Vil du være med i kampen om Danmarks fineste teknologipris, der hædrer teknologiske produkter med en afgørende nyhedsværdi og/eller bygger på markant teknologiske kunnen?

Så meld jeres kandidat til dysten om Ingeniørens produktpris 2014.

Læs vejledningen her.

Prisen har Ingeniøren uddelt i 15 år.

Deadline for indsendelse er onsdag den 8. oktober 2014. Hovedvinderen offentliggøres i Ingeniøren fredag d. 28. november 2014.

Vi uddeler fem kategorivindere og én hovedpris – Ingeniørens Produktpris 2014.

De fem kategorier er:

• Bæredygtighedsprisen (grønt produkt)

• Velfærdsprisen (hjælper mennesker)

• Globalprisen (eksportpotentiale/arbejdspladser)

• Innovationsprisen (den geniale/overraskende løsning)

• Iværksætterprisen (nyt produkt fra nyt firma)

Læs mere her

Der er brug for flere dygtige it-folk, med tekniske evner, i den amerikanske stat, som i kølvandet på skandalen om Health.gov-hjemmesiden nu opretter en ny enhed, U.S. Digital Service, en slags amerikansk Digitaliseringsstyrelse.

Men det er tilsyneladende ikke helt nemt at lokke de rigtige profiler fra Silicon Valley til et job i statens tjeneste i Washington D.C. Med en ny video sætter Det Hvide Hus i hvert fald gang i en charmeoffensiv, som gør et stort nummer ud af dresscode. Det skriver Wired.

Selvom resten af statsadministrationen klæder sig i mørke jakkesæt og slips, er det ikke et krav, hvis man skal arbejde i den nye organisation, lyder budskabet. Og det er ikke bare fordomme om it-folk med hvide sokker i sandalerne, som har ført til videoens budskab.

Lederen af U.S. Digital Service, Mickey Dickerson, forklarer i videoen, hvordan spørgsmål om dresscode faktisk er det, han får mest fra sine it-venner, for eksempel hans tidligere kolleger hos Google. Og selvom han ikke dukker op på de bonede gulve i en t-shirt, kan han godt slippe af sted med en krøllet skjorte, så længe det er noget med knapper og krave, forklarer han.

Han ser også spørgsmålene om dresscode som en måde for vennerne – og potentielle ansøgere til jobs i det nye center – at vejre arbejdsmiljøet på, fordi statsadministrationen er kendt for at være et meget formelt sted.

Mickey Dickerson blev hentet ind for at redde stumperne, da skandalen om Healthcare.gov-hjemmesiden rullede i USA. Den mission lykkedes, og nu er han – med præsident Obamas ord – sat i sving med på samme måde at forbedre de digitale løsninger på alle andre områder i staten.

[aid:https://www.youtube.com/watch?v=5l-7vmArLJY]

NSA og den britiske modpart GCHQ har i længere tid jagtet fejl i Tor-systemet for at finde frem til, hvem der gemmer sig bag den anonymiserede browser. Men alle usikkerheder bliver lækket til holdet bag Tor, som efterfølgende lapper programmet. Det fortæller Andrew Lewman, der er en af udviklerne bag Tor, i et interview til BBC.

Tor-projektet har stillet en service til rådighed, hvor man anonymt kan tippe holdet om eventuelle sikkerhedshuller. Og det er denne funktion, som Andrew Lewman påstår, efterretningstjenesterne har gjort brug af.

»Der er mange mennesker i begge organisationer, som kan lække data anonymt til os for at sige: ’måske skulle I se på det her for at fikse det her.’ Og det har de gjort,« siger Andrew Lewman til BBC.

Tor-udvikleren vurderer, at projektet får anonyme tip fra efterretningsfolk en gang om måneden. Men netop fordi tip-tjenesten er anonym, kan han ikke dokumentere, at beskederne kommer fra sikkerhedstjenester.

