|
| Certifikat Fra : Morten Snedker |
Dato : 28-09-04 14:49 |
|
Via TDC har jeg et certifikat, som jeg vil benytte ved udsendelse af
e-mails. Dette virker...næsten.
Sender jeg en e-mail til mig selv, hjemme, så virker det fint. Sender
jeg den samme til min arbejdsplads, så får jeg besked om at "Denne
meddelelse har en ugyldig digital signatur". Hvo'f nu det?
mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk
| |
Gevaldi (28-09-2004)
| Kommentar Fra : Gevaldi |
Dato : 28-09-04 16:27 |
|
> Via TDC har jeg et certifikat, som jeg vil benytte ved
> udsendelse af e-mails. Dette virker...næsten.
>
> Sender jeg en e-mail til mig selv, hjemme, så virker det
> fint. Sender jeg den samme til min arbejdsplads, så får
> jeg besked om at "Denne meddelelse har en ugyldig digital
> signatur". Hvo'f nu det?
Nu er det jo sådan at TDC yder support
på deres certifikat:
80801581 og de har åbent til kl. 20
--
/Gevaldi
| |
Dan Storm (28-09-2004)
| Kommentar Fra : Dan Storm |
Dato : 28-09-04 17:04 |
|
det er på grund at at du kun kan sende signeret mail til en person hvis
certifikat du har. Og certifikaterne skal være installeret på begge
computere.
Morten Snedker <mortenudelad@ wrote:
> Via TDC har jeg et certifikat, som jeg vil benytte ved udsendelse af
> e-mails. Dette virker...næsten.
>
> Sender jeg en e-mail til mig selv, hjemme, så virker det fint. Sender
> jeg den samme til min arbejdsplads, så får jeg besked om at "Denne
> meddelelse har en ugyldig digital signatur". Hvo'f nu det?
>
> mvh /Snedker
> ---
> http://dbconsult.dk
> Email: mortenatdbconsultdotdk
| |
Poul Erik Jørgensen (28-09-2004)
| Kommentar Fra : Poul Erik Jørgensen |
Dato : 28-09-04 22:00 |
|
"Dan Storm" <shadyz@_removethis_err0r.dk> skrev i en meddelelse
news:41598b60$0$203$edfadb0f@dread12.news.tele.dk
> det er på grund at at du kun kan sende signeret mail til en person
> hvis certifikat du har. Og certifikaterne skal være installeret på
> begge computere.
Findes der en art certifikat-bank?
PEJ
--
Remove NNN from my e-mail address when replying.
Enlevez NNN de mon adresse électronique pour me répondre.
| |
Jesper Stocholm (29-09-2004)
| Kommentar Fra : Jesper Stocholm |
Dato : 29-09-04 07:23 |
|
Dan Storm wrote:
> det er på grund at at du kun kan sende signeret mail til en person hvis
> certifikat du har. Og certifikaterne skal være installeret på begge
> computere.
Nej, ud fra den oprindelige post virker det som om, at problemet skyldes at
Mortens PC på arbejdet ikke har TDCs rodcertifikat installeret. Det kan
vist hentes fra certifikat.dk. Jeg vil næsten bide spids på, at dette også
står i den fejl, som Morten får (et eller andet sted).
Det er kun hvis man vil sende en krypteret email, at man har behov for
modtagerens certifikat. Det er ikke nødvendigt med signerede emails.
--
Jesper Stocholm http://stocholm.dk
Programmer's code comment:
//It probably makes more sense when you're stoned.
| |
Povl H. Pedersen (01-10-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 01-10-04 16:55 |
|
In article <41598b60$0$203$edfadb0f@dread12.news.tele.dk>, Dan Storm wrote:
> det er på grund at at du kun kan sende signeret mail til en person hvis
> certifikat du har. Og certifikaterne skal være installeret på begge
> computere.
Nej, her er du helt ude i hampen.
Du kan kun sende en krypteret mail til en person hvis certifikat
du har den offentlige nøgle til.
