Windows 7 E ikke lansert likevel?

[sinnaelgen]

min misforståelse var bare at jeg trodde at MS sto bak denne krypteringsløsingen.

 

egentlig så spiller det ikke så stor rolle siden de likevel bare var en aktør bak det systemet .

 

spørsmålet er hvorfor de valgte aktivex når de laget systemet .nå man legger til at aktivex ikke er sikeket så blir det besynderlig.

 

 

uansett så siter jeg her å lurer på hvorfor ikke noen andre laget et krypteringssystem som ikke var avhengig av aktivex .

 

eller hvorfor det ikke er fler alternativer til aktivex.

 

er feilen at microsoft laget aktivex eller at vi har tatt det ukritisk i bruk ?

[kjeklulf]

Utifra hvordan ActiveX fungerer, vil ikke det kunne sammenlignes litt med at:

Det burde ikke være riktig av skoler, offentlige etater, osv. å kreve at elever benytter seg av MS-Office formater som kun er tilgjengelig for MS Office og Windows (bortsett fra OS X).

 

Det begynner å bli på siden av denne debatten men: FAD v/Standardiseringsrådet har vedtatt at ODF/PDF skal brukes som standardformat på offentlige nettsider og i elektronisk kommunikasjon med innbyggerne. Ingen skole kan kreve av elevene kjøper programvare fra en bestemt produsent (ja, jeg kjenner til nok historier om det). Det er prinsippielt helt riktig at kun skal være åpne formater med frie implementasjoner tilgjengelig som skal kunne brukes i det offentlige.

 

Samtidig: OpenOffice.org og andre ODF-implementasjoner støtter i dag MS sine binære formater godt nok til at det ikke vil være noe stort problem om de leverer i disse formatene.

[Beritaron]

@kjekulf:

Jeg er klar over dette, disse reglene tredde vel i kraft i begynnelsen av 2009 om jeg ikke husker helt feil? Alikevel, dette gjaldt jo Norge (så det er sikkert en del land som henger etter og en del som har ligget et styhkke foran oss), og det tok litt tid før dette kom i søkelyset.

 

Det var forsovidt kun ment for å fremstille en problemstilling med selskaper som har monopolstatus og boundler sine produkter og løsninger til sitt OS.

 

Er forsovidt klar over at OOo har grei støtte for MS-Office-formater, men det er enkelte dokumenter som kan åpnes og leses, men som absolutt ikke ser helt gode ut. Problemet her er ikke om det går ann eller ikke, men hvor mye ekstra jobb som må til en det som egentlg skulle vært nødvendig, samt liten sammarbeidsvilje. Kan vel også tenkes at det er en eller annen MS-patent som blir brudt.

 

Steve B. har jo gang på gang fortalt at åpen kildekodemiljøet benytter seg av MS sin IP, og at de kan saksøkde og ta seg betalt av Linuxbrukere. Etter å ha kommet med dette utsagnet et par ganger, og ikke ønsket å fortelle mer i detalj om hva det gjaldt til tross for etterspørsel fra miljøet som prøvde å finne en løsning, er det jo vanskelig å være sikker ...

Endret 6. august 2009 av tamarin

[kjeklulf]

Jeg er klar over at det av og til er problematisk og derfor skrev jeg også det jeg gjorde. Prinsippielt skal man kun kreve åpne formater som finnes tilgjengelig i en fri implementasjon. Spesifikasjonene til de gamle binære formatene er frigitt for lengst med en "no sue"-klausul. Det er mer prinsipper som holder folk unna dem i den grad de gjør det. (Og at mange er opptatt av å kunne fortelle hvor ille MS er).

 

Men igjen: Det er minimalt med praktiske problemer med det per i dag. De problemene er dessuten sjelden avgjørende i en slik sammenheng.

[sinnaelgen]

det er nå slik at hvis man lagrer en fil i et annet format en det "originale" så får en advarsel om man kan miste formatet på teksten . altså utseende blir ikke lik originalen.

 

hvordan er det løst i ODF formatet ?

