Kristoffer Qvists blogg om allt möjligt

Kategori: Online-tjänster

Fällan med gratisprogram

Jag läste Martin Appels krönika om bokföringsprogrammet Bokio för ett tag sedan. Det har varit ett gratisprogram, som nu ska börja ta betalt. Hade Bokio varit tydliga med det från början, så hade det nog inte varit något konstigt med det. Då kanske ingen krönika hade kommit heller. Däremot, att leverantören utlovar att programmet ska vara ”gratis för alltid” till sina användare, och sedan ändra ställning är en annan femma.

Att utveckla ett program, och kontinuerligt förbättra det tar tid och resurser. Jag har förståelse för att det också ska finnas ekonomiska incitament om man vill livnära sig på att leverera en produkt. Så det är inget konstigt med det alls. Men – har man lämnat ett löfte, som man sedan bryter – ger en dålig avsmak i munnen.

Det är inte bara Bokio som har kört med denna modell. Något liknande kan sägas ha hänt med CentOS, som kan sägas ha varit en kopia av Red Hats RHEL, minus alla Red Hats paket och support. Man kan på ett sätt säga att CentOS användare ”gratis” använt RedHats mjukvara utan att ge något direkt tillbaka till RedHat. Det har ändrats nu, ett tag efter att Red Hat tog över CentOS. I stället blir CentOS mer likt Fedora, ett system där Red Hat kan testa program innan de skjuts ut i skarp miljö i Red Hats egna operativsystem.

Ska man undvika gratisprogram?

Nej, det tycker inte jag. Det finns många program som i många fall är kostnadsfria, och som fungerar. Det finns många exempel som är gratis. Många utav gratisprogrammen är bra också, tycker jag, och kan även ha andra fördelar. Ett exempel är LibreOffice, som är ett alternativ till Microsoft Office. LibreOffice är också öppen källkod, vilket betyder att den aom kan programmera kan läsa dess instruktioner. Skulle man önska, så kan man även ändra dessa instruktioner. Det till skillnad mot proprietär programvara, där bara den som gjort programmet har instruktionerna och kan ändra dem.

Vad ska man tänka på?

Själv skulle jag vara restriktiv med program som lovar att de är ”gratis för alltid”. I största möjliga mån även försöka använda mig av öppen källkod. Till exempel undrar jag om Fribok hade varit ett alternativ för Martin. Fribok är också öppen källkod, baserad på JFS Bokföring och vidareutvecklad från det programmet.

Som jag förstår blev JFS Bokföring öppen källkod efter att dess utvecklare valt att sluta med programmets utveckling.

Man måste dock förstå att byte av ett IT-verktyg inte alltid sker på en handvändning. Mycket beror på hur mycket man känner igen sig i det nya verktyget, och om det är intuitivt.

Personligen vet jag inte skillnaden mellan bokföringsprogrammen eftersom jag själv inte är en egenföretagare. Däremot tror jag att det kan vara intressant för vissa att kika närmre på.

Varför man ska vara misstänksam mot online-tjänster

Under den senaste tiden har användningen av olika samarbetsverktyg ökat markant. De flesta av dem är också så kallade ”onlinetjänster”, eller ”mjukvara som tjänst” om man översätter frasen Software as a Service ordagrant från engelska. Det är just det som flera idag populära verktyg är.

För att nämna några så kan jag ju ta upp exempelvis Microsoft Teams eller Zoom. Dessa har idag blivit populära verktyg att nå andra människor. Däremot finns det några frågetecken som man bör räta ut först:

  • Var någonstans sparas datan?
  • Vilka har tillgång till datan?
  • Hur säkra är programmen?

Äger man själv hårdvaran, och innehar programvaran i sina egna system, så har man större möjlighet att svara på frågeställningarna.

Säkerhet alltid en viktig aspekt

Om vi riktar in oss på Zoom, så har det dykt upp några säkerhetsincidenter på sistone. De ska visserligen arbeta för att lösa dem – om dessa inte redan är lösta i redan. Insikten bör dock vara en väckarklocka även om utvecklarna har lovat att arbeta mer med säkerheten i Zoom.

Något jag också undrar är om det finns oberoende kodgranskare. Det är nämligen en sak att utveckla ett verktyg, och själva testa så att koden är säker. Det är inte riktigt samma som att låta någon annan testa efter sårbarheter. Som utvecklare kan man förstås använda ”defensive programming”. I stort handlar det om att göra kod läsbar, ha hög kvalité och att även ge programmet instruktioner om att bete sig någorlunda förutsägbart vid situationer det står inför oförutsedda händelser.

Nyhetsrapporteringen har ju även tidigare beskrivit Snapchats hantering av användardata hos dem. Mer specifikt hur de anställda hanterar användarnas (okrypterade) data. Nyhetssidor såsom Vice, Macrumors och CNET har berättat om dessa incidenter.

Allra bäst approach är nog att anta att programmen redan är hackade. Även om man gör program så säkra som möjligt utifrån de erfarenheter som man har samlat på sig idag, så kommer det alltid att finnas dem som söker efter nya vägar att ta del av hemlig information.