»Man må overveje hvilken type personer, der er i stand til at gøre det her. Hvem der har ekspertisen og tiden til at læse Tor-kildekode fra bunden i timer, uger og måneder og finde og belyse de her super subtile bugs eller andre ting, som de sandsynligvis ikke får at se i det meste kommercielle software,« siger Andrew Lewman.

Ifølge det britiske medie, forsøger GCHQ at bryde igennem Tor-systemet, fordi anonymiteten kan bruges til at begå grov kriminalitet som for eksempel at sprede børneporno. Tor-browseren, der skjuler brugerens identitet på nettet, er ifølge Andrew Lewman blevet downloadet 150 millioner gange indenfor det sidste års tid.

Følgetonen fortsætter:

Første afsnit var om gammel historie.

Andet afsnit om CPRs historie.

Tredje afsnit om Digtal Signatur.

Nu er vi nået til NemID som vi kender den idag og hvorfor den endte som den gjorde.

Lad os tage det gode først:

Man indså at der skulle en eller anden tofaktor authentikator til og lavede det berømte papkort.

Papkortet deler vandene men jeg har endnu ikke mødt nogen der ikke synes det var den rigtige løsning til bedsteforældre og andre IT-analfabeter.

Papkortet er til at forstå, til at forklare, relativt billigt i drift og derfor meget, meget sikkert.

Den absolut største sikkerhedstrussel er nemlig altid at brugerne ikke forstår sikkerhedsdesignet og derfor tager forkerte valg som åbner ladeporte.

Hat-tip for papkortet, men æres den som æres bør: Mig bekendt var Jyske Bank de første med den løsning til “almindelige mennesker” i Danmark.

Men der er også en masse dårlige valg i den nuværende NemID.

F.eks at papkortet er eneste løsning. Det er f.eks ikke ret smart til blinde, forskere på indlandsisen og mange andre små men ikke derfor ligegyldige befolkningsgrupper.

Efter lang tid kom der et alternativ, en “nøgleviser” man kunne betale for i dyre domme, primært sigtet imod erhvervsanvendelse hvor man kunne løbe igennem et nøglekort på få dage, men den var dyr, dårlig og alt, alt for sent ude.

Valget af Java for at lave en obfuskeret formular i browsere gik præcis som kloge folk i branchen forudsage: Et helvede af kompabilitets og vedligeholdelsesproblemer.

Den største fejl var imidlertid at man udliciterede opgaven til en privat virksomhed, frem for at køre den som en intern statslig service.

Et EU-udbud gør alting dyrere, mindre flexibelt og mindre sikkert: Hver gang der er den mindste sten på vejen ender det i forhandlinger om kontraktens ordlyd og mening, frem for den bedste løsning af problemet.

Nets/NemID har til overflod bevist alle tre dele igen og igen.

Som konsekvense af at EU-udbudet og privatiseringen gjorde det hele dyrere måtte man gå på kompromis: Single-point-of-failure, brugerbetaling for “avanceret brug” osv. osv. osv.

Single-point-of-failure valget er klart det mest katastrofale og det var meget tæt på at være fatalt for NemID da Java begyndte at falde fra hinanden.

I hele verden lød advarslen “Bare afinstaller Java!” men ikke i Danmark, endelig ikke i Danmark, for vi havde, trods advarslerne, puttet alle vores æg i den kurv.

At en javascript løsning skulle tage måneder og millioner kan kun have sin basis i kontrakturelle idiotier, det blev gjort på uger af en udenforstående.

Brugerbetalingen var også katastrofalt, for det holdt alle iværksættere og IT-nørder udenfor. Danskere er allergiske overfor alt hvad der hedder forbrugsbetaling, Internet forbruget i Danmark blev f.eks næsten fordoblet da Cybercity i sin tid introducerede “flat-rate”.

