Monthly Archives: June 2014

Idag er Grundlovsdag og politikere kværner løs med floskler osv.

Grundloven hedder sådan fordi de er fundamentet under vores civilization, i bund og grund er den det eneste der forhindrer mig i at myrde folk jeg ikke er enig med, resten af lovene er bare detaljelovgivning der skal give Grundlovens principper form og brugbarhed.

Med lov skal man land bygge, men desværre har vi også brugt alle mulige andre materialer, nogle holdbare, andre ikke så meget.

Præcis som syntetiske materialer blev et modefænomen i byggebranchen kort efter det kom frem, er IT blevet det i samfundsbranchen og præcis som med PCB og flammehæmmere burde der ved IT anvendelser ofte være anvendt et forsigtighedsprincip, inden man gav sig til at forgifte hele Farum Midtpunkt.

“Grundloven” indenfor IT sikkerhed, er at vi kan overbevise os selv om hvad der faktisk foregår på en bestemt computer og yderligere at vi kan argumentere for at det er os der bestemmer hvad der skal foregå.

Hvis ikke den ‘lov’ holder, er det inderligt ligegyldigt hvad vi iøvrigt gør, der er ingen workarounds eller lappeløsninger.

Dagens IT-grundlovstale er uddelegeret til Dan Farmer som har noget vigtigt at sige om IPMI.

phk

NDC2014 er nu officielt startet. Det er en forholdsvis lille konferencen sammenlignet med fx Tech-Ed og Build, men det gør at konferencen faktisk er meget hyggelig og intim. Dagen startede med en keynote, som var meget inspirerende i forhold til design af applikationer som mobile first, og hvilke patterns man burde benytte, når man som udvikler skal pakke sin flotte store, desktop/web app ned på et meget mindre mobilt device.

Keynoten

Første talk på NDC Oslo 2014 var keynoten af Luke Wroblewski, som bl.a. har skrevet bogen Mobile First (2011, A Book Apart). Helt overordnet peger Wroblewski på, at væksten inden for mobile devices inden for de seneste år har været nærmest eksplosiv. Alligevel hænger mange mobilapplikationer ifølge ham fast i ”gamle” designprincipper, hvilket gør dem nærmest ubrugelige på mobile devices.

Wroblewski har flere ganske underholdende eksempler på mobilapplikationer fra selv nogle af de helt store virksomheder, som mildest talt kommer til at fremstå komplicerede og på ingen måde brugervenlige. Simpelthen fordi de ikke har været i stand til at omstille deres forretning til den mobile tankegang – nemt og enkelt. Lange formularer og en masse tekstinput dur ikke for en mobilbruger.

The Mobile Moment

Til at underbygge sine påstande havde han flere statistikker med, hvor denne herunder virkelig understregede virkeligheden. Facebook, som en af de mest populære tjenester i verdenen, har ramt punktet hvor de nu ser flere brugerbesøg på deres mobileapplikationer end på deres websider. Eller som han kalder det – The Mobile Moment.

Wroblewskis pointe er, at man i dag på den anden side af “The Mobile Moment” i højere grad bør tænke ”mobile first”, når man laver applikationer, og man bør teste og udfordre sit design hele tiden – for man kan altid gøre det mere simpelt, og dermed brugervenligt.

Wroblewski fortæller det hele med et glimt i øjet, og viser også et eksempel på en mobil hotel booking app, som faktisk endte med at være blevet for simpel, og hvor man derfor fik problemer med at folks børn og katte (!) bookede værelser. Det endte med, at man måtte indbygge en lille gesture kontrol, hvor man med fingeren skulle følge Hotellets logo for at bekræfte bestillingen.

Overskriften på hans foredrag var “It’s a Write/Read (Mobile) Web”, men senere i sit foredrag siger han, at det i virkeligheden handler om at det er et “multi device web”. Vi bruger ikke længere kun én slags enhed til at tilgå nettet, og Lukes input til debatten omkring Native apps vs Mobile Web (html) er derfor også, at det ikke er et enten eller – det gælder om at udnytte hver platform bedst.

