a good career move."

Man kunde tycka att det är bra att de provar konkurrenternas produkter och lär sig vad de själva kan förbättra.

ämne

Ministerrådet går vidare med mjukvarupatent

Postat 2005-02-04, kl 22:04 • Ämne: Patent

Trots att Europaparlamentet juridiska kommitté med överväldigande majoritet krävt en omstart av processen rörande mjukvarupatent, tänker ordförandelandet Luxemburg tjurskalligt köra vidare.

Techworld:: "Europe's ministers are planning to push ahead with controversial patent legislation despite a vote on Wednesday by MEPs to restart the process. […] Nicolas Schmit, deputy foreign minister of Luxembourg, which is currently chairing Council of Ministers meetings, said yesterday that he would ask the body to formally adopt the much-disputed draft directive on patents at a meeting on 17 February. [...] Government ministers have been heavily lobbied by large IT companies who stand to benefit most from the legislation"

"Skamligt" är enda ordet som kan beskriva det.

ämne

Star Trek Enterprise läggs ned

Postat 2005-02-03, kl 04:25 • Ämne: G33k

Slashdot: "It's official now: UPN has decided to cancel 'Enterprise.' The show's series finale, which may feature Jonathan Frakes (William T. Riker) and Marina Sirtis (Deanna Troi), will air on Friday the 13th of May."

Inte helt oväntat. Men likafullt riktigt dåliga nyheter. :'(

ämne

Sun Grid

Postat 2005-02-03, kl 02:30 • Ämne: Ekonomi

Sun Grid är datakraft löpande räkning. Istället för att själv köpa in och underhålla tillräckligt med hårdvara för att klara korta belastningstoppar kan man hyra in sig på Suns maskiner och bara betala för utförda beräkningar. Kostnaden är $1 per CPU-timme. För $1000 kan man alltså lika väl köpa 1000 timmars körning på en processor, eller en timme på 1000 processorer.

Sun Grid skjuter in sig på följande scenarion:

SUN: " Compute Utility may be a good fit for you if:

  • Your business can benefit from incremental compute power today
  • You have a cyclical demand for your compute-intensive tasks (daily, weekly, monthly, seasonal, etc.)
  • You have a project that will need compute power for a finite period of time, e.g. for a special project
  • You have compute tasks that can be run as batch jobs
  • You will accept, for a given set of compute tasks, a grid-type Service Level Agreement
  • You have run out of capacity in your data center, but still need more compute power
  • You need incremental compute power today"

Till det får man nog lägga att arbetsuppgiften bör gå att dela upp så att den går att köra parallellt på många processorer. Det känns inte helt meningsfullt att hyra in sig på en CPU.

Det är inte första gången Sun försöker sig på att leverera datorkraft via nätverkskabel. I mitten av 90-talet försökte Sun, IBM, Netscape, och Oracle att få folk att överge sin PC till fördel för en Network Computer (NC). Tanken var att NC skulle vara en billig tunn klient utan hårddisk, som matades med centralt administrerade Javaprogram. Slogan var The network is the computer och floppen blev total. Skillnaden är att denna gång försöker man inte ersätta något interaktivt, utan snarare ett antal brummande serverskåp som så småningom spottar ur sig ett resultat.

Affärsidén att sälja beräkningskraft är gammal och beprövad. Före 80-talets persondatorrevolution fick man köpa körtid på stordator från en datacentral (sic). Att ha en egen dator var ekonomiskt otänkbart för de flesta, medan företag som hade råd med en egen stordator kunde få valuta för den körtid man inte hade användning för.

Jag har själv jobbat en tid på en sådan datacentral och pysslat om ett åbäke som tog upp ett helt våningsplan. Det var inte bättre förr.

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot