Lars Olofsson punkt se

Innehåll

Foto

Tankar och åsikter om teknik, programvara, film och annat som just nu intresserar en programvaruingenjör från Lund.

Kontakta mig

  • kuverte-postadress

Sök i teknikbloggen

Om webbplatsen

Teknik

B2Evolution PHP MySQL Apache

Webbstandarder

Valid XHTML 1.0 Valid CSS

Copyright © Lars Olofsson
2003-2008

ämne

Samma 3G-standard i hela landet

Postat 2005-10-25, kl 00:55 • Ämne: Trådlöst

Igår kom Post & Telestyrelsens (PTS) beslut att 3G-operatörerna måste använda samma teknik för 3G i hela landet. Vodafone och Tre hade begärt att få använda den billigare tekniken CDMA 2000/450 istället för UMTS i glesbygden.

Utbyggnaden av 3G-näten är starkt försenad. De skulle enligt avtalen ha stått färdiga i slutet av 2003 och nå 99.98% av befolkningen. Men redan på ett tidigt stadium var det uppenbart att löftena skulle bli mycket svåra att realisera.

I flera europeiska länder gick 3G-licenserna på auktion för mångmiljardbelopp. Här i Sverige delades de ut gratis i en skönhetstävlan mot löfte om snabb utbyggnad med god täckning. Tanken var att operatörerna skulle satsa pengarna på att bygga ut näten istället för att betala till staten. Ett smart val som samtidigt fick konsekvensen att licenserna gick till den som vågade lova mest. Till exempel blev Telia utan egen licens för att de inte lovade tillräckligt vidlyftigt, och de tvingades senare istället köpa in sig på Tele2s 3G-licens. Orange fick en licens men kastade in handsken redan 2002.

PTS har kommit med flera eftergifter som innebär att operatörerna får dela master och inte fullt ut behöver bygga egna nät. Med dagens beslut får operatörerna dessutom lov att lämna en lägre signalstyrka i vissa områden.

Hade operatörerna fått igenom sitt krav om CDMA 2000 skulle det ha inneburit att konsumenter i glesbygd fick nöja sig men ett begränsat utbud av telefoner. I den mån någon är intresserad av att ta fram telefoner som klarar både UMTS och CDMA 2000 får man nog räkna med att de modellerna också blir dyrare. I värsta fall skulle man bli tvungen att ha med sig två olika telefoner. Det är ingen bra lösning.

Det är en viktigt fråga om man verkligen kan lova vad som helst för att få en licens och sedan bit för bit plocka russinen ur kakan när det är dags att leverera. Operatörerna har både fått mer tid på sig och bättre villkor. Det minsta man då kan förvänta sig är att de faktiskt bygger hela det nät som de utlovat.

Det är bra att PTS har nu ha slagit fast att vi ska kunna använda samma telefoner i hela landet.

Tidigare inlägg

2004-06-17 : 3G till vilket pris som helst

ämne

OpenOffice 2.0

Postat 2005-10-20, kl 20:22 • Ämne: Aktuellt, OpenOffice

Kontorssviten OpenOffice har nu kommit ut i version 2.0.

Den innehåller de traditionella funktionerna för ordbehandling, kalkyler, presentationer och har i den här versionen även kompletterats med en databas. Användargränssnittet är i sin grundinställning väldigt likt Microsoft Office, och det är tänkt att de som idag använder Microsofts kontorsprogram ska känna sig hemmastadda med minimalt besvär.

Förutom den stora fördelen att programmet är helt gratis fungerar det på flera olika operativsystem. Det finns färdigkompilerade versioner för Windows, Mac, Linux, Solaris och FreeBSD att ladda hem, och en stor del av källkoden är också tillgänglig under licensen LGPL.

Ännu så länge verkar det inte finnas någon svensk version av 2.0. Men det utlovas översättningar till mer än 60 språk, inklusive svenska. OpenOffice går att installera parallellt med Microsoft Office och den engelska versionen är ungefär 75 MB stor.

Så varför inte ta en provtur redan idag?

Uppdaterat 2005-10-28: Svensk version finns nu tillgänglig.

Uppdaterat 2005-12-01: Den svenska versionen är inte helt lätt att hitta eftersom menyn bara fungerar om man väljer operativsystem innan man väljer språk. Dessutom heter filerna fortfarande RC3. Här är i alla fall en länk till nedladdning av den svenska versionen.