Alt i alt et underholdende og aktuelt oplæg på en god start på NDC. Du kan også se en tidligere udgave af Luke Wroblewskis oplæg (både video og pdf’er):

Skrevet af Stefan og Allan

Seven inffective coding habits of many programmers

Talk af Kevlin Henney

Hvilke patterns benytter vi som udviklere i vores kode, udelukkende fordi det er noget man lærte for 10 år siden, hvor det blev besluttet af årsager der var relevante den gang? Kevlin’s talk drejede sig om at stille os selv spørgsmålet: “Do you do a habit out of habit?”

It turns out that style matters in programming for the same reason it matters in writing. It makes for better reading.
Doug Crockford

Hvis man sammenligner amerikanske og danske bøger, opdager man at oftest vil de amerikanske være en del længere. Årsagen er selvfølgelig at man i USA bliver betalt pr. ord, og indtjeningen på en længere bog, derfor er højere end en lille novelle. På samme måde kan man overveje om mere kode er bedre.

Husk et lavt signal/støj forhold

Kevlin argumenterer for at signal/støj forholdet i ens kode generelt kan blive bedre. Et typisk krav til en udvikler er, at skrive mange kommentarer, ofte er det endda påkrævet via statisk analyse (FxCop, checkin politikker i source control). Argumentet kan være at man skal kunne læse hvad koden gør, særligt i komplekse dele af den. I virkeligheden skal koden være selvdokumenterene (!) Hvis udvikleren ikke er i stand til at lave læsbar kode hvorfor tror vi så han/hun kan skrive læsbare kommentarer! Pointen var ikke at vi aldrig skal skrive kommentarer, men vi skal kun skrive de kommentarer som koden ikke kan forklare – og først efter vi har gjort koden læsbar.

God læsbarhed af koden

Visual spacing should have a context with what the code is doing
Kevlin Henney

Læsbarheden afhænger også i høj grad af indenteringen, som jo typisk kan starte flamewars blandt selv de mest nedtonede udviklere. Nu om dage sidder vi alle med 1920×1080 skærme, så de 80 karakterer er ikke længere en begrænsning. Men det ændrer jo ikke på menneskets synsfelt og hvor lange sætninger vi er i stand til at overskue. Samtidig er det vigtigt at strukturere din kode så den er strukturelt ærlig, metodeparametre skal være alignet og altid alignet på samme måde.

En anden interessant observation som Kevlin nævnte er Agglutination, den måde vi sammensætter ord til at beskrive metoder eller klasser. Hvis man kigger på nedenstående eksempel

Ovenstående eksempel har vi alle set, men hvorfor beskriver vi hvad koden skal gøre, og ikke hvad vi egentlig vil. Igen er vi ovre i paradigmer fra funktionelle programmeringssprog the what, not the how. Samme situation med exceptions, hvorfor skal de partout slutte på “…Exception” (udover language guidelines typisk definerer at det skal de)? Der er jo ikke så meget andet der kan throwes…

For os giver disse pointer god mening og mange af dem kræver kun, at vi er i stand til at ændre vores vaner, som fx hvordan vi bruger spacing og hvor lange linier vi skriver. Andre af vanerne vil nok give anledning til mere debat i et udviklerteam, som fx at gå mod de etablerede kode guidelines. Lige dét kan være svært at indføre i større teams. Trods alt er den vigtigste vane, at koden fremstår ensartet, selvom teamet eller forretningen er stor.

Selvom intention er god, er vaner svære at ændre især i en travl hverdag. Hvilke successer har I haft i at ændre kodevaner i jeres organisation?

Skrevet af Helle og Anders

Trods løbende dansk kritik af s-togsnedbrud, revner i IC4-tog, forsinkelser og dyre og langsommelige metrobyggerier er København netop kåret til byen med den mest effektive offentlige transport i verden. Det er Siemens, der har bestilt rapporten ”The Mobility Opportunity”, som kortlægger samfundsøkonomien i offentlige transportsystemer i 35 byer verden over.

