/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Datatilsynet's afgoerelse i Valus sagen.
Fra : Alex Holst


Dato : 27-11-02 21:49

"Efter en samlet vurdering finder Datatilsynet ikke grundlag for at
udtale kritik af Den norske Bank."

http://www.snakeoil.dk/kommentarer/20021127-1

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

 
 
Niels Callesøe (27-11-2002)
Kommentar
Fra : Niels Callesøe


Dato : 27-11-02 22:06

Alex Holst wrote in <news:qmnfb-3go.ln1@miracle.mongers.org>:

> "Efter en samlet vurdering finder Datatilsynet ikke grundlag for at
> udtale kritik af Den norske Bank."

Forbløffende. Jeg er målløs.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Even if correctly applied, the above will not fix a
broken screwdriver.

Allan Olesen (27-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 27-11-02 22:16

"Niels Callesøe" <pfy@nntp.dk> wrote:

>Jeg er målløs.

Jeg er ikke. Folkene bag Valus er sandsynligvis sluppet af sted
med at levere en sludder for en sladder til Datatilsynet, som jeg
i sin tid forudsagde.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Niels Callesøe (27-11-2002)
Kommentar
Fra : Niels Callesøe


Dato : 27-11-02 22:25

Allan Olesen wrote in
<news:3de53611$0$82092$edfadb0f@dtext01.news.tele.dk>:

>>Jeg er målløs.
>
> Jeg er ikke. Folkene bag Valus er sandsynligvis sluppet af sted
> med at levere en sludder for en sladder til Datatilsynet, som jeg
> i sin tid forudsagde.

Ak, jeg troede ellers jeg var /mere/ og ikke /mindre/ kynisk end dig.

Men da jeg faktisk gik og troede at der ville komme, om ikke andet, i
hvert fald en påtale af Valus i sagen, ja, så må jeg vel næmest være
naiv i stedet.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Allan Olesen (27-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 27-11-02 23:15

"Niels Callesøe" <pfy@nntp.dk> wrote:

>ja, så må jeg vel næmest være naiv i stedet.

Nej, blot mindre kynisk.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

F.Larsen (27-11-2002)
Kommentar
Fra : F.Larsen


Dato : 27-11-02 23:53

Som jeg læser svaret fra Datatilsynet, så er Valus "forsvar" :

1) at de persondata som andre brugere har kunne se ved at rette i URL har
været test data ???
2) at angrebet alene har påvirket brugerinterface/web interfacet

men men:

ad 1) er muligvis i modstrid med de oplysninger som er utalt af CW. Selvom
vi andre ikke har set oplysningerne er det selvfølgelig kun Valus sidder
inde med oplysningerne. Med et krydscheck mellem CW's skærmdumps og Valus
påstand burde være en simpel sag at afgøre hvem der taler sandt.

ad 2) må anfægtes, da det efterhånden og indtil flere gange er fastlagt
(bla. ved dom) at sikkerhesproblemet drejede sig om SQL injection hvor det
var muligt at få udført SQl kommandoer direkte på den _bagvedliggende_
database server. Udsagnet om at det er front-end systemet det gik ud over
virker derfor lige lovligt ... "søgt" ...

--
Flemming



Allan Olesen (28-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 28-11-02 00:50

"F.Larsen" <n0spam@spamfilter.dk> wrote:

> den _bagvedliggende_ database server

Nu burde du vel retfaerdigvis udskifte "den" med "en".

Jeg gaar ud fra, at man ikke med de oplysninger, vi er i
besiddelse af, er i stand til at konkludere noget om, hvorvidt
systemet traekker data fra flere forskellige bagvedliggende
databaseservere, hvor kun de mindre foelsomme oplysninger har
ligget paa den usikre databaseserver.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (28-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 28-11-02 07:43

"F.Larsen" wrote:
>
> Som jeg læser svaret fra Datatilsynet, så er Valus "forsvar" :
>
> 1) at de persondata som andre brugere har kunne se ved at rette i URL har
> været test data ???

Der har været adgang til både testdata og rigtige transaktioner.
Men transaktionerne indeholdt ikke oplysninger om hvilken bruger,
der har udført dem. Desuden kunne transaktionerne kun ses ikke
ændres.

>
> ad 2) må anfægtes, da det efterhånden og indtil flere gange er fastlagt
> (bla. ved dom) at sikkerhesproblemet drejede sig om SQL injection hvor det
> var muligt at få udført SQl kommandoer direkte på den _bagvedliggende_
> database server. Udsagnet om at det er front-end systemet det gik ud over
> virker derfor lige lovligt ... "søgt" ...

De hævder, at der ikke lå persondata i den pågældende database.
Om det er sandt ved jeg ikke. Har datatilsynet undersøgt om
Valus virkelig har haft to databaser tilknyttet systemet?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Christian E. Lysel (28-11-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-11-02 10:16

F.Larsen wrote:
> ad 2) må anfægtes, da det efterhånden og indtil flere gange er fastlagt
> (bla. ved dom) at sikkerhesproblemet drejede sig om SQL injection hvor det
> var muligt at få udført SQl kommandoer direkte på den _bagvedliggende_
> database server. Udsagnet om at det er front-end systemet det gik ud over
> virker derfor lige lovligt ... "søgt" ...

Som jeg forstår sagen er dette informationssiderne.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Max Andersen (27-11-2002)
Kommentar
Fra : Max Andersen


Dato : 27-11-02 23:54

"Niels Callesøe" <pfy@nntp.dk> wrote in message
news:Xns92D3E0C18188Ek5j6h4jk3@62.243.74.163...
> Alex Holst wrote in <news:qmnfb-3go.ln1@miracle.mongers.org>:
>
> > "Efter en samlet vurdering finder Datatilsynet ikke grundlag for at
> > udtale kritik af Den norske Bank."
>
> Forbløffende. Jeg er målløs.
>

Selvfølgelig vil man ikke gøre alvor af dette. Så kunne retssystemet blive
rimelig overbebyrdet, og man har jo også et stort politisk spørgsmål i sådan
en sag, og tit siger man ,at hvis de for tingene i orden, så er det fint.
Man skal jo have en chance :)

Ikke at jeg er enig.

Max



Bjarne Østergård (28-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 28-11-02 00:01


"Niels Callesøe" <pfy@nntp.dk> skrev i en meddelelse
news:Xns92D3E0C18188Ek5j6h4jk3@62.243.74.163...
> Alex Holst wrote in <news:qmnfb-3go.ln1@miracle.mongers.org>:
>
> > "Efter en samlet vurdering finder Datatilsynet ikke grundlag for at
> > udtale kritik af Den norske Bank."
>
> Forbløffende. Jeg er målløs.

Hvorfor egentlig det. ?
Datatilsynet er kompetente folk, så måske det mere var på plads, med en
undskyldning fra alle dem der har haft så travlt med at dømme/fordømme
banken.
Det ville være klædeligt

MVH
Bjarne




Alex Holst (28-11-2002)
Kommentar
Fra : Alex Holst


Dato : 28-11-02 01:15

"Bjarne Østergård" <boe@ydicon.dk> wrote:
> Hvorfor egentlig det. ?
> Datatilsynet er kompetente folk, så måske det mere var på plads, med en
> undskyldning fra alle dem der har haft så travlt med at dømme/fordømme
> banken.
> Det ville være klædeligt

Vi taler ikke om hvorvidt Datatilsynet er kompetente eller ej. Det er
der ikke blevet stillet spoergsmaalstegn ved.

Vi taler om, der skal vaere problemer med specifikke systemer hos Valus
foer loven om persondata er overtraadt. Dette faktum er det eneste
Datatilsynet er interesseret i.

Blot fordi loven om persondata tilsyneladende *ikke* har vaeret
overtraadt, betyder *ikke* automatisk at alt er som det skal vaere.

Ok?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Søren Christensen (28-11-2002)
Kommentar
Fra : Søren Christensen


Dato : 28-11-02 02:46


"Bjarne Østergård" <boe@ydicon.dk> wrote in message
news:3de54ecd$0$240$edfadb0f@dread16.news.tele.dk...
>
> Hvorfor egentlig det. ?
> Datatilsynet er kompetente folk, så måske det mere var på plads, med en
> undskyldning fra alle dem der har haft så travlt med at dømme/fordømme
> banken.

Føler du dig beskyttet og sikker ved at bruge Valus, nu hvor datatilsynet
har 'godkendt' deres system?

Det eneste der er sket er at Valus har meldt tilbage til datatilsynet at nu
er alt i orden og det kører på skinner.
Kunne du forestille dig noget kommercielt firma der vil skrive tilbage til
Datatilsynet at systemet stadig er åbent og persondata er frit tilgængeligt?
Jeg kunne ihvertfald ikke.
Men sådan er proceduren og det må man acceptere indtil den ændres. Åbenbart
er det nok at være velformuleret for at undgå yderligere påtale. Jeg gad nok
vide hvad der egentlig skal til før datatilsynet gør andet end blot at give
næser som ved Harald Nyborg.

Jeg kender ikke Valus' systemopsætning i detaljer, dog ved jeg at de bruger
en andet system end webinterfacet til deres betalingsservice. Derfor har
Datatilsynet vel antaget at det må være godt nok. I min verden er det slet
ikke godt nok for at få mig til at stole på Valus' kompetence - specielt
ikke når man havde 'root' tilgang på det ene af systemerne.

> Det ville være klædeligt

Overhovedet ikke men det vil klæde Valus at sige undskyld for at have
grovsløset med sikkerheden og muligvis folks penge.

Sagde du forresten nogensinde tak fordi jeg gjorde dig opmærksom på at i
havde samme sikkerhedshul på gigasofts websted som Valus?



Bjarne Østergård (28-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 28-11-02 17:14


"Søren Christensen" <soren@post1.tele.dk> skrev i en meddelelse
news:3de57bab$0$207$edfadb0f@dread14.news.tele.dk...
>
> "Bjarne Østergård" <boe@ydicon.dk> wrote in message
> news:3de54ecd$0$240$edfadb0f@dread16.news.tele.dk...
>
> Overhovedet ikke men det vil klæde Valus at sige undskyld for at have
> grovsløset med sikkerheden og muligvis folks penge.
>
> Sagde du forresten nogensinde tak fordi jeg gjorde dig opmærksom på at i
> havde samme sikkerhedshul på gigasofts websted som Valus?

Nej det gjorde jeg ikke, men jeg vil da gerne takke dig nu.

Men hvis det var samme sikkerheds brist hos values i kritiserer er det da
helt til grin.

For vi havde jo ingen sikkerhedshul, at folk kan få en beskedboks til at
poppe op på ens hjemmeside kalder jeg da ikke for et katastrofal
sikkerhedshol.

Det var da nærmest morsomt, det svarer jo til at hejse sine bukser op i
bankens flagstang og dermed påstå at deres pengeskab står åben for hvem som
helst.

Men indrømmet, det gav da røde ører, så ihvertfald tak for det.

Men at du vil klaficere noget sådant, som den helt store sikkerheds risiko,
er da en tand over stregen, så er kan alt jo nærmest være en
sikkerhedsrisiko.

Skulle ikke undre mig om en eller anden en dag fandt ud af at ændre på
baggrundsfarven, og det er vel nok iriterende og et hul, men at den slags,
skal kaldes for sikkerhedsrissiko er for meget, ja jeg vi altså nærmest
kalde det for sjove narestreger,

Det som i lavede ved vores webside var da blot en sådan sjov narestreg.
Nogen sikkerhedsrissiko var der jo ikke for at nogen persondata skulle kunne
misbruges.

Og jeg går ud fra at det er det samme hos den Norske bank.
De blev så bare sure og anmeldte dem der lavede sjov med dem, det ville jg
nu aldrig selv havde gjort.

Hellere vil jeg da have at folk prøver at finde evt. sikkerhedshuller og så
fortæller mig om dem, det er da den bedste test af et system man kan tænke
sig.

Og det gjorde du og det vil jeg ihvertfald sige dig mange tak for, også selv
om vi en gang i mellem ikke er enige her i debatten.

Med venlig hilsen
Bjarne Østergård






Jesper Stocholm (28-11-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 28-11-02 17:45

Bjarne Østergård wrote :

> "Søren Christensen" <soren@post1.tele.dk> skrev i en meddelelse
> news:3de57bab$0$207$edfadb0f@dread14.news.tele.dk...

> Men at du vil klaficere noget sådant, som den helt store sikkerheds
> risiko, er da en tand over stregen, så er kan alt jo nærmest være en
> sikkerhedsrisiko.
>
> Skulle ikke undre mig om en eller anden en dag fandt ud af at ændre på
> baggrundsfarven, og det er vel nok iriterende og et hul, men at den
> slags, skal kaldes for sikkerhedsrissiko er for meget, ja jeg vi altså
> nærmest kalde det for sjove narestreger,

problemet var vel mere, at det kunne lade sig gøre at indføre scripts i
din hjemmeside. Der findes jo desværre en masse upatchede maskiner derude
med IE på, og disse er specielt såbare overfor fx scripts i kombination
med IFRAMEs og lignende. At det måske kan lade sig gøre at ændre på
baggrundsfarven er vel vand i forhold til noget VBS der sletter filer på
en upatchet maskine. Så kan man self. sige, at folk bare kan patche deres
maskiner, men sådan virker tingene desværre ikke altid i den virkelige
verden.
--
Jesper Stocholm
http://stocholm.dk
Ny FAQ for dk.edb.internet.webdesign.serverside.asp
se http://asp-faq.dk

Alex Holst (28-11-2002)
Kommentar
Fra : Alex Holst


Dato : 28-11-02 17:40

"Bjarne Østergård" <boe@ydicon.dk> wrote:
> "Søren Christensen" <soren@post1.tele.dk> skrev i en meddelelse
>> Sagde du forresten nogensinde tak fordi jeg gjorde dig opmærksom på at i
>> havde samme sikkerhedshul på gigasofts websted som Valus?
>
> Nej det gjorde jeg ikke, men jeg vil da gerne takke dig nu.
>
> Men hvis det var samme sikkerheds brist hos values i kritiserer er det da
> helt til grin.
>
> For vi havde jo ingen sikkerhedshul, at folk kan få en beskedboks til at
> poppe op på ens hjemmeside kalder jeg da ikke for et katastrofal
> sikkerhedshol.

Jeg mener, at der baade blev fundet en SQL injection og en cross-site
scripting fejl paa dit site. Jeg kan ikke huske det 100%. De kan begge
misbruges til ganske kreative ting.

Cross-site scripting er et mindre problem hvis ens site ikke benytter
sig af JavaScript, fordi saa er der ingen grund til, at brugeren har det
slaaet til.

> Hellere vil jeg da have at folk prøver at finde evt. sikkerhedshuller og så
> fortæller mig om dem, det er da den bedste test af et system man kan tænke
> sig.

Nej, den bedste "test" er ved at have tilstraekkelig kvalitetssikring
internt i stedet for at haabe en tilfaeldig kunde finder problemet.

Det er jo ikke for *sjov* at nogen af os bruger tid paa denne, relativt
set, slags fis. Det er fordi, at hvis vi ikke goer det *nu*, vil de
alvorlige problemer stadigt findes om nogle aar, endda i endnu stoerre
grad, naar vi er meget mere afhaengige af nettet end vi er nu.

Men det forstaar du ikke, goer du?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Søren Christensen (28-11-2002)
Kommentar
Fra : Søren Christensen


Dato : 28-11-02 17:45


"Bjarne Østergård" <boe@ydicon.dk> wrote in message
news:3de640d9$0$221$edfadb0f@dread16.news.tele.dk...
>
> Nej det gjorde jeg ikke, men jeg vil da gerne takke dig nu.

Tjoo men du har vist ikke læst mit indlæg. Det du snakker om er XSS (Cross
site scripting), det jeg snakkede om var SQL Injection - der er ret stor
forskel. Du har tydeligvis ikke læst om nogle af hullerne - det kan jeg kun
kraftigt råde dig til. Ligesom jeg vil råde dig til at sætte dig ind i
Valussagen en væsenlig del mere før du udtaler dig om den og de involverede
personer - basalt set viser dette indlæg at du ikke ved noget som helst om
det der har foregået.

Men alligevel har i fået rettet lidt af det på jeres side - det må så
antages at være sket ved et uheld.

Hvis du tror man kan ændre baggrundsfarven på jeres side med XSS så tager
du fejl. Hvis du tror man kan gøre det med SQL injection er det muligt du
har ret idet jeg med SQL injection har adgang til serverens filsystem
(blandt andet) og derfor kan dykke ned og ændre i jeres ASP sider. Hvis du
tror det er det eneste en ondsindet person kan finde på at gøre med SQL
injection og XSS så er du naiv.





Jonathan Stein (28-11-2002)
Kommentar
Fra : Jonathan Stein


Dato : 28-11-02 23:45

"Bjarne Østergård" wrote:

> Men hvis det var samme sikkerheds brist hos values i kritiserer er det da
> helt til grin.

Du har altså trods den meget lange debat ikke fundet ud af hvilken fejl, der
blev udnyttet hos Valus?

> For vi havde jo ingen sikkerhedshul, at folk kan få en beskedboks til at
> poppe op på ens hjemmeside kalder jeg da ikke for et katastrofal
> sikkerhedshol.

Det har intet med Valus-sagen at gøre, men hvis du tænker på det eksempel, jeg
kom med tidligere, har du så fantasi til at forestille dig, at man i stedet for
en uskyldig pop-up boks lagde en falsk login-boks oven på den rigtige login-boks
(som sendte brugernavn og kode til en hacker og derefter loggede korrekt ind
uden at brugeren opdagede noget).

> Men indrømmet, det gav da røde ører, så ihvertfald tak for det.

Så må du være let at kende på gaden, for fejlen er der endnu...

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bjarne Østergård (29-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 29-11-02 11:29


"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:3DE69C6A.D658080E@image.dk...
> Så må du være let at kende på gaden, for fejlen er der endnu...

Det var jeg da ked af at høre.
Kan du anbefale et sikkerhedsfirma hvor man kan få lavet et sikkerhedstjek
på webstedet.

Mvh
Bjarne



Brian R. Jensen (29-11-2002)
Kommentar
Fra : Brian R. Jensen


Dato : 29-11-02 16:37


"Bjarne Østergård" <boe@ydicon.dk> skrev i en meddelelse
news:3de74153$0$225$edfadb0f@dread16.news.tele.dk...
>
> "Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
> news:3DE69C6A.D658080E@image.dk...
> > Så må du være let at kende på gaden, for fejlen er der endnu...
>
> Det var jeg da ked af at høre.
> Kan du anbefale et sikkerhedsfirma hvor man kan få lavet et sikkerhedstjek
> på webstedet.

Det er forhåbentlig ikke i den database i gemmer 'alle' de oplysninger jeres
kunde indberetter via PC-Finder!!!!

Så tror jeg lige jeg checker om der er noget der skal slettes i databasen,
bare sådan inden jeg sælger noget videre

/Brian



Bjarne Østergård (29-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 29-11-02 23:39


"Brian R. Jensen" <brjensen@mail.tele.dk> skrev i en meddelelse
news:as81i5$oot$1@sunsite.dk...

> Det er forhåbentlig ikke i den database i gemmer 'alle' de oplysninger
jeres
> kunde indberetter via PC-Finder!!!!
Hvor skulle vi ellers gemme dem?

> Så tror jeg lige jeg checker om der er noget der skal slettes i databasen,
> bare sådan inden jeg sælger noget videre

Gør endelig det, de fylder også snart for meget..


Mvh
Bjarne



Brian R. Jensen (01-12-2002)
Kommentar
Fra : Brian R. Jensen


Dato : 01-12-02 14:00


"Bjarne Østergård" <boe@ydicon.dk> skrev i en meddelelse
news:3de7ec81$0$174$edfadb0f@dread16.news.tele.dk...
>

> > Det er forhåbentlig ikke i den database i gemmer 'alle' de oplysninger
> jeres
> > kunde indberetter via PC-Finder!!!!
> Hvor skulle vi ellers gemme dem?

Du har stadig ikke forstået ret meget af det!

Om så alle dine forudsætninger, i tidligere tråde om PC-Fniders
fortræffeligheder, skulle være rigtige, så er de da _intet_ værd hvis du
opbevarer dine kunders data i en database, hvor der er offentlig adgang med
skrive/læse/rette rettigheder.

/Brian



Bjarne Østergård (01-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 01-12-02 15:29


"Brian R. Jensen" <brjensen@mail.tele.dk> skrev i en meddelelse
news:asd147$feu$1@sunsite.dk...
>
> Du har stadig ikke forstået ret meget af det!
>
> Om så alle dine forudsætninger, i tidligere tråde om PC-Fniders
> fortræffeligheder, skulle være rigtige, så er de da _intet_ værd hvis du
> opbevarer dine kunders data i en database, hvor der er offentlig adgang
med
> skrive/læse/rette rettigheder.

Øh hvordan giver man en kunde adgang til at læse data uden læserettigheder?
Og hvordan skriver man i en database uden skriverettigheder?
Og hvem har dog sagt at det er en offentlig database?

MVH




Brian R. Jensen (01-12-2002)
Kommentar
Fra : Brian R. Jensen


Dato : 01-12-02 18:56


"Bjarne Østergård" <boe@ydicon.dk> skrev i en meddelelse
news:3dea1cc3$0$206$edfadb0f@dread16.news.tele.dk...
>
> "Brian R. Jensen" <brjensen@mail.tele.dk> skrev i en meddelelse
> news:asd147$feu$1@sunsite.dk...
> >
> > Du har stadig ikke forstået ret meget af det!

Jeg er ked af at gentage mig selv, men du har stadig ikke forstået det, vel?

> > Om så alle dine forudsætninger, i tidligere tråde om PC-Fniders
> > fortræffeligheder, skulle være rigtige, så er de da _intet_ værd hvis du
> > opbevarer dine kunders data i en database, hvor der er offentlig adgang
> med
> > skrive/læse/rette rettigheder.
>
> Øh hvordan giver man en kunde adgang til at læse data uden
læserettigheder?

Du har stadig ikke forstået ret meget af det!

> Og hvordan skriver man i en database uden skriverettigheder?

Du har stadig ikke forstået ret meget af det!

> Og hvem har dog sagt at det er en offentlig database?

Det har du (Citat: Hvor skulle vi ellers gemme dem?)

På Søren Christensens indlæg:
<citat>
idet jeg med SQL injection har adgang til serverens filsystem
(blandt andet) og derfor kan dykke ned og ændre i jeres ASP sider. Hvis du
tror det er det eneste en ondsindet person kan finde på at gøre med SQL
injection og XSS så er du naiv.
</citat>
bad du om hjælp til at få rettet fejlen.

Hvad er det du ikke forstår?
Du anerkender at jeres site har den fejl som Søren beskriver, hvor "folk"
har adgang til jeres filsystem, men er i tvivl om hvordan der kan redigeres
i jeres data - Bjarne hvis du vil tages seriøst, så må du holde op med at
svare som Kasper 5år, jeg forudsætter at du selv kan huske dit forrige
indlæg.??

Har du læst om SQL injection, sådan som du er blevet anbefalet?

/Brian



Bjarne Østergård (01-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 01-12-02 20:31


"Brian R. Jensen" <brjensen@mail.tele.dk> skrev i en meddelelse
news:asdifg$ah9$1@sunsite.dk...

> Jeg er ked af at gentage mig selv, men du har stadig ikke forstået det,
vel?
Nej det har jeg ikke.

> > > Om så alle dine forudsætninger, i tidligere tråde om PC-Fniders
> > > fortræffeligheder, skulle være rigtige, så er de da _intet_ værd hvis
du
> > > opbevarer dine kunders data i en database, hvor der er offentlig
adgang
> > med
> > > skrive/læse/rette rettigheder.
Det er jo en total omskrivning, da vi overhovedet ikke har nogen database
med offentlig adgang.

> > Øh hvordan giver man en kunde adgang til at læse data uden
> læserettigheder?
> Du har stadig ikke forstået ret meget af det!
Nej ikke når du mener at man normalt kan læse data uden at have rettigheder
til det.

> > Og hvordan skriver man i en database uden skriverettigheder?
> Du har stadig ikke forstået ret meget af det!
Igen kan jeg ikke forstå at du mener at man kan skrive data i en database
uden at have rettigheder til det.

> > Og hvem har dog sagt at det er en offentlig database?
> Det har du (Citat: Hvor skulle vi ellers gemme dem?)
Vil det sige at man ikke kan gemme data uden at du så mener at det er en
offentlig database.
Jeg gemmer data i en database, det er ikke ensbetydende med at den er
offentlig tilgængelig.

> På Søren Christensens indlæg:
> <citat>
> idet jeg med SQL injection har adgang til serverens filsystem
> (blandt andet) og derfor kan dykke ned og ændre i jeres ASP sider. Hvis du
> tror det er det eneste en ondsindet person kan finde på at gøre med SQL
> injection og XSS så er du naiv.
> </citat>
> bad du om hjælp til at få rettet fejlen.
Og hvad har det så med overstående påstand om at alle databaser er
offentlige at gøre.

> Hvad er det du ikke forstår?
Dig tror jeg.

> Du anerkender at jeres site har den fejl som Søren beskriver, hvor "folk"
> har adgang til jeres filsystem,
Vel gør jeg da ej, ingen har jo adgang, eller har haft adgang, til vores
filsystem eller til vores databaser.
Og det har Søren jo heller ikke sagt, han har blot påpeget risikoen.

>men er i tvivl om hvordan der kan redigeres
> i jeres data
Det er jeg da ikke spor i tvivl om, jeg redigerer da i dem dagligt.

>- Bjarne hvis du vil tages seriøst, så må du holde op med at
> svare som Kasper 5år, jeg forudsætter at du selv kan huske dit forrige
> indlæg.??

Ja der skrev jeg
Gør endelig det, de fylder også snart for meget..

At denne lille sætning skulle kunne få dig til at mene, at vi har offentlige
databaser som der hverken kan skrives i, eller læses fra. eller er det
omvend, kan jeg for min død ikke forstå.

Vi har ingen offentlig databaser.
En offentlig database kræver vel som minimum at offentligheden kan læse de
data der der i databasen.
Og en sådan database har vi slet ikke.
Og at du nu beskylder mig for at påstå at vi har en offentlig database er
altså langt ude.
Det er nogle mystiske uddragelser du gør dig.

Men vi bruger databaser til at gemme data i.
Hvorfor er det så underligt??

Få mig til at forstå det.

MVH






Christian E. Lysel (01-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-12-02 21:05

Bjarne Østergård wrote:
> Vi har ingen offentlig databaser.
> En offentlig database kræver vel som minimum at offentligheden kan læse de
> data der der i databasen.

Hvorfor er det defintionen på en offentlig database.

Hvorfor er en database der kun kan skrive i, ikke offentlig?

At den er offentlig forstår jeg, som at man på en eller anden måde har
adgang til denne, typen af operationer er vel ligegyldig, blot man
stadigvæk har adgang.

> Men vi bruger databaser til at gemme data i.
> Hvorfor er det så underligt??

Du har før undret dig over at man kan gemme ugyldige data i din database.

Jeg har ikke ville teste om man kan kører forspørgelser i den, da jeg
ikke har fået din accept.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (01-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 01-12-02 21:18

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asdppi$cd3$1@sunsite.dk...
> Bjarne Østergård wrote:
> > Vi har ingen offentlig databaser.
> > En offentlig database kræver vel som minimum at offentligheden kan læse
de
> > data der der i databasen.
> Hvorfor er det defintionen på en offentlig database.
>
> Hvorfor er en database der kun kan skrive i, ikke offentlig?

> At den er offentlig forstår jeg, som at man på en eller anden måde har
> adgang til denne, typen af operationer er vel ligegyldig, blot man
> stadigvæk har adgang.

Med offentlig mener jeg noget offentligheden har adgang til, uden hindringer
Offentlige parker kontra private parker, er vel et eksempel der meget godt
forklarer og beskriver begrebet.

> > Men vi bruger databaser til at gemme data i.
> > Hvorfor er det så underligt??

> Du har før undret dig over at man kan gemme ugyldige data i din database.
Det er der da aldrig nogen der har gjort, jeg har i så fald ikke opdaget
det, så det kan ikke være det jeg har undret mig over.

> Jeg har ikke ville teste om man kan kører forspørgelser i den, da jeg
> ikke har fået din accept.
Det vil jeg da meget gerne give dig tilladelse til at teste.
Og jeg vil da blive glad hvis du vil fortælle mig ressultatet.

MVH




Christian E. Lysel (01-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-12-02 22:26

Bjarne Østergård wrote:
> Med offentlig mener jeg noget offentligheden har adgang til, uden hindringer

Fint, og der er adgang til at udfører en operation. Hvilken operationen,
er vel ligegyldig?

> Offentlige parker kontra private parker, er vel et eksempel der meget godt
> forklarer og beskriver begrebet.

Dejlig parallel, i en offentlig park har jeg ikke skrive adgang, dvs.
jeg må ikke ændre indholdet, ved fx at grave haven op, eller fælde et træ.

>>Du har før undret dig over at man kan gemme ugyldige data i din database.
> Det er der da aldrig nogen der har gjort, jeg har i så fald ikke opdaget
> det, så det kan ikke være det jeg har undret mig over.

http://groups.google.com/groups?selm=3c5082e8%240%24244%24edfadb0f%40dspool01.news.tele.dk

>>Jeg har ikke ville teste om man kan kører forspørgelser i den, da jeg
>>ikke har fået din accept.
> Det vil jeg da meget gerne give dig tilladelse til at teste.
> Og jeg vil da blive glad hvis du vil fortælle mig ressultatet.

Det skal nok præsiseres.

Bla. skal vi definier tidsperioden og serveren IP adresse for testen.
Har du evt. selv nogle forbehold? (Jeg regner med det kører i produktion).

Jeg skal have en test/demo klient stillet til rådighed.

Du skal dog være opmærksom på du ikke kan bruge testen til andet end at
rette de evt. fejl der bliver fundet (om du så retter det rigtigt er
ikke sikkert), og at det ikke er et udtryk for at alle fejl bliver fundet.

Hvis testen ikke finder fejl, er det ikke ensbetydende med at der ikke
er fejl. Måske var jeg blot ikke "heldig nok".

Hvad du kan bruge en test til kan jeg ikke se.

Skal du gøre noget seriøst, skal du hører på hvad Alex siger til dig.

Resultatet skal du nok få.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 17:26

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asdugb$o94$1@sunsite.dk...
>
> > Offentlige parker kontra private parker, er vel et eksempel der meget
godt
> > forklarer og beskriver begrebet.
>
> Dejlig parallel, i en offentlig park har jeg ikke skrive adgang, dvs.
> jeg må ikke ændre indholdet, ved fx at grave haven op, eller fælde et træ.
Fint så fik vi da præsiceret det, og jeg gentager da gerne at vi ikke har
nogle offentlige databaser.
Kun folk me adgangsbilet får adgang og adgangsbiletten er vores produkt.

> >>Du har før undret dig over at man kan gemme ugyldige data i din
database.
> > Det er der da aldrig nogen der har gjort, jeg har i så fald ikke opdaget
> > det, så det kan ikke være det jeg har undret mig over.
>
>
http://groups.google.com/groups?selm=3c5082e8%240%24244%24edfadb0f%40dspool0
1.news.tele.dk
Hvad har de link med det at skaffe.
Jeg gentager da gerne igen, jeg er jo en tålmodig fyr.
Der er ingen der kan skrive i vores database som ikke har adgang til at gøre
det, og det har offentligheden ikke.
Vores program har, og brugeren af programmet har adgang til at læse hvad
programmet skriver om den pågældende bruger men ikke mere.
Så det er faktisk som det skal være.
Det hele virker faktis fantastisk godt og fejlfrit, selv om det måske ærger
nogen er det alligevel tilfældet.

> >>Jeg har ikke ville teste om man kan kører forspørgelser i den, da jeg
> >>ikke har fået din accept.
> > Det vil jeg da meget gerne give dig tilladelse til at teste.
> > Og jeg vil da blive glad hvis du vil fortælle mig ressultatet.
>
> Det skal nok præsiseres.
Du kan jo bare gå ind på websiden og se om du kan skrive eller læse noget du
ikke burde hav ret til og adgang til.

Kan du det har vi en fejl, kan du ikke det må vel selv du være tilfreds.
Så klø på, og lad os få fundet alle de mange og katastrofale fejl huller som
du jo påstår vi har.

> Du skal dog være opmærksom på du ikke kan bruge testen til andet end at
> rette de evt. fejl der bliver fundet (om du så retter det rigtigt er
> ikke sikkert), og at det ikke er et udtryk for at alle fejl bliver fundet.
>
> Hvis testen ikke finder fejl, er det ikke ensbetydende med at der ikke
> er fejl. Måske var jeg blot ikke "heldig nok".

Ja fejl skal der altså være, uanset om man kan finde dem eller ej.
Sikke en holdning

> Hvad du kan bruge en test til kan jeg ikke se.
Næh med den holding du har til tingene har jeg da også svært ved at se det.
Du har jo erklæret fejl, også selv om der ikke kan findes nogen.

> Skal du gøre noget seriøst, skal du hører på hvad Alex siger til dig.
Beklager.
Folk der har som erklæret mål, at skade mig eller mit firma, mest muligt,
kan jeg ikke diskutere med.
Heller ikke selv om de har gurustatus i en NG.

> Resultatet skal du nok få.
Jammen det har du jo givet mig.
"Enten er der fejl fordi jeg finder dem eller også er der fejl jeg ikke har
fundet."

Det er skam et meget brugbart resultat.

Det fortæller da en del.

MVH







Christian E. Lysel (03-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 03-12-02 00:19

Bjarne Østergård wrote:
> Kun folk me adgangsbilet får adgang og adgangsbiletten er vores produkt.

Kan du ikke skitsere adgangskontrolen der bliver fortaget udefor databasen?

> http://groups.google.com/groups?selm=3c5082e8%240%24244%24edfadb0f%40dspool0
> 1.news.tele.dk
> Hvad har de link med det at skaffe.

....Ja jeg er bange for du har ret.
Ser ud til at folk der har en internet forbindelse via kabeltv får denne
fejl...

At det så intet havde med kabeltv var en anden sag.

> Jeg gentager da gerne igen, jeg er jo en tålmodig fyr.
> Der er ingen der kan skrive i vores database som ikke har adgang til at gøre
> det, og det har offentligheden ikke.

Det er jo der jeg bla. vil finde ud af i en test.

> Det hele virker faktis fantastisk godt og fejlfrit, selv om det måske ærger
> nogen er det alligevel tilfældet.

Kun en tåbe påstår at han er fejlfri.

Hvad har du fortaget dig, for at være sikker på det er fejlfrit?

>>Det skal nok præsiseres.
> Du kan jo bare gå ind på websiden og se om du kan skrive eller læse noget du
> ikke burde hav ret til og adgang til.

Præsiseringen er at jeg kan gå ind på websiden (hvilken,fx ydicon.dk
eller gigasoft.dk?) og se om jeg kan skrive eller læse der som jeg ikke
har adgang til? (hvad har jeg ikke adgang til?)


Ville det fx være et problem hvis alle PC'er blev meldt sjålet?

> Kan du det har vi en fejl, kan du ikke det må vel selv du være tilfreds.

Hvad må jeg ikke skrive i? (nogle dele vil jo naturligt blive ødelagt og
maskinen skal måske reinstalleres, du bør præsisere det mere end ovennævnte)

> Så klø på, og lad os få fundet alle de mange og katastrofale fejl huller som
> du jo påstår vi har.

Først skal vi være enig hvad der skal testes.

>>Du skal dog være opmærksom på du ikke kan bruge testen til andet end at
>>rette de evt. fejl der bliver fundet (om du så retter det rigtigt er
>>ikke sikkert), og at det ikke er et udtryk for at alle fejl bliver fundet.
>>
>>Hvis testen ikke finder fejl, er det ikke ensbetydende med at der ikke
>>er fejl. Måske var jeg blot ikke "heldig nok".
> Ja fejl skal der altså være, uanset om man kan finde dem eller ej.
> Sikke en holdning

Nej, jeg skrev "christian finder ingen fejl, ergo ved vi ikke om der er
fejl", jeg skrev ikke "christian finder ingen fejl, ergo er der fejl",
og ej "christian finder ingen fejl, ergo er der ingen fejl".

>>Hvad du kan bruge en test til kan jeg ikke se.
> Næh med den holding du har til tingene har jeg da også svært ved at se det.
> Du har jo erklæret fejl, også selv om der ikke kan findes nogen.

Nej.

>>Skal du gøre noget seriøst, skal du hører på hvad Alex siger til dig.
> Beklager.
> Folk der har som erklæret mål, at skade mig eller mit firma, mest muligt,

Ikke alt hvad han siger er for at skade dig. Han siger noget fornuftigt
engang imellem, når han faktisk gerne vil hjælpe dig.

Problemet er måske at der bliver spildt meget tid på dig.

>>Resultatet skal du nok få.
> "Enten er der fejl fordi jeg finder dem eller også er der fejl jeg ikke har
> fundet."
> Det fortæller da en del.

Om hvad?

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Brian R. Jensen (02-12-2002)
Kommentar
Fra : Brian R. Jensen


Dato : 02-12-02 00:25


"Bjarne Østergård" <boe@ydicon.dk> skrev i en meddelelse
news:3dea637f$0$135$edfadb0f@dread16.news.tele.dk...

> Det er jo en total omskrivning, da vi overhovedet ikke har nogen database
> med offentlig adgang.

Ordkløveri, du har en database hvor det er muligt, for uautoriserede, at få
adgang til.

> > > Øh hvordan giver man en kunde adgang til at læse data uden
> > læserettigheder?
> > Du har stadig ikke forstået ret meget af det!
> Nej ikke når du mener at man normalt kan læse data uden at have
rettigheder
> til det.

Ikke normalt, men i jeres tilfælde, hvor du jo selv har bedt om hjælp til at
få lukket det hul som Søren Christensen præsenterede dig for.

> > > Og hvordan skriver man i en database uden skriverettigheder?
> > Du har stadig ikke forstået ret meget af det!
> Igen kan jeg ikke forstå at du mener at man kan skrive data i en database
> uden at have rettigheder til det.

Igen, ikke normalt, men i jeres tilfælde, hvor du jo selv har bedt om hjælp
til at få lukket det hul som Søren Christensen præsenterede dig for.

> > > Og hvem har dog sagt at det er en offentlig database?
> > Det har du (Citat: Hvor skulle vi ellers gemme dem?)
> Vil det sige at man ikke kan gemme data uden at du så mener at det er en
> offentlig database.
> Jeg gemmer data i en database, det er ikke ensbetydende med at den er
> offentlig tilgængelig.

Ordkløveri, dit website er offentligt tilgængeligt, dit website bygger på en
database, der er fejl på dit website der gør det muligt at få adgang til din
database. Basta.

> Og hvad har det så med overstående påstand om at alle databaser er
> offentlige at gøre.

Jeg har aldrig påstået at alle databaser er offentlige - du vrøvler

> >- Bjarne hvis du vil tages seriøst, så må du holde op med at
> > svare som Kasper 5år, jeg forudsætter at du selv kan huske dit forrige
> > indlæg.??
>
> Ja der skrev jeg
> Gør endelig det, de fylder også snart for meget..

Kan du slet ikke huske mere af det du skrev??

> At denne lille sætning skulle kunne få dig til at mene, at vi har
offentlige
> databaser som der hverken kan skrives i, eller læses fra. eller er det
> omvend, kan jeg for min død ikke forstå.

Læser du overhovedet hvad jeg, og andre, skriver til dig?

> Vi har ingen offentlig databaser.
> En offentlig database kræver vel som minimum at offentligheden kan læse de
> data der der i databasen.
> Og en sådan database har vi slet ikke.
> Og at du nu beskylder mig for at påstå at vi har en offentlig database er
> altså langt ude.
> Det er nogle mystiske uddragelser du gør dig.
>
> Men vi bruger databaser til at gemme data i.
> Hvorfor er det så underligt??
>
> Få mig til at forstå det.

I min fritid er jeg foreningsleder, og der er jeg vandt til at møde børn der
diskutere/argumentere på samme måde som dig - men hvis du ikke er istand til
at hæve dig over 'æv-bæv du er dum' niveauet, så foretrækker jeg at stoppe
her.

/Brian



Anders Larsson (02-12-2002)
Kommentar
Fra : Anders Larsson


Dato : 02-12-02 01:29


"Bjarne Østergård" <boe@ydicon.dk> skrev i en meddelelse
news:3dea637f$0$135$edfadb0f@dread16.news.tele.dk...
>
> "Brian R. Jensen" <brjensen@mail.tele.dk> skrev i en meddelelse
> news:asdifg$ah9$1@sunsite.dk...
>
> > Jeg er ked af at gentage mig selv, men du har stadig ikke forstået det,
> vel?
> Nej det har jeg ikke.
>
> > > > Om så alle dine forudsætninger, i tidligere tråde om PC-Fniders
> > > > fortræffeligheder, skulle være rigtige, så er de da _intet_ værd
hvis
> du
> > > > opbevarer dine kunders data i en database, hvor der er offentlig
> adgang
> > > med
> > > > skrive/læse/rette rettigheder.
> Det er jo en total omskrivning, da vi overhovedet ikke har nogen database
> med offentlig adgang.

Jeg håber at du vil være venlig at bruge lidt tid, på at forklare mig
hvorledes PC-Finder "ringer" hjem og opdaterer databasen med nye data.

Jeg tror nemlig det er dette punkt du mener der ikke er offentlig adgang
til, og man ikke har adgang til udefra til at se hvad der er skrevet i
databasen - eller at der er direkte adgang til at køre queries mod
databasen.

Problemet er så blot at ASP scriptet på en aller anden måde skal udføre en
SQL kommando for at tilføje/rette records - og det er dette punkt som er det
kritiske.

F.eks. kunne PC-Finder udfylde en formular, for at opdatere stamdata.

Problemet opstår først hvis stamdata opdateres ved at der i http strengen
overføres parametere.

Ved parameter overførsel kan der være en risiko for at man kan få SQL
strengen til se noget anderledes ud end hvad der var tiltænkt - f.eks. ved
at tilføje et ekstra ';EXEC+.....' - og dermed udføre noget andet end hvad
der oprindeligt var meningen.

Jeg håber ikke du tager dette som kritik - det er blot et forsøg på at
udrede hvad jeg tror er misforståelser.

For i det øjeblik der er adgang til at ændre data i databasen - hvad enten
dette er direkte til SQL serveren eller via http - ja så er databasen
principielt eksponeret offentligt.
Dette er *ikke* det samme som at databasen er tilgængelig direkte - det kan
vil typisk være indirekte via andre interfaces som f.eks. web server.

Men ok ... hvis det er en MS Access database, er risikoen noget anderledes.
Men jeg kan dog dårligt forestille mig at i benytter en Access database til
et webinterface hvor der kan forventes flere samtidige brugere.

--
Med venlig hilsen / Best regards
Anders Larsson
Alle udtalelser er ubetinget mine egne...
.... undtagen i de tilfælde hvor andre gør indsigelse...
.......eller hvor de blot er uvederhæftige.....


Alex Holst (29-11-2002)
Kommentar
Fra : Alex Holst


Dato : 29-11-02 15:45

"Bjarne Østergård" <boe@ydicon.dk> wrote:
> "Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
> news:3DE69C6A.D658080E@image.dk...
>> Så må du være let at kende på gaden, for fejlen er der endnu...
>
> Det var jeg da ked af at høre.
> Kan du anbefale et sikkerhedsfirma hvor man kan få lavet et sikkerhedstjek
> på webstedet.

Jeg mindes en reklame: "Websikkerhed? IBM kan hjaelpe."

Hvorfor vil du hente hjaelp til den slags *efter* sitet er gjort
tilgaengeligt for offenligheden? Det skal goeres *foer*. Har Gigasoft en
passende sikkerhedspolitik? Overholder Gigasoft loven om behandling af
persondata?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Søren Christensen (29-11-2002)
Kommentar
Fra : Søren Christensen


Dato : 29-11-02 21:55


"Bjarne Østergård" <boe@ydicon.dk> wrote in message
news:3de74153$0$225$edfadb0f@dread16.news.tele.dk...
>
> Det var jeg da ked af at høre.
> Kan du anbefale et sikkerhedsfirma hvor man kan få lavet et sikkerhedstjek
> på webstedet.
>

Det er faktisk et godt spørgsmål. Du kan sikkert henvende dig til de fleste
sikkerhedsorienterede firmaer og få 'tjekket' din sikkerhed. De vil højst
sandsynligt bare scanne efter port og opdatere eventuelly manglende
patches - hvilket ikke hjælper dig. Desværre ser det ud til at
'sikkerhedsfirmaerne' ikke kender til applikationssikring så det er nok bare
spild af penge.
Du skal have fat i folk der kender til web programmering på windows
platformen - arkitektonisk, sikkerhedsmæssigt osv... altså ting udover ASP
(som ikke skal bruges til systemprogrammering overhovedet).

Prøv at ringe rundt og hør hvor mange webbureauer der rent faktisk kan
dette - jeg vil gætte på 1 ud af 20 - hvis du er heldig. Hvis det havde
været andre platforme end MS vil du sikkert kunne finde mange flere
kompetente folk (idet andre platforme kræver lidt mere teknisk kompetence at
bruge).

Jeg kender et par stykker, men de er nok ikke interesseret i at jeg gør
reklame for dem, så længe jeg er Valus hackernes bagmand..:+)

--



Bjarne Østergård (29-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 29-11-02 23:33

"Søren Christensen" <soren@post1.tele.dk> skrev i en meddelelse
news:3de7d590$0$249$edfadb0f@dread14.news.tele.dk...
>
> "Bjarne Østergård" <boe@ydicon.dk> wrote in message
> news:3de74153$0$225$edfadb0f@dread16.news.tele.dk...
> >
> > Det var jeg da ked af at høre.
> > Kan du anbefale et sikkerhedsfirma hvor man kan få lavet et
sikkerhedstjek
> > på webstedet.
> >
>
> Det er faktisk et godt spørgsmål. Du kan sikkert henvende dig til de
fleste
> sikkerhedsorienterede firmaer og få 'tjekket' din sikkerhed. De vil højst
> sandsynligt bare scanne efter port og opdatere eventuelly manglende
> patches - hvilket ikke hjælper dig. Desværre ser det ud til at
> 'sikkerhedsfirmaerne' ikke kender til applikationssikring så det er nok
bare
> spild af penge.
Tjah det er også min erfarring, har forsøgt mig rundt omkring, men jeg tror
nu vi er rimelig sikret.
F.eks kan jeg se at en med IP: 217.157.139.117 seks gange er blevet afvist
i tidsrummet Dato-tid: 29-11-2002 17:43:59 til Dato-tid: 29-11-2002
17:46:47
Jeg kan også se hvilken linje i koden der har opfanget og afvist ham, så
lidt styr på det, har vi altså.
Fyren har bare leget lidt med en mailform.

> Du skal have fat i folk der kender til web programmering på windows
> platformen - arkitektonisk, sikkerhedsmæssigt osv... altså ting udover ASP
> (som ikke skal bruges til systemprogrammering overhovedet).

Vi bruger faktisk TDC som rådgivere og det er nu ret kompetente og dygtige
medarbejdere vi har kontakt til der.
Desusen er der SMS alarm på serveren, som gerne skulle gå af hvis et eller
andet fejler.
Desuden, så vil jeg påstå jeg har en af de bedste medarbejdere til asp der
findes.
(Hm. håber ikke han læser dette, så vil han bare have lønforhøjelse)

> Prøv at ringe rundt og hør hvor mange webbureauer der rent faktisk kan
> dette - jeg vil gætte på 1 ud af 20 - hvis du er heldig
Ja det er jeg ret sikker på at du har ret i, det er faktisk uhyre svært at
finde nogen overhovedet, undtagen de rigtige store selskaber.
Og det er da også dem vi bruger til rådgivning på de områder hvor vi selv
ikke har den nødvendige kompentance.

>. Hvis det havde
> været andre platforme end MS vil du sikkert kunne finde mange flere
> kompetente folk (idet andre platforme kræver lidt mere teknisk kompetence
at
> bruge).
Hm så er jeg altså glad for at vi ikke bruger en sådan, det er sgu svært nok
i forvejen.
Altså at have kompetence nok.

> Jeg kender et par stykker, men de er nok ikke interesseret i at jeg gør
> reklame for dem, så længe jeg er Valus hackernes bagmand..:+)

Nåh er det nu så slemt igen?.
Du er jo nærmest blevet verdensberømt, og det plejer da at være dyrt at få
berømtheder til at reklamere for ens produkter.
Så hvem ved, måske optræder du snart i TV. i en eller anden skør sæbereklame
.

MVH.
BØ.






Niels Andersen (30-11-2002)
Kommentar
Fra : Niels Andersen


Dato : 30-11-02 00:26

Bjarne Østergård wrote in <3de7eaeb$0$120$edfadb0f@dread16.news.tele.dk>:
>>. Hvis det havde
>> været andre platforme end MS vil du sikkert kunne finde mange flere
>> kompetente folk (idet andre platforme kræver lidt mere teknisk kompetence
>> at bruge).
> Hm så er jeg altså glad for at vi ikke bruger en sådan, det er sgu svært
> nok i forvejen.
> Altså at have kompetence nok.

Jeg tror du misforstod. Jeg tror Søren snakkede om dette:

Enhver der har siddet og leget lidt med at bruge fed og kursiv i Word(pad),
og gemme med et andet filnavn, kan sætte en Windows-server op. Er personen
også myndig, kan vedkommende let oprette et firma, et firma-telefonnummer,
og sætte en annonce i De Gule Sider. Du har nu et firma der tilbyder
konfiguration af servere, men uden kompetente folk.

Det er sværere med andre platforme. Okay, de fleste Linux-distributioner er
vist efterhånden lige så lette at installere som Windows. Men når man får
en opgave i Windows kan man ofte løse den ved at klikke rundt omkring
indtil det virker. Derefter kan den næste uge så gå med at løse de
problemer man fik skabt undervejs. Bliver de løst på samme måde bliver
serveren bare værre og værre.

Helt så slemt behøver det ikke at være, men princippet er godt nok.

Om det er forklaringen kan jeg kun gætte på. Men min erfaring er, at de
fleste Windows-maskiner er dårligt sat op, mens de fleste andre computere
(Linux, BSD, Mac, whatever) tydeligvis er sat op af kompetente mennesker,
der har brugt hjernen mere end musen.

Den logiske slutning må være, at går man til en tilfældig Windows-mand, er
han højest sandsynligt langt fra så kompetent, som en tilfældig
alt-muligt-andet-mand. Sjovt nok er det også min erfaring.