[kjeklulf]

Det er likt i alle programmer. Velger du noe annet enn standard for programmet får du en advarsel. Sånn vil det alltid være inntil vi kanskje om noen år får en felles standard.

[Beritaron]

(Og at mange er opptatt av å kunne fortelle hvor ille MS er).

Om det er hva jeg skrev du sikter til så synes jeg ikke det kom ufortjent for MS.

[kjeklulf]

Nei, jeg siktet ikke til deg.

[Bolson]

@elg-elg123:

 

SEED er ikke utviklet i ActiveX. Men ActiveX var den eneste reelle måten å utvikle en plugin for IE som kunne kommunisere ved hjelp av SEED. Systemet er altså ikke avhengig av ActiveX, annet enn om man brukte IE.

 

Men som forklart gjentatte ganger, når IE ved tvilsomme/ulovlige metoder fikk markedsdominans var det ingen som såg det som økonomisk forsvarlig å utvikle plugin for andre nettlesere. Og det er her problemet ligger. Når en monopolsituasjon kan oppnås/opprettholdes delvis grunnet en proprietær teknologi skapes en meget sterk innelåsing. I slike tilfeller er kostnaden ved å komme seg ut av denne ofte meget høy og markedet vil ikke fungere. Aktørene som bruker SEED i Sør-Korea (banker, nettbutikker etc) er ikke villige til å ta på seg denne kostnaden, da det ikke gir flere kunder.

 

Ingen visste heller om sårbarheten til ActiveX i 1998/99. Det var også reelt sett nesten umulig å utvikle nettleserplugin i Java eller Javascript for IE, pga forhold knyttet til IE sin støtte av disse.

 

Faktisk hadde vi eksempler på det samme i Norge. Da Norsk Tipping utviklet sin første versjon av mulighet for å tippe på nett brukte de en auteniseringsløsning basert på smartkort. Denne fungerte i flere år bare i IE og brukte en ActiveX basert plugin i nettleseren. Det tok år før de gjorde om løsningen til dagens Java baserte løsning som fungerer i alle nettlesere. Man måtte til med Forbrukerombudet etc for å få de til å gjøre dette.

[sinnaelgen]

likevel så synes jeg det er rart at de baserte alt dette på et system som innebar aktivex .

jeg er sikker på at hadde de ville så kunne de ha laget noe som ikke trengte aktivex for å fungere.

 

men den veien går når de velger den enkleste og billigste løsningen.

nå får de svi for det.

 

poenget mit er at man ikke burde baser alt på et system men ha en reserve løsning.

 

kostnadene for å utvikle et nytt og bedre system er nok høyre nå

 

det virker som at alle stoler så mye på et system at de ikke gidder å lege en reserve løsning . slik er det med alt fra telefon og nettlinjer til veier og datasystemer . når dette er blokkert så står en der

[Bolson]

@elg-elg123:

 

Kan du være så snill å lese hva som er skrevet.

1. De laget ikke et system basert på ActiveX. De laget et system for autententisering/kryptering av informasjon mellom nettleser og server. Da dette ble besluttet laget fantes det ikke tilgjengengelig mer enn 40-bit kryptering av nettkommunikasjon. SEED er altså en protokoll for kryptering av datakommunikasjon. I tillegg er det et autentiseringssystem ala bankid.

 

2. Det ble laget plugin for de to nettleseren som dominerte markedet i 98 - 99, nemlig Netscape og IE. For IE var det kun ActiveX som var aktuell for å lage plugins i 1999 - 2000. Javastøtten i IE var særdeles tvilsom, og JVM var ikke engang installert som standard.

 

3. Løsningen var uten tvil langt mer kostbar enn tilsvarende løsninger i andre land, fordi de bruker egenutviklet protokoll. Men det var også den mest avanserte løsningen på dette tidspunktet. Teknisk sett er løsningen faktisk bra den.

 

4. Jo, de kunne uten problemer lage en Javaplugin til dette (som fungerer i alle nettlesere/OS), men myndighetene vil ikke finansiere denne, banker og nettbutikker vil heller ikke gjøre det og forbrukerne bryr seg svært lite, de er vant med å trykke "Accept" 5 - 10 ganger om dagen. Litt "banning" ble det når Vista kom, og konsekvensen er så vidt jeg vet at alternativer kommer på plass etter hvert.