‘Vi er i København privilegeret med en af de bedste offentlige infrastrukturer i verden – måske den bedste. Undersøgelsen viser tydeligt, at et af de væsentligste parametre for en velfungerende by, er at den offentlige transport fungerer,’ siger Steen Nørby Nielsen, der er direktør for Siemens Mobility i Danmark i en pressemeddelelse.

Rapporten vægter økonomiske fordele ved offentlig transport i forhold til udgifter til transportsystemerne og økonomiske ulemper ved at mangle velfungerende offentlig transport. Det kunne blandt andet være tiltrækning af virksomheder til området, øget effektivitet og økonomiske fordele ved tidsbesparelser. På den baggrund peger rapporten blandt andet på, at verdens byer i alt kan spare op til 2.000 mia. kr. om året ved at forbedre de offentlige transportsystemer.

Offentlig transport kan betale sig

Rapporten roser, at Københavns udgifter til offentlig transport kun svarer til 8,6 procent af københavnernes bruttonationalprodukt. I andre byer er tallet helt op til 19 procent. Rapportens beregninger viser, at udgifterne i 2030 vil svare til 8,8 procent af BNP i Københavns tilfælde, hvilket dog stadig placerer byen på en global førsteplads.

»Det koster penge at investere i offentlig transport, og det kan godt afholde nogle byer fra at gøre det, men rapporten konkluderer, at investeringerne i offentlig transport kommer mangefold igen,« siger pressechef i Siemens Danmark, Rasmus Windfeld.

København roses særligt for planerne om at udvide metroen med Metrocityringen og Sydhavnsmetroen for at imødegå det fremtidige behov for offentlig transport. Derudover roser rapporten, at der stadig er kapacitet i det offentlige transportsystem til at modtage flere passagerer, ligesom ledelse og styring af systemet ifølge rapporten fungerer godt.

Konkret peger rapporten dog på flere tiltag i den københavnske transport som fordele, selvom de har været under stærk kritik herhjemme. Det gælder blandt andet rejsekortet, der roses for ‘en høj grad af funktionalitet for brugerne’, ligesom byen roses for god planlægning af metrocityringen.

»Jeg tror altid, at man synes, at den offentlige transport er dårlig, hvor man bor, og der er selvfølgelig altid ting, der kan gøres bedre. Hvorvidt det er en plausibel konklusion eller ej, må man selv vurdere, med jeg tror generelt godt, at man kan tillade sig at være positivt stemt over det,« siger Rasmus Windfeld.

Busserne er dyre

Den offentlige transport i København scorer dog også lavt på en række punkter. Blandt andet er København dårligt forbundet med offentlig transport til andre større byer, der gøres for lidt i byen for at fremme benyttelsen af offentlig transport, og det er dyrt at bruge transportsystemet, konkluderer rapporten. Konkret peger den på, at en roadpricing-løsning kunne fremme brugen af offentlig transport i byen, og at især de københavnske busser er dyre i forhold til deres modstykker i andre byer i undersøgelsen.

I undersøgelsen indgår tre kategorier af byer, nemlig de veletablerede, de særligt befolkningstætte og dem med særligt stor vækst. København hører til den første kategori og efterfølges af Madrid og Wien som byerne med den mest samfundsøkonomisk effektive kollektive transport.

Lige nu er der 20.000 ledige stillinger inden for it-faget i Norge, og den norske it-branche har i første kvartal af 2014 oplevet en vækst på 16 procent. Det skriver Teknisk Ukeblad.

Væksttallene overgår langt de forventninger, som den norske brancheorganisation IKT-Norge havde til 2014, hvor organisationen havde regnet med en vækst på cirka fire procent.

»Vi har mange store projekter kørende, specielt i sundhedssektoren, men også store digitaliseringsprojekter i mange kommuner og andre offentlige myndigheder. Så der er ingen tvivl om, at der er meget at lave for konsulenterne,« siger erhvervsudviklingsdirektør Fredrik Syversen fra IKT-Norge til Teknisk Ukeblad.

