De dyreste og kraftigste SSD-drev kan levere en høj ydelse, men man skal være opmærksom på, at den ekstra ydelse ikke er gratis. Det skriver ZDNet.

En undersøgelse fra University of Texas af SSD-drev i den dyre ende af markedet viste, at disse modeller kunne bruge op mod tre gange mere strøm end de billigere udgaver blot under læsning.

Det øgede strømforbrug betød også, at temperaturen nåede op på mere end 82 grader, og uden køling betød det, at drevene begyndte at drosle ned, så ydelsen faldt med cirka 16 procent.

Ifølge undersøgelsen kunne de dyre SSD-drev bruge mere strøm og blive varmere end konventionelle harddiske, men det skal ses i lyset af, at hver af disse SSD-drev også leverer en mange gange højere ydelse end harddiskene, så selv med det større forbrug, er SSD’erne mere effektive i ydelse pr. watt.

Til gengæld betyder det, at man skal være opmærksom på køling af sine SSD-drev i højtydende systemer.

Det ekstra strømforbrug i SSD-drevene skyldes de ekstra chips, der blandt andet omfatter processorer, som styrer garbage collection og wear leveling, som ikke findes på harddiske, samt flere hukommelseschips til caching.

Verdens største smartphone-producent, Samsung, kommer ikke til at gøre sig fri af Android og dermed Google lige med det samme. Selskabet har nu besluttet at udsætte lanceringen af den første smartphone baseret på Tizen-styresystemet, skriver Wall Street Journal.

Samsung Z skulle ellers have været lanceret i løbet af de næste par måneder i Rusland som den første egentlige kommercielle lancering af Tizen.

Tizen er ligesom Android baseret på Linux-kernen, men udvikles af et open source-konsortium, hvor Samsung og Intel er de primære kræfter. Ved at have Tizen i baghånden ville Samsung i princippet være mindre afhængig af Android, som kun delvist styres af en lignende organisation, idet Google kontrollerer en del af platformen.

Tizen er også mindst tredje generation af Intels forsøg på at stable et Linux-baseret styresystem på benene til mobile enheder.

Samsung har for nylig demonstreret Tizen i en række tilbehør, men ifølge Wall Street Journal vurderer Samsung, at der er brug for yderligere stimulering af økosystem omkring Tizen i forhold til eksempelvis antallet af app-udviklere.

Verdens største smartphone-producent, Samsung, kommer ikke til at gøre sig fri af Android og dermed Google lige med det samme. Selskabet har nu besluttet at udsætte lanceringen af den første smartphone baseret på Tizen-styresystemet, skriver Wall Street Journal.

Samsung Z skulle ellers have været lanceret i løbet af de næste par måneder i Rusland som den første egentlige kommercielle lancering af Tizen.

Tizen er ligesom Android baseret på Linux-kernen, men udvikles af et open source-konsortium, hvor Samsung og Intel er de primære kræfter. Ved at have Tizen i baghånden ville Samsung i princippet være mindre afhængig af Android, som kun delvist styres af en lignende organisation, idet Google kontrollerer en del af platformen.

Tizen er også mindst tredje generation af Intels forsøg på at stable et Linux-baseret styresystem på benene til mobile enheder.

Samsung har for nylig demonstreret Tizen i en række tilbehør, men ifølge Wall Street Journal vurderer Samsung, at der er brug for yderligere stimulering af økosystem omkring Tizen i forhold til eksempelvis antallet af app-udviklere.

Der er nye funktioner på vej til Windows Phone-folket, med den kommende Windows Phone 8.1 Update 1, som Microsoft nu er ved at være helt færdig med internt, men som ikke er sendt ud af huset endnu. Det skriver The Verge.

Blandt nyhederne er muligheden for at lade en af ’fliserne’ på startskærmen rumme flere ikoner, så det fungerer som en mappe. Den mulighed har været kendt fra iOS og Android i årevis, mens Microsoft altså på grund af Live Tile-konceptet altså indtil nu har fravalgt muligheden.

Ligesom på de konkurrerende smartphone-platforme trækker man en flise hen på en anden for at danne en mappe på startskærmen. Om det stadig er muligt at overføre noget af Live Tile-princippet med løbende opdateringer, når der gemmer sig flere apps under én firkant, er dog uvist.

