En annonce for en iPhone 5S på Ebay sendte automatisk brugeren videre til en fup-side. Fidusen går ifølge BBC ud på, at annoncen sender personen videre til en side, som ligner Ebays forside ned til mindste detalje.

Formålet har tilsyneladende været at stjæle folks log-in-oplysninger.

Sikkerhedsefterforskeren, Dr Steven Murdoch fra University College London’s Information Security Research Group, var i stand til at undersøge annoncen inden Ebay fik den fjernet, og han fortæller, at der er tale om et cross-site scripting (XSS) angreb.

Det betyder, at angriberen placerer en ondsindet javascript-kode inde på annoncesiden. Koden vil automatisk videresende brugeren gennem en serie af andre websider, hvorefter de ender på siden, som spørger om deres log-in og password.

»De hjemmesider brugeren bliver omdirigeret til, er næsten helt sikkert kompromitteret af angriberen for at skjule hans eller hendes spor,« siger Steven Murdoch til BBC.

Han langer samtidig ud efter Ebay, som var alt for længe om at få fjernet annoncen fra siden. Ebay blev advaret, men fjernede først annoncen, da BBC foretog et opfølgende opkald til auktionstjenesten 12 timer senere.

»Ebay er et stort firma og de burde have et 24/7 respons-team for at tage sig af den slags – og i dette tilfælde er det entydigt dårligt,« siger Steven Murdoch.

En talsmand for Ebay nedtoner angrebet og siger, at det kun handler om en enkelt annonce, og at de tager sikkerheden alvorligt. Samtidig siger han, at linket er en klar overtrædelse af deres politik om links.

Men på trods af forvisningerne fandt BBC tre annoncer som var blevet postet fra dem samme konto, som postede førnævnte iPhone 5S.

Den næste generation af NemID kan få en konkurrent på signatur-området. Den danske specialvirksomhed Signaturgruppen er gået i gang med at lave en alternativ medarbejdersignatur, der enten skal vinde udbuddet i 2015 eller byde sig til som et alternativ uden for den offentlige pakkeløsning.

Signatur-løsningen, der har fået arbejdstitlen SignaturID, skal løfte opgaven for de store aktører på en måde, som den nuværende ’one size fits all’-medarbejdesignatur ikke kan, forklarer firmaets direktør Morten Storm Petersen.

»Der er stor forskel på behovene hos de små virksomheder og de store spillere som kommuner og regioner. På mange måder minder de små virksomheder om private personer, mens de store har helt andre krav til ting som oppetid og support. For eksempel når de bruger det til noget kritisk som medicinkort-oplysninger, så skal det virke døgnet rundt,« siger han til Version2.

Med en medarbejdersignatur målrettet de store organisationer, skal det blandt andet blive lettere at administrere den enkelte medarbejders rettigheder.

»Flere steder skal man i dag ind på hver enkelt portal, og angive medarbejdernes rettigheder, og det skalerer ikke ret godt. Det bliver uoverskueligt, og de mister overblikket over, hvem der har fået hvilke rettigheder,« forklarer Morten Storm Petersen.

Det offentlige skal turde have flere leverandøre

NemID-aftalen skal fornys i 2017, og sættes i udbud i 2015. Alt afhængig af, hvordan udbuddet bliver formet, håber Signaturgruppen, at deres signatur-løsning bliver gjort til en del af det offentliges aftale på området. Derfor er det et springende punkt, at det offentlige går væk fra sin strategi om en enkelt leverandør.

»Den største udfordring bliver om det offentlige tør have flere leverandører og splitte infrastrukturen op. Det offentlige løber en større risiko, fordi de bliver ansvarlige for at koordinere mellem de forskellige leverandører, hvis noget ikke fungerer. Spørgsmålet er, om man er klar til at dele opgaven op i bidder eller stadig foretrækker at have én forhandlingspartener med et samlet ansvar,« siger Morten Storm Petersen.

Hos Digitaliseringsstyrelen selv er man godt klar over, at arbejdsopgaven ændrer sig, hvis der kommer flere leverandører om opgaven.