(Bemærk at jeg på intet tidspunkt snakker om hvor godt eller dårligt Windows
er, eller at Windows-brugere er dumme. Dette er altså ikke oplæg til
OS-krig. Jeg kan godt lide Windows, til det, det er godt til, og jeg har
ikke noget imod folk, bare fordi de kan lide Windows og Windows-løsninger.)

--
Mvh.

Niels Andersen
(la nels. anersyn.)

Bjarne Østergård (30-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 30-11-02 01:40


"Niels Andersen" <niels-usenet@myplace.dk> skrev i en meddelelse
news:fISF9.48422$HU.3345534@news010.worldonline.dk...
> Bjarne Østergård wrote in <3de7eaeb$0$120$edfadb0f@dread16.news.tele.dk>:

> Jeg tror du misforstod. Jeg tror Søren snakkede om dette:
>
> Enhver der har siddet og leget lidt med at bruge fed og kursiv i
Word(pad),
> og gemme med et andet filnavn, kan sætte en Windows-server op. Er personen
> også myndig, kan vedkommende let oprette et firma, et firma-telefonnummer,
> og sætte en annonce i De Gule Sider. Du har nu et firma der tilbyder
> konfiguration af servere, men uden kompetente folk.
Hm jeg kender et par stykker af slagsen.

> Det er sværere med andre platforme. Okay, de fleste Linux-distributioner
er
> vist efterhånden lige så lette at installere som Windows. Men når man får
> en opgave i Windows kan man ofte løse den ved at klikke rundt omkring
> indtil det virker. Derefter kan den næste uge så gå med at løse de
> problemer man fik skabt undervejs. Bliver de løst på samme måde bliver
> serveren bare værre og værre.
>
> Helt så slemt behøver det ikke at være, men princippet er godt nok.
>
> Om det er forklaringen kan jeg kun gætte på. Men min erfaring er, at de
> fleste Windows-maskiner er dårligt sat op, mens de fleste andre computere
> (Linux, BSD, Mac, whatever) tydeligvis er sat op af kompetente mennesker,
> der har brugt hjernen mere end musen.
Tjah jeg skulle ikke kun sige om du har ret eller uret.
Men jeg faldt over en artikkel et sted hvor der blev sagt at andre systemer
var akkurat lige så meget udsat og blev komprimenteret mindst lige så mange
gange som windows systemerne
> Den logiske slutning må være, at går man til en tilfældig Windows-mand, er
> han højest sandsynligt langt fra så kompetent, som en tilfældig
> alt-muligt-andet-mand. Sjovt nok er det også min erfaring.
Ja men det er vel egentligt logisk nok, der findes jo flest windows
maskiner.

> (Bemærk at jeg på intet tidspunkt snakker om hvor godt eller dårligt
Windows
> er, eller at Windows-brugere er dumme. Dette er altså ikke oplæg til
> OS-krig. Jeg kan godt lide Windows, til det, det er godt til, og jeg har
> ikke noget imod folk, bare fordi de kan lide Windows og
Windows-løsninger.)

Tjah, det er vel som med biler, nogen mener det ene mærke kører meget bedere
end et andet, og alligevel kommer det jo i sidste ende en hel del an på
chaufføren.

De fleste dårlige bilister, kører jo nok i de bilmærker der er flest af, og
sådan er det vel også med software systemer.

Men mon ikke de fleste seriøs virksomheder har nogle chaufører der er
veluddannet, også til deres servere, eller køber sig til den nødvendige
ekspertise.

Der er jo vild stor forskel på at have en hjemmeserver kørende til at lege
med eller udvikle på, og så en forretningsserver, der skal håndtere en
virksomhed.

Det største problem tror jeg , er faktisk at det er så svært at skulle købe
sig til eksperter, da man jo typisk kun tilkalder dem hvis man selv har for
lidt viden på området. og så er det svært at kunne vurdere ekspertens
formåen og dygtighed, uden at man selv skal være ekspert.

Er man selv ekspert er der jo ingen grund til at købe en.

Skulle man virkelig gøre noget ved problemet, ville det være rart med en
slags beskyttet tittel, så man kun måtte kalde sig for server ekspert hvis
man havde gennemgået en bestemt uddannelse.

Man kan f.eks ikke nedsætte sig som læge eller inginør uden en godkendt
eksamen. sådan burde det også være for dem der tilbød ekspertbistand til
servere der skal håndtere følsomme data.

For min skyld måtte man også gerne oprette en slags periodiske syn af
servere der skulle håndtere følsomme data. det ville få mange beskyldninger
til at forstumme tror jeg.

Det ville alt andet lige også være godt for vores kunder, det ville kunne
gøre dem mere tryg ved at bruge den services som vi nu tilbyder hvis man
havde et sådant periodisk syn.

Jeg ved jo selv af bitter erfarring, hvor svært det kan være at skulle
argumentere for at ens system og produkt er sikkert nok.

For små virksomheder som vores, ville et sådant sikkerheds syn der stillede
krav til sikkerheden. faktisk være en stor fordel.
Jeg kan se en masse fordele ved et sådant system, og næsten ingen ulemper.

Tænk hvis jeg havde et dokument det kunne bevise at mit system var synet den
og den dato og fuldt levede op til de stillede sikkerhedskrav,
og at dette dokument var udstedt af et autoriseret synsorgan der havde den
nødvendige ekspertise på området.
Og som selvfølgeligt var uafhængig af nogen softwaregiganter.

Det ville spare os der ikke kan trække den ene ekspert efter den anden op af
hatten til at forsvare os med, hver gang vi får lidt medieomtale, for meget.
bøvl og ærgelser.

Nå men det er vel en dørm og nu får jeg vel igen skyld for at jeg vrøvler.

Mvh




Jonathan Stein (01-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 01-12-02 19:44

"Bjarne Østergård" wrote:

> Men mon ikke de fleste seriøs virksomheder har nogle chaufører der er
> veluddannet, også til deres servere, eller køber sig til den nødvendige
> ekspertise.

Nej, det er et af de grundlæggende sikkerhedsproblemer, som vi jævnligt ser
konsekvenserne af (f.eks. i Valus-sagen).
Betragter du dit eget firma som seriøst? Har du sikkerhedshuller? Har du købt
tilstrækkelig ekspertise?

> Det største problem tror jeg , er faktisk at det er så svært at skulle købe
> sig til eksperter, da man jo typisk kun tilkalder dem hvis man selv har for
> lidt viden på området. og så er det svært at kunne vurdere ekspertens
> formåen og dygtighed, uden at man selv skal være ekspert.

Sikkerhed koster penge nu - manglende sikkerhed koster først senere. Sikkerhed
bliver ikke grundlæggende forbedret, så længe sikkerhedsomkostninger bliver set
som irriterende ekstra-udgifter.

> Man kan f.eks ikke nedsætte sig som læge eller inginør uden en godkendt
> eksamen. sådan burde det også være for dem der tilbød ekspertbistand til
> servere der skal håndtere følsomme data.

Jeg vil i det tilfælde foretrække en ingeniør frem for en læge, - også selv om
jeg hæver mig over egne faglige interesser.

> Tænk hvis jeg havde et dokument det kunne bevise at mit system var synet den
> og den dato og fuldt levede op til de stillede sikkerhedskrav,
> og at dette dokument var udstedt af et autoriseret synsorgan der havde den
> nødvendige ekspertise på området.

ISO 17799 ? Følgende side fra omtalen af den danske udgave beskriver nogle af
de grundlæggende problemer omkring sikkerhed: http://www.ds.dk/908

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Søren Christensen (30-11-2002)
Kommentar
Fra : Søren Christensen


Dato : 30-11-02 02:09


"Bjarne Østergård" <boe@ydicon.dk> wrote in message
news:3de7eaeb$0$120$edfadb0f@dread16.news.tele.dk...

> Vi bruger faktisk TDC som rådgivere og det er nu ret kompetente og dygtige
> medarbejdere vi har kontakt til der.
> Desusen er der SMS alarm på serveren, som gerne skulle gå af hvis et eller
> andet fejler.

SMS kan have en latent tid på flere timer? Har i råd til det? Er der andre
alternativer?

> Desuden, så vil jeg påstå jeg har en af de bedste medarbejdere til asp der
> findes.
> (Hm. håber ikke han læser dette, så vil han bare have lønforhøjelse)

Ligesom som alle andre webbureauer har i også verdensmesteren i ASP. Nu er
ASP noget man kan overskue og blive ekspert i, i løbet af en måned så
umiddelbart vil jeg ikke blære mig med det. Faktum er at måske er han en god
ASP 'programmør' men han validere stadig ikke brugerinput - ergo er han en
dårlig programmør. ASP er ikke et systemudviklingssprog, men kun den lim der
skal binde et system sammen med en webserver. Systemer skal udvikles i et
sprog der faciliterer sikkerhed, skalering, sikkerhed og performance. ASP
gør ingen af delene.


> Nåh er det nu så slemt igen?.

Åbenbart. Så snart jeg nævner det for firmaer så stopper al kommunikation.

> Du er jo nærmest blevet verdensberømt, og det plejer da at være dyrt at få
> berømtheder til at reklamere for ens produkter.
> Så hvem ved, måske optræder du snart i TV. i en eller anden skør
sæbereklame
> .

Nu er min hygiejne så tilpas lav at ingen vil tro på at jeg lavede reklamer
for sæbe - og hvis jeg gjorde vil troværdigheden være lavere end Valus der
reklamere for applikationssikkerhed.
Men lad være med at kontakte mig til at lave reklamefilm for
PC-forsvinder - i har ikke råd..



Bjarne Østergård (30-11-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 30-11-02 02:41


"Søren Christensen" <soren@post1.tele.dk> skrev i en meddelelse
news:3de8115a$0$160$edfadb0f@dread14.news.tele.dk...
> Nu er min hygiejne så tilpas lav at ingen vil tro på at jeg lavede
reklamer
> for sæbe - og hvis jeg gjorde vil troværdigheden være lavere end Valus der
> reklamere for applikationssikkerhed.
> Men lad være med at kontakte mig til at lave reklamefilm for
> PC-forsvinder - i har ikke råd..

He Ja kært barn har jo som bekendt mange navne.

Mvh

PS. Kunne ellers give anledning til en fantstis Email adresse.
vaske@med.soerens.sebe.dk

Undskyld )



Asbjorn Hojmark (30-11-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 30-11-02 23:59

On Sat, 30 Nov 2002 02:08:32 +0100, "Søren Christensen"
<soren@post1.tele.dk> wrote:

> SMS kan have en latent tid på flere timer?

En latent tid? Ja, ja.

-A
--
http://www.hojmark.org/

Søren Christensen (01-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 01-12-02 01:46

Så lantens periode da?



"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:plgiuuc3rqqsejocv49ip4u2cblfkhdlpt@news.tiscali.dk...
> On Sat, 30 Nov 2002 02:08:32 +0100, "Søren Christensen"
> <soren@post1.tele.dk> wrote:
>
> > SMS kan have en latent tid på flere timer?
>
> En latent tid? Ja, ja.
>
> -A
> --
> http://www.hojmark.org/



Jonathan Stein (01-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 01-12-02 19:19

"Bjarne Østergård" wrote:

> Desusen er der SMS alarm på serveren, som gerne skulle gå af hvis et eller
> andet fejler.

Hvis et sikkerhedshul udnyttes "korrekt", vil der aldrig opstå en fejl på
serveren.

> Desuden, så vil jeg påstå jeg har en af de bedste medarbejdere til asp der
> findes.

Fik han meget røde ører, da han første gang hørte om den fejl, jeg gjorde dig
opmærksom på, og gik han straks i gang med at rette den? Blev han endnu mere
flov da han hørte, at den var der endnu?
Måske skal du revidere din opfattelse.

> (Hm. håber ikke han læser dette, så vil han bare have lønforhøjelse)

Jeg ville rette sådan en fejl uden beregning...

> > Prøv at ringe rundt og hør hvor mange webbureauer der rent faktisk kan
> > dette - jeg vil gætte på 1 ud af 20 - hvis du er heldig
> Ja det er jeg ret sikker på at du har ret i, det er faktisk uhyre svært at
> finde nogen overhovedet, undtagen de rigtige store selskaber.
> Og det er da også dem vi bruger til rådgivning på de områder hvor vi selv
> ikke har den nødvendige kompentance.

Så kunne noget tyde på, at I ikke selv har overblik over hvor I mangler
kompetancer. Noget, vi vist er flere, der også har givet udtryk for i tidligere
tråde.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bjarne Østergård (01-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 01-12-02 20:59


"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:3DEA529B.A4ED181F@image.dk...
> "Bjarne Østergård" wrote:
>
> > Desusen er der SMS alarm på serveren, som gerne skulle gå af hvis et
eller
> > andet fejler.
>
> Hvis et sikkerhedshul udnyttes "korrekt", vil der aldrig opstå en fejl

> serveren.
Det ved jeg.
> > Desuden, så vil jeg påstå jeg har en af de bedste medarbejdere til asp
der
> > findes.
>
> Fik han meget røde ører, da han første gang hørte om den fejl, jeg
gjorde dig
> opmærksom på, og gik han straks i gang med at rette den? Blev han endnu
mere
> flov da han hørte, at den var der endnu?
> Måske skal du revidere din opfattelse.
Det gør jeg faktisk hele tiden, og hver dag, men i dette specielle tilfælde
ser jeg bestemt ingen grund dertil.

> Så kunne noget tyde på, at I ikke selv har overblik over hvor I mangler
> kompetancer. Noget, vi vist er flere, der også har givet udtryk for i
tidligere
> tråde.
Sikkert ikke men....

At beskylde folk for manglende kompetence er jo standard i alle tråde her i
denne Ng, så det kan jeg ikke tage så alvorligt.
Men jeg ved at man aldrig kan få kompetence nok.

Hvis jeg f.eks ville vide noget om oksekød vil jeg spørge i en NG. for
slagtere, og ingen ville sikkert der nedgøre en der spiser oksekød for
manglende kompetence, fordi pågøldende ikke er koslagter.

Men sådan er der jo forslellige skikke i forskellige grupper.

Forresten kan jeg da ikke huske at have diskuteret kompetance behovsanalyser
her
og da slet ikke om mine medarbejdere, det kunne faktisk aldrig falde mig ind
at diskutere det offentligt.


MVH




Christian E. Lysel (01-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-12-02 23:41

Bjarne Østergård wrote:
> At beskylde folk for manglende kompetence er jo standard i alle tråde her i
> denne Ng, så det kan jeg ikke tage så alvorligt.
> Men jeg ved at man aldrig kan få kompetence nok.

http://groups.google.com/groups?selm=8vkaf7%24je6%241%40news.cybercity.dk

....Udviklet i VB5 -VB6- samt Access....

Er produktet stadigvæk udviklet i ovennævnte?


> Hvis jeg f.eks ville vide noget om oksekød vil jeg spørge i en NG. for
> slagtere, og ingen ville sikkert der nedgøre en der spiser oksekød for
> manglende kompetence, fordi pågøldende ikke er koslagter.

Her ville vi nok forslå at spise chokolade.

> og da slet ikke om mine medarbejdere, det kunne faktisk aldrig falde mig ind
> at diskutere det offentligt.

Du har tidligere fortalt at du havde flere netværksspecialister ansat,
for derefter at stille basal spørgsmål om Ethernet adresser.

http://groups.google.com/groups?selm=3c47827a%240%2489063%24edfadb0f%40dspool01.news.tele.dk

http://groups.google.com/groups?selm=3D4972D7.6060306%40spindelnet.dk


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 11:03


"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:ase2u4$dq$1@sunsite.dk...
> Bjarne Østergård wrote:

> Du har tidligere fortalt at du havde flere netværksspecialister ansat,
> for derefter at stille basal spørgsmål om Ethernet adresser.

Øh må man da ikke det ?

Jeg ville gern stadigvæk gerne vide det jeg spurgte om den gang, for ingen
har endnu kunnet give meg et entydig svar herpå.
Specialister eller ej.

Mit spørfsmå den gang var om nogen kunne sige mig hvor unikt netkortes MAC
adresse egentlig er.
Og det vil jeg faktisk gerne stadigvæk gerne vide.

Ingen ser ud til at vide det med bestemthed.

Nå pyt vi har da lige fanget en forbrydere på mac adressen alligevel, så det
er vel ikke så vigtigt.
Fyren brugte et netkort der var efterlyst, til at surfe på nettet, og det
var dumt.

Men vores kunde og politiet blev nu glad.
Det samme tror jeg forsikringsselskabet gjorde.

MVH




Jesper Stocholm (02-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 02-12-02 11:42

Bjarne Østergård wrote :

>
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en
> meddelelse news:ase2u4$dq$1@sunsite.dk...
>> Bjarne Østergård wrote:
>
>> Du har tidligere fortalt at du havde flere netværksspecialister
>> ansat, for derefter at stille basal spørgsmål om Ethernet adresser.
>
> Øh må man da ikke det ?
>
> Jeg ville gern stadigvæk gerne vide det jeg spurgte om den gang, for
> ingen har endnu kunnet give meg et entydig svar herpå.
> Specialister eller ej.
>
> Mit spørfsmå den gang var om nogen kunne sige mig hvor unikt netkortes
> MAC adresse egentlig er.
> Og det vil jeg faktisk gerne stadigvæk gerne vide.
>
> Ingen ser ud til at vide det med bestemthed.

MAC-adresser er unikke når de kommer fra producenten. Hver producent får
tildelt et "range" af adresser, som du så bruger. Der findes dog svjv
programmer til at ændre denne adresse, så unikheden kan ikke garanteres
efter pakken med netkortet er blevet åbnet.



--
Jesper Stocholm - http://stocholm.dk
if you are competing with the darknet, you must compete on the darknet's
own terms: that is convenience and low cost rather than additional
security. ( http://crypto.stanford.edu/DRM2002/darknet5.doc )

Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 11:57


"Jesper Stocholm" <jespers@stocholm.invalid> skrev i en meddelelse
news:Xns92D876F2A29B5spamstocholmdk@130.226.1.34...
> Bjarne Østergård wrote :
>
> >
> > "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en
> > meddelelse news:ase2u4$dq$1@sunsite.dk...
> >> Bjarne Østergård wrote:
> >
> >> Du har tidligere fortalt at du havde flere netværksspecialister
> >> ansat, for derefter at stille basal spørgsmål om Ethernet adresser.
> >
> > Øh må man da ikke det ?
> >
> > Jeg ville gern stadigvæk gerne vide det jeg spurgte om den gang, for
> > ingen har endnu kunnet give meg et entydig svar herpå.
> > Specialister eller ej.
> >
> > Mit spørfsmå den gang var om nogen kunne sige mig hvor unikt netkortes
> > MAC adresse egentlig er.
> > Og det vil jeg faktisk gerne stadigvæk gerne vide.
> >
> > Ingen ser ud til at vide det med bestemthed.
>
> MAC-adresser er unikke når de kommer fra producenten. Hver producent får
> tildelt et "range" af adresser, som du så bruger. Der findes dog svjv
> programmer til at ændre denne adresse, så unikheden kan ikke garanteres
> efter pakken med netkortet er blevet åbnet.

Ja det er også hvad jeg hidtil har troet, men der går velholdende rygter om
en producent i østen, der skulle have fremstillet en del netkort, alle med
samme Mac Adresse.
Hvad denne adresse er og hvor mange det drejer sig om, har jeg ikke kunnet
finde ud af.
Faktisk er jeg lidt i tvivl om det er rygter eller fakta.

MVH
Bjarne Ø





Jonathan Stein (02-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 02-12-02 13:40

"Bjarne Østergård" wrote:

> > > Mit spørfsmå den gang var om nogen kunne sige mig hvor unikt netkortes
> > > MAC adresse egentlig er.
> > > Og det vil jeg faktisk gerne stadigvæk gerne vide.

42 !

> Ja det er også hvad jeg hidtil har troet, men der går velholdende rygter om
> en producent i østen, der skulle have fremstillet en del netkort, alle med
> samme Mac Adresse.
> Hvad denne adresse er og hvor mange det drejer sig om, har jeg ikke kunnet
> finde ud af.
> Faktisk er jeg lidt i tvivl om det er rygter eller fakta.

Som du og/eller dine eksperter naturligvis ved, vil det ikke fungere, hvis to
netkort med samme MAC-adresse kommer i samme lokalnet(*). Man må formode, at
netkort ofte købes flere styk sammen og installeres i samme netværk - hvilket
straks ville afsløre, at noget ikke virkede, hvis de havde samme MAC-adresse.
Derfor virker det meget usandsynligt, at der skulle være en større mængde
kort i omløb med samme MAC-adresse. Det virker mere sandsynligt, at nogen
skulle bruge samme _serier_ af MAC-adresser, men så vil der principielt kun
være to af hver slags kort i verden, og det skulle være meget uheldigt, om de
to kort blev forvekslet.
Hvis dine "eksperter" ikke har kunnet fortælle dig dette, havner vi igen ved
ét bestemt ord, som du åbenbart ikke bryder dig om: kompetencer.

(*) Lad os ikke komplicere tingene med at gå i detaljer her. Interesserede
henvises til http://www.net-faq.dk/

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Asbjorn Hojmark (02-12-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 02-12-02 14:16

On Mon, 2 Dec 2002 10:41:43 +0000 (UTC), Jesper Stocholm
<jespers@stocholm.invalid> wrote:

> MAC-adresser er unikke når de kommer fra producenten. Hver producent får
> tildelt et "range" af adresser, som du så bruger. Der findes dog svjv
> programmer til at ændre denne adresse

Ja, Windows og Linux, fx.

-A
--
http://www.hojmark.org/

Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 14:46


"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:98nmuusvpg9utnall4d8m93oobd5p58r53@news.tiscali.dk...
> On Mon, 2 Dec 2002 10:41:43 +0000 (UTC), Jesper Stocholm
> <jespers@stocholm.invalid> wrote:
>
> > MAC-adresser er unikke når de kommer fra producenten. Hver producent får
> > tildelt et "range" af adresser, som du så bruger. Der findes dog svjv
> > programmer til at ændre denne adresse
>
> Ja, Windows og Linux, fx.

Kunne du ikke give mig opskriften på at ændre den i Windows

MVH
Bjarne



Arne Schwerdtfegger (02-12-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 02-12-02 14:54

"Bjarne Østergård" <boe@ydicon.dk> wrote in
news:3deb640f$0$131$edfadb0f@dread16.news.tele.dk:

[skift af MAC-adresse]

> Kunne du ikke give mig opskriften på at ændre den i Windows

Driveren til netkortet skal understøtte det. En googlesøgning vil pege dig
i rigtige retning, hvis du da er i stand til dette.

--
Knud

Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 15:09


"Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> skrev i en meddelelse
news:Xns92D897A8F6E53knudINVALIDskodlivdk@212.242.40.196...
> "Bjarne Østergård" <boe@ydicon.dk> wrote in
> news:3deb640f$0$131$edfadb0f@dread16.news.tele.dk:
>
> [skift af MAC-adresse]
>
> > Kunne du ikke give mig opskriften på at ændre den i Windows
>
> Driveren til netkortet skal understøtte det. En googlesøgning vil pege dig
> i rigtige retning, hvis du da er i stand til dette.

Igen et undvigende svar
Nu ved jeg så at driveren skal understøtte det, men det var da en ringe
brugsanvisning.

Er det virkelig helt umuligt at få et klart svar på et simpelt spørgsmål.

Hvordan finder jeg ud af om min nuværende driver understøtter ændring af mac
adressen.
Og hvis den gør, hvordan ændre jeg så mac adressen.

MVH
Bjarne





Thomas (02-12-2002)
Kommentar
Fra : Thomas


Dato : 02-12-02 15:45

Bjarne Østergård wrote:
>
> "Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> skrev i en meddelelse
> news:Xns92D897A8F6E53knudINVALIDskodlivdk@212.242.40.196...
>>
>> Driveren til netkortet skal understøtte det. En googlesøgning vil pege dig
>> i rigtige retning, hvis du da er i stand til dette.
>
> Igen et undvigende svar

Nej, det er et generelt svar. Svaret er forskelligt fra netkort til
netkort.

> Nu ved jeg så at driveren skal understøtte det, men det var da en ringe
> brugsanvisning.

Men den eneste generelle der kan gives.

> Er det virkelig helt umuligt at få et klart svar på et simpelt spørgsmål.

Til generelle spørgsmål, får man generelle svar.

--
Don't waste space

Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 15:53

"Thomas" <inthenews@corell.dk> skrev i en meddelelse
news:slrnaumsfi.2lpk.inthenews@mail.corell.dk...
> Bjarne Østergård wrote:
> >
> > "Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> skrev i en meddelelse
> > news:Xns92D897A8F6E53knudINVALIDskodlivdk@212.242.40.196...
> >>
> >> Driveren til netkortet skal understøtte det. En googlesøgning vil pege
dig
> >> i rigtige retning, hvis du da er i stand til dette.
> >
> > Igen et undvigende svar
>
> Nej, det er et generelt svar. Svaret er forskelligt fra netkort til
> netkort.
>
> > Nu ved jeg så at driveren skal understøtte det, men det var da en ringe
> > brugsanvisning.
>
> Men den eneste generelle der kan gives.

OK og tak
Men nu har jeg fået svaret fra Asbjørn
Det var faktisk et ret klart og brugbart svar.

MVH
Bjarne



Thomas (02-12-2002)
Kommentar
Fra : Thomas


Dato : 02-12-02 15:56

Bjarne Østergård wrote:
> "Thomas" <inthenews@corell.dk> skrev i en meddelelse
> news:slrnaumsfi.2lpk.inthenews@mail.corell.dk...
>>
>> Men den eneste generelle der kan gives.
>
> OK og tak
> Men nu har jeg fået svaret fra Asbjørn
> Det var faktisk et ret klart og brugbart svar.

Du overså måske at AH skrev:

"Det kan variere for de forskellige drivers, men hvis det kan
sættes med den pågældende driver, gøres det oftest under pro-
perties for netkortet."

Så det er ikke et generelt svar.

--
Don't waste space

Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 16:37


"Thomas" <inthenews@corell.dk> skrev i en meddelelse
news:slrnaumt4p.2lpk.inthenews@mail.corell.dk...
> > Det var faktisk et ret klart og brugbart svar.

> Du overså måske at AH skrev:
>
> "Det kan variere for de forskellige drivers, men hvis det kan
> sættes med den pågældende driver, gøres det oftest under pro-
> perties for netkortet."
>
> Så det er ikke et generelt svar.
Asbjørn gav et helt klart eksempel med en udførlig brugsanvisning.
Det er det jeg forstår ved et klart og udførligt samt brugbart svar.
Det er da det mest brugbare svar jeg har set om emnet. faktisk det eneste.

Alle de andre svar, gik jo på at søg på gogle, eller spørg en anden.
eller du er for dum til at fatte det hvis du ikke i forvejen ved det.

Så jeg mener altså at Asbjørns svar var langt mere brugbart.

Tænk engang, nu kan jeg også være med, og svare den næste der stille samme
spørgsmål med,
"Ved du ikke engang det, så må du jo være dum"

Jeg skulle nu være rustet til at begå mig væsentligt bedere her i gruppen.

Hvem ved, måske kan jeg endda blive optaget i broderskabet.
Du ved nok hvad jeg mener.

MVH
Bjarne



Christian E. Lysel (02-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 02-12-02 19:37

Bjarne Østergård wrote:
> Tænk engang, nu kan jeg også være med, og svare den næste der stille samme
> spørgsmål med,
> "Ved du ikke engang det, så må du jo være dum"

Du misforstår mig. Jeg mener der er dumt ikke at spørge specialister man
har ansat og giver penge til.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Christian E. Lysel (02-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 02-12-02 14:59

Bjarne Østergård wrote:
>>Ja, Windows og Linux, fx.
> Kunne du ikke give mig opskriften på at ændre den i Windows

Hvis jeg var dig, ville jeg spørge mine netværksspecialister.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 15:12


"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asfove$dh3$1@sunsite.dk...
> Bjarne Østergård wrote:
> >>Ja, Windows og Linux, fx.
> > Kunne du ikke give mig opskriften på at ændre den i Windows
>
> Hvis jeg var dig, ville jeg spørge mine netværksspecialister.

Ja det svar var jo forventligt.

Men nu spørger jeg så dig

Hvordan gør man det ?

Et så trivielt spørgsmål som alle ikke dumme mennesker jo burde kunne svare
på, skulle vel kunne besvares her i denne NG.

MVH




Christian E. Lysel (02-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 02-12-02 19:35

Bjarne Østergård wrote:
>>Hvis jeg var dig, ville jeg spørge mine netværksspecialister.
> Ja det svar var jo forventligt.
>
> Men nu spørger jeg så dig
>
> Hvordan gør man det ?

Hvis jeg var dig ville jeg hendvende mig til en af min ansatte og
spørge, "Er MAC adresser unike?"


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Asbjorn Hojmark (02-12-2002)
Kommentar
Fra : Asbjorn Hojmark


Dato : 02-12-02 15:36

On Mon, 2 Dec 2002 14:46:00 +0100, "Bjarne Østergård"
<boe@ydicon.dk> wrote:

>> Der findes dog svjv programmer til at ændre denne [MAC] adresse

>> Ja, Windows og Linux, fx.

> Kunne du ikke give mig opskriften på at ændre den i Windows

Det kan variere for de forskellige drivers, men hvis det kan
sættes med den pågældende driver, gøres det oftest under pro-
perties for netkortet.

WXP: Start | Settings | Control Panel | Network Connections |
Local Area Connection | Properties | Configure | Advanced |
Locally Administered Address.

-A
--
http://www.hojmark.org/

Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 15:47


> WXP: Start | Settings | Control Panel | Network Connections |
> Local Area Connection | Properties | Configure | Advanced |
> Locally Administered Address.

Tusind tak
MVH
Bjarne



Christian E. Lysel (02-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 02-12-02 12:21

Bjarne Østergård wrote:
>>Du har tidligere fortalt at du havde flere netværksspecialister ansat,
>>for derefter at stille basal spørgsmål om Ethernet adresser.
> Øh må man da ikke det ?

Man udstiller sig som værende dum, når man på den ene side siger man har
flere specialister ansat, for derefter at spørge om det mest trivielle.

> Jeg ville gern stadigvæk gerne vide det jeg spurgte om den gang, for ingen
> har endnu kunnet give meg et entydig svar herpå.
> Specialister eller ej.

Kan det tænkes der ikke er et entydigt svar?


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 12:48

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asffn0$cev$1@sunsite.dk...
> Bjarne Østergård wrote:
> >>Du har tidligere fortalt at du havde flere netværksspecialister ansat,
> >>for derefter at stille basal spørgsmål om Ethernet adresser.
> > Øh må man da ikke det ?
>
> Man udstiller sig som værende dum, når man på den ene side siger man har
> flere specialister ansat, for derefter at spørge om det mest trivielle.
>
> > Jeg ville gern stadigvæk gerne vide det jeg spurgte om den gang, for
ingen
> > har endnu kunnet give meg et entydig svar herpå.
> > Specialister eller ej.
>
> Kan det tænkes der ikke er et entydigt svar?

Måske er spørgsmålet altså slet ikke så triviel alligevel.
Så der er altså mange der udstiller sig selv som værende dum efter din
mening.

Jeg syntes nu der er en hår dom, at betegne alle der stille spørgsmål som du
anser for trivielle, som værende dumme.

Specielt især da, når du ikke selv kan besvare de trivielle spørgsmål.
Og jeg går da ud fra at du ikke regner dig selv blandt de dumme.

MVH




Christian E. Lysel (02-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 02-12-02 13:23

Bjarne Østergård wrote:
>>>har endnu kunnet give meg et entydig svar herpå.
>>>Specialister eller ej.
>>Kan det tænkes der ikke er et entydigt svar?
> Måske er spørgsmålet altså slet ikke så triviel alligevel.

Spørgsmål er tvivelt nok.

Du hæfter dig blot at du ikke får ét præsist svar. Jeg fortæller dig at
der ikke er ét svar, men flere.

> Så der er altså mange der udstiller sig selv som værende dum efter din
> mening.

Jeg stiller ikke spørgsmålet, du er derimod spørgsmåls stilleren.

> Jeg syntes nu der er en hår dom, at betegne alle der stille spørgsmål som du
> anser for trivielle, som værende dumme.

Det er ikke det "domen" er baseret på. Jeg basere det på det fakta at du
har flere netværksspecialister ansat som ikke angiveligt ved noget om
Ethternet adresser. Jeg kan godt se det dumme i at ansætte
netværksspecialister (specielt specialister, specielt i forbindelse i et
produkt der bruger MAC adresser) der ikke ved noget om Ethernet.

> Specielt især da, når du ikke selv kan besvare de trivielle spørgsmål.

Jeg har svaret.

Men at du påstår jeg ikke har svaret, bekræfter (desværrer) blot at du
er dum.

> Og jeg går da ud fra at du ikke regner dig selv blandt de dumme.

Nej, det ville jo være dumt :)


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Jonathan Stein (02-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 02-12-02 13:49

"Bjarne Østergård" wrote:

> > > Desusen er der SMS alarm på serveren, som gerne skulle gå af hvis et eller
>
> > > andet fejler.
> >
> > Hvis et sikkerhedshul udnyttes "korrekt", vil der aldrig opstå en fejl på
> > serveren.
> Det ved jeg.

Hvorfor bruger du så SMS-alarmen som "garant" for, at I ville opdage et
indbrud? Hvis ikke det skulle tolkes sådan hvorfor så overhovedet nævne
SMS-alarmen?

> > > Desuden, så vil jeg påstå jeg har en af de bedste medarbejdere til asp der
>
> > > findes.
> >
> > Fik han meget røde ører, da han første gang hørte om den fejl, jeg gjorde
> dig
> > opmærksom på, og gik han straks i gang med at rette den? Blev han endnu mere
>
> > flov da han hørte, at den var der endnu?
> > Måske skal du revidere din opfattelse.
> Det gør jeg faktisk hele tiden, og hver dag, men i dette specielle tilfælde
> ser jeg bestemt ingen grund dertil.

- I bliver gjort opmærksom på en fejl. - I bliver gjort opmærksom på, at samme
fejl er et nyt sted. - Fejlen er der stadig.
Du mener stadig, at jeres programmør er en af de bedste til ASP. Er det fordi
du mener, at basal sikkerhedsviden ikke er relevant for en ASP-medarbejder?

> > Så kunne noget tyde på, at I ikke selv har overblik over hvor I mangler
> > kompetancer. Noget, vi vist er flere, der også har givet udtryk for i
> tidligere
> > tråde.
> Sikkert ikke men....
>
> At beskylde folk for manglende kompetence er jo standard i alle tråde her i
> denne Ng, så det kan jeg ikke tage så alvorligt.

Ok, - så de mest udbredte problemer (dem, der bliver nævnt oftest) kan man
ikke tage alvorligt? Du har virkelig en "spændende" opfattelse af tingene.
Et (stadig) åbent sikkerhedshul dokumenterer ikke over for dig, at der er
kompetence-problemer?

> Forresten kan jeg da ikke huske at have diskuteret kompetance behovsanalyser
> her
> og da slet ikke om mine medarbejdere, det kunne faktisk aldrig falde mig ind
> at diskutere det offentligt.

Som jeg skrev: "Noget, vi vist er flere, der også har givet udtryk for i
tidligere tråde.".

Jeg var godt klar over, at du heller ikke den gang lyttede efter, så "vi" i
ovenstående sætning inkluderede ikke dig.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 14:32

"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:3DEB56B9.1D56FD0F@image.dk...

> Hvorfor bruger du så SMS-alarmen som "garant" for, at I ville opdage et
> indbrud? Hvis ikke det skulle tolkes sådan hvorfor så overhovedet nævne
> SMS-alarmen?
Næh når du kan uddrage denne fortolkning ud fra en oplysning om SMS alarm,
burde jeg selvfølgeligt ikke havde nævnt den.

Jeg har da vis aldrig givet udtryg for at denne alarm skulle være nogen
"garant" for noget som helst.
Det er egentlig bare en standard løsning som de fleste profesionelle bruger,
der har med servere at gøre.

> - I bliver gjort opmærksom på en fejl. - I bliver gjort opmærksom på, at
samme
> fejl er et nyt sted. - Fejlen er der stadig.
Jeg aner ikke hvad det er for en fejl du taler om.
Mig bekendt er der ingen fejl der skulle kunne betegnes som åbne
sikkerhedshuller.

> Du mener stadig, at jeres programmør er en af de bedste til ASP. Er det
fordi
> du mener, at basal sikkerhedsviden ikke er relevant for en
ASP-medarbejder?
Jeg må vel selv bedst vide hvad jeg selv mener, så lad være med at fortælle
mig hvad jeg mener.
Måske lider vi bare ikke af så udpræget paranoia.
Og vi tror ikke på at verden vil gå under i morgen, heller ikke selv om der
skulle kunne påvises en eller anden ubetydlig fejl der kan gøre at folk kan
få en beskedboks til at poppe op på en hjemmeside hvor det ikke var
tilsigtet.
I min verden er sådan noget bare morsomt, skulle jeg tage det alvorligt,
ville jeg nok kalde det for latterligt, at betegne det som et åbent
sikkerhedshul.

> Ok, - så de mest udbredte problemer (dem, der bliver nævnt oftest) kan
man
> ikke tage alvorligt? Du har virkelig en "spændende" opfattelse af tingene.
> Et (stadig) åbent sikkerhedshul dokumenterer ikke over for dig, at der
er
> kompetence-problemer?
Jammen hvad for et åbent sikkerhedshul, er det du taler om, kan du ikke være
lidt mere præcis.
Mig bekendt har vi ikke noget åbent sikkerhedshul, det er jo din frie
fantasi der spiller dig et puds tror jeg.

> > Forresten kan jeg da ikke huske at have diskuteret kompetance
behovsanalyser
> > her
> > og da slet ikke om mine medarbejdere, det kunne faktisk aldrig falde mig
ind
> > at diskutere det offentligt.

> Som jeg skrev: "Noget, vi vist er flere, der også har givet udtryk for i
> tidligere tråde.".
ja det er i jo flittige til, men jeg har ikke diskuteret nogens kompetence
med nogen.

> Jeg var godt klar over, at du heller ikke den gang lyttede efter, så
"vi" i
> ovenstående sætning inkluderede ikke dig.

Nå det var rart, så har du da i det mindste forstået det.
Jeg kunne aldrig finde på at drage andres kompetence i tvivl på en NG, det
er jo for langt ude i hampen.

Så jeg er da glad for at du har forstået, i det mindste det.

MVH













Jonathan Stein (02-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 02-12-02 20:47

"Bjarne Østergård" wrote:

> Det er egentlig bare en standard løsning som de fleste profesionelle bruger,
> der har med servere at gøre.

Hvorfor fortælle ting, der ikke har med sagen at gøre. At I har server-alarm
hjælper ikke på det sikkerhedsproblem.

> > - I bliver gjort opmærksom på en fejl. - I bliver gjort opmærksom på, at
> samme
> > fejl er et nyt sted. - Fejlen er der stadig.
>
>
> Jeg aner ikke hvad det er for en fejl du taler om.

Første problem.

> Mig bekendt er der ingen fejl der skulle kunne betegnes som åbne
> sikkerhedshuller.

Har du læst den info, du fik om cross-side scripting?

> > Du mener stadig, at jeres programmør er en af de bedste til ASP. Er det
> fordi
> > du mener, at basal sikkerhedsviden ikke er relevant for en ASP-medarbejder?
>
>
> Jeg må vel selv bedst vide hvad jeg selv mener, så lad være med at fortælle
> mig hvad jeg mener.

Første sætning var en gentagelse af hvad du tidligere har skrevet. Har du
ændret holdning? (Anden sætning var et spørgsmål, så der tillægger jeg dig ikke
nogen holdninger).

> Måske lider vi bare ikke af så udpræget paranoia.

Andet problem.

> Og vi tror ikke på at verden vil gå under i morgen, heller ikke selv om der
> skulle kunne påvises en eller anden ubetydlig fejl der kan gøre at folk kan
> få en beskedboks til at poppe op på en hjemmeside hvor det ikke var
> tilsigtet.

Du har altså enten ikke læst eller ikke forstået konsekvenserne af fejlen.

> I min verden er sådan noget bare morsomt, skulle jeg tage det alvorligt,
> ville jeg nok kalde det for latterligt, at betegne det som et åbent
> sikkerhedshul.

Sig mantraet: "Kompetencer".

> > Ok, - så de mest udbredte problemer (dem, der bliver nævnt oftest) kan man
>
> > ikke tage alvorligt? Du har virkelig en "spændende" opfattelse af tingene.
> > Et (stadig) åbent sikkerhedshul dokumenterer ikke over for dig, at der er
> > kompetence-problemer?
>
>
> Jammen hvad for et åbent sikkerhedshul, er det du taler om, kan du ikke være
> lidt mere præcis.
>
>
> Mig bekendt har vi ikke noget åbent sikkerhedshul, det er jo din frie
> fantasi der spiller dig et puds tror jeg.

En hel gruppe eksperter (eller bare folk med lidt bedre kompetencer) fortæller
dig, at du har sikkerhedsproblemer. Du mener, at det trods tidligere
dokumentation og forklaringer er fantasi.
Tænkte du over hvad jeg skrev med en log-in boks?

Prøv at gå ind på http://home.worldonline.dk/jstein/cssdemo/gigasoft.html -
"min" log-in boks kunne sagtens have været en eksakt kopi af din.

> > Som jeg skrev: "Noget, vi vist er flere, der også har givet udtryk for i
> > tidligere tråde.".
> ja det er i jo flittige til, men jeg har ikke diskuteret nogens kompetence med
> nogen.

Du har i hvert fald flittigt demonstreret manglende kompetencer inden for
områder, du tilsyneladende har ansvaret for. - Og du drager hellere andres
kompetencer i tvivl end du sætter dig ordentligt ind i sagerne.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bjarne Østergård (03-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 03-12-02 12:29


"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:3DEBB8C7.48EF40A3@image.dk...

> Du har i hvert fald flittigt demonstreret manglende kompetencer inden
for
> områder, du tilsyneladende har ansvaret for. - Og du drager hellere andres
> kompetencer i tvivl end du sætter dig ordentligt ind i sagerne.

Jeg drager bestemt ikke nogens kompetence i tvivl.

Nu har jeg lige bedt (givet ordre til) at hele hjemmesiden gennemgåes fra a
til z igen

Så jeg tager det skam alvorligt, hvad du siger.


MVH





Jonathan Stein (03-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 03-12-02 15:39

"Bjarne Østergård" wrote:

> > Du har i hvert fald flittigt demonstreret manglende kompetencer inden for
> > områder, du tilsyneladende har ansvaret for. - Og du drager hellere andres
> > kompetencer i tvivl end du sætter dig ordentligt ind i sagerne.
>
> Jeg drager bestemt ikke nogens kompetence i tvivl.

"det er jo din frie fantasi der spiller dig et puds tror jeg.".

> Nu har jeg lige bedt (givet ordre til) at hele hjemmesiden gennemgåes fra a
> til z igen
>
> Så jeg tager det skam alvorligt, hvad du siger.

Åbenbart først da jeg gav dig en komplet demonstration af sikkerhedshullet.
Indtil da skrev du "I min verden er sådan noget bare morsomt, skulle jeg tage
det alvorligt, ville jeg nok kalde det for latterligt, at betegne det som et
åbent sikkerhedshul." - selv om du for lang tid siden kunne have set hvad jeg nu
har vist dig, hvis du havde læst den information, du blev henvist til.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 01:45

"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:3DECC20D.22A9793B@image.dk...
> "Bjarne Østergård" wrote:
>
> > > Du har i hvert fald flittigt demonstreret manglende kompetencer
inden for
> > > områder, du tilsyneladende har ansvaret for. - Og du drager hellere
andres
> > > kompetencer i tvivl end du sætter dig ordentligt ind i sagerne.
> >
> > Jeg drager bestemt ikke nogens kompetence i tvivl.
>
> "det er jo din frie fantasi der spiller dig et puds tror jeg.".
>
> > Nu har jeg lige bedt (givet ordre til) at hele hjemmesiden gennemgåes
fra a
> > til z igen
> >
> > Så jeg tager det skam alvorligt, hvad du siger.
>
> Åbenbart først da jeg gav dig en komplet demonstration af
sikkerhedshullet.
> Indtil da skrev du "I min verden er sådan noget bare morsomt, skulle jeg
tage
> det alvorligt, ville jeg nok kalde det for latterligt, at betegne det som
et
> åbent sikkerhedshul." - selv om du for lang tid siden kunne have set hvad
jeg nu
> har vist dig, hvis du havde læst den information, du blev henvist til.

Ja det er jeg jo nødt til at give dig ret i.
Andet kan jeg egentlig ikke sige, og så tak fordi du brugte en vognstang til
at give mig et vink med.

Hm bliver dyrt i kvajekager for en eller anden.

Med meget venlig hilsen
Og jeg mener det
Bjarne Østergård








Jonathan Stein (05-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 05-12-02 13:53

"Bjarne Østergård" wrote:

> > > Så jeg tager det skam alvorligt, hvad du siger.
> >
> > Åbenbart først da jeg gav dig en komplet demonstration af
> sikkerhedshullet.
> > Indtil da skrev du "I min verden er sådan noget bare morsomt, skulle jeg
> tage
> > det alvorligt, ville jeg nok kalde det for latterligt, at betegne det som et
>
> > åbent sikkerhedshul." - selv om du for lang tid siden kunne have set hvad
> jeg nu
> > har vist dig, hvis du havde læst den information, du blev henvist til.
>
> Ja det er jeg jo nødt til at give dig ret i.
> Andet kan jeg egentlig ikke sige, og så tak fordi du brugte en vognstang til
> at give mig et vink med.

You're welcome. Med et ydmygt håb om at du vil huske på dette tilfælde i andre
situationer.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Søren Christensen (03-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 03-12-02 11:53

Misquoting BØ:

> Vi bruger faktisk TDC som rådgivere og det er nu ret kompetente og dygtige
> medarbejdere vi har kontakt til der.

Jeg glemte helt at kommentere på denneher. Jeg er sikker på at TDC har nogle
kompetente folk der er gode rådgivere og des lige. Men har de folk der kan
hjælpe dig med implemerting og design af sikkerhed i din systemarkitektur og
din kode - hvilket er problemet her (folk som kunne have rådgivet jer om de
fejl der er blevet påpeget)?

Jeg står stærk tvivlende overfor det idet jeg har observeret TDC websteder
som også lider af 'Valus hullet'. Det skyldes en ting og det er at de ikke
har en generel sikkerhedspolitik - ok måske har de det, men den bliver ikke
brugt over hele linien - og har man først fået en fod indenfor..sååå.

Det er sørgeligt at det er blevet reglen fremfor undtagelsen, at en websted
har sikkerhedsmangler på applikationsniveauet.



Jonathan Stein (01-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 01-12-02 19:11

"Bjarne Østergård" wrote:

> > Så må du være let at kende på gaden, for fejlen er der endnu...
>
> Det var jeg da ked af at høre.
> Kan du anbefale et sikkerhedsfirma hvor man kan få lavet et sikkerhedstjek
> på webstedet.

Jeg har ikke noget grundlag for at fremhæve den ene frem for den anden, men
når du stadig har fejl efter at være gjort opmærksom på problemet tidligere,
så er et sikkerhedstjek ikke det, jeg vil starte med at anbefale.
Der skal laves en sikkerhedsvurdering (risikovurdering) inden arbejdet
starter, og optimalt skal alle udviklere i projektet være opmærksomme på
sikkerhedsrisici.
Vil du være parat til at skrotte alt det hidtidige arbejde og begynde
forfra? Sikkerhed, der bliver lagt på efter udviklingen, kan aldrig blive
andet end lappeløsninger.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Povl H. Pedersen (02-12-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 02-12-02 00:11

In article <3DEA50B6.23026625@image.dk>, Jonathan Stein wrote:
> "Bjarne Østergård" wrote:
>
>> > Så må du være let at kende på gaden, for fejlen er der endnu...
>>
>> Det var jeg da ked af at høre.
>> Kan du anbefale et sikkerhedsfirma hvor man kan få lavet et sikkerhedstjek
>> på webstedet.
>
> Jeg har ikke noget grundlag for at fremhæve den ene frem for den anden, men
> når du stadig har fejl efter at være gjort opmærksom på problemet tidligere,
> så er et sikkerhedstjek ikke det, jeg vil starte med at anbefale.
> Der skal laves en sikkerhedsvurdering (risikovurdering) inden arbejdet
> starter, og optimalt skal alle udviklere i projektet være opmærksomme på
> sikkerhedsrisici.
> Vil du være parat til at skrotte alt det hidtidige arbejde og begynde
> forfra? Sikkerhed, der bliver lagt på efter udviklingen, kan aldrig blive
> andet end lappeløsninger.

Jo det kan. Men rigtigt meget afhænger af designet af koden.
Og jeg vil sige, at man bør lade 2 udviklere der er sikkerheds-
uddannet på et eller andet niveau, løbe al koden igennem, og
blive enige om at det er godt nok. Altså minimum 2 sæt øjne
på al koden.

Jeg har på arbejde testet noget ASP kode vi har fået lavet ude i byen,
og det havde alle de samme problemer. Efter jeg påpegede fejlen har
de lagt sikkerhed på de steder hvor der kommer tekststrenge ind
via en POST. de har ikke set på GET. Derudover ser de ikke på
integers, da de assigner dem til ints i ASP, og derfor får runtime
fejl ved forsøg på SQL injection. Ikke pænt, men det virker.

Problemet med ASP er, at det er for let at gå til uden at man
ved noget om nogen ting.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Jonathan Stein (02-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 02-12-02 13:53

"Povl H. Pedersen" wrote:

> > ... Sikkerhed, der bliver lagt på efter udviklingen, kan aldrig
> > blive andet end lappeløsninger.
>
> Jo det kan. Men rigtigt meget afhænger af designet af koden.

Selvfølgelig kan man lave review på al kode og lave en total dokumentation
efterfølgende, men så vil jeg tillade mig at kalde det en del af
udviklingsprocessen, hvis vi skal gå i ordkløver-mode.

- Ellers er jeg enig i dine betragtninger.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 11:30


"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:3DEA50B6.23026625@image.dk...
> "Bjarne Østergård" wrote:
>
> > > Så må du være let at kende på gaden, for fejlen er der endnu...
> >
> > Det var jeg da ked af at høre.
> > Kan du anbefale et sikkerhedsfirma hvor man kan få lavet et
sikkerhedstjek
> > på webstedet.
>
> Jeg har ikke noget grundlag for at fremhæve den ene frem for den anden,
men
> når du stadig har fejl efter at være gjort opmærksom på problemet
tidligere,
> så er et sikkerhedstjek ikke det, jeg vil starte med at anbefale.
> Der skal laves en sikkerhedsvurdering (risikovurdering) inden arbejdet
> starter, og optimalt skal alle udviklere i projektet være opmærksomme på
> sikkerhedsrisici.
Ja men det har vi da været opmærksomme på under hele udviklingsforløbet.