Med opdateringen understøtter Windows Phone også enheder på 7 tommer, og skærmopløsning på 1280 x 800 pixels, samt muligheden for at aktivere stemmegenkendelse, når man kører bil.

Tidsplanen for Update 1 er ikke lagt frem, men ifølge The Verge vil udviklerne modtage opdateringen i løbet af august – og sandsynligvis i næste uge.

Der er nye funktioner på vej til Windows Phone-folket, med den kommende Windows Phone 8.1 Update 1, som Microsoft nu er ved at være helt færdig med internt, men som ikke er sendt ud af huset endnu. Det skriver The Verge.

Blandt nyhederne er muligheden for at lade en af ’fliserne’ på startskærmen rumme flere ikoner, så det fungerer som en mappe. Den mulighed har været kendt fra iOS og Android i årevis, mens Microsoft altså på grund af Live Tile-konceptet altså indtil nu har fravalgt muligheden.

Ligesom på de konkurrerende smartphone-platforme trækker man en flise hen på en anden for at danne en mappe på startskærmen. Om det stadig er muligt at overføre noget af Live Tile-princippet med løbende opdateringer, når der gemmer sig flere apps under én firkant, er dog uvist.

Med opdateringen understøtter Windows Phone også enheder på 7 tommer, og skærmopløsning på 1280 x 800 pixels, samt muligheden for at aktivere stemmegenkendelse, når man kører bil.

Tidsplanen for Update 1 er ikke lagt frem, men ifølge The Verge vil udviklerne modtage opdateringen i løbet af august – og sandsynligvis i næste uge.

NSA lytter måske allerede med, når man går på nettet via anonymiseringstjenesten Tor. Men i Rusland er Tor tilsyneladende en torn i øjet på regeringen, som derfor nu har et opgave i udbud: Bryd anonymiteten i Tor. Det skriver The Daily Dot.

Udbuddet ligger hos Ruslands indenrigsministerium, og belønningen for at kunne fortælle noget om Tor-brugerne og deres udstyr er sat til 3,9 millioner rubler, hvilket er godt 600.000 kroner. Kun russiske borgere kan byde på opgaven, af sikkerhedshensyn, fremgår det af opslaget.

Brugen af Tor-netværket er vokset hurtigt i Rusland de seneste tre måneder, med op til 200.000 samtidige brugere i juni måned. Det falder sammen med Ruslands regerings strammere greb om internettet, blandt andet i form af en ny lov om bloggere, som nu skal registrere sig hos myndighederne, før de må blogge.

Det er dog ikke sikkert, at resultatet af udbuddet skal bruges af efterretningsvæsenet i Rusland til at overvåge og spionere mod borgerne. Ifølge lederen af det russiske Piratparti kan det også være et ønske fra Indenrigsministeriet om at få bedre muligheder for at fange dem, der udveksler for eksempel børneporno. Det skriver Global Voices.

Tor-netværket er oprindeligt udviklet som et forskningsprojekt hos US Naval Research Laboratory, som er en del af det amerikanske søværn, og siden hen er Tor blevet drevet af en selvstændig organisation, støttet af især den amerikanske regering.

Samtidig har dokumenter fra Edward Snowden vist, hvordan NSA har brugt store resurser på at forsøge at knække sikkerheden i Tor, så de anonyme brugere kunne afsløres og overvåges.

NSA lytter måske allerede med, når man går på nettet via anonymiseringstjenesten Tor. Men i Rusland er Tor tilsyneladende en torn i øjet på regeringen, som derfor nu har et opgave i udbud: Bryd anonymiteten i Tor. Det skriver The Daily Dot.

Udbuddet ligger hos Ruslands indenrigsministerium, og belønningen for at kunne fortælle noget om Tor-brugerne og deres udstyr er sat til 3,9 millioner rubler, hvilket er godt 600.000 kroner. Kun russiske borgere kan byde på opgaven, af sikkerhedshensyn, fremgår det af opslaget.

Brugen af Tor-netværket er vokset hurtigt i Rusland de seneste tre måneder, med op til 200.000 samtidige brugere i juni måned. Det falder sammen med Ruslands regerings strammere greb om internettet, blandt andet i form af en ny lov om bloggere, som nu skal registrere sig hos myndighederne, før de må blogge.

