Brukere av mange eldre eller forholdsvis billige Android-telefoner og -nettbrett bør ta i bruk en annen nettleser enn den som følger med operativsystemet. Årsaken er en alvorlig sårbarhet som finnes i Android Browser, nettleseren som var standardnettleser i operativsystemet i Android 4.3 og eldre. Med Android 4.4 «KitKat» ble Android Browser erstattet av Chrome, men bare omtrent hver fjerde Android-enhet har KitKat-utgaven installert.

Nettlesere som Chrome, Firefox og Opera er alternativer som kan kjøres på de fleste Android-enheter – Firefox også på enheter med eldre Android-utgave enn 4.0. Disse nettleserne kan settes til å være standardnettleser på enheten, slik at ingen ordinære websider vil bli åpnet i den Android Browser.

Android Browser, eller AOSP Browser, som den også kalles, blir i utgangspunktet ikke lenger vedlikeholdt av Google. Siden den er basert på åpen kildekode, kan leverandørene av de berørte enhetene riktignok fjerne sårbarheten på egenhånd. Men sannsynligheten for at noen kommer til å gjøre dette, er dessverre temmelig liten. Det er sjelden av leverandørene bryr seg om å gi ut oppdateringer til de billigste enhetene, som fortsatt ofte leveres med Android-versjoner som er berørt av denne sårbarheten. Et unntak er enhetene i Googles Android One-program. Men disse kommer først i salg i disse dager, og bare i helt andre markeder enn det norske.

Sårbarheten

Sårbarheten i nettleseren skal ha blitt oppdaget av sikkerhetsforskeren Rafay Baloch, som omtalte den allerede den 1. september. Men virkelig oppmerksomhet fikk den ikke før det denne uken ble kjent at den kan utnyttes ved hjelp av en modul til sikkerhetsverktøyet Metasploit. Metasploit-utvikleren Tod Beardsley kaller sårbarheten for en personvernkatastrofe.

Sårbarheten dreier seg om det som kalles for «Same Origin Policy». I utgangspunktet skal en ikke et nettsted med domene A kunne få tilgang til egenskaper som cookies, posisjon og skjemadata som tilhører et nettsted med domene B. Men Baloch demonstrerer at det i Android Browser er mulig å omgå denne regelen.

Baloch opplyser her at han varslet Google om sårbarheten lenge før han blogget om den. Først skal Googles sikkerhetsteam ikke ha kunnet reprodusere feilen. Etter mer testing kunne de likevel reprodusere den og startet arbeidet med en fiks. Denne beskjeden fikk Baloch like etter at blogginnlegget ble publisert. Men igjen er sannsynligheten for at denne sikkerhetsfiksen vil bli gjort tilgjengelig til alle de berørte enhetene, svært liten.

Den mobile sentralbordløsningen som Telenor tilbyr svenske kunder, Telenor One 2.0, blir i dag kritisert for ussel sikkerhet i et oppslag i ComputerSweden.

Bakgrunnen er en IT-sjef som oppdaget hvor enkelt det var for uvedkommende å ta seg inn i bedriftens talepostkasse. Systemet krever verken brukernavn eller passord.

Derimot er det nok å åpne en URL i nettleseren. Dette er en lenke som aldri forandrer seg og som blir sendt usikret i en e-post for å informere kunder om uleste talebeskjeder.

– Jeg mener det er ansvarsløst, sier Andreas Timmelstad til avisen. Han er teknologiansvarlig i bedriften Arkitektopia, som nylig tok produktet i bruk.

Lenken gir full adgang til kontoen, hvor det også er mulig å sende SMS fra kundens telefonnummer, viderekoble telefonen til andre numre, samt få en oversikt over bedriftskundens interne telefonkatalog.

Ifølge ComputerSweden synes ikke Telenor det er det minste merkelig at en lenke som fører rett inn på kontoen sendes ubeskyttet over e-post.

– Det er akkurat som når man glemmer et passord et sted, da sendes det også i en e-post eller SMS, sier pressekontakt Alexandra Carlsson.

Svaret viser at hun neppe er kjent med beste praksis på området, som tilsier at passord aldri bør lagres i klartekst, men derimot sikres med enveis-kryptering via hash-koding. Da kan passordet heller ikke bli sendt i klartekst, men krever derimot en annen tilnærming, som for eksempel en anmodning om å tilbakestille passordet.