»Hvis der er flere leverandører, vil der være et behov for at koordinere og sørge for, at tingene hænger sammen. Det har vi et ansvar for. Det er vigtigt, at få en god måde at styre det på, og det er noget, vi ser på nu,« fortæller kontorchef i Digitaliseringsstyrelsen Marianne Sørensen.

Umuligt uden tjenesteudbydernes samarbejde

Marianne Sørensen er glad for, at Signaturgruppen har meldt sig på banen til at byde på opgaven. Hun ser gerne, at så mange som muligt går ind i udbudet, som styrelsen er i færd med at forberede.

»Den næste udfordring bliver at finde ud af, hvor snitfladerne skal ligge. Vi skal dele opgaven op på en fornuftig måde. Det kan sagtens tænkes, at nogen har en specialiseret viden, som gør dem kompetente til at løse en specifik del af opgaven,« siger Marianne Sørensen.

Hvis Signaturgruppen ikke vinder Digitaliseringsstyrelsens gunst i udbudsrunden til næste år, kan SignaturID blive lanceret som en alternativ til den offentlige løsning, når den tredje generation af NemID rulles ud i slutningen af 2017. På det tidspunkt vil der nemlig være mulighed for, at tjenesteudbyderne opdaterer deres systemer til den nye signatur-løsning og medtager SignaturID i samme ombæring.

»Det vigtigste er, at blive anerkendt af tjenesteudbyderne. Eller er det ret umuligt. Der er ikke meget fidus i at have en medarbejdersignatur, der kun virker halvdelen af stederne,« siger Morten Storm Petersen.

Han understreger, at det er svært for det offentlige at sikre ordentlig konkurrence på området, fordi der ikke er nok, der er interesseret i at byde på opgaven. DanID, der administrere den nuværende NemID-løsning, har fortalt, at de ønsker at tjene flere penge på løsningen i fremtiden. Ifølge Nets har datterselskabet DanID de sidste seks år haft et underskud på 314 millioner.

»Det er ikke ligefrem god reklame,« siger Morten Storm Petersen.

Rigsrevisionens redegørelse om solcellesagen afdækker, at Klima-, Energi- og Bygningsministeriet allerede i 2011 var opmærksomme på, at solcellestøtten kunne løbe løbsk, men at regeringen afviste at være med til at lukke hullet med en ny støtteordning i forbindelse med et nyt energiforlig i foråret 2012.

Ifølge redegørelsen udformede ministeriet – på grund af den erkendte risiko – et forslag til en ny støtteordning, som ville reducere de statslige udgifter.

Ministeriet arbejdede for, at den foreslåede støtteordning skulle blive en del af den energipolitiske aftale i marts 2012. Men regeringen valgte imidlertid ikke at inddrage forslaget i forhandlingerne herom, skriver Rigsrevisionen i sin konklusion.

Dermed lægger redegørelsen op til endnu et politisk slagsmål om skylden for den ekstraregning, som den kraftige udbygning med solcelleanlæg har været årsag til. En ekstraregning, som Rigsrevisionen samtidig vurderer var alt for lavt sat af ministeriet.

302 i stedet for 230 MW

Efter at den energipolitiske aftale var indgået, steg antallet af nye solcelleanlæg i Danmark nemlig endnu kraftigere end tidligere forventet, fordi prisen på solcelleanlæg var faldet – samtidig med at de fik en høj støtte.

Det fik regeringen til i juni 2012 at beslutte, at der skulle udarbejdes et forslag til en ændring af støtteordningen. Et lovforslag blev fremlagt i starten af november, og i midten af november 2012 indgik forligspartierne en aftale om at støtte forslaget.

Denne aftale rummede overgangsordning, så eksisterende solcelleanlæg på den gamle støtteordning kunne fortsætte med det høje støtteniveau i 20 år. Her antog Klima-, Energi- og Bygningsministeriet, at der sammenlagt ville komme 230 megawatt (MW) solcelleanlæg på overgangsordningen, selvom der allerede var 302 MW, da aftalen blev indgået.

1,8 mia. dyrere end forventet

Rigsrevisionen vurderer derfor, at ministeriets antagelse var for lav, og at den ekstraudgift på 1,8 mia. kroner, som de ekstra megawatt på overgangsordningen gav anledning til, var en væsentlig information, som Folketinget burde have haft, inden den vedtog loven med nye støttesatser og overgangsordning.