Alternativa, säkrare verktyg

Säkerhet är i och för sig ett subjektivt ämne. Mycket är möjligt att ”komma runt”. I vissa fall kan det kräva djupare teknisk ”know-how” för att ta del av den information som man vill komma åt. I andra fall kan en så kallad ”script kiddie” komma runt säkerheten. Idag är dock program oftast såpass säkra att ”social engineering” är mer populärt hos illasinnade hackare. Då behöver de nämligen inte ha samma tekniska kunskap, utan behöver vara bättre på att känna av människor.

Jag själv har en förkärlek till ”open source”. Detta av lite olika anledningar – men kanske främst att koden kan granskas av oberoende. Dessutom kan man ofta hämta hem dessa verktyg och använda dem eller själv vara värd för dem. Det senare alternativet kan visserligen kräva lite mer teknisk ”know-how”, men jag tycker att man vinner mycket på om man kan göra det.

Dock är inte verktyg säkra enbart för att de är baserade på öppen källkod. Det har ju funnits incidenter där sådana verktyg har haft sårbarheter också. Ett sådant var Heartbleed, vilket inträffade 2014. Då upptäcktes en bugg i biblioteket OpenSSL, vilket påverkade webbplatser som använde kryptering. Sårbarheten innebar att illvilliga hackare kunde komma åt webbservrars privata krypteringsnycklar, vilket innebar att krypterad kommunikation mellan en dator och en server skulle kunna avlyssnats, utan kännedom för de påverkade.

Fördelen mot proprietära verktyg, eller program som inte är open source, är att man här kan få ”gratis” kodgranskare. Dessutom kan man även granska den kod av det program som man vill installera på sina system.

Samarbetsverktyg

Det finns lite olika samarbets- och/eller sociala verktyg med tanke på vad man vill göra. Ett exempel som jag kan tänka på är NextCloud Hub. Systemet fungerar dels som en fillagringsplats – men även som samarbetsverktyg. Man skulle kunna säga att NextCloud Hub fungerar ungefär som Microsofts ”Office 365”, eller Googles ”G Suite”.

Via NextCloud Hub kan man även köra videokonferenser, om man har appen ”NextCloud Talk” installerad. Ibland kräver denna app mer handpåläggning, men det är helt upptill hur servern är konfigurerad. Av egen erfarenhet så har jag fått söka efter information om vissa inställningar som inte klart stod med i dokumentationen av NextCloud. Visserligen kan jag vara bortskämd med andra program som i mångt och mycket är ”plug and play”.

Är man enbart ute efter videokonferenser kanske Jitsi Meet kan vara något. Själv har jag provat på verktyget, dock inte fullt it. Om man vill, så kan man också prova skapa ett mötesrum utan att ange namn eller e-postadress via instansen meet.jit.si. Det enda instansen ber om är att namnge mötesrummet. Man kan däremot efter skapandet av mötesrummet även göra det lösenordsskyddat.

Jag har däremot lyssnat en del på YouTube-kanalen ”Nerd on the Street – Tech”. Skaparen av den kanalen har bland annat gjort en videoguide om att skapa en Jitsi-instans (på engelska). Som det förklaras i videon kan man även göra Jitsi-instansen helt lösenordsskyddad. Jag har själv (ännu) inte sett någon officiell dokumentation om hur man på bästa sätt konfigurerar skyddade möten. Eventuellt kan jag ha missat den delen från dokumentationen. Helt klart intressant i varje fall.

Säkerhet ska vara ett helhetstänk

Hur tråkigt än ”säkerhet” kan låta så är det viktigt att det finns ett helhetstänk här. Oavsett hur många säkerhetsprogram eller prylar man köper, så är frågan i slutändan hur man använder dem, hur tänket kring säkerhet är annars och om dessa instanser är säkra till en början?

Ett exempel: Ett företag har ett passerkortssystem där samtliga besökare skall använda sig av passerkorten. Råkar någon säga sig vara anställd, utan att vara det, men ha ”glömt” passerkortet kanske denne blir insläppt av en intet ont anande person som har passerkort. Där fallerade skalskyddet.

Ett annat exempel är mejl som informerar att ”man måste återge sina användaruppgifter på tjänst X”. Detta är en vanlig variant av ”phising”, där illasinnade personer använder sig av dessa mejl för att få tag på kontouppgifter.

Ett tredje exempel skulle kunna vara ”smarta enheter” som man ansluter till hemmet.

På första exemplet bör man inte släppa in personer där besökare skall använda sig av passerkort. I andra exemplet ska man ta bort mejlet och inte ange några kontouppgifter över huvud taget. Vad gäller tredje exemplet så bör man tänka efter om man har behov av dessa. Vidare bör man även undersöka om enheterna använder sig av standardlösenord av tillverkaren och gärna ändra dessa. Jag kan rekommendera att läsa PC för allas artikel ”hoten mot ditt smarta hem – och så säkrar du det” för tips.

För att inte bli ett för långt inlägg så tänker jag runda av här. Många smarta hem använder sig av ett moln varför det också inkluderades i slutet av detta inlägg.

