Det sorte får i Java-familien har gennem flere år været de browser-plugins, der gør det muligt at køre små browser-programmer i form af applets, som eksempelvis den applet, der gør det muligt at logge på med NemID.

Ligesom andre plugins som Adobes Flash Player, så har Java-plugin’et været plaget af sikkerhedshuller, som er blevet udnyttet af kriminelle til at sprede ondsindede programmer til brugernes pc’er via browseren.

»Det er ikke noget, der er unikt for Java, men 98 procent af problemerne har været begrænset til browser-plugin’et, og det var problemer, der havde ligget i platformen i meget lang tid,« siger Nandini Ramani, underdirektør med ansvar for udviklingen af Java-platformen, til Version2.

Oracle har efter overtagelsen af Java-platformen fra Sun Microsystems overført Java til samme faste opdateringscyklus som de øvrige Oracle-produkter. Det betyder, at der kommer sikkerhedsopdateringer til Java én gang i kvartalet.

Samtidig har Oracle gennem det seneste halvandet år arbejdet på at rydde op i de gamle sikkerhedshuller i browser-plugin’et. Alligevel har flere sikkerhedsfirmaer udpeget Java-plugins til at være den største synder, når det gælder om at finde en vej ind på brugernes pc.

Oracle har dog ingen planer om at slippe af med hovedpinen ved at pensionere plugin’et, selvom udviklingen af applets ligger langt fra det primære fokus for Java-platformen.

»En af styrkerne i Java er bagudkompatibiliteten. Vi lader ingen i stikken. Så vi vil stadig have applets som en applikationsmodel for dem, der ønsker at bruge det. Der er stadig store virksomheder, som anvender applets, så vi vil stadig arbejde på at gøre dem mere sikre,« siger Nandini Ramani.

Applets gør det muligt at distribuere en platformuafhængig desktopapplikation via browseren, og selvom det stort set ikke bruges af websteder, så anvendes det stadig i blandt andet finanssektoren.

Oracle anbefaler dog ligesom flere sikkerhedseksperter, at man ikke installerer et plugin, hvis man ikke har brug for det. Danskerne må dog vente lidt endnu, før NemID-Java-appletten forsvinder. I øjeblikket arbejder Nets DanID på en Javascript-baseret afløser, men formelt udløber supporten for appletten først i 2017.

Jeg er blevet overtalt til at holde et foredrag på tirsdag (1. april, og jeg håber ikke, at der er nogen, der har lavet en udvidet aprilsnar på mig) som en del af Nordic API Tour’en, der sætter fokus på at få mest mulig værdi ud af private og offentlige API’er.

Men da jeg gik i gang med at forberede mig, havde jeg egentlig mange flere spørgsmål, jeg havde lyst til at få besvaret, end fikse og færdige svar, så derfor kom foredraget til at hedde “Who cares about APIs?” og det må jeg jo så hellere forsøge at svare på.

Første svar, der springer i øjenene er: For få. Ja, det er flot, at Programmableweb nu har samlet 10.000 API’er i deres directory, men når der pt. findes 1,8 milliarder websider, så er det jo mildest talt ikke imponerende. Det er jo en enorm skævhed. Webbet er dybest set stadig ikke programmébart med nogle få flashy undtagelser (Facebook, LinkedIn m.fl.) Selv nogle af dem i det virkeligt fine selskab får fra tid til anden sendt signaler til udviklermiljøet om, at det kan være farligt at basere sin fremtid på data eller funktionalitet fra API’erne, hvis man får lavet noget, der virker mere konkurrencedygtigt end “moderapplikationen”.

Jeg sad af andre årsager og kiggede på usability maturity models for organisationer, bl.a. har usability-guruen Jakob Nielsens udviklet en 8-trins model, hvor det ultimative ottende skridt er User-Driven Corporation (var der nogen der sagde Økonomisk Demokrati?) hvor brugerne bestemmer, hvilke projekter, der får tilført ressourcer. Man kunne godt se det at stille API’er til rådighed som en måde netop at skabe dette user-drevne nirvarna, men med en lidt mere liberal vinkel, nemlig at brugerne bidrager med deres egne ressourcer til udviklingen af et økosystem, der rækker ud over virksomhedens grænser.

