Archive for the ‘Internet’ Category

Der er i øjeblikket mange der taler om et botnet der på nuværende tidspunkt skulle være i gang med at brute force sig adgang til WordPress sites overalt. Der skulle efter sigende være tale om et angreb fra op til 90.000 forskellige kilder.

Om et sådan angreb er i gang eller ej skal jeg ikke kunne sige, men det har tilsyneladende fået rigtig mange WordPressbrugere til at genoverveje deres nuværende sikkerhedsniveau, så noget positivt er der da kommet ud af det lige meget hvad.

Jeg ser mange der diskuterer problemet og mulige løsninger, hvilket igen er positivt, men der er mange der ikke har helt styr på hvad der er godt og skidt, og evt. hvorfor, så jeg vil her prøve at give mit bud på nogle overvejelser man bør gøre sig inden man hovedløst kaster sig ud i installation af tilfældige sikkerhedsplugins.

En række supportere på det officielle WordPress support forum har sammen lavet en side på WordPress codex med tips og tricks til at sikre sig mod angrebet, så hvis du vil have den korte version på engelsk kan den findes her. Jeg vil gå lidt mere i dybden og forsøge at forklare det hele på dansk.

Hvad sker der egentlig?

For god ordens skyld vil jeg lige starte med at forklare det egentlige problem, så vi allesammen snakker om de samme ting, og for at give en idé om de overvejelser man bør gøre sig.

Botnets? What?

Det omtalte angreb stammer fra et stort botnet. Et botnet er et antal computere der, for det meste uden at ejeren ved det, bliver brugt af tredjepart til andre formål end hvad ejeren af computeren havde til hensigt.

I dette tilfælde handler det efter sigende om at bagmændende bag botnettet prøver at tiltvinge sig kontrol over flere computere, for på den måde at udvide deres botnet. De gør det ved at “brute force” sig administratoradgang til maskiner der kører websites bygget på WordPressplatformen. Hvis det lykkedes dem at få adgang til et WordPress-site gør de så dette site til en del af deres botnet, og på den måde vil angrebet vokse hver gang det lykkedes dem at overtage et WordPress-site.

Hvad så med det “brute forcing”?

Brute forcing handler om at tiltvinge sig adgang ved “brute force”, altså rå magt. Det foregår ved de simpelthen prøver at logge ind som adminbrugeren, ved at prøve mere eller mere tilfældige passwords, i teorien kan man jo gætte alle passwords hvis man har uendelige forsøg og god tålmodighed. Da der er tale om et automatisk angreb er det ikke noget der koster bagmændende noget tid, og de har derfor rigeligt med tålmodighed.

Men hvad kan jeg gøre ved det?

For det første skal du tage dine normale forholdsregler. Sørg ALTID for at holde WordPress fuldt opdateret. Det samme gælder alle installerede plugins og temaer. Dette er ikke specielt for det nuværende angreb, men alt software er usikkert på den ene eller anden måde. Folkene bag WordPress arbejder hårdt for at lukke alle sikkerhedshuller der bliver fundet så hurtigt så muligt, så sørg for altid at være opdateret. Sørg desuden for at slå alle plugins fra du ikke bruger. Som nævnt er intet software 100% sikkert, så en tommelfingerregel er at jo mindre software du har jo bedre.

Mht. det nuværende angreb er der selvfølgelig nogle ekstra ting du kan gøre.

Tag backup af alt!

En backup sikrer dig selvfølgelig ikke imod angreb udefra. Men hvis du skulle være uheldig enten at blive offer for angrebet, eller at få ødelagt dit site i et forsøg på at sikre det er det altså noget rarere at have end up-to-date backup, end at skulle starte helt forfra. Sørg altså for at tage backup af både selvesitet (via. FTP) og databasen (f.eks. via phpmyadmin), gerne lige nu, inden du forsøger at øge din sikkerhed.

Selve backupprocessen er afhængig af hvor du har dit website liggende, så der kan jeg ikke være så behjælpelig, men der findes som sædvanlig en række forslag på WordPress Codex.

Skift navnet på din adminbruger

Det igangværende angreb udnytter tilsyneladende at WordPress i gamle dage automatisk oprettede en administratorbruger med brugernavnet. Fra version 3.0 og frem har det været muligt selv at bestemme dette brugernavn, men det er ikke alle der har ændret det. En ændring af dette brugernavn vil gøre det sværere at brute force sig adgang til dit site, da angriberne så både skal finde brugernavn og password, i stedet for kun password.

Hvis du har en administratorbruger med brugernavnet admin kan det ændres forholdsvist enkelt med et plugin, eller ved et par manuelle skridt:

  1. Login som din administratorbruger
  2. I adminpanelet gå til “Brugere” -> “Tilføj ny”
  3. Opret en ny bruger, sæt brugerens rolle til administrator (med et ordentlig password!)
  4. Log ud.
  5. Log ind med din nyoprettede administratorbruger.
  6. I adminpanelet gå til “Brugere” -> “Alle brugere”.
  7. Hold musen hen over admin-brugeren, og tryk på det “slet”-link der kommer frem.

Hvis du oplever at du ikke kan slette admin-brugeren så dobbeltcheck lige at du har logget ind med din nyoprettede bruger, og ikke stadig er logget ind som adminbrugere (ja, vi kan alle lave trykfejl :-)).

Brug ordentlige passwords

Dette er vel nok det vigtigste punkt på listen, og desværre nok også det mest besværlige at gøre ordentligt. Sørg altid for at bruge ordentlige passwords der ikke er lige til at gætte. Som sagt foregår det nuværende angreb som et brute force angreb, hvor de prøver sig at gætte sig til dit password, dette vil normalt foregå på en af to måder.