NextCloud – lovande, men kan förbättras

Det är nog inte en hemlighet att jag är en anhängare av fri programvara och öppen källkod. Jag anser att de programmen bidrar väldigt mycket till samhället. Ibland upplever jag att projekten lovar kanske något över förväntan. Ibland kan orsaken också vara mindre bra dokumentation.

NextCloud är på ett sätt en konkurrent till Microsoft Office 365. Det kan centralt, på ens egna server, lagra filer. Man kan dela filerna och även modifiera dem i exempelvis ett ordbehandlingsprogram på servern. Dessutom finns möjlighet att lägga till appar, såsom chatt- och konferensappar.

Problemen som jag har upplevt har varit att dokumentationen varit något spretig. Ibland har felkonfigurationer uppdagats först vid ”skarpt läge”, därför att dokumentationen har varit otydlig med uppsättningen. Jag förstår att man vill visa möjligheterna – men det får inte ske på bekostnad av att ha otydlig dokumentation.

Stöd för ”Office”-programvara i webbläsaren

NextCloud har stöd kontorsprogram som kan öppnas i Webbläsaren. Idag stöds två olika valmöjligheter, både Collabora Online och OnlyOffice. Det tidigare alternativet är en online-variant av LibreOffice, och det senare en ”Microsoft Office”-lik produkt.

Jag är kluven mellan OnlyOffice och Collabora Online som verktyg. Jag upplever OnlyOffice som mer estetiskt tilltalande. Samtidigt upplever jag Collabora Online mer som en sant alternativ för ”fri mjukvara” – även om OnlyOffice erbjuds med AGPL-licensen. Orsaken är att OnlyOffice har ett hårdkodat tak med maximalt 20 samtidiga öppna dokument.

Collabora Online upplever jag som mindre estetiskt tilltalande. Samtidigt är det även mer krångligt att sätta upp för NextCloud då en separat dokumentserver krävs. Man kan idag, via appar i NextCloud, få igång OnlyOffice.

Videokonferenser med Talk

NextCloud stödjer videokonferenser med Talk. Dock har det inte varit tydligt hur man sätter upp dessa. Istället hänvisas man till forumtrådar om att konfigurera stöd för videokonferens i Talk. Eller så får man läsa utvecklardokumentationen istället för administrationsdokumentationen.

Det största problemet är om man har server bakom en NAT – Network Address Translation – så behöver man konfigurera NextCloud ytterligare. Enkelt förklarat delar NAT på en publik IP-adress för fler enheter*. Idag är det vanligt i IPv4-nätverk på grund av att det finns ett begränsat antal IPv4-adresser.

Det som krävs är en ”TURN”-server. TURN står för ”Traversal Using Relays around NAT” och hjälper till då Nextcloud – och även klienten är bakom en NAT.

Det viktiga är också att en specifik nätverksport i servern är öppen – för att stödja TURN. Denna port ska även vidarebefodras från routern som är värd för NAT:en.

Slutsats

Trots vissa tillkortakommanden, så tycker jag att NextCloud är ett bra alternativ. Det finns ett aktivt team som arbetar med att förbättra mjukvaran. Samtidigt erbjuds även företagssupport av dessa program, varifrån projektet får sin finansiering.

*Tekniskt sett heter detta egentligen PAT, eller ”Port Address Translation”.

Problemet med Mastodon m.fl.

Detta är enbart baserat på mina upplevelser. Jag skriver inte bara om Mastodon, utan även GNU Social och Pump.io. Dessa är några exempel av de öppna källkodslösningar som finns, och som fungerar liknande. Programmen är alternativ mot exempelvis Twitter och Facebook. Den största skillnaden är att du själv kan köra det på din server. Och att registrerade användare från server A kan hämta information från Server B.

Idén är god bakom samtliga anser jag. Tanken är att man som användare inte ska behöva låsa in sig hos EN leverantör, såsom Facebook eller Google. Dessutom kan man läsa källkoden om man vill. Dessa saker är jag inte emot.

Kräver dock många beroenden

Vad jag däremot har problem med är programmens ”beroendehelvete” som någon uttryckte på engelska. Jag har förståelse att man som utvecklare inte vill återuppfinna hjulet. Jag förstår att man därför använder bibliotek, eller verktygslådor, som gör utvecklingen snabbare. Dock så skadar det användarvänligheten ibland. Visst kan jag ta mig an informationen, och leta efter lösningar fel som kan uppstå om så behövs. Men jag uppskattar att kunna slippa det och ha programmet körklart på fem minuter. För det är det användarvänlighet betyder, i min mening. Guiden för att installera Mastodon är något lång, kanske inte användarvänlig och kan göras mer säker. Följer man den så är det inte garanterat att installationen går igenom, varpå man får felsöka. Ett tips från mig är att köra kommandot nedan.

journalctl -u mastodon-*

Det kommer förmodligen att visa de fel som finns. I annat fall kan man köra något av följande kommando nedan:

journalctl -u mastodon-web

Eller:

journalctl -u mastodon-sidekiq

Eller:

journalctl -u mastodon-mastodon-streaming

Du kan läsa mer på Mastodons sida. De visar om tjänsten körs, om de har stött på något fel med mera.