Eric Raymonds bog “The Cathedral and the Bazaar” fra 1999, der handler om open source og ikke mindst forretningsmodeller indenfor den verden, nævnte som et af punkterne i “bazaar”-modellen (open source): “Treating your users as co-developers is your least-hassle route to rapid code improvement and effective debugging.” Hvad angår egentlig forretningsmodeller var det dog efter min mening lidt tyndt med i bogen; der tales om en gave-kultur, hvor gevinsten er det ry / brand, man opnår, og princippet “give away the recipe, open a restaurant”, altså at leve af services rundt om den åbne kerne.

Det er på en måde lidt det, et API er; lidt som en opskrift, alle kan bruge (også selvom der kan være grænser for, hvor mange burgers man må lave gratis), og i tilfældet Facebook / Twitter / LinkedIn er app’en restauranten, som trækker kunder til. Men udfordringen opstår, når udviklercommunity’et er så stærkt, at de er i stand til at lave en bedre restaurant end dem, der fandt på opskriften. Er der så stadig et stærkt nok incitament til at stille data og funktionalitet til rådighed via et API?

Og bliver en “API First”-strategi en dag en del af standardpakken af god softwareudvikling, eller må den nøjes med at være for hippe skoledrenge m/k og CEOs der prøver at prakke dig et nyt værktøj på?

P.S. Der er i øvrigt så vidt vides gratis billetter tilbage til de første par kvinder, der ikke er kede af at blive kvoteret til en gratis eftermiddag om API’er.

En tyrkisk domstol har i dag besluttet, at den landets telekommunikationsmyndighed skal ophæve den blokade af Twitter, som blev indført for seks dage siden. Det rapporterer det tyrkiske medie Hürriyet Daily News.

Blokaden trådte i kraft få timer efter, at Erdogan havde svoret, at han ville udrydde Twitter og lignende platforme. Specielt Twitter havde indtil da været en torn i øjet på den tyrkiske premierminister, da det blev flittigt brugt til at diskutere en korruptionssag, som Erdogan har kæmpet med at få lagt låg på.

»Det internationale samfund kan sige det ene og det andet. Jeg er helt ligeglad. Alle vil se hvor magtfuldt Tyrkiet er«, lød det fra Erdogan, da han havde erklæret krig mod de sociale medier, få timer inden Twitter blev blokeret.

Men nu er blokaden indtil videre beordret ophævet – de tyrkiske myndigheder har dog mulighed for at appellere kendelsen.

Tidligere på året indførte Tyrkiet en kontroversiel lov om censur på internettet, der giver myndighederne ret til at kræve websteder blokeret, hvis de vurderes til at være fornærmende eller krænke privatlivets fred. Sidstnævnte skulle angiveligt være grunden til at blokere Twitter, men nu har domstolen altså underkendt det argument.

En række nye tiltag skal nu gøre det sværere for svindlere at udgive sig for at være andre og for eksempel købe varer på kredit.

Folketinget har således onsdag vedtaget en lov, der gør det muligt at skifte CPR-nummer, hvis man har været udsat for alvorligt identitetstyveri. Det oplyser Økonomi- og Indenrigsministeriet. Loven træder i kraft den 1. april, og det er CPR-kontoret, som vurderer, hvornår det er nødvendigt med et nyt CPR-nummer.

Men at skifte CPR-nummer er en sidste udvej, hvis det allerede er gået galt, så med i pakken af tiltag er også at få afskaffet CPR-validering på nettet. Valideringen sker gennem et opslag i folkeregistret, men svindlere kan med kendskab til et CPR-nummer og tilhørende navn og adresse ’bestå’ denne prøve. I stedet skal der fremover logges ind med NemID, skriver ministeriet.

Generelt skal butikker fremover bruge NemID meget mere, lyder meldingen.

»Regeringen har overfor erhvervslivet understreget behovet for grundig identitetskontrol af kunder, og at dette med fordel kan gøres med NemID,« skriver ministeriet.

Brugen af CPR-nummer som en hemmelig oplysning, et slags password, har gennem årene været kritiseret fra mange kanter, især fordi det er relativt nemt at finde frem til folks CPR-numre, hvis man kender fødselsdatoen.

