Apple var også sent ude i forhold til at ophæve tilliden til alle certifikater udstedt af det malaysiske underordnede nøglecenter (CA) DigiCert Sdn. Bhd, som sikkerhedsanalytikere sidste år fandt ud af, havde udstedt 22 certifikater med svage 512 bit-nøgler samt certifikater uden korrekte anvendelsesudvidelser eller tilbagekaldelsesoplysninger.

Microsoft og Mozilla ophævede tilliden til alle certifikater fra dette underordnede nøglecenter for tre måneder siden.

Det er altså ikke en decideret sikkerheds opdatering Apple her kommer med. Det er blot en ‘justering’ af rod certifikaterne i SSL træet.

Det der undrer mig, er at den slags opdateringer burde slet ikke være nødvendige. Så vidt jeg ved, kan man sagtens signere et givent certifikat, og dermed også et rod certifikat flere gange, af andre certifikater. Hvorfor har Apple ikke bare lavet deres ‘eget’ rodcertifikat, og signeret de udbydere, som de stoler på. Så kunne blot have lagt den malaysiske udbyder i deres CRL liste, hvorefter hans certifikater er tilbagekaldt, enkelt, hurtigt og sikkert.

Måske er løsningen at bruge DNSSEC til at opbevare offentlige nøgler i, så man helt undgår certifikat udbyderne. Ulempen er at det blot sikrer at vedkommende der har kontrollen over DNS, også har kontrollen over den givne server. Det sikrer imod Man In the Middle, men hjælper ikke meget, imod at folk logger på deres netbank på domænet www.n0rdeabank.dk.com. Den sikkerhed er der heller ikke meget af i dag, da det er de færreste ikke IT kyndige, der forstår sig på SSL certifikater og udvidede parametre. De kigger blot efter hængelåsen, for det er det vi andre har prædiket i årevis.

Egentlig burde vi slet ikke bruge SSL på den måde vi gør i dag. I SSL er sikkerhed alt eller intet. Mange af de oplysninger vi overfører, er jo ikke ‘hemmelige’, men vi vil blot have sikkerhed for at de er autentiske. Det klarer IPSec egentlig meget bedre, ved at have to forskellige lag af sikkerhed. AH, Authentication header, sikrer at der ikke er ændret i indholdet undervejs. ESP, Encapsulating Security Payloads, sikrer at det overførte holdes hemmeligt, så udenforstående ikke kan se indholdet. På den måde kan man overføre selve HTML siden, billeder og javascripts fra en netbank ukrypteret, men på en måde, så indholdet stadig kan verificeres. De data burde ikke indeholde nogle informationer, der er hemmelige, og kan på den måde caches af både slut browseren, men også af eventuelle proxies, som sparer båndbredde på vejen mellem banken og kunden. De hemmelige data, det vil sige en XML fil med kontonumre og saldoer, adgangskoder, eventuelle kontoudskrifter i PDF og andre hemmelige data, vil så kunne overføres fuldt fortroligt, ved hjælp af ESP. Hvis alt var bygget op om IPSec algoritmerne, ville vi være fri for at skulle kryptere store dele af vores data, men ville samtidig have fuldt tillid til de data vi overfører over et åbent Internet.

Hjemme har jeg en Apple Airport Extreme som router. Den har et lidt for fancy GUI værktøj til konfigurationen, men er i bund og grund en robust router, med features jeg bliver ved med at opdage. Jeg ville tjekke dens IPv6 implementation, og sad og rodede rundt med det. IPv6 siden i GUI værktøjet var ret simpel, og tunnel opsætningen var sat til ‘localhost only’. Jeg fandt ud af at man kunne sætte IP op manuelt, eller lave en tunnel ud. Under tunnel mode var der endnu en dropdown til ‘manuel eller automatic’ opsætning. Automatic? Gad vide hvordan det virker….

