NyWebs projektledare utsedd till Västmanland mest företagsamma människa 2012

Detaljer

Skapad den fredag, 12 april 2013 11:52

Skriven av Tom Ljungqvist

Runt om i landet har tävlingen länets mest företagsamma människa 2012 anordnats av Svenskt Näringsliv. I Västmanland nominerades 50 personer, och av dem valde en jury ut fem finalister.

Vinnaren Tom Ljungqvist, ung entreprenör från Köping med webbyrån NyWeb och sängföretaget InBed Sweden.

Tom utsågs till vinnare i Västmanland efter en omröstning där fler än 1000 röster kom in på kort tid. Prisutdelare var statssekreterare Marita Ljung och Mikael Sundquist, VD Länsförsäkringar Bergslagen.

Juryns motivering till utmärkelsen:

Tom är personen som vänder motgångar till framgångar. Han är trots sin ringa ålder en stor förebild. Serieentreprenör med stort hjärta och samhällsengagemang. Hans drivkraft har inga gränser. Engagerad i allt han gör inspirerar han andra att följa efter och han avsätter tid att träffa och berätta för andra ungdomar om sin resa och hur han ständigt växer som person. Låt er inte luras av Toms lågmälda attityd – han är en ledare.

Skrivet av Per Björkholm, Svenskt Näringsliv

Läs mer på:

Svenskt Näringsliv

Magazin 24

Bärgslagsbladet

Domedagen - enligt UNIX

Detaljer

Skapad den torsdag, 15 december 2011 00:30

Skriven av Mårten Wetterberg

Dömedagen närmar sig! Eller kanske inte riktigt. Dock har vi en hel del intressanta händelser framöver, om vi tittar på UNIX-tid. Detta är helt skrivet från en programmerares synvinkel. UNIX-tid är härefter likställt med UNIX-timestamp.

Vinklingen är lite densamma som under år 2000, när många datorsystem skulle haverera. Det visade sig att ett larm i ?? gick av, mer än så blev det inte. Vi kan dock vara säkra på att det kommer sluta mycket värre när vi når vår 2³¹ sekunder!

Vad är då UNIX-tid? Jo, kort sagt är det antalet sekunder mellan den första januari 1970 (dagen då datorklockorna började) och nu. Eller åtminstone tyckte någon programmerare att den första januari 1970 var ett bra datum, den äldsta filen som ännu finns lagrad ska stämma överens med detta.
 Det används kort och gott i de flesta UNIX-baserade system. Utifrån denna tid kan man få datum, veckodag, månad, år, sekund och alla andra datumformer man kan tänka sig. Dock leder idén att spara datum och klockslag i tid till en del intressanta fenomen. Se nedan:

Läs mer: Domedagen - enligt UNIX

Artikelserie Sökmotoroptimering – Google Webmaster Tools

Detaljer

Skapad den fredag, 28 oktober 2011 09:10

Skriven av Mårten Wetterberg

Detta är första artikeln i vår artikelserie om sökmotoroptimering. Artikelserien passar I allmänhet dig som vill komma högre upp på Googles söklistor, och I synnerhet dig som använder vårt system. Vill du veta mer om vårt system kan du läsa mer om våra paket här.

Första delen handlar om det kanske lättaste och snabaste sättet att optimera din hemsida för Google. Vill du få ut resultat snabbt, så är det inte svårare än att logga in, klicka på några knappar och spara. Inom kort kan du se resultatet på Googles söklistor. Detta verktyg har dock mycket mer att erbjuda, framförallt gällande vilka problem din hemsida har och uppföljning av din optimering.

Kom igång med Google Webmaster Tools, även kallat Verkyg för webbansvariga

Skapa konto

Gå till http://www.google.se/webmasters/ Google Webmaster Tools startsida, och logga in med ditt Google-konto. Har du inget konto krävs att du skapar ett sådant, använd då länken Skapa ett nytt Google-konto

Skapa domännamn

1. 1. När du väl loggat in, får du upp en vy över de domännamn du hanterar via Google Webmaster Tools. En ny ruta frågar efter ditt domännamn, fyll I detta med www, exempelvis www.nyweb.nu.
2. 2. Systemet kommer be dig att bekräfta din sida. Använd den rekommenderade metoden, och ladda ner filen som Google hänvisar till. Använder du vårt system skickar du filen i sin helhet till Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den. . Normalt sett tar det en halvtimme innan vi laddat upp filen. Vi tar inte betalt för denna tjänst, då vi vill att våra kunder ska få ut så mycket som möjligt av sin hemsida. Använder du inte vårt system, ladda då upp filen I rotmappen på din server, där index.php eller dylikt befinner sig.

Gör om processen med att skapa domännamn en gång till, fast denna gång utan www i början, exempelvis nyweb.nu.

