“Privilege escalation”-sårbarhet i Dropbox

dropboxDropbox er en mye brukt tjeneste for å lagre og dele filer i nettskyen, og jeg kom over en aldri så liten sårbarhet her om dagen da jeg skulle lese noen dokumenter fra en shared link en student sendte meg. Shared links er en funksjon som brukes for å dele filer med andre uten at de trenger å logge seg på med sin egen Dropbox-bruker. Nå hadde det seg slik at det var en stund siden jeg fikk tilsendt denne lenka, og i mellomtiden var offentlig tilgang til filene i denne katalogen blitt fjernet. Likevel skulle det vise seg at man på en veldig enkel måte kunne få tilgang til filene her.

Sikkerhet og brukbarhet i skjønn forening

Brukbarhetstesting av digital tavleløsning
Brukbarhetstesting av digital tavleløsning på sykehus: Kan potensielt sensitiv informasjon gjøres mer tilgjengelig?

Tirsdag 29. april i Trondheim skal undertegnede snakke på Dataforeningens fagmøte om et aktuelt tema: Er det i det hele tatt mulig å lage løsninger som er både sikre og brukervennlige?

I en rykende fersk forskningsartikkel publisert i tidsskriftet BMC Medical Informatics and Decision Making (fri tilgang), beskriver vi utviklingsarbeidet og resultatene fra eksperimentering med en digital tavleløsning for sykehus. Hvordan kan digitale tavler brukes til statusoppdateringer med potensielt sensitiv informasjon, men samtidig gjøre fordel av tavlens synlighet på en vegg som mange kan se?

Skal det være nødvendig å stole på storebror hele tiden?

Etter en uke i Hellas (med overraskende få opptøyer) er det på sin plass å nevne presentasjonen av artikkelen “A Cryptographic Protocol for Anonymous Communication in a Redundant Array of Independent Net-storages” på årets utgave av IEEE CloudCom i Athen.

Dette er en del av et pågående arbeid for å se om det er mulig å oppnå tilstrekkelig sikkerhet i nettskyen uten å kryptere data, men kun ved å dele dem opp og spre dem på forskjellige nettskytilbydere.

Tilgangskontroll for elektroniske informasjonstavler

Vi har tidligere på denne bloggen skrevet om arbeidet vårt i COSTT-prosjektet med der store skjermer brukes for å gi bedre koordineringsstøtte på sykehus. Målet vårt er å finne gode løsninger som gjør at de ansatte får den informasjonen de trenger samtidig som personvernet til pasientene blir ivaretatt.

Denne uken drar Inger Anne Tøndel til NordSec-konferansen for å presentere forslag til hvordan man kan gjøre tilgangskontroll for denne typen systemer. Artikkelens tittel er: “Visualization Control for Event-Based Public Display Systems used in a Hospital Setting”

Helseinformasjon på storskjerm for koordineringsstøtte på sykehus

I COSTT-prosjektet jobber vi på SINTEF sammen med forskere fra blant annet NTNU om å tilby bedre koordineringsstøtte for helsepersonell knyttet til operasjonsavdelinger på sykehus. Ideen er å bruke store vegghengte skjermer til å vise statusinformasjon slik at de ansatte lettere skal få oversikt over det som foregår og de endringer som oppstår. Slik kan de lettere tilpasse og planlegge sin egen arbeidsdag. Personvern er viktig når man håndterer helseopplysninger, selv om man bare deler informasjon om status på undersøkelser. Vi jobber med løsninger for dette, og har nå i august publisert og presentert to artikler om temaet.