‘Derfor burde klima-, energi- og bygningsministeren inden vedtagelsen af lovændringen have oplyst Folketinget om, at der ville komme væsentligt mere end 230 MW på overgangsordningen’, hedder det i konklusionen.

Rigsrevisionen kritiserer også, at Klima-, Energi- og Bygningsministeriet aldrig oplyste hverken Folketinget eller forligspartierne om de samlede støtteudgifter som følge af den nye ordning. Et beløb, som i stedet for 4,7 mia, ifølge Rigsrevisionens beregninger skulle være 6,5 mia. kroner frem til 2020 og 9,5 mia. frem til 2030.

Folketinget og forligspartierne fik alene oplyst statens merprovenu ved at ændre støtten samt beløb, som viste delmængder af de samlede støtteudgifter.

Ministeriet har til Rigsrevisionen oplyst, at det er normal praksis kun at oplyse om konsekvenserne i forhold til den eksisterende lovgivning. Og da hverken Folketinget, forligspartierne eller de enkelte ordførere efterspurgte oplysninger om de samlede udgifter, videregav ministeren ikke oplysningen på eget initiativ.

Vi har forbedret os

Klima-, energi- og bygningsminister Rasmus Helveg Petersen erkender, at håndteringen af sagen kunne have været bedre, og at ministeriet har lært af hele forløbet omkring støtten til solceller:

»Jeg har noteret mig, at ingen af Rigsrevisionens kritikpunkter kan tilskrives tilsigtede handlinger fra ministeriets side,« siger han i en pressemeddelelse.

Ministeriet har siden sommeren 2013 udvidet overvågningen med solcelleudbygningen og har gennemført konkrete tiltag for at kvalitetssikre det lovforberedende arbejde og sikre flere ressourcer til arbejdet med solceller.

Rigsrevisionen har fundet ministeriets lovarbejde fra 2013 tilfredsstillende, ligesom Rigsrevisionen finder ministeriets ugentlige overvågning af udbygningen og afrapporteringen til Folketinget for hensigtsmæssig.

Brugere af Androids open source-browser skal muligvis overveje at skifte til et alternativt web-program. En alvorlig sikkerhedsbrist i browseren kompromitterer brugerens private data, skriver Ars Technica.

En fejl i Android Browser tillader hjemmesider at indsætte JavaScript ind i andre sider. De fjendtlige JavaScripts kan derefter bruges til at aflæse cookies eller kodeords-felter. De kan sågar aflæse inputtet fra telefonens keyboard.

Generelt skal browsere forhindre hjemmesider i at læse scripts fra andre sider som følge af sikkerheds-princippet Same Origin Policy (SOP). SOP tvinger browseren til kun at læse scripts med den samme kilde. Men i dette tilfælde kan JavaScript konstrueres til at omgå den regel.

Android Browser er blevet erstattet af Chrome som den officielle browser i Android 4.4. Men ifølge Ars Technica’s tal står Android Browseren stadig for ligeså meget trafik som Chrome, når det kommer til de mobile platforme. Det er altså op imod halvdelen af alle Android-brugere, der vil være berørt af sikkerhedsrisikoen.

Fejlen i den WebKit-baserede browser er blevet indrapporteret i starten af måneden, og Google oplyser, at de arbejder på en passende løsning.

Selvom det med NemID er muligt at logge på virk.dk og gøre sig selv til eksempelvis Lego-direktør for en dag, skal man lade være, lyder det i en melding fra Erhvervsstyrelsen. Det er nemlig ulovligt.

På hjemmesiden Virk.dk kan man alene med NemID få adgang til Erhvervsstyrelsens database, Webreg. Her kan man uden at give yderligere dokumentation ændre vigtige virksomhedsoplysninger som ansatte, moms, import, eksport og indsætte sig selv som administrerende direktør i virksomheden.

Men det er strafbart, hvis man bevidst går ind og foretager ændringer, som man ikke har ret til, eller hvis man på anden måde opgiver forkerte oplysninger til offentlige myndigheder, oplyser styrelsen.

»Webreg er ikke nogen legeplads, og det er ikke lovligt at foretage forkerte registreringer – heller ikke proforma eller for sjov,« forklarer kontorchef i Erhvervsstyrelsen Lars Bunch i en meddelelse på styrelsens hjemmeside.

