m

OpenID Foundation kritiserar Sign in with Apple
Vill att Apples inloggningstjänst ska följa OpenID Connect

Uder årets WWDC-konferens presenterade Apple den universella inloggningstjänsten "Sign in with Apple" vilket är en tjänst med vilken användare kan logga in med sitt Apple-konto på webbplatser och appar. Nu får dock Sign in with Apple kritik från organisationen OpenID Foundation som ligger bakom den öppna inloggningsstandarden OpenID. Anledningen till kritiken är att OpenID Foundation anser att Apple inte följer OpenID-standarden fullt ut vilket kan göra att utvecklare måste göra två olika lösningar för att stödja både de inloggningstjänster som följer OpenID, till exempel Googles, och Sign in with Apple. Det leder till merarbete för utvecklare och kan i sig bli ett säkerhetsproblem då utvecklarna måste hålla koll på olika inloggningsförfaranden. OpenID:s ordförande Nat Sakimura säger i en kommentar: "The current set of differences between OpenID Connect and Sign In with Apple reduces the places where users can use Sign In with Apple and exposes them to greater security and privacy risks." OpenID Foundations egna OpenID Connect är ett autenticeringsprotokoll som baseras på OAuth 2.0 och många företag, till exempel Google, Microsoft, Cisco, Oracle, PayPal och Akamai, är medlemmar i OpenID och följer OpenID Connect. Även Sign in with Apple bygger till viss del på OpenID Connect men inte fullt ut anser OpenID Foundation. OpenID Foundation uppmanar nu Apple att ansluta sig till organisationen och implementera fullständigt stöd för OpenID Connect i Sign in with Apple. Apple har än så länge inte kommenterat OpenID Foundations öppna brev. På länken här nedanför kan ni läsa mer om vad OpenID Foundation anser skiljer Sign in with Apple från OpenID Connect. Tumnagel
44.2°
+
Wille Wilhelmsson
0

Vissa tredjepartsappar stängs snart ute från Gmail
Bland annat SwiftKey

Snart börjar Google implementera de nya riktlinjer gällande tillgången till Gmails API (programmeringsgränssnitt) som man presenterade i höstas. Det handlar alltså om ett API som ger tredjepartsappar tillgång till data från Gmail. Det kan handla om små hjälpprogram som tillverkats av andra företag. Ett exempel är den populära tangentbordsappen SwiftKey som använder data från Gmail för att lära sig vad och hur användaren skriver. SwiftKey är en av de apparna som riskerar att stängas ute från Gmail den 15 juli om de inte ändrar bättre specificerar vilken data de vill komma åt från Gmail. Det hela verkar vara ett försök från Googles sida att se till att tredjepartsleverantörer uppger exakt vilken data de vill använda från Gmail och då även specificerar det för användare som måste godkänna detta. När det gäller till exempel SwiftKey så måste användaren ge tillåtelse för appen att läsa, skriva, radera och annat på användarens Gmail-konto, rättigheter som antagligen inte krävs bara för att analysera hur användare skriver. Något som Google verkligen vill ha koll på är hur tredjeparts-appar lagrar Gmail-data i sina egna system. För att få tillåtelse att göra det framöver måste företagen nu ansöka om detta hos Google som sedan ska granska och eventuellt godkänna ansökan. Det är en process som enligt Google kommer att kosta 15.000 - 70.000 dollar för de företag som skulle vara intresserade av det. Exakt vilka tredjeparstjänster som kommer eller riskerar att komma att stängas av från Gmail 15 juli finns det än så länge ingen lista över. Tumnagel
40.9°
+
Wille Wilhelmsson
0
2017

Google ska bli bättre på att granska tredjeparts-appar
Efter att stor phishing-attack drabbade Google-användare

Google skriver på sin utvecklarblogg att de nu ska bli bättre på att granska tredjeparts-appar som använder sig av Googles tjänster genom autentiserings-standarden OAuth. Detta är antagligen något som Google känt sig tvungna att göra efter det att någon genomförde en stor phishing-attack mot Google-användare i början av månaden. Att attacken lyckades beror sannolikt på att den som tillverkat appen som phishade epost-adresser döpt denna till "Google Docs", något som då kändes rätt märkligt att det ens var tillåtet. I ett blogginlägg skriver nu Google att tredjeparts-appar framöver måste ha unika namn och inte ska kunna namnges efter andra appar. Förutom det så skriver Google att om en tredjeparts-appar är av den typen att den begär användardata så kan appen komma att inspekteras manuellt av personal från Google. Tumnagel
43.4°
+
Wille Wilhelmsson
0
2016

Biltjuv kan ta över en Tesla via mobilappen
Krävs dock att ägaren installerar en malware-app först

