dizx

Hahaha! Microsoft må kjøre kommando-vindu i forgrunnen for å holde orden på nyeste Office 365. Godt selskapet satser på Linux slik at de i det minste henger litt med på skytjenester, da de har surret det til på skrivebordet.

Jøss, tenk at de klarte å sette opp en scheduled task med et feil parameter.

Har de surret det til på skrivebordet? Det skulle jeg likt å vite mer om. 

 

 

 

Nei, pålogging er pålogging. Det vil si at server A (nettløsningen du logget inn via), redirecter deg til server B med en lenke som inneholder et kryptert brukernavn og timestamp. Server B bruker denne informasjonen, sender en forespørsel til server A for å sjekke om du virkelig er logget inn. 

Hvordan tenker du deg at dette skal foregå når du er pålogget i nettbanken din, denne ber en server hos Nets om en 'signert' url for å åpne opp et dokument i et fakturahotell.

Da er det minst tre 'servere' involvert, og de to stedene 'brukernavnet' finnes er kun hos Nets og i Nettbanken (fødselsnummer er din brukerid).

Mener du seriøst at alle fakturahotell-tjenester skal opprette en fullstendig brukerdatabase med samtlige fødselsnummere ? Hvordan skal de kunne få den informasjonen når faktura-utsteder ikke har lov til å bruke den, men kunn har en egen 'intern' efaktura-id som de sender fakturaen til (det er Nets som 'kobler efakturaid med fødselsnummer)...

 

 

Se denne videoen: 

 

Hva har denne med saken å gjøre ? For å få dette 'sikkert' med bruk av nettbank-url'er, så må det enkelt og greit sørges for at tidsstyringen erstattes eller bygges ut med at signaturen kun kan benyttes en eneste gang...  Man behøver da ikke ikke implementere noe kjempeopplegg med en massiv installasjon av SSO-løsninger som skal implementeres av samtlige fakturahoteller i landet ? I denne saken (og andre saker der det er stor vartiasjon av server-typer som skal ta imot den sikre url'en) vil det definitivt enkleste være å implementere engangsbruk av den sikre URL'en.  Og dersom den feiler eller ikke er 'slått på', så vil BING hente innholdet uansett (mulig at BING tar hensyn til 'nocache'/'noindex' osv i header på selve dokumentet og dermed ikke lagrer det, men den vil uansett hente det ned først)

 

Det er ikke noe kjempeopplegg og pålegge fakturahotellet og sjekke om brukeren faktisk er pålogget i den løsningen man kom fra. Det krever en liten webservice. 

 

Nei, pålogging er pålogging. Det vil si at server A (nettløsningen du logget inn via), redirecter deg til server B med en lenke som inneholder et kryptert brukernavn og timestamp. Server B bruker denne informasjonen, sender en forespørsel til server A for å sjekke om du virkelig er logget inn. 

Hvordan tenker du deg at dette skal foregå når du er pålogget i nettbanken din, denne ber en server hos Nets om en 'signert' url for å åpne opp et dokument i et fakturahotell.

Da er det minst tre 'servere' involvert, og de to stedene 'brukernavnet' finnes er kun hos Nets og i Nettbanken (fødselsnummer er din brukerid).

Mener du seriøst at alle fakturahotell-tjenester skal opprette en fullstendig brukerdatabase med samtlige fødselsnummere ? Hvordan skal de kunne få den informasjonen når faktura-utsteder ikke har lov til å bruke den, men kunn har en egen 'intern' efaktura-id som de sender fakturaen til (det er Nets som 'kobler efakturaid med fødselsnummer)...

 

Se denne videoen: 

 

Oavsett vilken semantik du väljer så handlar autenticering om att du skickar "hemlig" data typiskt över HTTP POST från klienten till en server. Om denna datan kommer via en annan server (A) eller direkt från att brukaren skriver in ett username / passord har ingen betydelse. Bägge fallen är precis lika mycket "security by obscurity" som du kallar det för.

 

En del webapplikationer sände tyvärr denna informationen via URL'en istället (HTTP GET), problemet med det är dels att det hamnar i historikken, och nu att Microsoft tydligen anser dina URL'er vara publik information.

 

Uppseendväckande beteende av Edge som borde haft en stor varseltrekant som informerade brukarna vad de faktiskt accepterar när de tackar ja.

 

Klart det har betydning. I mitt eksempel, så vil Microsoft indexsere URL som man videresender til Server B. Bing sin Robot vil så forsøke og sjekke innholdet på den siden. Da vil ikke det fungere, da roboten ikke er innlogget på server A.

 

Pålogging er fortsatt løsningen.

Og hva, presis, mener du er forskjellen mellom "pålogging" og bruk av post-data til å sende en hemmelig nøkkel? Det blir akkurat det samme. Pålogging er bare sending av brukernavn og passord (den hemmelige nøkkelen) som post-data.

 

 

 

og dersom siden som inneholder den nødvendige POST-dataen for forespørselen er den som indekseres, er man like langt.

I tilfellet med nettbank, som var det jeg svarte på, er man allerede pålogget, så det blir ikke noe problem.

 

Nei, pålogging er pålogging. Det vil si at server A (nettløsningen du logget inn via), redirecter deg til server B med en lenke som inneholder et kryptert brukernavn og timestamp. Server B bruker denne informasjonen, sender en forespørsel til server A for å sjekke om du virkelig er logget inn. 

Evry gjer ikkje anna enn å gje brukarane den tenesta dei ber om. Det er brukarane som gjev Bing lov til å indeksere sidene. Evry kan ikkje hindre det, og har ingen rett til å hindre det, so lenge brukarane har overdrege retten til bruk av materialet til Microsoft.

 

Herved er du "komiske Ali".. haha s*** ass. 

Tror du bør lese hva NSM selv skriver, så KANSKJE du skjønner hvordan dette henger sammen. 

https://nsm.stat.no/aktuelt/sokbare-persondata-i-sokemotorer/

 

Hvis det er det andre, at edge sender url'en som brukeren besøker til bing for indeksering, så skal vel ikke det ha noe å si sålenge det kreves autentisering for å få se innholdet.

Hvordan tror du at f.eks en url til en efaktura fra nettbanken din fungerer ?

Jo, den fungerer slik at når du trykker på lenken i nettbanken, så maskingenereres det opp en 'sikker' url som du videresendes til, der del av denne maskingenererte url'en er påloggingsinformasjon for å få sett fakturaen din. Det betyr at det eneste som trengs for å se fakturaen er den url'en som dukker opp i browseren, og som da Edge ser at du har 'besøkt'. Edge sender denne url'en til BING, og dersom crawleren er litt 'hissig', vil den fint klare å hente ut din faktura før den maskingenererte URL'en ikke lenger virker (det er tidsstyrt). Slik har eFaktura hos NETS fungert i mange år, og det er mange andre som benytter tilsvarende løsning som en 'simpel' SSO-løsning der du sendes videre mellom nettsteder etter å ha logget deg på ett sted (f.eks i nettbanken). Det at Edge/BING nå har endret spillereglene for hva de faktisk indekserer og laster ned/tilgjengeliggjør er vesentlig. Slikt innhold har aldri vært besøkt mer enn en gang (maskingenerert url, ny for hver gang du åpner efakturaen), så at Bing nå plutselig synes det er en 'verdifull' side å indeksere/presentere i et søkeresultat er jo ganske spesielt... Før måtte man faktisk ha en del treff på en url før en søkemotor var interresert i å laste ned og presentere den i sine søkeresultater...

 

Men uansett endrer dette 'gamet' for mange, og så lenge M$ ikke forteller detaljer om hva de faktisk gjør, er det ikke så lett for de som skal presentere sikret innhold for legitime brukere (eksempelvis deg, etter du har logget inn i nettbanken).

 

Dette er ikke unikt for Bing. 

http://lmgtfy.com/?q=site%3Anif.no+GetAttachment+faktura

Poenget er nok at disse lenkene fungerte i all evighet (før noen tenkte på det). Dette er bare amatørmessig.

Om man sender et token til en server, bør det inneholde et timestamp, så krypteres dette sammen med token. Mange måter å løse dette på. De kunne jo feks benyttet https://identityserver.io/

Sjekk ut denne videoen: 

 

 

Nei. Det er absolutt ikkje Evry sin feil. Evry kan ikkje hindre brukarar i å laste ned desse sidene og dele dei med Microsoft, som Microsoft-brukarar godtek når dei skriv frå seg personvernet.