Du kan altid sende en signeret mail, da signaturen reelt bare er
en MD5 / SHA-1 checksum over beskeden som du har krypteret med
din private nøgle.
Modtageren kan så, såfremt han har din offentlige nøgle, den
er muligvis inkluderet, bruge denne til at afkryptere checksummen
og se om den passe. Hvis den gør er signaturen rigtig.
Der er så også lige den ekstra hage, at der ikke er nogen
der stoler på TDC, så modtageren skal selv importere et rodcertifikat
fra TDC før han stoler på underskrifter fra dem der har fået
et TDC certifikat.
Hvis du vil undgå sidstnævnte, så skal du have fat i et
certifikat fra en troværdig udbyder som Verisign, Thawte m.m.
>
> Morten Snedker <mortenudelad@ wrote:
>> Via TDC har jeg et certifikat, som jeg vil benytte ved udsendelse af
>> e-mails. Dette virker...næsten.
>>
>> Sender jeg en e-mail til mig selv, hjemme, så virker det fint. Sender
>> jeg den samme til min arbejdsplads, så får jeg besked om at "Denne
>> meddelelse har en ugyldig digital signatur". Hvo'f nu det?
>>
>> mvh /Snedker
>> ---
>> http://dbconsult.dk
>> Email: mortenatdbconsultdotdk
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk
| |
Peter Lind Damkjær (28-09-2004)
| Kommentar Fra : Peter Lind Damkjær |
Dato : 28-09-04 19:33 |
|
Morten Snedker <morten"udelad"@udeladdbconsultdotdk> skrev:
>Sender jeg en e-mail til mig selv, hjemme, så virker det fint.
Sender
>jeg den samme til min arbejdsplads, så får jeg besked om at "Denne
>meddelelse har en ugyldig digital signatur". Hvo'f nu det?
>
Prøv at installere TDC OCES CA rodcertifikat på din arbejdsplads-PC
(kræver
sikker admin rettigheder).
Du finder rodcertifikatet på:
http://www.certifikat.dk/producer/vis_side.pl?id=144&tmpl=23
(husk at checke fingerprint/miniatureudskrift)
Venlig hilsen
Peter Lind Damkjær
| |
Morten Snedker (29-09-2004)
| Kommentar Fra : Morten Snedker |
Dato : 29-09-04 08:36 |
|
On 28 Sep 2004 18:32:35 GMT, Peter Lind Damkjær
<peter@7TDOMlind-damkjaer.dk> (slet 7TDOM) wrote:
>Prøv at installere TDC OCES CA rodcertifikat på din arbejdsplads-PC
>(kræver
>sikker admin rettigheder).
>
>Du finder rodcertifikatet på:
> http://www.certifikat.dk/producer/vis_side.pl?id=144&tmpl=23
>(husk at checke fingerprint/miniatureudskrift)
Okay, så går idéen lidt af det hele. Jeg troede jeg kunne sende en
e-mail til hvem som helst, og de kunne så umiddelbart via
certifikatet, der hæftet på mailen, være sikre på hvem jeg er. Men jeg
kan jo dårligt bede folk og fæ om at installere et eller andet
rodcertifikat...
Eller har jeg helt misforstået noget?
mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk
| |
Jens U. K. (29-09-2004)
| Kommentar Fra : Jens U. K. |
Dato : 29-09-04 09:31 |
|
"Morten Snedker dbconsultdotdk>" <morten"udelad"@<udelad> wrote in message
news:qapkl0pjahtjadda4e99ru2dtukrd4s02s@4ax.com...
[...]
> certifikatet, der hæftet på mailen, være sikre på hvem jeg er. Men jeg
> kan jo dårligt bede folk og fæ om at installere et eller andet
> rodcertifikat...
>
> Eller har jeg helt misforstået noget?
Nej du har ikke misforstået noget, hele ideen med
"sikkerheds"-certifikater er at man installerer de rodcertifikater man
stoler på og inddirekte stoler man så også på de certifikater der er
"udstedt" fra disse.