Via: Patrick Strang Suburbia - OpenOffice 2.0 released
ämne

Oktober månadsuppdatering 2005

Postat 2005-10-14, kl 03:12 • Ämne: Microsofts månadsuppdatering

Microsofts månadsuppdatering för oktober består av nio säkerhetsbulletiner. Uppdateringarna åtgärdar fel i Windows, Internet Explorer och Exchange. Jag har läst igenom bulletinerna och skrivit några korta kommentarer.

Uppdateringar markerade kritiska

MS05-050: Vulnerability in DirectShow Could Allow Remote Code Execution

DirectShow är en del av Windows grafiksystem DirectX och används för att på ett enhetligt sätt hantera strömmad multimedia, som till exempel ASF, AVI och MPEG. Felet i QUARTZ.DLL gör det möjligt för en angripare att modifiera en valfri minnesadress genom att lura användaren att försöka spela upp en speciellt preparerad AVI-fil.

Det kan utnyttjas för att skapa ett buffertöverskridningsfel där kod som skickats med i filen körs igång med samma rättigheter som den inloggade användarens har.

Påverkar: DirectX 7-9.0c på Windows 2000, XP, Server 2003

MS05-051: Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution

Den här bulletinen innehåller fyra olika uppdateringar som alla är relaterade till Microsofts transaktionshanterare. Den första åtgärdar ett fel i Microsoft Distributed Transaction Coordinator interface proxy som reserverar 4Kb minne oavsett hur mycket som egentligen behövs. Det kan leda till ett buffertöverskridningsfel som kan utnyttjas av en lokal användare för att köra kod med systemrättigheter. Windows 2000 och XP SP1 är också sårbara för angrepp via nätverket. Nästa uppdatering åtgärdar ett problem med minneshanteringen i COM+ (som innehåller det som tidigare kallades Microsoft Transaction Server) som också kan utnyttjas lokalt för att öka behörighetsnivån och ta kontroll över maskinen. De återstående två åtgärdar ett fel i hanteringen av meddelanden i protokollet Transaction Internet Protocol (TIP) som gör att en angripare kan få MSDTC att sluta fungera.

Påverkar: Windows 2000, XP, Server 2003

MS05-052: Cumulative Security Update for Internet Explorer

Åtgärdar samma typ av problem som MS05-038 som släpptes i augusti. Uppdateringen sätter kill-bit på en mängd COM-objekt som inte är avsedda att användas som ActiveX-kontroller. Genom att referera till objekt som inte är avsedda att användas med Internet Explorer kan en angripare förvirra webbläsarens minneshantering och ta kontroll över maskinen. Kill-bit stoppar Internet Explorer från att försöka använda dessa objekt.

Påverkar: Internet Explorer 5/6 på Windows 2000, XP, Server 2003

Uppdateringar markerad som viktiga

MS05-046: Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution

Novell NetWare är består av en mängd tjänster för att dela resurser på ett lokalt nätverk. Det har hängt med sedan början av 80-talet och hade sin storhetstid innan Windows NT introducerades. Uppdateringen åtgärder ett buffertöverfyllningsfel i Client Service for NetWare som kan utnyttjas för att köra igång medskickad kod och ta över maskinen.

Påverkar: NetWare på Windows 2000, XP, Server 2003

MS05-047: Vulnerability in Plug and Play Could Allow Remote Code Execution and Local Elevation of Privilege

Åtgärdar ett fel i Windows PnP (UMPNPMGR.DLL) som kan utnyttjas av en lokal användare för att köra kod med systemrättigheter. Felet kan inte utnyttjas över nätet om inte angriparen redan har ett giltigt användarkonto på maskinen.
 
Påverkar: Windows 2000, XP

MS05-048: Vulnerability in the Microsoft Collaboration Data Objects Could Allow Remote Code Execution

CDO är COM-objekt som används för bland annat att hantera e-post och e-postadresser. Felet som åtgärdas är ett buffertöverskridningsfel som i första hand drabbar Exchange 2000 som använder funktioner i CDOSYS eller CDOEX för att bearbeta meddelanden.

Påverkar: Exchange 2000 Server, Windows 2000, XP, Server 2003

MS05-049: Vulnerabilities in Windows Shell Could Allow Remote Code Execution

Uppdateringen åtgärdar två fel i hanteringen av de filer som representerar genvägar (.lnk) till andra filer i Windows Explorer. De används till exempel i Windows startmeny och när man placerar en genväg (länk) till ett program på skrivbordet. För att kunna utnyttja felet måste en angripare lyckas få användaren att ladda hem en manipulerad genvägs-fil. Koden som skickats med i filen körs i så fall med samma rättigheter som den inloggade användaren. Förutom detta åtgärdas ett fel i Windows Explorer Web View.