 

Passord er heller ikkje mykje hjelp i, sidan Microsoft samlar inn både brukarnamn og passord, og kan bruke det på same måte som dei brukar innhaldet i annan kommunikasjon. Om dei gjer det veit eg ikkje, men brukarar av Microsoft-produkt har eksplisitt godteke at Microsoft gjer det. Difor kan heller ikkje Microsoft klandrast, berre brukarane,

Kan ikke Evry hindre en søkemotor å indeksere innhold? Akkurat. Sett deg tilbake på skolebenken og lær deg litt om elementær sikkerhet på Internett. Håper for all del du ikke er utvikler.

 

Rett på personåtak att, for å dekkje over din eigen inkompetanse og manglande leseforståing, ser eg. Eg har vore på internett sidan 1993, og ikkje mista so mykje som ein byte data ved eit uhell. Heldigvis, for eg sjonglerer bitcoin for fleire millionar kroner kvar dag, og utviklar programvare for det. Dersom eg hadde vore dum nok til å fråseie meg retten til alle mine data til Microsoft, slik som "offera" her har gjort, hadde eg vore ein fattig mann i dag.

 

Kan du forklare korleis Evry kan hindre brukaren å sende data han har lasta ned vidare til Microsoft? Eg kan ikkje hindre nokon i å sende data dei har lasta ned frå meg vidare til andre. Det er heller ikkje mi oppgåve. Dersom dei ynskjer det, skal ikkje eg nekte dei. Hugs at desse brukarane har gjeve sitt eksplisitte samtykkje til å dele all kommunikasjonen sin med Microsoft.

 

LOL. Hvem skal jeg angripe, om ikke personen, som lirer av seg dette paranoide våset. Du tror tydeligvis at Microsoft tar en kopi av hele nettsiden de ser på skjermen din, sender det avgårde og indekserer innholdet. Tror ikke internett er rette stedet for deg.

Forresten, moren min har også vært på internett siden 1993. Hun skjønner, om mulig, enda mindre enn deg.

Det finnes flere i denne tråden som skjønner hva som har skjedd, og hvordan dette foregår. Dette er amatørmessig fra Evry. Hverken mer eller mindre.

 

Dette veit du tydelegvis ingenting om, og eg skal la vere å gå i detaljar.

 

....

 

Det er ikkje ei mogeleg oppgåve. Når brukarar eksplisitt ynskjer å dele desse dataane, kan ikkje Evry hindre det utan å gjere ting meiningslaust vanskeleg for brukarane.

Det er trivielt for Evry å beskytte dette innholdet, det er faktisk så enkelt at det er fullstendig skivebom at de har latt det ligge helt åpent.

 

Brukeren ville ikke en gang merket noen forskjell, det eneste Evry hadde trengt å gjøre var å passe på at innholdet kun var tilgjengelig for autoriserte brukere, ikke for søkemotorer.

 

Det er ikke Microsoft, eller andre søkemotorer sitt problem at tjenesteleverandøren lar innhold ligge helt åpent, slik at det kan både indekseres og vises for Gud og hvermann. Det er ei heller nettleseren som har problemet, selv om den sender inn alle lenker som besøkes for indeksering, ettersom søkemotoren umiddelbart burde truffet en 403 Forbidden, ikke det faktisk innholdet.

 

Har man det minste snev av innsikt i hvordan dette fungerer, så fremstår det åpenbart at Evry har gått på en smell ved å ikke implementere noen form for sikkerhet rundt innhold som aldri burde vært åpent tilgjengelig til å begynne med.

 

Og for ordens skyld, så vet jeg hva jeg snakker om !

 

HØR HØR! Endelig en som skjønner litt!

Kan ikke Evry hindre en søkemotor å indeksere innhold? Akkurat. Sett deg tilbake på skolebenken og lær deg litt om elementær sikkerhet på Internett. Håper for all del du ikke er utvikler. 

 

Med en enkel «site:»-kommando dukket det opp 25 400 søkeresultater på et fakturahotell som tilhører den norske IT-giganten i søkemotoren Bing

 

 

Kanskje dere bør gjøre en oppfølgingssak eller flere. Bing er ikke de eneste som kan gjøre site:-søk på norske organisasjoner, og Sparebank1 er ikke de eneste som bør se over hva som er tilgjengelig over nett. 