 

5. Og dette har intet med reserveløsning å gjøre, hverken AltInn, Norsk Tipping, DnB NOR etc har reserveløsninger for autentisering/kryptering.

 

6. Kostnadene med å utvikle et tilsvarende system i dag er langt lavere.

 

Nå ble dette eksemplet ikke trukket fram som diskredit av verken det ene eller andre, men som et eksempel på hva som kan skje når dominerende markedsposisjon misbrukes og kombineres med propietære teknologier. Og som du tydeligvis har konkludert med, dette er ikke særlig heldig.

 

Det er ellers laget ekstremt mange systemer som innebærer ActiveX. Hele norsk forvaltning er gjennomsyret av de.

[sinnaelgen]

jeg leser hva du skriver og forstod at de laget et system som måtte bruke aktivex for at det skulle fungere på IE.

 

de jeg spurte om i forrige svar hvorfor alle som driver med sikkerhet baserer seg på et enkelt system og ikke har reserveløsninger. det er jo slik i andre sammenhenger også

 

her klare jeg ikke helt å se hvorfor man skal gi pepper for bruken av aktivex , når de kunne utvikle sitt eget sikkerhetsystem .

 

det er altså ikke helt spiselig for meg at de måtte bruke Aktivex og så kommer altså MS å få pepper på en eller annen måte for det

[del_diablo]

de jeg spurte om i forrige svar hvorfor alle som driver med sikkerhet baserer seg på et enkelt system og ikke har reserveløsninger. det er jo slik i andre sammenhenger også

 

Året er 1999:

"Ok, vi må ha en løsning for bank ID som alle våre kunder kan bruke"

"Sjef, alle kundene våre bruker IE."

"Hva støtter den?"

"Den støtter ikke javascript eller java eller andre solide ting, men den har Active X"

"Ok, da lager vi systemet vårt på det da, vi har ikke mye valg"

Så ble gikk noen år, og de var låst til IE6 og active X........... Det værste er jo at det er sånn det er og var....

Hadde IE støtter java ordtellig er det store sjanser for at det hadde vært en java løsning i stede, men IE støtter så lite

 

her klare jeg ikke helt å se hvorfor man skal gi pepper for bruken av aktivex , når de kunne utvikle sitt eget sikkerhetsystem .

 

det er altså ikke helt spiselig for meg at de måtte bruke Aktivex og så kommer altså MS å få pepper på en eller annen måte for det

 

 

Som virket på hva da? Det må virke, og det er halve poenget. Selvsagt er vi alle idioter en gang her og der, men noe som dette er det mer en blanding av:

*God lock-inn

*Kunne ha brukte hode mer

Når alle har IE, og IE bruker til alt og Active X står der og ser pen ut.....

Halve poenget er at folk virkelig gjør tabber, men i dette tilfellet var det at teknologien over det hele var 100% flat PGA IE.

[sinnaelgen]

at de valgte et system som var avhengig av aktivex fordi det var lettvint er i og for seg greit nok.

 

når noen tenker på sikker het så ønsker de vanligvis også full kontroll over hele linjen.

her virker det som de har glemt en detalj når systemet ble utviklet.

 

selv om det var 1999 og IE hadde monopol så tviler jeg på at de var så avhengig av å måtte bruke et system som igjen brukte akvivex (hvis man tenker på full kontroll over systemet ) .

Men de tenkte kanskje ikke i de baner på den tiden

 

nå ser jeg jo at etter bankene i Norge begynte med BankID så er det en java logo som dukker opp

Endret 8. august 2009 av elg-elg123

[Bolson]

@elg-elg123:

 

Enten så forklarer vi dårlig, eller så er du ute av stand til å forstå det meste. Men for å prøve å gjøre dette enkelt.

 

1. SEED er en krypteringsnøkkel som kun brukes i Sør-Korea. Den er ikke støtten i noen nettlesere direkte, slik som andre krypteringsnøkler knyttet til SSL. SSL er den nettprotokollen du bruker når du kommuniserer med banken din.

