BlackThorne.DK

Som uddannet førstehjælper, samaritter og HAT’er burde livredende førstehjælp ikke være noget problem for mig.

Men det ser efterhånden ud til at min blog trænger til noget af en genoplivning. Det er snart et år siden jeg skrev, og der er ikke underligt sket en hel masse i mellemtiden.

For det første har jeg fået arbejde hos GLOKAL-Marketing i Randers. Her sidder jeg og laver PHP og Javascript primært til Magento webshops, men også lidt til Joomla og Concrete5, efter behov.

Derudover er jeg flyttet tilbage til Skive, eller nærmere Oddense. Jeg kunne ikke blive boende på kollegiet i Skødstrup, og er flyttet hjem til de gamle, mens jeg skraber penge sammen til indskuddet på en ny lejlighed i Randers.

Hvad går jeg så ellers og får tiden til at gå med? Vi er næsten færdige med at indrette Mikjaer Studios, hvor vi har sat gipsvægge op, isoleret, malet og bygget en lille scene, så der kan optages både lyd og billeder i de to studier. Det ligger i Brabrand, og mike er meget interesseret i at høre fra dig, hvis du har lyst til at leje dig ind i foto studiet, sammen med de andre professionelle fotografer.

Derudover har min svoger, Dan, fået installeret solceller. Jeg går og pusler lidt med at samle data ind og præsentere dem pænt. Det er der også kommet et helt lille projekt ud af.

Jeg blev lidt forbløffet i dag. Intel har frigivet en mikrokode opdatering til deres 64 bits processorer. Grunden til at jeg blev overrasket, var at jeg egentlig troede at det ikke var muligt at opdatere den slags.

Opdateringen skal løse et problem, der sker når procesoren skifter kontekst. Det kan for eksempel være når man skifter fra en virtuel maskine og tilbage til host maskinen, eller fra et ikke priviligeret program tilbage til kernen. Problemet er ret udbredt, og bunder i at Intel har implementeret AMD’s 64 bits instruktionssæt en smule anderledes end AMD selv. Selve problemet er forklaret ret godt på Xen’s blogside om fejlen.

Da jeg første gang lærte om mikrokode, fik jeg det indtryk, at den slags kode var forud defineret af producenten, og at man ikke kunne ændre i det. Vi sad også selv og skrev et par instruktioner i mikrokode, til Andrew S. Tanenbaums virtuelle processor. Men eftersom at Intel nu har frigivet opdateringen, kan jeg jo regne ud, at mikrokode nok ikke er helt så statisk endda. Det sætter nogle tanker i gang. Hvordan sikrer Intel, at kun deres egene opdateringer finder vej til processoren? Skal vi nu til at have antivirus programmer, til også at kontrollere vores firmware og mikrokode?

Jeg studsede lidt over en opdatering til OS X i dag.

Apple var også sent ude i forhold til at ophæve tilliden til alle certifikater udstedt af det malaysiske underordnede nøglecenter (CA) DigiCert Sdn. Bhd, som sikkerhedsanalytikere sidste år fandt ud af, havde udstedt 22 certifikater med svage 512 bit-nøgler samt certifikater uden korrekte anvendelsesudvidelser eller tilbagekaldelsesoplysninger.

Microsoft og Mozilla ophævede tilliden til alle certifikater fra dette underordnede nøglecenter for tre måneder siden.

Det er altså ikke en decideret sikkerheds opdatering Apple her kommer med. Det er blot en ‘justering’ af rod certifikaterne i SSL træet.

Det der undrer mig, er at den slags opdateringer burde slet ikke være nødvendige. Så vidt jeg ved, kan man sagtens signere et givent certifikat, og dermed også et rod certifikat flere gange, af andre certifikater. Hvorfor har Apple ikke bare lavet deres ‘eget’ rodcertifikat, og signeret de udbydere, som de stoler på. Så kunne blot have lagt den malaysiske udbyder i deres CRL liste, hvorefter hans certifikater er tilbagekaldt, enkelt, hurtigt og sikkert.

