All posts by Mikael "MMN-o" Nordfeldth

@umea.se accepterar falska domännamn

Jag undrar varför Umeå kommun tillåter ickeexisterande domännamn att skicka epost till sina servrar. Skickade häromdagen ett mail från cooldude33@fakemikel.yeah vilket gick rakt genom servrarna och ner i inkorgen hos mottagaren. Det finns ingen anledning att acceptera en sådan epostadress.

Kanske, kanske kan man tänka sig att myndigheter bör acceptera alla mail som inkommer – med anledning av allmänna handlingar, ev. rätt till anonymitet m.m. Dock måste man alltid även av tekniska skäl kunna dra en tydlig linje för att kunna uppnå en basnivå av användbarhet pga risken för spam/DDoS m.m. (men enbart rent tekniska skäl, inte i strid med nätneutralitet).

En sådan teknisk gräns kan (och bör) alltså vara att man inte tillåter falska avsändare. Jämförelsen med ett snigelpostat kuvert skulle vara att man antingen utelämnar eller skriver en felaktig avsändare på kuvertet. Till skillnad från postsystemet så kräver ju epost i vilket fall en avsändande mailserver – vilken måste ha ett IP-nummer för att kunna kommunicera över internet alls. Detta IP-nummer bör i sig i vilket fall ha en adress om man gör ett “bakåtuppslag” (dig -x 1.2.3.4). Vill man inte uppge sitt eget domännamn kan man alltså ange den mailserver som man använder sig av.

I och med det här borde man även komma ihåg att Umeå kommun länge saknade SPF-inlägg i DNS (tills jag tipsade dem). De saknar fortfarande t.ex. DKIM, men det har inte jag personligen heller satt upp så det vågar jag inte vara lika kritisk mot att de saknar. Man kan ju fundera dock på hur ofta någon på IT-avdelningen där sätter sig och ser över infrastrukturen. Förmodligen aldrig, förrän saker skiter sig för dem.

Helt fantastiskt är att man också gladeligen kan spoofa avsändare från välkända domännamn till @umea.se som dessutom skyddas med SPF, DKIM och dylikt, t.ex. @gmail.com. Ett stort bidragande problem i detta är förvisso att gmail.com inte har en avgörande SPF-regel (de anger “soft-fail” istället för att uttryckligen inte tillåta olistade servrar). Min personliga lösning är att reagera på “soft-fail” (~all) exakt likadant som en beslutsam regel (-all).

Så man kan åtminstone inte fejka mail från @umea.se till @umea.se hur som haver, eller t.ex. mellan @hethane.se och @umea.se för den delen. Skulle man vilja fejka mail från @umea.se måste man kontrollera någon av dessa servrar (dig -t txt umea.se och lite klipp och klistra):

ip4:91.123.56.128 ip4:193.75.92.154 ip4:193.254.4.5 ip4:193.254.7.81 ip4:193.254.7.205 ip4:195.234.14.133 ip4:193.254.7.74 ip4:193.254.4.57 ip4:193.254.4.60 ip4:193.254.4.73 ip4:193.254.4.74 ip6:2a00:1718:1:8::57/64 ip6:2a00:1718:1:8::60/64 ip6:2a00:1718:1:8::73/64 ip6:2a00:1718:1:8::74/64 ip6:2a00:1718:1:8::5/64

…intressant här är att utöver Umeå kommuns egna servrar så tillåter de även Microsoft att imitera epostavsändare (genom include:spf.protection.outlook.com) samt mjukvaruföretaget Visma och något till synes slumpmässigt företag, IT-konsulterna DataDuctus.

Tror även att /64-angivelsen på IPv6-adresserna innebär att alla adresser bakom 2a00:1718:1:8::/64 är acceptabla, inte bara ::{5,57,60,73,74}

Direktupphandlingar och annonser/reklam

Jag är nyfiken på hur lagen om offentlig upphandling gäller vid inköp av reklam.