Det demonstrerede den dengang it-studerende Søren Louv-Jansen gennem et ‘CPR-lotteri’, hvor man skulle gætte på danske toppolitikeres CPR-numre, ud fra fire valgmuligheder. Det kostede ham et besøg fra politiet, en politianmeldelse og i første omgang en bøde på 10.000 kroner, som han dog ved at tage sagen til domstolene fik nedsat til 3.500 kroner.

For anden gang på mindre end et år henter TDC en it-chef fra Danske Bank til en toppost hos telegiganten.

TDCs presseafdeling bekræfter således overfor Computerworld, at Charlotte Bang Arnvig Hersdorf bliver virksomhedens nye it-chef. Hun har været hos Danske bank siden 1998, men titlen som CIO hos Danske Bank bliver nu skiftet ud med en ditto hos TDC.

I sommeren 2013 blev den Danske Banks daværende it-direktør, Peter Trier Schleidt, også hentet til en toppost hos TDC, og dermed er det anden gang på ni måneder, at Danmarks største bank mister en topchef til Danmarks største teleselskab.

Charlotte Bang Arnvig Hersdorf tiltræder sin nye stilling hos TDC d 1. april.

Med en forsinkelse på næsten to år tager Digitaliseringsstyrelsen projekt Fællesoffentlig Datafordeler prisen som det hårdest ramte i seneste udgave af It-projektrådets statusrapport.

Hvert halve år sender It-projektrådet nemlig en oversigt ud om alle it-projekter i staten til mere end 10 millioner kroner, og denne gang får 22 ud af 27 projekter et grønt trafiklys for at være på budget og følge tidsplanen, ét projekt er i gult, mens fire projekter får en rød lampe.

Udover altså Fællesoffentlig Datafordeler er det Miljøministeriets PDE-projekt til miljøgodkendelser, Værdipapir 2012 fra Skat og Prüm Fingeraftryk hos Rigspolitiet, som er havnet i problemer.

Og i det halve år, som rapporten dækker, er fem projekter faktisk også blevet aflivet, i erkendelse af, at de ikke ville ende godt.

It-projektrådet glæder sig over, at de fleste projekter kører godt, men har også fået øje på tendenser, der ikke falder i rådets smag. Flere projekter har for eksempel kunne nedskrive de samlede udgifter, hvilket tyder på, at der blev budgetteret for højt fra starten. Dermed sikrer et it-projekt sig mod at skulle tilbage til for eksempel Folketingets finansudvalg og bede om flere penge undervejs, hvis noget ændrer sig, men det er ikke en god praksis, mener rådet. Det bliver nemlig for nemt at bruge flere penge end nødvendigt undervejs, hvis de allerede er bevilget.

Der bliver heller ikke lyttet nok til It-projektrådets anbefalinger. Af de syv projekter, som i dag er blevet forsinkede, fik fem af dem at vide fra starten af, at tidsplanen var for stram. Men kun to af dem valgte efterfølgende at følge rådet og ændre på tidsplanen. Det giver problemer nu.

Hos foreningen IT-Branchen, der repræsenterer leverandørerne, er man godt tilfreds med It-projektrådets indflydelse på de statslige it-projekter de seneste år. Så formlen bør bredes ud til hele den offentlige sektor, lyder meldingen.

»Der er kommet bedre styr på de offentlige it-projekter. Det er meget positivt, at vi er på vej i den rigtige retning. It-projektrådet har uden tvivl vist sit værd. Lige nu er det kun statens it-projekter, der får den hjælp. Det vil være en rigtig god idé, at udvide modellen med it-projektrådet, så det også kan se på de store it-projekter i kommunerne og regionerne,« udtaler Morten Bangsgaard, direktør for IT-Branchen, i en skriftlig kommentar.

Læs statusrapport for statens it-projekter (pdf)
Læs bilag til statusrapporten (pdf)

Den amerikanske myndighed IRS (Internal Revenue Service), kom i nat med sine længe ventede retningslinjer i en sag, der bedst kan betegnes som et postmoderne skattespørgsmål. Nemlig hvordan bitcoin og lignende digitale valutaer skal behandles i amerikanske skattesammenhænge.

