tag:blogger.com,1999:blog-6018963376324183828.post4434879187334424609..comments2024-02-01T10:11:42.718+01:00Comments on JonblOGG: Datamaskiner i skolen – et tveegget sverdJon Hoemhttp://www.blogger.com/profile/08103376246377042773noreply@blogger.comBlogger3125tag:blogger.com,1999:blog-6018963376324183828.post-61067155788687986352018-09-09T15:48:51.894+02:002018-09-09T15:48:51.894+02:00Kort blandes fra tid til annen. I kronikken som de...Kort blandes fra tid til annen. I kronikken som denne posten kommenterer blir det nevnt et sikkerhetsbrudd knyttet til det påloggingssystemet som bergensskolene benytter. Dette har lite med det som ellers diskuteres å gjøre, men bare så det er sagt: <a href="https://www.bergen.kommune.no/hvaskjer/presserom/pressemeldinger/article-156381" rel="nofollow">Bergen kommunes pressemelding</a> angående nevnte sikkretsbrist virker som et forsøk på å rette baker for smed. Det som skrives om politianmeldelse kan vanskelig tolkes annerledes enn at kommunen forsøker å få det til å se ut som om ansvaret for slett sikkerhet ligger et annet sted enn hos dem selv. Slikt holder ikke. Paradoksalt nok kan det være et ganske godt argument for å sette ut tjenester til tredjepart, som har sikkerhet høyere på agendaen. Torgeir Waterhouse i IKT-Norge <a href="https://www.ikt-norge.no/kommentar/bergen-beskylder-en-elev-for-sine-egne-sikkerhetsfeil-i-ranselpost-til-foreldre-og-foresatte-til-elever/" rel="nofollow">kommenterer saken treffende</a>.<br><br><br />Hva menigmann kan lære av saken: totrinns autentisering er lurt (f eks via SMS, som tillegg til brukernavn og passord), mens vi venter på enda bedre systemer for sikker pålogging.Jon Hoemhttps://www.blogger.com/profile/08103376246377042773noreply@blogger.comtag:blogger.com,1999:blog-6018963376324183828.post-184527636491444292018-08-27T16:46:48.548+02:002018-08-27T16:46:48.548+02:00Jeg er jo så absolutt enig i prinsippet og anerkje...Jeg er jo så absolutt enig i prinsippet og anerkjenner absolutt at Stallman har et godt poeng. Samtidig er jeg en smule pragmatisk og tror ikke vi kommer utenom at noen andre enn oss selv drifter de tjeneste vi benytter. Jeg ville nok utsette meg selv for langt større risiko ved å forsøke å drifte denne type tjeneste selv sammenlignet med å bruke Googles skylagring. I så tilfelle må vi forholde oss til avtaler, og da virker det på meg som Google har gjort en skikkelig jobb. Både med hensyn til avtalenes innhold og ved å gjøre dem tilgjengelig på norsk og ta hensyn til norsk rett.<br /><br />I avtalen skriver Google eksplisitt at de ikke bruker de dataene som brukeren legger inn i GSuite til noen andre formål. Jeg antar at MIcrosoft og Apple har lignende formuleringer for å imøtekomme europiske krav til personvern. <br /><br />For å være på den sikre siden er kanskje kryptering veien å gå. Da ikke bare kryptering av trafikken, men kryptert lagring på serverne i skyen. Så vidt jeg kan skjønne skal dette være mulig å sette på systemeier-nivå. Dvs at Bergen kommune kan skru på kryptering av de dataene eleven lagrer hos Google. <a href="https://support.google.com/googlecloud/answer/6056693?hl=no&visit_id=636709776331538160-1217157055&rd=1" rel="nofollow">Dette</a> virker jo så seriøst som det kan bli og så vist jeg kan lese tyder det på at data krypteres på serverne som default – "Customer data that is uploaded or created in G Suite services is encrypted at rest,...". Det skjer selvsagt en dekryptering ved bruk, der Google er mellommann, så problemet er uansett ikke helt borte.<br /><br />Men jeg synes det er vanskelig å se for seg hvordan en skal kunne sikre brukerne bedre uten at det går vesentlig ut over selve tjenesten.<br /><br />Jon Hoemhttps://www.blogger.com/profile/08103376246377042773noreply@blogger.comtag:blogger.com,1999:blog-6018963376324183828.post-88672356021092482152018-08-27T16:09:59.301+02:002018-08-27T16:09:59.301+02:00Det er skremmande at slike skytenester kan vite me...Det er skremmande at slike skytenester kan vite meir om deg enn din næraste familie. Egentlig bør det ikkje vere aktuelt å tvinge barn inn i ein slik mekanisme. Då seier det seg sjølv at ein ikkje kan bruke tenesta.<br /><br />Den einaste måten å 100% unngå å bli utsett for utnyttinga desse IT-selskapa driv med, er å berre bruke fri programvare. Richard Stallman & co har rett i det. Grunnlaget er, som du er litt inne på, at det ikkje er mogleg å stole på nokon. Difor må ein ha full tilgang til kjeldekoden og køyre programma på eigne maskiner. Ellers vil det gå an å bli utnytta, og som me ser blir det gjort i svært mange (alle?) tilfeller. Så enkelt er det.<br /><br />Sjå også:<br /><br />https://www.gnu.org/philosophy/who-does-that-server-really-serve.htmlAnonymoushttps://www.blogger.com/profile/05409697188119160894noreply@blogger.com