Glöm inte GDPR

Dataskyddsförordningen, eller GDPR, kom som en EU-lag i maj 2018. Lagen kom med många nyheter. Bland annat ger lagen registrerade större rättigheter samtidigt som personuppgiftshanterare krävs på större ansvar. Som personuppgiftshanterare kan man också råka ut för större skadestånd än före förordningen.

GDPR ersatte i Sverige den något tandlösa personuppgiftslagen, PUL. Ett axplock av nyheterna som GDPR införde är följande:

När vi tar Mastodon som exempel så kan vi inte kontrollera samtliga instanser som kan ta del av information. Dessutom kan man inte kontrollera vilka instanser som man inhämtar information ifrån. För att förenkla min förklaring så tänker jag exemplifiera:

Kalles och Pers server (exempel)

Kalle har en server som heter kalles-social.info. Per har en annan server som heter pers-social.io. På sin server har Kalle namnet @kalle@kalles-social.info. På Pers server heter Per @fotboll4life@pers-social.io. Kalle hittar Per på Pers server, och börjar prenumerera, eller ”följa” Per. Kalles server kommer då att inhämta alla inlägg som Per har gjort på sin server, och presentera dem på Kalles server.

Data som Per nu gjort publik kommer att finnas på Kalles server. Beroende på vad Per har skrivit kan det ju vara alltifrån inte så personligt identifierbar information till mer av det stuket. Hur mycket beror ju helt på hur öppen Per har varit med sin data.

Att då skriva ett användaravtal och policy som håller för denna datahantering lär vara svårt.

Lärdomar för Mastodon-teamet

Användarvänlighet är vad Mastodon och övriga behöver lära sig från WordPress. WordPress är väldigt enkelt; du laddar ned en .zip-fil, extraherar innehållet och kör (något förenklat). Visst behöver man en MySQL-databas och webbserver med stöd för PHP. Därefter tar det kanske fem minuter innan man är uppe och kör.

Jag har provat att ladda ned Mastodon till en server för att testa och se hur det fungerade. Det har varit lite varierat resultat på de instanser som jag provade installationen på.

De första försöken var ett misslyckande. Förmodligen kunde det ha att göra med något lite RAM-minne på den instansen. Även om jag lade till utökat swap-minne så kunde jag inte ladda ned de beroenden som krävdes. Dock var det svårt att utläsa hur mycket som krävdes, eftersom det inte står dokumenterat vilka hårdvarukrav som Mastodon har.

Efter lite arbete och en ny instans så kunde jag snart få igång en egen Mastodon-server. Det var ett intressant mjukvaruprojekt att testa, men inte något för mig.

PeerTube – ett mycket intressant YouTube-alternativ

Jag snubblade nyligen in på ett mycket intressant projekt vid namn PeerTube. Detta är en videoplattform, vilket man själv kan köra. Peertube är fokuserat på just decentralisering, där man kan koppla ihop flera instanser (servrar) som kör samma programvara. Till skillnad Vimeo och Youtube, kan man i Peertube även hämta videor från andra servrar som också kör samma programvara.

En instans som kör detta är Framatube, och där kan man se hur upplägget ser ut. Det påminner något om Youtubes gränssnitt, även om innehållet här mestadels består av franskspråkiga videos. Det finns även en instan körande Mastodon, vilket också är ett annat intressant projekt, har även en Peertube- instans. Deras instans innehåller en video om KDE:s applikationer 19.04 på engelska.

Problem med Peertube

Något jag kanske inte direkt tänkte på vid första anblicken av programmet är att det kör P2P-protokollet när man kikar på en video. Detta betyder att utöver den instansen som har filmen sparad, kan även andra som kikar på samma video sända vidare filmdata till mig när jag själv kikar på den. Detta kan bli lite problematiskt med att följa GDPR – då denna lag kräver att både controllern (den som beslutar hur datahanteringen genomförs) samt processorn (den som utför arbetet) hanterar den personliga datan på ett ansvarsfullt sätt.

De som är ansvariga för en Peertube-instans kan inte garantera att besökare på sajten saknar verktyg för att spåra andra. Potentiellt betyder detta att en som kör instansen kan se sådan information och kanske köra korshänvisningar för att identifiera de som ser på videos.

När passar det?

Som jag ser det passar Peertube på små nätverk. Det vill säga dem man har kontroll över. Ett exempel är att köra Peertube hemma. Eller på ett intranät hos en mindre organisation. Detta åtminstone här i EU (men nu är jag inte heller en jurist). Tekniskt sett så ser jag också mindre risker att använda programmet i små nätverk.

Datahanteringen av Facebook och övriga nätjättar

Facebook och övriga nätjättar har en otroligt stor datahantering av personliga data. Ibland kan de hantera mycket mer än vi känner till. Som de flesta känner till har dessa otroligt många användare i deras databaser. Nätjättarna förser användarna med diverse tjänster, däribland tillgång till sökresultat, mikrobloggande och sociala nätverk. Tjänsterna i sig kostar monetärt inget att använda – däremot betalar samtliga användare genom den data man delger både medvetet och omedvetet.