Exempelvis den hypotetiska myndigheten “Umeo Kommun” som köper reklam från en hypotetisk asocial media-leverantör “Fasadbook”. Ifall beloppet av inköp överstiger 100 000kr förstår jag det som att särskilda krav kring dokumentation och riktlinjer behöver finnas. Ifall beloppet överstiger 534 890kr så måste inköpen ha skett genom att först annonseras ut.

Ifall inköpsbeloppet för reklam från Fasadbook exempelvis skulle överstiga 534 890kr – och den enda möjliga leverantören för detta är specifikt företaget som driver Fasadbook – kan en offentlig upphandling göras ö.h.t. då? Eller räknas alla marknadsföringsinköp (även utanför Fasadbook, t.ex. hos deras hypotetiska konkurrent Twatter) som köp “av samma slag”, som det benämns på er hemsida?

Det är ju nämligen väldigt svårt att offentligt upphandla reklam då det oftast _måste_ köpas direkt från en enskild plattformsoperatör med monopol över reklam- och tjänsteutbudet.

Eller blir det bara otillåtet för myndigheten “Umeo Kommun” att spendera mer än 534 890kr hos respektive enskilt reklamföretag (eller på reklam/annonser i helhet)?

Mailade ovanstående till Konkurrensverket och hoppas på ett informativt svar.

Programmerare ansvariga för vad deras kod gör?

En diskussion som är väldigt intressant kring självkörande bilar etc. är vem som bär straffansvaret vid olyckor m.m. Är det programmerarna (vars buggar kan orsaka olyckor), föraren (som inte kör), systemvetaren (som inte förutsåg alla situationer) eller företag (ledningen, som bär ansvar för produkterna i allmänhet)?

Vidare kan man fundera kring om programmerare verkligen bör kunna dömas för något man inte har rättigheter till, som en ingenjör (“hjälpt till att utveckla mjukvara”) nu råkar ut för: http://www.svt.se/nyheter/ekonomi/vw-ingenjor-erkanner-skuld

Nu vet jag inte hur harmoniserat det där är i EU/Tyskland/etc., men lek med tanken att man gör detta i Sverige: Mjukvaruutvecklare i Sverige har inga rättigheter till kod de utvecklar till sina arbetsgivare. De får inte välja varken licens eller ex. frigöra koden efter att anställningen upphör (och om det inte är fritt licensierat får de inte återanvända koden på andra företag!).

Ifall man inte kan påverka sin kreation pga den ägs till fullo av någon annan bör man väl inte behöva ta personligt ansvar? Volkswagen’s företagsledning är de som ska ta skiten (oavsett hur koden behandlas, förvisso). Precis som att om man utvecklar mjukvara för missiler så (förutom att man bör se över sin etik/moral) är man inte ansvarig för de som dödas av den.

Utveckling inom BankID’s marknadsställning och samarbete med Google

På GNU social så nämnde @pettter att det numera finns ett krav på Google Play Services för att använda Mobilt BankID.

Detta fick mig att tänka på ett ärende hos Konkurrensverket härom året där de beslutade att inte gå vidare (Konkurrensverkets diarienummer 350/2014) med att utreda ifall BankID utnyttjar sin dominans på marknaden (de är den enda generella lösningen för e-legitimation som används av Sveriges myndigheter).

Eftersom denna utveckling med inlåsning till Google och att man måste bli kund där påverkar flera aktörer på marknaden negativt eftersom samarbete med Google är långt ifrån lätt och inte minst saknar man förhandlingsutrymme mot en sådan jätte. Så jag mailade iväg detta till Konkurrensverket:

Hej,

den 26 maj 2014 beslutade ni (Dnr 350/2014) att inte vidare utreda eventuella konkurrens-/monopolöverträdelser utifrån BankID’s ovilja – trots sin marknadsdominans – att leverera mjukvara för GNU/Linux-operativsystem eller andra fria operativsystem (mjukvaran finns endast till kommersiella aktörer Apple, Microsoft, Google och inte tillgängligt ex. som källkod vilket skulle kunna möjliggöra tredjepart att utveckla stöd).

En viss utveckling i BankIDs fall har skett på sistone som dock kan intressera Konkurrensverket. Deras mobilmjukvara för Android-plattformen har tidigare gått att använda även i fria Android-alternativ (CyanogenMod, Replicant m.m.). Detta har dock ändrats och ett krav på “Google Play Services” har dykt upp för att använda “Mobilt BankID”-applikationen.

Detta innebär att användaren _även_ måste bli kund hos det annars helt orelaterade företaget Google, vilket har en direkt påverkan på konsumenters produktval och konkurrensmöjlighet på marknaden.

Telefontillverkare och operativsystemsutvecklare (såsom Jolla, Fairphone m.fl.) drabbas direkt negativt av detta eftersom de inte kan konkurrera på marknaden lika väl eftersom de inte har rätt att återdistribuera “Google Play Services”. Vill man ha fungerande Mobilt BankID, vilket är ett krav för alltfler myndigheters onlinetjänster, kan man inte längre göra detta utan att ingå i oansenliga avtal med någon IT-jätte.

Så som lekman tycker jag detta låter precis som något Konkurrensverket borde undersöka närmare.

(pettter nämner i en uppföljande notis att den bara säger att det in funkar, klickar man bort meddelandet funkar det än så länge… men poängen om missbruk av sin dominanta position på “marknaden” kvarstår då de _uppmanar_ till att bli kund hos Google för att kunna använda något som man i praktiken behöver för majoriteten myndigheters e-tjänster)

Nätneutralitet i EU till slut?

Som vi alla vet så har bl.a. Telia utnyttjat sin ställning på telekommarknaden till att premiera företag såsom Facebook och Spotify genom att sänka nätneutraliteten i sitt nät så att de blir gratis medan andra tjänster får en kostnad.

Ifall det går att kommunicera och lyssna på musik genom dessa kommersiella otjänster så kommer bl.a. ideella, ideologiska, världs- och internetvänliga alternativ att tryckas undan och bli otillgängliga samt svåranvända av kunderna hos dessa företag. Eftersom företag som Telia, som dessutom agerar på en väldigt sluten och kontrollerad marknad, är stora nog att välja vilka företag som får leva och dö måste detta regleras i lag, vilket kallas “nätneutralitet”. Att alla noder på internet är lika mycket värda och ska behandlas lika.

Jag läste på GNU social från Free Software Foundation att det nu klargörs i regelverken för EUs telekommarknad att nätneutralitet skall råda. Det måste nu testas för så kallad “zero rating” (nollkostnad) måste nu testas i varje enskilt fall i respektive land – där man ska göra bedömningen utifrån “marknadsandelen för internetleverantören, påverkan av konsumentens programval och hur utbredd verksamheten är” (“taking account for factors such as the market share of an ISP, effects on app choice, and the scale of the practice”).

Så jag hoppas verkligen att Telia (och 3? och vilka andra det nu är) förbjuds pyssla med att främja skev konkurrens på internet.

DRM-varningstexter borde införas i Sverige

Har noterat snack på sistone på GNU social om DRM-begränsning, vilket är exempelvis att du köpt musik som du har på din hårddisk men som du inte kan lyssna på utan att för _varje_ uppspelning (ev. med en kort cacheperiod) ansluta över internet till en server och fråga om lov – vilket förstås inte fungerar om t.ex. servern kraschat, företaget gått i konkurs etc. etc. Exempelvis kämpar Free Software Foundation vidare med att försöka stoppa standardiseringen av DRM i HTML5, ett resultat av Netflix lobbande för att begränsa möjligheterna med internet och webben.

Utöver detta så kampanjar EFF (fortfarande) om införande av varningstexter på produkter som är begränsade med DRM, Digital Restrictions Management alltså. Jag fick således motivationen att kolla med svenska Konsumentverket om de har några tankar kring produkter som säljs till kunder ovetandes eller oförståendes om denna inskränkning av konsumentens rättigheter.

Hej! Jag är nyfiken på hur Konsumentverket jobbar med planerat åldrande, alltså exempelvis förprogrammerad livslängd på bläckpatroner, svårigheter att uppdatera mjukvaror, DRM-begränsning där man inte äger produkten som köps utan bara en licens (ex. digital musik, ej “strömning”) medvetet dålig design som orsakar förkortad livslängd m.m.