Kontorchefen understreger, at man ikke er anonym, når man har logget ind med NemID, og det er derfor ret nemt at finde ud af, hvem der har haft sjov med virksomhedsregisteret.

Systemet er ifølge styrelsen designet med den indbyggede åbenhed for alle med et NemID for at gøre det enkelt for virksomheder at drive deres forretning.

»I Danmark skal virksomhederne ikke vente på, at myndighederne foretager registreringer. De har adgang til et smidigt system, hvor de selv kan foretage de nødvendige og lovpligtige registreringer,« meddeler Lars Bunch.

Fra næste år kan alle virksomheder abonnere på ændringer i selskabets oplysninger. Det betyder, at enhver justering af firmaets registrering udløser en besked til virksomheden via Digital Post. Det skal mindske mulighederne for misbrug, lyder det fra Erhvervsstyrelsen.

»Men selvfølgelig er der altid tale om en balancegang mellem sikkerhed og smidighed,« erkender Lars Bunch.

TDC har på sin Facebook-side i dag advaret sine kunder om ikke at opdatere deres iPhone til iOS 8.0, som blev frigivet i dag. Der er nemlig en fejl i styresystemet, der forhindrer omstilling i at virke, oplyser teleselskabet.

På baggrund af fundet anbefaler TDC, at iPhone-brugere venter med at opdatere, hvis man benytter sig af omstilling. TDC understreger, at det ikke er viderestilling, men omstilling den er gal med. Det er altså funktionen, hvor man under samtale, kan sende opkaldet videre til en anden, som må undværes indtil Apple fikser fejlen.

Også da Apple frigav forløberen iOS 7 i 2013 fik omstillingsfunktionen problemer. Dengang fortalte TDC, at problemet opstod, fordi protokollen Unconstructed Supplementary Service Data var blevet blokeret. Apple så nemlig protokollen som et sikkerhedshul. Også denne gang er fejlen igen relateret til den drilagtige protokol, oplyser selskabet Version2.

TDC har meldt fejlen hos Apple, som vil rette fejlen i næste opdatering. Apple har ikke meldt ud hvornår rettelsen – i form af version 8.0.1 – kommer, men TDC gætter på mellem fire til seks uger. Mobil omstilling er typisk noget erhvervskunder bruger, og derfor vil størstedelen af iPhone-brugere kunne opdatere uden problemer.

En af de nye features i iPhone 6 er en NFC-chip, der kan bruges til dataudveksling over helt korte afstande. Teknologien kan blandt andet bruges i forbindelse med kontaktløse betalinger, hvis eksempelvis en kortterminal understøtter det. Men i første omgang, erd er noget, der tyder på, at NFC i iPhone 6 dog kun kunne anvendes inden for Apple-universet.

Mediet Cult of Mac fortæller i hvert fald, at NFC i iPhone 6, når telefonen i næste uge bliver lanceret, kun vil kunne bruges sammen med den digitale tegnebog Apple Pay.

Cult of Mac baserer historien på kilder hos Apple. Virksomheden har afvist at kommentere yderligere på forlydenderne.

Mac-mediet påpeger, at Apple også gjorde Touch ID i iPhone 5 utilgængeligt over for udviklere i forbindelse med lanceringen af denne telefon. Og at det ikke er overraskende, at Apple ønsker at holde de kontaktløse betalingsmuligheder i iPhone 6 under tæt kontrol, mens virksomheden tester NFC-vandene.

Cult of Mac kan dog også fortælle, at det ifølge et andet medie, PC Advisor, er muligt at at give åben adgang til NFC-chippen, så udviklere kan designe gængse apps, der gør brug af den.

Chippen kommer i øvrigt fra den hollandske chip-producent NXP, samme virksomhed, der står bag den MiFare-teknologi, som det danske rejsekort-system baserer sig på. Og som tidligere på året viste sig kun at være kompatibel med de mobiltelefoner, som har en NFC-chip netop fra NXP.

Internettet i danske toge er særdeles ustabilt. Pendlere og andre rejsende må undvære Netflix og andre nettjenester på lange togstrækninger med ingen eller dårlig forbindelse. Og det bliver der ikke ændret på lige med det samme, skriver Berlingske.