Med tanke på all publicerad information av nätjättarnas ”data mining”, kommer vi att sluta använda deras tjänster? Nedan skriver jag mer information om både bakgrund och mina egna tankar kring det hela.

Bakgrund och Cambridge Analytica

I efterdyningarna av Cambridge Analytica-skandalen som Facebook har skakats av, så har det tillkommit ytterligare information. Kort nämnt, för den som inte känner till skandalen, är att Cambridge Analytica under år 2014 skapade ett personlighetstest som ungefär 270 000 användare gjorde via deras Facebook-konto. När de godkände villkoren att genomföra testet, tog Cambridge Analytica dels deras användarinformation, men också testtagarnas vänners publicerade Facebook-information. Sammanlagt fick Cambridge Analytica data om ungefär 50 miljoner Facebook-användare. Mer information om skandalen, inklusive ytterligare källor.

Det har varit ett känt faktum att ”gratistjänster” använder den information som deras användare delger dem tack vare rätt långa användaravtal, som godtyckligt ändras. Jag har skrivit mer ingående om Facebook-skandalen i denna blogg. Jag har även skrivit om mina misstankar efter skandalen.

Nyare avslöjanden om datahantering

Facebook har delat med sig av information i väldigt stor utsträckning skrev NY Times i december. I deras artikel skriver tidningen hur Facebook har gett övriga företag rätt långtgående rättigheter att komma åt användarnas data. Exempel på sådant är följande:

  • Microsofts söktjänst Bing har fått ta del av Facebookanvändares vänner, utan användarnas tillstånd
  • Netflix och Spotify har fått ta del av användarnas privata meddelanden
  • Amazon har fått ta del av användares kontaktinformation via deras vänner
  • Låtit Yahoo! se inlägg av användare som stängt av deras publika delning

Något som definitivt bör vara oroväckande för användare på plattformen är just möjligheten för andra parter att läsa privata meddelanden. Den länkade tidningsartikeln beskriver också hur Spotify, Netflix och The Royal Bank of Canada kunnat gå in och se vilka användare som har privata chattar med varandra, samt läsa, skriva och radera dessa meddelanden.

Förfalskade konton – vanligt bland de stora plattformarna

Om det finns något som de stora plattformarna har problem med, så är det förfalskade konton. New York Times har också skrivit om detta fenomen, bland annat där de beskriver hur det ser ut på Twitter. De flesta av kontona är bottar som skapar innehåll på olika sätt.

Nu behöver inte en Twitter-bot per automatik vara ett förfalskat konto – det finns exempel där Twitter-bottar hämtar myndighetsinformation automatiskt för att informera allmänheten om aktuella händelser. Ett sådant exempel är SFQuakeBot, som hämtar information om jordbävningar i San Francisco-området och återpublicerar dem. Detta exempel gör det dock tydligt att det är en bot som (åter)publicerar informationen.

Däremot finns det andra exempel där bottar istället verkar vara verkliga personer, åtminstone vid en första anblick. Dock kan dessa vid en mer noggrann inspektion avslöjas, särskilt om man undersöker dem i grupp. Jag rekommenderar den som är intresserad att läsa artikeln, då NY Times har gjort mer långtgående undersökningar om detta.

Delar dina appar information med Facebook automatiskt?

Till skillnad mot många delar av världen så åtnjuter vi användare ett väldigt starkt skydd i EU gällande vår datahantering, i teorin. Detta eftersom GDPR kräver ökad transparens av organisationer som erbjuder tjänster där personuppgifter hanteras. Dessutom ska vi ha större granulär kontroll av hur vår data får användas.

Det har gjorts undersökningar av hur appar delar information med Facebook. Det skrämmande med exemplen är när de delar data med Facebook utan att ge användaren information först – eller ljuger användaren upp i ansiktet att de inte delar någon data. Privacy International har här gjort ett väldigt stort arbete i frågan. Undersökningen är gjord i Storbritannien, där GDPR är gällande lag. Detta betyder alltså att trots gällande lag kan det alltså ändå inträffa såpass stora snedsteg.

Privacy international skrev också att vissa ändringar har gjorts sedan publikationen av deras rapport. Det återstår dock att se huruvida utvecklare i tid har hunnit att uppgradera deras verktyg – om än detta har skett något för sent.

Kan jag göra något mer än att gå ur tjänsterna?

Förmodligen lär det vara svårt att gå ur flertalet av tjänsterna som nätjättarna erbjuder. Men om man vill göra mer för att ”sopa bort spåren” mot ljuset av den datahantering som finns, så kan man göra det. En systemadministratör skrev ett script för att modifiera samtliga av hans inlägg. Dock kommer det inte ändra den data övriga företag har ”kammat hem” av Facebooks användare, däremot kan det försvåra för framtida företag som hämtar information om Facebooks användare. Definitivt en kul grej, men troligtvis kommer den inte vara av större nytta för varken gemene man eller den mer tekniske personen. Detta med tanke på den datahantering som ligger bakom.

Kommer detta att ha någon inverkan i framtiden?