Vilka krav finns på producenter och leverantörer? Vilka rättigheter har konsumenten? Finns det (ev. planer på) märkning av produkter som är artificiellt begränsade?

Frågor om kontanter vs. kortbetalning

En journalist från Västerbottens Kuriren kontaktade mig via okrypterad epost och frågade lite om kontanter, kortbetalning och spårning. Här är mitt svar med samtliga rader från hens mail inkluderat:

On 2016-07-19 10:11, [Namn] wrote:
> Jag heter [Namn] och arbetar på VK som reporter. Vi har lite tankar kring
> att det i höst kommer nya mynt och då kommer det inte längre att gå att
> betala med mynt när man parkerar.

Aha, var kommer informationen om att man inte längre kommer kunna betala med mynt från? Det är ju bara att konfigurera/programmera om myntinkasten i de existerande apparaterna för nya vikter m.m.

Kul kuriosa är att vi vid Hamnmagasinet, där jag jobbar, haft folk som kommit in och velat ta ut pengar i _mynt_ för att _kortbetalningen_ inte fungerat i någon vecka vid “Skeppsbron” (åtminstone t.o.m. slutet av förra veckan).

> Vi går mot ett allt mer kontantfritt
> samhälle, vi lämnar digitala spår efter oss

Ja, frågorna man borde ställa sig är:

1. Vem kontrollerar dina pengar/köp? (för både säljare/köpare – vem kan säga stopp för betalningar? Exempelvis för en fullt legitim webbutik som inte kan ta emot kortbetalningar)

2. Hur hög är säkerheten? Det finns saker som tvåfaktorautentisering m.m. vid internetköp, men oftast går det fortfarande att handla med bara kortnummer + CVC.
(Mobilt BankID gör ju det här ännu värre, om jag överblickar din låskod – t.ex. med mobil- eller övervakningskamera – och sedan stjäl telefonen, så äger jag din identitet)

3. Hur ofta hör vi inte om att bankerna har problem med att genomföra digitala transaktioner? Nu ids jag inte söka upp länkar till nyheter för allt, men min uppfattning är att det är problem med kortbetalningar på åtminstone en bank i taget en gång i månaden. Vad gör man när det elektroniska systemet inte fungerar?

4. Vad händer med uppfattningen om pengar? Det är min övertygelse att när man gör en virtuell betalning så har man inte samma uppfattning av värdet. Först och främst är det pedagogiskt uruselt för barn, som fostras in i en konsumtionskultur där man inte får en konkret uppfattning av hur mycket man spenderar – men även vuxna övertrasserar sina konton utan att veta om det. Vilket inte är möjligt om man rent fysiskt får slut på pengar i plånboken.

Snabba, ogenomtänkta betalningar gynnar konsumtion, vilket är det sista vi behöver när överkonsumtionen i är vad som orsakar majoriteten av allvarliga, globala problem (klimatförändring, utnyttjande av människor i tredje världen m.m.)

Samt spårningen förstås, vilket är ett kapitel för sig. Dock arbetar ju VK aktivt med att göra gratis reklam för spionbolag, övertala folk att underkasta sig absurda slutanvändaravtal, att man identifierar sig som fysisk person för att läsa nyhetsartiklar m.m. Så jag tänker mig att ni skiter i den aspekten helt och hållet egentligen.

> jag undrar om ni i
> Piratpartiet har något att säga om det.

Själv så lämnade jag Piratpartiet våren 2014 när det visade sig att intresset att faktiskt leva som man lär inte existerade. Planering, möten, diskussioner – allt – skedde på slutna, centraliserade spionplattformar såsom Facebook och Twitter, hos vilka jag ej var eller ville bli kund. Så jag är alltså inte med i PP längre .)

> Ring mig gärna, mitt nummer nedan.

Använder inte heller telefon av anledningen att det är centraliserat, osäkert och inte minst så undviker jag allt som kan tänkas gynna Telia vilka aktivt samarbetar för att underlätta övervakning i diktaturer m.m.