 

For eksempel tror jeg man finner mer enn man bør på google-søket site:nif.no GetAttachment faktura

 

Nettopp. Enda en amatørmessig løsning. Eller er det Google sin skyld??

Fatter ikke at i 2017 at det finnes så mange imbesille utviklere. Og er det ingen som tester sikkerheten i løsningene? Helt utrolig. Det finnes nok sikkerhetseksperter man leier inn for en dag for å teste ut løsningene.

All sikkerhet rundt nettsider bryter sammen hvis vi ikke kan stole på nettleserne. I teorien så kan de sende alt av innhold, og alt som er skrevet inn videre til hvor det måtte passe. Hvis du kan se en nettside kan nettleseren det også. Vi er avhengig av at de som lager nettlesere oppfører seg etisk.

 

I dette tilfellet så har ikke nettsidene blitt beskyttet med en autentisert sesjonsid i en cookie, men det har blitt laget en hemmelig URL for hver enkelt faktura. Derfor har nettleseren Edge sendt dette til Bing, da den nettsiden ikke krever noen sesjons cookie. Edge kan fint sende nettsiden som krever en sesjons cookie videre også, men det gjør de nok ikke. Hemmelige URL'er er OK for tidsbegrensede ressurser med middels krav til sikkerhet.

 

MS tolker ting veldig til sin egen fordel når de sier at det er greit å legge til nettsider som 'robots.txt' filen sier at de ikke skal hente inn i Bing sin indeks. Det er greit å sende nettsiden til Bing hvis du åpner den i Edge, selv om de ikke kan få en robot til å hente siden.

 

Her sitter MS igjen med skylda, vi kan ikke stole på hva nettleseren Edge gjør. Vil heller ikke stole på Chrome da Google også har en interesse av å suge til deg data. Firefox er nok det beste alternativet, selv om Mozilla ikke er perfekte har de ikke den samme interessen i å suge til seg data.

Dette er da kun Evry sin feil, som har laget en løsning uten noen form autentisering. Dette er så amatørmessig at det er helt utrolig. 

Dette er utelukkende Evry sin feil. Det er så amatørmessig at jeg ikke kan få sagt det. Når man genererer slike lenker som kan 

 

Har Microsoft gjort deg noe vondt noengang? Eller bare liker du å lire av deg vås?

Dersom du meiner noko av det eg skreiv er vås, kan du gjerne fortelle kva du meiner er vås, i staden for å gå direkte til personåtak. Jobbar du i Microsoft?

 

Jobber absolutt ikke i Microsoft. Les igjennom dette

https://privacy.microsoft.com/en-us/privacystatement

https://www.google.com/policies/privacy/

 

Den store forskjellen er jo nettopp at en session utløper, og at den ikke umiddelbart kan hijackes av andre, slik som en robot fra en søkemotor, det er jo hele poenget, å sikre at brukeren er innlogget uten å be om innloggingsdetaljer for hver sidelasting. 

 

Hadde man brukt session, enten nøkkelen er lagret i cookies, url, localstorage eller andre steder, så hadde man ikke hatt dette problemet.

Berre delvis. Haugevis av nettstadar har veldig lang levetid for sesjonsnøkkelen, og Microsoft samlar inn den òg. Til og med brukarnamn og passord, so dei kan alltids la roboten logge inn som deg (men det kan vere i strid med vilkåra for nettstaden).

 

Du kan la vere å akseptere å akseptere desse vilkåra, og la vere å bruke Microsoft-produkt, men so lenge du brukar Microsoft-produkt er det viktig å vere klår over at du har fråsagt deg all rett til personvern.

 

Har Microsoft gjort deg noe vondt noengang? Eller bare liker du å lire av deg vås?

 

Hvis det derimot ikke kreves autentisering for å se innholdet, men man baserer seg på at url'en er maskingenerert, og derfor "vanskelig" å lese (for mennesker) så har man basert seg på "security-by-obscurity" og det er en nesten like stor skandale.