 

2. En slik krypteringsnøkkel er fundamentet for sikker kommunikasjon mellom nettleser og server hos bank, nettbutikk med mer. Kryteringsnøkkelen brukes til å kryptere kommunikasjonen mellom nettleser og server slik at den ikke kan leses av andre. Nettleser og server må sitte på nøyaktig samme krypteringssystem. Jeg skal ikke forklare detaljer.

 

3. I og med at SEED ikke er støttet i nettlesere så må man lage et lite program som kjører i nettleseren og som kan håndtere krypteringen og den krypterte kommunikasjonen. Dette kan lages i ActiveX, Java, Javascript samt noe annet i tillegg. Netscape hadde et eget system kalt NSPlugin, var vel egentlig noe Java/Javscriptsgreier.

 

4. Det ble opprinnelig laget en NSPlugin for Netscape samt ActiveX pluginen for IE som håndterer dette. Men i og med at Netscape forsvant av vel kjente årsaker sluttet man å utvikle denne. Og IE med sin plugin var eneste som kunne bruke SEED kryptering.

 

5. Du kan ikke lage et slikt system som skal fungere i en nettleser uten at krypteringa forstås av en nettleseren. Du kan f.eks prøve å finne fram IE4 og prøve å komme inn på nettbanken. Samme med gamle versjoner av Fx, Opera med flere. Dersom nettleseren i seg selv ikke har støtte for kryptering må du gjøre som i Sær-Korea.6.

 

6. Å lage reserveløsning for selve krypteringsnøkkelen har ingen særlig hensikt. Systemet ellers hadde garantert så mange reserveløsninger som det er mulig.

 

7. Som tidligere nevnt den ble laget i ActiveX fordi det var ikke mulig å bruke noe annet for å få en fungerende plugin for krypteringen i IE. Klart de kunne laget den i Java, men da hadde 55 % av brukerne i Sør-Korea ikke kunnet bruke nettbank (den gangen). De laget faktisk løsningen slik at 99 % kunne bruke den (Netscape og IE).

 

8. Sør-Korea utviklet faktisk sitt eget system. Men hva slags system som er på serveren spiller her ingen rolle, det er hva som må være i nettleseren som er relevant. Uansett hvordan man gjorde de i 99 måtte man bruke ActiveX for å få systemet til å virke i IE. Til og med eventuelle reservesystem måtte bruke ActiveX.

 

9. Grunnen til at ActiveX måtte brukes er at Microsoft alt i 1996 valgte å nedprioritere Java og Javascript til fordel for sitt eget proprietære ActiveX system. ActiveX ble faktisk laget for å knytte OS, nettleser og andre Microsoft applikasjoner tetter sammen, og forenkle kommunikasjonen mellom disse. Flere IE versjoner kunne altså ikke reelt bruke Java eller Javascript til slike ting. Det var en ren strategisk beslutning fra Microsoft, for i realiteten å skape lock-in og få kontroll over markedene. Microsoft kunne åpnet ActiveX på samme måte som Netscape gjorde med Javascript (ECMAScript) og Sun med Java. Både Java og Javascript kom før ActiveX.

 

10. Dersom du driver en butikk sier du ikke til hver andre kunde at han kan snu i døra. I og med at ca 50 - 60 % i 1998/99 brukte IE, og IE støttet i realiteten bare AxtiveX til denne type bruk, fordi Microsoft bevisst hadde valgt å la være å støtte noe annet. Er ikke Microsoft å skylde på da. Microsoft sin manglende støtte av annet enn ActiveX tvang jo Sør-Korea (og mange andre) til å bruke ActiveX uansett om de ville eller ikke.

 

Og vedrørende norske banker og Java, Sør-Korea kunne faktisk ikke brukt Java grunnet manglende støtte i IE.

Endret 7. august 2009 av Bolson

[sinnaelgen]

det er bare det at jeg tror ikke aktivex var den neste muligheten som ville fungere for IE.

det var bare den ekleste måten å løse det på.

når de nå har valgt den måten så kommer man ikke lenger med det

 

det var Sør-Korea

 

hva med andre ting som gjør at man er/var så avhengig av aktivex ?