Ulik løsning i Norge
Telenor One 2.0 er ikke solgt i det norske markedet. Slik produktet blir fremstilt kan det minne om det norske Mobilt Bedriftsnett fra samme selskap, men dette er i virkeligheten to helt forskjellige løsninger.

– Påloggingen til den norske løsningen krever passord, både for brukere, sentralbord og for administrasjon. Sistnevnte har også tofaktor-autentisering, sier informasjonssjef Per A. Meling i Telenor Norge til digi.no.

Da sjefen for Googles utviklingsavdeling i Danmark, Lars Bak, besøkte Norge i forrige uke, fortalte han at Dart-språket snart også vil kunne brukes på serversiden av webapplikasjoner. Dart blir først og fremst fremmet som et alternativ til JavaScript, som brukes mest på klientsiden av webapplikasjoner. Men i de senere årene har mange tatt i bruk JavaScript også på serversiden ved hjelp av runtime-miljøet Node.js.

Bak fortalte til digi.no at det å kunne bruke det samme språket og forretningslogikken på både klient- og serversiden, er en slags hellig gral for utviklere, blant annet fordi det bidrar til redusert kompleksitet.

I går kunngjorde Google at Dart er klar til bruk på serversiden, i alle fall i visse sammenhenger.

Det Google nå har kommet med, er et sett med tre image-filer for Docker . Disse tilbyr Dart-støtte til et Debian-basert image. Image-filene inkluderer henholdsvis Dart SDK, selve runtimen og en enkel HTTP-server skrevet i Dart.

Google tilbyr image-filene først og fremst for at de skal kunne kjøres i Google App Engine, altså en del av selskapets nettsky. Men Docker er åpen kildekode-basert løsning som på kort tid har fått bred støtte. VMware og Microsoft er blant dem som har meldt seg på de siste månedene.

Googles image-filer for Docker er tilgjengelige her. Selskapet tilbyr også tilsvarende løsninger basert på node.js, Go, Python og Ruby.

Under den pågående Digitaliseringskonferansen i Stavanger i regi av KS går regjeringen ut med meldingen om at landets innbyggere nå har tilgang til 500 offentlige nettjenester, som alle kan nås via samme løsning for sikker innlogging, nemlig ID-porten.

Doblet
Antallet tjenester koblet til ID-porten er mer enn doblet de siste to årene. Bruken av denne «felleskomponenten» viser også vekst. I første halvår var det 28,6 millioner innlogginger, mot 40 millioner i hele fjor.

Difi-direktør Ingelin Killengreen sier i en uttalelse at takten i digitaliseringen av offentlig tjenester og bruken av disse øker. Nye regelverk gjør at det såkalte digitale førstevalget nå er hovedregelen.

– Dette viser at satsingen på felles offentlige IT-løsninger får fart på den digitale tjenesteutviklingen. Satsinger som ID-porten gir merverdi både for samfunnet og den enkelte innbygger, sier statssekretær i moderniseringsdepartementet Paul Chaffey (H), som under konferansen i dag markerte milepælen med 500 tjenester med tale og utdeling av blomster.

Lite begeistret
Økt takt på digitaliseringen av AS Norge høres bra ut, men har myndighetene grunnlag for å skryte av hvor langt man er kommet – er dette så rosenrødt som det kan høres ut?

På ingen måte, mener viseadministrerende direktør Heidi Arnesen Austlid i IKT-Norge, som også deltar på konferansen.

– Nei, nei. Det vi ser fra en brukerkartlegging vi har gjort, som vi presenterer i dag, er at det er veldig lite sammenheng mellom statlige og kommunale tjenester. Spesielt ser vi det på Nav og kommunale tjenester, der skjærer det seg gang på gang, sier Austlid til digi.no på telefon fra Stavanger.

En konklusjon etter kartleggingen er at kommunene «ikke tar innbyggerne sine på alvor». Den viser ifølge Austlid at «det er lite eller ingen utvikling av digitale selvbetjeningsløsninger til innbyggerne».

Dette på tross av et uttalt høyt ambisjonsnivå og bred politisk enighet i alle partier og regjeringen om digitaliseringen av det offentlige.

Staten kan tilrettelegge så mye de vil med fellesløsninger. Problemet slik Austlid ser det er at mange av løsningene har ilagt kostnader som hindrer kommunene å ta dem i bruk.

– De tar blant annet betalt for bruk av ID-porten. Små kommuner må kanskje velge mellom fire sykehjemsplasser eller ID-porten-bruk, sier hun.