At holde nørderne udenfor, i det hele taget at gøre alt hvad man kunne for at stryge dem imod hårene, gav en frygtelig masse larm ved introduktionen og i stedet for at anbefale den forbedrede to-faktor sikkerhed advarede mange IT-folk imod NemID pga. af lukketheden, hemmelighede og usikkerheden.

Helt ærlig: Hvor meget anderledes havde holdningen ikke været hvis NemID kunne bruges sammen med PGP ?

For papkort brugerene er der ingen vej udenom at lagre certifikaterne centralt, men at tvinge alle til at gøre det på en måde der stank langt væk af overvågningssamfund var ikke noget smart træk rent salgsmæssigt.

Tvangsrudrullningen via bankerne kan man diskutere visdommen i: Det er altid bedre at lave noget godt nok til at folk selv beder om det, end at presse det ned i halsen på dem med magt.

Her kommer hele projektmodellen ind i billedet: Når man kun laver en løsning for få år ad gangen skal der naturligvis bruges tvang for at kunne nå at kalde det en success. Hvis man i stedet havde valgt at lave en “evighedsløsning” og drevet den selv, kunne man lade indfasningen ske mere naturligt og få rettet børnsygdommene inden der er for mange brugere på.

Datamodellen er heller ikke smart: For hver rolle man spiller skal man have en forskellig NemID konto. Blandt professionelle bestyrelsesmedlemmer er der folk der snart kan spille mausel med papkort og selv mit enmandsfirma har resulteret i at jeg har modtaget fem papkort, et af hvilke jeg aldrig rigtig har fundet ud af hvad jeg egentlig skal bruge til.

Og sidst men ikke mindst, en detalje jeg ikke havde hørt før: Varemærket “NemID” ejes 50/50 af Digitaliseringsstyrelsen og Nets. Hvordan nogen overhovedet kan gøre noget så tåbeligt når man ved at der er en migrering om ganske få år er hindsides min fatteevne. Lur mig om det ikke kommer til at koste en mindre formue at få lov til at kalde efterløseren “NemID” hvis Nets ikke vinder kontrakten. (Guderne forbyde at dét sker.)

Rigtig mange af disse dumheder var allerede blevet afsløret under Digital Signatur forløbet, men fortsat med stor entusiasme under NemID, med helt forudsigelige resultater.

Et meget stort problem her er at det tilsyneladende er en naturlov at staten ikke kan lave IT-drift om så deres liv afhang af det. Indtil mødet hos V2 havde Digitaliseringsstyrelsen tilsyneladende end ikke overvejet muligheden for bare at lave NEMID2 selv og slippe for EU-udbudshelvedet.

Det er gået helt hen over hovedet på de fleste at den primære grund til at de åbne grunddata blev en kanon-success for geodatastyrelsen, er at de har en ualmindelig kompetent IT afdeling der er kendt i den store verden for den Open Source software de står bag.

Hvor meget det end kunne være gjort bedre, skal det retfærdigvis slås fast at NemID var en god og rettidig forbedring af sikkerheden for danske borgere.

Net-bank-fusk er f.eks reduceret til næsten udelukkende at være et spørgsmål om efterkommere der “tager forskud på arven” og startskudet til skilsmissesager.

Men det kunne være gjort så meget bedre og billigere.

Det må og skal være målet for NEMID2 og jeg er glad for at de fire fra Digitaliseringsstyrelsen virkede som om de havde samme mål.

Men de arbejder under et politisk system og en lovgivning som kan kræve at borgerne og særligt vælgerne giver dem en hjælpende hånd (eller kryds) hvis det skal blive realiteter.

Specielt skal vi ud over “alt skal udliciteres til private virksomheder” idiotien.

fortsættes…

phk

Den indiske stat Karnataka har givet sig selv et ekstra voldsomt værktøj til at bekæmpe web-pirater. En ny lov tillader nemlig staten at lave præventive anholdelser af personer, som overvejer at bryde copyright-love eller at begå andre forbrydelser på nettet. Det skriver Medianama.