For at gøre det hele lidt "lettere" for folk, er der som standard allerede
installeret nogle rodcertifikater i de fleste browsere. Nogle browsere
henter vist også mere eller mindre automatisk nye rodcertifikater via
deres indbyggede opdateringsfunktion. TDC's "rodcertifikat" er åbenbart
ikke installeret på din arbejdsplads pc.
Der så vidt jeg husker skrevet en hel del "negativt" om "certifikater",
jeg kan ikke lige finde nogen henvisninger, men prøv evt. at søge på
google. Eller måske er der nogen andre der sidder med links.
/Jens Ulrik
| |
Kent Friis (29-09-2004)
| Kommentar Fra : Kent Friis |
Dato : 29-09-04 18:45 |
|
Den Wed, 29 Sep 2004 10:31:10 +0200 skrev Jens U. K.:
>
> Nej du har ikke misforstået noget, hele ideen med
> "sikkerheds"-certifikater er at man installerer de rodcertifikater man
> stoler på og inddirekte stoler man så også på de certifikater der er
> "udstedt" fra disse.
> For at gøre det hele lidt "lettere" for folk, er der som standard allerede
> installeret nogle rodcertifikater i de fleste browsere.
Og det sidste er så det der ødelægger hele ideen i certifikater - for de
rodcertifikater der er installeret som default er typisk ikke
certifikater man stoler på, men certifikater fra store "known bad guy"
amerikanske firmaer som fx dem der forsøgte at ødelægge hele internettet
i håb om at tjene et par $ mere om året på bannerreklamer med deres
"SiteFinder".
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Klaus Ellegaard (03-10-2004)
| Kommentar Fra : Klaus Ellegaard |
Dato : 03-10-04 13:28 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> For at gøre det hele lidt "lettere" for folk, er der som standard allerede
>> installeret nogle rodcertifikater i de fleste browsere.
>
>Og det sidste er så det der ødelægger hele ideen i certifikater
Nej, egentlig ikke. Flertallet klarer sig fint med dem, især da
det er praktisk talt umuligt at handle på nettet uden VeriSigns
rodcertifikat.
Samtidig er det stort set det eneste relevante sted at anvende
certifikater for den almindelige bruger (og da den økonomiske
risiko ved onlinehandel er nul, er det faktisk ret ligegyldigt).
Brugere, der véd, at de har behov for yderligere sikkerhed, ved
også, hvordan man fikser det.
Mvh.
Klaus.
| |
Kent Friis (03-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 03-10-04 18:54 |
|
Den Sun, 3 Oct 2004 12:27:58 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>>> For at gøre det hele lidt "lettere" for folk, er der som standard allerede
>>> installeret nogle rodcertifikater i de fleste browsere.
>>
>>Og det sidste er så det der ødelægger hele ideen i certifikater
>
> Nej, egentlig ikke. Flertallet klarer sig fint med dem, især da
> det er praktisk talt umuligt at handle på nettet uden VeriSigns
> rodcertifikat.
Ideen i certifikater er at browseren automatisk accepterer certifikater
der er signeret af nogen man stoler på.
Enig?
Når så browseren automatisk stoler på certifikater der er signeret af
nogen man ikke stoler på, men som tilfældigvis havde de nødvendige
penge til at bestikke Microsoft/Netscape til at inkludere deres
root-certifikater, så ødelægger det ideen, som den er beskrevet
ovenfor.
Og da det så oveniøbet "er parktisk talt umuligt at handle på nettet
uden VeriSigns rodcertifikat", med andre ord man er nødt til at
acceptere certifikater man ikke stoler på, så har certifikaterne
helt tabt deres formål.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Klaus Ellegaard (03-10-2004)
| Kommentar Fra : Klaus Ellegaard |
Dato : 03-10-04 19:11 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Ideen i certifikater er at browseren automatisk accepterer certifikater
>der er signeret af nogen man stoler på.
>
>Enig?
Ja, men spørgsmålet er, hvem "man" er.