Jeg er ikke enig. Det er ikke noen fundamental forskjell på å ha sikkerhet ved å ha session id i urlen og å ha session id i en cookie. Det er like enkelt/vanskelig å bryte seg inn rent regnemessig sett, så lenge session id er like lang. Forskjellen er bare at det er enklere å gi bort en url med session id i ved et uhell.

 

Videre, en maskingenerert url er ikke lettere å finne enn en url med session id, forutsatt samme lengde. Dette skal dermed være like sikkert som en "vanlig" innlogging.

 

En forskjell er at session id ofte er satt til å utløpe innen rimelig tid.

 

Tøv.. Du aner tydeligvis ikke hva en session er.. Session er over så fort man lukker nettleseren, og som regel maks 20 min.

Bru bru bru. Denne tunnelen er altfor bratt og dyp.

klarer VS å slenge opp parenteser automatisk på metoder nå????

 

Siden VS 2012 tror jeg? Bruker for det meste ReSharper uansett.

Eneste plassen jeg noensinne har sett en sjekk var når jeg bodde i USA (lenge siden). Jeg kunne nesten ikke tro det.

 

Vet ikke hvorfor de brukte sjekk egentlig, for jeg hadde også bankkort fra samme bank, noe som virket som en normal praksis i bankene.

 

Jeg betalte faktisk med sjekk ved et par anledninger. Det føltes både sært, merkelig og samtidig litt stilig.

 

Jeg bor i Asia, og her er sjekker fremdeles veldig vanlig. Spesielt store beløp. Feks når man kjøper en bil etc. Da er det faktisk kjekt med såkalte "cashier cheks".

Blir bra med valg til høsten

Hvem er det som satt i regjering i forrige runde (datalagringsdirektivet)?

 

Merkelig.. bare Russland og Kina som driver med lyssky aktiviteter på nettet, aldri USA, England eller Frankrike! Skulle nesten tro at det var en agenda bak disse uttalelsene. Etter hva jeg har fått med meg så er verstingen i klassen jf Snowden lekkasjene.

 

Men det er liksom bare helt greit det altså..

 

NSA trenger vel ikke bryte seg inn hos allierte, ellers har de kanskje avtaler som gir de informasjonen de trenger uansett.

De ble da avslørt i avlytte Tyskerne..

Ser ut som noen av variantene er buet, men virker som denne merkelig trenden med buede TVer er i ferd med å bli mer uvanlig allikevel?

 

AtW

 

Jeg fatter ikke konseptet med buer. Har man en eller annen lyskilde i bakgrunnen, så blir den reflektert som en lang strek utover skjermen. Det er utrolig irriterende. Jeg vil ha flat!

Men kan man få den som flat (no curve)?

Microsoft har brukt malware-teknikker for å lure folk til å oppgradere. Selv når man sier nei gjentatte ganger prøver de seg gang på gang. Følger man ikke ekstremt godt med så infiseres maskinen med Windows 10.

 

 

Å finne den rette balansen for å få flest brukere over på den nye plattformen har ikke vært lett, sier markedsdirektør Chris Copossela i Microsoft.

Svada fra ende til annen. Balansen er enkel: Hvis brukeren sier nei, så mener han nei. Å fortsette å prøve å lure og manipulere etter et klart nei er forkastelig og intet annet enn ondsinnet.

 

Windows 10 burde vel egentlig vært blokkert av antivirus-programmer som malware.

Ja, det er trist at Microsoft gir bort ny versjon av OS'et. Når det gjelder Android er det omvendt. Da maser brukerne om at de ikke får siste versjon. Klager på Google, Samsung osv at de ikke får oppgradert.

 

Vi hadde ikke hatt penga!

 

Å være blandt de 30 er vel ikke dårlig?

 

Da hadde det vært andre råvarer som hadde kunne ha gitt førsteplassen.

"Å være blandt de 30 er vel ikke dårlig?"

Nå er det vel du som antyder at det er dårlig, ved å kommentere kommentaren min. Jeg sa aldri Norge skulle forbli nummer 1 uten olje, men at det er en stor, og enda viktigere veldig hypotetisk sansynlighet, for at vi fortsatt ville ligge høyt.

 

"Vi hadde ikke hatt penga!"