Enten kan man prøve fra en ende af, med “a” som password, derefter “b”, når alle muligheder er opbrugt prøver man så med to bogstaver, “aa”. Dette kan selvsagt tage lang tid, men hvis dit password f.eks. er “asdf” tager det altså ikke lang tid.

En anden metode er at tage udgangspunkt i en ordbog. I stedet for at prøve alle kombinationer af tal og bogstaver nøjes man med ord fra en prædefineret liste af ord. Disse liste vil ofte også indeholde ofte brugte afarter af ord, hvor f.eks bogstaver er udskiftet med tal. Dette betyder at hverken “password” eller “p4ssw0rd” er særlig gode passwords.

Der er skrevet rigtig, rigtig, rigtig, meget om hvordan man gør sine passwords sikre. WordPress Codex nævner også nogle gode forholdsregler man kan forholde sig til. Der henvises desuden til nogle services der kan hjælpe med at generere og huske gode passwords. De væsentligste ting må være:

  • Lad være med at bruge personlige oplysninger, såsom dit navn, din fødselsdag eller lignende offentlige oplysninger.
  • Lad være med at bruge ord fra ordbogen.
  • Længere passwords er generelt bedre passwords.
  • Brug en blanding af store og små bogstaver, tal og tegn

Men husk altid på de ovenstående metoder der bruges til at gætte passwords. 5up3rM4nRul3z43v3r (superman rules forever) er altså ikke nødvendigvis et godt password, da det stadig er en sammensætning af ord der garanteret vil stå i enhver password breaking ordbog.
Gode passwords vil oftest (altid?) være svære at huske. En metode til at gøre det lettere er at bruge en passwordmanager, et program eller en service til at huske dine passwords for dig. Jeg bruger selv LastPass som gør at jeg har et meget stærkt password som jeg skal huske. Dette masterpassword giver så adgang til alle mine passwords til diverse websites. Det betyder at jeg kan bruge services til at generere tilfældige passwords (eller, ihvertfald tilfældige nok), uden selv at skulle huske alle disse passwords, eller nedskrive dem på papirer som jeg kan smide væk.

Bloker adgang til din loginside

Da det igangværende angreb forsøger at få adgang administratorinterfacet på WordPress sites via den normale loginmetode, er en mulighed for øget beskyttelse at begrænse adgangen til adminpanelet. De to mest brugte metoder til dette er:

  • Password-beskyt adminpanelet
  • Bloker adgang til filen på IP-niveau

Fælles for de to metoder er at de kan fungere på et af to niveauer. Det kan enten gøres via. WordPress selv, eller det kan gøres direkte på serverniveau. Om man bruger den ene eller anden metode kan umiddelbart virke ligegyldigt, men jeg vil gerne lige understrege hvorfor det gør en forskel.

WordPress er skrevet i PHP, som bl.a. bruges til at skabe dynamiske hjemmesider. Jeg har andetsteds skrevet lidt om forskellen på statiske og dynamiske hjemmsider (læs afsnittene om statiske og dynamiske hjemmesider, resten af artiklen er ikke relevant for dette emne). Men det betyder at hver gang sikkerheden bliver håndteret i WordPress skal serveren have hele WordPress i gang med at arbejde for først at finde ud af om en bruger skal have adgang til en ressource. Samme sikkerhed kan ofte klares på serverniveau, hvilket betyder meget mindre arbejde for serveren, da en evt. angriber vil blive forment adgang allerede inden WordPress bliver sat i gang.

Password-beskyt adminpanelet

Passwordbeskyttelse kan som nævnt foregå både på server- og på WordPressniveau. Passwordbeskyttelse på WordPressniveau foregår via. WordPress eget loginsystem, det er en beskyttelse vi snakkede om tidligere med ændring af adminbrugernavn, og brug af gode passwords.

Passwordbeskyttelsen kan dog også flyttes ned på serverniveau med HTTP authentication. Dette vil resultere i at når du tilgår din WordPress loginside vil du først møde en popup hvor du skal skrive brugernavn og password, og derefter vil du møde den normale WordPress loginside. Dette er selvfølgelig en afvejning af sikkerhed vs. convenience da det kan virke lidt irriterende at skulle logge ind to gange. Hvis du vælger denne metode skal du selvfølgelig huske ikke at bruge samme brugernavn/passwordkombination til begge lag af beskyttelse. WordPress Codex har selvfølgelig også instruktioner til hvordan du opsætter HTTP authentication, både på Apache og Nginx servere.

Bloker adgangen på IP-niveau

En anden metode er at blokere adgangen til WordPress-loginformen ud fra forespørgerens IP-adresse. Hvis du ved at du har en fast IP-adresse og at du vil have den samme adresse lige så længe som du har din WordPressside kan du selvfølgelig lave en opsætning der kun giver den ene IP-adresse adgang til din loginside, men det er de færreste forundt (og nu er ikke tidspunktet til en IPv6-diskussion).

Et alternativ, som vil være mere relevant for de fleste, er kun at tillade en IP-adresse X antal loginforsøg, før denne blokeres. Dette kan gøres på WordPressniveau vha. et plugin som WordFence (tak til Kasper Bergholt for anbefaling af pluginet, der tilsyneladende også kan mange andre lækre ting), men igen har vi problemet med at hele WordPresspakken skal startes op, før der kan tages stilling til om en bruger skal have adgang eller ej. Dette er dog noget mere besværligt, og nok ikke noget alle og enhver bare bør kaste sig ud i, men en guide til opsætning af af rate-limiting på Apache kan findes her. Hvis man vil opsætte rate limiting i .htaccess, kræver det dog at man kører Apache med mod_security 2.7.3 eller senere.