Manglen på it-folk er ikke kun et norsk fænomen, men en del af udfordringerne med at besætte it-stillingerne kan også læses ud fra kommentarerne til artiklen hos Teknisk Ukeblad. Flere påpeger nemlig, at efterspørgslen er koncentreret omkring hovedstaden Oslo, og at mange virksomheder efterspørger it-medarbejdere med kandidatgrader frem for eksempelvis at efteruddanne ansøgere med bachelorgrader.

Muligheden for at verificere en ægte NemID-klient. Det kan være forklaringen på den obfuskering, der ser ud til at være lagt ind i koden bag kommende NemID JavaScript, vurderer professor og ekspert i kryptografi på institut for datalogi ved Aarhus Universitet Ivan Damgård.

»I et tilfælde som det her er formålet formentligt, at man gerne fra serversiden vil være sikker på, at man taler med den kode, man selv har sendt ud, og ikke med en modificeret version, der f.eks. også sender password med mere til en angriber. Det kan man forsøge at gøre ved at bage en hemmelig nøgle ind i programmet og så verificere fra serversiden, at den kode man kommunikerer med, kender nøglen. Man håber så, at hvis programmet er obfuskeret, så kan en angriber ikke finde frem til nøglen og lave sin egen version,« lyder vurderingen fra professoren i en mail til Version2.

Diskussionen om obfuskering i NemID JS er blevet aktuel her på Version2, efter datalog, internetaktivist og gør-det-selv NemID- og Rejsekort-hacker Christian Panton fandt frem til en testkode af, hvad der ser ud til at være den kommende NemID baseret på JavaScript. NemID JS-koden viser sig at være heftigt obfuskeret med det resultat, at koden ikke bare er ekstra kompliceret, men også fylder mere målt i bits og bytes, end den ellers ville gøre.

Det fik Christian Panton til at starte et projekt på GitHub, der er en webhosting-tjeneste for softwareprojekter. Pantons projekt har til formål at skrælle obfuskeringen af NemID JS. Han har fortalt til Version2, at det foreløbigt er lykkedes ham at mindske visse dele af testkoden på NemID JS med 33 pct, ved at køre den igennem den såkaldte de-obfuscator, som Panton har lagt på GitHub.

Dermed er det spørgsmålet, om det overhovedet er umagen værd at bruge tid og kræfter på at obfuskere NemID JS, hvis det alligevel kun resulterer i computerkode, der fylder mere, og altså ikke de facto øget sikkerhed. Men det kommer an på den konkrete implementering af obfuskeringen, forklarer Ivan Damgård.

»Jeg tror de fleste er enige om at obfuskering i praksis kun kan forventes at holde i en vis begrænset tid. Så det vil sige at hvis der kun er én version af koden, og det er den der bliver sendt ud hver gang, så varer det formentlig kun en begrænset tid, før nogen har gravet den hemmelighed ud, der eventuelt er gemt derinde. Men der findes andre tilgange til obfuskering, hvor man hele tiden laver nye versioner af den obfuskerede kode, så man kan tvinge angriberen til at starte forfra hver gang. Det har en større chance for give noget sikkerhed,« skriver Ivan Damgård og understreger, at han ikke er bekendt med, hvad Nets gør i forhold til NemID JS.

Men hvis obfuskering øger kodestørrelsen, så er der også spørgsmålet, om koden dermed bliver tungere og langsommere at køre på klient-maskinerne.

»Obfuskeret kode kan være langsommere, men behøver ikke at være det. Hastighed har ikke altid en sammenhæng med hvor meget koden fylder, det er jo f.eks. ikke sikkert at det alt sammen bliver udført hver gang,« skriver Ivan Damgård.