Påverkar: Windows 2000, XP Server 2003

Uppdateringar markerade måttligt viktiga

MS05-044: Vulnerability in the Windows FTP Client Could Allow File Transfer Location Tampering

Windows FTP är en enkel klient som används för att föra över filer via protokollet FTP. Uppdateringen åtgärdar ett fel i valideringen av filnamn som kan utnyttjas av en angripare för att placera filer på andra ställen än användaren avsett. Det skulle i så fall kunna utnyttjas till att exempel skriva över systemfiler eller placera program så att de startas automatiskt nästa gång användaren logga in. Men det kräver då både att användaren kopplar upp sig mot FTP-servern och laddar filerna frivilligt.

Påverkar: Windows XP SP1, Server 2003

MS05-045: Vulnerability in Network Connection Manager Could Allow Denial of Service

Network Connections Service har till uppgift att hantera datorns nätverksanslutningar. Den här uppdateringen åtgärdar ett buffertöverskridningsfel i netman.dll som kan utnyttjas för att få NCS att sluta fungera. På Windows XP SP2 och Server 2003 SP1 krävs det att angriparen är lokalt inloggad, medan det på Windows 2000, och tidigare versioner av XP och 2003 räcker att angriparen har ett giltigt användarkonto på maskinen.

Påverkar: Windows 2000, XP, Server 2003
ämne

Yahoo och MSN ska kunna kommunicera

Postat 2005-10-13, kl 21:21 • Ämne: IM

Yahoo och MSN ska integrera sina IM-tjänster så att användare av Yahoo Messenger och MSN Messenger kan tala med varandra. Planen är att det ska rullas ut under våren 2006. Googles lansering av Google Talk har säkert bidragit till samarbetsviljan.

Det är bra att det finns flera olika IM-tjänster att välja mellan, då valfrihet och konkurrens brukar driva utvecklingen framåt. Problemet är att konkurrerande klienter ofta inte kan prata med varandra. Då får man antingen köra flera klienter samtidigt eller använda någon tredjepartsklient som klarar av flera olika nät.

Det finns många multiklienter att välja på, till exempel Miranda, Fire och Trillian. Men det händer lite då och då att företagen gör ändringar i sina protokoll, ibland med avsikt att stänga ute andra klienter än den egna, och det leder då till problem.

Jag hoppas att fler IM-tjänster börjar samarbeta och se till att klienterna kan kommunicera utan problem. Att just MSN har börjat tänka i de banorna är extra roligt och det kan kanske sporra andra att följa efter. Själv skulle jag gärna vilja se möjligheten att använda MSN från ICQ eller tvärt om. Ingen av de multiklienter jag har testat ännu så länge har fallit riktigt i smaken.

ämne

Högmod och vidöppna sjukhus-nät

Postat 2005-10-13, kl 05:58 • Ämne: Trådlöst

Sydsvenskan skriver att alla sjukhus i Skåne ska få gemensam säkerhetsstandard på sina trådlösa uppkopplingar. Mellan raderna kan man förstå att säkerheten för närvarande inte är den bästa.

Trådlösa nät förenklar för angripare

Att man överhuvudtaget sätter upp trådlösa accesspunkter i nätverk som hanterar så känsliga uppgifter är förvånande. Trådlösa nätverk gör livet bekvämare för den som vill göra intrång och är dessutom en utmärkt bakväg för maskar om nätet inte är ordentligt säkrat. I maj 2004 slogs stora delar av nätverket på Lunds Universitetssjukhuset ut av masken Sasser, som gjorde röntgenapparater och annan medicinsk utrustning obrukbar.

Hackersäkert?

Det nya trådlösa nätverket utlovas dock att ha en rent häpnadsväckande säkerhetsnivå.

Projektansvarig: "– Inte ens en hacker kommer att kunna ta sig in i våra system utan att sno utrustningen och knäcka personliga användarnamn och lösenord"

Den typen av högmod är det många nätverksansvariga som fått äta upp efteråt! Man ska aldrig underskatta en angripares uppfinningsrikedom, och att på det här sättet utlova vattentät säkerhet är rent ut sagt dumdristigt. Det finns så otroligt många smarta och begåvade människor med massor av fritid som älskar utmaningar. Det finns också många tillfällen för vanliga användare i nätet att begå enkla misstag som kan äventyra säkerheten.