> Vil du være parat til at skrotte alt det hidtidige arbejde og begynde
> forfra? Sikkerhed, der bliver lagt på efter udviklingen, kan aldrig blive
> andet end lappeløsninger.

At skrotte 6 års arbejde, er ikke noget man bare sådan lige gør.
Det er da vist utopisk at forestille sig.
Så skal det da være meget slemt.

MVH
Bjarne



Finn Bindeballe (02-12-2002)
Kommentar
Fra : Finn Bindeballe


Dato : 02-12-02 11:58

>

> At skrotte 6 års arbejde, er ikke noget man bare sådan lige gør.
> Det er da vist utopisk at forestille sig.
> Så skal det da være meget slemt.
>

var ASP opfundet for 6 aar siden.......ikke saa vidt jeg husker,......

/F


Jonathan Stein (02-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 02-12-02 13:59

"Bjarne Østergård" wrote:

> > Der skal laves en sikkerhedsvurdering (risikovurdering) inden arbejdet
> > starter, og optimalt skal alle udviklere i projektet være opmærksomme på
> > sikkerhedsrisici.
>
>
> Ja men det har vi da været opmærksomme på under hele udviklingsforløbet.

Ingen kæde er stærkere end det svageste led. Jeres sikkerheds-arbejde er
svigtet på web-sitet.

> > Vil du være parat til at skrotte alt det hidtidige arbejde og begynde
> > forfra? Sikkerhed, der bliver lagt på efter udviklingen, kan aldrig blive
> > andet end lappeløsninger.
>
> At skrotte 6 års arbejde, er ikke noget man bare sådan lige gør.
> Det er da vist utopisk at forestille sig.
> Så skal det da være meget slemt.

Nu var det jeres web-site, jeg udtalte mig om - det har forhåbentlig ikke
taget 6 år at udvikle?

"PC-Finder" har jeg udtalt mig om tidligere, og det mener jeg I bør skrotte
af helt andre årsager.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bjarne Østergård (02-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 02-12-02 14:41

"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:3DEB58F9.70398296@image.dk...
> Nu var det jeres web-site, jeg udtalte mig om - det har forhåbentlig
ikke
> taget 6 år at udvikle?

> "PC-Finder" har jeg udtalt mig om tidligere, og det mener jeg I bør
skrotte
> af helt andre årsager.

Ja det vil da være rart for nogen, men prøv at fortælle den kunde det som
lige har fået stjålet computere for 150000,00 kr. og hvor vi nu har
afsløret gerningsmanden og fået ham anholdt.

Jeg er ikke sikker på at han helt deler dine meninger om det.

MVH




Jonathan Stein (02-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 02-12-02 20:52

"Bjarne Østergård" wrote:

> > Nu var det jeres web-site, jeg udtalte mig om - det har forhåbentlig
> ikke
> > taget 6 år at udvikle?
>
> > "PC-Finder" har jeg udtalt mig om tidligere, og det mener jeg I bør
> skrotte
> > af helt andre årsager.
>
> Ja det vil da være rart for nogen, men prøv at fortælle den kunde det som
> lige har fået stjålet computere for 150000,00 kr. og hvor vi nu har
> afsløret gerningsmanden og fået ham anholdt.
>
> Jeg er ikke sikker på at han helt deler dine meninger om det.

- Og ham der lige har vundet i Lotto er svær at overbevise om, at det ikke
kan betale sig at spille Lotto...
Når man ser på tilsvarende produkter, er det imponerende så få (om
overhovedet nogen) succeshistorier, de kan fremvise.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Bjarne Østergård (03-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 03-12-02 10:14


"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:3DEBB9EF.5BE029B4@image.dk...
> "Bjarne Østergård" wrote:
>
> > > Nu var det jeres web-site, jeg udtalte mig om - det har forhåbentlig
> > ikke
> > > taget 6 år at udvikle?
> >
> > > "PC-Finder" har jeg udtalt mig om tidligere, og det mener jeg I bør
> > skrotte
> > > af helt andre årsager.
> >
> > Ja det vil da være rart for nogen, men prøv at fortælle den kunde det
som
> > lige har fået stjålet computere for 150000,00 kr. og hvor vi nu har
> > afsløret gerningsmanden og fået ham anholdt.
> >
> > Jeg er ikke sikker på at han helt deler dine meninger om det.
>
> - Og ham der lige har vundet i Lotto er svær at overbevise om, at det
ikke
> kan betale sig at spille Lotto...
> Når man ser på tilsvarende produkter, er det imponerende så få (om
> overhovedet nogen) succeshistorier, de kan fremvise.

Lige bortset fra at der ikke findes et tilsvarende produkt, skal det såmænd
nok passe.
Og ind til videre har der ikke været indbrud og blevet stjålet computere,
noget sted hvor vores produkt har været anvendet, hvor vi ikke har afsløret
tyven.
Lidt bedre odds end hos tipstjenesten skulle jeg mene.
Mvh




Arne Schwerdtfegger (03-12-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 03-12-02 11:02

"Bjarne Østergård" <boe@ydicon.dk> wrote in
news:3dec75d0$0$168$edfadb0f@dread16.news.tele.dk:

[pc-finder igen igen igen]

> Lige bortset fra at der ikke findes et tilsvarende produkt, skal det
> såmænd nok passe.

http://www.pcphonehome.com

> Og ind til videre har der ikke været indbrud og blevet stjålet
> computere, noget sted hvor vores produkt har været anvendet, hvor vi
> ikke har afsløret tyven.

ah, 1 kunde, 1 bust?

> Lidt bedre odds end hos tipstjenesten skulle jeg mene.

Hvis man spiller een gang og vinder er det vel de samme odds? Sig til når
du har solgt millioner, ja måske endda milliarder kopier af dit inferiøre
program, og lad os se hvor der er størst chance for gevinst.

--
Knud

Kasper Dupont (03-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 03-12-02 12:19

Arne Schwerdtfegger wrote:
>
> "Bjarne Østergård" <boe@ydicon.dk> wrote in
> news:3dec75d0$0$168$edfadb0f@dread16.news.tele.dk:
>
> [pc-finder igen igen igen]
>
> > Lige bortset fra at der ikke findes et tilsvarende produkt, skal det
> > såmænd nok passe.
>
> http://www.pcphonehome.com

BØ ved da godt, at der findes andre.
http://groups.google.com/groups?selm=3c507b6a$0$268$edfadb0f@dspool01.news.tele.dk

Den nævnte server findes godt nok ikke mere, men det gjorde den dengang.
De har måske givet op?

>
> > Og ind til videre har der ikke været indbrud og blevet stjålet
> > computere, noget sted hvor vores produkt har været anvendet, hvor vi
> > ikke har afsløret tyven.
>
> ah, 1 kunde, 1 bust?

Jeg ville gætte på noget i retning af 10 kunder, 1 tyveri, 1 bust.
Under alle omstændigheder tvivler jeg på, at der har været tyverier
nok af maskiner med pcfnider til:
1) At kunne lave statistik på det.
2) At tyvene/hælerne har nået at lære af deres fejltagelser.
3) At man kan vurdere udviklinen af ovenstående.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (03-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 03-12-02 14:07

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse > > ah, 1 kunde,
1 bust?
>
> Jeg ville gætte på noget i retning af 10 kunder, 1 tyveri, 1 bust.
Ok nej, ikke engang hver 10. kunde har haft indbrud.

> Under alle omstændigheder tvivler jeg på, at der har været tyverier
> nok af maskiner med pcfnider til:
> 1) At kunne lave statistik på det.
Hvad er pcfnider?

> 2) At tyvene/hælerne har nået at lære af deres fejltagelser.
Næh for så var de vel ikke tyv eller hæler mere.

> 3) At man kan vurdere udviklinen af ovenstående.
Hvad for en udvikling?

MVH
Bjarne



Kasper Dupont (03-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 03-12-02 16:15

"Bjarne Østergård" wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse > > ah, 1 kunde,
> 1 bust?
> >
> > Jeg ville gætte på noget i retning af 10 kunder, 1 tyveri, 1 bust.
> Ok nej, ikke engang hver 10. kunde har haft indbrud.
>
> > Under alle omstændigheder tvivler jeg på, at der har været tyverier
> > nok af maskiner med pcfnider til:
> > 1) At kunne lave statistik på det.
> Hvad er pcfnider?

En tastefejl. Den slags sker jo når det går for hurgigt-

>
> > 2) At tyvene/hælerne har nået at lære af deres fejltagelser.
> Næh for så var de vel ikke tyv eller hæler mere.

Du burde efterhånden være klar over, at dit produkt sagtens
kan omgås. Hvor lang tid tror du, der går før det går op for
tygene.

>
> > 3) At man kan vurdere udviklinen af ovenstående.
> Hvad for en udvikling?

Hvor meget virkningen af programmet aftager efterhånden som
det går op for folk, hvordan det omgås.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (03-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 03-12-02 17:30

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DECCA59.9F3D8736@daimi.au.dk...
> > Hvad er pcfnider?
>
> En tastefejl. Den slags sker jo når det går for hurgigt-
He he, og ja jeg kender det, en gang i mellem sidder tasterne de helt
forkerte steder på tastaturet.

> > > 2) At tyvene/hælerne har nået at lære af deres fejltagelser.
> > Næh for så var de vel ikke tyv eller hæler mere.
> Du burde efterhånden være klar over, at dit produkt sagtens
> kan omgås.
Ja men det vil jeg så tro på første gang det sker, men det er ikke sket
endnu, så jeg holder fanen højt.

> Hvor lang tid tror du, der går før det går op for
> tygene.
Tjah det er jeg selv meget spændt på, men sikkert snart.
Og når det rygtes håber jeg at folk holder op med at stjæle eller at købe
hælervarer.
Det er da det, der er hele planen.

> >
> > > 3) At man kan vurdere udviklinen af ovenstående.
> > Hvad for en udvikling?

> Hvor meget virkningen af programmet aftager efterhånden som
> det går op for folk, hvordan det omgås.
Ja det er jo simpelt nok, man skal blot lade være med at installere det.
Det er så vidt jeg ved den eneste måde, og den er da ikke hemmelig.
Altså man behøver ikke gøre sig anstrengelser for at omgå det, det er helt
frivilligt om man vil ha det.
Blot lad være med at købe og installere det.
Mere enkelt kan det vel næppe siges.

Men den debat gidder jeg egentlig ikke rigtig at tage igen.
Det er jo i denne NG besluttet hvordan det er, det kan intet vist ændre på.

Heldigvis er fakta jo noget ganske andet.

MVH







Andreas Plesner Jaco~ (03-12-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 03-12-02 17:37

In article <3decdbe4$0$138$edfadb0f@dread16.news.tele.dk>, Bjarne Østergård wrote:

> Ja men det vil jeg så tro på første gang det sker, men det er ikke sket
> endnu, så jeg holder fanen højt.

Har vi ikke været her før? Overlever dit program at jeg fdisk'er en
maskine?

>> Hvor lang tid tror du, der går før det går op for
>> tygene.
> Tjah det er jeg selv meget spændt på, men sikkert snart.
> Og når det rygtes håber jeg at folk holder op med at stjæle eller at købe
> hælervarer.
> Det er da det, der er hele planen.

Eller også gør hælerne følgende: fdisk'er maskinen, brænder en Windows
XP skive og smider den ned i kassen - værsgo' at installere din egen
windows.

--
Andreas Plesner Jacobsen | "No matter where you go, there you are..."
| -- Buckaroo Banzai

Bjarne Østergård (03-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 03-12-02 18:09

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrnaupnd5.fm6.apj@slartibartfast.nerd.dk...
> In article <3decdbe4$0$138$edfadb0f@dread16.news.tele.dk>, Bjarne
Østergård wrote:

> Har vi ikke været her før? Overlever dit program at jeg fdisk'er en
> maskine?

Nej her har vi aldrig været før, for nu har vi de første rigtige sager
opklaret og haft dem gennem retssystemet med dommerkendelser,
ransagningskendelser, og arestation af tyven, til følge.
Hvad kan i egentlig forvente mere.
Jeg har ihvertfald aldrig lovet at det kan mere end det.

Tro det eller lad være skidtet virker sgu.
Det holdt hele vejen, ok der har været et par fodfejl, (mest juridisk)

Derfor kan det heller ikke betale sig at diskutere det mere, nu koncentrerer
vi os om at finde hver eneste maskine der bliver væk for vores kunder.
Vi sørger for at tyven kan dømmes i retssystemet.
Altså hele møllen.

Jeg ved ikke hvor mange gange, jeg snart har fået at vide, at det kan man
ikke, hverken teknisk eller juridisk.

Men vi har gjort det.

Og når ikke engang det kan overbevis jer om at det dermed kan lade sig gøre,
så ved jeg snart ikke hvad jeg ellers kan gøre for at overbevis jer om at
det virker.

Det er som at kaste en sten op i luften og så høre folk påstå at den ikke
falder ned igen.

Mvh




Andreas Plesner Jaco~ (03-12-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 03-12-02 18:13

In article <3dece522$0$209$edfadb0f@dread16.news.tele.dk>, Bjarne Østergård wrote:
>
>> Har vi ikke været her før? Overlever dit program at jeg fdisk'er en
>> maskine?
>
> Nej her har vi aldrig været før, for nu har vi de første rigtige sager

Jo, og dengang som nu lader du være med at besvare spørgsmålene, men
triller ud af din egen tangent.
Dette spørgsmål kan kun besvares med et ja eller et nej, så det burde
være til at overkomme: "Kan PC-Finder overleve at man sletter alle
partitioner med fdisk?"

Tillægsspørgsmålet er så: "Ved du, hvad fdisk er?" (her er et ja eller
et nej også tilstrækkeligt)

--
Andreas Plesner Jacobsen | The other line moves faster.

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 00:42

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrnauppgv.fm6.apj@slartibartfast.nerd.dk...
> In article <3dece522$0$209$edfadb0f@dread16.news.tele.dk>, Bjarne
Østergård wrote:
> >
> >> Har vi ikke været her før? Overlever dit program at jeg fdisk'er en
> >> maskine?
He he, du kan jo prøve, så skal jeg nok skrive hvis nogen af mine programmer
ikke overlever.
Men mon ikke mine programmer er ret ligeglad med hvad du gør ved dine.

> > Nej her har vi aldrig været før, for nu har vi de første rigtige sager
>
> Jo, og dengang som nu lader du være med at besvare spørgsmålene, men
> triller ud af din egen tangent.
> Dette spørgsmål kan kun besvares med et ja eller et nej, så det burde
> være til at overkomme: "Kan PC-Finder overleve at man sletter alle
> partitioner med fdisk?"
>
> Tillægsspørgsmålet er så: "Ved du, hvad fdisk er?" (her er et ja eller
> et nej også tilstrækkeligt)

Hold nu op Andreas, det har vi jo været igennem så mange gange at det gidder
jeg ikke at svare på, for jeg ved jo at du skriver jeg lyver hvis mine svar
ikke passer nøje til dine forudfattede meninger.

Så mit svar må vel nærmest være, hvad sysntes du selv.

Så skulle det da ikke kunne give misforståelser.

MVH








Andreas Plesner Jaco~ (04-12-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 04-12-02 10:22

In article <3ded411f$0$244$edfadb0f@dread16.news.tele.dk>, Bjarne Østergård wrote:
>> >
>> >> Har vi ikke været her før? Overlever dit program at jeg fdisk'er en
>> >> maskine?
> He he, du kan jo prøve, så skal jeg nok skrive hvis nogen af mine programmer
> ikke overlever.
> Men mon ikke mine programmer er ret ligeglad med hvad du gør ved dine.

Som en anden har sagt før: "Now you've done it" - nu har jeg
tilfældigvis en maskine jeg kan bruge til formålet, så lad os aftale
omstændighederne for forsøget:

1. Jeg installerer Windows XP og PC Finder (sidstnævnte forsyner mig med)
2. Jeg "stjæler" maskinen og tager den med og hiver den online på en
anden Internet-forbindelse.
3. Jeg melder den stjålet
4. Du fortæller mig, hvor den er.
5. Resultatet af undersøgelsen bliver offentliggjort her, og du trækker
de påstande tilbage, som undersøgelsen evt har påvist var sande.

Kan du gå med til ovenstående? Nu har du virkelig chancen for at vise,
hvor godt dit program er.

> Hold nu op Andreas, det har vi jo været igennem så mange gange at det gidder
> jeg ikke at svare på, for jeg ved jo at du skriver jeg lyver hvis mine svar
> ikke passer nøje til dine forudfattede meninger.
>
> Så mit svar må vel nærmest være, hvad sysntes du selv.

Jeg læser ovenstående som 2x"nej"

--
Andreas Plesner Jacobsen | Memory should be the starting point of the present.

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 18:43

"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrnauri95.fm6.apj@slartibartfast.nerd.dk...
> In article <3ded411f$0$244$edfadb0f@dread16.news.tele.dk>, Bjarne
Østergård wrote:
> Som en anden har sagt før: "Now you've done it" - nu har jeg
> tilfældigvis en maskine jeg kan bruge til formålet, så lad os aftale
> omstændighederne for forsøget:
Det behøved du sørme ingen aftale med mig for at gøre, bare smut ned i
kvikly og hent et eksemplar og test løs.

> 1. Jeg installerer Windows XP og PC Finder (sidstnævnte forsyner mig med)
> 2. Jeg "stjæler" maskinen og tager den med og hiver den online på en
> anden Internet-forbindelse.
> 3. Jeg melder den stjålet
> 4. Du fortæller mig, hvor den er.
Ikke nødvendigt, når du installerer får du automatisk et brugernavn og
password, så kan du selv altid blot logge dig ind på vvores hjemmeside, og
se hvor din maskiner befinder sig og hvor de har befundet sig.

> 5. Resultatet af undersøgelsen bliver offentliggjort her, og du trækker
> de påstande tilbage, som undersøgelsen evt har påvist var sande.
Det vil da være noget underlig noget at gøre.
Hvorfor skal jeg trække de sande påstande tilbage, så er der da kun løgn
tilbage.
Mystisk tankegang hvis jeg må være så fri.

> Kan du gå med til ovenstående? Nu har du virkelig chancen for at vise,
> hvor godt dit program er.
HE HE, det behøver jeg da ingen bevis for, jeg ved det allerrede.

> > Hold nu op Andreas, det har vi jo været igennem så mange gange at det
gidder
> > jeg ikke at svare på, for jeg ved jo at du skriver jeg lyver hvis mine
svar
> > ikke passer nøje til dine forudfattede meninger.
> >
> > Så mit svar må vel nærmest være, hvad sysntes du selv.
>
> Jeg læser ovenstående som 2x"nej"
Ja det regnede jeg da også med at du ville vælge.
Du vil jo have at jeg trækker mine sande påstande tilbage.
Så læst du det endelig som du vil.

Mvh








Andreas Plesner Jaco~ (04-12-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 04-12-02 20:22

In article <3dee3e85$0$220$edfadb0f@dread16.news.tele.dk>, Bjarne Østergård wrote:

>> Som en anden har sagt før: "Now you've done it" - nu har jeg
>> tilfældigvis en maskine jeg kan bruge til formålet, så lad os aftale
>> omstændighederne for forsøget:
> Det behøved du sørme ingen aftale med mig for at gøre, bare smut ned i
> kvikly og hent et eksemplar og test løs.

Jeg har ikke tænkt mig at betale for det, nej.

>> 5. Resultatet af undersøgelsen bliver offentliggjort her, og du trækker
>> de påstande tilbage, som undersøgelsen evt har påvist var sande.
> Det vil da være noget underlig noget at gøre.
> Hvorfor skal jeg trække de sande påstande tilbage, så er der da kun løgn
> tilbage.

Læs, hvad jeg mener.

--
Andreas Plesner Jacobsen | You love your home and want it to be beautiful.

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 22:58


"Andreas Plesner Jacobsen" <apj@daarligstil.dk> skrev i en meddelelse
news:slrnauslfh.fm6.apj@slartibartfast.nerd.dk...
> In article <3dee3e85$0$220$edfadb0f@dread16.news.tele.dk>, Bjarne
Østergård wrote:
>
> >> Som en anden har sagt før: "Now you've done it" - nu har jeg
> >> tilfældigvis en maskine jeg kan bruge til formålet, så lad os aftale
> >> omstændighederne for forsøget:
> > Det behøved du sørme ingen aftale med mig for at gøre, bare smut ned i
> > kvikly og hent et eksemplar og test løs.
>
> Jeg har ikke tænkt mig at betale for det, nej.
Fy fy. butikstyveri er forbudt.

> >> 5. Resultatet af undersøgelsen bliver offentliggjort her, og du trækker
> >> de påstande tilbage, som undersøgelsen evt har påvist var sande.
> > Det vil da være noget underlig noget at gøre.
> > Hvorfor skal jeg trække de sande påstande tilbage, så er der da kun løgn
> > tilbage.
>
> Læs, hvad jeg mener.
Undskyld, min fejl. (hvor dum kan man være)
Jeg læste kun det du skrev.

MVH




Andreas Plesner Jaco~ (04-12-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 04-12-02 23:02

In article <3dee7a5f$0$199$edfadb0f@dread16.news.tele.dk>, Bjarne Østergård wrote:
>
>> >> Som en anden har sagt før: "Now you've done it" - nu har jeg
>> >> tilfældigvis en maskine jeg kan bruge til formålet, så lad os aftale
>> >> omstændighederne for forsøget:
>> > Det behøved du sørme ingen aftale med mig for at gøre, bare smut ned i
>> > kvikly og hent et eksemplar og test løs.
>>
>> Jeg har ikke tænkt mig at betale for det, nej.
> Fy fy. butikstyveri er forbudt.

Skal jeg tage dette svar som en indikation for at du ikke vil bevise,
hvad din software kan?

--
Andreas Plesner Jacobsen | Domestic happiness and faithful friends.

Christian Andersen (05-12-2002)
Kommentar
Fra : Christian Andersen


Dato : 05-12-02 00:29

Andreas Plesner Jacobsen wrote:

>>> >> Som en anden har sagt før: "Now you've done it" - nu har jeg
>>> >> tilfældigvis en maskine jeg kan bruge til formålet, så lad os aftale
>>> >> omstændighederne for forsøget:

>>> > Det behøved du sørme ingen aftale med mig for at gøre, bare smut ned i
>>> > kvikly og hent et eksemplar og test løs.

>>> Jeg har ikke tænkt mig at betale for det, nej.

>> Fy fy. butikstyveri er forbudt.

> Skal jeg tage dette svar som en indikation for at du ikke vil bevise,
> hvad din software kan?

Skal VI tage det som en indikation af at du ikke vil give programmet en
fair test?

Jeg er ved at være træt af den hetz der kører mod Bjarne Østergård. Mest
på grund af de alenlange tråde.

PC Finder er et program der registrerer visse oplysninger om visse
hardwareenheder i en computer.

Disse oplysninger ligger den op i en central database.

Er vi alle med så langt? Godt.

Så vidt jeg har forstået, kontakter PC Finder med jævne mellemrum
"basen", for at opgive visse oplysninger om internetforbindelsen.
Samtidig checker den om computeren er meldt stjålent. Hvis den er det,
går den i "stjålet-mode", hvor den forsøger at "ringe hjem" oftere end
den gjorde før.

Er vi alle med så langt? Godt.

Ja, Bjarne har engang sagt at programmet kan overleve en reinstallation
af computeren og selvfølgelig kan det ikke det.
Det Bjarne mente, var at oplysningerne i databasen selvflgelig altid er
der.

Ok, så kommer det som mange af jer har haft problemer med.

"Første gang" (eller anden gang, hvis computeren er blevet reinstalleret)
PC Finder bliver installeret på en maskine, samler det visse
oplysninger om visse hardwareenheder i en computer. Derefter kontakter
der en central database for at registrere sig selv. Samtidig checker den
om dens hardwareenheder er meldt stjålet. Hvis den er det, går den i (osv
osv).

Altså, et program, en database, visse oplysninger.

Sværere er det ikke.

Noget siger mig, at de fleste af deltagerne i denne gruppe godt kan lide
at drille børn i skolegården bare for at se dem græde.

Det er ikke sjovt mere, stop nu (nå nej, hvorfor forventer jeg at I (I
ved godt hvem I er) kan fatte det?

Hvis I tror denne post er en invitation til at diskutere fdisks glæder,
eller det interessante ved at skifte ID på en harddisk, eller hvor mange
tyve der finder ud af at slette/lade være med at installere PC Finder,
tager I fejl.

--
..signature

Christian E. Lysel (05-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-02 00:36

Christian Andersen wrote:
> Disse oplysninger ligger den op i en central database.

Kan disse oplysninger ikke ændres af en angriber?

Her er argumentet at den centrale database ikke er offentlig, hvordan
kan produktet så ligge oplysningerne i denne?

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Thomas Bjorn Anderse~ (05-12-2002)
Kommentar
Fra : Thomas Bjorn Anderse~


Dato : 05-12-02 00:41

Christian Andersen <w9luodn02@sneakemail.com> writes:

> Ja, Bjarne har engang sagt at programmet kan overleve en reinstallation
> af computeren og selvfølgelig kan det ikke det.
> Det Bjarne mente, var at oplysningerne i databasen selvflgelig altid er
> der.

Er pointen ikke, at tyve/hælere/tyvekost-indkøbere ofte /ikke/ er klar
over, at de bør slette harddiske totalt, inden de sælger udstyret
videre?

Mit indtryk er, at visse personer ikke rigtigt kan gennemskue hvem
målgruppen for Bjarnes program er. Selvfølgeligt kan programmet
fjernes igen af tilstrækkeligt kompetente mennesker. Men sålænge en
stor del af tyverier begås af folk der er desperate for penge, så er
Bjarnes program et udemærket supplement til naboovervågning, operation
mærkning mm.

--
Thomas Bjorn Andersen - tbaNOSPAM200211@gen-v.net
+++ATH

Christian Andersen (05-12-2002)
Kommentar
Fra : Christian Andersen


Dato : 05-12-02 00:49

Christian E. Lysel wrote:

>> Disse oplysninger ligger den op i en central database.

> Kan disse oplysninger ikke ændres af en angriber?

Hvor skulle jeg vide det fra?

(Nå nej, nu har jeg lige åbnet op for at du kan komme tilbage med "Jamen,
hvis du ikke ved DET, hvordan kan du så vide så meget om PC Finder?")

Så lad mig prøve med: Det er ikke særlig interessant for det diskussionen
går ud på.

Oplysninger -> Program -> Database -> Alarmcentral -> Politi

> Her er argumentet at den centrale database ikke er offentlig, hvordan
> kan produktet så ligge oplysningerne i denne?

Jeg har ikke nævnt noget om at databasen ikke er offentlig. Jeg så i
forbifarten en tråd mlm. dig og Bjarne om off. databaser vs. "noget
andet" (jeg kan ikke lige huske hvad), men jeg kan ikke se relevansen for
det diskussionen går ud på.

At Bjarne ikke er ekspert udi computertermonologi (ikke at jeg siger at
nogen her er det) og/eller at formulere sig 100% korrekt, skal ikke afholde
ham fra at deltage i denne gruppe.

Jeg henviser igen til mit "diagram" ovenfor.

Hvis man tager programmer ud af digrammet, vil oplysningerne selvfølgelig
ikke komme videre.

MEN!

Hvad nu hvis programmet ikke bliver fjernet/harddisken ikke bliver
slettet, og computeren bliver forbundet til internettet efter den er
meldt stjålet?

Vil alarmcentralen så ikke få en alarm?

Det interessante er så, og det erkender jeg: Hvor mange tyve formatterer
harddisken før de leverer den videre/bruger den selv?

Jeg kender ikke svaret.

Hvor mange tyve vil formattere harddisken før de leverer den
videre/bruger den selv, EFTER PC Finder er blevet offentligt kendt?

Jeg kender ikke svaret.

Men pointen er, at det gør du/I heller ikke.

Så lad være med at slå på den lille dreng i skolegården mere. Det holdt
op med at være interessant for længe siden.

Hov, jeg sværgede vist engang at holde op med at bruge analogier i denne
her gruppe.

Ah well.

--
..signature

Christian Andersen (05-12-2002)
Kommentar
Fra : Christian Andersen


Dato : 05-12-02 00:51

Thomas Bjorn Andersen wrote:

> Mit indtryk er, at visse personer ikke rigtigt kan gennemskue hvem
> målgruppen for Bjarnes program er. Selvfølgeligt kan programmet
> fjernes igen af tilstrækkeligt kompetente mennesker. Men sålænge en
> stor del af tyverier begås af folk der er desperate for penge, så er
> Bjarnes program et udemærket supplement til naboovervågning, operation
> mærkning mm.

Jo, fuldstændigt rigtigt.

--
..signature

Jesper Louis Anderse~ (05-12-2002)
Kommentar
Fra : Jesper Louis Anderse~


Dato : 05-12-02 01:14

On 05 Dec 2002 00:41:24 +0100,
Thomas Bjorn Andersen <tbaNOSPAM200207@gen-v.net> wrote:

>
> Er pointen ikke, at tyve/hælere/tyvekost-indkøbere ofte /ikke/ er klar
> over, at de bør slette harddiske totalt, inden de sælger udstyret
> videre?
>

Jo, men selvsamme typer har nok en temmeligt god evne til at tilpasse
sig `ændrede konkurrencebetingelser''.

--
Jesper

Bertel Lund Hansen (05-12-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 05-12-02 07:40

Christian Andersen skrev:

>Så lad være med at slå på den lille dreng i skolegården mere.

Hvis ikke den lille dreng pushede et program med et påstået
niveau af sikkerhed, eller hvis han kunne demonstrere at det
vitterligt svarede til postulaterne, ville han såmænd kunne få al
den fred han ønsker.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Andreas Plesner Jaco~ (05-12-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 05-12-02 08:58

In article <m3k7ip1hej.fsf_-_@dogbert.gen-v.net>, Thomas Bjorn Andersen wrote:
>
>> Ja, Bjarne har engang sagt at programmet kan overleve en reinstallation
>> af computeren og selvfølgelig kan det ikke det.
>> Det Bjarne mente, var at oplysningerne i databasen selvflgelig altid er
>> der.
>
> Er pointen ikke, at tyve/hælere/tyvekost-indkøbere ofte /ikke/ er klar
> over, at de bør slette harddiske totalt, inden de sælger udstyret
> videre?

De kendte heller ikke til IMEI-numre i mobiltelefoner i starten, men
disse bliver ændret i stor stil nu.

--
Andreas Plesner Jacobsen | If you don't drink it, someone else will.

Christian E. Lysel (05-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-02 09:47

Christian Andersen wrote:
> Oplysninger -> Program -> Database -> Alarmcentral -> Politi
>>Her er argumentet at den centrale database ikke er offentlig, hvordan
>>kan produktet så ligge oplysningerne i denne?
> Jeg har ikke nævnt noget om at databasen ikke er offentlig. Jeg så i
> forbifarten en tråd mlm. dig og Bjarne om off. databaser vs. "noget

Du skrev vi ikke måtte slå på en lille dreng (nu er Bjarne ikke en lille
dreng :)

> andet" (jeg kan ikke lige huske hvad), men jeg kan ikke se relevansen for
> det diskussionen går ud på.

At Alarmcentralen evt. an sættes ud af drift centralt, så hele setup'et
falder til jorden.

> Hvad nu hvis programmet ikke bliver fjernet/harddisken ikke bliver
> slettet, og computeren bliver forbundet til internettet efter den er
> meldt stjålet?

Hvis jeg udefra kan kan slå fra at den er meldt stjålet eller ændre i
hardware profilen så den ikke kan genkendes igen.

> Vil alarmcentralen så ikke få en alarm?

Det ved vi ikke, det lader ikke til at det er testet.

> Det interessante er så, og det erkender jeg: Hvor mange tyve formatterer
> harddisken før de leverer den videre/bruger den selv?
>
> Jeg kender ikke svaret.

De tilfælde jeg kender til, alle maskiner

> Hvor mange tyve vil formattere harddisken før de leverer den
> videre/bruger den selv, EFTER PC Finder er blevet offentligt kendt?
>
> Jeg kender ikke svaret.

De tilfælde jeg kender til, ingen maskiner

> Men pointen er, at det gør du/I heller ikke.

De største tilfælde jeg kender til, er det dog komponenter som fx RAM
der bliver stjåle, her hjælper produktet heller ikke.

> Så lad være med at slå på den lille dreng i skolegården mere. Det holdt
> op med at være interessant for længe siden.

Bjarne er ikke lille. Måske bør vi oprette en nyhedsgruppe til bjarne.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (06-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 06-12-02 00:55


"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asn3ou$qjl$1@sunsite.dk...

> Du skrev vi ikke måtte slå på en lille dreng (nu er Bjarne ikke en lille
> dreng :)
Hvor ved du nu det fra.

> At Alarmcentralen evt. an sættes ud af drift centralt, så hele setup'et
> falder til jorden.
Ja men det kan den jo ikke.og så falder dit argument jo til jorden

> Hvis jeg udefra kan kan slå fra at den er meldt stjålet eller ændre i
> hardware profilen så den ikke kan genkendes igen.
Ja men det kan du ikke, TDC har forsikret mig at selv en atomkrig ikke kan
gøre det.


> > Vil alarmcentralen så ikke få en alarm?
>
> Det ved vi ikke, det lader ikke til at det er testet.
Jo det er testet

> > Det interessante er så, og det erkender jeg: Hvor mange tyve formatterer
> > harddisken før de leverer den videre/bruger den selv?
> > Jeg kender ikke svaret.
>
> De tilfælde jeg kender til, alle maskiner
Hm de tal vi har fået fra de myndigheder der har med det at gøre til dagligt
sige noget helt andet

> > Hvor mange tyve vil formattere harddisken før de leverer den
> > videre/bruger den selv, EFTER PC Finder er blevet offentligt kendt?

> > Jeg kender ikke svaret.
>
> De tilfælde jeg kender til, ingen maskiner
Det er direkte usandt,
Jeg ved nøjagtig hvor mange maskiner der er blevet stjålet med PC Finder på,
og med mindre du er tyven vil du ikke kende dem eller kende noget til dem.

> De største tilfælde jeg kender til, er det dog komponenter som fx RAM
> der bliver stjåle, her hjælper produktet heller ikke.
NÅ det vidste jeg ikke.

> Bjarne er ikke lille. Måske bør vi oprette en nyhedsgruppe til bjarne.
Så så hvor kender du min størrelse fra.
Men ang en ny NG. Måske en der handlede om edb sikkerhed.med alle aspekter,
kunne være tiltrængt.

MVH




Christian E. Lysel (06-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 06-12-02 01:09

Bjarne Østergård wrote:
>>Du skrev vi ikke måtte slå på en lille dreng (nu er Bjarne ikke en lille
>> dreng :)
> Hvor ved du nu det fra.

Du er lidt over de 50, ikk? (en lille dreng er ikke over 50).

>>At Alarmcentralen evt. an sættes ud af drift centralt, så hele setup'et
>>falder til jorden.
> Ja men det kan den jo ikke.og så falder dit argument jo til jorden

Påstand mod påstand.

Hvordan skal vi komme videre?

Er du frisk på en test?

>>Hvis jeg udefra kan kan slå fra at den er meldt stjålet eller ændre i
>>hardware profilen så den ikke kan genkendes igen.
> Ja men det kan du ikke, TDC har forsikret mig at selv en atomkrig ikke kan

Klients hardprofil i databasen, jeg snakker ikke om serverens hardware.

Endvidere henviser jeg til evt. fejl i server softwaren eller fejl
opsætning.

> gøre det.

Mener du TDC's "Total Managed Server" produkt?

>>>Hvor mange tyve vil formattere harddisken før de leverer den
>>>videre/bruger den selv, EFTER PC Finder er blevet offentligt kendt?
>>>Jeg kender ikke svaret.
>>De tilfælde jeg kender til, ingen maskiner
> Det er direkte usandt,
> Jeg ved nøjagtig hvor mange maskiner der er blevet stjålet med PC Finder på,
> og med mindre du er tyven vil du ikke kende dem eller kende noget til dem.

Jeg snakker om at maskiner bliver stjålet og om harddisken bliver
formateret eller ej.

>>De største tilfælde jeg kender til, er det dog komponenter som fx RAM
>>der bliver stjåle, her hjælper produktet heller ikke.
> NÅ det vidste jeg ikke.

Hele kommuner er blevet kaldt RAM-løse :)

>>Bjarne er ikke lille. Måske bør vi oprette en nyhedsgruppe til bjarne.
> Så så hvor kender du min størrelse fra.

Verden er lille.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


N/A (06-12-2002)
Kommentar
Fra : N/A


Dato : 06-12-02 01:38



Bjarne Østergård (06-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 06-12-02 01:38

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asopq0$2m9$1@sunsite.dk...
> Bjarne Østergård wrote:
> >>Du skrev vi ikke måtte slå på en lille dreng (nu er Bjarne ikke en lille
> >> dreng :)
> > Hvor ved du nu det fra.
>
> Du er lidt over de 50, ikk? (en lille dreng er ikke over 50).
Jep men jeg føler mig skam meget ung.

> >>At Alarmcentralen evt. an sættes ud af drift centralt, så hele setup'et
> >>falder til jorden.
> > Ja men det kan den jo ikke.og så falder dit argument jo til jorden
> Påstand mod påstand.
> Hvordan skal vi komme videre?
det går det går
Men skulle de nu ske det du der forudsiger er det jo kun ude af drift indtil
vi genetablerer systemet.
Det vil ikke berøre klienterne bortset fra de alarmer fra stjålne computer
der måtte komme i det tidsrum serveren var nede.
det vil vel ca væ i 0,1% eller mindre af tiden.

> Er du frisk på en test?
Mig? jeg laver næsten ikke andet.
Og programmet er jo frit tilgængelig så alle der er friske kan bare teste
løs.
Det bliver gjort allerrede, så sent som i eftermiddag kunne vi se 5 alarmer
for en der forsøgt at spære for en alarm med en firewall.
Han tror nok selv der er lykkedes.

> >>Hvis jeg udefra kan kan slå fra at den er meldt stjålet eller ændre i
> >>hardware profilen så den ikke kan genkendes igen.
> > Ja men det kan du ikke, TDC har forsikret mig at selv en atomkrig ikke
kan
> Klients hardprofil i databasen, jeg snakker ikke om serverens hardware.
Det vil jo kræve at du bryder ind i databasen, både på serveren, og bryder
ind på vore adresse samtidig.
Og du er nødt til at bryde in i bunkeren eller ind hos os medens du gør det
da databasen kun kan tilgåes fra bestemte IP adresser.
Under alle omstændighede skal du bryde ind begge steder.
Det ene sted er på Sjælland og det andet er i Jylland.
Bliver en større operation.

> Endvidere henviser jeg til evt. fejl i server softwaren eller fejl
> opsætning.
Det var en stor satsning, tænk hvis der ingen fej er.
og selv om det er hvad skulle de så hjælpe.

> Mener du TDC's "Total Managed Server" produkt?
Det tror jeg jeg ikke det hedder.
Vi har købt en server samt software og lejet en plads i en sikret bunker hos
tdc, og derforuden en services og overvågningsaftale sam al det sikkerhed de
overhovedet kan tilbyde.
Det virker faktisk ret fint.

> Jeg snakker om at maskiner bliver stjålet og om harddisken bliver
> formateret eller ej.
Ja ja det ved jeg da godt, det gør jeg jo også, hm så gammel er jeg altså
heller ikke
Men du forudsætter at vi ikke kan spore en maskine bare man formatere dens
harddisk, og det er det der er så forkert.
det bliver svære ja men slet ikke umuligt.

Du kan jo bare teste denne lille testskanner vi har og så prøve at
formatere, eller sætte stumperne i en anden maskine og så skanne igen, så
vil du se at de bliver genkendt uanset hvor meget du formaterer harddisken.

Skan en gang, udskriv ressultatet.
Forsøg så f.eks at sætte en ny harddisk i og skan igen og sammenlign de to
ressultater.

Prøv så at sende en stump til en mand i kina og lad ham skanne sin maskine.
Sammenlign så han ressultat med dine.

Du vil nok blive forbløffet over hvor simpelt og enkelt det egentlig er.

> Hele kommuner er blevet kaldt RAM-løse :)
Her snakker vi da vist om intern tyveri af medarbejderene..

> >>Bjarne er ikke lille. Måske bør vi oprette en nyhedsgruppe til bjarne.
> > Så så hvor kender du min størrelse fra.

> Verden er lille.
Tak ih tak
Så behøver jeg da ikke skamme mig over min størrelse,
På størrelse med verden, det er sejt.

Mvh
Bjarne



N/A (06-12-2002)
Kommentar
Fra : N/A


Dato : 06-12-02 02:12



Christian E. Lysel (06-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 06-12-02 02:12

Bjarne Østergård wrote:
>>>>At Alarmcentralen evt. an sættes ud af drift centralt, så hele setup'et
>>>>falder til jorden.
> det går det går
> Men skulle de nu ske det du der forudsiger er det jo kun ude af drift indtil
> vi genetablerer systemet.

Tester i om alarmcentralen er sat ud af drift, eller vil i opdage det
ved en tilfældighed?

> Det vil ikke berøre klienterne bortset fra de alarmer fra stjålne computer
> der måtte komme i det tidsrum serveren var nede.
> det vil vel ca væ i 0,1% eller mindre af tiden.

Hvad så med det modsatte tilfælde, hvor tilfældige maskiner bliver meldt
stjålet (af en angriber)?

>>Er du frisk på en test?
> Mig? jeg laver næsten ikke andet.
> Og programmet er jo frit tilgængelig så alle der er friske kan bare teste
> løs.

Mener du med frit, at det er gratis. Hvis det er tilfældet hvor henter
jeg det så?

> Det bliver gjort allerrede, så sent som i eftermiddag kunne vi se 5 alarmer
> for en der forsøgt at spære for en alarm med en firewall.

Da du ikke kender til personens hensigter kan du ikke udtale dig om det.

> Han tror nok selv der er lykkedes.

Det kan evt. være en af mine kunder der sidder bag en firewall jeg har
sat op :)

>>Klients hardprofil i databasen, jeg snakker ikke om serverens hardware.
> Det vil jo kræve at du bryder ind i databasen, både på serveren, og bryder
> ind på vore adresse samtidig.
> Og du er nødt til at bryde in i bunkeren eller ind hos os medens du gør det
> da databasen kun kan tilgåes fra bestemte IP adresser.

At basere sin sikkerhed på IP adresser, er naivt.

IP adresser er ikke knyttet fysiske lokaltioner, men er blot en logisk
definition.

En ændring af IP routningen kræver ikke den store indsats.

> Under alle omstændighede skal du bryde ind begge steder.
> Det ene sted er på Sjælland og det andet er i Jylland.
> Bliver en større operation.

Hvis man ikke tænker sig om, skal man nok igennem det scenarie du
beskriver. Ved at bruge fantasien kan man nøjes med få simple ikke
tekniske midler.

>>Endvidere henviser jeg til evt. fejl i server softwaren eller fejl
>>opsætning.
> Det var en stor satsning, tænk hvis der ingen fej er.
> og selv om det er hvad skulle de så hjælpe.

Fejl kan give adgang til resourcer der ikke var tiltænkt, derefter kan
korthuset falde sammen.

>>Mener du TDC's "Total Managed Server" produkt?

Omkring ovenstående produkt, skriver TDC, ..."Vi overtager også ansvaret
for at udvikle og implementere virksomhedens web-applikation". Jeg antog
derfor at TDC og forsikrede dine applikationer imod selv en atomkrig.

> Det tror jeg jeg ikke det hedder.
> Vi har købt en server samt software og lejet en plads i en sikret bunker hos
> tdc, og derforuden en services og overvågningsaftale sam al det sikkerhed de
> overhovedet kan tilbyde.
> Det virker faktisk ret fint.

Hvis du ikke har valgt ovenstående regner jeg ikke med det tager
ansvaret for applikationerne der kører på serveren.

> Men du forudsætter at vi ikke kan spore en maskine bare man formatere dens
> harddisk, og det er det der er så forkert.

Nej, det har jeg ikke sagt.

Jeg forholdte mig blot til mine erfaringer med tyveri omkring harddisk
formatering.

Men nu du selv bringer det op, hvis jeg stjæler din maskine og sletter
harddisken for derefter at installere fx OpenBSD og maskinen kører dette
resten af sit liv, hvordan vil du så spore den?

Du mener jo at ovenstående er forkert.

> det bliver svære ja men slet ikke umuligt.

Forklar, kort og præsist, tak.

> Du kan jo bare teste denne lille testskanner vi har og så prøve at
> formatere, eller sætte stumperne i en anden maskine og så skanne igen, så
> vil du se at de bliver genkendt uanset hvor meget du formaterer harddisken.

Har du URL'en?

> Skan en gang, udskriv ressultatet.
> Forsøg så f.eks at sætte en ny harddisk i og skan igen og sammenlign de to
> ressultater.

Jeg ved godt du også kikke på hardwarer stumperne.

Hmmm, kan disse oplysninger ikke også blot ændres, evt. med hjælpe fra
operativ systemet. Det burde faktisk være muligt.

Jeg kunne måske tjene penge på at udvikle programmet PC-Skjuler

> Prøv så at sende en stump til en mand i kina og lad ham skanne sin maskine.
> Sammenlign så han ressultat med dine.
>
> Du vil nok blive forbløffet over hvor simpelt og enkelt det egentlig er.

Ikke så længe jeg ikke kan teste det gratis :)

>>Hele kommuner er blevet kaldt RAM-løse :)
> Her snakker vi da vist om intern tyveri af medarbejderene..

De sager jeg har kendskab til har tyven enten stjålet al RAM eller
halvdelen.

Fordelen ved kun at tage halvdelen er at det ikke bliver opdaget. Hvem
opdager en maskine der kører med den halve mængde RAM?

Hvis det bliver opdaget er der typisk gået 1-3 måneder, og alle spor er
væk. (Folk brokker sig over maskinen kører langsomt, man fejlsøger
netværket, applikationerne, geninstallere maskinen, ecetera)


Måske det var en nye feature for dit produkt, at kunne rapportere
manglende RAM klodser.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Kasper Dupont (06-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-12-02 07:37

"Christian E. Lysel" wrote:
>
> De sager jeg har kendskab til har tyven enten stjålet al RAM eller
> halvdelen.

Man hørte meget om den slags for et par år siden, men står det
stadig på? Jeg havde fået det indtryk, at faldende RAM priser
har gjort det uinteresant at stjæle.

>
> Fordelen ved kun at tage halvdelen er at det ikke bliver opdaget. Hvem
> opdager en maskine der kører med den halve mængde RAM?

Ikke alle, men jeg ville nok hurtigt opdage hvis min maskine blev
langsommere. Og så ville man jo straks blive meget opmærksom. Det
burde ikke tage lang tid at opdage, at en maskine swapper mere
end den plejer.

>
> Hvis det bliver opdaget er der typisk gået 1-3 måneder, og alle spor er
> væk. (Folk brokker sig over maskinen kører langsomt, man fejlsøger
> netværket, applikationerne, geninstallere maskinen, ecetera)

En kompetent administrator burde hurtigt kunne se, at maskinen har
for lidt RAM. Om der så er nogen der kan huske, hvor meget RAM den
plejer at have er straks en anden sag.

>
> Måske det var en nye feature for dit produkt, at kunne rapportere
> manglende RAM klodser.

Det ville da ikke være nogen helt tosset feature.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Kasper Dupont (06-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-12-02 07:52

"Bjarne Østergård" wrote:
>
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
> news:asn3ou$qjl$1@sunsite.dk...
>
> > Du skrev vi ikke måtte slå på en lille dreng (nu er Bjarne ikke en lille
> > dreng :)
> Hvor ved du nu det fra.

Godt spørgsmål. Du har hele tiden opført dig som en lille
dreng, så hvordan kan Christian overhovedet komme på andre
tanker?

>
> > At Alarmcentralen evt. an sættes ud af drift centralt, så hele setup'et
> > falder til jorden.
> Ja men det kan den jo ikke.og så falder dit argument jo til jorden
>
> > Hvis jeg udefra kan kan slå fra at den er meldt stjålet eller ændre i
> > hardware profilen så den ikke kan genkendes igen.
> Ja men det kan du ikke, TDC har forsikret mig at selv en atomkrig ikke kan
> gøre det.

Det tvivler jeg meget på, plejer de fleste aftaler ikke
at indeholde et afsnit omkring force majeure? Og selv
hvis de havde lovet det, så ville det nok alligevel være
umuligt at holde.

Desuden tvivler vi på, at din database nu er sat helt
sikkert op. Hvilke eksperter har du haft til at hjælpe
dig?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (06-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 06-12-02 14:51

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asotgi$1hr$1@sunsite.dk...
> Bjarne Østergård wrote:
> >>>>At Alarmcentralen evt. an sættes ud af drift centralt, så hele
setup'et
> >>>>falder til jorden.
> > det går det går
> > Men skulle de nu ske det du der forudsiger er det jo kun ude af drift
indtil
> > vi genetablerer systemet.
>
> Tester i om alarmcentralen er sat ud af drift, eller vil i opdage det
> ved en tilfældighed?
Det har jeg forsøgt at fortælle før, der er en overvogning på som tilses af
TDC´s personale og der er sms alarm også
som responstid på denne er max og bemærk nu at jeg skrev Max 15 min.

> > Det vil ikke berøre klienterne bortset fra de alarmer fra stjålne
computer
> > der måtte komme i det tidsrum serveren var nede.
> > det vil vel ca væ i 0,1% eller mindre af tiden.
>
> Hvad så med det modsatte tilfælde, hvor tilfældige maskiner bliver meldt
> stjålet (af en angriber)?
Så ville klienten skulle bekræfte det.
Og når vi så får en alarm der ikke duer vil vi selvfølgelig have anmelderen
af den falske efterlysning.
Men hvis du eks fik at vide at din computer er væk, villd du jo nok selv
vide det.
Så nogen sikkerhedsrissiko er det jo ikke højest iriterende hvis nogen
efterlyser for sjov.
men da ressultatet af en efterlysning altid tilgår den pågældende ejer eller
administrator vil det aldtid blive opdaget.