Som sagt så tar det normalt sett en halvtimme innan vi bekräftat ditt mail. När detta är gjort får du gå tillbaka till Google Webmaster Tools och bekräfta ditt domännamn, genom att klicka på Bekräfta den här webbplatsen, och därefter Bekräfta. Nu är du klar för att börja sökmotoroptimera din sida.

Grunderna

När din hemsida är bekräftad är du redo att gå vidare till själva sökmotoroptimeringen. Det finns ett hundratal verktyg att välja mellan. Här beskriver vi de som ger bäst resultat, och är enklast att använda. Rubrikerna refererar till menyn till vänster.

Webbplastkonfiguration > Webbplatskartor

Google älskar webbplatskartor, eller sitemaps. Just därför behöver du alltid ge en sådan till Google. Använder du vårt system klickar du på “Skicka in en Webbplatskarta”, och fyller i sitemap.xml i fältet som kommer upp. Använder du inte vårt system kan du skapa en sitemap manuellt, använd då standarden som återfinns på http://www.sitemaps.org/ Sitemaps.org.

Webbplatskonfiguration > Inställningar

Geografisk inriktning

Vissa domännamn har ingen geografisk inriktning från början. Ställ in din målgrupp, exempelvis Sverige här. Notera att du tappar platser på alla de geografiska platser du inte väljer genom denna inställning. Dock vinner du placeringar I den geografiska inriktning du väljer. Detta har inget med språk att göra, utan Google tar reda på vart sökaren befinner sig, och sorterar resultaten efter vilken webbplats som befinner sig I rätt område.

Önskad domän

Välj det domännamn du tycker är snyggast. Detta har ingen effekt på det faktiska resultatet, men är bra för att ändra hur ditt domännamn ser ut I googles listningar.

Din webbplats på webben > Sökfrågor

Här får du utförlig statistik över vilka sökord din hemsida syns på, vilken genomsnittliga placeringen är och utvecklingen på detta över tid. Du kan tillochmed se hur många gånger din hemsida har visats på googles listningar, och hur många av dessa som ledde till ett klick.

Din webbplats på webben > Länkar till din webbplats

Här ser du alla inlänkare till din hemsida. Ju fler desto bättre, men se till att dessa är länkar som vanliga användare klickar på, annars kommer Google strunta I dem. Länkar till din webbplats är dock nyckeln till sökmotoroptimering, detta kommer mer I framtida artikelserier.

Din webbplats på webben > Sökord

Här ser du vilka sökord som din hemsida är stark på. Kolumnen Relevans är nyckeln till lyckad sökmotoroptimering. Har ett av de sökord du tror duna kunder söker på låg relevans, se då till att nämna detta fler gånger på din hemsida, främst I rubriker och sidtitlar, men även i länkar både internt och externt. Efterhand kommer du se att de sökord du jobbar mest med får högre relevans.

Diagnostik > Genomsökningsfel > Hittades inte

Få en överblick över vilka sidor Google har haft problem med och åtgärda dessa. Ju fler sidor som inte finns, desto sämre kommer Google anse din hemsida vara överlag. Kanske att en kund som besöker din hemsida skulle ha samma åsikt, ingen gillar väl att få upp felmeddelanden när man surfar på sidorna. Vill du nå detta, och åtgärda det smidigt och enkelt, kan du använda dig av Snabbinstalleraren > Adresskoppling, och ändra vart en besökare ska hamna om sidan inte finns.

Första veckorna kommer du inte få ut så mycket av Google Webmaster Tools, annat än lite högre placeringar på googles söklistor och att du kan kontrollera hur din hemsida listas. Efterhand byggs statistiken upp, och du kan se hur bra din hemsida visas på listor, och hur många som söker och klickar på dina sökord. Men framförallt kan du se vad google tycker om din hemsida, och få konstruktiva tips och råd på vad som inte är optimalt.

Bloggtoppen - Hur kunde det hända?

Detaljer

Skapad den onsdag, 26 oktober 2011 09:10

Skriven av Mårten Wetterberg

Vi skriver detta med anledning av det dataintrång som med största sannorlikhet skedde på Bloggtoppen under september månad. Våra källor är den twitterfeed som pågått kring detta, men även tidigare inlägg av den misstänkte på Flashback och Twitter.

Tydligen har bloggtoppen hackats, och alla lösenord (om än krypterade(hashade)), användarnamn och e-postadresser har publicerats, och finns att ladda ner här. Ladda ner filen och kontrollera om din e-poastadress är med. Bland annat har stora bloggare och politiker drabbats. Denna lista har publicerats av bland annat SVT.