Ser mot Danmark
IKT-Norge-direktøren savner den tilnærmingen som våre naboer i Danmark har valgt. Det er velkjent at danskene har kommet et stykke lenger i digitaliseringen av offentlig sektor, de er et foregangsland på området.

Den danske staten har ifølge Austlid valgt å ta regningen for en del fellesløsninger.

– I Danmark tenker de på brukerne først. Enten det er næringsliv eller innbyggerne. Så designer man tjenestene rundt behovene brukerne har, snarere enn å se hva offentlig sektor kan levere av tjenester.

Det er langt mellom de politiske visjonene og praktisk virkelighet, mener Heidi Arnesen Austlid.

– Det er en jæskla lang vei å gå. Staten må føre en gulrot og pisk-politikk. Greia med lokal selvråderett er et billig poeng. Det er nemlig ikke viktig innen digitaliseringen. Kommunene sier selv at de ønsker sterkere sentral styring.

At det nå finnes 500 offentlige digitale tjenester i Norge gjennom ID-porten er heller ikke noe IKT-Norge finner grunn til å juble over.

– Det har skjedd en del innen plan og bygg, men forsatt er det svært mange av tjenestene som bare tilbyr skjema for utskrifter eller halvdigitale løsninger. Svært mange av de 500 tjenestene er uinteressante, sier Austlid.

Etter de nylige skandalene med tyveri av private bilder fra iCloud-kontoer har Apple lovet å fokusere ytterligere på sikkerhet, og nå leverer de.

Først og fremst er tostegs-autentisering fullt aktivert på iCloud.com. Denne formen for sikker pålogging, der nye enheter måtte godkjennes separat med en kode sendt over SMS, har tildligere vært delvis tilgjengelig for iTunes-kontoen til brukere, men utvides nå til flere områder.

Hvis man fra før har aktivert tostegs-autentisering, vil man nå også måtte bekrefte dette når man logger seg inn på iCloud.com via nettleseren. Webappene til iCloud vil nå kreve en verifiseringskode for å kunne brukes – med unntak av Find my iPhone som fortsatt er tilgjengelig uten ekstra kode. Det er logisk, da man gjerne bruker denne funksjonen når man ikke finner telefonen sin, som trengs for tostegs-autentisering.

I tillegg til dette vil brukere også få en epost fra Apple når man logger seg inn på iCloud fra en nettleser.

Slik eposter vil også sendes ut når det foretas endringer i passordet eller hvis en enhet gjenopprettes.

Blant de potensielle nyhetene som på forhånd var visse forventninger til ved de nyeste iPhone-modellene, var om smartmobilene nå ville få støtte for den kortrekkende kommunikasjonsteknologien NFC, som stort sett alle andre moderne smartmobiler støtter.

Mange, blant annet Telenor, uttrykte stor glede etter at Apple bekreftet at iPhone 6 og 6 Plus vil leveres med NFC-støtte.

Men nå kan ting tyde på at enkelte har gledet seg litt for tidlig.

I en e-post til Cult of Mac opplyser en talskvinne for Apple at NFC-brikken i disse enhetene kun vil kunne brukes sammen med Apples egen betalingsløsning, altså nye Apple Pay.

En talsperson for RapidNFC, som har levert brikken, sier til PC Advisor at det per dags dato ikke er noe programmeringsgrensesnitt (API) for NFC tilgjengelig for tredjepartsutviklere i iOS 8 GM (Gold Master) SDK, som allerede er tilgjengelig.

I praksis betyr dette at andre leverandører av betalingsløsninger ikke vil kunne støtte Apples implementering av NFC til berøringsfri betaling, i alle fall på kort sikt. Det vil heller ikke være mulig for de fleste utviklere å lage apper som bruker NFC til annen funksjonalitet, for eksempel i forbindelse med billettering, inngangskontroll, filoverføring og en hel del annet. I alle fall på kort sikt.

Fullt mulig
Ifølge Cult of Mac vil ikke Apple si noe om selskapets eventuelle planer om å tilby API-tilgang til NFC-funksjonaliteten i framtiden. Men trolig er det bare en programvareoppdatering som skal til.

Nyhetstjenesten antyder dog at spesielt utvalgte leverandører likevel kan ha fått spesiell tilgang til NFC-funksjonaliteten allerede, siden Apple har demonstrert at telefonene kan brukes til å låse opp døren på et hotellrom.