Fullstendig nonsence kommentar. Det er fullt mulig å finansiere projekter uten oljepenger. Noe oljeeventyret er et bevis på. Vi hadde ikke oljepenger før vi startet. Og ikke minst... hvordan vet du at vi ikke hadde hatt penger?

 

Uansett er olje en blindvei, som vi bør ut av før vi ikke finner veien ut igjen. Kunnskap har vært viktigste vare i 50 år, de neste 500 årene kommer den til å bli enda viktigere. Skole og forskning bør bli Norges nye prioritet en.

 

Det er veldig bra å forske, men vi må slutte å utdanne sosiologer. Vi må utdanne folk som kan noe, og forsker på noe viktig. Vi trenger ikke flere forståsegpåere, som forsker på kjønnsroller og fargen rosa.

Denne mannen sitter med hovednøkkelen til langvarig flertallsregjeringsmakt i Norge, og jeg vil gjerne forsøke å begrunne min påstand nærmere.

 

Jeg vil ta utgangspunkt i at det for tiden blåser en kraftig politisk nasjonal vind over verdenshavene som vil kreve et større politisk rom i hele den vestlige verden; hvor Brexit og det republikanske partiets valgseier i USA er viktige indikatorer.

 

I Norge skjer det i kjølvannet av dette interessante politiske bevegelser som er verdt å merke seg. Fremskrittspartiet sier klart NEI til EU, og programkomitéen argumenterer for å reforhandle både EØS-avtalen og Schengenavtalen. Senterpartiet kan allerede forut for valget i 2017 få et parti til høyre for seg i norsk politikk, som i større grad vil imøtekomme deres syn på norsk europapolitikk.

 

Venstre er samtidig i ferd med å utspille sin politiske rolle og trues av sperregrensen, i likhet med SV og MDG. Kanskje mye av nedgangen skyldes nettopp en klimapolitikk, som har mistet mye av sin edruelighet, og tar uforholdsmessig stor plass i det politiske rom. Svekkelsen av de ovennevnte partier åpner nå et maktvakuum i norsk politikk, som Senterpartiet står i en enstående strategisk posisjon til å fylle. Ola Borten Moes senterparti...!

 

En nyorientering vil sette Senterpartiet i posisjon til å bli den ledende premissleverandøren for hvorledes videreføringen av "Det grønne skiftet" skal defineres.

 

Ved å ta noen knepp mot høyre, vekk fra sitt nåværende sosialistiske ståsted, inn mot sentrum, så vil Senterpartiet også kunne danne regjering sammen med H og FrP. Det vil være en sterk maktposisjon for Senterpartiet, og det vil kunne meisle en politisk flertallsregjeringskonstellasjon som kan ha et potensiale til å bli sittende lenge.

 

Ola Borten Moe er oppvokst med dype tradisjoner av staurbæring, og jeg vil på ingen måte påstå at dette scenariet kan skapes med det første, uten å måtte bære staur over tuete jorder. Nettopp Jordbrukspolitikken fremstår som det minst bearbeidede arealet, men et tuete jorde kan også med tiden til hjelp omgjøres til god åker.

 

Over åkrene i Europa blåser det sterkt! Ikke minst har vi en flyktning- og migrasjonskrise som er vedvarende, og som både stiller oss overfor humanitære og forsvars- og sikkerhetspolitiske utfordringer. Jeg tror at Senterpartiet vil kunne bidra konstruktivt for å styrke Norges grenser, og styrke vårt generelle forsvars- og sikkerhetsnivå sammen med norsk høyreside. Alle land i Europa må demme opp for den fremvekst vi ser av politisk islam innenfor de vestlige land. Jeg har troen på at Senterpartiet vil kunne bidra til å hegne om våre vestlige frihetsidealer og vår nasjonale kultur langt bedre i en ny samarbeidskoalisjon.

 

Et skue ut i Europa tilsier at vi bør se i de store linjene, på hva som kan forene. Jeg tror Ola Borten Moe er den mann i Norge, som sitter nærmest den politiske posisjonen som kan forene, idet mørke skyer kan skues i Europas horisont, også fra Norges perifere kyst!

Støtter dette 100%. Jeg skjønner ikke hvorfor de har lagt om strategien for lenge siden. Programmet til SP er vel mye nærmere Frp kontra SV.