Version2 vil naturligvis gerne høre Nets, hvilke tilgange og overvejelser, virksomheden har i forbindelse med obfuskering i den kommende NemID JS. Virksomheden har dog tidligere afvist at kommentere på NemID JS med henvisning til, at det endelige produkt endnu ikke er frigivet.

Digitaliseringsstyrelsen har tidligere meldt ud, at NemID JS, trods problemer med en planlagt pilottest, som planlagt bliver lanceret 1. juli.

Fakta

NemID JavaScript er betegnelsen for den kommende udgave af NemID, som fungerer uden Java-platformen. Flere har kritiseret, at NemID i den nuværende form er afhængig af Java. Kritikken har blandt andet gået på, at sikkerhedshuller i Java i sig selv kan gøre en computer usikker, og desuden virker Java og dermed NemID typisk ikke på mobiltelefoner og tablets. Med til historien om NemID og Java hører sidste års opdatering fra Oracle, der står bag Java. Opdateringen bevirkede, at NemID i tre døgn ikke fungerede hos de brugere, der havde fulgt gængs sikkerhedspraksis og opdateret til den seneste Java-version. Senere viste det sig, at Nets ikke havde testet om NemID ville virke med den nye opdatering fra Oracle.

Mobiltelefonerne er endnu ikke plaget af ubudne gæster i form af ondsindet software i samme omfang, som Windows-platformen har været det. Men malware til mobiltelefonerne kan nu fejre 10 års jubilæum, skriver sikkerhedsfirmaet Sophos.

I 2004 dukkede Bluetooth-ormen Cabir op, som ifølge Sophos var det første eksempel på mobil malware uden for laboratoriet. Den kunne sprede sig mellem Symbian-baserede smartphones via Bluetooth. Den var medvirkende til at få smartphone-brugere til at være mere forsigtige og slå synlig Bluetooth fra som standard.

De tidlige smartphone-orme og andre typer malware fik sikkerhedseksperter til at advare om, at smartphones kunne blive ramt af samme malware-problemer, som pc’erne havde set især kort efter lanceringen af Windows XP.

Da Apple lancerede iPhone i 2007 og senere åbnede for applikationer fra andre leverandører, så det ud til, at der kunne være en platform, som kunne blive malware-bagmændenes favoritmål. På mobiltelefonerne havde det primært været Symbian-styresystemet samt nogle enkelte eksempler til Windows CE og Windows Mobile.

I 2009 dukkede det første eksempel op på malware til iPhone i det fri, men derudover har skaden været begrænset. Trojaneren Ikee fra 2009 gjorde heller ingen anden skade end at ‘Rickrolle’ offeret, og den kunne kun inficere telefoner, der var ‘jailbreaket’.

Symbian er i løbet af de seneste 10 år blevet afløst af Android, når det gælder mobil malware. Android er således lige nu dén mobilplatform, hvor der findes de mest udbredte eksempler på ondsindet malware. Det omfatter eksempelvis malware, der kan låse brugerens Android-enhed og opkræve falske bøder eller true med at slette data, hvis offeret ikke betaler – og dermed udleverer sine kreditkortoplysninger.

Truslen om mobil malware har indtil videre vist sig ikke at være så stor, som sikkerhedseksperterne først advarede om i 2004. Til gengæld peger Sophos på, at smartphone-malware giver mulighed for nye forretningsmodeller for de kriminelle bagmænd, som eksempelvis at undgå bankernes to-faktor-autentificering ved at opsnappe sms-engangskoder.

Ambitionen er nu en plads i top 5 for det nyfusionerede hackerhold, der har kvalificeret sig til at deltage i det uofficielle verdensmesterskab i hacking, som finder sted i forbindelse med it-sikkerhedskonferencen Defcon i Las Vegas til august. Det skriver DIKU på instituttets hjemmeside.

Holdet ‘Gallopsled’ består af det tidligere amatørhold Pwnies fra DIKU ved Københavns Universitet og det profesionelle hold European Nopsled Team.