Vad är det som har hänt då? En person eller grupp har hackat sig in i bloggtoppens databas, genom en såkallad SQL-injection. Därigenom har de fått tag på MD5-hashade lösenord, och användarnamn och e-postadresser i klartext. Lösenorden var inte "saltade", och har på så sätt kunnat knäckas mycket enkelt. De senaste uppgifterna säger att 80 % av alla lösenord har knäckts.

Hur många användare rör det sig om då? Totalt sett mellan 50 000 och 80 000 unika konton. Bloggtoppen har gjort två kollosala missar i detta fall, som ligger till grund för denna katastrof. Låt oss berätta lite om tekniken som användes, eller som borde ha använts.

SQL-injection

Hackningen genomfördes enligt den misstänkte hackaren genom en så kallad SQL-injection. Detta är ett säkerhetsproblem som uppstår främst i glappet mellan MySQL och PHP, men är mycket enkelt att bygga runt. Denna information är vida spritt, och få moderna hemsidor går att hacka genom SQL-injections.

Man kan jämföra denna metod med hur citat skrivs i svensk text. SQL är ett frågespråk, där du ställer frågor och citerar de olika delarna. Citat i citat när du skriver i svenska språket, ska vara som följer: "Min far sade till mig: 'Du skall icke svära'". Felaktigt skrivet blir detta "Min far sade till mig: "Du skall icke svära"". Detta skulle innebära att texten "Du skall icke svära" hamnar utanför citatet. Därmed är din citering felaktig, och du kan mycket väl felcitera någon på detta sätt, utan att denne kan klaga, eftersom du inte citerade personen, utan lurade läsaren att tro att texten var citerad. Samma gäller med SQL-injections.

I exemplet som följer fyller jag i den röda texten i inloggningsrutan på valfri hemsida. Det som visas är den faktiska kod som kopplar upp applikationen mot databasen:

"SELECT * FROM USERS WHERE e-mail='marten[at]nyweb.nu'

På detta sätt kan man få ut all information om användaren marten[at]nyweb.nu. Problemet består i att e-postadressen fylls i av användaren själv, och på så sätt kan man modifiera koden såhär:

"SELECT * FROM USERS WHERE e-mail='marten[at]nyweb.nu' OR 1='1'"

På detta sätt har vi valt att visa(SELECT) allt(*) från(FROM) användardatabasen(USERS) där(WHERE) e-postadressen är Den här e-postadressen skyddas mot spambots. Du måste tillåta JavaScript för att se den. eller(OR) 1=1. Som vi alla vet så är alltid 1 lika med 1, och därför kommer man få ut alla användare, oavsett om e-postadressen är marten[at]nyweb.nu eller inte. Det jag då skrev in istället för min e-postadress var marten[at]nyweb.nu' OR 1='1. Detta kan du gärna testa på några sidor, du kan mycket väl lyckas med ditt försök att hacka en hemsida. Tänk på att först stänga av javascript, och skyll inte på oss om du inte skyddade din IP-adress i dina hackningsförsök. Googla på TorBrowser om du vill försöka detta, och samtidigt skydda din identitet.

Hur stoppas då detta? Superenkelt, man skriver som följer:

"SELECT * FROM USERS WHERE e-mail='".mysql_real_escape_string('marten[at]nyweb.nu')."'.

Det nya är funktionen mysql_real_escape_string(). Denna stoppar alla typer av attacker som kan förekomma av detta slag.

Detta är standard sen rätt många år tillbaka. Mycket tråkigt för bloggtoppen, och alla dess användare att inte bloggtoppen var tillräckligt kompetenta att använda dagens standarder. Men de gjorde fler missar...

MD5 och SALT

MD5 utvecklades för att jämföra två filer med varandra, och se om de är exakt likadana. Det började användas för lösenord, och är dagens standard. Enkelt förklarat så fungerar det såhär: Mitt lösenord är "babcab". Varje bokstav har ett värde, detta skulle kunna bli motsvarande:

(b=2)(a=1)(b=2)(c=3)(a=1)(b=2)

Dessa multipliceras med varandra:

2*1*2*3*1*2=24

Då lagras numret 24, som då kallas hash, i databasen, och är sparat som ditt lösenord. Varje gång du försöker logga in multiplicerar applikationen ditt lösenord på samma sätt, och sedan kontrolleras detta med databasen. På så sätt lagras aldrig ditt lösenord i databasen, bara en så kallad MD5 hash. På samma sätt kontrollerar två datorer om de har samma fil, de multiplicerar värdena som ovan, och jämför bara värdet av multiplikationen, och inte filen. Hänger du med?

Dock finns det en fundamental skillnad mellan detta exempel och verkligheten. En MD5-hash är mycket mer komplicerad än en multiplikation, och den är alltid 16 byte lång. Detta gör att varje given MD5-hash har ett oändligt antal lösningar, i detta fall lösenord. Dock är sannorlikheten att du hittar en annan lösning än just ditt lösenord mycket liten. Men i teorin kan ditt konto hos facebook ha flera olika lösenord samtidigt, dagens datorer är bara för långsamma för att räkna ut detta än.