Kontakta mig gärna antingen över XMPP eller med OpenPGP-krypterat mail (och signerat). Min XMPP-adress och OpenPGP-fingeravtryck står nedan, samt bifogar jag min publika nyckel.


Mikael Nordfeldth
https://blog.mmn-o.se/
XMPP/mail: mmn@hethane.se
OpenPGP Fingerprint: AE68 9813 0B7C FCE3 B2FA  727B C7CE 635B B52E 9B31

Arkivering av allmänna handlingar verkar kul och spännande

Först och främst kan man tydligen inte använda Medborgarslussen på Umeå kommuns hemsida utan att köra sluten källkod (javascript), så jag behövde maila dem den här frågan. Jag skulle kunna läsa igenom javascript-koden för att försäkra mig om att den gör vad den ska, men eftersom den är upphovsrättsinlåst är risken att jag råkar programmera “deriverade verk” och således gör upphovsrättsintrång – och även om det inte händer så har jag inget intresse av att spendera min tid på att lusläsa källkod som jag ändå inte får vidareförmedla till någon annan människa.

I vilket fall läste jag igenom E-delegationens riktlinjer till myndigheter för användning av sociala medier.

Hej,

jag måste aktivera javascript för att använda Medborgarslussen verkar det som. Eftersom jag inte kör sluten, proprietär källkod av säkerhetsskäl kan jag alltså inte använda webbsidan. Så jag skickar in frågan hit istället:

Hur hanterar Umeå kommun länkinnehåll utifrån perspektivet allmänna handlingar?

Exempelvis står det i E-Delegationens riktlinjer för sociala medier att länkinnehåll är att betrakta som inkommen handling om det tillför en sakuppgift. Deras publikation är här: http://www.edelegationen.se/Documents/Vagledningar%20mm/Riktlinjer_sociala_medier_v1_0.pdf

Som följdfråga undrar jag hur Umeå kommuns rutin ser ut för arkivering av länkinnehåll ev material som behöver exekveras (t.ex. Adobe Flash-filer eller webbsidor som kräver att javascript körs) och t.ex. videomaterial från svåråtkomliga mediatjänster utan inbyggda nedladdningsalternativ (YouTube m.m.).

De kan givetvis använda t.ex. fri mjukvara som youtube-dl för att ladda hem videon, men det går i alla fall inte att trycka Ctrl+S (pga Netflix) och tro att man sparat ner ett “länkinnehåll med sakuppgifter” på de flesta webbsidor idag. Hur ser rutinerna ut för detta och inte minst utbildningen till de som ska arkivera allmänna handlingar?

Hälsobloggande och OSM-uppmuntring

Jag har nyligen börjat blogga under Västerbottens Läns Landstings projekt “Hälsa 2020” (att Västerbotten ska ha världens bästa hälsa år 2020 är målet). Bloggarna där skrivs ideellt och skriver om sina hälsotips typs. Mitt hälsotips är att kartlägga¹ för då har man motivation att ta sig runt i omvärlden på promenader, cykelturer, vandringar m.m.

OpenStreetMap är tack vare sådana som intresserar sig för lokalkännedom, geografi etc. således mycket bättre uppdaterad än t.ex. kommersiella otjänster som Google Maps. Google tjänar ju inga direkta pengar på städer som Umeå, vi är för små helt enkelt, så därför skiter de i att köpa in uppdateringar av stadens kartor.

Ett tydligt exempel är IKEA som flyttat in på Söderslätt här i staden. Här är en visuell jämförelse mellan Google Maps och OpenStreetMap jag gjorde häromveckan (OSM har förbättrats ännu lite mer sedan dess):

osm_vs_gm-comparison
Notera att Google Maps inte ens har infartsrondellerna…

Inte ens Väven, Umeås skrytprojekt som kostade en miljard att färdigställa, är utritat på Google’s karta vilket jag passade på att informera det fik som hushåller där som alltså använder en utdaterad karta för att vägleda besökare:

Hej, kartan från Google Maps ni använder är ganska utdaterat och visar inte ens byggnaden som ni befinner er i.