Det er dog ikke sikkert, at resultatet af udbuddet skal bruges af efterretningsvæsenet i Rusland til at overvåge og spionere mod borgerne. Ifølge lederen af det russiske Piratparti kan det også være et ønske fra Indenrigsministeriet om at få bedre muligheder for at fange dem, der udveksler for eksempel børneporno. Det skriver Global Voices.

Tor-netværket er oprindeligt udviklet som et forskningsprojekt hos US Naval Research Laboratory, som er en del af det amerikanske søværn, og siden hen er Tor blevet drevet af en selvstændig organisation, støttet af især den amerikanske regering.

Samtidig har dokumenter fra Edward Snowden vist, hvordan NSA har brugt store resurser på at forsøge at knække sikkerheden i Tor, så de anonyme brugere kunne afsløres og overvåges.

Jeg havde egentligt ikke forestillet mig, at mit tredje blogindlæg også skulle handle om sikkerhed, men jeg stødte på en sjov implementering, som jeg må dele.

Dette er endnu et offentligt system, som er meget brugt og som tilbyder personificeret indhold og følsomme oplysninger til autentificerede brugere.

Vi må ikke sende adgangskoden over en ukrypteret kommunikationslinje

Det er tydeligt, at der er nogen, der har sagt “vi må ikke sende adgangskoder over en ukrypteret linje”, men i stedet for at lave https på sitet, så har man i stedet forsøgt at opnå sikkerhed på anden vis.

Hashing client-side

Brugeren bliver altså præsenteret for en login formular over ganske almindelig http. Brugeren kan indtaste brugernavn og adgangskode:

Html form’en postes tilbage til http://…/Login.asp, og under normale omstændigheder vil adgangskoden derfor også postes tilbage i klar tekst.

Men på sitets javascript findes en lille funktion, som kaldes på html form’ens onSubmit.

Bemærk at funktionen kaldes kryptér kode

Inden form’en submittes tilbage til login siden, så “krypteres” adgangskoden med MD5, hvorefter MD5 værdien puttes ind i et hidden felt og adgangskode feltet nulstilles.

Hvad er der galt med denne metode?

Der er mange ting galt med implementeringen.

For det første har man ikke sikret noget som helst. Eve (den onde hacker) har slet ikke brug for Alice’s (den rare og uvidende bruger) adgangskode i klar tekst. MD5 hash værdien er nok til at logge ind, og den sendes i klar tekst uden brug af https.

For det andet er det dårlig praksis at bruge client side hashing i forbindelse med adgangskoder, da der bør være et server-side hash check også. Hvis hashing kun sker client-side og brugerdatabasen for sitet kompromiteres, så er det altså muligt for hackeren, at logge ind som alle brugere, da hackeren jo principielt har alle adgangskoder! Det svarer til at gemme adgangskoden i klar tekst i databasen.

For det tredje så kan vi med ret stor sandsynlighed antage, at sitet gemmer MD5 hashværdien i brugerdatabasen. Skulle denne database blive kompromiteret på et tidspunkt, er det en smal sag ved brug af lookuptabeller eller brute-force at få brugernes adgangskoder ud i klar tekst. Desvære ved vi, at brugere genbruger samme brugernavn og adgangskode på tværs af sites (bare spørg din omgangskreds), og derfor vil de kompromiterede informationer med stor sandsynlighed kunne misbruges på andre sites. Sitet burde benytte en mere moderne hash algoritme som SHA-2 samt salt’e adgangskoden pr bruger. Hvis man vil gå all-in, så kunne de bruge en langsom kryptografisk algoritme som PBKDF2 eller bcrypt.

For lige at opsummere:

• Https everywhere
• Benyt server-side hashing
• Benyt moderne hash algorimer og husk rigeligt salt
• Benyt langsomme kryptografiske algoritmer som PBKDF2 eller bcrypt, så brute-force bliver umulig i praksis.

Hvis man nogensinde mangler argumenter for, hvorfor adgangskoder som minimum skal hashes og saltes, så er her en god FAQ.

Ps 5f4dcc3b5aa765d61d8327deb882cf99 er MD5 hash for strengen “password”

Jeg havde egentligt ikke forestillet mig, at mit tredje blogindlæg også skulle handle om sikkerhed, men jeg stødte på en sjov implementering, som jeg må dele.