Sjukhus med vidöppna nät

Tyvärr verkar det ännu värre ställt på andra håll. Tidigare i veckan avslöjades det att Norrlands Universitetssjukhus hade vidöppna trådlösa nätverk på infektion, ortopeden och psykiatriska avdelningen. Den sistnämnda omfattas normal av extra strikt sekretess. De hade dessutom vetat om problemet i över ett halvår utan att göra någonting åt det - helt otroligt!

ämne

Svag bevisning i fildelningsrättegången

Postat 2005-10-12, kl 02:09 • Ämne: Upphovsrätt

Igår hölls rättegång i det omtalade målet mot den 28-årige man som påstås har delat ut filmen Hip Hip Hora på Direct Connect. Oscar Swartz var på plats i västmanlands tingsrätt i Västerås och har skrivit en intressant rapport på sin blogg.

Tydligen består bevisningen i huvudsak av en skärmdump som APB skrivit ut. Det skulle vara väldigt uppseendeväckande om en skärmdump anses ha något bevisvärde. Då kan man bevisa vad som helst med lite arbete i Photoshop!

ämne

Mastering Regular Expressions (2nd)

Postat 2005-10-08, kl 02:22 • Ämne: Facklitteratur
Framsida

Författare: Jeffrey E. F. Friedl
Förlag: O'Reilly (2002)
ISBN: 0596002890

Arbetsbesparande kunskap

Reguljära uttryck är ett ämne som nog de flesta utvecklare stött på i ett eller annat sammanhang. Rätt utnyttjat är det ett mycket kraftfullt verktyg som kan spara både tid och utvecklingsarbete. Men det är också något som tar en stund att sätta sig in i, och vars notation lätt avskräcker nybörjare. Att lära sig hantera reguljära uttryck är väl spenderad tid, och när man väl lärt sig att läsa och förstå notationen är det svårt att förstå hur man tidigare kunde klara sig utan.

Ingen bok för nybörjare

Boken Mastering Regular Expressions är inte i första hand avsedd för nybörjare, utan går igenom de grundläggande begreppen i ganska snabb takt. Den huvudsakliga notationen som används i exempel och förklaringarna är samma som finns i Perl 5. Även om man inte behöver kunna Perl för att uppskatta innehållet är det en klar fördel. I andra utgåvan har också Java och .NET fått var sitt nytt kapitel. De reguljära uttrycken står dock i centrum och boken är läsvärd oavsett om man programmerar Perl, Java, Python, Ruby, VB.NET, C#, JavaScript eller bara vill veta hur man får maximal nytta av egrep.

Många varianter

Ett problem med reguljära uttryck är att det finns många olika dialekter som har sin egen notation och semantik. Samma tecken kan ha olika funktion beroende på vilken applikation man använder, och till och med variera beroende på version. Därutöver kan olika verktyg ha skilda uppfattningar om de exakta reglerna för hur matchningen ska gå till och i vilken mån programmet ska anstränga sig för att hitta en ännu bättre träff. Mycket av det här är beroende på vilken regex-motor som programmet använder. Boken beskriver de tre huvudsakliga varianterna: traditionell Non-Finite Automaton (NFA), POSIX NFA och Deterministic Finite Automaton (DFA). De presenteras med sina respektive styrkor och svagheter på ett sätt som är enkelt att förstå utan några onödiga formaliteter.

NFA i fokus

Tyngdpunkten ligger på att verkligen förstå hur en traditionell NFA fungerar och hur den går till väga för att matcha ett uttryck mot en text. Samtidigt presenteras också en mängd vanliga fallgropar som kan leda till oväntade resultat och långa körtider. Ett avsnitt går till exempel igenom hur lätt det är att av misstag skapa ett uttryck som resulterar i att antalet jämförelser ökar exponentiellt med texten längd.

Allt eftersom detaljerna kring NFA klarnar presenteras olika sätt man kan förbättra sina reguljära uttryck så att de snabbare matchar exakt den text man letar efter. Vanliga interna optimeringar presenteras tillsammans med tips om hur man ska skriva sina uttryck för att få maximal nytta av dem. I slutet av boken finns sedan ett helt kapitel om hur man kan dra nytta av detta i Perl.