Måske er løsningen at bruge DNSSEC til at opbevare offentlige nøgler i, så man helt undgår certifikat udbyderne. Ulempen er at det blot sikrer at vedkommende der har kontrollen over DNS, også har kontrollen over den givne server. Det sikrer imod Man In the Middle, men hjælper ikke meget, imod at folk logger på deres netbank på domænet www.n0rdeabank.dk.com. Den sikkerhed er der heller ikke meget af i dag, da det er de færreste ikke IT kyndige, der forstår sig på SSL certifikater og udvidede parametre. De kigger blot efter hængelåsen, for det er det vi andre har prædiket i årevis.

Egentlig burde vi slet ikke bruge SSL på den måde vi gør i dag. I SSL er sikkerhed alt eller intet. Mange af de oplysninger vi overfører, er jo ikke ‘hemmelige’, men vi vil blot have sikkerhed for at de er autentiske. Det klarer IPSec egentlig meget bedre, ved at have to forskellige lag af sikkerhed. AH, Authentication header, sikrer at der ikke er ændret i indholdet undervejs. ESP, Encapsulating Security Payloads, sikrer at det overførte holdes hemmeligt, så udenforstående ikke kan se indholdet. På den måde kan man overføre selve HTML siden, billeder og javascripts fra en netbank ukrypteret, men på en måde, så indholdet stadig kan verificeres. De data burde ikke indeholde nogle informationer, der er hemmelige, og kan på den måde caches af både slut browseren, men også af eventuelle proxies, som sparer båndbredde på vejen mellem banken og kunden. De hemmelige data, det vil sige en XML fil med kontonumre og saldoer, adgangskoder, eventuelle kontoudskrifter i PDF og andre hemmelige data, vil så kunne overføres fuldt fortroligt, ved hjælp af ESP. Hvis alt var bygget op om IPSec algoritmerne, ville vi være fri for at skulle kryptere store dele af vores data, men ville samtidig have fuldt tillid til de data vi overfører over et åbent Internet.

Endnu en gang udråber slashdot og version2 dommedagen til at være nær, og endnu en gang er jeg ved at teste IPv6.
Denne gang er der dog sket noget nyt. Jeg har opdaget noget, der rent faktisk bare virker. Det er bare en skam at det ikke er min internet udbyder, men Apple, der har fået det til at virke.

Hjemme har jeg en Apple Airport Extreme som router. Den har et lidt for fancy GUI værktøj til konfigurationen, men er i bund og grund en robust router, med features jeg bliver ved med at opdage. Jeg ville tjekke dens IPv6 implementation, og sad og rodede rundt med det. IPv6 siden i GUI værktøjet var ret simpel, og tunnel opsætningen var sat til ‘localhost only’. Jeg fandt ud af at man kunne sætte IP op manuelt, eller lave en tunnel ud. Under tunnel mode var der endnu en dropdown til ‘manuel eller automatic’ opsætning. Automatic? Gad vide hvordan det virker….

Og det gør det altså bare. Jeg har nu IPv6 adresser sat op i DNS til de enkelte maskiner hjemme i privaten (dem der understøtter det anyway), og det var mere eller mindre plug and play at få dem til at spille. Min MacBook Pro, min router og min Debian Linux server kørte out of the box. Jeg havde ikke tid til at teste de mere tricky ting, så som tv, playstation, nas box og så videre, men jeg går stærkt ud fra at iphone og ipad virker out of the box.
Jeg har ingen ide om, hvem der udbyder min tunnel, om jeg har en fast tunnel eller om jeg skal ændre ip’er om et halvt år. På den anden side, så giver det vel ikke mening at ændre min ip range?

Lige nu sidder jeg så i toget. Jeg har net via både Arriva’s gratisdanmark løsning og via min egen iphone. Ingen af dem ser ud til at understøtte IPv6… 🙁
Der er lidt vej endnu…

Dammit! Det er lige gået op for mig, at jeg havde smidt login siden til min _egen_ hjemmeside væk?!?
Det er skidt når man er nød til at logge på selve serveren og se hvad siden egentlig hedder…
Det er ikke så smart, at glemme at stoppe ‘meta’ blokken ind et sted i menuen. Så kan man jo ikke klikke for at logge ind…

Oh well: /wp-login.php eller /wp-admin/ virkede 😀

Nå, men jeg må hellere få opdateret ønskelisten til jul. 😉