> >>Er du frisk på en test?
> > Mig? jeg laver næsten ikke andet.
> > Og programmet er jo frit tilgængelig så alle der er friske kan bare
teste
> > løs.
>
> Mener du med frit, at det er gratis. Hvis det er tilfældet hvor henter
> jeg det så?
Det har det været det er det ikke mere.
Prøv der hvor du plejer at handle.
Der er også flere der har det i online butikker.

> > Det bliver gjort allerrede, så sent som i eftermiddag kunne vi se 5
alarmer
> > for en der forsøgt at spære for en alarm med en firewall.

> Da du ikke kender til personens hensigter kan du ikke udtale dig om det.
Jo ret sikkert endda
For alle de kanaler som firewalls normal kan blokere for var ikke benyttet.
kun dem som firewalls normalt ikke kan blokere for var registreringen kommet
gennem.
Men jeg har skrevet til ham og bedt ham kintakt os da vi selvfølgeligt gern
vil vide det med sikkerhed.
Jeg kunne også se at CDén tidligere har været registreret hos en anden
bruger, så det er enten en kopi eller den er lånt ud.
Men det gør nu ikke noget.
> > Han tror nok selv der er lykkedes.
>
> Det kan evt. være en af mine kunder der sidder bag en firewall jeg har
> sat op :)
Ja det kan jeg jo ikke vide. jeg kender jo ikke dine kunder.

> >>Klients hardprofil i databasen, jeg snakker ikke om serverens hardware.
> > Det vil jo kræve at du bryder ind i databasen, både på serveren, og
bryder
> > ind på vore adresse samtidig.
> > Og du er nødt til at bryde in i bunkeren eller ind hos os medens du gør
det
> > da databasen kun kan tilgåes fra bestemte IP adresser.
>
> At basere sin sikkerhed på IP adresser, er naivt.
> IP adresser er ikke knyttet fysiske lokaltioner, men er blot en logisk
> definition.
Nå det har vi da ellers bestilt og fået.
Altså er vi blevet snydt.

> En ændring af IP routningen kræver ikke den store indsats.
Vil det sige at jeg bare kan ændre min IP adresse til den du bruger og
dermed se al trafik til dig.
Ja det lydder sgu som et sikkerheds hul der vil noget.

> > Under alle omstændighede skal du bryde ind begge steder.
> > Det ene sted er på Sjælland og det andet er i Jylland.
> > Bliver en større operation.
>
> Hvis man ikke tænker sig om, skal man nok igennem det scenarie du
> beskriver. Ved at bruge fantasien kan man nøjes med få simple ikke
> tekniske midler.
>
> >>Endvidere henviser jeg til evt. fejl i server softwaren eller fejl
> >>opsætning.
> > Det var en stor satsning, tænk hvis der ingen fej er.
> > og selv om det er hvad skulle de så hjælpe.
>
> Fejl kan give adgang til resourcer der ikke var tiltænkt, derefter kan
> korthuset falde sammen.
Ja sådan kan man jo altid sige.
Om du så tog vores server og gravede den ned ville vi kun være nede ind til
vi fik en ny sat op.
Men det er da klart at hvis du både overtage IP og server samt vores kontor,
så har du ful adgang til alt.
Vil du købe hele butikken kan det da forhandles. ( ;:>))

> >>Mener du TDC's "Total Managed Server" produkt?
>
> Omkring ovenstående produkt, skriver TDC, ..."Vi overtager også ansvaret
> for at udvikle og implementere virksomhedens web-applikation". Jeg antog
> derfor at TDC og forsikrede dine applikationer imod selv en atomkrig.
>
> > Det tror jeg jeg ikke det hedder.
> > Vi har købt en server samt software og lejet en plads i en sikret bunker
hos
> > tdc, og derforuden en services og overvågningsaftale sam al det
sikkerhed de
> > overhovedet kan tilbyde.
> > Det virker faktisk ret fint.
> Hvis du ikke har valgt ovenstående regner jeg ikke med det tager
> ansvaret for applikationerne der kører på serveren.
Næh ansvaret er vores.

> > Men du forudsætter at vi ikke kan spore en maskine bare man formatere
dens
> > harddisk, og det er det der er så forkert.
> Nej, det har jeg ikke sagt.
Ja så forstår jeg ikke mere dine indvendinger mod systemet og dine påstande
om at det er ubrugeligt.

> Jeg forholdte mig blot til mine erfaringer med tyveri omkring harddisk
> formatering.
OK dem har vi undersøgt hos forsikringsselskaber og hos politiet.
Vi har en hel mappe med profiler af computertyves adfærd.
Vi har skam lavet vores hjemmearbejde.

> Men nu du selv bringer det op, hvis jeg stjæler din maskine og sletter
> harddisken for derefter at installere fx OpenBSD og maskinen kører dette
> resten af sit liv, hvordan vil du så spore den?
Det kan jeg ikke for nuværende og måske aldrig, afhænger af så meget.
Jeg vil dog påstå at langt de fleste ender op med et windows system.

> Du mener jo at ovenstående er forkert.
Den fik jeg vist ikke fat i
> > det bliver svære ja men slet ikke umuligt.
>
> Forklar, kort og præsist, tak.
Ikke igen, det kan du ikke mene, jeg har forklaret systemes virkemåde mindst
50 gange nu her i denne ng.

> > Du kan jo bare teste denne lille testskanner vi har og så prøve at
> > formatere, eller sætte stumperne i en anden maskine og så skanne igen,

> > vil du se at de bliver genkendt uanset hvor meget du formaterer
harddisken.
>
> Har du URL'en?
Ja http://www.gigasoft.dk/anticrime/

> > Skan en gang, udskriv ressultatet.
> > Forsøg så f.eks at sætte en ny harddisk i og skan igen og sammenlign de
to
> > ressultater.
>
> Jeg ved godt du også kikke på hardwarer stumperne.
>
> Hmmm, kan disse oplysninger ikke også blot ændres, evt. med hjælpe fra
> operativ systemet. Det burde faktisk være muligt.
Muligvis, jeg ved nogle af de stumper vi kigger på kan, og ander har jeg
ikke set nogen måde at gør det på endnu.
Vi forsker hele tiden i det.

> Jeg kunne måske tjene penge på at udvikle programmet PC-Skjuler
God ide, sælger du aktier, måske jeg kunne give et par fiduser.

> > Prøv så at sende en stump til en mand i kina og lad ham skanne sin
maskine.
> > Sammenlign så han ressultat med dine.
> >
> > Du vil nok blive forbløffet over hvor simpelt og enkelt det egentlig er.
>
> Ikke så længe jeg ikke kan teste det gratis :)
Det er skam helt gratis

> >>Hele kommuner er blevet kaldt RAM-løse :)
> > Her snakker vi da vist om intern tyveri af medarbejderene..
> De sager jeg har kendskab til har tyven enten stjålet al RAM eller
> halvdelen
Lyder som et grimt eksempel, men var det indbrud eller forsvandt de bare.
For en stor del af den slaks tyverier er jo intern tyveri og udføres af de
ansatte, og det kan jeg kun afsløre hvis der stjæles stumper som vi kan
skanne for.

> Fordelen ved kun at tage halvdelen er at det ikke bliver opdaget. Hvem
> opdager en maskine der kører med den halve mængde RAM?
Så er det med garanti medarbejderne selv, men det kunne jeg nu nemt lave en
alarm over.
Det ville være nemt at lade mit program lave den kontrol når det alligevel
laver en kontrol ved opstart.
hvis det virkelig er et problem vil jeg indbygge det i næste version.
Ved du hvor udbredt nettop det fænomen er.?

> Hvis det bliver opdaget er der typisk gået 1-3 måneder, og alle spor er
> væk. (Folk brokker sig over maskinen kører langsomt, man fejlsøger
> netværket, applikationerne, geninstallere maskinen, ecetera)
Snedigt snedigt

> Måske det var en nye feature for dit produkt, at kunne rapportere
> manglende RAM klodser.
Ja bestemt det er jo en nem kontrol at lave

Hvis dette fænomen er udbredet, kan jeg love dig at jeg er i gang, jeg vil
lige spørge mig rundt omkrin hvor tit den slags tyverier finder sted.

Så tusin tak for tippet.
Du får en gratis version den dag det er klar.

Mvh
Bjarne






Bjarne Østergård (06-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 06-12-02 16:40

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DF04599.C1304639@daimi.au.dk...
> "Christian E. Lysel" wrote:
> En kompetent administrator burde hurtigt kunne se, at maskinen har
> for lidt RAM. Om der så er nogen der kan huske, hvor meget RAM den
> plejer at have er straks en anden sag.
>
> >
> > Måske det var en nye feature for dit produkt, at kunne rapportere
> > manglende RAM klodser.
>
> Det ville da ikke være nogen helt tosset feature.

Den vil vi også tage med nu, selv om jeg lige har talt med politiet, og de
siger at de faktisk aldrig mere modtager anmeldelser om forsvundne ram.

Men det er jo så oplagt at vi vil tage det med allerrede i en opdatering

Vi vil indføre en simpel Ramalarm

Så kan brugeren eller admin bare via hjemmesiden, sætte hak ud for om han
ønsker denne services og en email adresse hvortil alarmen skal sendes.

Hver gang en maskine ændre ram status vil han så få en alarm mail

Det er så simpelt og nemt at indføre i systemet, at det vil være torske dumt
ikke at lave det.

Også selv om det måske ikke lige er et problem mere.

Hvem ved måske brænder der en fabrik igen så priserne på ram ryger i vejret.

MVH
Bjarne



Bjarne Østergård (06-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 06-12-02 16:46

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DF04926.C8131A1@daimi.au.dk...
> "Bjarne Østergård" wrote:
> >
> > "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en
meddelelse
> > news:asn3ou$qjl$1@sunsite.dk...
> >
> > > Du skrev vi ikke måtte slå på en lille dreng (nu er Bjarne ikke en
lille
> > > dreng :)
> > Hvor ved du nu det fra.
>
> Godt spørgsmål. Du har hele tiden opført dig som en lille
> dreng, så hvordan kan Christian overhovedet komme på andre
> tanker?
Ja ja så siger vi det.

> Det tvivler jeg meget på, plejer de fleste aftaler ikke
> at indeholde et afsnit omkring force majeure? Og selv
> hvis de havde lovet det, så ville det nok alligevel være
> umuligt at holde.
Ved en atomkrig vil jeg også tro det er total ligegyldigt om mit system
virker, der vil være andre systemer der er vigtigere at få igang igen.
Så den risiko må jeg jo leve med.

> Desuden tvivler vi på, at din database nu er sat helt
> sikkert op. Hvilke eksperter har du haft til at hjælpe
> dig?
Mine medarbejdere selvfølgeligt.
Bedre findes ikke
Det kan da vel finde på at tvivle på.

MVH
Bjarne






Kasper Dupont (06-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-12-02 22:32

"Bjarne Østergård" wrote:
>
> Prøv der hvor du plejer at handle.
> Der er også flere der har det i online butikker.

Så forstå det dog. En ting er at du forventer hjælp til at
teste dit produkt, og at du ikke vil betale for det. Men
hvis du ligefrem vil have penge af folk, der tester dit
produkt, er du simpelthen for langt ude.

> >
> > At basere sin sikkerhed på IP adresser, er naivt.
> > IP adresser er ikke knyttet fysiske lokaltioner, men er blot en logisk
> > definition.
> Nå det har vi da ellers bestilt og fået.
> Altså er vi blevet snydt.

At du har en fast IP adresse betyder ikke, at den ikke kan
spoofes af andre.

>
> > En ændring af IP routningen kræver ikke den store indsats.
> Vil det sige at jeg bare kan ændre min IP adresse til den du bruger og
> dermed se al trafik til dig.

Nej, så nemt er det trods alt ikke. Du kan i mange tilfælde
nemt sende pakker med en andens IP adresse som source, men
at modtage returpakkerne er typisk sværere. Enten skal du
få dem omdirigeret et sted på vejen, eller aflytte dem hvor
de paserer et lettilgængeligt netværk. Der er muligvis andre
måder som jeg ikke har tænkt på.

> Ja det lydder sgu som et sikkerheds hul der vil noget.

En IP adresse giver næsten ingen sikkerhed for hvem du
kommunikerer med.

> Ja sådan kan man jo altid sige.
> Om du så tog vores server og gravede den ned ville vi kun være nede ind til
> vi fik en ny sat op.

Du har andre potentielle problemer.

1) Man kan få fat i fortrolige data fra serveren.
2) Man kan ændre data uden du opdager det.
3) Hvis du ikke har en fornuftigt backup strategi
kan du miste uerstatelige data.

> OK dem har vi undersøgt hos forsikringsselskaber og hos politiet.
> Vi har en hel mappe med profiler af computertyves adfærd.

Den adfærd vil ændre sig, når de får kendskab til dit
produkt.

> Det kan jeg ikke for nuværende og måske aldrig, afhænger af så meget.
> Jeg vil dog påstå at langt de fleste ender op med et windows system.

Men det er bare ikke nok. Din software skal også installeres
ovenpå windows før det hjælper. Og hvor mange vil gøre det?
Du kan næppe overtale ms til at indbygge spyware i windows
for at hjælpe dig.

> Ikke igen, det kan du ikke mene, jeg har forklaret systemes virkemåde mindst
> 50 gange nu her i denne ng.

1) De forklaringer har været alt for overfladiske.
2) Du undgår bevidst de væsentlige problemstillinger.

> Ja http://www.gigasoft.dk/anticrime/

Heh, den ikons design giver mig associationer om Apple:
http://www.gigasoft.dk/anticrime/b_save.gif
Har I virkelig selv designet den?

Jeg prøvede i øvrigt at få programmet til at køre.
Men det virkede ikke på nogen af mine computere.

>
> > > Skan en gang, udskriv ressultatet.
> > > Forsøg så f.eks at sætte en ny harddisk i og skan igen og sammenlign de
> to
> > > ressultater.
> >
> > Jeg ved godt du også kikke på hardwarer stumperne.
> >
> > Hmmm, kan disse oplysninger ikke også blot ændres, evt. med hjælpe fra
> > operativ systemet. Det burde faktisk være muligt.
> Muligvis, jeg ved nogle af de stumper vi kigger på kan, og ander har jeg
> ikke set nogen måde at gør det på endnu.

Ved at placere dit program i et dertil indrettet miljø
kan alt forfalskes. Dette miljø kunne være et modificeret
OS eller en emulator.

> Vi forsker hele tiden i det.
>
> > Jeg kunne måske tjene penge på at udvikle programmet PC-Skjuler
> God ide, sælger du aktier, måske jeg kunne give et par fiduser.
>
> > > Prøv så at sende en stump til en mand i kina og lad ham skanne sin
> maskine.
> > > Sammenlign så han ressultat med dine.
> > >
> > > Du vil nok blive forbløffet over hvor simpelt og enkelt det egentlig er.
> >
> > Ikke så længe jeg ikke kan teste det gratis :)
> Det er skam helt gratis

Tænk at du i den grad kan modsige dig selv i samme posting.
Jeg citerer:

CEL: Mener du med frit, at det er gratis.
CEL: Hvis det er tilfældet hvor henter jeg det så?
BØ: Det har det været det er det ikke mere.

>
> > Fordelen ved kun at tage halvdelen er at det ikke bliver opdaget. Hvem
> > opdager en maskine der kører med den halve mængde RAM?
> Så er det med garanti medarbejderne selv,

Det kan jo også være, at medarbejderne ikke ved nok om
computere til at opdage årsagen til, at maskinen er blevet
langsommere.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Kasper Dupont (06-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-12-02 22:38

"Bjarne Østergård" wrote:
>
> Hvem ved måske brænder der en fabrik igen så priserne på ram ryger i vejret.

Man hører jo i ny og næ om stigende ram priser. Men i det lange
løb er de da indtil vidre faldet. Jeg har kun en gang observeret,
at den samlede udvikling over en halvårs periode havde været en
stigning. Ja priserne stiger da lidt i perioder, men de falder
mere resten af tiden.

Hvad det helt præcist betyder for mængden af ram tyverier kan
jeg ikke forudsige, men man må forvente at tyverierne er mest
interesante efter en periode med stigende priser.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Kasper Dupont (06-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-12-02 22:41

"Bjarne Østergård" wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:3DF04926.C8131A1@daimi.au.dk...
>
> > Det tvivler jeg meget på, plejer de fleste aftaler ikke
> > at indeholde et afsnit omkring force majeure? Og selv
> > hvis de havde lovet det, så ville det nok alligevel være
> > umuligt at holde.
> Ved en atomkrig vil jeg også tro det er total ligegyldigt om mit system
> virker, der vil være andre systemer der er vigtigere at få igang igen.
> Så den risiko må jeg jo leve med.

Det er jeg da enig i. Men det var jo DIG, der sagde, at din
service også ville virke i den situation.

>
> > Desuden tvivler vi på, at din database nu er sat helt
> > sikkert op. Hvilke eksperter har du haft til at hjælpe
> > dig?
> Mine medarbejdere selvfølgeligt.
> Bedre findes ikke
> Det kan da vel finde på at tvivle på.

Nå, du har da i det mindste ikke mistet din sans for humor.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Frank (07-12-2002)
Kommentar
Fra : Frank


Dato : 07-12-02 12:15

Kasper Dupont wrote:
> "Bjarne Østergård" wrote:



>>OK dem har vi undersøgt hos forsikringsselskaber og hos politiet.
>>Vi har en hel mappe med profiler af computertyves adfærd.
>
>
> Den adfærd vil ændre sig, når de får kendskab til dit
> produkt.

... og tyvene begynner å bruke noe som enkelt som Host-filen til å
stanse denne spyware ...


Christian E. Lysel (07-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 07-12-02 12:49

Bjarne Østergård wrote:
>>Tester i om alarmcentralen er sat ud af drift, eller vil i opdage det
>>ved en tilfældighed?
> Det har jeg forsøgt at fortælle før, der er en overvogning på som tilses af
> TDC´s personale og der er sms alarm også
> som responstid på denne er max og bemærk nu at jeg skrev Max 15 min.

Vil det sige at et angreb, der tilfredsstileer overvægningens test,
eller bliver opdaget?

> Så nogen sikkerhedsrissiko er det jo ikke højest iriterende hvis nogen
> efterlyser for sjov.

Hvis det forgik konstant fra forskellige IP adresser, vil det være så
iriternede at system ville være ubrugligt.

Det svarer til at ligge en internet butik ned, ved at der bliver lagt
bunker af tilfældige ordre med menneskers adresser fra telefon bogen.

> Prøv der hvor du plejer at handle.

Jeg er ikke interesseret i at bruge penge, når jeg vil stille min tid
gratis til rådlighed.

>>Da du ikke kender til personens hensigter kan du ikke udtale dig om det.
> Jo ret sikkert endda
> For alle de kanaler som firewalls normal kan blokere for var ikke benyttet.
> kun dem som firewalls normalt ikke kan blokere for var registreringen kommet
> gennem.

Hvad siger det om hans/hendes hensigter?

>>En ændring af IP routningen kræver ikke den store indsats.
> Vil det sige at jeg bare kan ændre min IP adresse til den du bruger og
> dermed se al trafik til dig.

Ved at ændre din IP adresse lokalt til 62.61.140.19, vil Internettet
ikke begynde at route min trafik til dig.

> Ja det lydder sgu som et sikkerheds hul der vil noget.

Nej, det lyder som du i ovenstående ikke ved noget routning. Der skal
merer til før det er et problem.

>>Fejl kan give adgang til resourcer der ikke var tiltænkt, derefter kan
>>korthuset falde sammen.
> Ja sådan kan man jo altid sige.
> Om du så tog vores server og gravede den ned ville vi kun være nede ind til
> vi fik en ny sat op.

Det ville ikke være nødvendligt.

I mange tilfælde kan man fortage et angreb der ikke kan opdages, selv
med simple midler.

>>Hvis du ikke har valgt ovenstående regner jeg ikke med det tager
>>ansvaret for applikationerne der kører på serveren.
> Næh ansvaret er vores.

Godt, så har TDC jo heller ikke lovet Jer at jeres system ikke kan
sættes ud af drift. De har jo ikke indflydelse på
applikationsudviklingen eller applikationen.

> Ja så forstår jeg ikke mere dine indvendinger mod systemet og dine påstande
> om at det er ubrugeligt.

Se eksemplet længere nede med OpenBSD.

>>Jeg forholdte mig blot til mine erfaringer med tyveri omkring harddisk
>>formatering.
> OK dem har vi undersøgt hos forsikringsselskaber og hos politiet.
> Vi har en hel mappe med profiler af computertyves adfærd.
> Vi har skam lavet vores hjemmearbejde.

Siger du at i har undersøgt _min_ erfaring?

>>Men nu du selv bringer det op, hvis jeg stjæler din maskine og sletter
>>harddisken for derefter at installere fx OpenBSD og maskinen kører dette
>>resten af sit liv, hvordan vil du så spore den?
>
> Det kan jeg ikke for nuværende og måske aldrig, afhænger af så meget.
> Jeg vil dog påstå at langt de fleste ender op med et windows system.

Du kan selv kommer med mange andre eksempler, hvor det heller ikke vil
virke.

> Ikke igen, det kan du ikke mene, jeg har forklaret systemes virkemåde mindst
> 50 gange nu her i denne ng.

Men hverken kort eller præsist.

>>Har du URL'en?
> Ja http://www.gigasoft.dk/anticrime/

I skal have rettet teksten på denne side.

Den gennemgående fejl er at i ikke skrive at i _kun_ kan genkende pc'en
hvis Jeres produkt tidligere har været installeret.

Det fremgår derimod at i kan genkende alle stjåne PC'er også dem der
ikke har været installeret med Jeres produkt.

Vil du ikke selv mene at ovenstående er rigtigt?

>>Hmmm, kan disse oplysninger ikke også blot ændres, evt. med hjælpe fra
>>operativ systemet. Det burde faktisk være muligt.
>
> Muligvis, jeg ved nogle af de stumper vi kigger på kan, og ander har jeg
> ikke set nogen måde at gør det på endnu.
> Vi forsker hele tiden i det.

Forske? Er det ikke nemmer at læse sig til det?

De operativsystemer jeg har programmeret til, har det været trivielt.

>>Jeg kunne måske tjene penge på at udvikle programmet PC-Skjuler
> God ide, sælger du aktier, måske jeg kunne give et par fiduser.

Jammen det ville jo være en win-win situation for os begge.

Vi kan jo tjene kassen.

>>Ikke så længe jeg ikke kan teste det gratis :)
> Det er skam helt gratis

Kan du ikke forklar mig kort og præsist hvor jeg kan få en demo af
produktet gratis. Indtil videre har du blot forklaret mig at det har
været gratis men at jeg nu kan købe det i diverse butikker.

>>De sager jeg har kendskab til har tyven enten stjålet al RAM eller
>>halvdelen
> Lyder som et grimt eksempel, men var det indbrud eller forsvandt de bare.

Begge dele. I det tilfælde hvor der var indbrud, var det ikke svært at
opdage :)

I de andre tilfælde, blev det typisk opdaget efter 1-3 måned.

> Ved du hvor udbredt nettop det fænomen er.?

Nej.

> Så tusin tak for tippet.
> Du får en gratis version den dag det er klar.

Godt. så kan jeg måske teste produktet.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Christian E. Lysel (07-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 07-12-02 12:50

Bjarne Østergård wrote:
> Den vil vi også tage med nu, selv om jeg lige har talt med politiet, og de
> siger at de faktisk aldrig mere modtager anmeldelser om forsvundne ram.

Hvad skal de også stille op?

Politiet "Hvornår blev tyveriet fortaget", offret, "Det ved vi ikke".

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Thomas (05-12-2002)
Kommentar
Fra : Thomas


Dato : 05-12-02 00:44

Christian Andersen wrote:
> Andreas Plesner Jacobsen wrote:

[...]

>> Skal jeg tage dette svar som en indikation for at du ikke vil bevise,
>> hvad din software kan?
>
> Skal VI tage det som en indikation af at du ikke vil give programmet en
> fair test?

Nej det skal VI ikke. M.a.o. tal for dig selv.

Andreas tilbød gratis at lægge PC, sin tid og kompetance til.

Bjarne tager udfordingen:

-cut-
He he, du kan jo prøve, så skal jeg nok skrive hvis nogen af mine
programmer ikke overlever.
-cut-

Er det så ikke rimeligt at Bjarne donerer en enkelt kopi, så vi en gang
for alle, kan blive overbevist om at pc-finder lever op til det Bjarne
fortæller os at det kan ?

Hvis ikke Bjarne vil det, så kan han jo skrive det. Istedet for vælger
Bjarne (bevidst ?) at misforstå det der bliver skrevet, og væver noget
om at butikstyveri er strafbart.

Jeg har fuld tillid til at Andreas kan udføre og poste en sober test.

--
Don't waste space

Christian Andersen (05-12-2002)
Kommentar
Fra : Christian Andersen


Dato : 05-12-02 00:56

Thomas wrote:

> Christian Andersen wrote:
>> Andreas Plesner Jacobsen wrote:
>
> [...]
>
>>> Skal jeg tage dette svar som en indikation for at du ikke vil bevise,
>>> hvad din software kan?
>>
>> Skal VI tage det som en indikation af at du ikke vil give programmet en
>> fair test?
>
> Nej det skal VI ikke. M.a.o. tal for dig selv.
>
> Andreas tilbød gratis at lægge PC, sin tid og kompetance til.
>
> Bjarne tager udfordingen:
>
> -cut-
> He he, du kan jo prøve, så skal jeg nok skrive hvis nogen af mine
> programmer ikke overlever.
> -cut-
>
> Er det så ikke rimeligt at Bjarne donerer en enkelt kopi, så vi en gang
> for alle, kan blive overbevist om at pc-finder lever op til det Bjarne
> fortæller os at det kan ?
>
> Hvis ikke Bjarne vil det, så kan han jo skrive det. Istedet for vælger
> Bjarne (bevidst ?) at misforstå det der bliver skrevet, og væver noget
> om at butikstyveri er strafbart.
>
> Jeg har fuld tillid til at Andreas kan udføre og poste en sober test.
>


--
..signature

Christian Andersen (05-12-2002)
Kommentar
Fra : Christian Andersen


Dato : 05-12-02 01:00

[jeg svarer lige igen, der gik smat i det]

Thomas wrote:

> Er det så ikke rimeligt at Bjarne donerer en enkelt kopi, så vi en gang
> for alle, kan blive overbevist om at pc-finder lever op til det Bjarne
> fortæller os at det kan ?

Jo, det er rimeligt, men det er ikke mit centrale argument.

Læs det indlæg du svarede på, samt mit tidligere indlæg til Christian E.
Lysel.

> Jeg har fuld tillid til at Andreas kan udføre og poste en sober test.

Jeg har heller ingen grund til at tvivle på Andreas' objektivitet, men
hvis hans test består af:

"Fdisk, ævbæv!" kan det være ligemeget. Igen, se mit centrale argument
for en uddybning.

--
..signature

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 01:12


"Christian Andersen" <w9luodn02@sneakemail.com> skrev i en meddelelse
news:asm333$hrm$1@news.cybercity.dk...
> Andreas Plesner Jacobsen wrote:
>
> >>> >> Som en anden har sagt før: "Now you've done it" - nu har jeg
> >>> >> tilfældigvis en maskine jeg kan bruge til formålet, så lad os
aftale
> >>> >> omstændighederne for forsøget:
>
> >>> > Det behøved du sørme ingen aftale med mig for at gøre, bare smut ned
i
> >>> > kvikly og hent et eksemplar og test løs.
>
> >>> Jeg har ikke tænkt mig at betale for det, nej.
>
> >> Fy fy. butikstyveri er forbudt.
>
> > Skal jeg tage dette svar som en indikation for at du ikke vil bevise,
> > hvad din software kan?
>
> Skal VI tage det som en indikation af at du ikke vil give programmet en
> fair test?
>
> Jeg er ved at være træt af den hetz der kører mod Bjarne Østergård. Mest
> på grund af de alenlange tråde.
>
> PC Finder er et program der registrerer visse oplysninger om visse
> hardwareenheder i en computer.
>
> Disse oplysninger ligger den op i en central database.
>
> Er vi alle med så langt? Godt.
>
> Så vidt jeg har forstået, kontakter PC Finder med jævne mellemrum
> "basen", for at opgive visse oplysninger om internetforbindelsen.
> Samtidig checker den om computeren er meldt stjålent. Hvis den er det,
> går den i "stjålet-mode", hvor den forsøger at "ringe hjem" oftere end
> den gjorde før.
>
> Er vi alle med så langt? Godt.
>
> Ja, Bjarne har engang sagt at programmet kan overleve en reinstallation
> af computeren og selvfølgelig kan det ikke det.
> Det Bjarne mente, var at oplysningerne i databasen selvflgelig altid er
> der.
>
> Ok, så kommer det som mange af jer har haft problemer med.
>
> "Første gang" (eller anden gang, hvis computeren er blevet reinstalleret)
> PC Finder bliver installeret på en maskine, samler det visse
> oplysninger om visse hardwareenheder i en computer. Derefter kontakter
> der en central database for at registrere sig selv. Samtidig checker den
> om dens hardwareenheder er meldt stjålet. Hvis den er det, går den i (osv
> osv).
>
> Altså, et program, en database, visse oplysninger.
>
> Sværere er det ikke.

Det er faktisk helt korrekt.
Og så kan jeg tilføje at den del af koden der kan kalde databasen og se om
der er efterlyste stummper nu skal forhandles ud til andre leverandører af
software og spil osv osv.
Lige som det kan ske fra nogle hjemmesider.

Altså kort og godt en computer der har sine hardware dele registreret som
tilhørende en i efterlysningsdatabasen vil kunne ses og tjekkes på, i
installation og downloads af mange andre programmer også.

Systemet er faktisk så simpelt som Christian siger.

Og i ved det jo godt det er faktisk så simpelt at det er indlysende.

Og at formatere en harddisk ændrer jo ikke på f.eks motherboardets id eller
mac adressen osv.

Derfor kan jeg sige at systemet overlever næsten hvad som helst i udsætter
den stakkels harddisk for.
Og derfor kan man faktisk også finde stumper der er i en linux maskine.
men vi har ikke udviklet det rigtigt endnu. men enhver programmør kan blot
bed om det så kan han få en tilladelse til at lave et tyveritjek fra hans
seget software op mod vores efterlyst database.

Kan i se det simple, og kan i se styrken.

Det eneste jeg lige ind til for få dag siden, virkelig var usikker omkring,
var egentligt det juridiske, da jeg jo også havde fået at vide at man aldrig
kunne få en dommerkendelse på de beviser vi kunne fremskaffe på den måde.

Men det er da heldigvis klaret nu.
Da vi har hafte en sag gennem hele møllen nu.

Vi forsøger at få lov til at offentliggøre den, men her er vi nødt til at
være meget forsigtige.

MVH
Bjarne Øtergård








Christian Andersen (05-12-2002)
Kommentar
Fra : Christian Andersen


Dato : 05-12-02 01:30

Bjarne Østergård wrote:

>> Altså, et program, en database, visse oplysninger.
>>
>> Sværere er det ikke.

> Det er faktisk helt korrekt.

<snip>

> Altså kort og godt en computer der har sine hardware dele registreret som
> tilhørende en i efterlysningsdatabasen vil kunne ses og tjekkes på, i
> installation og downloads af mange andre programmer også.

Hmmm? Spyware i en masse forskelligt software? Det er jeg ikke sikker på
at jeg er helt så vild med.

Argumentet "Jamen, du er jo sikker så længe du ikke stjæler noget!"
holder ikke. Så kan vi alle sammen jo begynde at sende vores private
breve på postkort "fordi vi har jo ikke noget at skjule".

--
..signature

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 01:48

"Christian Andersen" <w9luodn02@sneakemail.com> skrev i en meddelelse
news:asm6mp$kp8$1@news.cybercity.dk...
> Bjarne Østergård wrote:
>
> >> Altså, et program, en database, visse oplysninger.
> >>
> >> Sværere er det ikke.
>
> > Det er faktisk helt korrekt.
>
> <snip>
>
> > Altså kort og godt en computer der har sine hardware dele registreret
som
> > tilhørende en i efterlysningsdatabasen vil kunne ses og tjekkes på, i
> > installation og downloads af mange andre programmer også.
>
> Hmmm? Spyware i en masse forskelligt software? Det er jeg ikke sikker på
> at jeg er helt så vild med.

Det bliver der ikke tale om, det vil fremgå klart og tydeligt af ethvert
produkr at ved installation vil det kontrolere for efterlyste komponenter.
Hvis ikke vil jeg i hvertfal ikke være med.
Det tror jeg heller ikke er lovligt, jeg håber det ikke.

Men dets flere softwarehuse der vil være med dets svære bliver det at være
tyv.
Der er dog et langt træk endnu der skal gøres før vi kommer så langt, vi
skal have nogle af de tunge drenge med.
Og der skal sle en holdningsændring i befolkningen til det at købe
hælervarer.
Men vi arbejder på sagen, se. evt jyllandsposten i morgen.

MVH




Kent Friis (05-12-2002)
Kommentar
Fra : Kent Friis


Dato : 05-12-02 17:18

Den Thu, 5 Dec 2002 01:47:59 +0100 skrev Bjarne Østergård:
>"Christian Andersen" <w9luodn02@sneakemail.com> skrev i en meddelelse
>news:asm6mp$kp8$1@news.cybercity.dk...
>> Bjarne Østergård wrote:
>>
>> >> Altså, et program, en database, visse oplysninger.
>> >>
>> >> Sværere er det ikke.
>>
>> > Det er faktisk helt korrekt.
>>
>> <snip>
>>
>> > Altså kort og godt en computer der har sine hardware dele registreret
>som
>> > tilhørende en i efterlysningsdatabasen vil kunne ses og tjekkes på, i
>> > installation og downloads af mange andre programmer også.
>>
>> Hmmm? Spyware i en masse forskelligt software? Det er jeg ikke sikker på
>> at jeg er helt så vild med.
>
>Det bliver der ikke tale om, det vil fremgå klart og tydeligt af ethvert
>produkr at ved installation vil det kontrolere for efterlyste komponenter.

Det samme gælder for det meste spyware nutildags. Det står nede på side
7 ud af de 9 sider EULA, som folk clicker ok til uden at læse. Og som
enhver ved at folk ikke læser.

>Og der skal sle en holdningsændring i befolkningen til det at købe
>hælervarer.

Nu er jeg selv en af dem der ikke kunne finde på at købe en stjålet
PC (bare kig over på stakken af originale spil), men jeg får næsten
lyst til at stjæle en PC med PC-finder, bare for at bevise at du
ikke kan finde den. Det er da den stik modsatte effekt.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 21:02


"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:asnu7i$slu$5@sunsite.dk...
>
> Nu er jeg selv en af dem der ikke kunne finde på at købe en stjålet
> PC (bare kig over på stakken af originale spil), men jeg får næsten
> lyst til at stjæle en PC med PC-finder, bare for at bevise at du
> ikke kan finde den. Det er da den stik modsatte effekt.

Tjah, den effekt er nu vist meget almindeligt, nogen kan jo finde
tilfredsstillelse i at det skal gå andre skidt.
Hvorfor er det dig så magtpåliggende at vill bevise det.
Det kendes under et ret sjovt navn Janteloven.

Først er der, hvis man forsøger noget, der er forskelligt fra flokkenm.
Du skal ikke tro du er noget,

Hvis nu fjoldset altså i dette tilfælde mig alligevel ikke vil bøje mig men
bliver ved med at tro jeg har lavet, gjort, skabt noget jeg er stolt af.
Ja så kommer trangen til at vise et sådant fjolds hans rette plads, man må
simpelt hen bevise atr fjoldset er et fjolds.
Man må gøre alt for at knække ham og ydymyge ham.

Lykkedes det så kommer næste trin so du sikkert kan mærke nu, nemlig den
altfortærende trang til at kunne udbryde.

Hvad sagd jeg.

Så er vi tilbage ved starten, det handler vist egentligt ikke så meget om
trangen til at bevise at jeg tar fejl, det handler vist mere om trangen til
at kunne sige "Hvad sagde jeg"

Når en trang bliver stor nok er det man risikerer at blive kriminel, det er
skam kendt, tænk bare på narkomaner og hvad de vil gøre for at opfylde deres
trang.

Det er vel nok mere sjældent at en trang til at hovrere driver folk så langt
ud.

Så hvis du virkelig ligefrem få lyst til at stjæle bare for at kunne
hovrere, burde du nok gå på afvending med at læse denne debat.

Hm findes der mon NG afvendings kurser.

Hygge og hejsa
Bjarne
PS. Jeg skal nok sende dig besked hvis det skulle gå rigtig skidt med mit
projekt, ingen grund til at du ikke skal hygge dig, bare fordi jeg ikke gør





Kent Friis (05-12-2002)
Kommentar
Fra : Kent Friis


Dato : 05-12-02 22:38

Den Thu, 5 Dec 2002 21:01:31 +0100 skrev Bjarne Østergård:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:asnu7i$slu$5@sunsite.dk...
>>
>> Nu er jeg selv en af dem der ikke kunne finde på at købe en stjålet
>> PC (bare kig over på stakken af originale spil), men jeg får næsten
>> lyst til at stjæle en PC med PC-finder, bare for at bevise at du
>> ikke kan finde den. Det er da den stik modsatte effekt.
>
>Tjah, den effekt er nu vist meget almindeligt, nogen kan jo finde
>tilfredsstillelse i at det skal gå andre skidt.

Læser du hvad jeg skriver? Jeg kunne netop ikke finde på det, men du
er godt igang med at lokke mig til at gøre det alligevel.

>Hvorfor er det dig så magtpåliggende at vill bevise det.

Fordi jeg ved jeg kan.

>Det kendes under et ret sjovt navn Janteloven.

"Du skal vise hvad du duer til"? Jeg mene Janteloven var nærmest lige
modsat.

>Først er der, hvis man forsøger noget, der er forskelligt fra flokkenm.
>Du skal ikke tro du er noget,
>
>Hvis nu fjoldset altså i dette tilfælde mig alligevel ikke vil bøje mig men
>bliver ved med at tro jeg har lavet, gjort, skabt noget jeg er stolt af.
>Ja så kommer trangen til at vise et sådant fjolds hans rette plads, man må
>simpelt hen bevise atr fjoldset er et fjolds.
>Man må gøre alt for at knække ham og ydymyge ham.

Det har aldrig været nogens mening. Folk har hele tiden forsøgt at
finde ud af hvad dit produkt *reelt* kan. De har stillet en masse
spørgsmål, som du enten ikke har svaret på eller har svaret modstridende
på.

Når du har fortalt at programmet kan noget, som nutidens eksperter anser
for umuligt, så er du blevet spurgt hvordan gør du. Hvis det virkelig
er sandt hvad du siger, må du jo være virkelig dygtig. Men i stedet for
at besvare spørgsmålet, kommer der blot en sludder for en sladder, der
får det til at lyde som om det var salgsgas. Og marketing-folk er der
altså ikke ret mange herinde der tror på.

Altså, hvis du kommer og påstår at din nye bil kører hurtigere end
lysets hastighed, så har vi meget svært ved at tro på dig. Hvis du
kan bevise det, så bliver du berømt. Hvis ikke, så er der ingen der
tager dig alvorligt. Så simpelt er det.

Mvh
Kent
--
A Elbereth Gilthoniel, silivren penna míriel
o menel aglar elenath! Na-chaered palan-díriel
o galadhremmin ennorath, Fanuilos, le linnathon nef aear, sí nef aearon!
- Tolkien, "The Lord of the Rings"

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 23:27


"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:asoh03$m2b$2@sunsite.dk...
> Læser du hvad jeg skriver? Jeg kunne netop ikke finde på det, men du
> er godt igang med at lokke mig til at gøre det alligevel.

jeg vil altså megt nødig have ansvaret for atr du skal blive kriminel.
> >Hvorfor er det dig så magtpåliggende at vill bevise det.
> Fordi jeg ved jeg kan.
Programmet er spredt til alle vinde og det står forhåbentligt i de fleste
butikker, så der er intet der forhindre dig i at teste det alt det du kan og
lidt til.

> Det har aldrig været nogens mening. Folk har hele tiden forsøgt at
> finde ud af hvad dit produkt *reelt* kan. De har stillet en masse
> spørgsmål, som du enten ikke har svaret på eller har svaret modstridende
> på.
Jeg har beskrevet det masser af gange og det står på hjemmesiden hvad det
kan.
Hvis folk bare siger det er løgn, kan jeg da ikke gør noget ved det.
udover at påstå hårdnakket at det er det ikke, i kan jo bare selv prøve.

Så simpelt og enkelt er det.

Når det ligefrem bliver en besættelse at bevise at programmet ikke virker er
vi altså for langt ude.
Kære mand det her er en NG.
Ideen med en diskusionsgruppe er jo nettop at give folk et sted at
diskutere.

> Når du har fortalt at programmet kan noget, som nutidens eksperter anser
> for umuligt
Hvem siger at jeg ikke er en nutidig ekspert.
Jeg har før udtrykt min holdninger til ekspertudnævnlser

>, så er du blevet spurgt hvordan gør du. Hvis det virkelig
> er sandt hvad du siger, må du jo være virkelig dygtig. Men i stedet for
> at besvare spørgsmålet, kommer der blot en sludder for en sladder, der
> får det til at lyde som om det var salgsgas. Og marketing-folk er der
> altså ikke ret mange herinde der tror på.

Ja men det er jo din opfattelse af tingene jeg haer en anden hvad alle andre
har er altså deres helt egen sag.
hvorfor altid den der sætning, "vi er mange her der mener" det er jo
udpræget flokdrift.

Vær dog modig nok til at sig jeg og mig, ikke vi og alle de andre.

Det der virkelig genere dig, er vel at jeg siger, jeg mener, jeg gør, jeg
ved, og jeg tror på mig selv, også selv om ikke andre gør.

Vågn op det er år 2002. det er tilladt at have drømme, mål, samt ambitioner
om at nå de mål man har drømt om.

> Altså, hvis du kommer og påstår at din nye bil kører hurtigere end
> lysets hastighed, så har vi meget svært ved at tro på dig. Hvis du
> kan bevise det, så bliver du berømt. Hvis ikke, så er der ingen der
> tager dig alvorligt. Så simpelt er det.
Ja det forstår jeg, jeg kan vise dig klip hvor proffessore påstår at et
menneske ikke kan bevæge sig over 40 km i timen uden at tage skade.
I damplokomotivets barndom var der skam eksperter der havde beregnet det.

Havde vi holdt os til det skulle vi havde opfundet fly der kunne holde sig i
luften med 40 km-t.
Der er pisse langt til Spanien i sådant en fly vil jeg påstå.

Nå heldigvis er der da mange, ikke eksperter, der ikke ved hvad der er
umuligt, før længe efter at de har gjort det.

Prøv at læse aviserne om dengang man ville forsøge at bryde lydmuren osv
osv.
Jo Jo eksperter er kun eksperter ind til de ikke er det mere.

Mvh






Kent Friis (07-12-2002)
Kommentar
Fra : Kent Friis


Dato : 07-12-02 13:25

Den Thu, 5 Dec 2002 23:27:13 +0100 skrev Bjarne Østergård:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:asoh03$m2b$2@sunsite.dk...
>
>jeg vil altså megt nødig have ansvaret for atr du skal blive kriminel.
>> >Hvorfor er det dig så magtpåliggende at vill bevise det.
>> Fordi jeg ved jeg kan.
>Programmet er spredt til alle vinde og det står forhåbentligt i de fleste
>butikker, så der er intet der forhindre dig i at teste det alt det du kan og
>lidt til.

At melde en PC stjålet, man stadig har er skam også ulovligt. At
opfordre andre til at stjæle den er også.

>> Det har aldrig været nogens mening. Folk har hele tiden forsøgt at
>> finde ud af hvad dit produkt *reelt* kan. De har stillet en masse
>> spørgsmål, som du enten ikke har svaret på eller har svaret modstridende
>> på.
>Jeg har beskrevet det masser af gange og det står på hjemmesiden hvad det
>kan.

Nej, der står en masse salgsgas.

>Hvis folk bare siger det er løgn, kan jeg da ikke gør noget ved det.
>udover at påstå hårdnakket at det er det ikke, i kan jo bare selv prøve.

Men du kan ikke bevise det? Du kan ikke forklare hvordan?

Jeg ville ikke ansætte en programmør der kan fortælle at hans program
virker, men som ikke kan fortælle HVORFOR og HVORDAN det virker.

>> Når du har fortalt at programmet kan noget, som nutidens eksperter anser
>> for umuligt
>Hvem siger at jeg ikke er en nutidig ekspert.

Eksperter (de reelle, ikke dem der lader som om) kan fortælle hvorfor
de har ret.

>>, så er du blevet spurgt hvordan gør du. Hvis det virkelig
>> er sandt hvad du siger, må du jo være virkelig dygtig. Men i stedet for
>> at besvare spørgsmålet, kommer der blot en sludder for en sladder, der
>> får det til at lyde som om det var salgsgas. Og marketing-folk er der
>> altså ikke ret mange herinde der tror på.
>
>Ja men det er jo din opfattelse af tingene jeg haer en anden hvad alle andre
>har er altså deres helt egen sag.
>hvorfor altid den der sætning, "vi er mange her der mener" det er jo
>udpræget flokdrift.

Nej, det er en ganske simpel konstatering.

>Det der virkelig genere dig, er vel at jeg siger, jeg mener, jeg gør, jeg
>ved, og jeg tror på mig selv, også selv om ikke andre gør.

Nej, det der generer mig er at du fyrer en masse salgsgas af, og hver
gang der kommer kritiske spørgsmål er du mere undvigende end den lokale
radio-sælger, når man spørger ham hvorfor det lyder ad h*lvede til.

>Vågn op det er år 2002. det er tilladt at have drømme, mål, samt ambitioner
>om at nå de mål man har drømt om.

Jamen hvis det bare var en drøm om at lave et program der kan, så skulle
du jo have skrevet det. Men i stedet påstår du gang på gang at du har
gjort det - og at det virker, men du ved åbenbart ikke hvorfor det
virker.

>> Altså, hvis du kommer og påstår at din nye bil kører hurtigere end
>> lysets hastighed, så har vi meget svært ved at tro på dig. Hvis du
>> kan bevise det, så bliver du berømt. Hvis ikke, så er der ingen der
>> tager dig alvorligt. Så simpelt er det.
>Ja det forstår jeg, jeg kan vise dig klip hvor proffessore påstår at et
>menneske ikke kan bevæge sig over 40 km i timen uden at tage skade.
>I damplokomotivets barndom var der skam eksperter der havde beregnet det.

Lige præcis.

Og havde du fortalt dem at de tog fejl, var du blevet til grin.
Havde du derimod vist dem at de tog fejl, var de blevet til grin.

Du hører i den første kategori. Du bliver ved med at påstå at du kan
en hel masse, som "alle" ved er "umuligt". Sålænge det kun er påstande,
er der ingen der tror på dig. Du har ikke engang sandsynliggjort det,
så folk vil give dig en chance, og bruge tid på at installere windows,
for at teste dit program.

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

Kasper Dupont (05-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 05-12-02 06:48

Christian Andersen wrote:
>
> Skal VI tage det som en indikation af at du ikke vil give programmet en
> fair test?

Det lyder nu mere som om at han gerne vil teste det så længe
Bjarne dækker omkostningerne. Det synes jeg sådanset er et
rimeligt minimum.

>
> Jeg er ved at være træt af den hetz der kører mod Bjarne Østergård. Mest
> på grund af de alenlange tråde.

Du kan jo bare ignorere de pågældende tråde.

>
> Ja, Bjarne har engang sagt at programmet kan overleve en reinstallation
> af computeren og selvfølgelig kan det ikke det.

Én gang? Jeg har set det sagt mange gange. Og hver gang der
er blevet spurgt om det nu virkelig kunne passe har Bjarne
gentagt at naturligvis kan programmet overleve en
reinstallation af computeren.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bertel Lund Hansen (05-12-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 05-12-02 07:29

Christian Andersen skrev:

>Jeg er ved at være træt af den hetz der kører mod Bjarne Østergård. Mest
>på grund af de alenlange tråde.

De bliver ikke kortere af at du udlægger Bjarnes mening i strid
med hvad han har skrevet gentagne gange i alenlange tråde.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Jonathan Stein (05-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 05-12-02 14:13

Christian Andersen wrote:

> Jeg er ved at være træt af den hetz der kører mod Bjarne Østergård. Mest
> på grund af de alenlange tråde.

Jeg tror alle (måske undtagen Bjarne) er ved at være trætte af de lange tråde,
men når Bjarne gang på gang bliver ved med at gå uden om spørgsmålene og svare i
øst, når der bliver spurgt i vest, så bliver trådene _meget_ lange, når skidt
skal skilles fra kanel.

> PC Finder er et program der registrerer visse oplysninger om visse
> hardwareenheder i en computer.
> ...

Måske skulle Bjarne ansætte dig som kommunikationschef, for al denne snak
havde ikke været der, hvis Bjarne (som du nu gør) præcis skriver hvad programmet
kan - og specielt hvilke forudsætninger der stilles.
Selv om Bjarne ofte har skrevet, at han ikke forsøger at sælge noget her i
gruppen, så snakker vi jo om et program der er i handlen, og som langt fra lever
op til alt det Bjarne gennem tiden har skrevet her i gruppen. (Hvilket han til
dels har indrømmet efter disse mega-tråde).

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Arne Schwerdtfegger (04-12-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 04-12-02 23:49

"Bjarne Østergård" <boe@ydicon.dk> wrote in
news:3dee7a5f$0$199$edfadb0f@dread16.news.tele.dk:

> Undskyld, min fejl. (hvor dum kan man være)

Jeg troede engang der var grænser, men dem har du brudt så mange gange at
jeg er holdt op med at sætte en sådan. Måden du åbenlyst ignorerer konkrete
spørgsmål, svarer helt hen i skoven hvis der er slåfejl i spørgsmål og så
videre er ved at hænge mig langt ud af halsen. Hvis folk skulle slå ned
på/fejltolke det med vilje hver gang du staver/taster forkert ville gruppen
være oversvømmet af det. Jeg har ikke i _lang_ tid set nogen sige 'det er
bare smaddergodt bjarne' eller noget i den stil, stort set alle indlæg
rettet mod dig er kritik. Overvej hvorfor. Min personlige fortolkning er at
du er skingrende skør.