 

når man da bruker kryptering hva er da sikrest av aktivex og java ?

[Bolson]

det er bare det at jeg tror ikke aktivex var den neste muligheten som ville fungere for IE.

det var bare den ekleste måten å løse det på.

når de nå har valgt den måten så kommer man ikke lenger med det

 

det var Sør-Korea

 

Kan du da forklare hvilke andre måter dette kunne løses på. Det er et faktum at for IE var ActiveX eneste muligheten.

 

hva med andre ting som gjør at man er/var så avhengig av aktivex ?

 

Vi har hatt mengder av tjenester, applikasjoner etc som har vært avhengig av ActiveX. Vi har vel fremdeles en god del om jeg ikke tar feil, særlig internt i organisasjoner. Jeg har f.eks nevnt Norsk Tipping, som vel brukte over 2 år fra de lanserte nettipping til man kunne bruke annet enn IE.

 

Som nevnt tidligere, ActiveX var et bevisst valg fra Microsoft for både å utvide nettleserens funksjonalitet, men også skape og opprettholde dominerende markedsposisjon.

 

Personlig tror jeg ActiveX faktisk har bidratt til at Microsoft har tapt/taper på sikt.

 

når man da bruker kryptering hva er da sikrest av aktivex og java ?

 

I realiteten ingen forskjell, da det er kryteringsalgoritmen som bestemmer hvor sikker krypteringen er.

[sinnaelgen]

det er en feil EU har gjort og det er å få oss over på andre nettlesere før man 100% fri fra IE.

det er litt rart at de da ikke begynte i andre enden.

 

man kan skylde på monopolet til Microsoft og si at de bare lager systemer som bare virker på IE fordi de fleste bruker den. det hjelper jo ikke oss bruker hvis ikke de andre nettleirene fungerer på det samme systemet.

 

når så mange bedrifter er avhengig av IE6 for at systemet skal fungere hvorfor øver ikke EU press mot dem.

her har jo ikke alle de samme valgene

[Bolson]

Når det blir reell konkurranse mellom nettlesere blir det også totalt slutt på å lage nettsider spesifikt for enkelte nettlesere. Ingen vil lage nettsider som bare halvparten av kundene kan bruke.

 

Og at enkelte organisasjoner/bedrifter bruke applikasjoner internt som krever IE er ikke noe stort problem for nettlesermarkedet. EU kan heller ikke pålegge bedrifter hvordan de interne løsningene skal være, men de kan regulere selve nettlesermarkedet om det er grunnlag for det. Bedriftene har nemlig ikke begått noen som helst ulovlig handling.

 

Og om alle bedrifter som har applikasjoner som krever IE hadde byttet bort disse applikasjonene så hadde de ikke nødvendigvis påvirket nettlesermarkedet i det hele. Det er Microsoft sin ulovlige bundling av IE som er problemet.

 

Det er også en ekstremt mye dyrere løsning. Å regulere Microsoft sin ulovlige atferd har små kostnader og sannsynligvis stor effekt. Å tvinge bedrifter til å skifte løsning ville være svært dyrt for bedriftene og samfunnet.

[sinnaelgen]

poenget mit var det nettsidene som bare virker på IE .

da mener jeg de få sidene mot den generelle bruker gruppen og ikke de interne systemet .

( her kan det likevel være fordeler at interne og eksterne systemer bruker de samme nettleserne )

 

at de går over til bedre nettsider er nok mest fordi brukerne klager over at siden ikke virker i f.eks opera eller firefox og ikke at firmaet velger å støtte andre nettlesere på siden sine.

 

egentlig burde det vær motsatt.

 

jeg er ikke enig i at det er helt rett måten å gå frem på :

- EU "preser" os til å velge vekk IE

- mange vil ikke velge vekk IE for de de er avhengige av den av hensyn til netsiden de surfer på

- EU preser lit hardere

- noen flere går over til andre nettlesre

- og nå når mesteparten av oss bruker andre nettlsere skal vi presse de bak nettsidene til å endre sidene.

dette burde allerede ha kommet i gang i første fase