Og det gør det altså bare. Jeg har nu IPv6 adresser sat op i DNS til de enkelte maskiner hjemme i privaten (dem der understøtter det anyway), og det var mere eller mindre plug and play at få dem til at spille. Min MacBook Pro, min router og min Debian Linux server kørte out of the box. Jeg havde ikke tid til at teste de mere tricky ting, så som tv, playstation, nas box og så videre, men jeg går stærkt ud fra at iphone og ipad virker out of the box.
Jeg har ingen ide om, hvem der udbyder min tunnel, om jeg har en fast tunnel eller om jeg skal ændre ip’er om et halvt år. På den anden side, så giver det vel ikke mening at ændre min ip range?

Lige nu sidder jeg så i toget. Jeg har net via både Arriva’s gratisdanmark løsning og via min egen iphone. Ingen af dem ser ud til at understøtte IPv6…
Der er lidt vej endnu…

Oh well: /wp-login.php eller /wp-admin/ virkede

Nå, men jeg må hellere få opdateret ønskelisten til jul.

Jeg sidder og opdaterer WordPress, mens jeg forsøger at forstå, hvorfor man har en ‘pakke’ til Debian med WordPress i. Pakken giver ikke rigtigt mening. For det første er den ældgammel – version 3.0.5. For det andet er der ikke meget hjælp at hente. Hverken på debianguiden.dk eller på wiki.debian.org. Det man får ind er en pakke med filerne smidt i /usr/share/wordpress. Herfra er det videre forløb så lidt sporadisk.

Nogle guides på nettet anbefaler at man symlinker mappen ind i ens /var/www mappe, men hvad så med os der har flere installationer af wordpress, men som ikke har lyst til at køre wordpress-mu? Andre steder anbefaler det at man bruger pakken til at tjekke dependencies, og så bare installerer skidtet manuelt… Hvorfor så bruge pakkesystemet? Et andet problem for mig, er at filerne er ejet af den samme bruger på alle mine sider. Det harmonerer ikke specielt godt med at jeg kører suexec, så hver side har sin egen systembruger. Det problem er der tydeligvis ikke nogen der har haft med Debian pakken. Jeg begynder at forstå, at det er fordi der ikke er nogen der bruger den. Så er der jo heller ikke nogle problemer med den…

Apopros bruger. Jeg kiggede lidt rundt på debianguiden.dk. Den er død. Sidste opdatering, på projekter der haster, er fra november 2008. Opdateringen går på at skrive guiden om til Debian Lenny (5.0), der jo blev frigivet i februar 2009. Den tidligere opdatering går på at skrive guiden om til Etch (4.0). Gad vide om det betyder at guiden i nuværende stand er skrevet til Woody (3.0) eller Sarge (3.1)? Og hvornår mon de får den opdateret til at de også vil omskrive den til Squeeze (6.0)?

I det mindste bliver min side opdateret cirka en gang om året. Det mest outdatede er mine linux sider. Det jeg laver bliver oftest dokumenteret andre steder…

Generelt en grå og kedelig dag. Nu vil jeg gå ud og se om der er lige så gråt på ydersiden af døren… Fortsat god oktober.. (2011)

Jeg har opdateret min ønskeliste, så den er klar til julegaverne.
Derudover går det stille og roligt, knokler med afleveringer og glæder mig til at få juleferie, så jeg kan få ro til at læse

Det er ikke helt dag 1, men i går, lørdag, kom vi så sent frem, at det næsten ikke tæller med.
Vi fik installeret os, fundet et sted at sove og lidt plads til vores hær af laptops.

I dag er dagen så gået med et par forskellige foredrag, afslapning og lidt nørderier der har stået på min samvittighed i længere tid.