Brugere gider som bekendt ikke blive besværet med den slags, og
stiller du dem spørgsmålet, om de ønsker at stole på noget, så
er svaret pr. definition ja. Ellers kan de jo ikke komme videre
med det, de er i gang med.
Derfor er der i praksis ingen forskel på "default"-opsætningen
og det, "default"-brugeren ønsker.
Mig bekendt er der ingen populære browsere, der nægter dig at
fjerne default-cerfitikaterne. Så alt er helt fjong.
>Når så browseren automatisk stoler på certifikater der er signeret af
>nogen man ikke stoler på, men som tilfældigvis havde de nødvendige
>penge til at bestikke Microsoft/Netscape til at inkludere deres
>root-certifikater, så ødelægger det ideen, som den er beskrevet
>ovenfor.
Nej, du fjerner det bare. Men hovedparten af brugerne vil stadig
være helt enige i leverandørens beslutning om at inkludere diverse
rodcertifikater.
>Og da det så oveniøbet "er parktisk talt umuligt at handle på nettet
>uden VeriSigns rodcertifikat", med andre ord man er nødt til at
>acceptere certifikater man ikke stoler på, så har certifikaterne
>helt tabt deres formål.
Nej, ikke nødvendigvis. Installér rodcertifikatet, når du skal
handle, og fjern det igen bagefter. Bevares, der vil være et lille
tidsvindue, hvor du måske stoler på "for meget", men det er igen
ligegyldigt i praksis: du stoler på det website, du besøger, for
ellers vil du ikke handle med dem. Og bruger du ikke browseren
til andet, sker der næppe noget. Sandsynligheden er i hvert fald
så tilpas lille, at det i praksis er ligemeget.
Mvh.
Klaus.
| |
Kent Friis (03-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 03-10-04 19:25 |
|
Den Sun, 3 Oct 2004 18:11:16 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>>Ideen i certifikater er at browseren automatisk accepterer certifikater
>>der er signeret af nogen man stoler på.
>>
>>Enig?
>
> Ja, men spørgsmålet er, hvem "man" er.
Den der sidder foran maskinen, som enten aldrig har hørt om Verisign
(og dermed stoler lige så meget på dem som på den første den bedste
fulderik på nærmeste værtshus), eller har hørt om dem i forbindelse
med SiteFinder (og dermed stoler lige så meget på dem som på
nærmeste motorcykelgruppe hvis navn minder om Piratos).
> Brugere gider som bekendt ikke blive besværet med den slags, og
> stiller du dem spørgsmålet, om de ønsker at stole på noget, så
> er svaret pr. definition ja.
Og så er vi netop ovre i at certifikater er ubrugelige til deres
tiltænkte formål, og reelt er falsk sikkerhed, medmindre man er
klar over at det kun er krypteringen der er brugbar - og det er
flertallet ikke.
> Derfor er der i praksis ingen forskel på "default"-opsætningen
> og det, "default"-brugeren ønsker.
Jeg er udemærket klar over at flertallet er tilfredse med falsk
sikkerhed. Men det er ikke det der er formålet (det oprindelige
formål) med certifikater.
> Mig bekendt er der ingen populære browsere, der nægter dig at
> fjerne default-cerfitikaterne. Så alt er helt fjong.
Nej.
Formålet med certifikater er at sikre at nogen man stoler på har
sagt god for at dem man handler med er dem de udgiver sig for.
Ikke kun for de tre-fire nørder der gider have besværet med at gå
ind og fjerne de falske[1] rod-certifikater fra browseren.
>>Når så browseren automatisk stoler på certifikater der er signeret af
>>nogen man ikke stoler på, men som tilfældigvis havde de nødvendige
>>penge til at bestikke Microsoft/Netscape til at inkludere deres
>>root-certifikater, så ødelægger det ideen, som den er beskrevet
>>ovenfor.
>
> Nej, du fjerner det bare. Men hovedparten af brugerne vil stadig
> være helt enige i leverandørens beslutning om at inkludere diverse
> rodcertifikater.