--
Knud

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 01:18


"Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> skrev i en meddelelse
news:Xns92DAF258AE0FFknudINVALIDskodlivdk@212.242.40.196...
> "Bjarne Østergård" <boe@ydicon.dk> wrote in
> news:3dee7a5f$0$199$edfadb0f@dread16.news.tele.dk:
>
> > Undskyld, min fejl. (hvor dum kan man være)
>
> Jeg troede engang der var grænser, men dem har du brudt så mange gange at
> jeg er holdt op med at sætte en sådan. Måden du åbenlyst ignorerer
konkrete
> spørgsmål, svarer helt hen i skoven hvis der er slåfejl i spørgsmål og så
> videre er ved at hænge mig langt ud af halsen. Hvis folk skulle slå ned
> på/fejltolke det med vilje hver gang du staver/taster forkert ville
gruppen
> være oversvømmet af det. Jeg har ikke i _lang_ tid set nogen sige 'det er
> bare smaddergodt bjarne' eller noget i den stil, stort set alle indlæg
> rettet mod dig er kritik. Overvej hvorfor. Min personlige fortolkning er
at
> du er skingrende skør.

Uha, det kan jeg da modbevise, folk kalder mig for halvhjerne ergo kan der
kun være halvt så meget dumhed i min hjerne som i din.
og hvis klogskab er det modsatte af dumhed, tjah så giver ressultatet vel
sig selv.

Mvh





Arne Schwerdtfegger (05-12-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 05-12-02 12:53

"Bjarne Østergård" <boe@ydicon.dk> wrote in
news:3dee9bd7$0$199$edfadb0f@dread16.news.tele.dk:

>> Min personlige fortolkning er at du er skingrende skør.
>
> Uha, det kan jeg da modbevise, folk kalder mig for halvhjerne ergo kan
> der kun være halvt så meget dumhed i min hjerne som i din.
> og hvis klogskab er det modsatte af dumhed, tjah så giver ressultatet
> vel sig selv.

Du fortsætter ufortrødent i samme komplet hjernedøde stil. Det er mig et
under at du er i stand til at opretholde et job, ensidige tage sko på om
morgenen uden hjælp.

--
Knud

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 13:16

"Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> skrev i en meddelelse
news:Xns92DB83281DD54knudINVALIDskodlivdk@212.242.40.196...
> "Bjarne Østergård" <boe@ydicon.dk> wrote in
> news:3dee9bd7$0$199$edfadb0f@dread16.news.tele.dk:
>
> >> Min personlige fortolkning er at du er skingrende skør.
> >
> > Uha, det kan jeg da modbevise, folk kalder mig for halvhjerne ergo kan
> > der kun være halvt så meget dumhed i min hjerne som i din.
> > og hvis klogskab er det modsatte af dumhed, tjah så giver ressultatet
> > vel sig selv.
>
> Du fortsætter ufortrødent i samme komplet hjernedøde stil. Det er mig et
> under at du er i stand til at opretholde et job, ensidige tage sko på om
> morgenen uden hjælp.

Jeg kan altså lun tage udtalelser som "du er skingrende skør" med humor.
Det man man jo kun grine af, hvad skal jeg ellers brue en sådan oplysning
til.

MVH




Arne Schwerdtfegger (05-12-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 05-12-02 15:24

"Bjarne Østergård" <boe@ydicon.dk> wrote in
news:3def4820$0$175$edfadb0f@dread16.news.tele.dk:

>> Du fortsætter ufortrødent i samme komplet hjernedøde stil. Det er mig
>> et under at du er i stand til at opretholde et job, ensidige tage sko
>> på om morgenen uden hjælp.
>
> Jeg kan altså lun tage udtalelser som "du er skingrende skør" med
> humor. Det man man jo kun grine af, hvad skal jeg ellers brue en sådan
> oplysning til.

Du kunne tage det som en opfordring til selvransagelse. Kig eventuelt
objektivt på nogle af dine tidligere postings, eller få en anden til det og
bed vedkommende om at komme med sin uforbeholdne mening.

--
Knud

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 16:37


"Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> skrev i en meddelelse
news:Xns92DB9CC165E51knudINVALIDskodlivdk@212.242.40.196...
> > Jeg kan altså lun tage udtalelser som "du er skingrende skør" med
> > humor. Det man man jo kun grine af, hvad skal jeg ellers brue en sådan
> > oplysning til.
>
> Du kunne tage det som en opfordring til selvransagelse. Kig eventuelt
> objektivt på nogle af dine tidligere postings, eller få en anden til det
og
> bed vedkommende om at komme med sin uforbeholdne mening.

Altså Knud, eller er det Arne ?
Der er sgu da nok her, der kommer med sin uforbeholdende mening, så hvorfor
skulle jeg dog invitere flere.
Alle har da lov i forvenjen, til at sige deres meninger på en nyhedsgruppe.
(Kender du forresten børnebogen napoleon)
den endte med parolen "Alle dyr er lige, men nogen dyr er mere lige end
andre."
Mærkeligt nok blev forfateren betraktet som kriminel i de kommuniske lande.



MVH





Michael Wojciechowsk~ (05-12-2002)
Kommentar
Fra : Michael Wojciechowsk~


Dato : 05-12-02 18:02

On Thu, 5 Dec 2002 16:37:29 +0100, Bjarne Østergård <boe@ydicon.dk>
wrote:

|> (Kender du forresten børnebogen napoleon) den endte med parolen
|> "Alle dyr er lige, men nogen dyr er mere lige end andre."

"All animals are equal but some animals are more equal than others."
stammer fra George Orwells Animal Farm. Bogen findes i en dansk
oversættelse (så vidt at jeg husker) med titlen "Kammerat Napoleon".

Jeg ville bare hjælpe dig lidt, Bjarne.

--
Michael Wojciechowski

One must suffer before enlightenment.

Jesper Stocholm (05-12-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 05-12-02 20:06

Michael Wojciechowski wrote :

> On Thu, 5 Dec 2002 16:37:29 +0100, Bjarne Østergård <boe@ydicon.dk>
> wrote:
>
>|> (Kender du forresten børnebogen napoleon) den endte med parolen
>|> "Alle dyr er lige, men nogen dyr er mere lige end andre."
>
> "All animals are equal but some animals are more equal than others."
> stammer fra George Orwells Animal Farm. Bogen findes i en dansk
> oversættelse (så vidt at jeg husker) med titlen "Kammerat Napoleon".

og så er det bestemt ikke en børnebog ...



--
Jesper Stocholm - http://stocholm.dk
Ny FAQ for dk.edb.internet.webdesign.serverside.asp : http://asp-faq.dk
Svar til gruppen og ikke til mig privat !

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 21:06


"Jesper Stocholm" <jespers@stocholm.invalid> skrev i en meddelelse
news:Xns92DBCC6A9A868spamstocholmdk@130.226.1.34...
> Michael Wojciechowski wrote :
>
> > On Thu, 5 Dec 2002 16:37:29 +0100, Bjarne Østergård <boe@ydicon.dk>
> > wrote:
> >
> >|> (Kender du forresten børnebogen napoleon) den endte med parolen
> >|> "Alle dyr er lige, men nogen dyr er mere lige end andre."
> >
> > "All animals are equal but some animals are more equal than others."
> > stammer fra George Orwells Animal Farm. Bogen findes i en dansk
> > oversættelse (så vidt at jeg husker) med titlen "Kammerat Napoleon".
>
> og så er det bestemt ikke en børnebog ...
Ups, jeg har da læst den højt for mine børn.

Den er i hvertfald skide god,

Mvh




Christian E. Lysel (05-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-02 00:16

Bjarne Østergård wrote:
> Det behøved du sørme ingen aftale med mig for at gøre, bare smut ned i
> kvikly og hent et eksemplar og test løs.

Skal vi betale (andreas og mig), for at teste produktet for dig?

Jeg er frisk på at teste det, men du lod min tråd om dette dø.

Ønsker du at få det testet?

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 01:38

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asm2bk$7vv$1@sunsite.dk...
> Bjarne Østergård wrote:
> > Det behøved du sørme ingen aftale med mig for at gøre, bare smut ned i
> > kvikly og hent et eksemplar og test løs.
>
> Skal vi betale (andreas og mig), for at teste produktet for dig?
>
> Jeg er frisk på at teste det, men du lod min tråd om dette dø.
>
> Ønsker du at få det testet?

Vi har doneret 1000 stk gratis til folk der ville teste, og jeg havde
dengang en debat her også.
Testen stoppede for en måned siden, og ærlig talt den testes hver eneste dag
nu.

Så nej. Men jeg har intet imod at du anskaffer dig et eksemplar og tester
alt det du vil, men vi har afsluttet både alfa og beta tests og har
markedsført produketet.

Så du er sent ude, i de sidste mange år efterhånden har jeg jo gentagende
gange opfordret og spurgt om i ville teste det.
Men allene det at hav en ny ide, er jo som at stikke en kæp i en hvepserede
her inde.

Nu er der altså 1000 udsendte og testede versioner, og det var det. mon du
ville kunne fortælle mig noget som de andre ikke allerrede har fortalt.

Og som sagt er den markedsført, dermed er testen forbi indtil vi har en helt
ny version.

MVH






Christian E. Lysel (05-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-02 10:00

Bjarne Østergård wrote:
>>Ønsker du at få det testet?
> Vi har doneret 1000 stk gratis til folk der ville teste, og jeg havde
> dengang en debat her også.
> Testen stoppede for en måned siden, og ærlig talt den testes hver eneste dag
> nu.

Er det ikke almindelige mennesker der blot brugere programmet.

Jeg ville nok kikke på protokollen der bliver brugt, og finde svagheder
i denne, evt. om serveren er sat forkert op, hvor det måske er muligt at
ændre indholdet af serveren. Evt. kan et "buffer overflow" klient
distribueres via serveren ud til alle brugerne.

> Så nej. Men jeg har intet imod at du anskaffer dig et eksemplar og tester
> alt det du vil, men vi har afsluttet både alfa og beta tests og har
> markedsført produketet.

Er det et nej eller ja?

Hvis det er ja, hvordan anskaffer jeg det gratis?

> Så du er sent ude, i de sidste mange år efterhånden har jeg jo gentagende
> gange opfordret og spurgt om i ville teste det.

Jeg har testet det før, og fundet fejl.

Er den software jeg i sin tid forresten bagud kompatibel?

> Men allene det at hav en ny ide, er jo som at stikke en kæp i en hvepserede
> her inde.

Det er jo fordi du stikker en kæp ind i hvepsereden.

> Nu er der altså 1000 udsendte og testede versioner, og det var det. mon du
> ville kunne fortælle mig noget som de andre ikke allerrede har fortalt.

Jeres 1000 udsendte test version, ligner for mig et forsøg på at score
billige "marketingspoint"

> Og som sagt er den markedsført, dermed er testen forbi indtil vi har en helt
> ny version.



--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 13:36


"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asn4hh$3gl$1@sunsite.dk...
> Bjarne Østergård wrote:
> >>Ønsker du at få det testet?
> > Vi har doneret 1000 stk gratis til folk der ville teste, og jeg havde
> > dengang en debat her også.
> > Testen stoppede for en måned siden, og ærlig talt den testes hver eneste
dag
> > nu.
>
> Er det ikke almindelige mennesker der blot brugere programmet.
Jo de fleste er, men en stor del er sendt til grossister der selv ville
gennemføre en gennemgribende test før, de ville indgå en kontrakt.
Og tro mig det ville gøre alt for selv at få en bedre forhandlings posision.

Men den er sendt til alle mulige forskellige mennesker, nogen har bare
installeret den som brugere og nogen har virkelig testet den og sendt os
deres meninger.

> Hvis det er ja, hvordan anskaffer jeg det gratis?
>
> > Så du er sent ude, i de sidste mange år efterhånden har jeg jo
gentagende
> > gange opfordret og spurgt om i ville teste det.
>
> Jeg har testet det før, og fundet fejl.
Ja men så har du jo testet det, men jeg husker ikke specielt din test og
hvilken fejl det var du påpegede, men har jeg fået dem at vide kan du også
regne med at de er blevet taget særdeles alvorlige og rettet.

> Er den software jeg i sin tid forresten bagud kompatibel?
Det spørgsmål forstår jeg ikke.

> > Men allene det at hav en ny ide, er jo som at stikke en kæp i en
hvepserede
> > her inde.
>
> Det er jo fordi du stikker en kæp ind i hvepsereden.
Ja det er det vel nok.

> > Nu er der altså 1000 udsendte og testede versioner, og det var det. mon
du
> > ville kunne fortælle mig noget som de andre ikke allerrede har fortalt.
>
> Jeres 1000 udsendte test version, ligner for mig et forsøg på at score
> billige "marketingspoint"

Ja det kan du jo tro som du vil, men havde vi nu taget penge for dem og der
så havde været en fejl, hvad ville du så tro.
Det koster faktisk mange penge at producere og udsende 1000 stk cdér med
brugsanvisning og det hele.

Og hvordan skulle vi egentligt ellers havde lavet en ordentlig brugertest,
på ganske almindelige brugere.
Alle andre sender da også betatests ud før de frigiver til markedsførring.
Jeg kan ikke forstå hvorfor det skulle være så slemt.

MVH




Bertel Lund Hansen (05-12-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 05-12-02 15:27

Bjarne Østergård skrev:

>Alle andre sender da også betatests ud før de frigiver til markedsførring.
>Jeg kan ikke forstå hvorfor det skulle være så slemt.

Fordi almindelige mennesker ikke kan gennemskue sikkerhedsfejl.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Christian E. Lysel (05-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-02 16:26

Bjarne Østergård wrote:
> Men den er sendt til alle mulige forskellige mennesker, nogen har bare
> installeret den som brugere og nogen har virkelig testet den og sendt os
> deres meninger.

Hvilket problemer har der været belyst.

>>Jeg har testet det før, og fundet fejl.
>
> Ja men så har du jo testet det, men jeg husker ikke specielt din test og
> hvilken fejl det var du påpegede, men har jeg fået dem at vide kan du også
> regne med at de er blevet taget særdeles alvorlige og rettet.

Fejlen gik på jeg ikke fik en alarm (der var et problem med mailserveren
der modtog mails)

Endvidere var det muligt at gemme falske oplysninger i databasen.

Hvordan fik i løst det med de falske oplysninger?

>>Er den software jeg i sin tid forresten bagud kompatibel?
> Det spørgsmål forstår jeg ikke.

Jeg regner med Jeres nye version bruger HTTP til transport af
oplysninger fra klient til serveren.

I gamle dage brugte i SMTP. Hvilket har den uheldige effekt at det ikke
virker hos alle mine kunder jeg har sat firewall op hos de sidste 5 år.

>>Jeres 1000 udsendte test version, ligner for mig et forsøg på at score
>>billige "marketingspoint"
> Ja det kan du jo tro som du vil, men havde vi nu taget penge for dem og der
> så havde været en fejl, hvad ville du så tro.

Enig.

Ovennævnte test finder blot ikke alle typer fejl, fx sikkerhedsfejl.

Kik blot på Microsofts applikationer, de er fyldt med sikkerhedsfejl
selvom mange mange brugere har testet det.

> Det koster faktisk mange penge at producere og udsende 1000 stk cdér med
> brugsanvisning og det hele.

Selvfølgelig.

> Og hvordan skulle vi egentligt ellers havde lavet en ordentlig brugertest,
> på ganske almindelige brugere.
> Alle andre sender da også betatests ud før de frigiver til markedsførring.
> Jeg kan ikke forstå hvorfor det skulle være så slemt.

Det er måde du bruger resultatet på.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 17:06


"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:asnr5u$o1u$1@sunsite.dk...

> Fejlen gik på jeg ikke fik en alarm (der var et problem med mailserveren
> der modtog mails)
Ja det husker jeg, nu har vi købt vores egen server og alarmen afhænger ikke
mere af mailserveren allene.

> Endvidere var det muligt at gemme falske oplysninger i databasen.
> Hvordan fik i løst det med de falske oplysninger?
Ved et krypteret password som programmet genererer og sender foran, er dette
ikke korrekt afvises kontakten bare.

> >>Er den software jeg i sin tid forresten bagud kompatibel?
> > Det spørgsmål forstår jeg ikke.

> Jeg regner med Jeres nye version bruger HTTP til transport af
> oplysninger fra klient til serveren.
Ja
> I gamle dage brugte i SMTP. Hvilket har den uheldige effekt at det ikke
> virker hos alle mine kunder jeg har sat firewall op hos de sidste 5 år.
Ved installation sendes registreringen båd via mail og http.
Totalt uafhængig af hinnanden.
og de lander også i to forskellig systemer.

Kundens person oplysninger gemmes nemlig seperat i en anden database på en
maskine der ikke er på nettet, de hentes udlukkende ned via en påp3 mail
hvorimmod de id numre der gemes om dit hardware gemmes i en sql database
sammen med nøgle cd numret.
Så ingen vil egentligt kunne få noget ud af den database med mindre de kan
se den anden so altså ikke er online.

En forespørgelse i databasen skal indeholde et id nr på et komponent, dette
komponent har som ejer relation nøgle CDéns nr. og et opslag i
kundedatabasen med dette nr vil så først give ejerens navn og adresse osv.

> >>Jeres 1000 udsendte test version, ligner for mig et forsøg på at score
> >>billige "marketingspoint"
> > Ja det kan du jo tro som du vil, men havde vi nu taget penge for dem og
der
> > så havde været en fejl, hvad ville du så tro.
> Enig.
> Ovennævnte test finder blot ikke alle typer fejl, fx sikkerhedsfejl.
Nej måske ikke, men på et eller andet tidspunkt skal man stoppe med bare at
teste videre med den formodning at finder man ingen fejl er det blot fordi
man skal teste mere.
Vi skal jo altså også have en forretning ud af det.

> Kik blot på Microsofts applikationer, de er fyldt med sikkerhedsfejl
> selvom mange mange brugere har testet det.
Ja men de får nu svare for sig selv.

> > Det koster faktisk mange penge at producere og udsende 1000 stk cdér med
> > brugsanvisning og det hele.
> Selvfølgelig.

> > Og hvordan skulle vi egentligt ellers havde lavet en ordentlig
brugertest,
> > på ganske almindelige brugere.
> > Alle andre sender da også betatests ud før de frigiver til
markedsførring.
> > Jeg kan ikke forstå hvorfor det skulle være så slemt.

> Det er måde du bruger resultatet på.

Ja måden er at vi analyserer tilbagemeldingerne og derefter gennemgår vi
dem, og de realistiske fejl dem retter vi.

Men 90 % af tilbagemeldingerne gik faktisk på at hjemmesidden var svær at
finde rundt på, og at folk ikke kunne finde deres password når de havde
installeret.

det er rettet brugernavn og Password til hjemmesidens login er trykt
tydeligt på hver enkelt cd.

Resten drejede sig om installationen, hvilket ressulterede i at vi nu ikke
længere vil understøtte NT 4 maskiner.

MVH
Bjarne





Christian E. Lysel (05-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-02 17:59

Bjarne Østergård wrote:
> Ja det husker jeg, nu har vi købt vores egen server og alarmen
> afhænger ikke mere af mailserveren allene.

Godt.

>> Endvidere var det muligt at gemme falske oplysninger i databasen.
>> Hvordan fik i løst det med de falske oplysninger?
>
> Ved et krypteret password som programmet genererer og sender foran,
> er dette ikke korrekt afvises kontakten bare.

Og hvis det er korrekt?

> Kundens person oplysninger gemmes nemlig seperat i en anden database
> på en maskine der ikke er på nettet, de hentes udlukkende ned via en
> påp3 mail

Ret mig hvis jeg siger noget forkert:

Kunden sender en mail via SMTP til en mailserver. Derefter henter den
"interne" database mailen via POP3.

> hvorimmod de id numre der gemes om dit hardware gemmes i en sql
> database sammen med nøgle cd numret.


> Så ingen vil egentligt kunne få noget ud af den database med mindre
> de kan se den anden so altså ikke er online.

Hvis hardare databasen indeholder falske oplysninger efter et angreb,
har dette så ikke betydning for Jeres ydelse?

> En forespørgelse i databasen skal indeholde et id nr på et komponent,
> dette komponent har som ejer relation nøgle CDéns nr. og et opslag i
> kundedatabasen med dette nr vil så først give ejerens navn og
> adresse osv.

Godt.

>> Enig. Ovennævnte test finder blot ikke alle typer fejl, fx
>> sikkerhedsfejl.
>
> Nej måske ikke, men på et eller andet tidspunkt skal man stoppe med
> bare at teste videre med den formodning at finder man ingen fejl er
> det blot fordi man skal teste mere. Vi skal jo altså også have en
> forretning ud af det.

Dette er jo afhængig af hvad man tester.

Når sende noget ud til 1000 brugere tester man det ikke for sikkerhedsfejl.

>> Kik blot på Microsofts applikationer, de er fyldt med
>> sikkerhedsfejl selvom mange mange brugere har testet det.
> Ja men de får nu svare for sig selv.

Det var en parallel.

>> Det er måde du bruger resultatet på.
> Ja måden er at vi analyserer tilbagemeldingerne og derefter gennemgår
> vi dem, og de realistiske fejl dem retter vi.

Godt, men jeg stadigvæk ikke se at det har noget med sikkerheden i
produktet at gøre.

I den værste situation, kan der være fejl i klient softwaren der
medfører at en angriber af den centrale server kan få magten over alle
klienterne.

> Men 90 % af tilbagemeldingerne gik faktisk på at hjemmesidden var
> svær at finde rundt på, og at folk ikke kunne finde deres password
> når de havde installeret.

Hvilket ikke har noget med sikkerheden at gøre.

> det er rettet brugernavn og Password til hjemmesidens login er trykt
> tydeligt på hver enkelt cd.

....ditto...

> Resten drejede sig om installationen, hvilket ressulterede i at vi nu
> ikke længere vil understøtte NT 4 maskiner.

Lyder som sikkerheden i NT4.0 driller?


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 22:52


"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:aso0k1$oh4$1@sunsite.dk...
> Bjarne Østergård wrote:
> > Ja det husker jeg, nu har vi købt vores egen server og alarmen
> > afhænger ikke mere af mailserveren allene.
>
> Godt.
>
> >> Endvidere var det muligt at gemme falske oplysninger i databasen.
> >> Hvordan fik i løst det med de falske oplysninger?
> >
> > Ved et krypteret password som programmet genererer og sender foran,
> > er dette ikke korrekt afvises kontakten bare.
>
> Og hvis det er korrekt?
Ja så vil strengen blive accepteret og posterne vil blive valideret af noget
asp for derefter at blive tilføjet i databasen og conection lukkes

> > Kundens person oplysninger gemmes nemlig seperat i en anden database
> > på en maskine der ikke er på nettet, de hentes udlukkende ned via en
> > påp3 mail
>
> Ret mig hvis jeg siger noget forkert:
>
> Kunden sender en mail via SMTP til en mailserver. Derefter henter den
> "interne" database mailen via POP3.
Ja men det er under registreringen, dog sendens den også paralelet i en url
til en aspside som vises for kunden når han klikker på næste i programmet.
Her bliver de indtastede data valideret, f.eks hvis email adressen ikke kan
returnere et passende svar fra serveren, man har også mulighed for at ændre
administrator/fakturerings adressen.
man kan altså godt have computere på mange adresser men alle faktureres til
den samme, og alarmkontakten kan være den samme for alle.
Eks, du køber en cd, (ja ja det ved jeg da godt at du aldrig kunne finde på
uha) men så kunne du bruge den til at sikre hele din familjes computere,
tante onkler brødre osv, ja naboen med.

Men faktureringsadressen og ejeren af systemet vil altid kun være en af
personerne, hvem det er er ligegyldigt.
Men hver computer registreres herudover selvfølgeligt hver for sig.
Hm lyder måske indviklet men det er ret enkelt, en cd er en kunde, og det
uanset hvor mange kopier af cdén han laver.
Man kan faktisk ikke piratkopiere cdén.

> > hvorimmod de id numre der gemes om dit hardware gemmes i en sql
> > database sammen med nøgle cd numret.
Ja det er meget korrekt opfattet

> > Så ingen vil egentligt kunne få noget ud af den database med mindre
> > de kan se den anden so altså ikke er online.

> Hvis hardare databasen indeholder falske oplysninger efter et angreb,
> har dette så ikke betydning for Jeres ydelse?
Jo i høj grad, og bla tidligere diekusioner her inde har gjort at vi er
særdeles opmærksomme på dette.
Men det vil så vidt jeg kan se være umuligt at tilføje data uden at kende
passwordet som programmet skal sende først.
og det kan man kun få ved at sniffe det, og i det tilfælde vil det kun være
data fra den pågældende nøgle cd man kan spamme ikke nogen anden.'

kort sagt man skal installere og ibrugtage programmet fra hver eneste cd
førman kan spamme det, da ikke to er ens.
data fra den ene installation kan ikke spamme data i en anden.

Herudover kan vi sætte tids og antal validering, således at mere en eks x
antal alarmer fra samme cd inden for N antal tid simpelt hen blokerer for
den cd.og dens børn.

Jeg tror vi er rimelig, endda mere en rimelig sikret mod dette.


> > En forespørgelse i databasen skal indeholde et id nr på et komponent,
> > dette komponent har som ejer relation nøgle CDéns nr. og et opslag i
> > kundedatabasen med dette nr vil så først give ejerens navn og
> > adresse osv.
>
> Godt.

>>
> >> Det er måde du bruger resultatet på.
> > Ja måden er at vi analyserer tilbagemeldingerne og derefter gennemgår
> > vi dem, og de realistiske fejl dem retter vi.
>
> Godt, men jeg stadigvæk ikke se at det har noget med sikkerheden i
> produktet at gøre.
Jeg ved ikke hvordan jeg så skal forklare det

> I den værste situation, kan der være fejl i klient softwaren der
> medfører at en angriber af den centrale server kan få magten over alle
> klienterne.
Nej det kan jeg overhovede ikke se.
Lad os tænke den værst tænkelige situation.
Programmet kan kun sende og læse det kan ikke udføre ret megt ud over dette.
nettop det synspunkt har fået mig til at fjerne den funktion der fjorde at
det selv skulle sende en alarm.
Nu sender det kun alarm hvis det er efterlyst.
Så det værste der overhovedet kunne ske hos klienten og som kan lade sig
gøre, er at få alle til at sende alarmer.
og det om så en hacker fik fri adgang til serveren
Programmet kan på ingen måde skade værtsmaskinen, det har det ganske simpelt
ikke funktionalitet til.
det kan kun forstå nogle ganske få kommandoer som det udfører ud fra ganske
specielle kriterier.
Som udgangspunkt er maskinen ikke efterlyst og det eneste programmet gør er
at se efter at det er tilfældet, ved hver opstart.
og så lukker det bare ned.
Alternativ er at det er efterlyst, så vil det sende en mail og så lukke ned
Det værste en hacker kan forårsage på klienten er faktisk at han kan få det
til at tro maskinen er efterlyst.
Og det er vel ikke en katastrofe
For kunden skal oprette en efterlysning via hjemmesiden før at de kan lade
sig gøre og der er også brugernavne og password, og det password er et
kunden selv har valgt
Og det skal matvhe med det som programmet sender op som adgangskontrol
Vil altså blive svært at gøre og specielt at gøre det så man kan ramme mere
end en klient af gangen
Jeg vil faktisk påstå at det er så umuligt som noget kan være.

> > Men 90 % af tilbagemeldingerne gik faktisk på at hjemmesidden var
> > svær at finde rundt på, og at folk ikke kunne finde deres password
> > når de havde installeret.
>
> Hvilket ikke har noget med sikkerheden at gøre.
Nej det er korrekt
> > det er rettet brugernavn og Password til hjemmesidens login er trykt
> > tydeligt på hver enkelt cd.
> ...ditto...
ja og dog at sikre sig at brugeren kan bruge produktet på korrekt måde har
da et eller andet sted også noget med sikkerhed at gøre.

> > Resten drejede sig om installationen, hvilket ressulterede i at vi nu
> > ikke længere vil understøtte NT 4 maskiner.
> Lyder som sikkerheden i NT4.0 driller?
He ja det er en sjov historie men det har bestemt intet med vores program
eller system at gøre.

I vores program deler vi nogle funktioner i nogle dll filer med internet
explorrer
Derfor skriver vi at det kræver IE 6, men den kan sagtens køre med en ie 5,5
Men med 6,0 er vi sikre på at de nødvendige funktioner er der.

Det viser sig bare at hvis man ikke i tide har opdateret sin NT og så
opdatere den med en IE. så går den ned.
og vi ville få skylden, det vil sige det fik vi hver gang.
Programmet har smadret mit system.
Det var bare ikee den, men når folk vil opdatere til en nyere IE. at det gik
i sort.

De services packs der er til NT, er ikke bagud kompatible til NT, det er
faktisk umuligt at forklare, og derfor opgav vi.

Jeg talte med Microsoft i flere timer om problemet og det er brugermanual på
mange sider at opdatere en gamme nt4 til at kunne køre en IE 6 med de nye
sikkerheds opdateringer, så derfor opgav vi og siger at vores program ikke
kan køre på en NT4
Det er faktisk eneste årsag.

Du kan selv prøve at gennemgå microsofts beskrivelse for en sådan
opdatering, og den forklarring kan vi gansk simpelt ikke udsætte vores
kunder for.

Kan du opdater en NT4 til at køre en IE 6 kan vores program også køre på den
uden problemer

Det har intet med dikkerheden i vores system at gøre at vi ikke understøtter
NT4

Mvh
Bjarne



Christian E. Lysel (05-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-12-02 23:32

Bjarne Østergård wrote:
>>Og hvis det er korrekt?
> Ja så vil strengen blive accepteret og posterne vil blive valideret af noget
> asp for derefter at blive tilføjet i databasen og conection lukkes

Er SQL injection ikke muligt her?

> Ja men det er under registreringen, dog sendens den også paralelet i en url
> til en aspside som vises for kunden når han klikker på næste i programmet.
> Her bliver de indtastede data valideret, f.eks hvis email adressen ikke kan
> returnere et passende svar fra serveren, man har også mulighed for at ændre
> administrator/fakturerings adressen.

Indholder disse mails også det "krypteret password"?

Hvis ovenstående er tilfældet, hvad forhindre mig i at læse alle Jeres
mails?

> Eks, du køber en cd, (ja ja det ved jeg da godt at du aldrig kunne finde på

Hvor mange kombinationer er cd'ens nøgle i?

> uha) men så kunne du bruge den til at sikre hele din familjes computere,
> tante onkler brødre osv, ja naboen med.

Nej, jeg ville blot bede om en test, hvis du vil have det testet. Men
det lader ikke til du er interesseret.

>>Hvis hardare databasen indeholder falske oplysninger efter et angreb,
>>har dette så ikke betydning for Jeres ydelse?
> Jo i høj grad, og bla tidligere diekusioner her inde har gjort at vi er
> særdeles opmærksomme på dette.

> Men det vil så vidt jeg kan se være umuligt at tilføje data uden at kende
> passwordet som programmet skal sende først.

Hvorfor det, er fx SQL injection ej muligt her?

> og det kan man kun få ved at sniffe det, og i det tilfælde vil det kun være
> data fra den pågældende nøgle cd man kan spamme ikke nogen anden.'

Hvis den også sende via SMTP er det trivielt at sniffe dem.

Jeg skal gerne demostere det for dig, hvis du ikke har noget imod jeg
læser alle Jeres mails.

> Jeg tror vi er rimelig, endda mere en rimelig sikret mod dette.

Sidste jeg kodet noget simpelt i PHP (ca. 40 linier), tog det mig 1
time. I løbet af denne time tænkte jeg ikke på sikkerheden.

Derefter gik jeg i gang med at finde huller i scriptet. For hvert hul
jeg fandt rettede jeg scriptet. Efter 4 timer kunne jeg ikke finde flere
fejl. Ialt fandt jeg 10 fejl.

Ovenstående drejede sig om ca. 40 liniers kode.


Jeg finder det naivt at mene at ens software er sikker, specielt i
betragtning af ovennævnte.


>>>Ja måden er at vi analyserer tilbagemeldingerne og derefter gennemgår
>>>vi dem, og de realistiske fejl dem retter vi.
>>Godt, men jeg stadigvæk ikke se at det har noget med sikkerheden i
>>produktet at gøre.
> Jeg ved ikke hvordan jeg så skal forklare det

De fejl i havde gik på installationsproblemer i NT4.0, en svær
hjemmeside at navigere i, folk ikke kan findes deres password. Dette er
ikke fejl i netværkskommunikationsprotokollerne, eller fejl med SQL
injection, eller buffer overflows, eller hvad man nu kan finde af
sikkerhedsproblemer.

>>I den værste situation, kan der være fejl i klient softwaren der
>>medfører at en angriber af den centrale server kan få magten over alle
>>klienterne.
> Nej det kan jeg overhovede ikke se.
> Lad os tænke den værst tænkelige situation.
> Programmet kan kun sende og læse det kan ikke udføre ret megt ud over dette.

Programmet sender noget til en server, hvis serveren ikke svarer som
programmet regner med, kan man i værste tilfælde udfører kode på klienten.

> Programmet kan på ingen måde skade værtsmaskinen, det har det ganske simpelt
> ikke funktionalitet til.

Ej ved fejl?

> Jeg vil faktisk påstå at det er så umuligt som noget kan være.

Umuligt?

>>Hvilket ikke har noget med sikkerheden at gøre.

> ja og dog at sikre sig at brugeren kan bruge produktet på korrekt måde har
> da et eller andet sted også noget med sikkerhed at gøre.

Tja, drifts sikkerheden :)

>>Lyder som sikkerheden i NT4.0 driller?
> He ja det er en sjov historie men det har bestemt intet med vores program
> eller system at gøre.
>
> I vores program deler vi nogle funktioner i nogle dll filer med internet
> explorrer
> Derfor skriver vi at det kræver IE 6, men den kan sagtens køre med en ie 5,5
> Men med 6,0 er vi sikre på at de nødvendige funktioner er der.
>
> Det viser sig bare at hvis man ikke i tide har opdateret sin NT og så
> opdatere den med en IE. så går den ned.
> og vi ville få skylden, det vil sige det fik vi hver gang.

Jeg kan ikke genkende problemet men,

Hvorfor tester man ikke blot om DLL er den rigtige versoin. Hvis det
ikke er tilfældet kan i selv implementere HTTP klienten, evt. proxy
indstillinger kan hentes fra registeringsdatabasen.

> De services packs der er til NT, er ikke bagud kompatible til NT, det er
> faktisk umuligt at forklare, og derfor opgav vi.

Det er en dejlig ting ved Windows. På de fleste UNIX systemer ligger de
gamle systembiblioteker stadigvæk til benyttelse.

> Du kan selv prøve at gennemgå microsofts beskrivelse for en sådan
> opdatering, og den forklarring kan vi gansk simpelt ikke udsætte vores
> kunder for.

Har du et link til dette, så jeg måske kan forstå problemstillingen?

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 23:40

Hm beklager
Førnævnte indlæg, jeg fik klikket på send før jeg fik det gennemlæst og
rettet.
Håber det giver mening alligevel, trods den kreative stavemåde.
Beklager




Thomas (06-12-2002)
Kommentar
Fra : Thomas


Dato : 06-12-02 00:34

Bjarne Østergård wrote:
>> Bjarne Østergård wrote:
>> > hvorimmod de id numre der gemes om dit hardware gemmes i en sql
>> > database sammen med nøgle cd numret.
> Ja det er meget korrekt opfattet

Jeg har opgivet at få fornuft i denne tråd. Og når du begynder at
kommentere dig selv, så giver jeg helt op.

--
Don't waste space

Christian E. Lysel (06-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 06-12-02 00:38

Thomas wrote:

Følgende skrev jeg.
>>>>hvorimmod de id numre der gemes om dit hardware gemmes i en sql
>>>>database sammen med nøgle cd numret.

Følgende svarede Bjarne
>>Ja det er meget korrekt opfattet



> Jeg har opgivet at få fornuft i denne tråd. Og når du begynder at
> kommentere dig selv, så giver jeg helt op.

Det må være en layout fejl. Bjarne kommentere mig.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Thomas (06-12-2002)
Kommentar
Fra : Thomas


Dato : 06-12-02 00:49

Christian E. Lysel wrote:
> Thomas wrote:
>
> Følgende skrev jeg.
>>>>>hvorimmod de id numre der gemes om dit hardware gemmes i en sql
>>>>>database sammen med nøgle cd numret.

Det var da ikke dig der skrev
<news:3def7fda$0$147$edfadb0f@dread16.news.tele.dk> ?

I det inlæg står der (linje ~27-30 i body):

-cut-
Kundens person oplysninger gemmes nemlig seperat i en anden database på en
maskine der ikke er på nettet, de hentes udlukkende ned via en påp3 mail
hvorimmod de id numre der gemes om dit hardware gemmes i en sql database
sammen med nøgle cd numret.
-cut-

Og hvis ikke jeg tager fejl, så er det ikke dig der skrev det indlæg ?

--
Don't waste space

Christian E. Lysel (06-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 06-12-02 00:55

Thomas wrote:
> Og hvis ikke jeg tager fejl, så er det ikke dig der skrev det indlæg ?

Ok, jeg giver dig ret, det er forvirrende :)


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Thomas (06-12-2002)
Kommentar
Fra : Thomas


Dato : 06-12-02 01:01

Christian E. Lysel wrote:
> Thomas wrote:
>> Og hvis ikke jeg tager fejl, så er det ikke dig der skrev det indlæg ?
>
> Ok, jeg giver dig ret, det er forvirrende :)

Kunne nok have formuleret det lidt mere fordøjeligt ;)

--
Don't waste space

N/A (06-12-2002)
Kommentar
Fra : N/A


Dato : 06-12-02 03:54



Rune Bang Lyngsoe (06-12-2002)
Kommentar
Fra : Rune Bang Lyngsoe


Dato : 06-12-02 03:54

"Bjarne Østergård" <boe@ydicon.dk> mente:

> Når det ligefrem bliver en besættelse at bevise at programmet ikke
> virker er vi altså for langt ude.

Nej! Det du har gjort/gør svarer til (*) at gå hen til en flok
mennesker der har fulgt godt med i folkeskolens fysik- og
geografiundervisning og påstå at Jorden er flad. Og når disse begynder
at forklare om horisonten og måneformørkelser så reagere med en
blanding af stædig vedholdenhed og uhåndgribelige argumenter der
aldrig helt giver svar på det der kritiseres ved påstanden om at
Jorden skulle være flad.

Det er klart at nogle bliver opsat på at begribeliggøre dig at du
tager fejl (og beskæmmende at nogen tyer til ukvemsord og at sende
virus til os for at `straffe' dig for din forkerte opfattelse - at du
til tider har udsat denne nyhedsgruppe for hvad der tenderer spamming
i kommerciel interesse forklarer dog nok til dels hvorfor), men det
har ikke noget med jantelov at skaffe. Som jeg ser det, er problemet
at din abstrakte opfattelse af en computer er meget jordnær og ikke
væsensforskellig fra en standard-PC med en version af Windows
installeret som eneste styresystem. For os (**) andre er en abstrakt
computer mere noget i retning af en von Neumann-arkitektur. I stedet
for nu blot at benytte chancen til at skrive mig hæs med at du
stadigvæk ikke har forstået det når du stiller dig uforstående over
for hvad jeg mener med von Neumann-arkitektur, vil jeg forsøge at
forklare det og hvorfor det betyder at vi ved at du tager fejl.

Med von Neumann-arkitekturen abstraherer man en computer til blot at
bestå af en hardware der ikke kan ændres på og et lager der kan ændres
(vilkårligt) i. På en almindelig PC hører bl.a. hukommelsen og
harddisken ind under hvad der betragtes som lager. Alle programmer og
al data ligger i lageret (altså enten i hukommelsen eller på
(hard)disken). Det centrale element er at der for computeren ikke er
nogen forskel på program og data. Den har simpelthen ikke nogen
mulighed for at se forskel på de to ting. Tag fx de programmer du selv
har udviklet. Det program du har udviklet dem i (Visual Basic så vidt
jeg husker) har betragtet dem som data. Men når de var færdige har du
ikke haft nogen problemer med at overbevise computeren om at det var
programmer. Konsekvensen af det er at hvis du har et program, fx PC
Finder, liggende et sted i lageret, så kan jeg lave et andet program
der opfatter det sted i lageret som data og ændrer disse data,
dvs. det installerede PC Finder program, vilkårligt - fx sletter dem.

Teoretisk betyder det at jeg kan tage enhver computer hvor PC Finder
er blevet installeret og ændre den tilbage til præcis den opsætning
den havde umiddelbart før PC Finder blev installeret. Da PC Finder
ikke virker hvis det ikke bliver installeret vil det heller ikke kunne
virke på en maskine med præcis samme opsætning. I praksis betyder det
at jeg kan tage enhver computer PC Finder er installeret på og bringe
den i en tilstand svarende til at PC Finder aldrig havde været
installeret på den, omend måske ikke præcis den tilstand computeren
havde umiddelbart før PC Finder blev installeret. Kort sagt, så længe
PC Finder er baseret på at et program på den stjålne computer skal
sladre om id-numre og deslige, så er det muligt at slette dette
program eller ændre det så det ikke sladrer. Det kan godt være at man
ikke kan gøre det under Windows, det skal jeg ikke gøre mig klog på,
men det betyder ikke at det ikke kan lade sig gøre overhovedet. Så det
er derfor at vi ved at du tager fejl, i hvert fald når du påstår at en
tyv ingen chance har mod PC Finder.

Hvis tyven ikke har kendskab til PC Finder(s tilstedeværelse på den
stjålne computer), så hænger successen på om han som en sikkerheds-
foranstaltning sletter alt på computeren og derefter installerer et
nyt styresystem (evt. Windows) fra bunden før han tager den i
brug. Her taler dine oplysninger fra politiet og forsikringsbranchen
samt jeres første succes (tillykke med den i øvrigt) for at dette ikke
er tilfældet. Hvilket vel er forståeligt nok, selv hvis tyven har
tænkt sig at geninstallere maskinen er det meget rart lige at checke
at al hardwaren virker først.

Så langt så godt. Jeg får det indtryk at du er begejstret for at PC
Finder nu kan købes i både Kvickly og Bilka, for slet ikke at
forglemme Fakta. Du burde også begræde det. For når tyven smutter
omkring Fakta på vejen hjem for at stjæle et par spil til sin
nystjålne computer kan det være at han får kendskab til PC Finder. Og
så er det usandsynligt at han ikke sørger for at geninstallere
maskinen (dvs. sletter PC Finder) før han tager den i brug. Du lod
også til at glæde dig over at Jyllands-Posten åbenbart snart bringer
en artikel med relation til PC Finder. Hvis den artikel kommer den
mindste smule ind på hvad PC Finder er burde det ikke glæde dig. En
sådan artikel vil ikke blot være et søm til PC Finders ligkiste, men
et Taj Mahal over PC Finder. Når (hvis?) PC Finder bliver alment kendt
vil ingen stjålen computer blive taget i brug før PC Finder er fjernet
fra den.

De to muligheder der så umiddelbart er tilbage er enten, ihukommende
von Neumann-abstraktionen, at indbygge PC Finder i den uforanderlige
hardware eller at få en hel masse andre, helst populære, programmer
til at fungere som PC Finders Robiner. Dvs. tro væbnere der sørger
for at sladre om id-numre og lignende hvis PC Finder ikke er der til
at gøre det (selv hvis PC Finder aldrig har været installeret på
computeren). Ingen af metoderne er umulig at omgå, men de vil
unægteligt gøre det en del sværere at være computertyv. Om man finder
den anden metode betænkelig/usmagelig afhænger af hvordan man vægter
sikkerhed (her forstået som beskyttelse mod kriminalitet) i forhold
til frihed fra overvågning.

Mit syn på PC Finder? Jeg kunne ikke drømme om at give mere end en
50-100kr. for et sådant program. Og jeg ville aldrig have udviklet et
sådant program da sårbarhederne og manglerne er alt for tydelige for
mig. Så på den måde har din manglende viden været gavnlig for dig -
som jeg har opfattet det går det meget godt med salget?

       1000Kys&Kram

         Rune Lyngsø

*) Jeg har ikke noget problem med at bruge analogier - man skal være
klar over deres begrænsninger, men de kan være essentielle for
formidling.
**) Jeg har heller ikke noget problem med at snakke om `vi' og `os'
hvis jeg har den opfattelse at jeg deler synspunkter med en gruppe
- der er forskel på at have en mening for at være en del af
gruppen og at være en del af gruppen fordi man har en mening.
--
------------------------------¬Sølystgade 42-----------------------------------
Disclaimer: The opinions expressed by the Department of Computer Science,
the University of Aarhus and the Danish government are theirs
alone. They do not necessarily represent my views.

Bjarne Østergård (06-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 06-12-02 17:16


"Rune Bang Lyngsoe" <rlyngsoe@daimi.au.dk> skrev i en meddelelse
news:asp3gt$dv0$1@news.net.uni-c.dk...
> "Bjarne Østergård" <boe@ydicon.dk> mente:
>
> > Når det ligefrem bliver en besættelse at bevise at programmet ikke
> > virker er vi altså for langt ude.
>
> Nej! Det du har gjort/gør svarer til (*) at gå hen til en flok
> mennesker der har fulgt godt med i folkeskolens fysik- og
> geografiundervisning og påstå at Jorden er flad. Og når disse begynder
> at forklare om horisonten og måneformørkelser så reagere med en
> blanding af stædig vedholdenhed og uhåndgribelige argumenter der
> aldrig helt giver svar på det der kritiseres ved påstanden om at
> Jorden skulle være flad.
>
> Det er klart at nogle bliver opsat på at begribeliggøre dig at du
> tager fejl (og beskæmmende at nogen tyer til ukvemsord og at sende
> virus til os for at `straffe' dig for din forkerte opfattelse - at du
> til tider har udsat denne nyhedsgruppe for hvad der tenderer spamming
> i kommerciel interesse forklarer dog nok til dels hvorfor), men det
> har ikke noget med jantelov at skaffe. Som jeg ser det, er problemet
> at din abstrakte opfattelse af en computer er meget jordnær og ikke
> væsensforskellig fra en standard-PC med en version af Windows
> installeret som eneste styresystem. For os (**) andre er en abstrakt
> computer mere noget i retning af en von Neumann-arkitektur. I stedet
> for nu blot at benytte chancen til at skrive mig hæs med at du
> stadigvæk ikke har forstået det når du stiller dig uforstående over
> for hvad jeg mener med von Neumann-arkitektur, vil jeg forsøge at
> forklare det og hvorfor det betyder at vi ved at du tager fejl.
>
> Med von Neumann-arkitekturen abstraherer man en computer til blot at
> bestå af en hardware der ikke kan ændres på og et lager der kan ændres
> (vilkårligt) i. På en almindelig PC hører bl.a. hukommelsen og
> harddisken ind under hvad der betragtes som lager. Alle programmer og
> al data ligger i lageret (altså enten i hukommelsen eller på
> (hard)disken). Det centrale element er at der for computeren ikke er
> nogen forskel på program og data. Den har simpelthen ikke nogen
> mulighed for at se forskel på de to ting. Tag fx de programmer du selv
> har udviklet. Det program du har udviklet dem i (Visual Basic så vidt
> jeg husker) har betragtet dem som data. Men når de var færdige har du
> ikke haft nogen problemer med at overbevise computeren om at det var
> programmer. Konsekvensen af det er at hvis du har et program, fx PC
> Finder, liggende et sted i lageret, så kan jeg lave et andet program
> der opfatter det sted i lageret som data og ændrer disse data,
> dvs. det installerede PC Finder program, vilkårligt - fx sletter dem.
>
> Teoretisk betyder det at jeg kan tage enhver computer hvor PC Finder
> er blevet installeret og ændre den tilbage til præcis den opsætning
> den havde umiddelbart før PC Finder blev installeret. Da PC Finder
> ikke virker hvis det ikke bliver installeret vil det heller ikke kunne
> virke på en maskine med præcis samme opsætning. I praksis betyder det
> at jeg kan tage enhver computer PC Finder er installeret på og bringe
> den i en tilstand svarende til at PC Finder aldrig havde været
> installeret på den, omend måske ikke præcis den tilstand computeren
> havde umiddelbart før PC Finder blev installeret. Kort sagt, så længe
> PC Finder er baseret på at et program på den stjålne computer skal
> sladre om id-numre og deslige, så er det muligt at slette dette
Det var her kæden sprang af
Systgemet basere sig på at programmet har været installeret ikke at det er
det.

> program eller ændre det så det ikke sladrer. Det kan godt være at man
> ikke kan gøre det under Windows, det skal jeg ikke gøre mig klog på,
> men det betyder ikke at det ikke kan lade sig gøre overhovedet. Så det
> er derfor at vi ved at du tager fejl, i hvert fald når du påstår at en
> tyv ingen chance har mod PC Finder.
Jeg har aldrig påstået det.
men det er det jeg tror
Det eneste tyven reelt kan gør er at fjerne programmet helt eller smid
harddisken helt væk og kun bruge resten.
men det er ikke nok til at sikre sig mod opdagelse.

> Hvis tyven ikke har kendskab til PC Finder(s tilstedeværelse på den
> stjålne computer), så hænger successen på om han som en sikkerheds-
> foranstaltning sletter alt på computeren og derefter installerer et
> nyt styresystem (evt. Windows) fra bunden før han tager den i
> brug.
ja det bliver i jo ved med at påstå igen og igen.
Det er bare ikke rigtigt.

> Her taler dine oplysninger fra politiet og forsikringsbranchen
> samt jeres første succes (tillykke med den i øvrigt) for at dette ikke
> er tilfældet. Hvilket vel er forståeligt nok, selv hvis tyven har
> tænkt sig at geninstallere maskinen er det meget rart lige at checke
> at al hardwaren virker først.
ja det er det der sker i mange tilfælde.
>
> Så langt så godt. Jeg får det indtryk at du er begejstret for at PC
> Finder nu kan købes i både Kvickly og Bilka, for slet ikke at
> forglemme Fakta. Du burde også begræde det. For når tyven smutter
> omkring Fakta på vejen hjem for at stjæle et par spil til sin
> nystjålne computer kan det være at han får kendskab til PC Finder. Og
> så er det usandsynligt at han ikke sørger for at geninstallere
> maskinen (dvs. sletter PC Finder) før han tager den i brug.

> Du lod
> også til at glæde dig over at Jyllands-Posten åbenbart snart bringer
> en artikel med relation til PC Finder. Hvis den artikel kommer den
> mindste smule ind på hvad PC Finder er burde det ikke glæde dig. En
> sådan artikel vil ikke blot være et søm til PC Finders ligkiste, men
> et Taj Mahal over PC Finder. Når (hvis?) PC Finder bliver alment kendt
> vil ingen stjålen computer blive taget i brug før PC Finder er fjernet
> fra den.
Det er skam med i vores ovvervejelser og er en del af planen.