Jeg har fået oprettet mig en profil på CACert.org, og oprettet certifikater til både min email og min webserver.
Fremover vil både webmailen og admin panelet køre krypteret, det kræver dog at i lige installerer rod certifikatet fra CACert, hvis i ikke vil have en advarsel om at certifikatet ikke er gyldigt

Apopros webmail, så har den i et stykke tid kørt med den webmail, der hedder SquirrelMail. Jeg har installeret RoundCube på serveren igen, dog ikke med noget fancy design, så den ligner nok ikke det i kender. Det er dog den gamle webmail der er tilbage. Jeres domæner er blevet rettet til, så i kan finde webmailen på enten http://webmail.domæne.dk/ eller http://domæne.dk/webmail/

Derudover har jeg nået en anden af de ting jeg havde liggende, nemlig at indlæse og konvertere filmene jeg optog til Sct. Hans i år. De ligger i skrivende stund som H.264 filer på min harddisk, men fordi internettet her på TheCamp er temmeligt begrænset (6mbit/768kbit til 47 deltagere), så kommer det først på YouTube når jeg kommer hjem

Derudover har jeg lige opdaget at den danske udgave af WordPress er blevet opdateret til version 3.0. Derfor er jeg igang med at opdatere jeres hjemmesider igen-igen

Ellers står den på hygge og afslapning. Det er nice at holde ferie sammen med en masse interessante mennesker, med masser af mulighed for at spørge og diskutere, om alle de ting jeg ellers ikke ville have nået derhjemme..

/BT out

Hvor meget tænker du over hvad du skriver?
Hvor ofte sender du noget videre, som du selv har brugt tid på at skrive?
Tænker du på, hvor meget tid modtageren bruger på at læse dine beskeder?
Er det du sender noget modtageren virkelig har brug for at vide?
Sender du tit beskeder, der ikke har nogen modtager, men bare bliver sendt til alle i din kontakt liste?
Bruger du tit tid på at læse beskeder, som du egentlig ikke har tid til at læse, og som egentlig ikke er vigtige for dig, men som folk har sendt til dig alligevel?
Syntes du den tid måske kunne have været brugt, på at sende en besked, som modtageren virkelig havde brug for at få, i stedet for at sende eller modtage en masse ligegyldige beskeder?

Her er mine svar på opgaven.
Hvis du har lyst, kan du sende dine svar til mig, dine venner, eller alle dem du har i dit modtager arkiv.
Det står dig frit for.