Et problem med denne tilgang til det igangværende angreb er at angrebet som forklaret udføres af et botnet der arbejder fra mere end 90.000 forskellige IP-adresser (med mulighed for udvidelse, hvis de får succes). Det betyder at de potentielt kan fortsætte angrebet fra en ny IP, hvis en af adresserne bliver spærret. Dog må der altid være en form for ressource cost tilknyttet hvis angrebet skal flyttes til en ny afsender, da der skal holdes styr på hvor langt hver angriber er nået i ordbogen. Så jo flere lag af sikkerhed du kan opsætte, jo sværere bliver det for angriberen.

Opsummering

Så for at opsummere hvad jeg mener du bør gøre for at højne din WordPress-sikkerhed generelt, og imod det måske igangværende angreb er:

  1. Hold WordPress opdateret, inkl.
    • WordPress core
    • Alle installerede plugins
    • Alle installerede temaer
  2. Tag backup. Om ikke andet for at gøre det lettere at komme tilbage på benene hvis uheldet skulle være ude.
  3. Lad være med at have en adminbruger med navnet admin.
  4. Brug ordentlige passwords. Brug evt. en passwordmanager.
  5. Passwordbeskyt din loginside.
  6. Bloker adgangen for IP-adresser der prøver at gætte dit password.

Hvis i har andre gode råd til beskyttelse af WordPress hører jeg selvfølgelig også gerne om det i kommentarfeltet nedenfor, så vi kan få spredt ordet om ordentlig sikkerhed (At lade være med at bruge WordPress godtages ikke som et godt råd, så hvis det er din mission, så spar dig selv besværet og lad være med at skrive det her).

Jeg har i tidens løb nævnt en række projekter af forskellig størrelse, som jeg har arbejdet på. Nu er det tid til endnu et, og det er et større et af slagsen, specialet på mit studie på DTU, og dermed afslutningen på mit studie til civilingeniør.

Jeg skal arbejde med en idé jeg har haft igennem længere tid, men som jeg aldrig er kommet i gang med, men nu skal det være. At jeg kan få lov til at arbejde med et projekt som jeg synes er så interessant er jo kun en bonus.

Den grundlæggende ide

Den grundlæggende idé er rimelig simpel, så simpel at det egentlig undrer mig at jeg ikke kan finde andre der har gjort det endnu, ihvertfald ikke i København.

Der er mange muligheder for at gå ud i København, her tænker jeg på barer, værtshuse, spillesteder osv. Faktisk er der så mange at det kan være svært at vælge hvilket sted man skal vælge på et givent tidspunkt. Samtidig er der tilpas mange til at det er svært at have et overblik over de muligheder man har når man gerne vil ud. Det bliver ikke lettere hvis man på et tidspunkt befinder sig et sted i byen man måske ikke kender så godt, og hvor man måske ikke lige ved hvor man bør gå hen (*host* Amager).

Den grundlæggende idé er så en simpel mulighed for at søge efter steder i nærheden af hvor man befinder sig. De fleste har efterhånden adgang til en smartphone når de går ud. Disse indeholder både adgang til internettet og lokationsmuligheder, så de teknologiske krav er som oftest opfyldt, der mangle bare servicen.

Dette kan man delvist klare allerede med eksisterende services som AOK eller Yelp hvis man kan få filtreret spisesteder og shopping fra. Det nu hedengangne MitKBH kunne indtil for nylig også delvist tilbyde noget lignende, ligesom Carlsberg med deres nye CrowdIt vist nok også prøver.

Hvor er underholdningen?

Nogen gange vil man dog lidt mere end bare at finde det nærmeste sted, da man forskellen mellem en god og en dårlig bar kan være så simpel som en 30m gåtur. Derfor kan det være relevant at kigge på lidt mere end bare afstanden.

Den første udvidelse til den grundlæggende idé var derfor at udvide søgningen til at omfatte flere af barernes tilbud. Det kunne være noget så simpelt som at finde en ryger eller ikke-rygerbar, eller f.eks. det kunne være muligheden for at søge efter barer der tilbyder

  • Poolbord
  • Billard
  • Dart
  • Whiskeykort
  • Specialøl
  • Osv.

Mulighederne er mange da vi hver især har forskellige formål med at tage ud. Teknisk er der dog stadig tale om en rimelig simpel søgefunktion, næppe noget der har specialepotentiale for en IT-studerende. Det skal være vildere!

Det mere avancerede

En lokation er bare en af de mange ting en smartphone kan fortælle om brugeren. En smartphone er på mange måder en bærbar PC i klassisk forstand, altså en Personlig Computer (frit oversat). Den vil derfor ofte have kendskab til mange flere oplysninger der kan gøre et søgeresultat mere interessant for brugeren, og det er her det egentlige specialepotentiale kommer ind i billedet. Med adgang til flere oplysninger om brugeren bliver det muligt at tilbyde en mere personaliseret service, og der er generelt mange data der kan bruges til at forbedre oplevelsen.

Dine vaner kan over tid fortælle noget om hvilke steder, eller hvilken type steder du normalt vil vælge. Dette kan bruges til at anbefale nye steder enten i samme genre, eller steder som andre med vaner i stil med dine anbefaler.

En anden mulighed er at kigge på Facebook. Hvilke steder anbefaler dine venner, disse kunne måske have interesse for dig også, især hvis det er venner du i forvejen er meget sammen med, eller ofte tager i byen med.

Selv noget så simpelt som tidspunktet kan være interessant at kigge på. Der er næppe nogen grund til at anbefale en bar der lukker en halv time senere, hvis det i forvejen tager ti minutter at gå derhen. På den anden side kunne det være interessant hvis dine venner har offentliggjort, f.eks. med et Facebook check-in, at de er et sted i nærheden af dig.