MacRumous siterte før helgen en låst artikkel i Financial Times hvor to ikke navngitte kilder i finansbransjen forteller at Apple krever 1,5 promille i gebyr for alle kjøp som skjer med Apple Pay, altså 15 øre per hundrelapp.

Mange, men ikke alle som tilbyr betalingsapper til smartmobiler, krever gebyr for transaksjonene. Andelen Apple etter alt å dømme vil kreve, er såpass lav at det nok ikke er inntektene fra den som er årsaken til at selskapet ikke slipper til konkurrerende betalingstjenester. En mulighet som nevnes i PC Advisors artikkel, er at Apple kommer til å åpne opp NFC-funksjonaliteten for andre når Apple Watch kommer på markedet, altså i begynnelsen av 2015. Også denne skal ha NFC-støtte.

Det er uklart når Apple Pay kommer til Europa, hvor det ifølge norske Visa Europe skal være omtrent 1,7 millioner brukersteder som har støtte for kontaktløs betaling. En oversikt over mange av de norske finnes her.

Facebook og personvern har en lang og brokete historie, og selskapet forsøker stadig vekk å gjøre de forskjellige innstillingene for hva vi deler med hvem tydeligere.

Nå kan det hende at det sosiale nettverket kommer med en egen app som gjør det enda lettere å holde kontakt med venner uten at offentligheten skal kunne se det. Det skriver nettstedet Techcrunch.

Kildene til Techcrunch bekrefter at en slik applikasjon finnes, og den blir sammenlignet med en annen app som heter Cluster.

Denne gjør det mulig å dele innhold med venner innenfor trygge «rom», og man kan sette opp forskjellige grupper venner eller bekjente.

Facebooks løsning, som kanskje kalles «Moments», vil ha et lignende oppsett, med et tydelig visuelt design. Man skal kunne dele spesifikke typer innhold med spesifikke vennegrupper, uten å måtte kontrollere dette via knotete innstillinger i selve Facebook.

Techcrunch mener at appen kan være behjelpelig for folk som ikke helt forstår seg på personvern-innstillinger, og deler statuser med for mange eller for få, som er redd for å dele statuser med «hele verden», eller som kanskje ikke ønsker at alle skal kunne kommentere på bilder av litt mer privat natur (for eksempel foreldre).

Det nevnes samtidig at selv om Moments helt klart er under utvikling, er det ikke garantert at den vil se dagens lys – Facebook har mange prosjekter som ikke blir lansert offentlig.

Det finnes allerede vennelister på Facebook man kan bruke for å dele innhold med kun disse, men det er etter sigende ikke så mange som benytter seg av dem. En dedikert app kunne gjort dette mye enklere og visuelt tiltalende.

På den andre siden, flere nylige applikasjoner fra Facebook har ikke blitt den suksessen man hadde håpet på – hverken Paper eller Snapchat-konkurrenten Slingshot har klart å trekke til seg nevneverdig med brukere.

KTH (Kungliga Tekniska högskolan) i Stockholm får i oktober installert det som trolig vil være den kraftigste superdatamaskinen i hele Norden, i alle fall til akademisk bruk. Det dreier seg om et Cray XC30-system med en maksimal, teoretisk ytelse på nesten to petaflops.

Siden høsten 2013 har den svenske superdatamaskinen «Triolith» vært den kraftigste, offentlig kjente superdatamaskinen i Norden, med en målt ytelse på 407,24 teraflops. NTNUs «Vilje» ligger dog ikke langt bak, med en målt ytelse på 396,7 teraflops.

Det kommende, svenske systemet vil dermed være nesten fem ganger så kraftig. Systemet vil hete «Beskow», oppkalt etter Elsa Beskow, og skal være seks ganger kraftigere enn det superdatamaskinen den skal erstatte, «Lindgren» fra 2010.

Etter en periode med testing og trimming, skal «Beskow» skal være i full drift i januar 2015. Systemet består av 1676 noder med til sammen 104,7 terabyte med systemminne. KTH har ikke oppgitt andre detaljer om spesifikasjonen. Ifølge Cray kan være node ha to «computer engines», men selskapet tilbyr flere ulike typer «computer engines».

Det totale budsjettet for den nye superdatamaskinen er på 170 millioner svenske kroner, fordelt på fire år. Dette inkluderer supportsystem, datalagring og driftskostnader.

Ifølge KTH skal «Beskow» brukes til blant annet fluidmekanikk, klimamodellering, plasmafysikk, neurovitenskap, materialforskning og simuleringer på molekylært nivå.