Ifølge Reuters har IRS besluttet, at de nye digitale betalingsmidler skal beskattes som ejendom – ikke som valuta.

Afgørelsen vil blandt andet gøre livet mere besværligt for amerikanere der selv miner bitcoins. Den dikterer nemlig, at man skal behandle de bitcoins, man har minet, som en bruttoindtægt svarende til den værdi, det aktuelle antal bitcoins havde, da de blev overført til personens computer.

Retningslinjerne betyder i øvrigt også, at man i USA skal betale skat af eventuelle gevinster, der er opnået ved at spekulere i bitcoins værdi.

»Det vil gøre livet svært for en masse mennesker, der har minet igennem det seneste år. De bliver nødt til at gå tilbage og se, hvad værdien af bitcoin var på de dage, hvor de har minet dem«, udtaler William Lewis, der er advokat for en start-up-platform for virtuelle valutaer i Californien.

Dermed har Danmark altså mere lempelige skatteregler for bitcoins end USA – herhjemme afgjorde skatterådet nemlig i går, at gevinster på bitcoins er skattefrie.

Det blev taget i brug i september 2013 efter hele seks års forsinkelse. Men det omfattende it-system til at inddrive gæld, EFI, volder stadig Skat store problemer. Det skriver Politiken.

Så sent som mandag gik systemet ned, og det er bestemt ikke første gang. Og på grund af de mange års forsinkelse i forvejen haster det med at få inddrevet meget af statens gæld, så den ikke når at blive forældet og dermed annulleret.

Skat har derfor nu sat 320 medarbejdere til på fuld tid i to uger at arbejde med de gældssager, der nærmer sig forældelse. Det bliver nødvendigt, at alle arbejder over i ’større eller mindre grad’, skriver Skats indsatsdirektør, Jens Sørensen, i et brev til medarbejderne.

Redningsaktionen falder kort tid efter, at Skat fyrede 330 medarbejdere som et resultat af effektiviseringer, som blandt andet EFI-systemet skulle bringe med sig. Og det er ’rent ud sagt langt ude’, mener Jørn Rise, formand for fagforeningen Dansk Told- og Skatteforbund.

I februar måtte Skat også opruste inddrivelsesarbejdet med 60 medarbejdere på grund af problemerne med at få EFI til at køre godt nok.

Har slettet gæld for 36 milliarder

De seks års ventetid på EFI-systemet har haft store konsekvenser for inddrivelse af statens gæld, så man i januar 2011 havde tilgodehavender for 72 milliarder kroner. Et år efter måtte Skat opgive at inddrive 36 milliarder kroner af denne gæld på grund af forældelsesfrister og dårlige betalere. Det er en lignende situation, som Skat nu kæmper for at undgå efter de nye problemer og forsinkelser.

EFI-systemet skulle efter den seneste plan have været kørt helt indtil sommer, men den tidsplan er under pres på grund af de mange fejl, der skal rettes i systemet, oplyser Skat. Målet er dog stadig at få de sidste dele af it-systemet klar ’hen over sommeren’.

EFI er udviklet af KMD og Cap Gemini, men den primære forsinkelse skete i det underliggende system Debitormotor, som EFI er afhængig af. Undervejs i udviklingen af Debitormotor måtte Skat nemlig i december 2008 fyre IBM på gråt papir som leverandør efter de første forsinkelser. En tænkepause og et udbud senere overtog CSC opgaven, men her var også forsinkelser.

Den samlede økonomi for EFI-systemet er blevet mørkelagt, men udgifterne har ifølge Politiken rundet 700 millioner kroner. Businesscasen er dog stadig god, siger Skat, fordi gevinsterne er tilsvarende store, når systemet kommer til at virke helt efter hensigten.

Sidste år blev 3F, HK, PET, Walletbit, Ekstra Bladet, BT, KL, Rejseplanen, Nykredit, Nemid, EniroCSIS, Socialdemokraterne, One.com, BIPS, ZOO og mange, mange flere websites ramt af DDoS-angreb.

Nogle af dem var politisk motiverede angreb, som da ZOO i forbindelse med aflivningen af giraffen Marius fik en masse uvenner. Nogle af disse iværksatte et angreb, der lagde virksomhedens site ned i flere timer.