Samme brugere vil heller ikke have noget problem med at køre ren
http, hvilket IMHO vil være et fremskridt da man så undgår den
falske sikkerhed. Ok, data vil så ikke være krypteret, men aflytning
er et noget mindre problem end at browseren automatisk stoler på
der første det bedste svindel-firma.
>>Og da det så oveniøbet "er parktisk talt umuligt at handle på nettet
>>uden VeriSigns rodcertifikat", med andre ord man er nødt til at
>>acceptere certifikater man ikke stoler på, så har certifikaterne
>>helt tabt deres formål.
>
> Nej, ikke nødvendigvis. Installér rodcertifikatet, når du skal
> handle, og fjern det igen bagefter.
Det er nemmere at gå over til ren HTTP, når nu der ikke er nogen der
er interesseret i den sikkerhed certifikaterne tilbyder, HVIS de
bruges korrekt (hvilket de ikke gør).
Mvh
Kent
[1] Falske ud fra den betragtning at er certifikat skal indikere at
her er nogen man stoler på, og det gør det netop ikke for flertallets
vedkommende når det drejer sig om fx Verisign.
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Klaus Ellegaard (03-10-2004)
| Kommentar Fra : Klaus Ellegaard |
Dato : 03-10-04 19:44 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> Ja, men spørgsmålet er, hvem "man" er.
>
>Den der sidder foran maskinen, som enten aldrig har hørt om Verisign
>(og dermed stoler lige så meget på dem som på den første den bedste
>fulderik på nærmeste værtshus), eller har hørt om dem i forbindelse
>med SiteFinder (og dermed stoler lige så meget på dem som på
>nærmeste motorcykelgruppe hvis navn minder om Piratos).
Man kan så argumentere for, at brugeren er udmærket tilfreds med det
produkt, han sidder foran: han kan gøre det, han gerne vil, og han
er nok relativt ligeglad med de mere subtile detaljer i sikkerhed på
nettet?
I teorien har du selvfølgelig ret. Men det er ikke praktisk muligt
at gøre det bedre uden at besvære brugeren. Og der er der ingen, der
vil være med til.
>Og så er vi netop ovre i at certifikater er ubrugelige til deres
>tiltænkte formål, og reelt er falsk sikkerhed, medmindre man er
>klar over at det kun er krypteringen der er brugbar - og det er
>flertallet ikke.
Der har vist været et par "oops"'er, men i betragtning af de meget
små risici og den begrænsede tilhørende kryptering, så virker det
i praksis ganske perfekt for alle pånær de mest bekymrede. Og de
har som bekendt muligheden for at fikse "problemet".
>Jeg er udemærket klar over at flertallet er tilfredse med falsk
>sikkerhed. Men det er ikke det der er formålet (det oprindelige
>formål) med certifikater.
Velkommen til den virkelige verden, hvor intet er, som teorien
foreskriver, at det burde være
>Samme brugere vil heller ikke have noget problem med at køre ren
>http, hvilket IMHO vil være et fremskridt da man så undgår den
>falske sikkerhed.
Til gengæld er det i strid med de tilhørende regler for betaling.
Hvilket jo i praksis er det eneste, den almindelige bruger har
med certifikater at gøre.
Mvh.
Klaus.
| |
Kent Friis (03-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 03-10-04 20:04 |
|
Den Sun, 3 Oct 2004 18:44:03 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>>> Ja, men spørgsmålet er, hvem "man" er.
>>
>>Den der sidder foran maskinen, som enten aldrig har hørt om Verisign
>>(og dermed stoler lige så meget på dem som på den første den bedste
>>fulderik på nærmeste værtshus), eller har hørt om dem i forbindelse
>>med SiteFinder (og dermed stoler lige så meget på dem som på
>>nærmeste motorcykelgruppe hvis navn minder om Piratos).
>
> Man kan så argumentere for, at brugeren er udmærket tilfreds med det
> produkt, han sidder foran: han kan gøre det, han gerne vil, og han
> er nok relativt ligeglad med de mere subtile detaljer i sikkerhed på
> nettet?