1:
Nej… Jeg bruger faktisk en del tid på at holde emails i luften for folk.
Det er absolut hverken nemt eller simpelt.
Det kan godt være du opfatter det sådan, men det er fordi jeg, ligesom mine kolleger, er med til at skjule den triste hverdag for dig.
2:
Jeg tænker nok ikke altid lige meget over det jeg skriver.
Mange ting burde jeg nok bruge lige et par sekunder eller minutter mere over.
Omvendt kigger jeg altid beskeden igennem, inden jeg trykker send.
Jeg tror jeg ligger over gennemsnittet.
3:
Jeg sender næsten altid ting jeg selv har skrevet, fabrikeret, indlæst eller på anden måde været involveret i at producere.
Det sker dog at jeg modtager ting, der af en eller anden grund, ikke blev sendt til alle modtagere af budskabet.
Så sender jeg det selfølgelig videre til de personer, jeg ved der mangler at modtage beskeden.
4:
Ikke bevist.
Underbevist gør jeg jo så nok alligevel.
Jeg sørger altid for at formulere mig, med så få stavefejl og underlige udtryk, at jeg er sikker på at modtageren har en chance for at forstå mit nonsense
5:
Altid. Ellers sendte jeg det jo ikke.
6:
Det sker næsten aldrig.
Folk der kender mig, sender som regel heller ikke disse beskeder til mig.
Mere om det lige om lidt..
7:
Det sker oftere end jeg har lyst til.
Selvom jeg som regel kender udfaldet, læser jeg dem ind i mellem alligevel.
8:
JA…
Jeg vil meget hellere bruge tid, på at skrive til folk der virkeligt har brug for det, end jeg vil bruge tid på at skrive til ‘Alle’ i et stort sammensurium.
Det bliver upersonligt.
Det er spild af ressourcer, uanset om du måler det i din tid, min tid, min server administrators tid eller penge.
Generelt er jeg ved at være godt og grundigt træt af kæde beskeder.
Specielt dem der er sendt til ‘alle’, med en eller anden skør lille hilsen, der er beregnet til at man skal få dårlig samvittighed, over at man ikke sender den videre.
Det kan godt være at beskeden ikke koster dig noget at sende.
Det kan godt være at jeg bare kan ignorere den.
Men faktum er, at jeg som regel bruger tid på at læse den alligevel.
Mit liv bliver ikke mere indholdsrigt, af at jeg poster ting på min facebook, der viser at jeg er imod børneporno, dyremishandling, miljø svineri eller dårlig behandling af personer der ikke selv kan forsvare sig.
Jeg forstår ikke at det skal være noget, man er nød til at gå og skilte med.
Jeg har ganske almindelige holdninger til de ovennævnte eksempler, og kan sagtens argumentere for dem, uden at jeg skal slå indlæg op, eller melde mig i en masse grupper.
Nu har jeg brugt cirka 15 minutter af min tid, på at skrive denne besked.
Den skal ikke forstås som en kædebesked, men er et opråb, til alle jer der skriver ufatteligt mange kædebeskeder.
I spilder min tid.
I spilder jeres egen tid.
I gør jer selv dummere end i er.
Tag jer nu sammen.
Brug tiden på at skrive noget, der virkelig viser hvem i er, i stedet for at kopiere andres idéer.
OG LAD SÅ FOR HELVEDE VÆRE MED AT SENDE MIG FLERE KÆDEBESKEDER!!!!!

BT

Jeg har lige fået ny digital signatur. Den gamle udløber her til den første, så den skulle jo opdateres. Det var nu nemt nok. Jeg bruger Chrome på en XP maskine, og bortset fra at jeg måtte prøve to gange, fordi PKCS11 modulet ikke lige blev installeret korrekt første gang, så fik jeg en ny signatur uden de store problemer.

I den forbindelse besluttede jeg mig for at bruge en anden kode på den nye signatur. Jeg har lige som mange andre IT folk, rigeligt med koder at huske til dagligt. Derfor er mine personlige koder opdelt i et system, alt efter hvor meget der kan gå galt hvis en af dem bliver brudt. Alle mine personlige ting, der har noget med mine personlige penge at gøre, har den samme kode som min signatur. Det er måske ikke så sikkert som at have forskellige koder, men i det mindste skriver jeg ikke koden ned nogen steder.

Nu når jeg alligevel skifter kode, så ville jeg dog lave en liste over hvor koden bliver brugt. Det er en smart måde at sikre at man får skiftet alle steder også i fremtiden. Jeg fik ændret de fleste sider uden at det var specielt besværligt, dog forstår jeg stadig ikke at HK kalder min kode for en PIN-kode, når nu de kræver bogstaver.

En af de steder jeg har brugt den gamle kode, var på Skat’s tast-selv sider. Da jeg forsøgte at skifte denne kode, gik stort set alt hvad der havde med sikkerhed at gøre galt. For det første husker min browser mit login navn, som er mit CPR nummer. Vel at mærke hele CPR nummeret. Det er ret usmart at Skat ikke har sat den lille attribut, der gør at browseren ikke gemmer feltet. Derudover kunne jeg ikke finde noget sted at skifte koden. Jeg har brugt en halv times tid på at lede efter det, men jeg kan ikke finde noget sted, hvor man kan ændre eller slette sin tast-selv kode. Jeg ville egentlig gerne bare bruge digital signatur i stedet, og så bare slette koden helt.

