På en DVD har jag en inspelning av några avsnitt kallade Drömmen om datorn inspelade från Vetenskapens värld ca. 1993. I det första avsnittet beskrivs hur Babbage för fram idén om datorn (där processor och minne hålls åtskilda) långt före elektroniken för att förverkliga har utvecklats. Här nämns brevväxlingen med Ada Lovelace. Hur det nu än är med vem av de två som skrev program för den tänkta datorn så kan de två räknas som pionjärer inom området. Ada gav namn åt programspråket Ada som utvecklades för det amerikanska försvaret (och det var som det jag först kom i kontakt med namnet, genom en notis i ett nummer av Illustrerad Vetenskap från mitten av 1980-talet).
Ada har även givit namn åt en sal på min arbetsplats (Augusta Ada Lovelace). Hon och Grace Hopper är de enda kvinnorna som fått ge namn åt salar, resten är män (däribland Donald Knuth som fortfarande är i livet).
När det gäller att hitta fler kvinnliga fixpunkter (och sådana som ligger eller legat närmare till hands för den teknik jag intresserat mig av) är det svårare. Dels handlar det om att det finns många personer i skymundan som gjort ovärderliga bidrag.
Som teknikhistoriskt intresserad skulle jag vilja att det fanns fler projekt som Andy Hertzfelds webbplats Folklore, som handlar om hur han och en drös andra (mer eller mindre i skymundan från Jobs och Wozniak) byggde den första Macen för 25 år sedan. Bland kvinnorna finner man bland annat Caroline Rose, Joanna Hoffman och Susan Kare. Den senare har på senare tid blivit känd som den som ritat Facebook-ikonerna man kunnat köpa och ge till vänner.
När jag tänker efter vilka kvinnliga lärare jag haft under min utbildning inser jag att de kan räknas på den ena handens fingrar. I själva verket tror jag det kan räknas på ena handens tumme och pekfinger. Tittar jag i bokhyllan efter teknikböcker skrivna av kvinnor hittar jag dels boken om Visual Basic (Amelie Banks Sylvan) jag fick för femton år sedan och en kursbok i människa-dator-interaktion (Jenny Preece).
Fast en annan bok i bokhyllan (skriven under pseudonym med manligt namn) pockar om uppmärksamheten:
Men tydligen kom jag alldeles i rätt ögonblick, hjärtslagen skenande okontrollerat iväg när jag förstod vad den kända krypteringsforskaren framme på podiet talade om.
– Vartenda ord är sant. Precis så här är det tekniskt möjligt att lura bankernas utbetalningsautomater. Ett proffs måste ha skrivit den här boken.
Hon höll ett exemplar av Datadyrkarna i handen. Tydligen hade hon högläst en bit och nu berättade hon allmänt om hur man kan lura folk att använda kontokort i en falsk terminal och på det sättet spela över kontonumret och den hemliga personkoden till en bandspelare.
Datadyrkarna har jag nämnt tidigare. Utdraget är ur den efterföljande boken Samkörarna och jag har fått för mig att det är Viiveke Fåk som avses som den kända krypteringsforskaren. Eftersom jag hört talas om henne redan innan jag började läsa vid universitetet måste hon nog få räknas som en kvinna i tekniken jag beundrar.
Som jag konstaterade på Twitter igår kväll så verkar Åhléns och Willys köra likadana utomhuskampanjer samtidigt. Idén med effekten att delar av en affisch eller sida är bortrivna för att avslöja en annorlunda men ända passande del är väl inte helt originell men att de dyker upp samtidigt och dessutom från två företag i samma företagsgrupp känns märkligt. Åhléns och Willys andas ändå lite olika inriktning (och här är Willys mer rätt ute med sin lågprisprofil än vad Åhléns är).
(Det blåa kluddet här är inte del av affischen utan antagligen verket av en elev på John Bauer-gymnasiet i Linköping. Lägg även märke till dagens outfit: vita gymnastikskor)
För fem år sedan läste jag Lotta Lotass’ bok Tredje flykthastigheten, som jag plockat upp på chans på Norrköpings stadsbibliotek, och blev alldeles gripen. Idag meddelas att Lotass blivit invald i Svenska akademien, vilket känns välförtjänt. Jag skrev för fem år sedan att jag ville läsa om boken igen. Det har jag inte gjort än men det får bli den och andra böcker av henne i sommar.
Martin Sandberg skriver om säkerhetsbristen som fanns i Spotify innan mitten av december då man kunde få ut en saltad hash av valfri användares lösenord. (via Joakim Jardenberg)
Kan tillägga att jag, av lärare från KTH, sett stavningen av hash försvenskad till hasch vilket gör att man inte ens i skrift kan skilja substansen och det datalogiska begreppet åt.
Nu är sajter som tar säkerheten seriöst bättre än så här. Exemplevis Spotify använder ”saltade” funktioner, dvs stoppar in ett annan data tillsammas med ursprungslösenordet – ofta tar man något kopplat till användarnamnet, ett user-id etc. Då blir säkerheten högre, men ändå uppmanar alltså Spotify oss att byta.
Nej, man bör inte ta användarnamnet som (enda) salt till hashen. Det ökar förstås komplexiteten något men det gör det fortfarande möjligt att sammanställa en rainbow table som kan återanvändas vid attackförsök på olika ställen om de lägger till saltet på samma sätt. Man bygger i förväg upp en tabell med hashar av ”lösenord+användarnamn” för de vanligaste lösenorden och de vanligaste användarnamnen som man kan återanvända på system som bygger upp hashen på samma sätt. Förutom de universellt vanligaste lösenorden kan man lägga till användarnamnet självt som lösenord samt användarnamnet baklänges osv. Regnbågstabellen blir a gånger större för a användare så det blir betydligt besvärligare än helt utan salt men det är dumt när man kan offra en kolumn i användardatabasen till att ha ett unikt, slumpgenererat, salt per användare. Därigenom omöjliggör man möjligheten för någon att utnyttja tabeller gjorda på förhand och en attackerande dator måste hasha kombinationen möjliga lösenord och givet salt för varje användare.
Man kan också som kodare använda den säkrare hash-algoritmen SHA1 (Secure Hash Algoritm).
Man ska absolut inte tolka det här som att man ska använda sig av enbart SHA-1 istället för MD5 + salt. Saltar man inte en SHA-1-hash så är det lika enkelt att använda regnbågstabeller där.
Sedan ska man vara uppmärksam att man i MD5 inte bara hittat kollisioner (dvs. hittat två olika strängar som ger samma hash) utan även kan få med valfri text som en del av dessa strängar. Så med ett gäng Playstation-3:or kan man förutsäga vem som blir USA:s nästa president eller skapa falska webbplatscertifikat. Därför bör man inte använda MD5 som hashfunktion. I takt med att hårdvara blir snabbare och bristerna i MD5 utreds mer kan det visa sig bli möjligt att få fram rätt lösenord (eller ett av de korrekta lösenorden, även om det inte lär finnas någon kollision med lösenordens begränsade längd) givet en saltad hash på kort tid.
Vad gäller SHA-1 har man teoretiskt visat svagheter så att man skulle kunna finna kollisioner som kräver färre beräkningar än ren brute-force även om man ännu inte hittat någon kollision. Däremot har man hittat kollisioner för delresultat av SHA-1 (vid 70 pass av totala 80). Så man bör kanske inte heller välja SHA-1 för framtida bruk.