Jag skulle tro både ja och nej; samtliga plattformar som har otroligt många användare lär nog fortfarande vara kvar om fem år. Iallafall om användarbasen är lika stor, om inte större, än idag. Jag misstänker att nätjättarna kan få en ekonomisk smäll på fingrarna om de inte tar det försiktigt med EU-medborgares data. Jag förmodar också att det kan finnas vissa ekonomiska intressenter som drar sig ur tjänsteleverantörerna genom att sälja sina aktier.

Användarbasen kommer förmodligen inte att påverkas såpass mycket. Det har under tidigare år varit vanligt med skandaler, men trots detta så har användarantalet inte ändrats alltför mycket. Jag tror att det främst handlar om bekvämlighet och tillgänglighet. Facebook erbjuder nämligen en tjänst där många är anslutna, förmodligen flertalet av vännerna av denna inläggs läsare. Jag känner inte till några sociala nätverk som erbjuder samma tjänster som Facebook gör till den skalan användare som de har.

Det enda som jag misstänker eventuellt skulle kunna knäcka Facebook är en större systemkollaps. Antingen om de skulle få tillräckligt många ekonomiskt kännbara följder, som GDPR kan tillåta dataskyddsmyndigheter ge, eller större mjuk/hårdvarufel på jättens sida.

Med tanke på Facebooks storlek, lär det vara svårt att känna till samtliga delar med deras datahantering. GDPR har tvingat företaget att jobba ingående med ökad transparens, så att Facebook inte behöver få alltför stora ekonomiska repressalier. Men min misstanke är att det kommer vara ”business as usual” trots de skandaler som företaget tampats med.

Därför använder man unika användarnamn och lösenord

Data”. Bild av TheDigitalWay. Licens: CC0.

I somras upptäcktes det att MyHeritage, en släktforskningssajt, råkat ut för ett dataintrång. Bland datan som har läckt ut ingår drygt 92 miljoner unika e-postadresser och hashade lösenord. Dessa skall ha varit registrerade hos MyHeritage vid 26 oktober 2017. Kreditkortsinformation skall inte ha läckt ut, då den informationen sparas på separata servrar. MyHeritage skall efter att incidenten upptäckts ha tagit alla de steg som krävs av GDPR och planerar att inom kort även implementera tvåfaktorsinloggning, skriver de i sitt blogginlägg. De uppmanar sina användare att byta lösenord.

Genom att använda samma användarnamn och lösenord på flera plattformar kan eventuella ondsinta hackare komma åt data i olika molnplattformar. Visst kan det nämnas att tvåfaktorsautenticering försvårar det något för dessa hackare, men jag anser att man kan försvåra det ännu mer.

Ett problem med många tjänster och mjukvara är att man själv inte kan styra över dess säkerhet. Man får helt enkelt förlita sig på att de programmerare som gör mjukvaran till tjänsterna gör ett så gott jobb som möjligt. Det man kan göra som användare är att använda unika användarnamn och e-postadresser på olika tjänster som man använder.

Problemet som gemene man kan uppleva här är förstås att det är något svårt att hålla reda på samtliga konton om det är unika e-postadresser till samtliga nya konton. Men genom att åtminstone ha ett par e-postkonton till sitt förfogande utökar man attackvektorn något, vilket leder till att färre konton potentiellt riskerar att bli påverkade. Detta till följd av att hackare använder användarnamn och e-post som gemensamma nämnare för att kunna identifiera enskilda användare över flera tjänster.

Spara unika användarnamn i lösenordshanterare

Användarnamn och lösenord kan sparas i lösenordshanterare för att förenkla administrationen. Detta gör det enkelt att använda rätt inloggningsuppgifter till samtliga tjänster. Det finns förstås olika lösningar, och dessa fungerar också på olika sätt. De kostar oftast även därefter.

Personligen föredrar jag själv applikationer som finns lokalt på datorn, även om så kallade molnlösningar finns som synkroniseras över flera enheter. Vad gäller rekommendationer mm. tänker jag inte skriva i detta inlägg, eftersom det inte är dess huvudsyfte. Är man däremot i behov av att nå konton både via mobiltelefon, platta och dator kan förstås applikationer som synkroniseras med varandra över enheter vara att föredra.

Rättsväsendet tycker att det är ok med slapphet

Jag läste nyligen ett pressmeddelande som Bahnhof släppte angående filmbolag mot fildelare. I pressmeddelandet kan man läsa om domslut som baserar sig på godtyckliga grunder utan att bevis ifrågasätts. Det som gör mig mest förvånad är att, enligt pressmeddelandet, har detta pågått i två år. Jag tappar iallafall hakan av det jag läste i det pressmeddelandet.

Vad gäller det tekniska i målen?