> De to muligheder der så umiddelbart er tilbage er enten, ihukommende
> von Neumann-abstraktionen, at indbygge PC Finder i den uforanderlige
> hardware eller at få en hel masse andre, helst populære, programmer
> til at fungere som PC Finders Robiner. Dvs. tro væbnere der sørger
> for at sladre om id-numre og lignende hvis PC Finder ikke er der til
> at gøre det (selv hvis PC Finder aldrig har været installeret på
> computeren). Ingen af metoderne er umulig at omgå, men de vil
> unægteligt gøre det en del sværere at være computertyv. Om man finder
> den anden metode betænkelig/usmagelig afhænger af hvordan man vægter
> sikkerhed (her forstået som beskyttelse mod kriminalitet) i forhold
> til frihed fra overvågning.
Man vil altid selv have friheden til at vælge overvågningen til eller fra.

> Mit syn på PC Finder? Jeg kunne ikke drømme om at give mere end en
> 50-100kr. for et sådant program. Og jeg ville aldrig have udviklet et
> sådant program da sårbarhederne og manglerne er alt for tydelige for
> mig. Så på den måde har din manglende viden været gavnlig for dig -
> som jeg har opfattet det går det meget godt med salget?
>
> 1000Kys&Kram
Tusind tak

> *) Jeg har ikke noget problem med at bruge analogier - man skal være
> klar over deres begrænsninger, men de kan være essentielle for
> formidling.
enig
> **) Jeg har heller ikke noget problem med at snakke om `vi' og `os'
> hvis jeg har den opfattelse at jeg deler synspunkter med en gruppe
> - der er forskel på at have en mening for at være en del af
> gruppen og at være en del af gruppen fordi man har en mening
enig/meget enig

MVH




Rune Bang Lyngsoe (06-12-2002)
Kommentar
Fra : Rune Bang Lyngsoe


Dato : 06-12-02 20:38

"Bjarne Østergård" <boe@ydicon.dk> kommenterede:

>"Rune Bang Lyngsoe" <rlyngsoe@daimi.au.dk> skrev i en meddelelse
>> Kort sagt, så længe
>> PC Finder er baseret på at et program på den stjålne computer skal
>> sladre om id-numre og deslige, så er det muligt at slette dette

> Det var her kæden sprang af
> Systgemet basere sig på at programmet har været installeret ikke at det er
> det.

Tak for den præcise lokalisering i min lange smøre af hvor det er
misforståelsen opstår. Jeg ved at selv om PC Finder fjernes fra en
maskine så vil I stadig have id-numre og lignende til genkendelse af
den liggende i jeres database. Det jeg forsøger at sige er at for at I
kan finde maskinen er der nødt til at køre et program (ikke
nødvendigvis PC Finder) på maskinen, der checker for om den er stjålet
på jeres server og i givet falder rapporterer tilbage. Det eneste
alternativ er at I aktivt hacker jer ind på computeren (hvilket i
sidste ende også kræver at der er et program på computeren der
tillader jer at hacke den), og det har I hverken lov eller
(forhåbentlig) lyst til. Så bundlinien er at selv om i til tid og
evighed vil have den information der skal til at genkende en stjålen
computer eller komponent, så skal der stadig på maskinen være et
program (igen, ikke nødvendigvis PC Finder, det kan være fra en af de
softwareproducenter i forsøger at etablere samarbejde med) der
kommunikerer med jeres server for at I nogen sinde hører fra den
stjålne maskine. Og det er her vi ved at et vilkårligt sådant program
(der ikke er indbygget i hardwaren) kan slettes eller ændres og at
jeres system derfor altid kan omgåes.

Jo flere programmer der kommunikerer med jeres server (dvs. programmer
der checker for om den maskine de kører på er stjålet og/eller
videresender informationer om id-numre på hardwarekomponenter der i
sidste ende når frem til jer) der findes på markedet, jo mere
besværligt bliver det selvfølgelig for tyven at få geninstalleret den
stjålne computer i brugbar stand (med mindre han blot skifter Windows
ud med fx Linux, men det begrænser markedet han kan afsætte maskinen
til en del). Så derfor er det en udmærket idé at etablere et
samarbejde med andre softwareproducenter. Men et sådant samarbejde
vil, hvis PC Finder får en betydelig udbredelse, formentlig føre til
udarbejdelse af sortlister over programmer der kommunikerer med jeres
server og piratkopier af samme hvor den funktion er sat ud af
kraft. Udover at der vil komme en del protester hvis det ikke klart
fremgår at disse programmer kommunikerer med jeres server. PC Finder
gør det mere besværligt for computertyve, hvilket bestemt er
prisværdigt, men det er ikke det ultimative våben der har gjort det
umuligt at slippe afsted med computertyveri. Som en anden skribent
gjorde opmærksom på, så er det at sammenligne med et stålkabel man
fastlåser sin computer med.

       1000Kys&Kram

            Rune Lyngsø
--
------------------------------¬Sølystgade 42-----------------------------------
Disclaimer: The opinions expressed by the Department of Computer Science,
the University of Aarhus and the Danish government are theirs
alone. They do not necessarily represent my views.

Thomas Bjorn Anderse~ (06-12-2002)
Kommentar
Fra : Thomas Bjorn Anderse~


Dato : 06-12-02 21:53

rlyngsoe@daimi.au.dk (Rune Bang Lyngsoe) writes:

> PC-Finder gør det mere besværligt for computertyve, hvilket bestemt
> er prisværdigt, men det er ikke det ultimative våben der har gjort
> det umuligt at slippe afsted med computertyveri.

Omvendt kan man jo også anvende produktet til at scanne en computer
man er ved at købe med. Hvis man altså er interesseret i at købe
brugt udstyr der ikke er sjålet. Men så er vi tilbage ved spørgsmålet
om, hvorvidt det er muligt for ondsindede personer at melde
ikke-stjålet udstyr, for sjålet.

--
Thomas Bjorn Andersen - tbaNOSPAM200211@gen-v.net
+++ATH

Kasper Dupont (06-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-12-02 22:51

Thomas Bjorn Andersen wrote:
>
> rlyngsoe@daimi.au.dk (Rune Bang Lyngsoe) writes:
>
> > PC-Finder gør det mere besværligt for computertyve, hvilket bestemt
> > er prisværdigt, men det er ikke det ultimative våben der har gjort
> > det umuligt at slippe afsted med computertyveri.
>
> Omvendt kan man jo også anvende produktet til at scanne en computer
> man er ved at købe med. Hvis man altså er interesseret i at købe
> brugt udstyr der ikke er sjålet. Men så er vi tilbage ved spørgsmålet
> om, hvorvidt det er muligt for ondsindede personer at melde
> ikke-stjålet udstyr, for sjålet.

Der er flere muligheder for misbrug.

F.eks. kunne man forestille sig, at der blev slettet oplysninger
om stjålet udstyr fra databasen, så ville en stjålen computer
kunne vidresælges uden at køberen kunne opdage.

Eller der kunne forestilles et man-in-the-middle attack på
kommunikationsprotokolen, så der altid meldes om en "ren" computer
selvom den måtte være stjålen.

Eller man kunne forestille sig en PCfinder lookalike, der blot
raporterede at alt var OK.

Man skal jo bemærke, at hvis testen foregår før købet vil den nok
foregå et sted hvor sælgeren kan have 100% kontrol over den
anvendte netværksforbindelse, og computeren kan være blevet
forberedt til at lyve under testen.

Endeligt er det ingen garanti mod at købe en stjålen computer,
det er jo langt fra alle computere, der står i databasen. Så
servicen vil nok ikke blive brugt særlig meget.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (08-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 08-12-02 14:23


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DF11BAE.E36E9C80@daimi.au.dk...
> Thomas Bjorn Andersen wrote:

> Der er flere muligheder for misbrug.
>
> F.eks. kunne man forestille sig, at der blev slettet oplysninger
> om stjålet udstyr fra databasen, så ville en stjålen computer
> kunne vidresælges uden at køberen kunne opdage.
Ja men det kan man bare ikke, det er gemt både på en server og i en stand
allone maskine, hver for sig.

> Eller der kunne forestilles et man-in-the-middle attack på
> kommunikationsprotokolen, så der altid meldes om en "ren" computer
> selvom den måtte være stjålen.
Den har jeg svær ved at forestille mig.

> Eller man kunne forestille sig en PCfinder lookalike, der blot
> raporterede at alt var OK.
Det er jo noget vrøvl, om alt er ok afhæner slet ikke af noget der kan
udføres på maskinen, men derimmod i en sammenligning af data på
alarmcentralen.

> Man skal jo bemærke, at hvis testen foregår før købet vil den nok
> foregå et sted hvor sælgeren kan have 100% kontrol over den
> anvendte netværksforbindelse, og computeren kan være blevet
> forberedt til at lyve under testen.
Det lyder besværligt, for ikke at sige umuligt.
Men det kunne jo også være at køber ville betinge sig at han kunne se den
udførte test på hjemmesiden inden han køber.
Altså at køber vil have Nøgle CD nr. og password som han så kan bruge på
hjemmesiden til at se maskinens data.

> Endeligt er det ingen garanti mod at købe en stjålen computer,
> det er jo langt fra alle computere, der står i databasen. Så
> servicen vil nok ikke blive brugt særlig meget.
Nej desværre, ikke endnu da.

MVH




Kasper Dupont (08-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 08-12-02 22:18

"Bjarne Østergård" wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:3DF11BAE.E36E9C80@daimi.au.dk...
> > Thomas Bjorn Andersen wrote:
>
> > Der er flere muligheder for misbrug.
> >
> > F.eks. kunne man forestille sig, at der blev slettet oplysninger
> > om stjålet udstyr fra databasen, så ville en stjålen computer
> > kunne vidresælges uden at køberen kunne opdage.
> Ja men det kan man bare ikke, det er gemt både på en server og i en stand
> allone maskine, hver for sig.

Men hvordan kan du opdage, om databasen er ændret?
Og hvordan kan brugeren af testprogrammet få glæde
af de oplysninger du har en kopi af, som i det
pågældende øjeblik ikke er online. Angriberen
behøver blot sikre at oplysningerne er utilgængelig
på et givent tidspunkt.

>
> > Eller der kunne forestilles et man-in-the-middle attack på
> > kommunikationsprotokolen, så der altid meldes om en "ren" computer
> > selvom den måtte være stjålen.
> Den har jeg svær ved at forestille mig.

Hvorfor? Hvad har du gjort for at sikre dig?

>
> > Eller man kunne forestille sig en PCfinder lookalike, der blot
> > raporterede at alt var OK.
> Det er jo noget vrøvl, om alt er ok afhæner slet ikke af noget der kan
> udføres på maskinen, men derimmod i en sammenligning af data på
> alarmcentralen.

Pointen er jo netop, at en efterligning ikke behøver
at lave de checks. Den lader blot som om, og så
raporterer den at alt er OK. Hvem som helst kan jo
se hvordan det ser ud på en ikke stjålen computer.

>
> > Man skal jo bemærke, at hvis testen foregår før købet vil den nok
> > foregå et sted hvor sælgeren kan have 100% kontrol over den
> > anvendte netværksforbindelse, og computeren kan være blevet
> > forberedt til at lyve under testen.
> Det lyder besværligt, for ikke at sige umuligt.

Slet ikke. Det er faktisk ikke særlig svært.

> Men det kunne jo også være at køber ville betinge sig at han kunne se den
> udførte test på hjemmesiden inden han køber.

Ja, men hvor skal den test udføres? I køberens hjem?
Hvor mange sælgere af en brugt computer vil gå med
til at transportere computeren ud til en potentiel
køber hvor han så alligevel afviser at sælge. Det
ville jeg ikke gå med til.

> Altså at køber vil have Nøgle CD nr. og password som han så kan bruge på
> hjemmesiden til at se maskinens data.

Går du ud fra, at alle maskiner der sælges brugt
har haft PCfinder installeret???? I så fald er du
da FOR naiv.

>
> > Endeligt er det ingen garanti mod at købe en stjålen computer,
> > det er jo langt fra alle computere, der står i databasen. Så
> > servicen vil nok ikke blive brugt særlig meget.
> Nej desværre, ikke endnu da.

Heldigvis vil jeg nu nærmere sige. Og jeg ser ingen
grund til, at det skulle ændre sig.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Hvem er fjenden i Aalborg?

Bjarne Østergård (08-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 08-12-02 14:14


"Thomas Bjorn Andersen" <tbaNOSPAM200207@gen-v.net> skrev i en meddelelse
news:m3isy6eupa.fsf_-_@dogbert.gen-v.net...
> rlyngsoe@daimi.au.dk (Rune Bang Lyngsoe) writes:
>
> > PC-Finder gør det mere besværligt for computertyve, hvilket bestemt
> > er prisværdigt, men det er ikke det ultimative våben der har gjort
> > det umuligt at slippe afsted med computertyveri.
>
> Omvendt kan man jo også anvende produktet til at scanne en computer
> man er ved at købe med. Hvis man altså er interesseret i at købe
> brugt udstyr der ikke er sjålet.
Netop, og det er faktisk også det der er meningen.

> Men så er vi tilbage ved spørgsmålet
> om, hvorvidt det er muligt for ondsindede personer at melde
> ikke-stjålet udstyr, for sjålet.

Det er ganske simpelt umuligt.
Og det er det fordi, en sådan anmeldelse altid vil gå til den registrerede
ejer, som selv skal anmelde og vidergive, oplysningerne om det fundne, til
den politimyndighed der efterforsker det pågældende tyveri.

Har der ingen tyveri været eller er en anmeldelse fejl er der jo ingen ejer,
så en falsk anmeldelse vil altid blive opdaget og stoppet.

MVH




Kasper Dupont (08-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 08-12-02 22:48

"Bjarne Østergård" wrote:
>
> "Thomas Bjorn Andersen" <tbaNOSPAM200207@gen-v.net> skrev i en meddelelse
> news:m3isy6eupa.fsf_-_@dogbert.gen-v.net...
>
> > Men så er vi tilbage ved spørgsmålet
> > om, hvorvidt det er muligt for ondsindede personer at melde
> > ikke-stjålet udstyr, for sjålet.
>
> Det er ganske simpelt umuligt.
> Og det er det fordi, en sådan anmeldelse altid vil gå til den registrerede
> ejer, som selv skal anmelde og vidergive, oplysningerne om det fundne, til
> den politimyndighed der efterforsker det pågældende tyveri.
>
> Har der ingen tyveri været eller er en anmeldelse fejl er der jo ingen ejer,
> så en falsk anmeldelse vil altid blive opdaget og stoppet.

Så lad mig lige komme med et andet scenarie. Og lyt nu godt efter Bjarne,
for det er en smule indviklet. En ondskabsfuld person køber to computere,
og sætter dem op så de kan kommunikere med hinanden gennem en GRE tunnel
eller noget lignende. Den ene computer udstyres med et ekstra netkort,
og alt trafik fra netærket bag denne computer routes gennem tunnelen til
den anden computer hvor det masqurades ud på internettet. Nu sælger denne
ondskabsfulde personen den anden computer til en intetandende person, der
sætter computeren på nettet uden at ændre opsætningen.

Nu kan den ondskabsfulde person koble stjålne computere med PCfinder op
til det interne netkort på den første computer. Alle spor vil nu pege på
den solgte computer hos den intetandende køber. Og hver eneste gang kan
det blot konstateres, at køberen kun har den ene computer han på ærlig
vis har købt. Og som han for så vidt også kan have en original kvitering
på.

Hvis vores ondskabsfulde person var endnu mere udspekuleret, så solgte
han ikke en computer til ofret, da han jo nok på et eller andet tidspunkt
ville komme under mistanke. I stedet finder han en usikker computer på
nettet, som han kan få kontrol over. Når han har kontrol over et offers
computer kan han sætte tunnelen op til den.

Teknisk set virker det på samme måde i dette tilfælde, men forskellen er
nu, at ofret slet ikke har købt computeren af denne ondskabsfulde person.

Formålet med hele denne manøvre behøves ikke være at chikanere en given
person, man kunne også blot være intereseret i at sløre sporet efter de
stjålne computere.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Hvem er fjenden i Aalborg?

Thomas Bjorn Anderse~ (08-12-2002)
Kommentar
Fra : Thomas Bjorn Anderse~


Dato : 08-12-02 23:37

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Så lad mig lige komme med et andet scenarie. Og lyt nu godt efter Bjarne,
> for det er en smule indviklet. En ondskabsfuld person køber to computere,
> og sætter dem op så de kan kommunikere med hinanden gennem en GRE tunnel
> eller noget lignende. Den ene computer udstyres med et ekstra netkort,
> og alt trafik fra netærket bag denne computer routes gennem tunnelen til
> den anden computer hvor det masqurades ud på internettet. Nu sælger denne
> ondskabsfulde personen den anden computer til en intetandende person, der
> sætter computeren på nettet uden at ændre opsætningen.

Hvorfor så indviklet? En eller anden finder ud af, hvilke(n) IP
adresse(r) PC-finder anvender, samme person laver en hurtig batfil
eller lign. der router de aktuelle IP adresser til 127.0.0.1 eller
blot retter hosts-filen på computeren. Bingo, nu er computeren
PC-Finder sikker indtil den nye "ejer" af computeren installerer et
nyt OS og PC-Finder.

Hvis først det rygtes at man blot skal huske at køre et program fra en
floppydisk på en stjålen PC for at sikre sig mod PC-Finder, så er vi
nok ved at nå et niveau hvor selv penge hungrende narkomaner kan være
med.

Igen under forudsætning af, at PC-Finder bliver så stor en success at
man begynder at lægge mærke til det.
--
Thomas Bjorn Andersen - tbaNOSPAM200211@gen-v.net
+++ATH

Kasper Dupont (06-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 06-12-02 22:54

Rune Bang Lyngsoe wrote:
>
> Det eneste
> alternativ er at I aktivt hacker jer ind på computeren (hvilket i
> sidste ende også kræver at der er et program på computeren der
> tillader jer at hacke den), og det har I hverken lov eller
> (forhåbentlig) lyst til.

Det er vel ikke noget problem at få lov af ejeren til at hacke sig
ind på computeren. Problemet er bare, at man jo så ville være nødt
til at finde computeren først. Og der skulle samtidig være et hul
at udnytte. En bagdør placeret af programmet ville ikke hjælpe, da
det jo per antaglse allerede er slettet. Og i øvrigt ville bagdøren
jo også være overflødig, hvis programmet stadig var aktivt på
computeren.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Rune Bang Lyngsoe (09-12-2002)
Kommentar
Fra : Rune Bang Lyngsoe


Dato : 09-12-02 18:17

Kasper Dupont <kasperd@daimi.au.dk> kommenterede:

> Det er vel ikke noget problem at få lov af ejeren til at hacke sig
> ind på computeren. Problemet er bare, at man jo så ville være nødt
> til at finde computeren først.

Nøh, men hvis du allerede har den stjålne computer udpeget er der vel
ikke megen grund til at hacke sig ind på den for at se om det er den
stjålne computer. Med mindre du er på jagt efter beviser der er
nødvendige for at få en dommerkendelse til fysisk at få fingrene i den
stjålne computer. Så det jeg mente var at det eneste alternativ til et
program der kører på den stjålne computer er at bryde ind på alverdens
computere og checke id-numre.

       1000Kys&Kram

         Rune Lyngsø
--
------------------------------¬Sølystgade 42-----------------------------------
Disclaimer: The opinions expressed by the Department of Computer Science,
the University of Aarhus and the Danish government are theirs
alone. They do not necessarily represent my views.

Martin Schultz (03-12-2002)
Kommentar
Fra : Martin Schultz


Dato : 03-12-02 20:21

"Bjarne Østergård" <boe@ydicon.dk> writes:

> Og når det rygtes håber jeg at folk holder op med at stjæle eller at købe
> hælervarer.
> Det er da det, der er hele planen.

Tror du virkeligt selv på den?

Martin
--
Besøg http://adsltips.crunzh.com for guider
til ADSL og opsætning af CISCO router.

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 00:46


"Martin Schultz" <di020172@NO.SPAM.diku.dk> skrev i en meddelelse
news:rdnadjm3o5c.fsf@brok.diku.dk...
> "Bjarne Østergård" <boe@ydicon.dk> writes:
>
> > Og når det rygtes håber jeg at folk holder op med at stjæle eller at
købe
> > hælervarer.
> > Det er da det, der er hele planen.
>
> Tror du virkeligt selv på den?
Ja planen er da en jeg selv har fundet på, så den ved jeg da eksistere.

Jeg har endda lige skrevet den, her så du kan da se at det er min plan.

Og du kan roligt tro på at det er min plan, og ja jeg tror selv på at det er
min plan.

MVH




Kasper Dupont (03-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 03-12-02 21:58

"Bjarne Østergård" wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:3DECCA59.9F3D8736@daimi.au.dk...
>
> > > > 2) At tyvene/hælerne har nået at lære af deres fejltagelser.
> > > Næh for så var de vel ikke tyv eller hæler mere.
> > Du burde efterhånden være klar over, at dit produkt sagtens
> > kan omgås.
> Ja men det vil jeg så tro på første gang det sker, men det er ikke sket
> endnu, så jeg holder fanen højt.

Du har stadig intet forstået. Hovedparten af læserne af denne gruppe
ved hvordan vi kan forhindre dit produkt i at afsløre tyveri. Der er
bare ikke nogen af os, der vil begå kriminalitet, for at bevise du
tager fejl. Det er du simpelthen ikke vigtig nok til. Og hvis der er
nok personer, der er dumme nok til at købe dit program, så falder
det alligevel til jorden af sig selv.

>
> > Hvor lang tid tror du, der går før det går op for
> > tygene.
> Tjah det er jeg selv meget spændt på, men sikkert snart.
> Og når det rygtes håber jeg at folk holder op med at stjæle eller at købe
> hælervarer.
> Det er da det, der er hele planen.

Du er naiv. Hvorfor skulle tyverierne holde op. Computere er jo ikke
de eneste tyvekoster, der skal behandles med omhu for at undgå at
blive afsløret.

>
> > >
> > > > 3) At man kan vurdere udviklinen af ovenstående.
> > > Hvad for en udvikling?
>
> > Hvor meget virkningen af programmet aftager efterhånden som
> > det går op for folk, hvordan det omgås.
> Ja det er jo simpelt nok, man skal blot lade være med at installere det.

Sig mig, snakker du udenom, eller er du bare så dum som du lyder?
Det er tyvene der kan omgå det ved at slette det fra harddisken.

> Det er så vidt jeg ved den eneste måde, og den er da ikke hemmelig.

Og den anden metode er at slette programmet fra harddisken inden
maskinen bruges. Den metode er heller ikke hemmelig, faktisk er
den blevet nævnt adskillige gange her i gruppen. Og når du gang
på gang påstår at du ikke kender den metode, så må du enten være
meget tunghør eller blot fuld af løgn.

> Altså man behøver ikke gøre sig anstrengelser for at omgå det, det er helt
> frivilligt om man vil ha det.

Ja, også for tyvene, hvis de ikke vil opdages kan de bare slette
det. Og hvis de gerne vil opdages er der da nemmere måder.

> Blot lad være med at købe og installere det.
> Mere enkelt kan det vel næppe siges.

Det bliver ikke mindre forkert af at blive gentaget.

>
> Men den debat gidder jeg egentlig ikke rigtig at tage igen.

Jeg tror heller ikke det hjælper, du bliver alligevel ikke
klogere.

> Det er jo i denne NG besluttet hvordan det er, det kan intet vist ændre på.

Vi har fortalt dig sandheden mange gange, men hver gang der
bliver sagt noget du ikke bryder dig om lukker du jo fuldstændigt
af.

>
> Heldigvis er fakta jo noget ganske andet.

Fakta er butikken henne om hjørnet hvor man kan købe 1 kg
økologiske havregryn og 3 liter økologisk mælk for 29.25.
Og det er sundt til morgenmad.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Christian E. Lysel (04-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 04-12-02 10:24

Kasper Dupont wrote:
> Du har stadig intet forstået. Hovedparten af læserne af denne gruppe
> ved hvordan vi kan forhindre dit produkt i at afsløre tyveri. Der er
> bare ikke nogen af os, der vil begå kriminalitet, for at bevise du
> tager fejl. Det er du simpelthen ikke vigtig nok til. Og hvis der er
> nok personer, der er dumme nok til at købe dit program, så falder
> det alligevel til jorden af sig selv.

Det passer ikke helt.

Vi har flere gange forslået en test, hvor Bjarne fx stille 10 maskiner
til rådighed, som deles ud til test brugerne (os). Hvis Bjarne kan spore
maskinerne virker produktet ellers virker det ikke.

Bjarne finder dog den mest realistiske test useriøs.

> Sig mig, snakker du udenom, eller er du bare så dum som du lyder?
> Det er tyvene der kan omgå det ved at slette det fra harddisken.

Hans argument går vist på at tyven eller køberen af hæler varen skal
have så meget dobbelt moral at de selv installere produktet.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Kasper Dupont (04-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 04-12-02 10:40

"Christian E. Lysel" wrote:
>
> Kasper Dupont wrote:
> > Du har stadig intet forstået. Hovedparten af læserne af denne gruppe
> > ved hvordan vi kan forhindre dit produkt i at afsløre tyveri. Der er
> > bare ikke nogen af os, der vil begå kriminalitet, for at bevise du
> > tager fejl. Det er du simpelthen ikke vigtig nok til. Og hvis der er
> > nok personer, der er dumme nok til at købe dit program, så falder
> > det alligevel til jorden af sig selv.
>
> Det passer ikke helt.

Øh, hvad for noget af det jeg sagde er det du mener ikke passer.

>
> Vi har flere gange forslået en test, hvor Bjarne fx stille 10 maskiner
> til rådighed, som deles ud til test brugerne (os). Hvis Bjarne kan spore
> maskinerne virker produktet ellers virker det ikke.

Det er korrekt. Hvis produktet virker så godt som Bjarne påstår,
så ville han intet have at tabe. Men jeg tror Bjarne trods alt
har fornemmelse nok for realiteterne til at indse, at han aldrig
ville se de 10 maskiner igen. Men så vidt jeg husker indrømmede
han det aldrig.

>
> Bjarne finder dog den mest realistiske test useriøs.

Ja. Og de tests han har lavet i stedet lyder for mig som meget
useriøse.

>
> > Sig mig, snakker du udenom, eller er du bare så dum som du lyder?
> > Det er tyvene der kan omgå det ved at slette det fra harddisken.
>
> Hans argument går vist på at tyven eller køberen af hæler varen skal
> have så meget dobbelt moral at de selv installere produktet.

Uha. Prøv lige at overveje hvor udbredt produktet skal være
før det er sandsynligt at både ejeren og køberen af en maskine
installerer produktet. Og gru for den dag folk mener den eneste
grund til ikke at installere pcfinder må være, at man ved
maskinen er stjålet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Christian E. Lysel (04-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 04-12-02 11:10

Kasper Dupont wrote:
>>Det passer ikke helt.
> Øh, hvad for noget af det jeg sagde er det du mener ikke passer.

At vi ikke vil begå kriminalitet for at bevise han tager fejl. :)

>>Bjarne finder dog den mest realistiske test useriøs.
> Ja. Og de tests han har lavet i stedet lyder for mig som meget
> useriøse.

Jeg kender ikke hans tests, generelt skriver Bjarne ikke meget, det
meste er fyld uden indhold.

> installerer produktet. Og gru for den dag folk mener den eneste
> grund til ikke at installere pcfinder må være, at man ved
> maskinen er stjålet.

:)

Eller gru for den dag Microsoft vælger at benytte oplysning samlet ind
omkring licenser til fx XP installationer, til at konkurrer med Bjarnes
produkt. Det var den forretning.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 17:51

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:askk8s$1sh$1@sunsite.dk...
> Kasper Dupont wrote:
> >>Det passer ikke helt.
> > Øh, hvad for noget af det jeg sagde er det du mener ikke passer.
>
> At vi ikke vil begå kriminalitet for at bevise han tager fejl. :)
>
> >>Bjarne finder dog den mest realistiske test useriøs.
> > Ja. Og de tests han har lavet i stedet lyder for mig som meget
> > useriøse.
Nu pådutter mig igen meninger jeg ikke har.
Jeg finder de mest realistiske test for de mest seriøse.
Og jeg har jo aldrig givert udtryg for andet.

> Jeg kender ikke hans tests, generelt skriver Bjarne ikke meget, det
> meste er fyld uden indhold.
Når du ikke kender mine tests, hvordan kan du så påstå at de er useriøse.
Hvis ikke det er fyld uden indhold, hvad er så.

> > installerer produktet. Og gru for den dag folk mener den eneste
> > grund til ikke at installere pcfinder må være, at man ved
> > maskinen er stjålet.
> :)
>
> Eller gru for den dag Microsoft vælger at benytte oplysning samlet ind
> omkring licenser til fx XP installationer, til at konkurrer med Bjarnes
> produkt. Det var den forretning.
Tror du da, at de stjæler ideer fra andre.
Men du kan roligt begynde at gru for den dag alligevel.


MVH





Christian E. Lysel (04-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 04-12-02 21:47

Bjarne Østergård wrote:
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
> news:askk8s$1sh$1@sunsite.dk...
>
>>Kasper Dupont wrote:
>>
>>>>Det passer ikke helt.
>>>
>>>Øh, hvad for noget af det jeg sagde er det du mener ikke passer.
>>
>>At vi ikke vil begå kriminalitet for at bevise han tager fejl. :)
>>
>>
>>>>Bjarne finder dog den mest realistiske test useriøs.
>>>
>>>Ja. Og de tests han har lavet i stedet lyder for mig som meget
>>>useriøse.
>
> Nu pådutter mig igen meninger jeg ikke har.
> Jeg finder de mest realistiske test for de mest seriøse.
> Og jeg har jo aldrig givert udtryg for andet.

Du svarer på Kaspers indlæg!

>>Jeg kender ikke hans tests, generelt skriver Bjarne ikke meget, det
>>meste er fyld uden indhold.
>
> Når du ikke kender mine tests, hvordan kan du så påstå at de er useriøse.

Det påstod Kasper.

Jeg skriver at jeg ikke kender dine tests

> Hvis ikke det er fyld uden indhold, hvad er så.
>
>
>>>installerer produktet. Og gru for den dag folk mener den eneste
>>>grund til ikke at installere pcfinder må være, at man ved
>>>maskinen er stjålet.
>>
>>:)
>>
>>Eller gru for den dag Microsoft vælger at benytte oplysning samlet ind
>>omkring licenser til fx XP installationer, til at konkurrer med Bjarnes
>>produkt. Det var den forretning.
>
> Tror du da, at de stjæler ideer fra andre.
> Men du kan roligt begynde at gru for den dag alligevel.

Det var ment på dine vejne


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Jonathan Stein (05-12-2002)
Kommentar
Fra : Jonathan Stein


Dato : 05-12-02 14:28

"Bjarne Østergård" wrote:

> > Eller gru for den dag Microsoft vælger at benytte oplysning samlet ind
> > omkring licenser til fx XP installationer, til at konkurrer med Bjarnes
> > produkt. Det var den forretning.
>
>
> Tror du da, at de stjæler ideer fra andre.

Ja - Microsoft har aldrig fundet på noget (væsentligt) selv.

Microsoft er en markedsføringsmaskine, der finder/køber gode idéer og pakker
dem pænt ind. Forretningsmæssigt har det jo været genialt, men teknisk er det
ikke særlig interessant, og det er nok også derfor Microsoft altid har været
mere populære i forretningskredse end i tekniske kredse.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



M (06-12-2002)
Kommentar
Fra : M


Dato : 06-12-02 21:18

"Bjarne Østergård" <boe@ydicon.dk> wrote:

> Tror du da, at de stjæler ideer fra andre.

Men det gør Gigasoft / Bjarne Østergård tilsyneladende:
http://www.zeasoft.com/hpgn.shtml

Så vidt jeg kan se, kan det program stort set det samme som dit. Og så
fylder det endda 5 år her til januar.

--
M


Bjarne Østergård (08-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 08-12-02 14:39


"M" <none@127.0.0.1> skrev i en meddelelse
news:3df1065e$0$47402$edfadb0f@dtext01.news.tele.dk...
> "Bjarne Østergård" <boe@ydicon.dk> wrote:
>
> > Tror du da, at de stjæler ideer fra andre.
>
> Men det gør Gigasoft / Bjarne Østergård tilsyneladende:
> http://www.zeasoft.com/hpgn.shtml
>
> Så vidt jeg kan se, kan det program stort set det samme som dit. Og så
> fylder det endda 5 år her til januar.

Ja det er mindst et år efter at jeg sendte første version af safe PC på
markedet.
De først offentlige test vi lavede var i 1991
Er endda udgivet på alt om datas blad cd. dengang.
Så hold op med sådanne beskyldninger.

Vil du også påstå at alle andre der laver produkter der løser samme problem
er tyveknægte.
Eks alle der laver støvsugere, biler, bukser, plæneklippere. osv.

Jeg forstår godt du gerne vil forsøge at være annonym Hr M.

MVH.
Bjarne



M (08-12-2002)
Kommentar
Fra : M


Dato : 08-12-02 17:50

"Bjarne Østergård" <boe@ydicon.dk> wrote:

> "M" <none@127.0.0.1> skrev i en meddelelse
> news:3df1065e$0$47402$edfadb0f@dtext01.news.tele.dk...
> > "Bjarne Østergård" <boe@ydicon.dk> wrote:
> >
> > > Tror du da, at de stjæler ideer fra andre.
> >
> > Men det gør Gigasoft / Bjarne Østergård tilsyneladende:
> > http://www.zeasoft.com/hpgn.shtml
> >
> > Så vidt jeg kan se, kan det program stort set det samme som dit. Og

> > fylder det endda 5 år her til januar.
>
> Ja det er mindst et år efter at jeg sendte første version af safe PC

> markedet.

Nu ved jeg ikke hvad "Safe PC" er, men det kan du vel uddybe.

> De først offentlige test vi lavede var i 1991

Brugte I også Internettet dengang, og var der et marked for
"tyverisikring"
via Internettet i Danmark?

> Er endda udgivet på alt om datas blad cd. dengang.
> Så hold op med sådanne beskyldninger.

Nu skrev jeg "tilsyneladende", hvilket ikke er det samme som en
beskyldning.

> Vil du også påstå at alle andre der laver produkter der løser samme
problem
> er tyveknægte.

Jeg har intet påstået.

> Eks alle der laver støvsugere, biler, bukser, plæneklippere. osv.
>
> Jeg forstår godt du gerne vil forsøge at være annonym Hr M.

Forsøge? Hvem er jeg da? I øvrigt rager det mig en papand, om folk
skriver deres navne eller ej, men det er en helt anden diskution, Hr.
Kleinsmed.

--
M


Kasper Dupont (04-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 04-12-02 21:02

"Christian E. Lysel" wrote:
>
> Kasper Dupont wrote:
> >>Det passer ikke helt.
> > Øh, hvad for noget af det jeg sagde er det du mener ikke passer.
>
> At vi ikke vil begå kriminalitet for at bevise han tager fejl. :)

OK, måske er der nogen, der vil, men jeg vil ikke.
Bjarne kan du ikke lige oplyse addresser på et par
af dine kunder, så intereserede kan smutte forbi
og stjæle et par computere, ellers får vi jo aldrig
det her afklaret.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 23:03


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DEE5F34.84D4F707@daimi.au.dk...

> > At vi ikke vil begå kriminalitet for at bevise han tager fejl. :)
>
> OK, måske er der nogen, der vil, men jeg vil ikke.
> Bjarne kan du ikke lige oplyse addresser på et par
> af dine kunder, så intereserede kan smutte forbi
> og stjæle et par computere, ellers får vi jo aldrig
> det her afklaret.

Selvfølgeligt kan jeg ikke det, og jeg ved ikke hvad det er du skal have
afklaret.


MVH




Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 18:18

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DEDCD56.1D558030@daimi.au.dk...

> > Bjarne finder dog den mest realistiske test useriøs.

> Ja. Og de tests han har lavet i stedet lyder for mig som meget
> useriøse.
Til din orientering kan jeg oplyse at vi nu ikke tester mere, nu gør vi det
bare, og det der ude, i den virkelige onde verden.
Mere realistisk kan det vist ikke blive.

Men måske du kan udtænke mere realistiske tests en virkeligheden.

Den sidste test vi lavede var at udsende 1000 stk cdér gratis, til
virksomheder og private, til tests

De er altså testet i den virkelige (virkelige verden) og ikke i en tænkt
virkelig verden.

Tør du virkelig kalde det for en useriøs test.

Vi udloddede også 4 weekendophold for to personer, for dem der gad at
udfylde et spørgeskema og give kritik af systemet.

Er det useriøst at lave en brugertest på 1000 virkelige brugere.

Vi har fanget rigtige tyve, og haft hele systemet igennem en prøvesag ved
rigtige domstolene og det rigtige politiet.
Er det useriøst?.

> Uha. Prøv lige at overveje hvor udbredt produktet skal være
> før det er sandsynligt at både ejeren og køberen af en maskine
> installerer produktet. Og gru for den dag folk mener den eneste
> grund til ikke at installere pcfinder må være, at man ved
> maskinen er stjålet.

Hvorfor skal man grue for den dag da folk ikke mere vil købe stjålne
computere.

Nåh ok! Jeg er med.
Jeg kan kun se en eneste årsag til det, men det er nettop dem vi skal
afsløre.

MVH





Kasper Dupont (04-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 04-12-02 21:19

"Bjarne Østergård" wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:3DEDCD56.1D558030@daimi.au.dk...
>
> > > Bjarne finder dog den mest realistiske test useriøs.
>
> > Ja. Og de tests han har lavet i stedet lyder for mig som meget
> > useriøse.
> Til din orientering kan jeg oplyse at vi nu ikke tester mere, nu gør vi det
> bare, og det der ude, i den virkelige onde verden.
> Mere realistisk kan det vist ikke blive.
>
> Men måske du kan udtænke mere realistiske tests en virkeligheden.

Jeg tror ganske enkelt ikke på at der er blevet stjålet computere
nok. Dine tests med computere, der ikke blev stjålet er intet værd.
Kun de computere, der faktisk blev stjålet, har en betydning. Jeg
tror det er for få.

>
> Den sidste test vi lavede var at udsende 1000 stk cdér gratis, til
> virksomheder og private, til tests

Ja, ja, 1000 eksemplarer ville være nok, hvis altså computerne blev
stjålet af 1000 forskellige tyve. Men nu tvivler jeg kraftigt på,
at de overhovedet blev stjålet alle sammen.

>
> De er altså testet i den virkelige (virkelige verden) og ikke i en tænkt
> virkelig verden.
>
> Tør du virkelig kalde det for en useriøs test.
>
> Vi udloddede også 4 weekendophold for to personer, for dem der gad at
> udfylde et spørgeskema og give kritik af systemet.
>
> Er det useriøst at lave en brugertest på 1000 virkelige brugere.

Du skal ikke lave en test med 1000 brugere, du skal lave en test
med 1000 tyve.

>
> Vi har fanget rigtige tyve, og haft hele systemet igennem en prøvesag ved
> rigtige domstolene og det rigtige politiet.

1) Der bliver også afsløret tyve uden hjælp af dit "produkt". Én
sag er for lidt til at vise nogen forskel i opklaringsprocenten.
2) Tyvene i den pågældende sag har nok ikke fulgt med i diskutionen
i dk.edb.sikkerhed, men der skal nok ikke ret mange sager til
før det rygtes. Og så har du fundet din sidste computer.

> Er det useriøst?.

Det er useriøst at kalde det for en test.

>
> > Uha. Prøv lige at overveje hvor udbredt produktet skal være
> > før det er sandsynligt at både ejeren og køberen af en maskine
> > installerer produktet. Og gru for den dag folk mener den eneste
> > grund til ikke at installere pcfinder må være, at man ved
> > maskinen er stjålet.
>
> Hvorfor skal man grue for den dag da folk ikke mere vil købe stjålne
> computere.

Du kan muligvis øge opklaringsprocenten og sænke antallet af
tyverier i en overgangsperiode, men i det lange løb vil det være
uændret. Tyvene lærer at slette sporene.

Og det var i øvrigt slet ikke det jeg snakkede om, så tag lige at
læse hvad jeg skriver før du svarer. Jeg stoler ikke på dig eller
dit produkt. Jeg vil ikke smide penge efter et produkt, jeg ikke
stoler på. Jeg vil ikke bruge et produkt, jeg ikke stoler på. Og
jeg vil ikke udskifte mit OS for at kunne bruge dit produkt. Selv
hvis produktet virkede ville det ikke have nogen interesse. Hvis
jeg udskiftede mit OS ville min computer jo blive ubrugelig, og
hvad hjælper det så, at den ikke bliver stjålet?

Jeg har altså grunde nok til at ikke bruge produktet, men jeg
ønsker ikke at blive mistænkeliggjort på det grundlag. Men sådan
går det forhåbentlig ikke.

En dag vil der blive stjålet flere og flere computer med dit
produkt, og din opklaringsprocent vil være stødt faldende. Hvad
har du så at sige til dit forsvar?

>
> Nåh ok! Jeg er med.
> Jeg kan kun se en eneste årsag til det, men det er nettop dem vi skal
> afsløre.

Du vil altså allerede nu begynde at mistænkeliggøre folk? Nå, men
så længe du er alene har jeg da heldigvis ikke noget at frygte.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 23:51


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DEE6351.2C0F358C@daimi.au.dk...
> "Bjarne Østergård" wrote:
> >
> > "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> > news:3DEDCD56.1D558030@daimi.au.dk...
> >
> > > > Bjarne finder dog den mest realistiske test useriøs.
> >
> > > Ja. Og de tests han har lavet i stedet lyder for mig som meget
> > > useriøse.
> > Til din orientering kan jeg oplyse at vi nu ikke tester mere, nu gør vi
det
> > bare, og det der ude, i den virkelige onde verden.
> > Mere realistisk kan det vist ikke blive.
> >
> > Men måske du kan udtænke mere realistiske tests en virkeligheden.
>
> Jeg tror ganske enkelt ikke på at der er blevet stjålet computere
> nok. Dine tests med computere, der ikke blev stjålet er intet værd.
> Kun de computere, der faktisk blev stjålet, har en betydning. Jeg
> tror det er for få.
Det tror jeg også selv, men kun tiden kan vise hvor stor effekt mit system
vil have og hvor stor opklarringsprocent det kan klare.
Jeg opponerer bare kraftig på alle de dommedagsprofetier i kommer med.
Ind til videre har systemet faktisk fuldt levet op til forventningerne.
Men det er rigtig, vi har kun haft det til salg i omkring en måned, så
statistik materialet er noget tyndbenet endnu.

Jeg har aldrig regnet med 100% opklarring, ikke desto mindre er den faktisk
størrer, altså hvis jeg ser på antal stjålne computere og så det antal
pålitiet har kunnet konfiskere på baggrund af systemets afslørringer.
Bare hos en tyv fandt man 6 andre computere som blev konfiskeret som
stjålet, tyven havde dog kun stjålet en maskine med vores system i.
HE he nyt slogan (få stjålet en computer og få 7 tilbage)
De andre 6 maskiner var fra tyverier andre steder.
Hm. de burde nu sponserere os.

> > Den sidste test vi lavede var at udsende 1000 stk cdér gratis, til
> > virksomheder og private, til tests
>
> Ja, ja, 1000 eksemplarer ville være nok, hvis altså computerne blev
> stjålet af 1000 forskellige tyve. Men nu tvivler jeg kraftigt på,
> at de overhovedet blev stjålet alle sammen.

Hm jeg kunne tænke mig en balade, og et rygte jeg ville få, hvis alle der
modtog en cd. fra mig, dagen efter fik stjålet deres computere.

> > Er det useriøst at lave en brugertest på 1000 virkelige brugere.
>
> Du skal ikke lave en test med 1000 brugere, du skal lave en test
> med 1000 tyve.
Hvor finder jeg dem???
Nå men det er jo nettop det vi arbejder på.

> > Vi har fanget rigtige tyve, og haft hele systemet igennem en prøvesag
ved
> > rigtige domstolene og det rigtige politiet.
>
> 1) Der bliver også afsløret tyve uden hjælp af dit "produkt". Én
> sag er for lidt til at vise nogen forskel i opklaringsprocenten.
Det var dog en morsom konklusion, der er da også folk der føder børn uden
mit produkt.
Og man kunne også rejse før man opfandt bilen.
Og ja man afslørede også computretyve før jeg fandt på at gøre det.

> 2) Tyvene i den pågældende sag har nok ikke fulgt med i diskutionen
> i dk.edb.sikkerhed, men der skal nok ikke ret mange sager til
> før det rygtes. Og så har du fundet din sidste computer.
Det vil rigtig blive gang i debatten her inde når alle de krimminelle skal
være med.
Nå men det er vel også et ressultat

> Det er useriøst at kalde det for en test.
Har du så ikke et bedre navn for det.
Forresten er det vel også total underordnet hvad det kaldes, en spade er jo
nu engang en spade, selv om man kalder den for en skovl.

> >
> > > Uha. Prøv lige at overveje hvor udbredt produktet skal være
> > > før det er sandsynligt at både ejeren og køberen af en maskine
> > > installerer produktet. Og gru for den dag folk mener den eneste
> > > grund til ikke at installere pcfinder må være, at man ved
> > > maskinen er stjålet.
> >
> > Hvorfor skal man grue for den dag da folk ikke mere vil købe stjålne
> > computere.
>
> Du kan muligvis øge opklaringsprocenten og sænke antallet af
> tyverier i en overgangsperiode, men i det lange løb vil det være
> uændret. Tyvene lærer at slette sporene.
Hvis jeg bare kan det du siger er jeg mere end glad.
Og hvis tyvene som du siger lærer at slette deres spor, må vi jo bare blive
bedere til at se de spor der er tilbage.
Men nu er det faktisk således at systemet er designet til nettop at lægge et
spor.

> Og det var i øvrigt slet ikke det jeg snakkede om, så tag lige at
> læse hvad jeg skriver før du svarer. Jeg stoler ikke på dig eller
> dit produkt. Jeg vil ikke smide penge efter et produkt, jeg ikke
> stoler på. Jeg vil ikke bruge et produkt, jeg ikke stoler på. Og
> jeg vil ikke udskifte mit OS for at kunne bruge dit produkt. Selv
> hvis produktet virkede ville det ikke have nogen interesse. Hvis
> jeg udskiftede mit OS ville min computer jo blive ubrugelig, og
> hvad hjælper det så, at den ikke bliver stjålet?
ØH skriver du for at være morsom? eller er du det bare.

At du ikke stoler på noget er da fint med mig,
Og at du har samme holdning uanset om det virker eller ej er da også fint
nok
Men hvorfor i alverden kan din computer ikke tåle at der skiftes OS
Den har jeg ligodt aldrig hørt før,
Og at det skulle have nogen indflydelse på dit oprationssystems
funktionalitet om din computer kan stjæles eller ej er da også lidt mere end
de normale OS plejer at reagere på.

> Jeg har altså grunde nok til at ikke bruge produktet, men jeg
> ønsker ikke at blive mistænkeliggjort på det grundlag. Men sådan
> går det forhåbentlig ikke.
Naturligvis ikke. hvorfor i alverden skulle nogen kunne mistænkliggøre nogen
på den baggrund.
det er jo da et frit land vi lever i.

> En dag vil der blive stjålet flere og flere computer med dit
> produkt, og din opklaringsprocent vil være stødt faldende. Hvad
> har du så at sige til dit forsvar?
Er jeg da under anklage, siden jeg skal forsvare mig.
Men ja, den vil i hvertfald være faldende, det er nok desvære umuligt at
holde den på 100%

> Du vil altså allerede nu begynde at mistænkeliggøre folk? Nå, men
> så længe du er alene har jeg da heldigvis ikke noget at frygte.

Jeg vil da ikke mistænkliggøre nogen folk, det er da noget vrøvl.
Men de eneste der måtte kunne sysntes, at det er en gru den dag, man ikke
kan handle med tyvekoster mere, uden at blive afsløret, er sgu da kun tyve
og hælere.

Computertyverier er altså en plage.

MVH




Kent Friis (05-12-2002)
Kommentar
Fra : Kent Friis


Dato : 05-12-02 17:32

Den Wed, 4 Dec 2002 23:51:11 +0100 skrev Bjarne Østergård:
>
>"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
>news:3DEE6351.2C0F358C@daimi.au.dk...
>>
>> Ja, ja, 1000 eksemplarer ville være nok, hvis altså computerne blev
>> stjålet af 1000 forskellige tyve. Men nu tvivler jeg kraftigt på,
>> at de overhovedet blev stjålet alle sammen.
>
>Hm jeg kunne tænke mig en balade, og et rygte jeg ville få, hvis alle der
>modtog en cd. fra mig, dagen efter fik stjålet deres computere.

Så lad være med at lade det gå ud over rigtige brugere, det er jo
derfor at man (bortset fra jer, åbenbart) tester FØR brugerne får
programmet.

>> jeg vil ikke udskifte mit OS for at kunne bruge dit produkt. Selv
>> hvis produktet virkede ville det ikke have nogen interesse. Hvis
>> jeg udskiftede mit OS ville min computer jo blive ubrugelig, og
>> hvad hjælper det så, at den ikke bliver stjålet?
>ØH skriver du for at være morsom? eller er du det bare.

Nej, det han skriver er skam ganske logisk.

>At du ikke stoler på noget er da fint med mig,
>Og at du har samme holdning uanset om det virker eller ej er da også fint
>nok
>Men hvorfor i alverden kan din computer ikke tåle at der skiftes OS
>Den har jeg ligodt aldrig hørt før,
>Og at det skulle have nogen indflydelse på dit oprationssystems
>funktionalitet om din computer kan stjæles eller ej er da også lidt mere end
>de normale OS plejer at reagere på.

Kasper bruger programmer der kører under Linux (eller OpenBSD eller
noget helt tredje). Hvis han i stedet skal installere windows, så kan
han ikke bruge de programmer, og så er computeren jo ubrugelig. Og
hvis man skal vælge imellem en computer der kan stjæles, eller en
ubrugelig blik-kasse der ikke kan stjæles, så vil de fleste nok
foretrække computeren.

>> Du vil altså allerede nu begynde at mistænkeliggøre folk? Nå, men
>> så længe du er alene har jeg da heldigvis ikke noget at frygte.
>
>Jeg vil da ikke mistænkliggøre nogen folk, det er da noget vrøvl.
>Men de eneste der måtte kunne sysntes, at det er en gru den dag, man ikke
>kan handle med tyvekoster mere, uden at blive afsløret, er sgu da kun tyve
>og hælere.