I det här klippet demonstrerar det norska säkerhetsföretaget Promon hur en biltjuv skulle kunna utnyttja en svaghet i Teslas tillhörande app för att stjäla en Tesla-bil. Som synes krävs det dock att ägaren först installerar en så kallad malware-app för att det hela ska fungera. Om ägaren skulle installera malware-appen ger denna biltjuven tillgång till ägarens användarnamn och lösenord som sedan kan använda detta för att öppna och starta bilen. Svagheten i Teslas fall är att den så kallade OAuth-token sparas i klartext vilket ger en eventuell biltjuv tillgång till denna. Huruvida även andra nyckellösa bilar använder sig av liknande system framgår inte. Det får även tilläggas att då det kräver att användaren installerar en särskild app för att det ska fungera är det diskutabelt om det här ska klassas som ett säkerhetsproblem eller ett handhavandefel från ägarens sida. Att i dagens läge installera appar från okända källor som man inte har koll på är ungefär lika dumt som att skriva PIN-koden till bankomatkortet på kortets baksida. Tumnagel
30.6°
+
Wille Wilhelmsson
0

Radera gamla konton genom några knapptryckningar
Bra också att se vart man hållit hus

Väldigt ofta så registrerar man sig på diverse webbplatser runtom på nätet och efter ett tag så glömmer man lätt bort var man fyllt i sina uppgifter någonstans. Två svenska nissar vid namn Wille Dahlbo och Linus Unnebäck har därav skapa Deseat.me vilket är ett verktyg som man kan använda om man enkelt vill se många ställen man ha skapat ett konto. Efter man loggat in via Google så får man en lista på dessa tjänster och då får man då även länkar till platsen där man kan radera sitt konto. Allt är inte helt automatiskt dock då det fortfarande krävs en hel del manuellt arbete och många platser som man har konton på har inte heller direktlänkar till var man raderar sig själv ännu. Förhoppningsvis blir processen bättre och enklare framöver men fram tills det händer så är det ett bra verktyg att använda om man vill få lite koll på många av platserna man har registrerat sig på. Folket bakom tjänsten säger också att de är mycket måna om folks uppgifter så därav går allting genom Googles OAuth-tjänst. Tumnagel
47.4°
+
Frode Wikesjö
0
2015

Google Earth Pro är nu gratis för alla
Tackar!

Google earth pro sägs vara likt Google earth, förutom att man får med extra verktyg. Man kan bland annat filma när man virtuellt flyger runt jorden, mäta byggnader i 3D samt kunna skriva ut bilder i HD. Tjänsten har under tio år kostat 399 dollar per år, men nu släpps priset helt och tjänsten blir åtkomlig för alla. Vill ni använda Google earth pro så kan ni skaffa en licensnyckel här. Tumnagel
67.2°
+
Fenjima Manrique
0
2013

Hur mycket är ditt Gmail-konto värt?
Cloudsweeper försöker svara på det

Utvecklare på University of Illinois har tagit fram ett verktyg som de kallar för Cloudsweeper som försöker uppskatta ungefär hur mycket ditt Gmail-konto skulle vara värt för en obehörig om denne fick tillgång till det. Genom att scanna av ditt Gmail-konto så letar den upp andra tjänster du är ansluten till, kollar om det går att få tillgång till nytt lösenord till dessa tjänster enbart genom att ha tillgång till ditt Gmail-konto samt värderar vad var och en av dessa tjänster skulle vara värd för den obehörige. Det handlar dock om en mycket ungefärlig uppskattning och jag har sett andra som fick samma resultat som jag fick ovan. Cloudsweeper använder sig av OAuth [wiki] för att ansluta sig till ditt Gmail-konto så du behöver alltså inte lämna ut några användaruppgifter till Cloudsweeper. Tumnagel
39.3°
+
Wille Wilhelmsson
0
2011

YouTube i hjärnan
Läskigt koolt

Forskare från Universitetet i Berkeley har lyckats återskapa YouTube-klipp från folks hjärnaktivitet. "This is a major leap toward reconstructing internal imagery," said Jack Gallant, professor of psychology and coauthor of a study published today in Current Biology. "We are opening a window into the movies in our minds." Försökspersonerna fick se diverse YouTube-klipp medan de satt i en MRT-maskin. Forskarna körde sedan in den dokumenterade hjärnaktiviteten i en dator som matchar datan med de olika klippen som visades. "Once we had this model built, we could read brain activity for that subject and run it backwards through the model to try to uncover what the viewer saw," said Gallant. I klippet till höger kan man se ett exempel på hur ett videoklipp återskapades från den dokumenterade hjärnaktiviteten. Tumnagel
41.8°
+
Ken Masters
0
2010

Boota Android på en sekund snart verklighet?
Jäkligt najs!