Målen handlar om att firmor använder ett tyskt program som heter MaverickMonitor. Problemet med programmet är att det inte är tillförlitligt. Det är inte enbart svenskar som har varit måltavlor, utan även människor från USA. John Huszar är en amerikan som blev förlagd att betala för upphovsrättsbrott. Istället för att acceptera domen valde han att anlita Dr. Kal Toth, som är en mjukvaruexpert, skriver Bahnhof i ett annat pressmeddelande. Experten utvärderade det program som pekade ut Huszar. I utvärderingen kom Dr. Kal Toth fram till att det fanns många punkter som ifrågasatte MaverickMonitors tillförlitlighet. Bland annat nämnde han att det fattades bevis för kvalitetsgranskning av programmet och att man kunde ifrågasätta resultatens korrekthet och tillförlitlighet. Därför ansåg Dr. Kal Toth att man inte kunde använda programmet som bevis i en rättegång. Bahnhof skriver förvisso att de inte kunnat styrka källan från en tredje part och är därför något försiktiga att dra slutsatser av fallet John Huszar.

Det största problemet är dock att den enda som (förmodligen) vet hur programmet fungerar utan och innan är de på mjukvaruavdelningen hos MaverickMonitor. Mig veterligen finns det ingen uttalad (öppen) standard som programmet arbetar utefter, utan matar ut listor med misstänkta IP-adresser. Hur den kommer fram till adresserna kan inte jag svara på. Men det gör det ännu viktigare att vara på sin vakt om man nu får sådana frågor tilldelade sig.

Inte ok med slapphet?

Gör din röst hörd och sprid ordet. Ju mer man talar om ämnet desto mer aktuellt blir det.

Facebook-skandalen: vad gick fel?

Analytics”. Bild av xresch. Licens: CC0.

I mitt tidigare inlägg skrev jag angående Facebook-skandalen. I inlägget undrade varför alla vaknade nu. Här tänker jag istället gå in på var Facebook, enligt mig, hamnade fel.

1. Facebook ser dig

Företaget samlar mycket data, kanske mer än vad någon utanför har varit införstådd med. Vill man gå med måste man ange namn, e-post eller telefonnummer, ålder samt biologiskt kön. Redan där har företaget fått mycket information om den som registrerar sig.

I jämförelse, om man exempelvis registrerar sig på WordPress.com, ber de om ett användarnamn och e-postadress. Vilket är rätt stor skillnad i information som efterfrågas.

Utöver den tillfrågade informationen kan nämnas att Facebooks ”Gilla” – eller ”Like”-knappar – har använts av många webbsidor. Genom att knappen finns där kan företaget få mer information om surfvanor, vilka företag man gillar och vilka organisationer man sympatiserar med. Då behöver man som besökare inte heller vara en registrerad användare.

Det mest anmärkningsvärda kanske är anekdotiska berättelser om människor, där de fått reklam om vissa produkter bara genom att prata om dem (när man inte använt deras app). I de anekdotiska berättelserna hade de drabbade inte skrivit något om de specifika produkterna. Dock tillbakavisar Facebook detta och vidare i inlägget diskuteras möjligheten om andra appar som kan tjuvlyssna, som Rob Goldman skrev i en Tweet, fritt översatt av mig:

Jag är ansvarig för reklam på Facebook. Vi har inte – och har aldrig – använt din mikrofon för reklam. Det är inte sant.

Man får nog dra sin slutsats själv om vad som är sant och inte.

2. Facebook delar data

Facebook delar data med annonsörer och apputvecklare. Det som hände med Cambridge Analytica, något sammanfattat, var följande:

Apputvecklaren Aleksandr Kogan skapar ett personlighetstest på Facebook 2014. Cirka 270.000 människor deltog i det testet. De som valde att delta gav också Kogan information om deltagarnas vänner, som sammanlagt blev 50 miljoner personer. Datan gav Kogan sedan sin arbetsgivare, Cambridge Analytica (vilket jag hädanefter kallar CA). Av dessa profiler gjorde företaget CA 30 miljoner ”psykografiska” profiler av väljare i USA.

Facebook ska dock ha slutat ge möjlighet till apputvecklare att ta del av användarnas vänner vid 2014. Dock lite sent med tanke på att skadan redan var skedd med CA.

3. Företaget drar sig inte för andra metoder

Det har nämnts att Facebook också ville be sjukhus om anonymiserad data om deras patienter till ett forskningsprojekt. Men med tanke på mediernas rapportering om just CA så har Facebook valt att lägga projektet på is. Om projektet hade startat, hade Facebook fått tillgång till patientdata utan namn. Dessa hade företaget sedan jämfört med personer i sin egna databas genom hashing. Enligt artikeln skulle detta enbart använts i forskningssyfte. Historiskt sett med Facebook vet jag inte om man kan vara lika säker att det bara hade använts i det syftet.

Det jag anser Facebook gör fel är väl egentligen det de tjänar pengar på: all datainsamling över samtliga användare och icke-användare.

Om man inte tycker om det inträffade, och för närvarande är i Facebook tycker jag själv att man bör välja ett annat socialt nätverk. Vissa kanske nämner Instagram, men detta är helägt av Facebook. Snarare bör man kanske kolla på decentraliserade sociala nätverk, som jag nämnde i mitt tidigare inlägg.

Jag drar dock slutsatsen att effekten som all nyhetsrapportering är liten till minimal för gemene man. Jag har inte själv hört någon bekant gå ur Facebook på grund av det inträffade, även om jag har hört rörelsen #deletefacebook.