Dette er endnu et offentligt system, som er meget brugt og som tilbyder personificeret indhold og følsomme oplysninger til autentificerede brugere.

Vi må ikke sende adgangskoden over en ukrypteret kommunikationslinje

Det er tydeligt, at der er nogen, der har sagt “vi må ikke sende adgangskoder over en ukrypteret linje”, men i stedet for at lave https på sitet, så har man i stedet forsøgt at opnå sikkerhed på anden vis.

Hashing client-side

Brugeren bliver altså præsenteret for en login formular over ganske almindelig http. Brugeren kan indtaste brugernavn og adgangskode:

Html form’en postes tilbage til http://…/Login.asp, og under normale omstændigheder vil adgangskoden derfor også postes tilbage i klar tekst.

Men på sitets javascript findes en lille funktion, som kaldes på html form’ens onSubmit.

Bemærk at funktionen kaldes kryptér kode

Inden form’en submittes tilbage til login siden, så “krypteres” adgangskoden med MD5, hvorefter MD5 værdien puttes ind i et hidden felt og adgangskode feltet nulstilles.

Hvad er der galt med denne metode?

Der er mange ting galt med implementeringen.

For det første har man ikke sikret noget som helst. Eve (den onde hacker) har slet ikke brug for Alice’s (den rare og uvidende bruger) adgangskode i klar tekst. MD5 hash værdien er nok til at logge ind, og den sendes i klar tekst uden brug af https.

For det andet er det dårlig praksis at bruge client side hashing i forbindelse med adgangskoder, da der bør være et server-side hash check også. Hvis hashing kun sker client-side og brugerdatabasen for sitet kompromiteres, så er det altså muligt for hackeren, at logge ind som alle brugere, da hackeren jo principielt har alle adgangskoder! Det svarer til at gemme adgangskoden i klar tekst i databasen.

For det tredje så kan vi med ret stor sandsynlighed antage, at sitet gemmer MD5 hashværdien i brugerdatabasen. Skulle denne database blive kompromiteret på et tidspunkt, er det en smal sag ved brug af lookuptabeller eller brute-force at få brugernes adgangskoder ud i klar tekst. Desvære ved vi, at brugere genbruger samme brugernavn og adgangskode på tværs af sites (bare spørg din omgangskreds), og derfor vil de kompromiterede informationer med stor sandsynlighed kunne misbruges på andre sites. Sitet burde benytte en mere moderne hash algoritme som SHA-2 samt salt’e adgangskoden pr bruger. Hvis man vil gå all-in, så kunne de bruge en langsom kryptografisk algoritme som PBKDF2 eller bcrypt.

For lige at opsummere:

• Https everywhere
• Benyt server-side hashing
• Benyt moderne hash algorimer og husk rigeligt salt
• Benyt langsomme kryptografiske algoritmer som PBKDF2 eller bcrypt, så brute-force bliver umulig i praksis.

Hvis man nogensinde mangler argumenter for, hvorfor adgangskoder som minimum skal hashes og saltes, så er her en god FAQ.

Ps 5f4dcc3b5aa765d61d8327deb882cf99 er MD5 hash for strengen “password”

En licenskontrol giver næsten altid anledning til højere blodtryk hos den it-ansvarlige – og bruger man Oracle-databaser er der nu en ny fælde, der kan koste meget dyrt, at holde øje med. Den nye in-memory-funktion bliver nemlig fremover slået til som standard, og det kan udløse en ekstraregning på 128.000 kroner pr. SPARC-processor. Det skriver The Register.

In-memory er en teknologi, hvor hele databasen eller de mest brugte dele af den bliver gemt i RAM-hukommelsen i stedet for på SSD eller snurrende harddiske, og Oracle har været lang tid undervejs med funktionen, der nu er klar til brug.

Men en ny opdatering af softwaren til Oracles databaser, der kom på gaden i sidste uge, slår in-memory til som standard, og opdager it-chefen ikke det og får det slået fra igen, er der frit spil for, at medarbejderne kan oprette databaser med in-memory-teknologien. Og det kan altså give solide ekstraregninger fra Oracle, hvis firmaets licenskontrol kommer forbi med luppen.

Ifølge The Registers kilder kræver det kun minimale ændringer at bruge in-memory-funktionen, så en teknologi-glad databasemedarbejder vil hurtigt kunne udløse de ekstra licensudgifter.