Hvad er det du ikke har forstået? Han skrev tydeligvis ikke noget om at
det var en gru at man ikke kan stjæle computere. Han skrev at det er
en gru den dag alle computere har installeret PC-finder, det vil jo
nødvendigvis betyde at det skal tvangsinstalleres hos dem der ikke
ønsker det.

>Computertyverier er altså en plage.

Marketingsfolk der udgiver sig for computereksperter er også. Og dem
er der mange flere af.

Mvh
Kent
--
The revolution has just begun.

Kasper Dupont (05-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 05-12-02 18:24

"Bjarne Østergård" wrote:
>
> Det tror jeg også selv, men kun tiden kan vise hvor stor effekt mit system
> vil have og hvor stor opklarringsprocent det kan klare.

Så du indrømmer altså, at du på nuværende tidspunkt intet ved om hvor
meget det vil hjælpe i det lange løb.

> Jeg opponerer bare kraftig på alle de dommedagsprofetier i kommer med.

Dommedagsprofetier er nok en overdrivelse. Verden går ikke under blot
fordi dit system ikke har en fremtid. Og bemærk at vi er kommet med
saglige argumenter for vores forudsigelser. Kan du dokumentere et
eneste område, hvor en foranstaltning der gjorde tyveri en anelse
mere besværlig, har ført til et stort fald i det samlede antal
tyverier.

> Ind til videre har systemet faktisk fuldt levet op til forventningerne.

Det skal jo være kendt blandt tyvene før de begynder at tage deres
forholdsregler.

> Men det er rigtig, vi har kun haft det til salg i omkring en måned, så
> statistik materialet er noget tyndbenet endnu.

OK, så er vi da i det mindste enige om det.

>
> Jeg har aldrig regnet med 100% opklarring,

Måske ikke, men er det ikke stort set det, du har lovet?

> ikke desto mindre er den faktisk
> størrer, altså hvis jeg ser på antal stjålne computere og så det antal
> pålitiet har kunnet konfiskere på baggrund af systemets afslørringer.
> Bare hos en tyv fandt man 6 andre computere som blev konfiskeret som
> stjålet, tyven havde dog kun stjålet en maskine med vores system i.
> HE he nyt slogan (få stjålet en computer og få 7 tilbage)
> De andre 6 maskiner var fra tyverier andre steder.

Der er vel intet usædvanligt i, at finde tyvekoster fra flere tyverier
når det endelig lykkes at finde tyven fra en enkelt sag. Det har sådan
set intet at gøre med hvordan tyven blev afsløret.

> Hm. de burde nu sponserere os.

Hvem?

>
> > > Den sidste test vi lavede var at udsende 1000 stk cdér gratis, til
> > > virksomheder og private, til tests
> >
> > Ja, ja, 1000 eksemplarer ville være nok, hvis altså computerne blev
> > stjålet af 1000 forskellige tyve. Men nu tvivler jeg kraftigt på,
> > at de overhovedet blev stjålet alle sammen.
>
> Hm jeg kunne tænke mig en balade, og et rygte jeg ville få, hvis alle der
> modtog en cd. fra mig, dagen efter fik stjålet deres computere.

Ja, det kunne se kønt ud.

>
> > > Er det useriøst at lave en brugertest på 1000 virkelige brugere.
> >
> > Du skal ikke lave en test med 1000 brugere, du skal lave en test
> > med 1000 tyve.
> Hvor finder jeg dem???

Det kan jeg ikke hjælpe med.

> Nå men det er jo nettop det vi arbejder på.

Det vil sige at det "produkt" i sælger for 500kr faktisk nærmere er et
eksperiment end et endeligt brugbart produkt.

>
> > > Vi har fanget rigtige tyve, og haft hele systemet igennem en prøvesag
> ved
> > > rigtige domstolene og det rigtige politiet.
> >
> > 1) Der bliver også afsløret tyve uden hjælp af dit "produkt". Én
> > sag er for lidt til at vise nogen forskel i opklaringsprocenten.
> Det var dog en morsom konklusion, der er da også folk der føder børn uden
> mit produkt.
> Og man kunne også rejse før man opfandt bilen.
> Og ja man afslørede også computretyve før jeg fandt på at gøre det.

Altså hvis en tyv stjæler en computer med PCfinder kan han
risikere at blive afsløret, hvis en tyv stjæler en computer uden
PCfinder kan han risikere at blive afsløret. Men så længe vi ikke
kender sandsynligheden i de to tilfælde, kan vi intet bruge det
til.

>
> > 2) Tyvene i den pågældende sag har nok ikke fulgt med i diskutionen
> > i dk.edb.sikkerhed, men der skal nok ikke ret mange sager til
> > før det rygtes. Og så har du fundet din sidste computer.
> Det vil rigtig blive gang i debatten her inde når alle de krimminelle skal
> være med.

De behøves jo ikke blande sig, det ville være nok at lytte, det er
skam mange gange blevet nævnt, hvad der skal gøres ved en computer
med PCfinder så man undgår at blive afsløret.

> Nå men det er vel også et ressultat
>
> > Det er useriøst at kalde det for en test.
> Har du så ikke et bedre navn for det.

Nu er det godt nok et par år siden jeg havde statistik, så jeg
kan muligvis huske nogle af ordene forkert, men jeg tror den
rette betegnelse er et eksperiment. Og et forsøg kunne gå på at
udføre samme eksperiment n gange for et passende n. Typisk mellem
100 og 1000 eksperimenter.

> Forresten er det vel også total underordnet hvad det kaldes, en spade er jo
> nu engang en spade, selv om man kalder den for en skovl.
>
> > >
> > > > Uha. Prøv lige at overveje hvor udbredt produktet skal være
> > > > før det er sandsynligt at både ejeren og køberen af en maskine
> > > > installerer produktet. Og gru for den dag folk mener den eneste
> > > > grund til ikke at installere pcfinder må være, at man ved
> > > > maskinen er stjålet.
> > >
> > > Hvorfor skal man grue for den dag da folk ikke mere vil købe stjålne
> > > computere.
> >
> > Du kan muligvis øge opklaringsprocenten og sænke antallet af
> > tyverier i en overgangsperiode, men i det lange løb vil det være
> > uændret. Tyvene lærer at slette sporene.
> Hvis jeg bare kan det du siger er jeg mere end glad.

Hvad vil du gøre når den overgangsperiode er gået. Får kunderne
deres penge igen når produktet ikke mere kan bruges.

> Og hvis tyvene som du siger lærer at slette deres spor, må vi jo bare blive
> bedere til at se de spor der er tilbage.

Det kan dit system ikke hjælpe med.

> Men nu er det faktisk således at systemet er designet til nettop at lægge et
> spor.

Ja et enkelt spor som er nemt at fjerne.

>
> > Og det var i øvrigt slet ikke det jeg snakkede om, så tag lige at
> > læse hvad jeg skriver før du svarer. Jeg stoler ikke på dig eller
> > dit produkt. Jeg vil ikke smide penge efter et produkt, jeg ikke
> > stoler på. Jeg vil ikke bruge et produkt, jeg ikke stoler på. Og
> > jeg vil ikke udskifte mit OS for at kunne bruge dit produkt. Selv
> > hvis produktet virkede ville det ikke have nogen interesse. Hvis
> > jeg udskiftede mit OS ville min computer jo blive ubrugelig, og
> > hvad hjælper det så, at den ikke bliver stjålet?
> ØH skriver du for at være morsom?

Jeg mener det skam alvorligt. Jeg har mine computere for at bruge
dem. Uden mit OS kan jeg ikke bruge dem.

> eller er du det bare.
>
> At du ikke stoler på noget er da fint med mig,

Vel stoler jeg da på noget, bare ikke dig og dit produkt.

> Og at du har samme holdning uanset om det virker eller ej er da også fint
> nok
> Men hvorfor i alverden kan din computer ikke tåle at der skiftes OS

De programmer jeg bruger fungerer ikke ordentligt på Windows. Og
Windows fungerer i øvrigt ikke ordentligt til mine behov. Jeg vil
have et system, hvor jeg har mulighed for at se, hvad der foregår
på computeren. Jeg har da til tider overvejet at skifte OS, men
Windows har aldrig været med i mine overvejelser.

> Den har jeg ligodt aldrig hørt før,
> Og at det skulle have nogen indflydelse på dit oprationssystems
> funktionalitet om din computer kan stjæles eller ej er da også lidt mere end
> de normale OS plejer at reagere på.

Det ville have en negativ indflydelse på min computers brugbarhed,
hvis jeg skulle skifte til et OS som dit produkt kan bruges med.
Andet har jeg ikke sagt.

>
> > Jeg har altså grunde nok til at ikke bruge produktet, men jeg
> > ønsker ikke at blive mistænkeliggjort på det grundlag. Men sådan
> > går det forhåbentlig ikke.
> Naturligvis ikke. hvorfor i alverden skulle nogen kunne mistænkliggøre nogen
> på den baggrund.
> det er jo da et frit land vi lever i.

Sagde du ikke, at den eneste grund til at ikke installere dit
produkt skulle være, at man ved computeren er stjålet? Sådan
lød det i hvert fald i din forrige posting.

>
> > En dag vil der blive stjålet flere og flere computer med dit
> > produkt, og din opklaringsprocent vil være stødt faldende. Hvad
> > har du så at sige til dit forsvar?
> Er jeg da under anklage, siden jeg skal forsvare mig.

Du har givet løfter og leveret et produkt som ikke kunne leve
op til det. Du har stillet kunderne noget i udsigt som de ikke
fik.

> Men ja, den vil i hvertfald være faldende, det er nok desvære umuligt at
> holde den på 100%

Jeg tror det vil ende med, at opklaringsprocenten med og uden
dit produkt er tilnærmelsesvis den samme.

>
> > Du vil altså allerede nu begynde at mistænkeliggøre folk? Nå, men
> > så længe du er alene har jeg da heldigvis ikke noget at frygte.
>
> Jeg vil da ikke mistænkliggøre nogen folk, det er da noget vrøvl.
> Men de eneste der måtte kunne sysntes, at det er en gru den dag, man ikke
> kan handle med tyvekoster mere, uden at blive afsløret, er sgu da kun tyve
> og hælere.

Man kan sagtens handle med tyvekoster, man skal sørge for at
tømme disken inden computeren vidresælges.

>
> Computertyverier er altså en plage.

Er det? Jeg har fået stjålet en computer en eneste gang, og det
kom meget belejligt. Den var forsikret, og det var alligevel
på tide med en opgradering.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (06-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 06-12-02 00:41


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DEF8B96.CD4C413B@daimi.au.dk...
> "Bjarne Østergård" wrote:
> >
> > Det tror jeg også selv, men kun tiden kan vise hvor stor effekt mit
system
> > vil have og hvor stor opklarringsprocent det kan klare.
>
> Så du indrømmer altså, at du på nuværende tidspunkt intet ved om hvor
> meget det vil hjælpe i det lange løb.
Skal jeg virkelig indrømme at jeg ikke kan se ind i fremtiden.
Men det er korrekt det kan jeg ikke og det er der jo ingen der kan.


> Dommedagsprofetier er nok en overdrivelse. Verden går ikke under blot
> fordi dit system ikke har en fremtid. Og bemærk at vi er kommet med
> saglige argumenter for vores forudsigelser.
Ja i forudsiger at systemet er ubrugeligt og ingen effekt overhovede vil
have.
og med mig jeg ved at det allerrede har haft effekt.
Allene det siger vel lidt om jeres saglighed.
I ville aldrig have forudsagt at den første måned det var i handlen ville
det afsløre alle de tyve der stjal en maskine med pc finde i.
Nå det ville jeg nu heller aldrig selv havde troet på.
Vi har været skide heldige, ok

> Kan du dokumentere et
> eneste område, hvor en foranstaltning der gjorde tyveri en anelse
> mere besværlig, har ført til et stort fald i det samlede antal
> tyverier.
Ja det kan jeg eller retter sagt det kan politiet og forsikringsselskaberne.
Røgkanoner, har helt tydelig vist at de sænker og forhindre tyveri i voldsom
grad.
Du kan selv slå det efter.

> > Ind til videre har systemet faktisk fuldt levet op til forventningerne.
> Det skal jo være kendt blandt tyvene før de begynder at tage deres
> forholdsregler.
Ja

> > Men det er rigtig, vi har kun haft det til salg i omkring en måned, så
> > statistik materialet er noget tyndbenet endnu.
>
> OK, så er vi da i det mindste enige om det.
Stort smil og hurra det er lykkedes mig at blive enig med en
Må jeg klippe dette afsnit ud og indramme ??? ))

> > Jeg har aldrig regnet med 100% opklarring,
>
> Måske ikke, men er det ikke stort set det, du har lovet?

Nej jeg husker tydeligt havd jeg har forventet, jeg har aldrig lovet noget.

> > ikke desto mindre er den faktisk
> > størrer, altså hvis jeg ser på antal stjålne computere og så det antal
> > pålitiet har kunnet konfiskere på baggrund af systemets afslørringer.
> > Bare hos en tyv fandt man 6 andre computere som blev konfiskeret som
> > stjålet, tyven havde dog kun stjålet en maskine med vores system i.
> > HE he nyt slogan (få stjålet en computer og få 7 tilbage)
> > De andre 6 maskiner var fra tyverier andre steder.

Se det er de faktiske forhold , ikke et løfte om fremtiden.

> Der er vel intet usædvanligt i, at finde tyvekoster fra flere tyverier
> når det endelig lykkes at finde tyven fra en enkelt sag. Det har sådan
> set intet at gøre med hvordan tyven blev afsløret.
Nej men det er stadig fakta at en tyv der havde stjålet bare en maskine med
systemet blev fanget med 6 stk derforuden i sin varetægt.
> > Hm. de burde nu sponserere os.
> Hvem?
Dem der nu får deres maskiner retur eller det forsikringsselskab der nu
sparer værdien af 6 computere.

> Det vil sige at det "produkt" i sælger for 500kr faktisk nærmere er et
> eksperiment end et endeligt brugbart produkt.
Det må du da gerne kalde det.
Eksperimentet går da ud på at gøre computertyveri til en sjælden
forbrydelse.
Så det er fint nok med mig.
Alle kan deltage i dette eksperiment blot ved at bruge systemet.

> Altså hvis en tyv stjæler en computer med PCfinder kan han
> risikere at blive afsløret, hvis en tyv stjæler en computer uden
> PCfinder kan han risikere at blive afsløret. Men så længe vi ikke
> kender sandsynligheden i de to tilfælde, kan vi intet bruge det
Ja det er jo noget vås for at sige det mildt.
Du kan jo bare se på de resultater vi allerrede har.

Alt andent lige vil sansynligheden jo være størrer, uanset hvor lille den
størrelse end måtte blive.
Selv om vi aldrig mere i al evighed finder en eneste maskine mere, så har vi
allerrede rokkt ved sansynligheden.da vi fandt den første.

> De behøves jo ikke blande sig, det ville være nok at lytte, det er
> skam mange gange blevet nævnt, hvad der skal gøres ved en computer
> med PCfinder så man undgår at blive afsløret.
Jeg har ikke set det nævnt endnu.


> Hvad vil du gøre når den overgangsperiode er gået. Får kunderne
> deres penge igen når produktet ikke mere kan bruges.
Nej de får deres computer tilbage hvis de bliver væk.
Har du ikke opdaget endnu at det er det det drejer sig om?

> > Og hvis tyvene som du siger lærer at slette deres spor, må vi jo bare
blive
> > bedere til at se de spor der er tilbage.
> Det kan dit system ikke hjælpe med.
Hvor ved du nu det fra så sikkert.

> > Men nu er det faktisk således at systemet er designet til nettop at
lægge et
> > spor.
> Ja et enkelt spor som er nemt at fjerne.
Ja det bliver du jo ved med at påstå.
Håber ikke det forbavser dig at jeg siger jeg er uenig heri

> Jeg mener det skam alvorligt. Jeg har mine computere for at bruge
> dem. Uden mit OS kan jeg ikke bruge dem.
Det kan du vel heller ikke hvis de er stjålet.

> Vel stoler jeg da på noget, bare ikke dig og dit produkt.
OK det er fær nok.

> Sagde du ikke, at den eneste grund til at ikke installere dit
> produkt skulle være, at man ved computeren er stjålet? Sådan
> lød det i hvert fald i din forrige posting.
Det håber jeg da ikke at jeg har sagt.

Men den eneste grund til at installere mit produkt, er at man kunne tænke
sig at fange tyven, og få sin computer tilbage hvis den er væk.
Og så ville det være godt for hele samfundet hvis man hjalp til med dette.
(Og for mig naturligvis)
Ja jeg kunne jo lige så godt selv skrive det.

> Du har givet løfter og leveret et produkt som ikke kunne leve
> op til det. Du har stillet kunderne noget i udsigt som de ikke
> fik.
Hvem er det lige jeg har brudt de løfter imod.
Forresten har jeg ikke givet nogen som helst løfter.

> > Men ja, den vil i hvertfald være faldende, det er nok desvære umuligt at
> > holde den på 100%
>
> Jeg tror det vil ende med, at opklaringsprocenten med og uden
> dit produkt er tilnærmelsesvis den samme.
Ja det er ok, men jeg vil altså arbejde på at den gerne skulle ændre sig i
positiv retning.

> > Jeg vil da ikke mistænkliggøre nogen folk, det er da noget vrøvl.
> > Men de eneste der måtte kunne sysntes, at det er en gru den dag, man
ikke
> > kan handle med tyvekoster mere, uden at blive afsløret, er sgu da kun
tyve
> > og hælere.
>
> Man kan sagtens handle med tyvekoster, man skal sørge for at
> tømme disken inden computeren vidresælges.
Ja det bliver du jo ved med at påstå, så jeg er nu rolig for om evt
krimineller lærer at omgå systemet her i denne NG
HM det kan vel egentlig kun være en fordel hvis jeg kunne få dem til at tro
på det.
> >
> > Computertyverier er altså en plage.
>
> Er det? Jeg har fået stjålet en computer en eneste gang, og det
> kom meget belejligt. Den var forsikret, og det var alligevel
> på tide med en opgradering.
Ja den holdning skal du vel have lov til at have.

Specielt når den ikke kan tåle man skifter OS

MVH






Kasper Dupont (07-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 07-12-02 22:16

"Bjarne Østergård" wrote:
>
> Skal jeg virkelig indrømme at jeg ikke kan se ind i fremtiden.
> Men det er korrekt det kan jeg ikke og det er der jo ingen der kan.

Alt vi har sagt er at tyvene vil lære af deres fejltagelser, det
mener jeg er et meget realistisk gæt.

Alt du har sagt er, at tyvene aldrig bliver klogere og altid vil
blive ved med at gå i din fælde, eller pludslig vil holde op med
at begå kriminalitet. Begge dele mener jeg er meget urealistiske
gæt.

>
> > Dommedagsprofetier er nok en overdrivelse. Verden går ikke under blot
> > fordi dit system ikke har en fremtid. Og bemærk at vi er kommet med
> > saglige argumenter for vores forudsigelser.
> Ja i forudsiger at systemet er ubrugeligt og ingen effekt overhovede vil
> have.

Ingen varrig effekt.

> og med mig jeg ved at det allerrede har haft effekt.

Det er et overgangsfænomen.

> Allene det siger vel lidt om jeres saglighed.

Hvis jeg var dig ville jeg passe på med at snakke om saglighed.
Du er jo ikke ligefrem berømt for at have det som din stærke
side.

> I ville aldrig have forudsagt at den første måned det var i handlen ville
> det afsløre alle de tyve der stjal en maskine med pc finde i.

Tilfældigheder, eller måske blot en af de sager der skal til
før de lærer det.

> Nå det ville jeg nu heller aldrig selv havde troet på.
> Vi har været skide heldige, ok

Ja.

>
> > Kan du dokumentere et
> > eneste område, hvor en foranstaltning der gjorde tyveri en anelse
> > mere besværlig, har ført til et stort fald i det samlede antal
> > tyverier.
> Ja det kan jeg eller retter sagt det kan politiet og forsikringsselskaberne.
> Røgkanoner, har helt tydelig vist at de sænker og forhindre tyveri i voldsom
> grad.
> Du kan selv slå det efter.

Kan du fortælle mig, hvor jeg finder dokumentation for
virkningen? Og kan du fortælle mig, hvordan en røgkanon
omgås.

> > > Hm. de burde nu sponserere os.
> > Hvem?
> Dem der nu får deres maskiner retur

Var der nogen af dem, der ikke var forsikret? Og de har
vel allerede betalt 500 kroner for produktet, hvorfor
skulle de betale mere. Og endeligt hvad fik de ud af det?
De har naturligvis haft en udgift på 500 kroner til
produktet. De fik deres maskine igen, men havde de ikke
fået det ville de i stedet have fået penge fra forsikringen
til en ny.

> eller det forsikringsselskab der nu
> sparer værdien af 6 computere.

Den mest oplagte måde et forsikringsselskab kan støtte dig
på er ved at give et afslag i præmien til de kunder, der
gør brug af dine foranstaltninger. Hvor meget afslag tror
du de er villige til at give en kunde der installerer dit
produkt?

Hvordan var det nu talene var? Var det 14 maskiner der var
blevet fundet, og 8000 eksemplarer af programmet der var i
brug? Hvis vi går ud fra, at de 14 maskiner har kostet i
gennemsnit 20.000kr er der altså 280.000kr at gøre godt med.
Fordel på 8000 eksemplarer er det altså 35 kroner per
eksemplar. Forsikringselskabet vil naturligvis ikke give
hele beløbet i afslag på forsikringssummen. Hvis ovenstående
er over en periode på 2-3 måneder kan der altså højst blive
til et afslag på 10kr/måned, hvilket jeg betragter som
meget optimistisk. Dermed tager det altså godt to år for en
køber af produktet at tjene det hjem igen, når der ses bort
fra forrentning. Det svarer vel ca. til computerens
afskrivningstid.

>
> > Det vil sige at det "produkt" i sælger for 500kr faktisk nærmere er et
> > eksperiment end et endeligt brugbart produkt.
> Det må du da gerne kalde det.
> Eksperimentet går da ud på at gøre computertyveri til en sjælden
> forbrydelse.
> Så det er fint nok med mig.
> Alle kan deltage i dette eksperiment blot ved at bruge systemet.
>
> > Altså hvis en tyv stjæler en computer med PCfinder kan han
> > risikere at blive afsløret, hvis en tyv stjæler en computer uden
> > PCfinder kan han risikere at blive afsløret. Men så længe vi ikke
> > kender sandsynligheden i de to tilfælde, kan vi intet bruge det
> Ja det er jo noget vås for at sige det mildt.
> Du kan jo bare se på de resultater vi allerrede har.

Hvad du har er for få computere til en statistik og siger
jo absolut intet om virkningen på langt sigt.

>
> Alt andent lige vil sansynligheden jo være størrer, uanset hvor lille den
> størrelse end måtte blive.

Ja. Men jeg tror bare forskellen er for lille til at det
kan betale sig at investere i produktet.

> Selv om vi aldrig mere i al evighed finder en eneste maskine mere, så har vi
> allerrede rokkt ved sansynligheden.da vi fandt den første.

Har du nogensinde fulgt et kursus i sandsynlighedsteori?

>
> > De behøves jo ikke blande sig, det ville være nok at lytte, det er
> > skam mange gange blevet nævnt, hvad der skal gøres ved en computer
> > med PCfinder så man undgår at blive afsløret.
> Jeg har ikke set det nævnt endnu.

Er du blind?

>
> > Hvad vil du gøre når den overgangsperiode er gået. Får kunderne
> > deres penge igen når produktet ikke mere kan bruges.
> Nej de får deres computer tilbage hvis de bliver væk.
> Har du ikke opdaget endnu at det er det det drejer sig om?

Erstater du computeren hvis den på trods af PC finder ikke
kan findes igen?

>
> > > Og hvis tyvene som du siger lærer at slette deres spor, må vi jo bare
> blive
> > > bedere til at se de spor der er tilbage.
> > Det kan dit system ikke hjælpe med.
> Hvor ved du nu det fra så sikkert.

ALTSÅ, du lægger et spor og tyven fjerner det straks igen.
Hvordan i alverden kan det nogensinde hjælpe politiet med
at finde alle de andre sport? Du må meget undskylde, men
jeg har altså ingen respekt for dine søforklaringer.

>
> > > Men nu er det faktisk således at systemet er designet til nettop at
> lægge et
> > > spor.
> > Ja et enkelt spor som er nemt at fjerne.
> Ja det bliver du jo ved med at påstå.

Ja.

> Håber ikke det forbavser dig at jeg siger jeg er uenig heri

Vi ved alle, hvor nemt det er at fjerne. Uanset hvor mange
gange du siger, du er uenig, ændrer det intet. Vi ved hvad
vi ved. Og din tro kan du gå andre stedder med. Det her
drejer sig nemlig ikke om tro men viden. Det forbløffer mig,
at du bliver ved med at holde fast på dine fejlagtiger
antagelser.

>
> > Jeg mener det skam alvorligt. Jeg har mine computere for at bruge
> > dem. Uden mit OS kan jeg ikke bruge dem.
> Det kan du vel heller ikke hvis de er stjålet.

Som tidligere nævnt har jeg kun én gang fået stjålet en
computer, og den var forsikret. Computertyverier er ikke
et problem for mig. Men det ville dit produkt være.

Altså jeg har brugt 2000 kroner på en ny computer, og
har dermed en computer jeg kan bruge til noget.

I stedet kunne jeg have brugt 2000 kroner på en ny
computer, 2-3000 kroner på et OS, 500 kroner på dit
produkt. I alt har jeg dermed givet 5000 kroner for en
maskine, der ikke kan bruges til noget.

>
> > Vel stoler jeg da på noget, bare ikke dig og dit produkt.
> OK det er fær nok.
>
> > Sagde du ikke, at den eneste grund til at ikke installere dit
> > produkt skulle være, at man ved computeren er stjålet? Sådan
> > lød det i hvert fald i din forrige posting.
> Det håber jeg da ikke at jeg har sagt.

Hvad var det så du mente med:

Jeg kan kun se en eneste årsag til det,
men det er nettop dem vi skal afsløre.

>
> Men den eneste grund til at installere mit produkt, er at man kunne tænke
> sig at fange tyven, og få sin computer tilbage hvis den er væk.

Ja.

> Og så ville det være godt for hele samfundet hvis man hjalp til med dette.
> (Og for mig naturligvis)

Ja, jeg tror det gavner dig mere, end det gavner
samfundet.

> Ja jeg kunne jo lige så godt selv skrive det.
>
> > Du har givet løfter og leveret et produkt som ikke kunne leve
> > op til det. Du har stillet kunderne noget i udsigt som de ikke
> > fik.
> Hvem er det lige jeg har brudt de løfter imod.
> Forresten har jeg ikke givet nogen som helst løfter.

Har du da ikke sagt, at dit produkt kan finde stjålne
computere?

>
> > > Men ja, den vil i hvertfald være faldende, det er nok desvære umuligt at
> > > holde den på 100%
> >
> > Jeg tror det vil ende med, at opklaringsprocenten med og uden
> > dit produkt er tilnærmelsesvis den samme.
> Ja det er ok, men jeg vil altså arbejde på at den gerne skulle ændre sig i
> positiv retning.

Hvad er dine planer?

>
> > > Jeg vil da ikke mistænkliggøre nogen folk, det er da noget vrøvl.
> > > Men de eneste der måtte kunne sysntes, at det er en gru den dag, man
> ikke
> > > kan handle med tyvekoster mere, uden at blive afsløret, er sgu da kun
> tyve
> > > og hælere.
> >
> > Man kan sagtens handle med tyvekoster, man skal sørge for at
> > tømme disken inden computeren vidresælges.
> Ja det bliver du jo ved med at påstå, så jeg er nu rolig for om evt
> krimineller lærer at omgå systemet her i denne NG
> HM det kan vel egentlig kun være en fordel hvis jeg kunne få dem til at tro
> på det.

Må jeg grine nu?

> > >
> > > Computertyverier er altså en plage.
> >
> > Er det? Jeg har fået stjålet en computer en eneste gang, og det
> > kom meget belejligt. Den var forsikret, og det var alligevel
> > på tide med en opgradering.
> Ja den holdning skal du vel have lov til at have.

Kan du nævne nogen grund til at man skulle have en
anden holdning? Det er vel netop pointen med at
forsikre sig mod tyveri.

>
> Specielt når den ikke kan tåle man skifter OS

Nu fandtes der altså kun et OS der kunne køre på
den pågældende computer. Og det er i øvrigt 9 år
siden, jeg har købt ny computer 3 gange siden.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Christian E. Lysel (08-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 08-12-02 13:44

Kasper Dupont wrote:
> Var der nogen af dem, der ikke var forsikret? Og de har
> vel allerede betalt 500 kroner for produktet, hvorfor
> skulle de betale mere. Og endeligt hvad fik de ud af det?
> De har naturligvis haft en udgift på 500 kroner til
> produktet. De fik deres maskine igen, men havde de ikke
> fået det ville de i stedet have fået penge fra forsikringen
> til en ny.

I den perfekte Bjarne verden, vil forsikringsselskaber så spare penge og
forsikringspræmierne ville derfor også falde, dermed spare alle penge.

> Hvordan var det nu talene var? Var det 14 maskiner der var
> blevet fundet, og 8000 eksemplarer af programmet der var i
> brug? Hvis vi går ud fra, at de 14 maskiner har kostet i
> gennemsnit 20.000kr er der altså 280.000kr at gøre godt med.
> Fordel på 8000 eksemplarer er det altså 35 kroner per

Du glemmer at produktet koster penge.

Jeg gætter på de 8000 eksemplarer i dag ville koste 450 kr/stk, ialt 3.6
millioner kr.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Kasper Dupont (08-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 08-12-02 22:55

"Christian E. Lysel" wrote:
>
> Kasper Dupont wrote:
> > Var der nogen af dem, der ikke var forsikret? Og de har
> > vel allerede betalt 500 kroner for produktet, hvorfor
> > skulle de betale mere. Og endeligt hvad fik de ud af det?
> > De har naturligvis haft en udgift på 500 kroner til
> > produktet. De fik deres maskine igen, men havde de ikke
> > fået det ville de i stedet have fået penge fra forsikringen
> > til en ny.
>
> I den perfekte Bjarne verden, vil forsikringsselskaber så spare penge og
> forsikringspræmierne ville derfor også falde, dermed spare alle penge.

Jeg ved ikke hvad det er for en verden, hvor folk foretager
investeringer som kan medvirke til, at alle andre sparer
penge. Det er ikke den verden jeg lever i.

>
> > Hvordan var det nu talene var? Var det 14 maskiner der var
> > blevet fundet, og 8000 eksemplarer af programmet der var i
> > brug? Hvis vi går ud fra, at de 14 maskiner har kostet i
> > gennemsnit 20.000kr er der altså 280.000kr at gøre godt med.
> > Fordel på 8000 eksemplarer er det altså 35 kroner per
>
> Du glemmer at produktet koster penge.

Nej det har jeg ikke glemt. Kunden skal naturligvis punge ud
med 500 kroner før han kan begynde at spare penge til
forsikringen. Og spørgsmålet er om man i dag vil give 500
kroner for et produkt som måske kan give en besparelse på
meget langt sigt.

>
> Jeg gætter på de 8000 eksemplarer i dag ville koste 450 kr/stk, ialt 3.6
> millioner kr.

Som sagt 500 kroner i Merlin. Og så skal der altså mange gange
35 kroner til for at dække den udgift.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Hvem er fjenden i Aalborg?

Bjarne Østergård (08-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 08-12-02 16:04


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DF2651C.3115D974@daimi.au.dk...
> "Bjarne Østergård" wrote:
> >
> > Skal jeg virkelig indrømme at jeg ikke kan se ind i fremtiden.
> > Men det er korrekt det kan jeg ikke og det er der jo ingen der kan.
>
> Alt vi har sagt er at tyvene vil lære af deres fejltagelser, det
> mener jeg er et meget realistisk gæt.
>
> Alt du har sagt er, at tyvene aldrig bliver klogere og altid vil
> blive ved med at gå i din fælde, eller pludslig vil holde op med
> at begå kriminalitet. Begge dele mener jeg er meget urealistiske
> gæt.
Jeg har aldrig hverken sagt aldrig eller altid, hvorfor bliver i ved med at
påstå det.

Selvfølgeligt vil nogle ikke gå i fælden og selvfølgelig vil nogle også lære
af deres fejltagelser.
Men nogle vil altså også gå i fælden, ja nogle har allerrede gjort det.

> > > Dommedagsprofetier er nok en overdrivelse. Verden går ikke under blot
> > > fordi dit system ikke har en fremtid. Og bemærk at vi er kommet med
> > > saglige argumenter for vores forudsigelser.
> > Ja i forudsiger at systemet er ubrugeligt og ingen effekt overhovede vil
> > have.
>
> Ingen varrig effekt.
Det vil da komme an på om folk vil tage systemet i brug eller de ikke vil.

> > og med mig jeg ved at det allerrede har haft effekt.
>
> Det er et overgangsfænomen.
Det kan du jo ikke vide en pind mere om end jeg kan.

> Hvis jeg var dig ville jeg passe på med at snakke om saglighed.
> Du er jo ikke ligefrem berømt for at have det som din stærke
> side.
Det ved du jo ikke noget om, med mindre du tager alt det der skrives her i
den ng, som den endegyldige sandhed på alt.
Og det tillader jeg mig nu at tvivle en del på er tilfældet.

> > I ville aldrig have forudsagt at den første måned det var i handlen
ville
> > det afsløre alle de tyve der stjal en maskine med pc finde i.
>
> Tilfældigheder, eller måske blot en af de sager der skal til
> før de lærer det.

Ja det må ihvertfald ikke have den simple årsag, at systemt simpelt hen har
virket efter hensigten, det er da tydligt nok.
Hvorfor er det så forfærdligt, at systemet simpelt hen bare har virket som
det skal og som det er designet til.

> Kan du fortælle mig, hvor jeg finder dokumentation for
> virkningen?
Forsikringsselskaberne og politiet
>Og kan du fortælle mig, hvordan en røgkanon
> omgås.
Nej kun konstatere at en maskine er blevet stjålet trods en røgkanon.
Går ud fra der ville have været stjålet flere, hvis røgkanonen ikke havde
været der.

> > > > Hm. de burde nu sponserere os.
> > > Hvem?
> > Dem der nu får deres maskiner retur
>
> Var der nogen af dem, der ikke var forsikret? Og de har
> vel allerede betalt 500 kroner for produktet,
Nej vi har skam skaffet mange flere maskiner frem i lyset end dem der er
stjålet med vores program på.

> hvorfor
> skulle de betale mere. Og endeligt hvad fik de ud af det?
> De har naturligvis haft en udgift på 500 kroner til
> produktet.
Nej for mange af de maskiner vi har været med til at finde tilhører folk der
aldrig har hørt om programmet, og derfor aldrig investeret en krone i
produktet.

>De fik deres maskine igen, men havde de ikke
> fået det ville de i stedet have fået penge fra forsikringen
> til en ny.
Ja forsikringen har da sparet ca. 250000, kr. den første måned produktet var
i handlen, ved jeg.
Det er vel ikke så ringe endda, måske endda du, kan få en lavere præmie
engang, pga. vores produkt, husk at sende mig et takke kort.


> Den mest oplagte måde et forsikringsselskab kan støtte dig
> på er ved at give et afslag i præmien til de kunder, der
> gør brug af dine foranstaltninger. Hvor meget afslag tror
> du de er villige til at give en kunde der installerer dit
> produkt?
Det forhandler vi med dem om, jeg håber at produktet bliver gratis og endda
giver brugeren en direkte netto fortjeneste at bruge selv uden tyveri.

> Hvordan var det nu talene var? Var det 14 maskiner der var
> blevet fundet, og 8000 eksemplarer af programmet der var i
> brug? Hvis vi går ud fra, at de 14 maskiner har kostet i
> gennemsnit 20.000kr er der altså 280.000kr at gøre godt med.
> Fordel på 8000 eksemplarer er det altså 35 kroner per
> eksemplar. Forsikringselskabet vil naturligvis ikke give
> hele beløbet i afslag på forsikringssummen. Hvis ovenstående
> er over en periode på 2-3 måneder kan der altså højst blive
> til et afslag på 10kr/måned, hvilket jeg betragter som
> meget optimistisk. Dermed tager det altså godt to år for en
> køber af produktet at tjene det hjem igen, når der ses bort
> fra forrentning. Det svarer vel ca. til computerens
> afskrivningstid.
Tjah dine beregninger er lige så gode som mine vil jeg tro.

> > Alt andent lige vil sansynligheden jo være størrer, uanset hvor lille
den
> > størrelse end måtte blive.
>
> Ja. Men jeg tror bare forskellen er for lille til at det
> kan betale sig at investere i produktet.
Det bliver jo mit job det næste år eller 2 at modbevise det.
og det vil gøre simpelt hen ved at dokumenter et fald i computertyveri.

> > Selv om vi aldrig mere i al evighed finder en eneste maskine mere, så
har vi
> > allerrede rokkt ved sansynligheden.da vi fandt den første.
>
> Har du nogensinde fulgt et kursus i sandsynlighedsteori?
Kun dem jeg selv underviser i

> Er du blind?
Nej

> > > Hvad vil du gøre når den overgangsperiode er gået. Får kunderne
> > > deres penge igen når produktet ikke mere kan bruges.
> > Nej de får deres computer tilbage hvis de bliver væk.
> > Har du ikke opdaget endnu at det er det det drejer sig om?
>
> Erstater du computeren hvis den på trods af PC finder ikke
> kan findes igen?
Nej men måske jeg skulle overveje det.
Det ser jo ud til at jeg allerrede så vil have overskud, for jeg skulle vel
så retfærdigvis også have værdien af dem jeg finder derudover.

> ALTSÅ, du lægger et spor og tyven fjerner det straks igen.
> Hvordan i alverden kan det nogensinde hjælpe politiet med
> at finde alle de andre sport? Du må meget undskylde, men
> jeg har altså ingen respekt for dine søforklaringer.
Du behøver ikke undskyled det,
Tyven kan ikke slette de spor som systemt opretter, så simpel er det.

> Vi ved alle, hvor nemt det er at fjerne.
Nej i tror i ved det.
Det er endnu aldrig lykkedes nogen at kunne fjerne nogen spor endnu. så lad
det lige ske først før i påstår at det ligefremt er nemt.

> Uanset hvor mange
> gange du siger, du er uenig, ændrer det intet.
Nej det ændre intet sådan er det bare.


>Vi ved hvad
> vi ved. Og din tro kan du gå andre stedder med. Det her
> drejer sig nemlig ikke om tro men viden.
Ok så slet lige sporene fra bare en af de computere vi har i registret, og
bevis din påstand om hvor let det er.
Det kan du jo ikke vel??
Og vil du nemmere kunne det hvis du er en tyv?
Nej vel?

Nå men prøv nu lad mig se din viden om hvor nemt det er udført i praksis, så
vi alle kan se at det ikke bare er tom snak du kommer med.
For det er vel ikke bare tom snak du kommer med vel ?

> Det forbløffer mig,
> at du bliver ved med at holde fast på dine fejlagtiger
> antagelser.
Jeg syntes nu det er på tide at i du beviser at du kan fjerne de spor, jeg
kan bevise at jeg har fanget en tyv ud fra de sopr, så bevis nu at du kan
slette den tyvs spor, han vil være dig evig taknemmelig vil jeg tro.

Jeg syntes altså at du nu må til at bevis det du påstår, jeg har dog bevist
det jeg påstår kan lade sig gøre.
Altså er det ikke bare påstande.

Hvis du ikke kan slette tyvens spor i vores system, nemt endda er det jo kun
vrøvl du er kommet med ind til nu.
Det er vi vel enige om.

> > > Sagde du ikke, at den eneste grund til at ikke installere dit
> > > produkt skulle være, at man ved computeren er stjålet? Sådan
> > > lød det i hvert fald i din forrige posting.
> > Det håber jeg da ikke at jeg har sagt.
>
> Hvad var det så du mente med:
> Jeg kan kun se en eneste årsag til det,
> men det er nettop dem vi skal afsløre.
Det var den udtalelse om at det ville være en gru hvis systemt ville virke,
jeg kommenterede på.
Læs nu indlægene før du kommenterer dem.

> Ja, jeg tror det gavner dig mere, end det gavner
> samfundet.
jeg troede at du mentet at tro skulle man gå andre steder med her drejer det
sig om viden.
Det skrev du da.

Men du har ret, jeg ville da være stolt hvis mit system kan være med til at
dæmpe tyverier og indbrud.
Og jeg ved at det også vil gavne et hvert samfund at blive af med dette
uvæsen.
Koste alle en masse tid ærgelser og penge.

> > Forresten har jeg ikke givet nogen som helst løfter.
>
> Har du da ikke sagt, at dit produkt kan finde stjålne
> computere?
Jo men det har det jo også gjort.
Jeg har dog aldrig sagt at det kunne finde dem alle.
Så jeg kan da ikke sen noget løftebrud i det.

> > Ja det er ok, men jeg vil altså arbejde på at den gerne skulle ændre sig
i
> > positiv retning.
>
> Hvad er dine planer?
Tjah det afhænger jo af om du kan bevise din påstand om at sporene systemet
laver er så nemme at fjerne som du jo påstår at du ved de er.
Men jeg regner nu med at du ikke kan fjernne så meget som et komma af de
spor.
Så mine planer er uændret

Mine planer er at få systemet så udbredt og gjort så kendt, at ingen gidder
tage rissikoen ved at købe stjålne computere.
Og dermed gøre dette marked total uintressant for forbryderen.
Ressultatet heraf er vel logiske, hvem vil stjæle produkter der ikke kan
afsættes.
Allermest håber jeg på at være med til en generel holdningsændring omkrin
det at købe stjålne effekter.
Jeg vil kort og godt gerne være med til at det ændres således at tyveri
generelt er en dårlig forretning.
også for al anden tyveri end nettop computere.

For hver stjålen effekt er der næsten også en hæler.


> Må jeg grine nu?

Ja da, så kan vi grine sammen.
Jeg sidder da også griner af alle dine påstande om hvor nemt det er at
slette tyvens spor.
Da jeg jo ved at du ikke kan slette et eneste.
Men jeg ser da med spænding frem til at du sletter nogle spor, det er jo så
nemt siger du.
Jeg må vel gå ud fra at du mindst er lige så stor ekspert som man må
forvente at tyven er.

Så slet nu de spor, og få også, når du nu er igang lavet nogle falske
efterlysninger, kort sagt bevis nu hvor nemt det er.

Hvis ikke må du jo æde dine påstande i dig igen. ikke?

> > > > Computertyverier er altså en plage.
> > >
> > > Er det? Jeg har fået stjålet en computer en eneste gang, og det
> > > kom meget belejligt. Den var forsikret, og det var alligevel
> > > på tide med en opgradering.
> > Ja den holdning skal du vel have lov til at have.
>
> Kan du nævne nogen grund til at man skulle have en
> anden holdning? Det er vel netop pointen med at
> forsikre sig mod tyveri.
Ja jeg forstår, da din holdning nu.
Det ville da også være træls for dig, hvis ingen kunne slippe afsted med at
stjæle din computer, når du nu trængte til at få en ny, så du kunne få dinne
medmennesker til at betale den for dig.
Kort og godt, du er altså træt af, selv at skulle til at betale for dinne
nyanskaffelser.
Jo jo, jeg forstår skam din holdning.

> > Specielt når den ikke kan tåle man skifter OS

>> Nu fandtes der altså kun et OS der kunne køre på
> den pågældende computer. Og det er i øvrigt 9 år
> siden, jeg har købt ny computer 3 gange siden.

Ja så er det da klart at andre nu bør betale for dine nyanskaffelser.

Har du virkelig selv måttet betale for dinen computere i al den tid, hvor er
verden dog ond.
Hulk

MVH
Bjarne








Brian R. Jensen (08-12-2002)
Kommentar
Fra : Brian R. Jensen


Dato : 08-12-02 22:42


"Bjarne Østergård" <boe@ydicon.dk> skrev i en meddelelse
news:3df36216$1$228$edfadb0f@dread16.news.tele.dk...
> Ok så slet lige sporene fra bare en af de computere vi har i registret, og
> bevis din påstand om hvor let det er.
> Det kan du jo ikke vel??
> Og vil du nemmere kunne det hvis du er en tyv?
> Nej vel?
>
> Nå men prøv nu lad mig se din viden om hvor nemt det er udført i praksis,

> vi alle kan se at det ikke bare er tom snak du kommer med.
> For det er vel ikke bare tom snak du kommer med vel ?

Bjarne, der bliver lavet mange af disse test, check og "beviser" hver dag og
alle sammen på baggrund af en skriftlig aftale mellem parterne, tro ikke at
du får nogen til at udføre et angreb mod din database blot på baggrund af
dit indlæg i en nyhedsgruppe.

Men hvis du virkelig har givet dig tid til at læse om, eksempelvis,SQL
Injection (jeg går ud fra at det er på grund af læseriet du ikke har svaret
mig andetsteds endnu) så har du også en idé om hvordan der kan rettes i en
SQL-database der kan skrives i via en webside, og det kan din jo, ikk'?
Derudover har du også fået vist af en anden debattør her, hvor let det er at
ændre dine sider, og dermed dine data.

Så stop nu den jammelige diskusion.

Det er fint at du har lavet et program der kan registrere sig i en database,
og det er også fint at programmet selv kan se om dataene stadig er dér hvis
en stjålen PC går på nettet. Men det du påstår er at når blot dataene er i
databasen, så vil en stjålenPC blive afsløret hvis den går på nettet - det
er ikke rigtigt. Det gælder kun hvis dit program stadig er installeret eller
hvis den nye "ejer" checker hardwaren mod din database.

Selvfølgelig under forudsætning af at den retmæssige ejer har fundet frem
til hjemmesiden og meldt sit udstyr stjålet.

Hvis ingen af de ting sker, så har du blot en mængde data liggende på en
mere eller mindre sikker server.

/Brian



Kasper Dupont (08-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 08-12-02 23:56

"Bjarne Østergård" wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:3DF2651C.3115D974@daimi.au.dk...
>
> > Hvis jeg var dig ville jeg passe på med at snakke om saglighed.
> > Du er jo ikke ligefrem berømt for at have det som din stærke
> > side.
> Det ved du jo ikke noget om, med mindre du tager alt det der skrives her i
> den ng, som den endegyldige sandhed på alt.

Det tror jeg bestemt ikke. Jeg vurderer hvad jeg finder troværdigt
og hvad jeg ikke finder troværdigt. Dine postings falder typisk i
den sidste gruppe.

> Og det tillader jeg mig nu at tvivle en del på er tilfældet.

Jeg er sikker på, at ikke alt skrevet i denne gruppe er sandt. Men
nogle postings er mere troværdige end andre.

>
> > > I ville aldrig have forudsagt at den første måned det var i handlen
> ville
> > > det afsløre alle de tyve der stjal en maskine med pc finde i.
> >
> > Tilfældigheder, eller måske blot en af de sager der skal til
> > før de lærer det.
>
> Ja det må ihvertfald ikke have den simple årsag, at systemt simpelt hen har
> virket efter hensigten, det er da tydligt nok.
> Hvorfor er det så forfærdligt, at systemet simpelt hen bare har virket som
> det skal og som det er designet til.

Jeg siger ikke det er forfærdeligt. Jeg siger det er heldigt for
dig. Og selvfølgelig også heldigt for det forsikringselskab, der
sparede lidt penge. Men jeg tvivler på at det vil gøre nogen
synlig forskel i deres årsregnskab.

>
> > Kan du fortælle mig, hvor jeg finder dokumentation for
> > virkningen?
> Forsikringsselskaberne og politiet

Hvis du tror jeg gider bruge tid på at finde dokumentationen, så
tager du fejl. Du er nødt til at gøre det nemmere endnu.

> >Og kan du fortælle mig, hvordan en røgkanon
> > omgås.
> Nej

Det var dig, der sammenlignede dit produkt med en røgkanon. Her
har vi allerede en væsentlig forskel. Jeg ved, hvordan dit produkt
kan omgås. Jeg ved ikke, hvordan en røgkanon kan omgås. Og det ved
du heller ikke. Altså er det en dårlig sammenligning. Har du et
bedre eksempel på en foranstaltning, der nemt kan omgås men alligevel
har ført til et faldende antal tyverier?

> kun konstatere at en maskine er blevet stjålet trods en røgkanon.
> Går ud fra der ville have været stjålet flere, hvis røgkanonen ikke havde
> været der.

Hvilket blot slår min pointe endnu mere fast. Jeg ved ikke, hvordan
en røgkanon kan omgås. Du ved ikke, hvordan en røgkanon kan omgås.
Og tyven ved ikke, hvordan en røgkanon kan omgås. Den er måske ikke
så nem at omgå som dit produkt.

>
> > > > > Hm. de burde nu sponserere os.
> > > > Hvem?
> > > Dem der nu får deres maskiner retur
> >
> > Var der nogen af dem, der ikke var forsikret? Og de har
> > vel allerede betalt 500 kroner for produktet,
> Nej vi har skam skaffet mange flere maskiner frem i lyset end dem der er
> stjålet med vores program på.

Det var ikke et svar på mine spørgsmål.

>
> > hvorfor
> > skulle de betale mere. Og endeligt hvad fik de ud af det?
> > De har naturligvis haft en udgift på 500 kroner til
> > produktet.
> Nej for mange af de maskiner vi har været med til at finde tilhører folk der
> aldrig har hørt om programmet, og derfor aldrig investeret en krone i
> produktet.
>
> >De fik deres maskine igen, men havde de ikke
> > fået det ville de i stedet have fået penge fra forsikringen
> > til en ny.
> Ja forsikringen har da sparet ca. 250000, kr. den første måned produktet var
> i handlen, ved jeg.

Men det er jo småting i sammenligning med det beløb du angiveligt
har solgt for. Der er altså endnu intet, der tyder på at resultatet
står mål med investeringen.

> Det er vel ikke så ringe endda, måske endda du, kan få en lavere præmie
> engang, pga. vores produkt, husk at sende mig et takke kort.

Mon dog, hvis pengene skal fordeles på alle, der har en forsikring
mod tyveri, bliver der ikke mange ører til hver. Jeg kan vel knap
nok få en 25 øre.

> >
> > Har du nogensinde fulgt et kursus i sandsynlighedsteori?
> Kun dem jeg selv underviser i

OK så lad os lige få repeteret definitionen af sandsynlighed, for
jeg tror du har glemt den.

>
> > Er du blind?
> Nej

Hvordan kan du så påstå, at du ikke har set hvordan dit produkt
kan omgås. Der er blevet skrevet i denne gruppe MANGE gange.

>
> > > > Hvad vil du gøre når den overgangsperiode er gået. Får kunderne
> > > > deres penge igen når produktet ikke mere kan bruges.
> > > Nej de får deres computer tilbage hvis de bliver væk.
> > > Har du ikke opdaget endnu at det er det det drejer sig om?
> >
> > Erstater du computeren hvis den på trods af PC finder ikke
> > kan findes igen?
> Nej men måske jeg skulle overveje det.

Gør det endelig. Hvis du tør. Så vil dit produkt jo straks
være meget mere interesant. Hvis man ellers tør stole på, at
du ikke går konkurs.

> Det ser jo ud til at jeg allerrede så vil have overskud, for jeg skulle vel
> så retfærdigvis også have værdien af dem jeg finder derudover.

Det tror ikke du finder hjemmel for i loven.

>
> > ALTSÅ, du lægger et spor og tyven fjerner det straks igen.
> > Hvordan i alverden kan det nogensinde hjælpe politiet med
> > at finde alle de andre sport? Du må meget undskylde, men
> > jeg har altså ingen respekt for dine søforklaringer.
> Du behøver ikke undskyled det,
> Tyven kan ikke slette de spor som systemt opretter, så simpel er det.

Sporene ligger på den stjålne computer eller lægges af den
stjålne computer efter tyveriet. Tyven kan altså nemt slette
dem eller forhindre dem i at blive lagt.

>
> > Vi ved alle, hvor nemt det er at fjerne.
> Nej i tror i ved det.

Jeg ved hvordan en harddisk kan slettes. Du tror du kan forhindre
mig i det. Du tager fejl.

> Det er endnu aldrig lykkedes nogen at kunne fjerne nogen spor endnu.

Der er vel ingen der har prøvet endnu.

> så lad
> det lige ske først før i påstår at det ligefremt er nemt.

Du er jo tidligere blevet foreslået at stille computere til
rådighed for os, så kan vi demonstrere det.

>
> >Vi ved hvad
> > vi ved. Og din tro kan du gå andre stedder med. Det her
> > drejer sig nemlig ikke om tro men viden.
> Ok så slet lige sporene fra bare en af de computere vi har i registret, og
> bevis din påstand om hvor let det er.

Det kan jeg ikke af den simple grund, at jeg ikke har stjålet
nogen af de pågældende computere.

> Det kan du jo ikke vel??

Nej, for jeg har ikke stjålet nogen af computeren.

> Og vil du nemmere kunne det hvis du er en tyv?

Ja, det ville være nemmere at gøre, hvis jeg var en tyv.
For det første skridt er jo netop at stjæle en af computerne.

> Nej vel?

Jo.

>
> Nå men prøv nu lad mig se din viden om hvor nemt det er udført i praksis, så
> vi alle kan se at det ikke bare er tom snak du kommer med.

Giv mig en computer med PCfinder, så skal jeg demonstrere.

> For det er vel ikke bare tom snak du kommer med vel ?

Nej bestemt ikke.

>
> > Det forbløffer mig,
> > at du bliver ved med at holde fast på dine fejlagtiger
> > antagelser.
> Jeg syntes nu det er på tide at i du beviser at du kan fjerne de spor, jeg
> kan bevise at jeg har fanget en tyv ud fra de sopr, så bevis nu at du kan
> slette den tyvs spor, han vil være dig evig taknemmelig vil jeg tro.

Der er endnu ingen tyv, der har bedt mig om hjælp til at
slette sporene.

>
> Jeg syntes altså at du nu må til at bevis det du påstår, jeg har dog bevist
> det jeg påstår kan lade sig gøre.
> Altså er det ikke bare påstande.

Dine påstande går ikke på, at noget kan lade sig gøre. Dine
påstande går på, at noget ikke kan lade sig gøre. Du har
påstået, at det ikke kan lade sig gøre at slette dit program.

>
> Hvis du ikke kan slette tyvens spor i vores system, nemt endda er det jo kun
> vrøvl du er kommet med ind til nu.
> Det er vi vel enige om.

Nej. Jeg snakker ikke om at slette spor i jeres system. Jeg
snakker om at slette spor fra en computer inden den kommer
i kontakt med jeres system.

>
>
> > > > Sagde du ikke, at den eneste grund til at ikke installere dit
> > > > produkt skulle være, at man ved computeren er stjålet? Sådan
> > > > lød det i hvert fald i din forrige posting.
> > > Det håber jeg da ikke at jeg har sagt.
> >
> > Hvad var det så du mente med:
> > Jeg kan kun se en eneste årsag til det,
> > men det er nettop dem vi skal afsløre.
> Det var den udtalelse om at det ville være en gru hvis systemt ville virke,
> jeg kommenterede på.
> Læs nu indlægene før du kommenterer dem.

Det gør jeg skam altid. Men du snakker altså til tider i tåger.
Faktisk laver du så mange fejl i dine postings, at man er næsten
altid er nødt til at gætte sig en lille smule frem. Her tænker
jeg mest på tastefejl og sætninger hvor du glemmer et enkelt
eller to ord. Så mit råd til dig, hvis du gerne vil forstås bedre
er, at læse indlægene før du SENDER dem.

>
> > Ja, jeg tror det gavner dig mere, end det gavner
> > samfundet.
> jeg troede at du mentet at tro skulle man gå andre steder med her drejer det
> sig om viden.
> Det skrev du da.

Ingen ved alt. Men jeg påstår da i det mindste ikke at vide mere
end jeg har belæg for. Når du tror et, men jeg ved noget andet,
så giver jeg intet for din tro.

>
> Men du har ret, jeg ville da være stolt hvis mit system kan være med til at
> dæmpe tyverier og indbrud.
> Og jeg ved at det også vil gavne et hvert samfund at blive af med dette
> uvæsen.
> Koste alle en masse tid ærgelser og penge.

Ja, ja, vi er enige om målet. Men midlet er straks en anden sag.
Dit program er ikke vejen til målet.

>
> > > Forresten har jeg ikke givet nogen som helst løfter.
> >
> > Har du da ikke sagt, at dit produkt kan finde stjålne
> > computere?
> Jo men det har det jo også gjort.
> Jeg har dog aldrig sagt at det kunne finde dem alle.

Har du ikke sagt til dine kunder, et netop deres computer vil
blive fundet, hvis den bliver stjålet?

> Så jeg kan da ikke sen noget løftebrud i det.
>
> > > Ja det er ok, men jeg vil altså arbejde på at den gerne skulle ændre sig
> i
> > > positiv retning.
> >
> > Hvad er dine planer?
> Tjah det afhænger jo af om du kan bevise din påstand om at sporene systemet
> laver er så nemme at fjerne som du jo påstår at du ved de er.

Det er de. Hvad gør du når tyvene opdager det?

> Men jeg regner nu med at du ikke kan fjernne så meget som et komma af de
> spor.
> Så mine planer er uændret
>
> Mine planer er at få systemet så udbredt og gjort så kendt, at ingen gidder
> tage rissikoen ved at købe stjålne computere.
> Og dermed gøre dette marked total uintressant for forbryderen.
> Ressultatet heraf er vel logiske, hvem vil stjæle produkter der ikke kan
> afsættes.

Jeg kan jo passende lave en diskette/CD som jeg kan sælge
til køberne/tyvene. På papiret skal formålet naturligvis være
noget helt andet. Jeg har da tidligere lavet en diskette, der
når den blev sat i computeren ved opstart straks slettede
harddisken og dernæst installerede Linux fra en webserver. Og
det havde intet at gøre med stjålne computere, men disketten
kunne sikkert også bruges til det.

> Allermest håber jeg på at være med til en generel holdningsændring omkrin
> det at købe stjålne effekter.

Der skal helt andre midler til at opnå den ønskede
holdingsændring. Folk skal ikke holde sig fra tyvekoster
fordi de måske kan spores, men derimod fordi deres moral
forbuder dem at stjæle eller købe tyvekoster.


> Jeg vil kort og godt gerne være med til at det ændres således at tyveri
> generelt er en dårlig forretning.

Tyvene kan ændre deres forretning. Der vil sikkert begynde
at cirkulere CDer der med et snuptag kan reinstallere en
computer.

> også for al anden tyveri end nettop computere.
>
> For hver stjålen effekt er der næsten også en hæler.
>
> > Må jeg grine nu?
>
> Ja da, så kan vi grine sammen.
> Jeg sidder da også griner af alle dine påstande om hvor nemt det er at
> slette tyvens spor.
> Da jeg jo ved at du ikke kan slette et eneste.
> Men jeg ser da med spænding frem til at du sletter nogle spor, det er jo så
> nemt siger du.
> Jeg må vel gå ud fra at du mindst er lige så stor ekspert som man må
> forvente at tyven er.
>
> Så slet nu de spor, og få også, når du nu er igang lavet nogle falske
> efterlysninger, kort sagt bevis nu hvor nemt det er.

Jeg har sagt det før, og jeg skal gerne sige det igen.

Jeg VIL IKKE begå kriminalitet for at bevise, at du
tager fejl.

>
> Hvis ikke må du jo æde dine påstande i dig igen. ikke?

Nej.

>
> > > > > Computertyverier er altså en plage.
> > > >
> > > > Er det? Jeg har fået stjålet en computer en eneste gang, og det
> > > > kom meget belejligt. Den var forsikret, og det var alligevel
> > > > på tide med en opgradering.
> > > Ja den holdning skal du vel have lov til at have.
> >
> > Kan du nævne nogen grund til at man skulle have en
> > anden holdning? Det er vel netop pointen med at
> > forsikre sig mod tyveri.
> Ja jeg forstår, da din holdning nu.
> Det ville da også være træls for dig, hvis ingen kunne slippe afsted med at
> stjæle din computer, når du nu trængte til at få en ny, så du kunne få dinne
> medmennesker til at betale den for dig.

Sikke da noget sludder. Jeg havde bestemt ikke noget
ønske om at få stjålet min computer. Og jeg gjorde
heller ikke noget for at få den stjålet, det var sådan
set ikke noget jeg havde planlagt. Og jeg havde da
helst været foruden.

Men det ville ikke have gavnet mig, at computeren var
blevet fundet, bortset fra at jeg måske ikke skulle
have undværet en computer i en hel måned.

> Kort og godt, du er altså træt af, selv at skulle til at betale for dinne
> nyanskaffelser.

Sikke da noget sludder. Jeg betaler da gerne for mine
nyanskaffelser. Men jeg tror da alle vil være
irriteret over at selv skulle betale for en ny computer,
når den gamle er blevet stjålet.

> Jo jo, jeg forstår skam din holdning.

Ja det påstår du, men du forvansker den da mere end man
nogensinde kunne have forestillet sig.

Kom, lad os alle sammen opsige vores forsikringer. For
tænk nu hvis vi skulle være ude for et tyveri og få
penge fra forsikringsselskabet. Det ville da være syndt
for forsikringsselskabet, da kan vi bestemt ikke være
bekendt. Så opsig dine forsikringer før det er for sent.

>
> > > Specielt når den ikke kan tåle man skifter OS
>
> >> Nu fandtes der altså kun et OS der kunne køre på
> > den pågældende computer. Og det er i øvrigt 9 år
> > siden, jeg har købt ny computer 3 gange siden.
>
> Ja så er det da klart at andre nu bør betale for dine nyanskaffelser.

Ingen kommentar.

>
> Har du virkelig selv måttet betale for dinen computere i al den tid, hvor er
> verden dog ond.
> Hulk

Hold da *KÆFT* hvor er du langt ude.

*PLONK*

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Hvem er fjenden i Aalborg?

Martin Østerberg (05-12-2002)
Kommentar
Fra : Martin Østerberg


Dato : 05-12-02 00:01

On Wed, 4 Dec 2002 18:18:25 +0100 skrev "Bjarne Østergård" <boe@ydicon.dk> .


>> > Bjarne finder dog den mest realistiske test useriøs.
>
>> Ja. Og de tests han har lavet i stedet lyder for mig som meget
>> useriøse.
>Til din orientering kan jeg oplyse at vi nu ikke tester mere, nu gør vi det
>bare, og det der ude, i den virkelige onde verden.
>Mere realistisk kan det vist ikke blive.
>
>Men måske du kan udtænke mere realistiske tests en virkeligheden.
>
>Den sidste test vi lavede var at udsende 1000 stk cdér gratis, til
>virksomheder og private, til tests
>
>De er altså testet i den virkelige (virkelige verden) og ikke i en tænkt
>virkelig verden.
>
>Tør du virkelig kalde det for en useriøs test.

Ja, jeg ville ikke tøve et sekund med at kalde det useriøst. Dokumenter jeg
tager fejl.

>Vi udloddede også 4 weekendophold for to personer, for dem der gad at
>udfylde et spørgeskema og give kritik af systemet.

Useriøst...

>Er det useriøst at lave en brugertest på 1000 virkelige brugere.

Nej, men useriøst når resultatet ikke offentliggøres.

>Vi har fanget rigtige tyve, og haft hele systemet igennem en prøvesag ved
>rigtige domstolene og det rigtige politiet.
>Er det useriøst?.

Ja, jeg ville ikke tøve et sekund med at kalde det useriøst. Dokumenter jeg
tager fejl.

Martin

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 00:41

"Martin Østerberg" <dev_null@trashcan.dk> skrev i en meddelelse
news:KOvH9.58714$HU.3963936@news010.worldonline.dk...
> On Wed, 4 Dec 2002 18:18:25 +0100 skrev "Bjarne Østergård" <boe@ydicon.dk>
..

> Ja, jeg ville ikke tøve et sekund med at kalde det useriøst. Dokumenter
jeg
> tager fejl.
Vil vist være spildtid, når du ikke kan tage resultater fra den virkelige
verden som dokumentation.

Og ellers er det her jo en diskutions gruppe, og ikke en retsal, så
dokkumentationen må du selv skaffe dig hvis du vil have den.

Mvh





Thomas (03-12-2002)
Kommentar
Fra : Thomas


Dato : 03-12-02 23:37

Bjarne Østergård wrote:
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:3DECCA59.9F3D8736@daimi.au.dk...
>>
>> Du burde efterhånden være klar over, at dit produkt sagtens
>> kan omgås.
> Ja men det vil jeg så tro på første gang det sker, men det er ikke sket
> endnu, så jeg holder fanen højt.

Hvordan kan du være sikker på at det ikke er sket endnu ?

--
Don't waste space

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 18:53


"Thomas" <inthenews@corell.dk> skrev i en meddelelse
news:slrnauqcfq.flp.inthenews@mail.corell.dk...
> Bjarne Østergård wrote:
> > "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> > news:3DECCA59.9F3D8736@daimi.au.dk...
> >>
> >> Du burde efterhånden være klar over, at dit produkt sagtens
> >> kan omgås.
> > Ja men det vil jeg så tro på første gang det sker, men det er ikke sket
> > endnu, så jeg holder fanen højt.
>
> Hvordan kan du være sikker på at det ikke er sket endnu ?
Det er meget simpelt
Vi har skam et kunderegister og ved hvem der har systemet.

Ialt har vores kunder mistet 14 computere ved indbrud og vi har afsløret dem
alle.

Vi har endnu ikke haft en kunde der har anmeldt et indbrud hvor vi ikke har
fundet gerningsmanden.

Og man kan ikke installre systemet uden at vi registrere det i
alarmcentralen.

Derfor er jeg sikker på at det ikke er sket endnu.


MVH





Kasper Dupont (04-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 04-12-02 21:28

"Bjarne Østergård" wrote:
>
> "Thomas" <inthenews@corell.dk> skrev i en meddelelse
> news:slrnauqcfq.flp.inthenews@mail.corell.dk...
> > Bjarne Østergård wrote:
> > > "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> > > news:3DECCA59.9F3D8736@daimi.au.dk...
> > >>
> > >> Du burde efterhånden være klar over, at dit produkt sagtens
> > >> kan omgås.
> > > Ja men det vil jeg så tro på første gang det sker, men det er ikke sket
> > > endnu, så jeg holder fanen højt.
> >
> > Hvordan kan du være sikker på at det ikke er sket endnu ?
> Det er meget simpelt
> Vi har skam et kunderegister og ved hvem der har systemet.
>
> Ialt har vores kunder mistet 14 computere ved indbrud og vi har afsløret dem
> alle.

Det er ikke antallet af computere, der er interesant. Det er
antallet af urelaterede sager, hvilket nødvendigvis må være
lavere. Og under alle omstændigheder er 14 allerede for lavt
til at udgøre nogen fornuftig statistik. Hvad dokumentation
har du for, at disse sager ikke kunne være opklaret uden din
hjælp.

>
> Vi har endnu ikke haft en kunde der har anmeldt et indbrud hvor vi ikke har
> fundet gerningsmanden.

Ud af hvor mange anmeldelser.

>
> Og man kan ikke installre systemet uden at vi registrere det i
> alarmcentralen.

OK, så lad os da bare tro på det. (Det ville være teknisk
muligt, omend jeg har tvivl på at du ville være i stand til
at implementere det.) Men da ingen kunde kunne have interesse
i at installere produktet uden at registrere sig, er det
også ligegyldigt.

>
> Derfor er jeg sikker på at det ikke er sket endnu.

Det kan da godt være, at der er blevet stjålet en computer,
hvor ejeren på forhånd har opgivet af få nogen hjælp af dig.
Men på den anden side, hvorfor skulle han så overhovedet
have installeret produktet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Brian R. Jensen (04-12-2002)
Kommentar
Fra : Brian R. Jensen


Dato : 04-12-02 23:01


"Bjarne Østergård" <boe@ydicon.dk> skrev i en meddelelse
news:3dee40d5$1$224$edfadb0f@dread16.news.tele.dk...
> Og man kan ikke installre systemet uden at vi registrere det i
> alarmcentralen.

Det er en lidt flot påstand, mangler du ikke at forudsætte at maskinen
kommer på internettet?

Vil dit alarmsystem også registrere hvis jeg installere det på min datters
PC uden internetadgang? Jeg tvivler.

/Brian



Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 00:02

"Brian R. Jensen" <brjensen@mail.tele.dk> skrev i en meddelelse
news:asltvf$qhe$1@sunsite.dk...
>
> "Bjarne Østergård" <boe@ydicon.dk> skrev i en meddelelse
> news:3dee40d5$1$224$edfadb0f@dread16.news.tele.dk...
> > Og man kan ikke installre systemet uden at vi registrere det i
> > alarmcentralen.
>
> Det er en lidt flot påstand, mangler du ikke at forudsætte at maskinen
> kommer på internettet?
>
> Vil dit alarmsystem også registrere hvis jeg installere det på min datters
> PC uden internetadgang? Jeg tvivler.

Både ja og nej, du kan godt sikre din datters computer selv om den ikke er
på internettet, men du kan ikke installere programmet uden at den er online
under installationen.
Programmet kan simpelt hen ikke installeres uden.
Derfor vej jeg nøjagtigt hvor mange maskiner der har systemet.

Du kan få den præinstalleret ved din forhandler hvis du køber en ny maskine.
Men det er kun nødvendigt for dem der ikke hjemme har nogen form for
internetadgang, og som gerne vil ha systemet alligevel.

MVH




Thomas Bjorn Anderse~ (03-12-2002)
Kommentar
Fra : Thomas Bjorn Anderse~


Dato : 03-12-02 21:18

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Hvor meget virkningen af programmet aftager efterhånden som
> det går op for folk, hvordan det omgås.

Så det du siger er, at for at være en success skal Bjarnes produkt
være en salgsfiasko?

Så længe man regner Bjarnes produkt for hvad det er, så tror jeg at
det er et fint supplement til resten af tyverisikringerne. Jeg har da
i hvert fald låst mine egne computere fast med et stålkabel, som det
ikke vil tage en dedikeret tyv mange minutter at skære over, men
forhåbenligt vil det sammen med et par andre initiativer virke
afskrækkende "nok".

P.S. Beklager Bjarne, dit produkt kan ikke bruges sammen med mine
operativsystmer.
--
Thomas Bjorn Andersen - tbaNOSPAM200211@gen-v.net
+++ATH

Peter Brodersen (03-12-2002)
Kommentar
Fra : Peter Brodersen


Dato : 03-12-02 22:17

On 03 Dec 2002 21:17:40 +0100, Thomas Bjorn Andersen
<tbaNOSPAM200207@gen-v.net> wrote:

>P.S. Beklager Bjarne, dit produkt kan ikke bruges sammen med mine
>operativsystmer.

Sikker? Bjarne siger, at programmet kan overleve at du formatterer
eller reinstallerer, så du kan vel bare først installere programmet,
og derefter installere dit nye operativsystem.

Jeg er overbevist om at Bjarne kan fortælle om detaljerne for hvordan,
det virker.

--
- Peter Brodersen

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 00:58


"Peter Brodersen" <usenet@ter.dk> skrev i en meddelelse
news:asj6v6$7s5$1@dknews.tiscali.dk...
> On 03 Dec 2002 21:17:40 +0100, Thomas Bjorn Andersen
> <tbaNOSPAM200207@gen-v.net> wrote:
>
> >P.S. Beklager Bjarne, dit produkt kan ikke bruges sammen med mine
> >operativsystmer.
>
> Sikker? Bjarne siger, at programmet kan overleve at du formatterer
> eller reinstallerer, så du kan vel bare først installere programmet,
> og derefter installere dit nye operativsystem.

Sjovt, har du haft adgang til vores test data?
Vi har skam testet systemet op mod nettop denne situation.

MVH




Bertel Lund Hansen (04-12-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 04-12-02 06:55

Bjarne Østergård skrev:

>Vi har skam testet systemet op mod nettop denne situation.

Har i installeret dit program og derefter f.eks. styresystemet
Linux.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Peter Brodersen (04-12-2002)
Kommentar
Fra : Peter Brodersen


Dato : 04-12-02 18:40

On Wed, 4 Dec 2002 00:58:24 +0100, "Bjarne Østergård" <boe@ydicon.dk>
wrote:

>> Sikker? Bjarne siger, at programmet kan overleve at du formatterer
>> eller reinstallerer, så du kan vel bare først installere programmet,
>> og derefter installere dit nye operativsystem.
>Sjovt, har du haft adgang til vores test data?
>Vi har skam testet systemet op mod nettop denne situation.

Hvilken linux-distribution testede I med?

--
- Peter Brodersen

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 18:47


"Peter Brodersen" <usenet@ter.dk> skrev i en meddelelse
news:aslekb$cg2$1@dknews.tiscali.dk...
> On Wed, 4 Dec 2002 00:58:24 +0100, "Bjarne Østergård" <boe@ydicon.dk>
> wrote:
>
> >> Sikker? Bjarne siger, at programmet kan overleve at du formatterer
> >> eller reinstallerer, så du kan vel bare først installere programmet,
> >> og derefter installere dit nye operativsystem.
> >Sjovt, har du haft adgang til vores test data?
> >Vi har skam testet systemet op mod nettop denne situation.
>
> Hvilken linux-distribution testede I med?
Det aner jeg faktisk ikke, det var nogle studerende fra et universitet der
lavede de tests.
MVH




Peter Brodersen (04-12-2002)
Kommentar
Fra : Peter Brodersen


Dato : 04-12-02 19:11

On Wed, 4 Dec 2002 18:47:19 +0100, "Bjarne Østergård" <boe@ydicon.dk>
wrote:

>> >Sjovt, har du haft adgang til vores test data?
>> >Vi har skam testet systemet op mod nettop denne situation.
>> Hvilken linux-distribution testede I med?
>Det aner jeg faktisk ikke, det var nogle studerende fra et universitet der
>lavede de tests.

Gider du slå op i deres testdata og kigge efter?

Jeg (og sikkert også Thomas Bjørn Andersen) er bare ikke så meget for
at købe jeres produkt, hvis jeg ikke ved at det også virker til de
systemer, vi bruger.

--
- Peter Brodersen

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 00:17


"Peter Brodersen" <usenet@ter.dk> skrev i en meddelelse
news:aslger$cis$1@dknews.tiscali.dk...
> On Wed, 4 Dec 2002 18:47:19 +0100, "Bjarne Østergård" <boe@ydicon.dk>
> wrote:
>
> >> >Sjovt, har du haft adgang til vores test data?
> >> >Vi har skam testet systemet op mod nettop denne situation.
> >> Hvilken linux-distribution testede I med?
> >Det aner jeg faktisk ikke, det var nogle studerende fra et universitet
der
> >lavede de tests.
>
> Gider du slå op i deres testdata og kigge efter?
>
> Jeg (og sikkert også Thomas Bjørn Andersen) er bare ikke så meget for
> at købe jeres produkt, hvis jeg ikke ved at det også virker til de
> systemer, vi bruger.
Hovsa!
En misforståelse, er vist ved at opstå her.

Ingen her forsøger at sælge jer noget.
Og systemet er kun udviklet til Windows systemer.
Windows 98 og alle nyere versioner.
Og sådan bliver det nok ved med at være indtil at der er linux maskiner nok
til at der er et marked.
He der er jo så få af dem, at tyvene ikke kan finde nogen at stjæle
Og der vil nok gå mellem 5 og 10 år før den rigtig er et marked.
Mn så er den det også, og til den tid skal vi nok være klar med en version.

MVH




Kasper Dupont (04-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 04-12-02 21:30

"Bjarne Østergård" wrote:
>
> "Peter Brodersen" <usenet@ter.dk> skrev i en meddelelse
> news:aslekb$cg2$1@dknews.tiscali.dk...
> >
> > Hvilken linux-distribution testede I med?
> Det aner jeg faktisk ikke, det var nogle studerende fra et universitet der
> lavede de tests.

Hvilket universitet, og hvad studerede de?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 00:06


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DEE65B6.934E1A27@daimi.au.dk...
> "Bjarne Østergård" wrote:
> >
> > "Peter Brodersen" <usenet@ter.dk> skrev i en meddelelse
> > news:aslekb$cg2$1@dknews.tiscali.dk...
> > >
> > > Hvilken linux-distribution testede I med?
> > Det aner jeg faktisk ikke, det var nogle studerende fra et universitet
der
> > lavede de tests.
>
> Hvilket universitet, og hvad studerede de?

Beklager i må nøjes med at cikanere mig.
Jeg har før opgivet navne her og det har jeg lært en del af.

MVH




Martin Østerberg (05-12-2002)
Kommentar
Fra : Martin Østerberg


Dato : 05-12-02 00:11

On Thu, 5 Dec 2002 00:05:31 +0100 skrev "Bjarne Østergård" <boe@ydicon.dk> .


>> Hvilket universitet, og hvad studerede de?
>
>Beklager i må nøjes med at cikanere mig.
>Jeg har før opgivet navne her og det har jeg lært en del af.

Wauw...er et universitetsnavn samt fag så følsomme informationer at de ikke kan
oplyses ?

Du er en meget seriøs mand Bjarne...jeg vil så give oplysningen videre...det er
ToonTown University og faget er 'Comperative nonsens'

Martin

Bjarne Østergård (05-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 05-12-02 00:24

"Martin Østerberg" <dev_null@trashcan.dk> skrev i en meddelelse
news:dYvH9.58718$HU.3965703@news010.worldonline.dk...
> On Thu, 5 Dec 2002 00:05:31 +0100 skrev "Bjarne Østergård" <boe@ydicon.dk>
..
> >> Hvilket universitet, og hvad studerede de?
> >
> >Beklager i må nøjes med at cikanere mig.
> >Jeg har før opgivet navne her og det har jeg lært en del af.
>
> Wauw...er et universitetsnavn samt fag så følsomme informationer at de
ikke kan
> oplyses ?

Jeg har før opgivet et navn her på en virksomhed der havde hjulpet mig med
test, og de modtog i stribevis af cikanerende emails i mange uger derefter.

Sådan er det altså når man skriver her i gruppen, hvorfor tror du ellers at
så mange vælger at bruge falsk indentitet når de optræder her i gruppen.

Så nej jeg vil ikke medvirke til at dette skal gentage sig.

MVH




Kasper Dupont (05-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 05-12-02 06:58

"Bjarne Østergård" wrote:
>
> "Martin Østerberg" <dev_null@trashcan.dk> skrev i en meddelelse
> news:dYvH9.58718$HU.3965703@news010.worldonline.dk...
> > On Thu, 5 Dec 2002 00:05:31 +0100 skrev "Bjarne Østergård" <boe@ydicon.dk>
> .
> > >> Hvilket universitet, og hvad studerede de?
> > >
> > >Beklager i må nøjes med at cikanere mig.

Hvem har sagt noget om chikane?

> > >Jeg har før opgivet navne her og det har jeg lært en del af.

Hvis du ikke vil oplyse, hvem der har udført testene, kan
vi lige så godt gå ud fra, at de aldrig er blevet udført.

> >
> > Wauw...er et universitetsnavn samt fag så følsomme informationer at de
> ikke kan
> > oplyses ?
>
> Jeg har før opgivet et navn her på en virksomhed der havde hjulpet mig med
> test, og de modtog i stribevis af cikanerende emails i mange uger derefter.

Kan du give mig en reference til den pågældende posting?

>
> Sådan er det altså når man skriver her i gruppen, hvorfor tror du ellers at
> så mange vælger at bruge falsk indentitet når de optræder her i gruppen.
>
> Så nej jeg vil ikke medvirke til at dette skal gentage sig.
>
> MVH
> BØ

Den historie med at prøve på at undgå chikane tror jeg
ganske enkelt ikke på. Jeg kan se nogle andre grunde til
at du ikke vil svare:

1) Det hele er løgn, og testene er aldrig blevet udført.
2) Du har brugt inkompetente folk til at udføre testene.
3) Personerne, der har udført testene, kan give os nogle
belastende oplysninger om dig eller produktet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 01:28


"Thomas Bjorn Andersen" <tbaNOSPAM200207@gen-v.net> skrev i en meddelelse
news:m3r8cy26xn.fsf@dogbert.gen-v.net...
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> > Hvor meget virkningen af programmet aftager efterhånden som
> > det går op for folk, hvordan det omgås.
>
> Så det du siger er, at for at være en success skal Bjarnes produkt
> være en salgsfiasko?
>
> Så længe man regner Bjarnes produkt for hvad det er, så tror jeg at
> det er et fint supplement til resten af tyverisikringerne. Jeg har da
> i hvert fald låst mine egne computere fast med et stålkabel, som det
> ikke vil tage en dedikeret tyv mange minutter at skære over, men
> forhåbenligt vil det sammen med et par andre initiativer virke
> afskrækkende "nok".

Tjah vi har en kunde som fik stjålet en computer der var bag en moderne
tyverialarm, og som var boltet fast med beslag, og desuden var der en
røgkanon i lokalet.
Men fyren var forberedt, med boltsaks og det hele.
Det var tredje gang han havde indbrud, på næsten lige så mange uger.

Men den sidste maskine havdwe et system der gjorde at banden nu er afsløret,
så i et stykke tid stjæler de ikke mere.

Sådant et tyveri tager ifølge politiet gennemsnitlig 90 sekunder for en prof
tyv at gennemføre.

Og selv om alarmen hyler aldrig så højt kan ingen jo som regel nå frem før
tyven er væk.
Derfor syntes jeg det var smart at at lave en alarm som følger med
tyvekosterne.
Og den alarm som tyven på den måde tager med sig, har foreløbelig en løbetid
på 10 år

Mon ikke, der sidder nogen, og undre sig lige nu, over hvordan politiet
fandt på at ringe nettop på deres dør.

Mvh




Bjarne Østergård (03-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 03-12-02 14:00


"Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> skrev i en meddelelse
news:Xns92D97061488B3knudINVALIDskodlivdk@212.242.40.196...

> [pc-finder igen igen igen]
Ja hvorfor mon i bringer det på banen hele tiden ?

> > Lige bortset fra at der ikke findes et tilsvarende produkt, skal det
> > såmænd nok passe.

> http://www.pcphonehome.com
Ja det kender jeg, sådan et har jeg også lavet engang, for mange år siden.
Men det produkt har vi ikke mere.

> Hvis man spiller een gang og vinder er det vel de samme odds?
Det var gode odds hvis det skal være reglen, så gode tror jeg alligevel ikke
vi kan klare.
en 100% change for gevinst første gang man spiler er nu ligodt sejt.
Vi har ikke engang indbrud ved 100% af vores kunder, så at skulle kunne
afsløre en tyv i 100% af alle installationer kan vi jo ikke love.
Beklager, men der skal faktisk først være et tyveri, før vi kan afsløre
tyven.


Sig til når
> du har solgt millioner, ja måske endda milliarder kopier af dit inferiøre
> program, og lad os se hvor der er størst chance for gevinst.

Milioner og miliarder
Det var mange!
Og vi er kun nået til nr. 8000, ja så kan det da godt vare lidt.

MVH






Kasper Dupont (03-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 03-12-02 14:15

"Bjarne Østergård" wrote:
>
> "Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> skrev i en meddelelse
> news:Xns92D97061488B3knudINVALIDskodlivdk@212.242.40.196...
>
> > [pc-finder igen igen igen]
> Ja hvorfor mon i bringer det på banen hele tiden ?

Du kan jo bare kigge tilbage i tråden og se hvordan det kom på
banen. Det viser sig, at årsagen var, at du blandede dig en
diskution af et sikkerhedshul hos Valus, som du tilsyneladende
også selv har på produktets webside.

>
> > > Lige bortset fra at der ikke findes et tilsvarende produkt, skal det
> > > såmænd nok passe.
>
> > http://www.pcphonehome.com
> Ja det kender jeg, sådan et har jeg også lavet engang, for mange år siden.
> Men det produkt har vi ikke mere.
>
> > Hvis man spiller een gang og vinder er det vel de samme odds?
> Det var gode odds hvis det skal være reglen, så gode tror jeg alligevel ikke
> vi kan klare.
> en 100% change for gevinst første gang man spiler er nu ligodt sejt.
> Vi har ikke engang indbrud ved 100% af vores kunder, så at skulle kunne
> afsløre en tyv i 100% af alle installationer kan vi jo ikke love.
> Beklager, men der skal faktisk først være et tyveri, før vi kan afsløre
> tyven.

Det eneste jeg kan få ud af ovenstående er, at du heller
ikke ved noget om sandsynlighedsregning og statistik.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (03-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 03-12-02 17:34


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DECAE5F.D9EDFB92@daimi.au.dk...

> Det eneste jeg kan få ud af ovenstående er, at du heller
> ikke ved noget om sandsynlighedsregning og statistik.

At vide at man intet ved, er vel også en form for alvidenhed.
Piet Hein (tror jeg nok)

MVH




Bertel Lund Hansen (03-12-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 03-12-02 20:29

Bjarne Østergård skrev:

>At vide at man intet ved, er vel også en form for alvidenhed.

Ja, men det svære er at drage den logiske konsekvens af den
viden.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 01:12


"Bertel Lund Hansen" <nospam@lundhansen.dk> skrev i en meddelelse
news:qe1quu8hl1u8iv1bcbnapiniuguk1pr61j@news.stofanet.dk...
> Bjarne Østergård skrev:
>
> >At vide at man intet ved, er vel også en form for alvidenhed.
>
> Ja, men det svære er at drage den logiske konsekvens af den
> viden.

Nej da, se dig om her i denne NG. konsekvensen jo nærmest skriger på at
blive set.
Læs nu citatet ordentligt og grin.

He he hvis konsekvensen af at man intet ved er alvidenhed, hvad tror du så
konsekvensen af det modsatte bliver.

Mvh

Som heller intet vil vide, end tage konsekvensen af, at vide alt.



Kasper Dupont (03-12-2002)
Kommentar
Fra : Kasper Dupont


Dato : 03-12-02 21:59

"Bjarne Østergård" wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:3DECAE5F.D9EDFB92@daimi.au.dk...
>
> > Det eneste jeg kan få ud af ovenstående er, at du heller
> > ikke ved noget om sandsynlighedsregning og statistik.
>
> At vide at man intet ved, er vel også en form for alvidenhed.
> Piet Hein (tror jeg nok)

Tænk at det citat skal komme fra en person, der i den grad
ikke har forstået det.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Bjarne Østergård (04-12-2002)
Kommentar
Fra : Bjarne Østergård


Dato : 04-12-02 00:32


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3DED1B23.BA45A08B@daimi.au.dk...
> "Bjarne Østergård" wrote:
> >
> > "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> > news:3DECAE5F.D9EDFB92@daimi.au.dk...
> >
> > > Det eneste jeg kan få ud af ovenstående er, at du heller
> > > ikke ved noget om sandsynlighedsregning og statistik.
> >
> > At vide at man intet ved, er vel også en form for alvidenhed.
> > Piet Hein (tror jeg nok)
>
> Tænk at det citat skal komme fra en person, der i den grad
> ikke har forstået det.

Det er jo nettop lige den type kommentarer der gør citatet så pragtfuldt.
Piet Hein var en vis mand.

MVH





Christian E. Lysel (28-11-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-11-02 10:57

Alex Holst wrote:
> "Efter en samlet vurdering finder Datatilsynet ikke grundlag for at
> udtale kritik af Den norske Bank."
>
> http://www.snakeoil.dk/kommentarer/20021127-1

Hmmm, datatilsynet skriver ikke noget om at Apache, OpenSSL og WebLogic
ifølge deres egne bannere kørte i sårbar versioner.

Endvidere står ej noget om informationssiderne og betalingssystemet
var/er adskilt.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Allan Olesen (28-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 28-11-02 20:22

"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote:

>Hmmm, datatilsynet skriver ikke noget om at Apache, OpenSSL og WebLogic
>ifølge deres egne bannere kørte i sårbar versioner.

Det er nu altsaa lidt sjovt med den paastand. Hvad er holdningen
herinde til backporting af sikkerhedspatches i stedet for
bevidstloes opgradering til seneste version af et stykke
software?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Andreas Plesner Jaco~ (28-11-2002)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 28-11-02 20:24

In article <3de66cef$0$71636$edfadb0f@dread11.news.tele.dk>, Allan Olesen wrote:
>
>>Hmmm, datatilsynet skriver ikke noget om at Apache, OpenSSL og WebLogic
>>ifølge deres egne bannere kørte i sårbar versioner.
>
> Det er nu altsaa lidt sjovt med den paastand. Hvad er holdningen
> herinde til backporting af sikkerhedspatches i stedet for
> bevidstloes opgradering til seneste version af et stykke
> software?

Backporting er som regel godt....det kommer an på størrelsen på patchen
til opgraderingen.

--
Andreas Plesner Jacobsen | We cannot command nature except by obeying her.
|    -- Sir Francis Bacon

Christian E. Lysel (28-11-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-11-02 22:19

Allan Olesen wrote:
> Det er nu altsaa lidt sjovt med den paastand. Hvad er holdningen
> herinde til backporting af sikkerhedspatches i stedet for
> bevidstloes opgradering til seneste version af et stykke
> software?

Backporting er udmærket, hvis man har styr på hvad man fortager sig.

Det der blot er interessant er at vi ikke ved om det er et problem eller ej.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Allan Olesen (28-11-2002)
Kommentar
Fra : Allan Olesen


Dato : 28-11-02 23:03

"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote:

>Det der blot er interessant er at vi ikke ved om det er et problem eller ej.

Det er interessant, er, at vi ikke _kan_ vide, om det er et
problem, og alligevel er vi tilsyneladende ret overbeviste om
det.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (28-11-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-11-02 23:31

Allan Olesen wrote:
> Det er interessant, er, at vi ikke _kan_ vide, om det er et
> problem, og alligevel er vi tilsyneladende ret overbeviste om
> det.

Jeg er ikke overbevist om særligt meget i denne sag. Der er nogle ting
der peger i en retning, men det behøver ikke at være rigtigt, det har
jeg hele tiden sagt.

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Kasper Dupont (28-11-2002)
Kommentar
Fra : Kasper Dupont


Dato : 28-11-02 23:06

"Christian E. Lysel" wrote:
>
> Det der blot er interessant er at vi ikke ved om det er et problem eller ej.

Det er korrekt. Og hvem har lyst til at undersøge om det er et problem?
Jeg har i hvert fald ikke lyst til det. Og hvad med adskilelsen af de
to ifølge valus uafhængige systemer? Der nævnes intet om, hvorledes de
er adskilt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
char *mybuf[1==1]; (2==3)[mybuf]="Hello World!";

Søren Christensen (28-11-2002)
Kommentar
Fra : Søren Christensen


Dato : 28-11-02 12:10

**** Hvofor jeg mener at Datatilsynets dom over Valus.dk er forket og kun
beviser een ting:

- Datatilsynet har tydeligvis ikke kompetence nok til at vurdere omfanget af
de sikkerhedshuller Valus.dk havde.

Det er basal viden at hvis en enkelt del af et system er kompromiteret så er
alle dele i et system i stor risiko - eller sagt med andre ord; har man
først fået en fod indenfor så er det let at trække nummer to fod med.

Valus lever tilsyndeladende højt på at deres informationssider (fremover
benævnt som IIS1 systemet) er særskilt fra selve applikationsdelen (fremover
benævnt som NIIS (non iis) systemet). Det er også på denne baggrund at
Datatilsynet ikke mener at persondata har været i fare via SQL Injection fra
URL requests (ifølge deres svar til Alex Holst).

Det lykkedes for 2 personer at slukke for databasen der driver IIS1
systemet via en SHUTDOWN parameter på en almen URL. Det beviser to ting:

1) Valus valgte at tilgå deres database med en konto på administrationsnivau
2) At det faktisk var muligt at injicere SQL mod databasen

Gå nu til http://www.valus.dk og læg mærke til loginboksen i venstre side.
Husk på denne.

Ud fra disse oplysninger kunne følgende have været meget realistisk på
Valus.dk tilbage i Maj (Hvis ikke Cubus et al havde sat en stopper for det):

En ondsindet person (Palle) fremstiller et ISAPI filter til IIS1 systemet
(ISAPI filtre er velkendt teknologi for dem der beskæftiger sig med
webservere og især dem har noget med IIS servere at gøre). Dette ISAPI
filter har adgang til at logge og ændre i alt hvad et 'HTTP request'
forsøger sig med på IIS1 systemet.

Palle fremstiller nu to URL requests:

- et der opretter en fil på IIS1 systemet via ESP (extended stored
procedures) på SQL Serveren
- Et der appender data til den oprettede fil

Disse procedurer kan blandt andet genereres med OLE Automation mulighederne
i ESPer.

Palle overfører nu sit ISAPI filter til serveren ved først at oprette filen
og for derefter at appende den binære kode filen.

Palle laver nu et lille program med følgende funktionalitet:

- kan slukke og genstarte IIS webserveren
- kan installere ISAPI filteret
- Kan fjerne eventuel Audit på IIS logfilerne og ligeledes genskabe det.
- Kan slette specificerede linier i logfilerne

Alt dette kan enten laves som et lille C program eller skrives råt i
VBScript.

Dette overføres nu via SQL injection til IIS1 og puttes ned i en anden fil.

Denne anden fil eksekveres nu med xp_cmd_shell (eller hvad den nu hedder)
ESP på SQL serveren og følgende sker:

- IIS slukkes
- ISAPI filteret installeres i IIS med højeste prioritet
- Audit fjernes på logfilerne
- Alle linier i logfilerne med SQL injection slettes
- Audit sættes på igen
- IIS startes igen

Det tager under et halvt sekund at gøre og det er muligt fordi shell'en
bliver kørt i en administrativ konto (SQL Servicen).

ISAPI filteret går nu igang. Hvis den er i stand til det vil den slette det
lille c program eller VBScript program som blev overført.

Dernæst vil filteret opfange det data der bliver vist som forsiden. Her vil
den ændre den URL som 'login' knappen i venstre side peger på - fra
https://www.valus.dk/main.jsp til https://www.valus.dk/_main.jsp eller anden
umiddelbar uanskueligt forandring der forårsager at NIIS ikke opfanger
URLen.

Nu indtaster en bruger sit navn og sit kodeord og trykker derefter på
login. ISAPI filteret opfanger nu denne URL. Den logger navn og kodeord fra
header informationerne, ændre URLen tilbage til den korrekte form, samt
eventuel reencoder header værdierne i requestet.

Filteret sender nu en redirect tilbage til brugeren der så bliver ført hen
til den rigtige side med de angivne parametre.

Vedkommende bliver nu logget ind og kan gøre det man nu gør med Valus.dk.

De kodeord og brugernavne som filteret logger, gemmes et eller andet sted
(disk, hukommelse etc..). Palle kan nu hente dem ved at requeste en speciel
URL - https://www.valus.dk/showmethereallygoodstuff . Denne URL vil filteret
opfange og derefter spytte kodeordene og brugernavnene ud til Palle.

Alt dette kan selvfølgelig opdages hvis man anvender ret eksotiske
sikkerhedsovervågningssystemer (CRC scans af output fra Webserveren,
overvågning af SQL Serverens transkaktionslog osv...), som Valus med
sikkerhed ikke har anvendt. ISAPI filteret sørger selv for at disse
specielle requests ikke logges ned i logfilerne.

Hvor længe mon sådan et setup ville have kunne kørt på Valus før det ved et
uheld blev opdaget?

Tror man nu at dette er meget eksotisk og sikkert aldrig ville kunne have
foregået kender man ikke sin historie.
Code Red ormen var teknisk set langt mere eksotisk idet man her taler om
ren binær kode der skal overføres til et stack overflow, og som indeholder
replikationsmekanismer, datobestemt DoS angreb osv...

Man kan ikke sige med sikkerhed at dette kunne lade sig gøre (kun ved at
prøve kan man være 100%). Jeg vil dog godt satse 99% på at det var muligt.

Dette kræver ikke noget specialiseret viden og er programmeringsmæssigt
rimeligt simpelt. Tre - fire dages kodning og test og man har de binære
filer samt den SQL der skal bruges.

Endvidere er dette bare ET scenarie - man kan sikkert komme på utrolig mange
andre.

Hermed vil jeg mene at systemerne Valus satte i drift tilbage i maj på ingen
måde overholdte de tekniske krav til sikring af persondata.

Men datatilsynet har ikke åbenbart ikke været i stand til at overskue det,
eller mener åbenbart ikke at sådan noget er realistisk.

Så derfor kan Valus gå fri ved bare at sige "Jamen, systemerne er adskilt."
..

Øhhh nej, de er ikke! Adskilte systemer, og især SIKRE adskilte systemer,
har intet med hinanden at gøre. De systemer Valus har sat op er forbundet
via URLer og er derfor ikke adskilt i sikkerhedsmæssige regi.

Om igen Datatilsyn og Valus!

(og mange gange om igen hvis dette skal blive en realitet:
http://www.computerworld.dk/default.asp?Mode=2&ArticleID=17141 )

Nu er jeg så spændt på om jeg også bliver sigtet for at have skrevet dette.

--



Christian E. Lysel (28-11-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-11-02 13:04

Søren Christensen wrote:
> Øhhh nej, de er ikke! Adskilte systemer, og især SIKRE adskilte systemer,
> har intet med hinanden at gøre. De systemer Valus har sat op er forbundet
> via URLer og er derfor ikke adskilt i sikkerhedsmæssige regi.

Når jeg går ind på TV2, fx http://mobil.tv2.dk/?topmenu og vil købe en
billedbesked, bliver jeg vidersendt til
https://www.valus.dk/LoginPayment.jsp?ID=&con=DK&la=dk som ikke er
informationssiderne, men betalingssystemet.

Valus har på intet tidspunkt påstået at de to systemer er adskilte,
hvilket jeg finder interessant.

> Nu er jeg så spændt på om jeg også bliver sigtet for at have skrevet dette.

Nej, du blive vel kun anmeldt for medvirken, sammen med alle dem der nu
har fuldt dit link til "showmethereallygoodstuff".

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Benny Nissen (29-11-2002)
Kommentar
Fra : Benny Nissen


Dato : 29-11-02 11:23

> https://www.valus.dk/LoginPayment.jsp?ID=&con=DK&la=dk som ikke er
> informationssiderne, men betalingssystemet.
>
Ovenstående url giver:

From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
10.5.1 500 Internal Server Error
The server encountered an unexpected condition which prevented it from
fulfilling the request.




Finn Bindeballe (29-11-2002)
Kommentar
Fra : Finn Bindeballe


Dato : 29-11-02 15:33

tør du godt det..... du er en modig mand......*S*
/finn


Benny Nissen wrote:

> > https://www.valus.dk/LoginPayment.jsp?ID=&con=DK&la=dk som ikke er
> > informationssiderne, men betalingssystemet.
> >
> Ovenstående url giver:
>
> From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
> 10.5.1 500 Internal Server Error
> The server encountered an unexpected condition which prevented it from
> fulfilling the request.


Christian E. Lysel (29-11-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 29-11-02 18:46

Benny Nissen wrote:
> https://www.valus.dk/LoginPayment.jsp?ID=&con=DK&la=dk som ikke er
> informationssiderne, men betalingssystemet.

> Ovenstående url giver:
>
> From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
> 10.5.1 500 Internal Server Error
> The server encountered an unexpected condition which prevented it from
> fulfilling the request.

<id> skal erstattes af den id du fx få fra TV2.

Lad endvidere vær' med at bruge ovenstående URL, jeg risikere blot at
blive anklaget for at medvirke til evt. angreb. Gå i stedet ind på TV2,
og prøv at købe en billedbesked hvor betalingen skal forgå igennem Valus.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Niels Callesøe (01-12-2002)
Kommentar
Fra : Niels Callesøe


Dato : 01-12-02 08:32

Christian E. Lysel wrote:

>> https://www.valus.dk/LoginPayment.jsp?ID=&con=DK&la=dk som
>> ikke er informationssiderne, men betalingssystemet.
>
>> Ovenstående url giver:
>>
>> From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
>> 10.5.1 500 Internal Server Error
>> The server encountered an unexpected condition which prevented it
>> from fulfilling the request.
>
><id> skal erstattes af den id du fx få fra TV2.

Noget helt andet er så, at når serveren giver en 500 som svar på en
så let malformet request, så er det formodentlig stadig noget slamkode
der kører inde bag ved. Men det kommer vel ikke som en overraskelse for
nogen.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Nu med politisk ladet signatur.
--> http://www.digitalforbruger.dk

Christian E. Lysel (01-12-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-12-02 14:49

Niels Callesøe wrote:
> Noget helt andet er så, at når serveren giver en 500 som svar på en
> så let malformet request, så er det formodentlig stadig noget slamkode
> der kører inde bag ved. Men det kommer vel ikke som en overraskelse for
> nogen.

Fejlen du skriver om kan være genereret af flere komponenter, fx proxy
serveren. Jeg har selv lige kaldt URL'en, og det ses tydeligt at det er
WebLogic der fejler.

Dog har ikke nogen viden omkring WebLogic til at sige om det er normalt
eller unormalt.

Er der andre der ved mere om produktet, som kan sige noget?


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste