Etter nesten ett halvår ser det nå ut som tastatursnareveisfeilen i skrivebordsmiljøet KDE sin nettleser Konqueror som jeg rapporterte på bugs.kde.org i Januar har blitt rettet. Fri programvareteknologi går fremover, og godt er det, for jeg bruker tross alt bare fri programvare.

For de som ikke vet hva KDE er så er det ett fritt skrivebordsmiljø basert på programmeringsbiblioteket Qt. Selv bruker jeg ikke selve skrivebordet, bare programmene laget for det, for jeg synes selve skrivebordet i KDE 4 er helt krise…

Den frie nettleseren Konqueror, som er en del av skrivebordsmiljøet KDE, har aldri hatt god nok støtte for teknologien JavaScript til å kunne bruke WordPress sin avanserte WYSIWYG editor TINYMCE.

I og med at Konqueror har blitt mye bedre i løpet av de siste utgavene av KDE så tok jeg meg friheten til å teste hvordan TINYMCE støtten er i Konqueror 4.2.61 (KDE 4.2.61 (KDE 4.3 >= 20090127)).

Konquerors støtte for “superavansert” JavaScript som TINYMCE

Konqueror klarte å laste WordPress sitt TINYMCE redigeringsverktøy. Redigeringsvinduet poppet opp og alt var vel.

Jeg fikk skrevet inn hele to tegn før Konquerors programkode kom til ett punkt hvor det fant ut at Konqueror forlengst hadde skrevet mer enn nok data til programvinduet på skjermen. Konqueror sluttet å oppdatere programvinduet sitt, programmet sluttet å svare på museklikk og gikk helt over til å utføre viktigere oppgaver. Det er uklart hva disse viktige oppgavene besto i, men hva det nå var så krevde det så mye prosessor-tid som Konqueror klarte å legge beslag på frem til å jeg fant det for godt å drepe Konqueror-prosessen.

At Konqueror idetheletatt klarte å laste TINYMCE er en fremgang, men det er likevel langt igjen til Mozilla Firefox sin (i 3.0.x serien, ihvertfall) stabile JavaScript-støtte.

VG nett skriver i dag om hvordan hackere tjener store penger på å selge hackede brukerkontoer på CIAs personopplysningsinnsamlingstjeneste Facebook billig.

Hvem har skylden for disse frekke hackerne sin umoralske oppførsel? Gary Clark i Safenet forteller VG at brukerne må oppdras og legger så mesteparten av skylden på de som drifter nettstedene som det stjeles fra. Internett-tjenester som er sikret dårlig er helt klart ett problem. Personlig tror jeg usikker programvare er ett mye større problem. Bloggeren Gusland sitt råd om å holde Windows oppdatert er, for de som bruker dette operativsystemet og dets medfølgende programvare, ett veldig godt råd. Mitt råd: Ikke bruk Windows, bruk en GNU/Linux variant som f.eks Ubuntu Linux.

Hvilken programvare du bruker, og om den er oppdatert, spiller etter min mening mye større rolle enn hvilken sikkerhet nettstedene du besøker har. La meg gi ett konkret eksempel:

1. Jeg legger til kode som bruker sikkerhetshullet i Internet Explorer som Microsoft lanserte sikkerhetsoppdateringer for 18. desember til på ett av nettstedene mine. Eksempelkode for hvordan dette sikkerhetshullet kan utnyttes lå fritt tilgjengelig på milw0rm m.fler 15. desember, tre dager før Microsoft lanserte sikkerhetspatchen. Og det er stadig mange som ikke har oppdatert utgaven av Internet Explorer. Mer alvorlig er det at det er de som bruker eldre datamaskiner med eldre Windows-utgaver hvor det ikke lenger kommer sikkerhetsoppdateringer når slike hull oppdages. GNU/Linux varianter, derimot, fungerer godt på eldre maskiner og disse blir stadig sikkerhetsoppdatert når det er noe.
2. Koden som utnytter det siste – eller andre – sikkerhetshull kjøres når tilfeldige mennesker besøker nettstedet der jeg har lagt den til og installerer så en bakdør som f.eks BO2K slik at jeg får full oversikt over hva datamaskineren gjør, inkludert tastetrykk vedkommende skriver inn på tastaturet.
3. Nå som jeg har full oversikt over tastetrykk, skjermbilder og alt annet som skjer på maskinene der jeg har installert min bakdør kan jeg uten problemer stjele innloggingsopplysninger, e-post, filer og alt mulig annet rart.
4. $$$ Profitt
5. if (!$transactions_are_traced_back_to_me){ FancyLivsstil }else{ SonelangstraffiFengsel }

Dette eksemplet krever at brukere med usikker nettleser forviller seg innom ett nettsted med min ondskapsfulle kode, noe som i større grad enn en kan forvente gjøres gjennom annonser kjøpt hos Google Adsense, Adbrite og tilsvarende, og lar meg deretter stjele alt jeg føler det for godt å stjele.

Den eneste måten nettsteder kan forsvare seg mot slike angrep er å bruke engangskort og engangskoder slik nettbanker som Skandiabanken krever. Selv om motstanderen stjeler alt de kan via datamaskinen min – personnummer, nettbankpassord og så videre – vil motstanderen likevel feile i sine forsøk på å logge på Skandiabanken uten å fysisk bryte seg inn hos meg og stjele en fysisk gjenstand. Er det sikkerhetsmessig lurt å bruke kodekort med engangskoder for å f.eks logge på bloggtjenester som denne? Ja. Er det verd bryet og kostnaden? Tja, tjenester som gir enorm profitt bør nok vurdere det… og om denne tjenesten på magisk vis skulle havne i den kategorien så blir det kanskje kodekortinnlogging her også.