Indbyggerne kan altså effektivt blive arresteret for at overveje at sende en copyrightbeskyttet e-bog til en ven, som mediet formulerer det. Karnatakas politi har desuden udstedt en advarsel om, at det under samme lov er strafbart at uploade, dele og ’like’ materiale, der kan virke stødende på religiøse grupper.

Loven fratager samtidig borgerens ret til at blive stillet for en dommer inden for 24 timer. Den tidsfrist er nu blevet udvidet til 90 dage. Loven var først og fremmest ment som et middel mod blandt andre menneskesmuglere, men gælder i sin endelige form altså også alle former for it-kriminalitet.

Windows Store er rodet til med apps, der lokker kunder til at betale for software, som i forvejen er gratis. Nu vil Microsoft oppe sin indsats mod fup-programmerne, skriver The Register.

I en meddelelse skriver Microsoft, at de vil forbedre muligheden for at fjerne de problematiske apps, og gøre det nemmere for brugerne at finde det program, de egentlig leder efter.

Blandt de apps, som fylder op på hylderne i Windows Store, er for eksempel en iTunes-app til 50.- kr., der skal hjælpe med at bruge og downloade iTunes. En søgning på VLC finder også en række betalings-apps, der poserer som den populære – og gratis – medieafspiller.

Tech-magasinet Howtogeek skyder skylden for den rodede app-butik på Microsoft selv. I marts 2013 kørte virksomheden nemlig en kampagne, der gav omkring 550.- kr til udviklere, for hver app de lagde op i Windows Store.

Et smart plugin til at lege amerikaner på Netflix eller spærre for scripts er nemt og hurtigt at føje til browseren. Men ligesom man ikke ukritisk skal installere software på sin computer, skal man også være forsigtig med sine browser-udvidelser. Det skriver Infoworld, ud fra en ny undersøgelse fra University of California.

En gruppe forskere har testet 48.000 forskellige plugins til Chrome, ved hjælp af et værktøj, som nøje overvågede, om et plugin fik browseren til at gøre ting i det skjulte, måske med onde hensigter.

4.712 plugins, altså næsten hver tiende, fik stemplet ’mistænkelig’, for eksempel ved i det skjulte at snyde med annonce-klik. Og 130 af de undersøgte plugins var direkte skadelige.

Mange plugins har brug for en række tilladelser til at udføre deres funktion, for eksempel at kunne ændre på hvad brugeren ser i sin browser. Men de færreste er opmærksomme på, hvad de giver tilladelse til, når de henter en udvidelse, lyder det fra forskerne.

Undervejs i undersøgelsen blev Google involveret, og selvom firmaet på forhånd tjekker udvidelserne, før de kommer på hylderne i Chromes butik, sniger mange luskede plugins sig altså igennem sikkerhedskontrollen. Google vil derfor nu stramme op på sikkerheden, i første omgang ved at gøre det sværere at installere plugins uden om Chrome-butikken.

Blandt eksemplerne på mistænkelige plugins var et, målrettet kinesiske brugere, som løbende rapporterede til en ekstern server om brugernes webhistorik. Listen over besøgte websites blev sendt til serveren ukrypteret, så selv om man eventuelt stoler på tjenesten og er indforstået med indsamlingen af data, betyder den manglende kryptering at mange andre vil kunne indsamle disse informationer også.

Omvendt var der ikke mange af de undersøgte plugins, som pegede i retning af typiske hackermål, for eksempel netbanker eller keyloggere, som kan opsnappe dine passwords.

Jeg undskylder på forhånd for den gamle vittighed, som jeg hørte fortalt igen for nylig. Denne gang var der ét eller andet, som did not compute. Og heldigvis bliver vittigheden meget mere interessant, når vi begynder at se på, hvor dårlig den i virkeligheden er:

En programmør bliver bedt af sin kone om at gå ned i supermarkedet og købe 2 liter mælk. På vej ud af døren råber hun: “Hvis de har æg, så køb 12!”