Selve specialet

Jeg har efterhånden diskuteret idéen med en del mennekser (mange tak for inputs, alle sammen!) og det er der kommet rigtig mange spændende idéer ud af, også mange flere end opsummeret ovenfor, så jeg tror på at der er rigeligt med muligheder for at udvide konceptet, og hvilke idéer og tilgangsvinkler jeg ender med at vælge er jeg stadig ikke helt sikker på, men jeg tror der er potentiale.

Den 31. Oktober 2006 kl 21:06 blev det første indlæg posted på det danske Ubuntu supportforum. Det var den spæde start på et forum der siden har udviklet sig meget.

Forummet har pt. over 5000 brugere, og i dag nåede de endnu en milepæl. Der er dags dato blevet skrevet ikke mindre end 100.000 indlæg! Det må jo betyde at de har gjort et eller andet rigtigt.

Tillykke til de mange aktive brugere, og ikke mindst de dygtige supportere! Godt gået, og held og lykke med de næste 100.000! :-)

WordCamp er som jeg har nævnt før på bloggen, vel overstået. Så nu må det være på tide at komme tilbage i den samme gamle rille, og lade WordPress være WordPress.. eller hvad?

Man kunne også vælge noget andet.
Efter søndagens WordCamp var vi en gruppe mennesker der satte os ned, for at prøve at danne os et overblik over hvor WordPress Danmark står i dag, og hvor vi gerne ser det bevæge sig hen af i fremtiden. Det blev til en række foreløbige mål, de har allesammen hjemmesiden som udgangspunkt, men forhåbentlig kan den øgede aktivitet skabe noget opmærksomhed omkring projektet, der så senere kan brede sig til flere kanaler.

Hovedpunkterne for WordPress DK hjemmesiden var:

  • Siden med bureauer skal erstattes, eller med enkeltpersoner der arbejder professionelt med WordPress, så det bliver lettere at finde folk med de rigtige kompetencer.
  • Gæstebloggere – For at skabe mere liv på hjemmesiden, skal det gøres lettere for folk med noget på hjerte, at få lov til at udgive gæsteblogindlæg på wp-danmark.dk
  • WordPress Planet – Der er mange danskere der allerede blogger på dansk om WordPress på deres egne blogs. De skal have mulighed for at tilmelde deres blogfeed til en feed aggregator, der samle danske blogindlæg om WordPress et fælles sted
  • Danske oversættelser af plugins – Det skal være lettere for folk at finde WordPress plugins der er oversat til dansk, samt at hjælpe med at oversætte plugins.
  • ShowCases – WordPress kan stort set alt hvad du skal bruge, og det kan se godt ud mens det gør det. Der skal samles nogle gode eksempler på hvorfor WordPress ikke længere bare er blogging software.
  • Accessibility var et populært emne under hele WordCamp. Da så mange af deltagerne mente at det var så vigtigt, og at det bestemt er muligt at opnå med WordPress, synes jeg bare det er med at komme i gang og få det bevist. Det er jo ingen skam at fremstå som et godt eksempel :-)
  • Forummet virker pt. som den mest aktive del af sitet. Det er godt. Men det indeholder pt. et stort arkiv af gammelt materiale, noget nyt, noget outdated, noget glemt noget tabt, og noget der måske aldrig igen skal beskues af menneskeøjne. Vi skal finde ud af hvad vi gør med det forum. Er udviklingen gået så hurtigt at de gamle indlæg er outdated og bare kan smides væk, eller er der værdi i at få det struktureret, samlet og måske opdateret? og hvem skal i så fald gøre det?

Ja, der er nok at tage sig til, og der skulle være arbejde nok til alle, så hvis du har en interesse i et af ovenstående emner, eller har andre forslag til hvordan vi kan udbrede WordPress i Danmark, så hop forbi den nye smarte udviklingsblog, og giv dit input!

Jeg har selv meldt mig som tovholder på oversættelsesholdet, og jeg vil i et senere indlæg komme ind på hvad jeg har af idéer til emnet.

Som nævnt har jeg brugt denne weekend på årets WordCamp Danmark. Jeg skrev i går om WordCamp Danmark, første dag.

Dette indlæg vil omhandle de fleste af mine oplevelser på andendagen. På anden dagen skete der et par interessante ting ud over foredragene og jeg har derfor valgt at fordele andendagen over flere indlæg, men mere om det senere, dette indlæg handler om foredragene.

Da der var 2 aflyste foredrag, var der nogle ændringer i programmet, så dette er altså ikke retvisende for dagen.

Dagens første foredrag var Thomas Clausen, som på første dagen fortalte om webshops. I dag fortalte han om et emne der kom op flere gange i løbet af førstedagen, nemlig custom post types, og taxonomies.
Foredraget startede med en introduktion til custom post types og taxonomies. Det var en god introduktion, der fik slået nogle definitioner og forskelle ordentligt på plads. Et hovedtema som Thomas kom tilbage til flere gange, var WordPress’ template hierarchy, og hvordan WordPress finder ud af hvilken template der skal bruges, baseret på hvilken post type man arbejder med.
Det var et rigtig godt foredrag, der fik slået en række definitioner på plads som jeg synes har manglet lidt. Desuden førte foredraget til en rigtig god debat, og en række længere diskussioner. Det var godt, og slidesne kan findes på SlideShare.

Andet foredrag var Mark Gazel, hovedmanden bag WordPress Danmark, samt hovedforcen bag årets WordCamp (Mange tak!), der snakkede om WordPress Danmark, før, nu og i fremtiden.
Mark startede med lidt forhistorie om hvordan WordPress Danmark opstod, samt forløbet op til at han pludselig, uventet, havde fået overdraget ansvaret for hele foreningen. Dette endte ud me en kort opsummering af hvad der er sket siden WordPress meetup’et (lækkert ord!) tidligere på året.
Herefter kom han lidt ind på oversættelse af WordPress, og plugins til dansk, hvordan det ofte foregår, samt noget om hvorfor det er vigtigt.
Den sidste del af Mark’s foredrag handlede om hans tanker vedrørende WordPress Danmark hjemmesiden, både hvordan det så ud nu, og hvad han håbede at se fremover. Dette ledte til endnu en rigtig god debat, denne gang om foreningens hjemmeside, og hvad den evt. kunne bruges til. Desuden spawnede foredraget en arbejdsgruppe, der sidst på eftermiddagen satte sig sammen, og snakkede om hvad der skulle ske fremover, samt hvordan vi skulle nå frem til dette. Mere om det i et senere indlæg. Mark’s slides findes som resten online.

Det tredje foredrag blev forestået af Mikkel Breum, der snakkede om WordPress themes, og funktionalitet.
En af Mikkels hovedpointer var at themes var meget mere end et pænt design. Langt de fleste theme indeholder også en del teknisk funktionalitet, både i form af indlejret speciel kode, men også i form af inkluderede plugins og tilgængelige shortcodes og custom post types. Dette kan bl.a. give nogle problemer hvis man skifter theme, da man pludselig kan stå med manglende funktionalitet, eller endda manglende blogindlæg, da man har mistet en post type.
Mikkel argumenterede for hvorfor plugins bør installeres ordentligt, i stedet for at indlejres i et theme, hvilket jeg synes er rigtig fornuftigt. Jeg synes generelt at det er en god idé som udvikler, at benytte et MVC design pattern, eller en afart heraf, når man udvikler. Selv brugte Mikkel et projekt ved navn TGM Plugin Activation, til at lade sine themes installere de plugins han bruger direkte i WordPress intallationen, det er et projekt jeg selv skal have kigget mere på.
Til sidste var han en smule inde på parent og child themes, og opfordrede spirende WordPress designere til at sætte sig ind i WordPress’ Theme Review Guidelines, og evt. give en hånd med på Theme Review holdet.
I løbet af foredraget nævnte Mikkel bl.a. ThemeForest, WpCandy og Theme.fm som gode steder at finde themes.

Det sidste foredrag bestod hovedsageligt af at folk præsenterede forskellige WordPress projekter de havde arbejdet på, og snakkede om hvilke plugins og teknikker de havde fokuseret på i projektforløbet, samt hvad tankerne bag projektet har bestået af. Der var rigtig mange spændende projekter, så mange at jeg mener disse fortjener et indlæg for sig selv.

Alt i alt var det en rigtig god weekend, med masser af inspirerende foredrag, og endnu flere inspirerende mennesker. Mange tak til alle deltagende, og især til Mark, for at få det hele op at stå! I løbet af dagen blev nævnt rigtig mange forskellige ressourcer, og Thomas Gam har samlet en liste med mange af dem.

Var du med? Hvad var dine indtryk af erfaringer af arrangementet, og de forskellige foredrag?

Edit: Jeg har tilføjet de resterende slides.

Det var som tidligere nævnt ikke min plan at deltage i dette års WordCamp, men da Lars Bachmann var så rar at trække min kommentar som vinderen af en af hans 2 udloddede billetter, var det jo bare om at komme afsted (alt andet ville da også være uhøfligt).

Det jeg personligt fandt mest interessant på første dag, var de mange rare mennesker, der alle var friske på en god samtale om diverse webprojekter, samt hvordan vi hver især bruger WordPress eller andre platforme. Men der var også et rigtigt spændende WordCamp program, med oplæg jeg gerne vil knytte nogle noter til.

Første oplæg var WebMatrosen (fedt navn, egentlig) Oliver Nielsen, der snakkede om brug af videoer online. I starten var jeg ikke helt imponeret, både fordi jeg ikke er voldsomt interesseret i videoredigering, men også fordi det virkede som om at oplægget ikke ville bestå af andet end fremvisning af diverse billeder og videoer. Det ændrede sig heldigvis hurtigt, og førte til Oliver’s tilgang til brug af video online, samt en introduktion til de virkemidler han fokuserer på når han arbejder med videoproduktion, det kunne opsummeres i forkortelsen SUCCES(S), som står for (frit efter min hukommelse):

  • Simplicity
  • Unexpectedness
  • Concreteness
  • Credibility
  • Emotions
  • Stories

Som man kan lære mere om i bogen Made to Stick. Oliver’s slides findes på SlideShare

Andet oplæg blev forestået af Thomas Clausen fra Designgrotten, som talte om brugen af WordPress som e-commerce platform (hans slides findes på slideshare). Det blev hurtigt til en diskussion om hvilken e-commerce platform der er den bedste, en god debat som jeg tror kunne være interessant at have, men jeg synes det var lidt synd da det ikke var et godt tidspunkt til debatten i mine øjne. Noget jeg fandt rigtigt interessant ved Thomas’ oplæg var hans eksempler på plugins han selv brugte, og nævnte som det vigtigste WooCommerce.
Desuden fortalte Thomas om den He-man model han selv arbejder efter:

  1. Handling
  2. Entusiasme
  3. Mål
  4. Aftaler
  5. Niche

Tredje oplæg var Joen Asmussen, der i dagens anledning havde valgt at tage bukser på, på trods af titlen “Bukser ikke påkrævet”.
Joen arbejder til dagligt hos Automattic, som er firmaet bag WordPress. Han fortalte bl.a. om hvordan det er at arbejde for Automattic, og hvordan de arbejder og får virksomheden til at hænge sammen, på trods af at medarbejderne er spredt ud over hele kloden, og sjældent mødes in person. Endnu et godt oplæg, og slidesne er tilgængelige online.

Dagens sidste oplæg stod Lisa Risager for. Lisa snakkede om at personalisere WordPress. Det handlede om theming, og fordele og ulemper ved at lave sine egne themes vs. at benytte eller tilpasse andres themes. Desuden blev der snakket en del om fordele og ulemper ved brugen af plugins, vs. at definere de funktioner man skal bruge i WordPress’ functions file. Oplægget virkede desværre nogen gange som om det var en genopfriskning fokuseret på folk der allerede havde arbejdet med emnerne, nærmere end en introduktion til folk der gerne ville i gang, men overordnet set synes jeg der var et ok fokus, og det var generelt en fint oplæg, med nogle rigtig gode diskussioner. Lisas slides kan desuden findes på SlideShare.

Alt i alt synes jeg det var en rigtig god første dag, og jeg glæder mig meget til dag 2!

Da der var et oplæg om brug af video, er der selvfølgelig også blevet optaget i løbet af dagen, og så vidt jeg ved er planen at optagelser fra alle oplæg kommer online på et tidspunkt.

Edit: Indlægget er nu opdateret med links til de manglende slides.

I denne weekend, afholdes der for anden gang Wordcamp i Danmark. Det var egentlig ikke min plan at deltage, da jeg synes jeg har rigeligt at se til, men da jeg var så heldig at vinde en billet fra Lars Bachman ser det ud til at jeg skal afsted alligevel.

Jeg var ikke med til den første Wordcamp, så jeg glæder mig til at se hvad det er for noget. Programmet virker rimeligt løst sammensat, men med en række spændende emner, og der er da en del af dem jeg ser frem til at høre mere om. Mindst lige så interessant, synes jeg dog er tilmeldingslisten, der indeholder en række navne på folk jeg glæder mig til at møde, igen eller for første gang.

Jeg tror det bliver en rigtig hyggelig weekend. Kommer du, og hvad glæder du dig til at opleve? Hvis du endnu ikke har anskaffet dig en billet, er der tilsyneladende stadig nogle tilbage hos place2book.

Jeg deltager i øjeblikket i et kursus kaldet Operating Systems for Network Security. Jeg tænkte at jeg løbende ville dele en del af mine noter her på bloggen, det kunne jo være andre kunne finde noget inspiration i dem.

Definitioner

Først ligger vi ud med nogle definitioner. Der er her tale om de grundlæggende elementer vi har at arbejde med når et netværks skal beskyttes.

Border Routers

Formålet med en router er at fordele trafikken på et netværk, og sørge for at alle pakker kommer det rigtige sted hed. En border router er den sidste router der adskiller dit netværk, fra et netværk du ikke stoler på, f.eks. internettet.

Firewalls

Mens routeren sørger for at sende alt trafik i retning af rette modtager, sørger en firewall for at filtrere datapakkerne, så kun de ønskede data for lov at komme ind i, eller ud fra, et netværk.

Intrusion Detection systems (IDSs)

Et Intrusion Detection System (IDS) fungerer som en tyverialarm, der giver besked hvis der opdages forsøg på utilsigtet indtrængen. Der findes to slags IDS, Network-based (NIDS) der er tilknyttet en firewall og overvåger trafikken på netværket, samt Host-based (HIDS) der er tilknyttet den enkelte maskine, og overvåger trafikken til maskinen.

Intrusion Prevention systems (IPSs)

Mens et IDS vil forsøge at opdage forsøg på indtrængen og advare en administrator, vil et IPS selv forsøge at bremse forsøg på indtrængen.

Virtual Private Networks (VPNs)

Et VPN er en krypteret forbindelse over en usikker kanal såsom internettet. Dette kan f.eks. være nyttigt hvis man har brugere der skal have adgang til interne data såsom mailservere, fra eksterne placeringer, f.eks hjemmefra. Et VPN vil dog kun beskytte selve forbindelse, hvis en klient derfor er kompromiteret, kan det være muligt at trænge ind i et privat netværk via en VPN-forbindelse opsat af den kompromiterede klient.

Software Architecture

Softwaresikkerhed er også en vigtig ting at tage højde for. Hvis en webshop f.eks benytter sig af e-commerce software med sikkerhedshuller i, kan det være muligt for ondsindede folk at få adgang til interne data ved at udnytte disse huller, da der her ofte vil være tale om en forbindelse mellem intern software, og en database, vil det normalt kunne foregå uden hverken IDS eller IPS opdager det.

De-Militarized Zones (DMZs) and Screened Subnets

En De-Militarized Zone (DMZ) er et område på et netværk der ikke er beskyttet af en firewall. Det vil altså ofte være området fra en border router, til en firewall.
Et Screened subnet er en del af netværket bag en firewall, som stadig kan tilgåes fra internettet. Screened subnets kan f.eks bruges til at adskille web- og mailservers, der skal kunne tilgås fra internettet via bestemte protokoller, fra brugernes arbejdsmaskiner der skal kunne tilgå internettet, men som ikke skal kunne tilgås udefra.

Defense in Depth

En god sikkerhedsmodel fungerer som et løg. Det består af flere uafhængige lag, der til sammen gerne skulle beskytte de systemer du prøver at beskytte. Det er vigtigt at have styr på alle sine beskyttelseslag, da ingenting, som bekendt, er perfekt. Skulle det lykkedes uvedkommende at slippe igennem det yderste lag vil det derfor være rart at næste lag kan tage sig af problemet. Vi arbejder her med 3 komponenter.

  • The Perimeter
  • The Network
  • The Human factor

Disse 3 vil blive gennemgået hver for sig.

The Perimeter

Når man snakker om netværkssikkerhed tænker folk oftest på perimeteren. Dette er det yderste lag af netværket der adskiller dit netværk fra det store stygge internet. Når vi snakker sikkerhed i dette lag snakker vi altså ting som:

  • Static Packet filters
  • Stateful firewalls
  • Proxy firewalls
  • IDS & IPS
  • VPN devices

The Network

Her tales der selvfølgelig om dit interne netværk. Det vil sige både servere, klienter, og netværkshardware. Netværkslaget kan altså med fordel deles op i to mindre dele, netværkshardwaren, og de systemer du prøver at beskytte.

Netværket

På selve netværket kan sikkerheden bestå af ting som:

  • Ingress & Egress filtre
  • Interne firewalls til at opdele netværket i mindre dele
  • IDS-systemer til at holde øje med om nogen skulle have held til at bryde igennem perimetren

Interne systemer

På de interne systemer kan sikkerheden bestå af ting som

  • Personlige (host-centric) firewalls
  • Antivirus software
  • Patching af sikkerhedshuller i OS og andet software
  • Forvaltning af opsætning – procedurer til at sørge for at både software og antivirus definitioner er opdateret
  • Revision

En stor del af denne sikkerhed kan altså delvist automatiseres, såsom udrulning af softwareopdateringer, andet kræver dog en del manuelt arbejde, såsom den løbende revision af sikkerhedsprocedurer.

The Human factor

En stor fejl der ofte begås når IT-sikkerhed planlægges er at man glemmer den menneskelige faktor, og kun tænker på hardware- og softwaresikkerhed. Det er dog vigtigt at alle brugere sættes ind i organisationens sikkerhedspolitik, og ved hvad der forventes af den enkelte, og ikke mindst hvorfor. Hvis en medarbejder f.eks har sin maskine med hjem, og ved et uheld får installeret en ord der spreder sig til hele organisationens interne netværk via en VPN-forbindelse, vil alverdens firewalls ikke kunne redde dig. Det er derfor vigtigt med en nogle klare sikkerhedsprocedurer, hvor der tages højde for ting som:

  • Authority – Hvem har adsvaret for hvad, mht. en given procedure
  • Scope – Hvem skal kende den enkelte procedure
  • Expiration – Hvornår vil en given procedure blive forældet?
  • Specificity – Hvad forventes der af en enkelte?
  • Clarity – Kan alle involverede parter rent faktisk forstå proceduren?

Opsummering

Der er altså rigtig mange ting man skal tage højde for når man arbejder med sikkerhedspolitiken i en organisation. Der er både tale om hardware-, software- samt menneskelige overvejelser man skal tage højde for på flere niveauer.
Jeg vil forhåbentlig komme med flere indlæg løbende, som jeg kommer igennem bog og forelæsninger.

Convergence Culture cover

Convergence Culture - Where old and new media collide

Bogen “Convergence Culture – Where old and new media collide” gennemgår en række cases hvor online medier er blevet udnyttet på en måder der har haft indflydelse på begivenheder og ting og universer der før hovedsageligt har hørt til i offlineverdenen.
Som nævnt er der i bogen meget fokus på cases fra den virkelige verden, disse cases analyseres så, og forfatteren Henry Jenkins forsøger fra hver case at komme frem til hvordan de enkelte cases har haft indflydelse på omverdenen, og undgår så vidt muligt at tage stilling til om det har været en positiv eller negativ indflydelse.

Bogen starter med en introduktion hvor Jenkins forklarer hvad det er han gerne vil med bogen, samt introducerer en række begreber, såsom mediekonvergens, som han mener er vigtige for at forstå resten af bogen.
Selve bogen består af 6 kapitler, der hver tager fat på en ting eller en begivenhed offline, og ser på hvordan onlineverdenen har vist sin indflydelse.

  1. Kapitel 1 – Første kapitel ligger ud med at snakke om serien “Survivor” (på dansk Robinson Ekspeditionen). Her fortælles om hvordan online fællesskaber er opstået med det formål at gætte i hvilken rækkefølge deltagerne af serien ville ryge ud af showet, samt hvem der ville være tilbage som den endelige vinder. Der fortælles samtidig om hvordan flere af disse såkaldte “Spoilers” samarbejder, og forsøger at opnå anseelse i Spoilermiljøet, ved at komme med nøjagtige forudsigelser og afsløringer. Desuden handler afsnittet om hvad skaberne af serien har gjort for at bekæmpe eller vildlede de såkaldte Spoilers, og hemmeligholde både deltagerliste og vinderen af serien, helt indtil sidste afsnit af hver sæson.
  2. Kapitel 2 – Næste kapitel handler om reality showet Americal Idol. Afsnittet fokuserer meget på det pengeflow der er i realityserier som American Idol og “The Apprentice”. Der handler om målrettede reklamer, product placement, og branding, og hvordan marketingfolk forsøger at manipulere deres målgrupper via medierne.
  3. Kapitel 3 – Mange tror at fejlagtigt at kultserien the Matrix er en filmtrilogi, men det er i virkeligheden meget mere end det. Tredje afsnit i bogen handler om hvordan bl.a. filmproducenter som Waschkowsky Brothers, der står bag Matrix-universet, benytter sig af en lang række af medier der tilsammen skaber det enorme univers som the Matrix foregår i, samt den alnge historie der udspiller sig på tværs af film, computerspil og tegneserier, og som fans selv får mulighed for at skrive videre på bl.a. igennem fanfiction og ved at deltage i onlinespillet.
  4. Kapitel 4 – Et andet meget kendt univers er det de fleste kender fra Star Wars filmene. Dette univers er udgangspunktet for fjerde kapitel i bogen, der har fokus på fans, fanfiction og andre fankreationer. Universet og de fiktive personer fra filmene og bøgerne bliver dog opfattet som intellektuelle rettigheder, ejet af skaberen George Lucas. Kapitlet handler om disse fans’ kamp imod rettighedshaverne, for deres ret til at kreere og distribuere disse fankreationer. Kapitlet fortæller samtidig om rettighedshavernes kamp med og mod deres fans.
  5. Kapitel 5 – Harry Potter er endnu et enormt univers der spænder over adskillige bøger, film og computerspil. Når et univers opnår som dette opnår så mange fans som Harry Potter har opnået, opleves det ofte at disse fans ikke bare vil være forbrugere, men de vil også selv være en del af universet. For Harry Potter har dette betydet enorme mængder fanfiction, og endda sfiktive nyhedssite, der rapporterer om nyheder og begivenheder i landende ved og omkring Harry Potters skole, Hogwarts. Forfatteren til Harry Potter bøgerne J.K. Rowling har hele vejen igennem processen været meget positiv overfor disse fans, og deres vilje til at deltage aktivt i Harry Potter universet. Kapitlet fortæller om Rowlings forsøg på at samarbejde med disse fans, og hvordan dette samarbejde både har gjort hendes fans glade, samt skaffet en endnu større interesse for Harry Potter.
  6. Kapitel 6 – I sidste kapitel tager forfatteren et skridt ud af disse fiktive verdener, og fortæller om online verdenens indflydelse på offline verden. Med udgangspunkt i det amerikanske præsidentvalg i 2004, fortælles her om politikeres brug af online medier som Facebook og Youtube til at styrke forholdet mellem kandidaterne og deres vælgere, til at sprede ordet om den politik de fører, og endda til at samle penge ind til at føre valgkamp både online og offline.

Bogen gennemgår mange interessante og forskelligartede cases, og fortæller både om online og offline mediers indflydelse på resten af verden, men også på samspillet mellem disse medier. Der fortælles både om skaberne og forbrugerne af medieindhold, samt om de mange mennesker der fungerer som både skabere og forbrugere i forskellige sammenhæng. Desuden tages der en række problemstillinger op såsom mediers bevidste manipulation af folk, hvordan ophavsret kan både beskytte og dræbe skabernes universer og indtægtskilder, samt hvor nødvendigt det er for skaberne af indhold både at samarbejde med, samt modarbejde fans, for konstant at holde det skabte interessant, hvad end der er tale om fiktive universer, eller reality shows.

Jeg synes bestemt bogen er læsningen værd hvis man interesserer sig for de forskellige medier, og samspillet mellem dem. Men det er vigtigt at huske at bogen er et forsøg på en objektiv fortælling om udvalgte cases der er overstået, og ikke en analyse af hvad der er rigtigt eller forkert hvis man vil skabe indhold. Bogen lærer dig altså ikke hvordan du skaber et kultunivers, eller en viral youtube-film, men den kan fortæller om nogle af de problemstillinger folk før dig har stået overfor.
Bogen kan lånes på biblioteket, eller købes hos boghandlere som f.eks. Amazon.

Trust agents cover

Chris Brogan & Julien Smith - Trust Agents cover


Jeg har igennem et stykke tid fulgt Chris Brogan da jeg godt kan lide hans holdning om hvor vigtigt det er for alle der arbejder med nettet at vise at det er rigtige mennesker der sidder bag skærmen. Dette gælder både for enkeltpersoner og virksomheder. Derfor har jeg også længe håbet på at få tid til at læse igennem bogen Trust Agents og nu blev det.

Bogen skuffede bestemt ikke, og jeg vil fra starten af gerne anbefale den til alle der arbejder med internettet og sociale medier på den ene eller den anden måde.
Bogen består af 8 kapitler og består groft sagt af 3 dele:
Første del, bestående af kapitel 1 er en introduktion til begrebet trust, og giver nogle eksempler på hvordan det kan være nyttigt, både på nettet og i “den virkelige verden”. Der gives også en introduktion til vigtige begreber som social kapital.
Anden del, som er hovedbestanddelen af bogen består af kapitlerne 2-7, igennem disse 6 kapitler introduceres 6 koncepter som forfatterne mener er vigtige at kende til når man begår sig på internettet og i sociale og professionelle netværk generelt. Disse omhandler alt fra hvordan du får folk til rent faktisk at lægge mærke til dig, til hvordan du i sidste ende får noget ud af disse relationer.
Sidste afsnit, og også sidste kapitel, er en opsummering af bogen og hele Trust Agent begrebet.
Jeg synes bogen kommer godt omkring hvad forfatterne mener er nødvendigt at vide for at begå sig i netværk både on- og offline. Der er en masse interessant teori der hele tiden bakkes op med konkrete eksempler, både med folk som f.eks Gary Vaynerchuk der har skabt sig en karriere via sit engagement på internettet, samt forfatternes egne erfaring, alt i alt et godt forhold mellem teori og praksis. Desuden består bogen af en lang række forslag til konkrete ting man kan gøre, både her og nu, men også på sigt, mht. at bygge og vedligeholde sit brand online.
Der er altså både teori, praktiske eksempler og konkrete forslag til hvad man selv kan gøre, kan man ønske sig mere?
Hele vejen igennem bogen sørger forfatterne dog for at understrege at ingen af disse ting er statiske. Verden forandrer sig konstant hvad end du arbejder online eller offline, og det er derfor ikke nok at se på hvad andre har gjort, og kopiere dette direkte, et af hovedpunkterne i bogen er derfor også “Make Your Own Game!”.
Desuden kan jeg rigtig godt lide at forfatterne aldrig vælger tilgangsvinklen med “hvad kan jeg få ud af at kende disse folk” eller “hvad kan ham her hjælpe mig med”. Deres fokus ligger hele tiden på “Hvad kan jeg gøre for at hjælpe ham/hende/disse?”.
Alt i alt er det som nævnt en anbefalelsesværdig bog, og især det velvalgte fokus på konkrete eksempler og fokuset på at hjælpe andre, og ikke sig selv tror jeg på mange kan få noget ud af.

Bogen kan lånes på biblioteket eller købes på Amazon.