Den notorisk kriminelle bedriften Microsoft har nå sluppet en ganske viktig sikkerhetsoppdatering for Internet Explorer i Norge og i Sverige. Oppdateringen dekker ett sikkerhetshull som lar en hvilken som helst nettside kjøre programkode lokalt på maskinen.

Her er ett eksempel på hvordan dette sikkerhetshullet kan brukes til å kjøre skallkode som starter programmet calc.exe:

• ie_xml_heap_corruption_exploit

Hullet kan selvfølgelig brukes til mer enn å starte kalkulatorprogrammet som følger med Windows og det fungerer fint på Internet Explorer 7 som kjører under operativsystemene Windows XP (SP2 og SP3) og Windows Vista. Om du bruker Windows og Internett Explorer så er det lurt av deg å installere sikkerhetsoppdateringen som kom 17. desember eller bytte til en annen nettleser som f.eks Opera eller Firefox.

Jeg ble tipset om noen interessante foruminnlegg om USA sin private sentralbank Federal Reserve (som ikke er føderal og kke har noen reserver) på Microsoft MSN sitt Moneycentral forum. Så jeg forsøkte å besøke det ved hjelp av pekeren jeg fikk,

moneycentral.msn.com/community/message/board.asp?board=fedwatch&BoardID=494

Du får ikke bruke nettsiden vår!

Jeg ble overrasket over å finne ut at den kriminelle bedriften Microsoft Corporation (ja, de har faktisk blitt dømt for grove lovbrudd gjentatte ganger) forsatt driver med skandaløse forretningsmetoder.

Dette er hva som dukket opp da jeg besøkte nettsiden med en noe uvanlig nettleser basert på renderingsteknologien Gecko:

MSN’s Moneycentral påstår falskt claims at “This feature requires a more recent version of Microsoft Internet Explorer or Mozilla Firefox” – du må bruke IE eller Firefox og fortsetter så med å foreslå at jeg skal “download the latest version of Microsoft Internet Explorer” – installere deres nettleser – ved å gå til IE sitt nettsted.

Nå er jeg tilbake og jeg har installert Internet Explorer. Det er helt sant!

Gecko er en teknologi som utfør fundamentet i en haug av forskjellige nettlesere, inkludert Mozilla Firefox, Mozilla Seamonkey, Galeon, Epiphany og Kazehakase – for å nevne noen. Disse nettleserne har den samme teknologien i bunn og deler en rekke grunnleggende funksjoner.

Du kan, for eksempel, skrive inn about:config i nettleserens adressefelt for å få opp en veldig enkel liste over innstillinger som du kan endre på. Du kan tilogmed legge til nye og i stor grad dokumenterte innstillingsstrenger ved hjelp av denne “siden”. Du kan for eksempel høyreklikke og velge New -> String, skrive inn general.useragent.override og gi denne nøkkelen en hvilken som helst verdi du du synes er passende.

Ett kjapt søk etter MSIE i denne loggtjenestens logger listet opp en haug av forskjellige MSIE user-agent (forteller nettsteder hvilken nettleser du bruker) strenger som f.eks denne:

“Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)”

Så hva skjer om vi laster siden på nytt nå som jeg “bruker” Microsoft Internet Explorer på operativsystemet Windows NT?

Det er tydelig at deres historie om at

“This feature requires a more recent version of Microsoft Internet Explorer or Mozilla Firefox” (denne funksjonen krever en nyere utgave av IE eller Firefox)

helt klart er en stor løgn som er satt der for å lure enhver som ikke bruker Microsoft’s browser eller siste utgave av én av de mange frie nettleserne som finnes til å bytte til deres produkt.

Den enkel sannheten er at nevnte nettside ikke krever noen ny utgave av, eller noen utgave overhodet, av IE eller FF. Nei. Det er veldig enkelt:

Microsoft krever bare at du sier at du bruker siste utgave av nettleseren deres. Du kan bruke en hvilken som helst Gecko-basert nettleser så enge du later som om du bruker Microsoft’s produkt.

Opera- eller Macbruker? Du er uønsket.

Det går ikke å bruke Opera eller Konqueror (som er basert på KHTML – teknologien Mac’s Safari bruker) uansett hva du påstår du bruker. Kanskje disse teknologiene faktisk mangler sær/ustandard Javascript-støtte, kanskje ikke. Hvis de mangler spesifikk JS-funksjonalitet så reiser det spørsmålet: Hvorfor valgte de å bruke funksjoner som konkurrerende nettlesere ikke støtter da de laget denne delen av nettstedet sitt? Det lukter litt som om de med vilje og vitende laget nettstedet med tanke på å utestenge brukere av konkurrerende teknologi. De ville sikkert utestenge Firefox-brukere også. Jeg gjetter at de valgte å la brukere av en konkurrerende nettleser slippe inn på nettstedet deres for å unngå problemer i forhold til lovgivningen..

Den eneste gode løsningen: Ikke bruk Microsoft

Det er bare en god langsiktig løsning på Microsoft’s konsekvente misbruk av sin dominerende markedsposisjon: Ikke bruk dem. Bytt til en variant av operativsystemet GNU hvis du er en Windows-bruker. Og la være å kjøpe maskinvaren deres og unngå å bruke nett-tjenestene deres om du allerede er en GNU-bruker. Verden trenger ikke parasitter som Microsoft og verden ville definitivt vært ett bedre sted uten dem. Makten deres er, uavhengig av hvor store de er, begrenset til maktet som vi, folket, gir dem ved å kjøpe og bruke produktene deres.