Archive for April 14, 2014

– NSA bør varsle om IT-sårbarheter

NSAs forhold til IT-sårbarheter er igjen kommet i søkelyset etter påstanden om at de oppdaget og utnyttet Heartbleed uten å orientere de ansvarlige for OpenSSL om dette alvorlige sikkerhetshullet, se artikkelen – NSA har utnyttet Heartbleed.

I fjor høst ble det kjent, gjennom dokumenter lekket av Edward Snowden, at NSA kjøper sårbarheter fra hackere. Blant NSAs leverandører av sårbarheter er Vupen Security, som har salg av ukjente sårbarheter som forretningsmodell.

NSA nekter kategorisk for å ha utnyttet Heartbleed, ifølge en e-post gjengitt i flere medier, blant dem britiske BBC. I meldingen heter det at NSA ikke kjent til OpenSSL-sårbarheten før den ble kjent i en rapport fra et IT-sikkerhetsselskap.

Talsperson for nasjonal sikkerhet i Det hvite hus, Caitlin Hayden, presiserte i sin offisielle uttalelse at dersom en føderal myndighet, inklusiv etterretningstjenester, hadde oppdaget denne sårbarheten på egen hånd, ville de ha underrettet de ansvarlige for OpenSSL.

Lørdag publiserte New York Times en gjennomgang av Obama-administrasjonens politikk på dette feltet.

Det forklares at president Barack Obama besluttet i januar i år at NSA bør, som hovedregel, sørge for at sårbarheter tettes framfor å tie med tanke på å utnytte dem til kyberspionasje eller kyberangrep.

Detaljene i beslutningen er ikke kjent. Men kilder i Det hvite hus bekrefter at det ble åpnet for unntak for denne hovedregelen, i tilfeller der det er et «klart behov innen nasjonal sikkerhet eller håndheving av loven».

Så er spørsmålet: Hvor langt går unntaket?

Ifølge Hayden har beslutningen fra januar vært gjennom en tre måneder lang vurderingsprosess. Resultatet av denne prosessen er at det skal legges større vekt på å få tettet en sårbarhet enn å utnytte den. I en presisering om bruken av nulldagssårbarheter heter det at disse bare skal utnyttes i svært begrenset grad. Kyberangrepene mot Irans urananrikningsanlegg utnyttet, som kjent, fire nulldagssårbarheter.

Den samme vurderingsprosessen har, ifølge Hayden, ført til en anbefaling til NSA om at forsøk på å bygge bakdører i kommersielle IT-sikkerhetsprodukter må opphøre.

NSA og USAs kyberkommando (US Cyber Command) har reagert mot de nye retningslinjene, og advart at å si fra seg muligheten til å utnytte ukjente IT-sikkerhetshull er en form for ensidig nedrustning, like lite hensiktsmessig som å avskaffe alle USAs kjernefysiske våpen uten at Russland eller Kina gjør det samme.

Chrome 35 får full støtte for Shadow DOM

Google kom i forrige uke med en betaversjon av Chrome 35. Denne inkluderer en rekke nyheter, men først og fremst ting som er interessante for webutviklere. Det meste av funksjonaliteten som testes i betaversjoner av Chrome gjøres tilgjengelig i den endelige utgaven av som kommer 5-6 uker senere.

Blant de mange nyhetene som nå betatestes, er støtte for flere JavaScript-egenskaper som er en del av ECMAScript 6. Samlet skal disse gjøre det enklere for utviklere å skrive applikasjonslogikk som både skal være kraftigere, mer minneeffektiv og enklere å lese. Dette inkluderer WeakMaps og WeakSets, som utviklere kan bruke til å opprette datastrukturer som på grunn av svake referanser ikke forhindrer «garbage collection».

Object.observe() er en ny metode som lar utviklere legge til en lyttefunksjon som kalles opp hver gang et objekt eller objektets egenskaper endres. Det er mulig å gjøre dette på flere ulike måter allerede i dag, men den nye metoden skal gi betydelig bedre ytelse.

«Touch»
Chrome får nå støtte for CSS-egenskapen touch-action, som allerede støttes av Internet Explorer 11. Den gjør det blant annet mulig å deaktivere støtten for ulik berøringsfunksjonalitet på blokknivå i webinnholdet. På en webside med tre spalter kan man for eksempel velge av siden bare skal kunne rulles opp eller ned dersom brukeren trekker fingeren vertikalt over den venstre spalten.

En annen mulighet man får med touch-action er bedre kontroll over den 300 millisekunder lange forsinkelsen som nettlesere med berøringsstøtte tar i bruk for å kunne skille mellom enkle og doble trykk med fingeren (se videoen nedenfor). Det har vært mulig å deaktivere slike dobbeltrykk med i Chrome ved å oppgi i en metatagg at websiden ikke støtter zooming. Men det påvirker hele siden.

Chrome 35 beta har nå prefiksfri støtte for Web Audio API og Shadow DOM.

Web Audio API er et høynivå JavaScript-programmeringsgrensesnitt for prosessering og syntetisering av lyd i webapplikasjoner.

Shadow DOM gjør det mulig – i alle fall i denne sammenheng – å inkludere eksterne, visuelle elementer i et HTML-dokument uten fare for overlappende bruk av navn eller id-er. En introduksjon til Shadow DOM finnes her.

Google planlegger også å fjerne støtten for en del eldre og lite brukt webfunksjonalitet i både Chrome 35 og 36. Også Blink-baserte Opera vil i stor grad påvirkes av dette. Blant det som nå fjernet, er støtten for NPAPI-baserte plugins i Linux-versjonen av Chrome. Slik støtte vil forsvinne fra alle versjoner av Chrome innen utgangen av året.

Detaljer om alle endringene finnes i dette blogginnlegget.

Android-utgaven av Chrome 35 beta inkluderer en del egne nyheter, inkludert mulighet for å gjenåpne lukkede faner, støtte for fullskjerms video med HTML5-kontroller og undertekster, støtte for enkelte enheter som støtter flere vinduer, i tillegg til en viss støtte for overføring av webvideo til Chromecast.

Microsoft saksøkt for nettleservalg-fiasko

EU var nådeløse da Microsoft brøt avtalen som beordret dem å eksponere Windows-kunder for alternative nettlesere.

I mars i fjor straffet de programvaregiganten med en bot på 4,17 milliarder kroner, tidenes straff for avtalebrudd med EU-kommisjonen.

Microsoft skyldte på et teknisk glipp, da de forklarte hvordan millioner av pc-brukere ikke hadde fått det såkalte nettleservalget, som var del av et forlik.

Saken har bakgrunn i at Opera Software anmeldte Microsoft for ulovlig monopolvirksomhet i 2007, grunnet buntingen av Internet Explorer i Windows.

Nå får rekordboten et rettslig etterspill også i USA, der styret i Microsoft er blitt saksøkt for tabben som endte med å koste dem så dyrt.

Søksmålet ble levert en føderal domstol i Seattle fredag av Microsoft-aksjonær Kim Barovic, melder nyhetsbyrået Reuters.


Microsofts medgründer Bill Gates er blant toppene som blir saksøkt.

Søksmålet er rettet mot styret og ledelsen i programvareselskapet, inkludert medgründer Bill Gates og tidligere konsernsjef Steve Ballmer, som øverste ansvarlige for tabben. Videre hevder saksøkeren at styrets egen etterforskning av skandalen ikke har vært tilstrekkelig.

Anslagsvis 15 millioner europeiske brukere av Windows 7 med servicepakke 1 fikk ikke se valgskjermen i perioden mellom mai 2011 til juli 2012.

Barovic framholder i sitt søksmål at hun har bedt styret i Microsoft å etterforske hvordan denne glippen kunne skje, og krever at ledelsen må holdes til ansvar hvis de ikke har utført pliktene sine.

Microsoft har foruten en kort henvisning til «teknisk feil» aldri offentlig redegjort for årsaken til glippen, som altså påførte dem et tap på drøyt fire milliarder kroner.

Etter at søksmålet ble kjent fredag har styret i selskapet sendt ut en uttalelse der de avviser kravene til Kim Barovic.

– Styret har etter en grundig vurdering kommet fram til at det ikke finnes grunnlag for et slikt søksmål, heter det i uttalelsen Reuters gjengir.

Dropbox lover fortsatt personvern

Valget av tidligere utenriksminister Condoleezza Rice som styremedlem i Dropbox er fortsatt svært kontroversielt blant mange av brukerne. Protestene har blitt så mange og fått så mye oppmerksomhet at Dropbox-sjef Drew Houston har sett seg nødt til å forsvare valget av Rice i et blogginnlegg.

– Det er ingenting viktigere for oss enn å sørge for at tingene dine er trygge og sikre. Det er derfor vi har kjempet for åpenhet og reformering av myndighetenes overvåking, og det er derfor vi har gått høylytt ut med våre prinsipper og verdier, skriver Houston, mens han lenker til eksempler på dette.

Houston skriver videre at Dropbox burde ha vært tydeligere på at selskapet verdier ikke vil endres som følge av at Rice er utnevnt til styremedlem i selskapet.

– Våre forpliktelse angående dine rettigheter og ditt personvern er i sentrum for hver avgjørelse vi tar, og dette vil fortsette, skriver Houston.

– Vi er beæret over at Dr. Rice har sluttet seg til styret. Hun tar med seg en utrolig mengde erfaring og innsikt om de internasjonale markedene og dynamikken som definerer dem. Etter hvert som vi fortsetter å utvide til nye land, har vi behov for denne typen innsikt for å kunne nå nye brukere og å forsvare deres rettigheter. Dr. Rice forstår selskapets holdning til spørsmålene og støtter fullt ut våre forpliktelser til brukerne, skriver Houston.

Forsvarstalen til Houston har fått svært mange kommentarer fra brukere som stadig mener at Rice har vist at hun overhodet ikke bryr seg om personvern. Mange av disse brukerne vil nå flytte sine data over til andre tjenester.

Spørsmålet er hvor mange brukere som må forsvinne før Rice virkelig blir ansett som en belastning for Dropbox i stedet for en berikelse. Saken har en del likheter med det man så i Mozilla for noen uker siden, da Brendan Eich ble utnevnt til toppsjef i selskapet. Eich valgte å gå av som toppsjef i Mozilla etter bare en uke på grunn av protester fra blant annet brukere og ansatte.