For den lille danske mailtjeneste SMTP kom angrebet helt uventet og uden forvarsel. Konsekvenserne af dette angreb var endnu værre end for ZOO. SMTPs site og tjenester blev lagt ned i flere dage og overbelastningen truede et øjeblik med at tage livet af den lille virksomhed, der lever af at sende eksempelvis nyhedsbreve ud for kunder.

Se et overblik over nyere danske DDoS-angreb i dette nummer af Version2 Insight – Det bør du vide om DDoS-angreb.

Problemerne med DDoS-angreb vokser ifølge sikkerhedsfirmaer og Center for Cybersikkerhed. Ikke mindst fordi en ny type angreb kaldet DRDoS (Distributed Reflection Denial of Service) er kommet til. Her er der tale om et angreb, der kan blive forstærket ved, at den mængde data en angriber sender til en sårbar webtjeneste, kan blive forstærket, flere hundrede gange, når datamængden rammer ofret. Læs hvilke andre nye tendenser, der er inden for DDoS-angreb og, hvor de typisk kommer fra.

Endelig har vi samlet en række tips fra førende eksperter til, hvordan du ruster dig bedre til at stå imod, når datapakkerne kommer væltende.

Download Version2 Insight IT-sikkerhed: Det bør du vide om DDoS-angreb gratis.

Se, hvis man kører med høj hastighed med en giraf på ladet, kan det godt gå hen og blive rigtig grimt..
Lidt det samme, som når man drøner ud ad en tangent uden at tænke sig om, når man skriver software.

Nu har jeg efterhånden været i branchen i 14 år, og i den tid har jeg været inde over en hel del projekter. Her i weekenden endte jeg med at sidde sammen med nogle venner ( også inden for branchen ) og sludrede lidt om de ting, som går igen i projekter ( gode og dårlige ). Titlen stammer faktisk fra den weekend. Hvis nogen har set “Tømmermænd tur-retur”, så ved de hvad, der sker, hvis man kører på motorvejen med en giraf i en trailer. Og efter et par hindbærbrus begyndte vi at filosofere vore respektive karrierer.

Se, hvis man nu skal blive eftertænksom, kan man sammenligne softwareudvikling med at køre i bil. Man kan hjemmefra planlægge ruten i detaljer ( rute, x min kørsel per toiletstop etc. ), men hvis man ikke kan håndtere overraskelser / afvigelser, kan køreturen pludselig gå i stå. Der er måske vejarbejde, omkørsler, eller pludselig har man en giraf på ladet af sin bil. Man kan også planlægge sig ihjel… Agile Development / SCRUM er jo det helt store og kan vel egentlig sammenlignes med kørslen ud fra, at man har en idé om hvor, man skal hen og tager turen i små bidder og tager højde for diverse forhindringer.

Nu er der jo også lidt andre ting at tage højde for, når nu man planlægger udvikling. Vi skulle opstarte udviklingen af et stykke hardware, og vi skulle finde ud af, om vi skulle bruge Windows Emb. eller Linux som OS. Fordelene ved Linux ( OpenSource, licensfri, customizable i hoved og mås etc. ) kontra fordelene ved Windows Emb. ( erfaring med udvikling, forankret i virksomheden, større firma bag etc. ) og ulemperne ved Linux ( “farligt”, “ukendt”, fordomme, learning curve ) og ulemperne ved Windows ( pris, hardwarekrav etc. ). Vi valgte Windows ( inkl. Windows Builder – så vi kunne customize versionen helt til vore behov ). Der var også udfordringer omkring implementationer af RNDIS og andre ting, men det, der ikke var nogen, som tænkte over, var, at for hver version af Windows ( inkl. opdateringer – 4.1, 4.2 etc. ) skulle have sit eget licensklistermærke, og til sidst var der ikke plads til batteripakken.

Min pointe er, at lige som, når man forsøger at transporterer en giraf på ladet af en bil, og én forsøger at advare om, at en bro er for lav, bør man også lytte efter, når folk kommer med “underlige advarsler”, man ikke lige regner med : fx. at softwareopdateringer kan gøre, at der ikke længere er plads til batteriet..
Eller hvis nu, én råber “GIRAF” under landingen med et lille fly :