Orsaken till att väldigt få kommer gå ur är nog följande: man har sina vänner och bekanta i den plattformen redan. Om man väljer en annan plattform måste man övertyga samtliga till att gå över, om man inte vill använda Facebook längre över huvud taget. Det tror jag lär bli väldigt svårt.

Facebook-skandalen: Varför vaknar alla nu?

Bild på en kvinna som håller i en rapport.

Pill”. Bild av rawpixel. Licens: CC0.

Det har förmodligen inte undgått någon. ”Facebook-skandalen”, som medierna uttrycker det, har varit på tapeten de senaste veckorna. Som IT-intresserad är jag inte förvånad över det inträffade. Det som jag är mer förvånad över är att det är först nu som medierna fått upp ögonen för frågan.

Egentligen har det varit känt av många (om inte alla) IT-intresserade människor angående Facebooks datainsamling. Förmodligen är omfattningen av data nytt, men att de samlat in stora delar av privatliv känt. Bland annat nämndes redan 2013 att forskare kunde härleda användarnas ålder, kön, sexuell orientering, etnicitet och vilka man sympatiserade med politiskt med stor precision. Det kunde härledas enbart genom Facebooks ”Gilla”-knappar. Med mindre precision kunde bland annat intelligens, psykologisk hälsa och hur nöjda människor var med deras liv också härledas.

Det finns förstås även äldre nyheter som nämner Facebooks datainsamling. Någon som har hållt sig borta helt och hållet är Richard Stallman, som är grundare av Free Software Foundation och är en av skaparna till operativsystemet GNU (som ofta kommer med en Linux-kärna, och ofta enbart blir kallat ”Linux”). Stallman har på sin personliga webbsida presenterat många argument till att inte använda Facebook.

De senaste veckorna har bland annat Aftonbladet och Expressen publicerat artiklar om detta. Expressen skrev så sent som igår att 55.000 svenskar kan vara drabbade.

Det finns inget som är ”gratis”

På engelska finns det ett uttryck som går there’s no such thing as free lunch. Översatt till svenska blir det det finns inget som heter gratis lunch. Innebörden av uttrycket är att det inte kommer erbjudanden där man inte förväntar sig en motprestation. I Facebooks fall handlar motprestationen att man som gratisanvändare ger företaget data. Datan använder sedan Facebook för att dels visa riktade annonser och för att kunna sälja vidare till deras egentliga kunder, som är företag.

Liknande kan förmodligen nämnas om andra företag, såsom Google. Hur mycket känner inte de till om sina användare? Förra året slutade de förvisso att automatiserat läsa av mail på deras tjänst. Dock kan de fortfarande se ens sökhistorik om man är inloggad, och om man är inloggad i Chrome, även se sidhistorik. Det samma gäller YouTube, som ägs av Google.

Vad händer härnäst, lämnar folk Facebook?

Folk har redan valt att lämna plattformen. Dock tror jag inte att människor kommer lämna plattformen i såpass stora skaror. Jag tänker på tidigare skandaler som medier skrivit om, nyhetsflödet om Facebook kommer förmodligen att ebba ut och så småningom kommer den stora skaran att fortsätta sina liv som vanligt.

Den största skaran människor som påverkas mer nämnvärt är förmodligen anställda på Facebook. Men jag vill inte på något sätt förminska den omfattning som datadelningen har skett i. Vad jag menar är direkt påverkan i deras vardag, människor kanske väljer att säga upp sig vilket leder till större arbetsbörda för övriga… Det i sin tur är inget som gemene man kommer märka av i sin vardag, i alla fall till en början.

Alternativ till Facebook

För de människor som önskar använda alternativa sociala mediekanaler nämner jag dem här. Några av de större alternativen nämns i punktform nedan:

  • JoinDiaspora*
    Är ett socialt avcentralliserat nätverk. Man behöver inte ansluta sig till en central server, utan kan välja en som passar sig själv. Utseendemässigt likt Twitter, då designen bygger på Bootstrap. Även om man inte kan registrera sig längre på JoinDiaspora (man kan däremot bli inbjuden), finns det andra alternativ som använder samma teknologi.
  • Minds
    Ett projekt som dels kan fungera mikroblogg men även blogg. Säger sig själv vara byggt på frihet, integritet och demokrati. Upplever utseendet som friskt och fräscht. Är uppbyggd med öppen källkod.
  • Friendica
    Ett socialt nätverk som är ”personligt” enligt projektets webbsida. Det är ett decentraliserat socialt nätverk som har flera publika noder. Om man vill kan man även ladda ned och ha en egen instans.

Jag vill dock att man uppmärksammar en sak vad gäller sociala nätverk: väljer du att dela något i sociala nätverk, kommer de som har tillgång till gruppen att ha tillgång till den informationen. Är gruppen öppen gäller det även de människor som har tillgång till internet. Om man inte uppmärksammar detta, kommer man förmodligen att göra om samma misstag, om man har blivit förskräckt över nyheterna som publicerats med Facebook och Cambridge Analytica.

© 2022 qvi.st

Tema av Anders NorenUpp ↑