Dog fandt jeg til sidst ud af, at jeg kan bestille en ny kode. Denne kode bliver så sendt til mig per email, da jeg har tastet en email ind, som kontaktoplysning. Det undrer mig lidt at jeg kan modtage koden, i en ukrypteret email. Det vil sige at folk der på en eller anden måde, får opsnappet mit CPR, nemt kan logge på tast-selv, og alle andre sider der bruger tast-selv login. En af de sider er for eksempel E-boks, hvor alle mine forsikrings papirer, lønsedler og andre ret personlige ting bliver opbevaret for mig.

Skat burde dele CPR feltet ved login op i 2 felter, ligesom HK har gjort det. De sidste 4 cifre er at betragte som et password. Derudover burde de få indført en side, hvor man kan skifte tast-selv kode, samt helt slette den, såfremt man ønsker kun at bruge Digital signatur.

Med hensyn til oprettelsen af digital signatur, forstår jeg heller ikke at det kan lade sig gøre, uden at man møder op hos borgerservice. For nogle certifikat typer er det krævet at man møder op personligt. Det vil altså sige at DanID har erkendt, at der er forskel på sikkerheds niveau’et. Hvis jeg vil oprette et certifikat i en anden persons navn, skal jeg blot kende hans adresse og CPR nummer. Jeg skal så godt nok bryde ind i hans postkasse, den dag han modtager sit kodebrev fra DanID, eller være heldig at møde posten og lade som om jeg bor der.

Så vidt jeg har forstået, arbejder DanID på at skifte alle signaturer ud med nøglekort. Fordelen ved dette er at der altid er en fysisk lap papir, som man skal stjæle for at kunne bruge min identitet. Jeg forstår ikke, at man ikke ændrer reglerne, så alle der skal have et digitalt signatur, møder op hos borger service, der så kan vejlede en i oprettelse og eventuelt installation af certifikatet. Hvis borgerservice har tjekket ID, og eventuelt fotograferet vedkommende der afhenter den digitale signatur første gang, er jeg i hvert fald tilfreds med, at de har gjort hvad der måtte forventes, for at beskytte min identitet. Det kræver måske lidt ekstra mandetimer hos borgerservice, men eftersom mange allerede har digitale signaturer, bliver det en løbende process, da de udløber fordelt over hele året.

Problemet i dag er at man er ansvarlig for sin egen identitet. Det er for nemt at kopiere en identitet, og det kræver ikke de store summer penge at rette op på problemet. Sikkerheden er simpelt hen for vigtig til at jeg syntes man kan undlade at rette op på det.

Jeg foreslår følgende 3 ændringer til Skat og DanID. 1: Ændre feltet ved login med tast-selv kode til 2 felter, de sidste 4 cifre beskyttes som et password felt. 2: Opret en underside under tast-selv, der giver mulighed for at skifte og slette tast-selv kode. 3: Ved overgang til de nye nøglekort, skal alle afhente det første nøglekort hos Borgerservice, så vi er sikre på at signaturen er udleveret til en fysisk person, der er kontrolleret ID og eventuelt gemt billede af.

Jeg må indrømme at det er lidt af et kulturchock i forhold til min gamle XP. Jeg har aldrig haft Vista, men jeg har da set lidt af Aero, så jeg var klar over nogle af de visuelle opgraderinger. Derudover havde jeg også set at lydmixeren var opdateret i Vista.

Hvad jeg ikke vidste var at filerne som standard er flyttet lidt rundt. Jeg fandt noget der hedder Windows PowerShell i min startbar og gav mig til at rode lidt med det.
Her kommer så mit kulturchock:

Det føles jo helt hjemmevandt i forhold til min Mac

Eneste minus ind til videre er at mit SoundBlaster lydkort ikke er understøttet, samt at mit nForce lydkort åbenbart kun kan spille i stereo. Derimod er det fedt at man kan kalibrere sine højtalere så individuelt, at jeg har kunne udligne den forskel på 70% der er imellem højre og venstre udgangen på mit nForce lydkort