Jag kan tipsa om att använda OpenStreetMap som är mycket bättre underhållen för städer som Umeå, se t.ex. på https://www.openstreetmap.org/?mlat=63.82425&mlon=20.26012#map=16/63.82425/20.26012

Om ni vill hjälpa den som fixar hemsidan att lägga in detta så kan ni länka dem till: https://wiki.openstreetmap.org/wiki/Deploying_your_own_Slippy_Map

Google har ju inget kommersiellt intresse i städer så små som Umeå, så det lär dröja ett par år innan de får för sig att uppdatera kartorna här i stan! OSM-projektet underhålls istället på samma sätt som Wikipedia, genom folk som har lokalkännedom och intresse för staden!

[1] http://blogg.halsa2020.se/geografibloggen/ – tyvärr använder VLL den proprietära bloggplattformen Typepad som förutom att vara sluten mjukvara även förbjuder besökare genom Tor-nätverket, man möts av 404 Not Found, samt inte erbjuder en HTTPS-uppkoppling och utöver det är allmänt smutsigt med javascript och tredjepartsresurser… så besök sidan med försiktighet.

“Cykelkampen” med rätt att marknadsföra sig som dig

Mailade iväg detta till Umeå kommuns inkorg för “Cykelkampen“, som är deras försök att få någon slags miljöpoäng för utbrett cyklandet vid sidan av allt köttätande i stadshuset och masskonsumtion+föroreningar pga det nybyggda IKEA. Jag är lite skeptisk till vad de faktiskt försöker få en att skriva upp till.

Kortfattat så är Cykelkampen en del av en på något sätt EU-sponsrad kampanj där man ska få folk att rapportera in sina vardagsresor. Jag tycker det är asbra med frivillig datainsamling och delar med mig av mina egna spår på OpenStreetMap under fri licens. Således låter jag den som vill använda datat för t.ex. statistiska analyser och även i marknadsföring – men uttryckligen utan rätten att låta det se ut som att jag stöder deras verksamhet. Så därför är jag skeptisk till att acceptera användaravtal som tar sig rätten att låta företag använda min identitet för att “passivt sprida” datat – alltså utan mitt aktiva godkännande.

Mailet jag skickade till cykelkampen@umea.se lyder:

Jag sportcyklar inte, men väldigt ofta (“till vardags”) brukar jag vara ute och cykla för att kartlägga för projektet https://OpenStreetMap.org Det innebär att jag cyklar ett någon mil ett par gånger i veckan och ser det som något mer vardagligt än t.ex. handla i butiker vilket är en era uppräknade godkända cykelturer på http://www.umea.se/umeakommun/trafikochinfrastruktur/trafikochgator/cyklingochcykelvagar/cykelkampen.4.65771eb14bfe25fed2217c2.html

Så jag undrar alltså lite kort om mina fritidscykelturer för kartläggning är godkända till Cykelkampens datainsamling.

Sedan undrar jag varför man behöver skriva upp sig på ett användaravtal som ger någon italiensk organisation, SRM (myndighet? bolag?), kommersiella rättigheter till ens inspelade spår med möjligheten att sälja vidare genom marknadsföring och “tredjepart de har handelsavtal med”.

Jag tycker det är kul att sprida spåren och lägger själv upp allt jag cyklar, men tycker det är jobbigt att ge en specifik organisation rätten att använda mina spår i marknadsföring på ett sätt som antyder att jag stöder deras verksamhet. Särskilt när jag inte har någon aning om vad det är.

Såhär står det på http://cycling365.eu/privacy/

“3.1 Your data, including data on the journeys made, are collected and processed for purposes relating to […] (iii) communications, including marketing and interactive communications relating to products and/or services and/or companies/entities/parties with which SRM has entered into trade agreements, and for studies and statistical and market research”

Samt att det kan vara värt att informera folk att SRM tar sig rätten att använda folks asociala media-inloggningar till att “passively share the data processed by the App” (passivt som i att man inte själv tar aktivt initiativ till att dela med sig av informationen utan SRM t.ex. kan skriva marknadsföring för sig själva i användarens namn).