Ifølge Banedanmark arbejdes der på en løsning på det sløje internet. Men det er en opgave, der tager tid, fortæller selskabets økonomidirektør.

»Den ene udfordring er, at de nuværende signaler ikke kommer ind, fordi togene er tætte, så vi skal have forstærket det signal i togene. Den anden udfordring er, at der ikke er antenner og master nok langs strækningerne, så der bliver behov for flere,« forklarer Søren Stahlfest Møller til avisen.

Allerede i 2012 meldte DSB sin plan ud om at sikre bedre internet til de rejsende. Men dårligt mobilnetværk og mangel på antenner står altså stadig i vejen for at opfylde det mål. Banedanmark og DSB forsøger nu sammen med teleindustrien at finde en løsning, der ifølge Berlingske kan være i hus i 2016 eller 2017.

Skotland er måske på vej til at blive en selvstændig nation og løsrive sig fra Storbritannien. Det vil give store udfordringer for både det nye Skotland og det resterende Storbritannien, men der vil også være en nærmest endeløs stribe af praktiske problemer, som skal løses. Hvilket topdomæne skal Skotland eksempelvis benytte?

Skotske internetdomæner hører i dag ind under Storbritanniens topdomæne .uk, der står for ‘United Kingdom’. Med selvstændighed vil det være oplagt, at Skotland får sit eget topdomæne ligesom alle andre selvstændige nationer.

Men Skotland kommer sent til fadet, når det gælder fordelingen af topdomæner. De mest oplagte muligheder er nemlig taget. Det skriver it-blogger Craig Cockburn.

Danmark og Sverige har topdomæner, som består af første og sidste bogstav i landenes navne på det nationale sprog. Andre lande som eksempelvis Norge og Finland benytter de to første bogstaver.

For Skotland er ingen af disse tilgængelige. Topdomænet .sd tilhører Sudan, og .sc tilhører Seychellerne. Faktisk kan man stave sig hele vejen gennem ‘Scotland’ uden at finde et ledigt topdomæne, der begynder med S, påpeger Craig Cockburn:

• SC = Seychellerne
• SO = Somalia
• ST = Sao Tome og Principe
• SL = Sierra Leone
• SA = Saudi Arabien
• SN = Senegal
• SD = Sudan

S er tætbebygget område på domænefronten. Ud af 26 kombinationer, der begynder med S, er 22 allerede optaget. De eneste ledige S-domæner er .sf, .sp, .sq og .sw.

Skotland er det mest almindelige navn for det, der måske bliver en ny nation, men der er også andre historiske navne som det latinske Caledonia og det skotsk gæliske Alba, og her er der to ledige muligheder nemlig .ce og .ab ud fra de bogstaver, der indgår i navnene. Alba har dog også været brugt som betegnelse for hele øen Storbritannien.

Topdomænerne er oprindeligt tildelt efter en standard, ISO 3166. Ifølge den standard burde Storbritannien i øvrigt have haft topdomænet .gb for ‘Great Britain’, men briterne var kommet beslutningen om at benytte ISO-standarden i forkøbet og havde etableret .uk og fik lov at beholde det.

Mens skotterne nu kan blive en selvstændig nation uden et oplagt topdomæne, så findes der en lang række territorier og områder med forskellige grader af selvstyre, som har deres topdomæner. Således har både Grønland og Færøerne deres egne nationale topdomæner .gl og .fo.

Andre områder i Storbritannien har også nationale topdomæner. Det gælder eksempelvis Isle of Man med .im og Jersey med .je. Det skete angiveligt på grund af, at de tidlige procedurer for tildeling af nationale topdomæner blot tog ISO-standarden, som var beregnet til postadresser, men ikke tog hensyn til områderne selvstyrestatus.

Skotterne har dog, uanset resultatet af afstemningen, fået lidt mulighed for at vise skotsk selvstændighed gennem domænenavne, da organisationen ICANN, som administrerer domænesystemet, har givet grønt lys for at benytte .scot-topdomænet. Det er imidlertid ikke et nationalt topdomæne, men derimod et såkaldt generisk topdomæne i samme kategori som .name, .mobi og .xxx.