En bok alla utvecklare bör ha

Boken är välskriven och innehåller stänk av samma typ av humor man brukar hitta i böcker om Perl. Det är kanske inte en bok för den absolute nybörjaren, men den har mycket att ge så snart man fått en uppfattning om de grundläggande begreppen. Alltså en bok som borde stå på varje utvecklares bokhylla.

ämne

Phishing-försök mot Nordea

Postat 2005-10-04, kl 03:38 • Ämne: Internet, Phishing

Nordeas internetbank har råkat ut för ett phishing-försök. Phishing går ut på att via e-post lura mottagaren att lämna ut inloggningsuppgifter, koder eller kreditkortsnummer till en bedragare.

Vi har ännu så länge varit ganska förskonade från phishing (eller nätfiske på svenska) mot svenska banker. Att vi är ett litet land med ett eget språk ger ett visst skydd. För amerikanska banker har problemet med den här typen av bedrägerier växt till en riktig plåga. Men i somras råkade SEB ut ett massutskick av bedräglig e-post och nu verkar Nordea blivit måltavla för samma sak.

Fångstmetoden

Målet med nätfiske är att lura av användaren inloggningsuppgifter, koder eller kreditkortsnummer. Bedragaren sätter upp en webbsida som ser ut som bankens egen, på en adress som är snarlik, och skickar sedan ut e-post med förfalskad avsändare och en länk till den falska sidan. Mottagaren uppmanas i brevet att logga in på bedragarens sida av någon uppdiktad anledning. Ibland skickas sedan användaren vidare till bankens riktiga sida, och märker på så sätt inte att bedragaren lagrat de inmatade uppgifterna.

Phiskebrevet

Nätfisket mot Nordea har avsändaren "nordea@nordea.se [domm@tamil.com]" och titeln "InternetBank NORDEA sakerhetssystem"(sic!). Själva innehållet är ett lustigt försök till svenska:

"Lägg märke till! Extraförnyelse av elektronbetalingars säkerhetssystem!! Ärade kunder av InternetBank NORDEA. Vi låtar komma Ers kännedom de senaste nyheter om vår bankens säkerhetssystem. Den förnyade teknologi och den nya server tillåtar att gå ut på den annan säkerhets nivå av era online-betalingarna. Banken Nordea insisterar på det bindande förfarande att genomgå den upprepade autentifisering, för att få er personalinformation överfört så fort som möjligt på den nya, mera säker server av vår banken. För att få ert kontots normal funktions fortgång, behövar ni ingå i ert konto på den nya server, som är skyddad, med utnyttjande av era diskontdata; i motsatt fall skall ert Internet konto blockeras provisoriskt under 24 timmar för er säkerhet för tillgångars bortförande, för att undgå "Phishing" 's attackers stora antal, som stiger ständigt. Ni har infört den felaktiga TAN kod (engångskod) var så snäll att pröva en gång till."

Det räcker med att se inledningsfrasen för att inse att den här texten inte kommer från någon svensk banktjänsteman. Förmodligen är det en direktöversättning av en engelsk text, aningen modifierad för svenska förhållanden av en person som inte behärskar språket.

Phiskeplatsen

Länken i brevet går till www.nordea-se.net där man hittar en visuellt exakt kopia av Nordeas inloggningssida (app.nordea.se/login/). Komplett med rådet Nordea frågar aldrig efter känslig information via e-post. Läs mer om hur du skyddar dina koder och kortnummer

"En del kunder i olika banker runt om i världen har blivit utsatta för så kallade ”phishing-attacker” på Internet. Det har inneburit att en bedragare har skickat ut e-post eller försökt efterlikna kända hemsidor där kunden uppmanats att lämna ut personliga uppgifter såsom bankkortsnummer, kontonummer och koder. Observera; en bank begär aldrig in sådana uppgifter via e-post."

Jag hoppas verkligen att de inte får något napp. Den som är kund hos Nordea och inte vet så mycket om den här typen av skurkaktigheter kanske går på det av bara farten. Brevet har jag naturligtvis vidarebefordrat till Nordea.

Uppdaterat 2005-10-05: DN: Ingen kund drabbad av nätbluff

Teknikblogg

Detta är en blogg som handlar om datorteknik, programvara, systemutveckling, säkerhet, vetenskap och annat diverse skoj som råkar intressera för tillfället.

Jag är obotligt nyfiken och skriver bland annat om nyheter, lärdomar, teknikskvaller, analyser och praktiska tips.

sidfot