Någon smart person har då börjat lagra MD5-hashes och lösenord tillsammans, och har på så sätt skapat en databas över vilka MD5-hashar som passar till vilka lösenord. Frågar man denne person, kan han, givet att ditt lösenord är tillräckligt vanligt, leta upp en annan person som har samma hash som dig, och kontrollera vilket lösenord som passar till hashen. Det behöver inte vara ditt specifika lösenord, det kan lika gärna vara ett helt annat, men återigen är den sannorlikheten mycket liten att två lösenord passar på samma hash.

Detta betyder att lösenord som använts av andra användare tidigare, som då denne person har snappat upp, är osäkra. Är inte ditt lösenord unikt för just dig, så är inte ditt lösenord säkert om det lagras i MD5. Så ser webben ut idag. Dock har Bloggtoppen återigen gjort en förfärlig miss igen.

Salt

För att undvika detta problem, använder alla moderna system som lagrar lösenord på detta sätt sig av salt. Kort sagt så saltar man lösenordet med en hemlig kod. Såhär kan det se ut: Ditt lösenord: babcab. Salt som läggs på av systemet: friu4ty q489y. Det lösenord som då lagras blir följande: friu4ty-babcab-q489y. På så sätt blir den MD5-hash som skapas mycket mer unik. Som sagt, alla moderna system med MD5 använder Salt, och SALT löser problemet med att lösenorden går att gissa. Det spelar ingen roll om hackern får tag på Saltet, det blir för svårt att knäcka lösenordet ändå. Detta system använder vi på NyWeb, och alla våra kunder. Inte Bloggtoppen.

Det finns ytterligare en aspekt av detta, som heter brute force. För att lyckas med detta måste man veta SALTet och alla MD5-hashes. Då kan man låta en dator gissa sig fram till rätt lösenord. Det kan ta år innan man får fram ett enda resultat. Saken är den att SALT lagras i serverns filsystem, och är därmed väl gömt. Har en hacker fått tag på SALTet, är hemsidan såpass dåligt uppbyggd, eller hackern så duktig, att han lika gärna kan bygga om hela systemet, och istället för att logga in användaren när den fyller i lösenordet, maila hackern personligen med all information om lösenord, vad personen heter och dennes IP-adress. Ännu värre är det om man fortfarande loggas in som vanligt, då kommer inte det upptäckas att hackern får mail om användarnas lösenord.

Security by obscurity

Denna term används främst när man talar om Macs virusskydd. Det betyder i princip att något är säkert, för att ingen vet hur det fungerar. Därmed måste en hacker gissa sig fram till rätt metod att hacka. Detta är fullkompligt säkert, tills någon lyckats hitta ett litet hål att ta sig in igenom. Då är hela systemet blottat för hackaren. Så jobbar inte vi på NyWeb.

I vår programmering på NyWeb berättar vi gärna vilken säkerhet vi använder. Vi använder MD5, SALT och mysql_real_escape_string. Vår filosofi är att systemet måste vara så säkert att även vi som programmerar för NyWeb inte ska kunna ta oss in och förstöra något, utan våra supersäkra lösenord. Hör av dig om du vill veta mer!

Slutord

Vi beklagar alla de ca 80000 lösenord som har publicerats, och alla de användare som drabbats. Inte minst är det jobbigt att komma ihåg ett nytt lösenord. Dock kan vi med hänsyn till den data som publicerats, säkert säga att alla ni som faktiskt hade ett säkert lösenord(Över 8 tecken långt, innehållande siffror, bokstäver och specialtecken, som inte någonsin kan ha använts av någon annan). Ni behöver inte byta lösenord på Facebook för att ert konto på bloggtoppen blev hackat. Ni andra, skaffa ett så bra lösenord som nämns ovan. Är ni tillräckligt kluriga i skapandet av lösenordet kan ni, trots vad många andra säger, använda samma lösenord överallt.

HTML 5

Detaljer

Skapad den måndag, 17 oktober 2011 13:58

Skriven av Mårten Wetterberg

Vi annonserar härmed en mindre uppdatering av systemet. Nu visas alla videor och musik du lägger upp på din hemsida med HTML 5. För äldre webbläsare, laddas flashspelaren som vanligt.

Tidigare laddades videor och musik i flash, så nu kan även användare från iPads och iPhones se videor. Detta är ännu en utveckling av vårt system, som gör att vi ligger i framkant i tidens utveckling på webben. Ni som sedan tidigare har lagt upp videor behöver inte lägga upp dessa på nytt för att använda denna nya funktion, detta har gjort automatiskt.