Det usædvanlige holdnavn følger vanlig DIKU-logik, da Pwnies var et ordspil på udtrykket ‘pwn’, der bruges om at overtage et it-system, og ‘bronies’, der refererer til My Little Pony-seriens dedikerede voksne, mandlige fans. Deraf ‘gallop’ som altså er blevet kombineret med Nopsled-holdets ‘slæde’.

Begge hold har tidligere opnået gode resultater i de store hackerkonkurrencer, og efter fusionen satser det nye hold altså på en top 5-placering. Ifølge gruppen vil resultatet dog afhænge af, hvilken arkitektur de kommer op imod i Las Vegas.

27 procent af danskerne fandt sig en ny mobiludbyder i 2013. Det er en stigning i forhold til 2012, hvor 22 procent valgte at skifte mobilselskab. Det fremgår af en undersøgelse, som Yougov har foretaget på vegne af brancheorganisationen Teleindustrien.

Det ser dog ikke ud til at være direkte forbundet med utilfredshed med teleselskaberne, da danskerne ifølge undersøgelsen i stigende grad er tilfredse med deres teleselskab. 75 procent er generelt tilfredse med deres teleselskab mod 67 procent året før. Blot fem procent oplyser, at de er utilfredse med deres teleselskab.

Lidt over halvdelen, nemlig 56 procent, sammenligner aldrig deres teleselskabs priser med konkurrenterne, mens en mindre gruppe tjekker priserne mindst en gang hvert halve år.

Ifølge undersøgelsen er langt størstedelen af danskerne også tilfredse med mobildækningen, men der er dog 14 procent, som svarer, at de er utilfredse med dækningen på deres bopæl, mens 10 procent er utilfredse med dækningen uden for hjemmet.

I USA kører i øjeblikket en stor kampagne for at gøre skolebørn interesserede i kodning. I spidsen for kampagnen står organisationen Code.org, en organisation som er sponseret af selskaber som Amazon og Google og personer som Bill Gates og Mark Zuckerberg. Ideen er at gøre kodning til en del af skolernes pensum, og det har været så populært, at selv præsidenten har gjort reklame for kampagnen.

Men hverken millioner af dollars eller opbakning fra Barack Obama er nok til at gøre kodning mainstream. Slet ikke hvis pigernes interesse skal vækkes. Det mener i hvert fald den amerikanske blogger og journalist, Nitasha Tiku, som i et indlæg i New York Times opfordrer til at bruge computerspil som motivationsfaktor.

20.000 amerikanske lærere fra børnehaveklassen til gymnasiet har vedtaget kodning som en del af elevernes pensum. Alligevel planlægger så få som 0,4 procent af de piger, der søger ind på college at tage et fag i datalogi, og antallet af kvindelige dataloger er faldet fra 36 procent i 1984 til 14 procent i 2013. Og ubalancen fortsætter.

Men udfordringen er ikke at få lokket pigerne ind i edb-klassen. Den består i at holde dem der. Natalie Rusk er forsker ved Massachusetts Institute of Technology (MIT), og har blandt andet været med til at designe et open-source program kaldet ‘Scratch’, der giver børn mulighed for at kode spil og animationer og dele tips og tricks med hinanden.

Hun mener, at det handler om møde børnene, der hvor de er. I stedet for at lære dem at programmere i faste rammer, skal de programmere det, de har lyst til. Her kommer det svenske spil Minecraft blandt andet ind i billedet. For mens Code.org er langt fra mainstream, er Minecraft nøjagtigt det modsatte.

Spillet, som er udviklet i Java, har 100 millioner registrerede brugere, der bygger fiktive verdener i 3D. Nøjagtig som med kodning handler det om at skabe noget, og spilelt er ligeså populært blandt drenge og piger.

Derfor mener Natalie Rusk, at der er en oplagt mulighed for bruge spil som Minecraft til at fange interessen for datalogi og kodning blandt pigerne. Det handler blot om at skabe de rigtige platforme, for når først de er kommet i gang, er interessen også plantet, og så forbliver den ofte, siger hun.