Da han vender tilbage, har han favnen fuld af de 12 liter mælk, han har købt. Da konen spørger, hvorfor han har købt al den mælk, svarer han: “De havde æg.”

Denne vittighed har cirkuleret længe, og på overfladen er den jo også meget finurlig, selvom den ikke er en lårklasker. Den har også været på Reddit, hvor brugerne forsøgte at kode sig til en forklaring. Reddit-brugerne overser imidlertid en meget væsentlig detalje, nemlig at ovenstående scenarie aldrig ville have udspillet sig, hvis der var tale om en rigtig programmør.

(Jeg gætter på, at vi ikke skal tre kommentarer ned under dette indlæg, før der er en supernørd, der påpeger noget i stil med, at der findes en obskur variant af LISP, som ville fortolke det helt ligesom i vittigheden)

Lad os se på noget kode!

Sådan ser kernen i konens instruks ud. Allerede her kan vi se, at der er noget galt. Vi ved godt nok ikke helt, hvordan KØB-funktionen er implementeret, men det er vanskeligt at forestille sig en implementering, hvor den blot ville acceptere et heltal som argument.

Altså ville programmøren returnere “invalid or missing argument” til sin kone (og nu vil onkelhumor-segmentet udbryde: “Og det skal man aldrig gøre!”).

Umiddelbart ville en overlæsning af funktionen KØB nok ligne noget i stil med:

I så fald ville KØB(12) formentligt blive fortolket som en streng “12″, hvor man med lidt god vilje kunne antage, at funktionen matcher med varenavne i butikken. Hvis det var tilfældet her, ville vi forvente, at programmøren returnerede med varen “12″.

Muligvis kan vi nøjes med at matche strengen med begyndelsen af et varenavn, og så ville programmøren returnere med den første vare, der begyndte med “12″. Det ville næppe være “12 æg”, hvis varerne i butikken er sorteret alfabetisk. Måske snarere “12 Albani Classic Pilsner”.

Lad os se på, hvad der kunne være gået galt i programmørens implementering af instruktionen fra konen. Vi udvider lidt med min kludetæppekode:

Ud fra denne kode er det vanskeligt at se, hvordan programmøren endte med 12 liter mælk. Men han kunne måske være endt med 14 liter, hvis “vare” var en global variabel, og en overlæsset KØB-funktion, der kun modtog et heltal, brugte den globale vare-variabel, som var blevet sat til mælk. Nu er vi ude i noget meget dårlig kode.

Lad os prøve at reverse engineere koden ud fra instrukserne og resultatet:

… er umiddelbart den mest enkle fungerende implementering, jeg kan finde frem til. Men det forudsætter, at vores programmør går lidt videre end instruktionerne fra konen, og dels antager, at “12″ er et antal, og dels sjusker ved at erklære den samme antalsvariabel med en ny værdi, og så begynder det at ligne en vittighed om en programmeringsfejl, og det er ikke noget, man skal spøge med.

Samtidig ændrer vi lidt på kontinuiteten ved faktisk først at forsøge at købe de første to liter mælk, efter vi har vurderet værdien af udsagnet “æg”. Vi kan komme lidt tættere på intentionen i vittigheden ved at bytte rundt og implementere indkøbsturen objektorienteret således:

Eller:

Vi er altså ude i nogle helt specielle forudsætninger for koden bag en supermarkedstur for at opnå det samme resultat, hvor programmøren fortolker kravspecifikationen ud over det udtalte.

Paradokset er derfor, at netop dén type programmør, som vittigheden handler om, aldrig ville begå fejlen, men derimod returnere en fejlmeddelelse til sin kone.

Skarpsindige læsere vil nok fra begyndelsen have indvendt, at hele øvelsen er forgæves. Dét, der i virkeligheden ville være sket var, at programmøren forsvandt i nogle timer, hvorefter han var vendt tomhændet tilbage efter lukketid.

Alt sammen på grund af den allerførste instruks fra konen: