Voddler, nya Spotify för filmer, hackades igår

Voddler, som beskrivs som den nya Spotify fast för filmer och tv-serier, lanserades bara för en vecka sedan, den 1:a juli.

Så här sa Mattias Hjelmstedt, medgrundare av Voddler, vid lanseringen:

– Voddler kommer att ge helt nya möjligheter att uppleva film i hemmet. Vi tror att det kommer bli en mycket stor efterfrågan på tjänsten, därför har vi lagt över hundra manår på utvecklingen. Nu är både tiden och tekniken mogen för en lansering. Voddler är motsatsen till fildelningssajternas oinspirerande torrents med filmer av varierad kvalitet. Det här är framtiden, både för användarna och för filmbolagen.

Via tjänsten kan man streama film i HD-kvalité (720p). Gratisversionen har 10 sekunders reklam i början av filmerna.

Igår blev dock hela sajten hackad av en fransman. Tydligen hade Voddler samma lösenord till både databas och till root kontot via SSH. Lösenordet låg dessutom i klartext i en publik textfil(!). Klantigt.

Hela källkoden till Voddler går nu att ladda ner exemelvis via Rapidshare.

Voddlers databas

Tillhörde du de få som fick konto på Voddler så är det alltså läge att snabbt byta lösenord.

Frågan är nu hur och om Voddler kommer kunna lansera sin tjänst.

Uppdaterat: Mattias Hjelmstedt kommenterar i ett mejl till mig det hela:

”Lanseringen kommer inte att fördröjas, det var våran temporära website som man kom igenom på. Inte den som ska gå skarpt. Det har inte heller något med streamingtjänsten och teknologin att göra. Det är självklart lite förarjligt, men det är numera helt tilltäppt och säkerhetsnivån är uppskruvad högt nu.”

Även IDG har skrivit om intrånget.

Uppdaterat 2: Även SvD skriver om saken.

Andra bloggar om: voddler, spotify, film, tv, tv-serier, säkerhet

Så kan Gmail-användare skydda sin e-post från att bli stulen

Google har problem just nu. Ett flertal olika tekniker för att stjäla Gmail-användarnas e-post har upptäckts. Attackerna sker via andra webbsidor, utan att användaren märker någonting. Minst en av teknikerna lägger till ett filter i Gmail som skickar vidare ens e-post till en annan adress. Läs mer om teknikerna här och här.

Det finns två väldigt bra sätt att skydda sig från dessa attacker.

1. Det lättaste sättet är logga ut från Google så fort du inte längre behöver vara inloggad.
2. Det andra sättet är att använda webbläsaren Firefox och installera tillägget NoScript. NoScript ser till att JavaScript endast exekveras på de sidor som du själv tillåter. För att Gmail skall fungera måste du exempelvis godkänna Google.com och Google.se.

Du kan kontrollera om du har blivit drabbad genom att logga in på Gmail och titta på dina filter.

Det är intressant att notera att Google inte tar något ansvar för dessa typer av incidenter: ”Google disclaims all responsibility and liability for the availability, timeliness, security or reliability of the Service. Google also reserves the right to modify, suspend or discontinue the Service with or without notice at any time and without any liability to you.” [Terms of Use]

Uppdaterat 1: Den här videon beskriver i detalj hur man använder NoScript

Läs mer i DN och IDG.

Uppdaterat 2: Sårbarheten i Gmail täpps till

Andra bloggar om: google, säkerhet, e-post, gmail

Firefoxtillägg från Google och Yahoo har stora säkerhetsluckor

De flesta utvecklare lägger sina tilläggsprogram på https://addons.mozilla.org. Observera att det är https och inte http. Det innebär att det är en säker anslutning.

Men, det finns också många utvecklare som lägger sina tillägg på sina egna domäner, på osäkra anslutningar. Bland annat gör Google, Yahoo, Facebook och Del.icio.us på detta sätt. Deras tillägg går inte att hitta på Mozillas säkra sidor, utan måste alltså laddas ner osäkert.

Nu varnar Wired användare från att installera tillägg som kommer från osäkra anslutningar. De menar att detta skapar möjligheter för hackers att installera helt andra, skadliga, tillägg på användarnas datorer.

”Instead of sending back the new legitimate code or a message telling the extension that it is up to date, the rogue wireless connection (or compromised router) sends a new malicious extension that could let an attacker take over the browser and use the computer to send spam, attack other computers or steal the user’s passwords and sensitive information.”

Mozilla är medvetna om problemet och skriver på sin blogg att de rekommenderar alla utvecklare att lägga sina tillägg på säkra anslutningar, och att de kommer att arbeta med utvecklarna för att hitta lösningar på detta problem.

”Add-ons that are hosted on the Mozilla Add-ons site are served over HTTPS and validated with a hash. These add-ons are not vulnerable to this attack. We strongly recommend that add-on developers require SSL for updates to prevent the attack described above.”

Tyvärr går det inte att se i Firefox vilka tillägg som kommer från säkra anslutningar eller ej. Så det är svårt att veta vilka av de tillägg som man redan installerat som kommer från en osäker anslutning.

Andra bloggar om: firefox, tillägg, säkerhet

Ps. Glöm inte att uppdatera Firefox. En ny uppdatering har precis släppts som täpper till en del säkerhetsluckor och är bättre kompatibel med Windows Vista. Mer info.

Koden värdelös, fungerar inte på nya HD-DVD filmer

Den kod som spridits runt om på nätet kom från början från programmet InterVideo DVD. Redan den 16 april rapporterade Yahoo! News att alla nya HD-DVD filmer, som skapas efter den 23 april 2007, använder sig av en ny kod. Detta får två konsekvenser

1. Sitter man på en ”gammal” version av InterVideo DVD så måste man uppgradera den. Annars kommer de nya filmerna inte att fungera.
2. Den kod som först inte spreds, men numera sprids av Digg har inte längre någon praktisk funktion.

Tekniken som används kallas för ”device key revocation”. Uppgraderingen av InterVideo DVD är obligatorisk eftersom de nya filmerna inte fungerar med den gamla programvaran. Den kod som spridits är knuten just till programmet InterVideo DVD. Och det verkar som om de nya filmerna fortfarande fungerar på andra HD-DVD-spelare.

Att koden inte längre fungerar är endast en liten nyhet. Snart knäcks den nya koden. Och de flesta klarar ändå inte av att använda den, oavsett om den fungerar eller ej. Som vanligt är det de som köper filmerna som hamnar i kläm. Det blir förmodligen lite jobbigt för dem när allt fler koder knäcks, i allt snabbare takt – och de hela tiden måste uppgradera sina HD-DVD-spelare…

Uppdaterat 1: Det finns hackers som hävdar att de hittat en kod som inte går att återkalla med ”device key revocation”.

Uppdaterat 2: En del av IDG kämpar fortfarande med att ta bort kommentarer på IDG.se som innehåller koden. Men nu visar det sig att en annan del av IDG själva skrivit ut koden i ett nyhetsbrev som gått ut till alla prenumeranter.

Andra bloggar om: digg, bloggar, copyright, dmca, hd-dvd, upphovsrätt, yttrandefrihet, storebror

Så skyddar du dig mot anti-piratsystemen

Bland annat Beta Alfa skrev häromdagen om hur anti-piratsystemen används för att samla in ip-adresser och automatiskt anmäla pirater. Torrentfreak har nu en intressant artikel om hur man, väldigt lätt, kan skydda sig mot dessa anti-piratsystem. Är du en pirat? Läs i så fall artikeln!

Andra bloggar om: pirater, fildelning

Bugg i Gmail exponerar dina kontakter

En bugg i Gmail gör att dina kontakter blir exponerade. Om sidan du besöker är ”elak” kan e-postadresserna till alla dina kontakter enkelt snappas upp. Adresserna kan därefter användas av exempelvis spammare.

Så här fungerar det: När du är inloggad på Google lagras dina kontakter i en JavaScript fil. Genom att inkludera JavaScript filen i sin hemsida kan man läsa av innehållet.

Nuvarande rekommendation är att logga ut från Google. Om du använder Gmail Notifier, Google Toolbar eller Google Desktop kan du dock bli inloggad automatiskt. Se därför till att stänga av den funktionaliteten eller avsluta programmet/programmen tills vidare.

En annan lösning för Firefox användare är att lägga till denna adress i AdBlock.

Läs mer hos Beta Alfa, IDG och Cyber-Knowledge (källa).

Uppdaterat 1 jan: Trots att Google i ett mejl säger att de löst problemet så finns buggen fortfarande kvar.

Uppdaterat 2 jan: Enligt flera källor skall buggen nu vara fixad. Men Google har ännu inte gått ut med något officiellt meddelande än.

Uppdaterat 3 jan: Enligt CNET har Google nu bekräftat att buggen är fixad.

Andra bloggar om: google, gmail, säkerhet

Google varnar för ”fientliga program”

Google har börjat varna för ”fientliga program”. En sökning på Google gav mig precis som vanligt ett sökresultat. Men när jag skulle klicka mig vidare fick jag upp en sida som varnade mig för att gå vidare.

Med stora bokstäver skriver Google ”Varning – webbplatsen som du tänker besöka kan skada din dator!”. Google länkar vidare till StopBadware.org för fler detaljer. Men där hittar jag inte någon information som förklarar varför sidan är blockerad. Går jag vidare till den blockerade sidan ser den också helt normal ut – men det är möjligt att det döljer sig ett skadligt program någonstans.

I det stora tycker jag att initiativet från Google är bra. Men det behövs mer information om varför en sida blir blockerad. Och om nu Google är bergsäkra på att sidan distribuerar skadliga program, varför döljer de då inte bara sidan i sökresultatet?

Jag kan även tipsa om gratisprogrammet McAfee SiteAdvisor som varnar redan i sökresultatet om sidan du tänkt att gå till på något sätt är skadlig och dessutom varför. Spana in videon.

SiteAdvisor fungerar både med Firefox och Internet Explorer och ger råd när du söker i Google, Yahoo! och MSN. När du surfar visar SiteAdvisor en liten knapp i webbläsarens verktygsfält som ändrar färg baserat på hur skadlig sidan är.

Värnar du om din personliga integritet kan det vara bra att tänka på att programmet SiteAdvisor kontinuerligt skickar information om vilka domäner du besöker.

Andra bloggar om: google, sökresultat, skadliga program, mcafee, siteadvisor

Fixa den bristfälliga kakhanteringen i Firefox 2

Normalt brukar en ny version av en webbläsare som Firefox innebära förbättringar, bl.a. brukar säkerheten vara en väsentlig punkt. Men med den kommande versionen 2.0 så har möjligheterna för anpassade inställningar av kakor försvunnit [via Webbanalys].

Tidigare har det, i Firefox inställningar, varit möjligt att blockera tredjepartskakor, dvs de kakor som ofta kommer från annonser. Denna inställning har dessutom varit förinställd vid installationen av Firefox och fungerat som ett grundskydd. Men i Firefox 2 har möjligheten att blockera dessa kakor försvunnit. Varför? Jag har letat efter något svar på den frågan, men utan resultat.

Det går inte att understryka hur viktig funktionen att blockera tredjepartskakor är. Så vi får verkligen hoppas att funktionen kommer tillbaks i en senare version av Firefox.

Men, som tur är finns fortfarande möjligheten att spärra tredjepartskakor kvar. Den må vara borttagen från inställningsfönstret, men det betyder inte att den helt försvunnit. För att ställa in blockering av tredjepartskakor gör du ”bara” så här:

1. Skriv in ‘about:config’ i addressfältet i Firefox
2. I filtret skriver du in ‘network.cookie.cookieBehavior‘
3. Högerklicka och välj modifiera
4. Byt den nuvarande siffran till ‘1’

Så här ser det ut:

Det finns också möjlighet att ställa in så att kakhanteringen så att den istället baseras på respektive webbplats P3P-policy. Ändra bara värdet på ‘network.cookie.cookieBehavior’ till ‘3’. Det går dessutom att styra om du vill ha låg, medel eller hög ”säkerhet” genom att ändra värdena på ‘network.cookie.p3plevel‘ till 0, 1 eller 2. Det förinställda värdet är ‘1’ vilket alltså motsvarar medel.

Andra bloggar om: firefox, firefox 2, cookies, kakor, p3p

Ta inte med dig dina lösenord i graven

Enligt CNet är det vanligt att anhöriga inte får tillgång till viktig information när någon i familjen går bort. Anledningen är att de anhöriga inte känner till de lösenord som krävs.

CNet tar upp ett exempel när en anhörig inte lyckades få tag på sin pappas kontakter eftersom hon inte hade lösenordet till hans e-postkonto. För många e-postleverantörer är denna situation knivig. De är rädda för hur folk reagerar om de börjar släppa ifrån sig känslig data. Men samtidigt är det många anhöriga som förväntar sig att få access till informationen.

Olika företag hanterar situationen på olika sätt. Google och Microsoft lämnar ifrån sig information till anhöriga – men bara om man har ett dödsbevis. Yahoo lämnar inte ifrån sig någonting till någon.

En lösning på problemet är att, i god tid, lämna ifrån sig sina lösenord till sina anhöriga, eller till sitt bankfack.

Till Firefox/Thunderbird finns det ett bra tillägg som heter Password Exporter som hjälper till med exporteringen av användarnamn och lösenord.

Andra bloggar om: lösenord

Säkerhetsbrist i Google kan användas för nätfiske

Eric Farraro har upptäckt en säkerhetsbrist i Google Public Service Search. Public Service Search tillåter bland annat att vem som helst kan skapa ett egendesignat sidhuvud och sidfot till det vanliga sökresultatet. Det Eric upptäckte var att man i sidfoten kan infoga JavaScript eller CSS-kod och på så sätt manipulera den vanliga sidan.

Med lite JavaScript lyckades Eric först dölja hela den ursprungliga Google-sidan och därefter lägga upp egen html-kod. Han valde att göra imitation av Gmail med en vanlig inloggningsruta. På detta sätt kan besökaren luras att tro att det är Google som står bakom sidan. Men fyller man i inloggningsrutan visar det sig att användarnamnet och lösenordet istället skickas till Erics egen sida.

Som tur är verkar Eric Farraro vara en god människa. Han har notifierat Google om problemet och lovar att han inte lagrar några användarnamn och lösenord.

Så här ser Eric Farraros fejkade sida ut

Än så länge fungerar forfarande den fejkade sidan GooglePlus. Som synes ligger den på Googles egen domän, vilket innebär att den ser helt äkta ut.

Uppdatering: Google har gjort en tillfällig lösning för att komma till rätta med problemet.

Andra bloggar om: google, nätfiske, säkerhet