Googles e-posttjeneste, Gmail, har flere hundre millioner brukere. Mange av disse har aldri gitt e-postadressen sin til mer enn noen få utvalgte. Det å få tak i samtlige på en enkel måte ville være som en drøm for enhver spammer, men også for andre med ønsker å gjøre mer skade.

Oren Hafif, som kaller seg selv for sikkerhetsentusiast, avslørte i går at han har funnet en metode som gjorde det mulig for ham å lage en liste over alle e-postadressene i Googles e-posttjeneste. Dette inkluderer ikke bare gmail.com-adresser, men også adresse med domenenavnet til bedriftskunder av Google. Dette skriver Wired.

I Gmail er det mulig for en bruker å gi andre Gmail-brukere tilgang til til brukerens e-post via innstillinger på denne siden. Når man aktiverer dette, sendes det en e-post til den andre brukeren. E-posten inneholder blant annet to lenker som mottakeren kan klikke på for enten godta eller avvise muligheten om å få tilgang til den aktuelle kontoen.

Det er URL-en som benyttes for å avvise forespørselen som Hafif fant interesse for. Når man klikker på denne, kommer man til en side som bekrefter at man har avvist forespørselen. På denne siden er e-postadressen til den aktuelle kontoen oppgitt. Men e-postadressen er ikke en del av URL-en, som kan se omtrent slik ut:

https://mail.google.com/mail/mdd-f560c0c4e1-oren.hafif%40gmail.com-bbD8J0t6P6JNOUO36vY6S_pZJy4

E-postadressen som faktisk er oppgitt i URL-en, er i utgangspunktet adressen til den som har blitt innvilget tilgang. I dette tilfelle Gmail-adressen til Hafif.

Det Hafif fant ut var at det var mulig å få responssiden for avviste forespørsler til å vise andre Gmail-adresser dersom han endret den ti tegn lange heksadesimalkoden i URL-en over.

Ved å bruke et egnet verktøy kunne Hafif raskt sende forespørsler til adresser med alle mulige kombinasjoner av heksadesimalkoden. Det som i utgangspunktet begrenset forsøket, var Googles anti-bot-beskyttelse, som stoppet det hele etter omtrent 30 000 forespørsler. Men også dette greide Hafif å omgå på en enkel måte.

På bakgrunn av informasjonen fra Hafif har Google rettet problemet og gitt Hafif en dusør på 500 dollar. I kommentarene til blogginnlegget forsvarer Hafif selv til en viss grad at størrelsen på dusøren fra Google ikke var større, men ber likevel leserne om å tenke seg hvor mye penger en spammer eller et land ville ha gitt for en slik mulighet.

Ifølge Wired skal Google først ha nektet å utbetale noen dusør i det hele tatt – uvisst av hvilken grunn. Men selskapet skal senere ha skiftet mening.

Google Chrome er i stor grad basert på åpen kildekode, men modulen som sørger for at nettleseren også støtter PDF-dokumenter, har lenge vært blant unntakene.

Nå har det skjedd en endring på dette området. PDF-biblioteket har blitt gjort til et eget åpen kildekode-prosjekt som har fått navnet PDFium. Det er Chrome-evangelisten François Beaufort som skriver dette. Prosjektet har en BSD New-lisens som gjør at koden kan brukes overalt så lenge copyright-informasjonen er vedlagt. Biblioteket inkluderer støtte for å vise, søke i, fylle ut skjemaer i og skrive ut PDF-filer.

Det som er litt spesielt, er at PDF-teknologien er levert av Foxit, som leverer ett av de mest brukte alternativene til Adobe Reader.

– Foxit er beæret over å ha blitt valgt som PDF-leverandøren til åpen kildekodeprosjektet PDFium. Vår plattformuavhengige programvareteknologi med høy ytelse og nøyaktighet vil hjelpe utviklere overalt med å ta i bruk kraftig PDF-teknologi når de skaper innovative applikasjoner, sier Eugene Xiong, grunnlegger og styreleder i Foxit, i et blogginnlegg.

Foxit skriver at åpen kildekode prosjekter som dette er avhengige av fellesskapet som støtter det. Selskapet lover derfor å delta som medlemmer i fellesskapet, blant annet i diskusjonsgrupper. I tillegg vil selskapet tilby opplæring og profesjonelle tjenester til dem som ønsker støtte på et slikt nivå. Foxit tilbyr også et eget, kommersielt PDF SDK som deler den underliggende teknologien som er inkludert i PDFium.

– Uansett om utviklere foretrekker åpen kildekode-modellen gjennom PDFium-prosjektet, eller et kommersielt SDK, tilbyr Foxit programvaren og tjenestene som gjør at utviklingsteam lykkes med PDF, sier markedsdirektør i Foxit, Frank Kettenstock.

Det er en kjent situasjon at Microsofts mobile operativsystem, Windows Phone 8, fortsatt henger etter når det gjelder utvalget av applikasjoner, sammenlignet med konkurrenter som iOS og Android.

Situasjonen blir imidlertid stadig bedre ved at flere relevante og viktige applikasjoner ankommer Windows Phone-plattformen.

Det nyeste tilskuddet er Pinterest, nettstedet som lar brukerne dele interesser og kuriositeter via et felles brett-aktig system.

Den offisielle Pinterest-appen er nettopp blitt sluppet til Windows Phone 8 og 8.1. Fra før finnes det dedikerte apper for tjenesten for iOS og Android.

Det ser imidlertid ut til at opplevelsen er noe begrenset per i dag. Pinterest-appen er tydelig merket med beta-status, og er først og fremst en snarvei til den mobilsentriske nettsiden til nettverket. Det er lagt inn noen Windows Phone-spesifikke funksjoner, men opplevelsen er ikke spesielt integrert med operativsystemet.

Ifølge Engadget vil Pinterest lytte til tilbakemeldingene, og videreutvikle appen i tiden fremover.

Pinterest melder samtidig at de ruller ut en mer avansert søkefunksjon til sin nettside (den har allerede vært tilgjengelig på iOS og Android). Det nye søket er mer kontekstsensitivt og bidrar til mer konkrete forslag når man søker etter nøkkelord.

Det skal sies at noen app-utviklere velger samtidig å trekke sine applikasjoner fra Windows Phone. For eksempel svenske Nordea, som forteller rett ut at det er en liten minoritet av brukerne deres som benytter seg av Windows Phone, og butikkjeden 7-11, som ikke oppgir en offisiell grunn til at de tar bort appen.

Norske mobilnett må sikres bedre mot bortfall av strøm. Det er Post- og teletilsynet (PT) som krever dette. Eierne av mobilnettene i Norge, det vil si Telenor Norge, TeliaSonera Norge, Mobile Norway og ICE Norge, må umiddelbart starte arbeidet med å sikre at brukerne har tilgang til tjenester selv om strømmen blir borte.

Ifølge PT virker mobilnettene i dag fra null til to timer etter strømbrudd på svært mange steder.

– Dette er for lite, sier PT-direktør Torstein Olsen i en pressemelding.

– I et samfunn som er helt avhengig av elektronisk kommunikasjon, må brukerne ha visshet om at tjenestene virker i en forutsigbar periode, også uten strøm i mobilnettene, sier Olsen.

Vedtaket til PT innebærer at utstyret i mobilnettene må ha reservestrømkapasitet på minst fire timer i risikoutsatte områder, og to timer i byer med mer enn 20 000 innbyggere og på steder som er mindre risikoutsatte.

– Skillet mellom byer og distrikter er i hovedsak gjort fordi vi mener at det er ekstra grunner til å sikre lenger «levetid» i mobilnettene når en krise rammer i grisgrendte strøk. I de største byene er det færre strømbrudd og de har vanligvis kortere varighet, sier Olsen.

Det er ofte stormer, flom og skred som fører til langvarige strømutfall.

Tidsfrist
Det er ikke noen liten jobb som nå står foran mobilnetteierne. Ifølge PT er det flere tusen basestasjoner som må oppgraderes, og eierne må potensielt bygge om utstyrshytter og lignende, for å sikre reservestrømkapasitet i tråd med vedtaket.

Derfor har PT gitt netteierne en frist på fem år å gjennomføre kravet i tettstedene og distriktene. I de største byene er fristen på åtte år. Men PT krever altså at arbeidet startes umiddelbart.

Økt robusthet
Ved langvarige strømbrudd vil to til fire timers reservestrømkapasitet ikke være nok. Derfor har PT parallelt med det nye vedtaket også satt i gang et program som skal sikre mobiltjenester i minst tre døgn ved strømbrudd. Men dette skal kun gjelde for et avgrenset dekningsområde i hver kommune. Hensikten er først og fremst å kunne bedre lokal krisehåndtering under slike utfall. Dette tiltaket vil ifølge PT forutsette statlig finansiering.

I år gjennomføres PT, mobilnetteierne og Fylkesmannen i utvalgte fylker pilotprosjekter knyttet til dette programmet i syv kommuner.

Brussel (NTB): Intel må belage seg på å punge ut over 8,6 milliarder kroner. EU-domstolen stadfester kjempeboten for misbruk av en dominerende markedsposisjon.

EU-kommisjonen ila IT-giganten boten i 2009 for å ha brutt EUs konkurranseregler gjennom flere år. Kommisjonen mente Intel brukte en dominerende posisjon i markedet til å holde konkurrentene ute.

Boten lød på 1,06 milliarder euro, og det var den største EU hadde gitt ett enkelt selskap. Intel klaget den inn for EU-domstolen, men torsdag ble det klart at boten blir stående.

– Intels klage på Kommisjonens avgjørelse avvises i sin helhet, slår domstolen i Luxembourg fast. (©NTB)

Den populære Twitter-klienten Tweetdeck, som er nyttig for brukere som krever litt mer avansert funksjonalitet enn den grunnleggende Twitter-nettsiden gir, var nede i flere timer i går kveld.

Det var eierne selv, Twitter, som skrudde av klienten, etter at en potensiell sikkerhetsfeil ble oppdaget av mange brukere.

Det kom flere rapporter om merkelige meldinger som har dukket opp i pop-up-vinduer. Dette skjedde gjerne når man bare leste en melding, og man kunne potensielt blitt sendt videre til andre nettsider eller retweete meldinger uten å ville det.

Kilden til sikkerhetshullet skal ha vært XSS, en svakhet som også tidligere ble påpekt av sikkerhetseksperter som et problem hos Tweetdeck, selv om det etter sigende ikke innebærer noen virkelig seriøse sikkerhetsproblemer. XSS oppstår når en webapplikasjon samler inn ondsinnet data fra en bruker.

wtf?! pic.twitter.com/B18fUIat2j

— Kevin Smith (@OfficialKLS) June 11, 2014

Mer oppsiktsvekkende er hvordan hullet ble oppdaget i denne omgang. Det ser ut til at det var en ung, østerriksk bruker som førte til feilen ved en feiltagelse. Han twitret en melding som inneholdt et hjertetegn kombinert med litt HTML, noe som burde ikke ha dukket opp på Twitter på en korrekt måte. Det gjorde det, og førte videre til at XSS-svakheten dukket opp igjen.

Ob das wohl funktioniert: Test ♥

— Firo Xl (@firoxl) June 11, 2014

Brukeren, som heter Florian og er 19 år, skal ikke ha vært klar over de opprinnelige XSS-problemene til Tweetdeck.

Sikkerhetshullet ble til slutt fikset etter noen timers nedetid, og applikasjonen skal nå fungere som normalt.

Ifølge den ferskeste rapporten fra nettverksselskapet Cisco står verden foran en enorm vekst i internettrafikk frem til år 2018.

Det pekes på flere faktorer som vil bidra til veksten. Det mest nærliggende er kommende fotball-VM, som vil generere massiv trafikk på nettet, via strømming av kamper og andre nett-tjenester som er forbundet med dette.

Basert på analytikerprediksjoner og dataanalyser, samt estimater for global datatrafikk, mener Cisco at millioner av mennesker vil se på fotballkamper over nettet, og dette vil tilsammen generere over 4,3 exabyte med data. Det er en tredobling av datatrafikken som normalt genereres i Brasil i løpet av en måned.

Innen 2018 forventer Cisco at antallet nettbrukere vil vokse til fire milliarder, noe som da vil utgjøre 52 prosent av verdens befolkning.

Det ventes også at det innen samme tid vil være 21 milliarder nettforbindelser, altså 2,7 forbindelser for hver person i verden. Global årlig IP-trafikk vil nå 1,6 zettabyte.

Ifølge administrerende direktør Jørgen Myrland i Cisco Norge vil vi i løpet av fire år ha en trafikkmengde som tilsvarer en milliard DVDer lastet ned hver dag.

Bruksmønstre vil også endres: I 2013 stod tradisjonelle pc-er for 67 prosent av datatrafikken, innen 2018 vil pc-andelen falle til 43 prosent, men andelen trafikk fra nettbrett og smartmobiler vil vokse.

Det forventes også at volumet trafikk over Wi-Fi vil overgå kablet trafikk for første gang, og at snitthastigheten på bredbånd vil øke til 42 megabit per sekund, fra 16 megabit per sekund i 2013.

Hele rapporten kan leses her.

Oslo (NTB): Thailandske myndigheter reagerer på at Telenor offentlig bekreftet å ha sperret av Facebook for 10 millioner brukere på oppfordring fra militærregimet.

Kommunikasjonssjef Tor Odland i Telenor Asia bekreftet overfor Aftenposten sist helg at Dtac, som Telenor er deleier i, 28. mai stengte Facebook-tilgangen i en time på ordre fra juntaen. Han tilføyde at det satte Telenor i en krevende situasjon.

– Det er upassende og respektløst, sier oberst Setthapong Malisuwan, nestleder i kringkastingsregulatoren i landet, til den thailandske avisen Naew Na om Telenors kommentarer.

Ifølge The Nations thailandske utgave benekter obersten at kringkastingsregulatoren ga en slik ordre.

– Dersom Thailand tilsynelatende har så mange problemer, bør Telenor investere et annet sted, sier Setthapong ifølge avisen.

Han varsler en gjennomgang av utenlandskeide teleselskaper.

– I tiden fremover vil vi være påpasselige og følge med på aksjepostene i Dtac. Dersom vi oppdager at andelen utenlandske aksjeeiere kan bryte med våre lover for utenlandsk eierskap, vil vi kunne utestenge Telenor fra auksjonen for frekvenser i 4G-nettverket, sier Setthapong. (©NTB)

Både notattjenesten Evernote og RSS-lesertjenesten Feedly har i løpet av det siste døgnet blitt rammet av distribuert tjenestenektangrep, altså DDoS. Det er uklart hvorfor nettopp disse tjenestene har blitt angrep, men det at det er et visst samarbeid mellom de to kan være en årsak.

Angrepene har dog ikke skjedd samtidig. Evernote meldte først om nedetid på Twitter natt til onsdag, norsk tid. Et par timer senere skrev selskapet at det forsøkte å forsvare seg mot et tjenenektangrep. Deretter gikk det ytterligere tre timer før Evernote kunne melde at tjenesten var mer eller mindre tilgjengelig igjen. I alt varte utilgjengeligheten i omtrent fem timer.

Verre har det vært for Feedly. Omtrent klokken 11 på onsdag, norsk tid, meldte selskapet om at kriminelle hadde startet et DDoS-angrep mot selskapet og at angriperne forsøkte å presse selskapet for penger for å stoppe det.

– Vi nektet å gi etter og jobber med våre nettverksleverandører for å unngå angrepet så godt vi kan. Vi jobber parallelt med andre ofte for den samme gruppe, og med justismyndighetene, skriver Feedly.

Fire timer senere fortelles det at Feedly er i ferd med å gjøre noen endringer i infrastrukturen som skal få tjenesten på beina igjen. Dette ventes å ta noen timer, og brukerne bes ha tålmodighet. Det loves at ingen data har gått tapt på grunn av angrepet.

I skrivende stund er Evernote fullt tilgjengelig, mens det fortsatt ikke er mulig å oppnå kontakt med Feedly.

Red Hat kunngjorde i går at Red Hat Enterprise Linux (RHEL) 7 nå er tilgjengelig gjennom selskapets kundeportal. Dette er den første nye hovedversjonen siden RHEL 6 kom i november 2010.

RHEL 7 skal være laget for å møte både neste generasjons IT-krav og behovene til moderne datasentraler. Egenskaper som smidighet, fleksibilitet og stabilitet er spesielt vektlagt, uten at dette skal øke kompleksiteten. Det loves også blant annet «military-grade» sikkerhet og virksomhetskritisk pålitelighet.

Blant den nye funksjonaliteten i RHEL 7 er støtte for Docker, en slags lettvektscontainere som skal gjøre det enkelt å bygge, rulle ut, flytte og kjøre distribuerte applikasjoner. Versjon 1.0 av Docker ble utgitt denne uken under Dockercon 14-konferansen. Docker støttes av stadig flere aktører, inkludert Google, IBM, Rackspace og flere Linux-distributører. I tillegg tilbyr Microsoft en viss støtte.

Standard filsystem i RHEL er nå XFS, som blant annet støtter opptil 500 terabyte med data.

Det loves forbedret samhandling med Microsoft Active Directory-domener, noe som blant annet betyr at RHEL-klienter enklere kan integreres i heterogene datasentraler.

Administrasjon
Sentral administrasjon av prosesser, tjenester, sikkerhet og andre ressurser skal være forbedret og mer fininndelt enn tidligere med systemd. Overvåkning og utbedring av applikasjonsproblemer skal kunne gjøres med verktøy som TUNA, Thermostat, og Performance Co-Pilot, mens verktøy som OpenLMI skal gjøre administrasjonen av lagring, nettverk og ressurser med høy tilgjengelighet, på tvers av systemer, mer ensartet og standardisert.

– I løpet av de siste tolv årene har Red Hat Enterprise Linux bidratt til å bryte opp og definere moderne databehandling i virksomheter. Ved Fortune 500 og globale børser til statlige etater, weborienterte oppstartsselskaper og mange av verden største nettskyer, har Red Hat Enterprise Linux satt standarden for enterprise-operativsystemet, hevder Paul Cormier, president med ansvar for produkter og teknologier ved Red Hat, i en pressemelding.

– Med Red Hat Enterprise Linux 7 øker vi nivået igjen og bringer neste generasjon med IT til kundene. Etter hvert som verdens fysiske, virtuelle og nettskybaserte systemer konvergerer, leverer Red Hat en virkelig åpen, hybrid nettskyplattform som gir både programvareleverandører og applikasjoner en konsekvent plattform på tvers av fysiske maskiner, virtuelle maskiner og offentlige og private nettskyer. Dette vil være essensielt etter hvert som applikasjoner flyttes fra bedriftens serverrom til nettskyen, sier Cormier.

Også gratisdistribusjonen CentOS, som nå er en del av Red Hat, skal komme i versjon 7, men den er ennå ikke helt ferdigbygd.