Ett företag vid namn Ubiquitous har kommit på en ny typ av boot-strategi när det gäller Android. Det kan väl som bäst liknas vid S3 eller andra typer av vilolägen där man låter det vakna OSet spara sin exakta status i minnen som inte förlorar minnet innan det stängs av. Chris Prillo har lite mer info om det här. Ubiquitous erbjuder i vilket fall sitt SDK, sitt utvecklingskit, till ursprungstillverkare som känner sig sugna. Det bådar ju riktigt gott för TV - och tablet- branschen speciellt, mobiltelefoner kanske inte har samma behov av en "falsk" omstart helt enkelt. Tumnagel
39.9°
+
Kristoffer Ågren
0

tDash - webbaserad twitterläsare
Om du inte vill eller kan installera en klient

tDash är en ny webbaserad twitter-klient som känns som något som ligger mitt i mellan den ganska så enkla TwitterGadget och den lite mer avancerade Brizzly-klienten. Man loggar in via OAuth och behöver med andra ord inte lämna sina inloggningsuppgifter till tDash utan inloggningen sköts transparent. I högermenyn listas dina kontakter och där anges även hur många twittringar din kontakt har gjort den senaste tiden. Det finns stöd för multipla twitter-konton och bilduppladdning även om inte den är lika smidigt integrerad som den är i TwitterGadget och Brizzly. Gränssnittet är minimalistiskt och det mesta känns rätt så grått. En negativ grej med gränssnittet är att det inte är olika färger/nyanser eller finns några tydliga avgränsare mellan twittringarna. Tumnagel
36.8°
+
Wille Wilhelmsson
0

Nyheter från Facebooks utvecklarkonferens F8
Snart äger Facebook webben totalt

Facebook håller just nu sin utvecklarkonferens F8 och det har presenterats en rad med spännande utvecklingsmöjligheter för webbutvecklare som vill knyta sin webbplats närmare Facebooks ekosystem. Social Plugins Social Plugins är Facebook-funktioner som webbsajtägare kan implementera på sina egna webbplatser. De implementeras enkelt och oftast krävs det bara en rad med HTML-kod för att få det hela på plats. Det tydligaste exemplet är antagligen den globala Gilla-knappen som vi här på Feber snabbt implementerade och som vi beskriver lite närmare här. Andra exempel på Social Plugins är funktioner för att importera flöden från Facebook till den egna webbsajten, kolla vad en vän har haft för sig på webbplatsen man besöker samt webbplatser som en Facebook-vän rekommenderar. Open Graph Protocol Den stora grejen Facebook presenterade igår var något som man kallar för Open Graph Protocol som är en vidareutveckling Facebook Connect som ger utvecklare möjlighet att hämta och skriva till data betydligt mycket enklare än tidigare. Det kan handla om utvecklare som vill skriva applikationer som hämtar ut data om vad användare pysslar med på Facebook men givetvis även se till att exempelvis kommentarer från en webbsajt publiceras på Facebook. Andra exempel kan vara att man till exempel autopublicerar vad man lyssnar på via Spotify på Facebook. OAuth 2.0 OAuth (Open Authorization) är ett öppet protokoll som låter användare logga in på multipla webbsajter med samma inloggningsuppgifter. Tidigare har Twitter, Yahoo och andra anslutit sig till OAuth medan Facebook valt att stå utanför. I samband med F8 meddelade dock Facebook att även de kommer att stödja OAuth. Detta är inget som den vanlige användaren kommer märka särskilt mycket av men för utvecklare som snabbt vill kunna porta sina applikationer till olika plattformar kommer det antagligen att vara guld. Integritetintrång? Med de nya funktionerna Facebook nu har presenterat kommer det antagligen att följa en diskussion om Facebooks-användarnas integritet då data som användarna skriver ner på Facebook nu har en större risk/chans att dyka upp på webbplatser som användaren inte har en aning om. Tidigare fick applikations-utvecklare bara spara data man hämtat från Facebook i 24 timmar men nu är det fritt fram att spara den här datan för alltid vilket kanske inte alltid är helt lysande. Vi kommer säkerligen att få se exempel på applikationer som kommer att utnyttja den här datan på ett mindre bra sätt framöver. Då Facebook nu kommer att få ännu mer data om sin användare ger det även dem en ännu större möjlighet till riktad annonsering mot användaren baserat på vad han gillar. Det behöver dock inte vara av ondo utan kan även leda till att man faktiskt får lite mer relevanta annonser när man besöker Facebook. Tumnagel
36.1°
+
Wille Wilhelmsson
0