Jaja, og han installerer bare McAfee og ZoneAlarm, så er han heller ikke
nervøs for at indtaste visa-nummeret i samtlige phishing-mails der
kommer forbi.
Er det virkelig det niveau vi ønsker?
> I teorien har du selvfølgelig ret. Men det er ikke praktisk muligt
> at gøre det bedre uden at besvære brugeren. Og der er der ingen, der
> vil være med til.
Så lad os afskaffe HTTPS en gang for alle.
>>Og så er vi netop ovre i at certifikater er ubrugelige til deres
>>tiltænkte formål, og reelt er falsk sikkerhed, medmindre man er
>>klar over at det kun er krypteringen der er brugbar - og det er
>>flertallet ikke.
>
> Der har vist været et par "oops"'er, men i betragtning af de meget
> små risici og den begrænsede tilhørende kryptering, så virker det
> i praksis ganske perfekt for alle pånær de mest bekymrede. Og de
> har som bekendt muligheden for at fikse "problemet".
Kun ved at tage bilen i stedet for at handle på nettet. For der er
praktisk taget ingen online-butikker der har certifikater der er
signeret af troværdige personer/firmaer.
>>Jeg er udemærket klar over at flertallet er tilfredse med falsk
>>sikkerhed. Men det er ikke det der er formålet (det oprindelige
>>formål) med certifikater.
>
> Velkommen til den virkelige verden, hvor intet er, som teorien
> foreskriver, at det burde være
Men denne gruppe skulle gerne handle om sikkerhed, ikke om hvordan
man får alle de fine ord (https, certifikater,...) og samtidig
undgår den sikkerhed der ligger bag ordene.
>>Samme brugere vil heller ikke have noget problem med at køre ren
>>http, hvilket IMHO vil være et fremskridt da man så undgår den
>>falske sikkerhed.
>
> Til gengæld er det i strid med de tilhørende regler for betaling.
> Hvilket jo i praksis er det eneste, den almindelige bruger har
> med certifikater at gøre.
Ubrugelige regler kan vi ikke bruge til noget.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Klaus Ellegaard (04-10-2004)
| Kommentar Fra : Klaus Ellegaard |
Dato : 04-10-04 06:51 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Jaja, og han installerer bare McAfee og ZoneAlarm, så er han heller ikke
>nervøs for at indtaste visa-nummeret i samtlige phishing-mails der
>kommer forbi.
>
>Er det virkelig det niveau vi ønsker?
Det interessante er jo, at det er det niveau, man er "nødt til" at
lægge, medmindre man kan finde ud af at uddanne brugerne. Problemet
er umiddelbart, at du skal fortælle ALT om certifikater, trust-
modeller og praktiske erfaringer på højst 3 linjer. Ellers gider
brugeren ikke. Og det hele skal afsluttes med et klik på Ja eller
Nej (hvor brugeren pr. definition vil trykke Ja og forventer, at
alting nu virker optimalt og er 110% sikkert).
Hvis man kan komme over den hurdle, er man langt. Hvis man ikke kan
det, er man nødt til at anlægge det beskrevne niveau.
>> Der har vist været et par "oops"'er, men i betragtning af de meget
>> små risici og den begrænsede tilhørende kryptering, så virker det
>> i praksis ganske perfekt for alle pånær de mest bekymrede. Og de
>> har som bekendt muligheden for at fikse "problemet".
>
>Kun ved at tage bilen i stedet for at handle på nettet. For der er
>praktisk taget ingen online-butikker der har certifikater der er
>signeret af troværdige personer/firmaer.
Hvad er det præcise problem ved, at du giver kreditkortinformation
til den forkerte handlende? Din bank taber nogle penge, men der er
ingen risiko for dig (medmindre du tæller en e-mail til banken med).
>Men denne gruppe skulle gerne handle om sikkerhed, ikke om hvordan
>man får alle de fine ord (https, certifikater,...) og samtidig
>undgår den sikkerhed der ligger bag ordene.
Næeh, men spørgsmålet er, om man ønsker at gruppen i spørgsmål af
denne karater skal befinde sig i en fantasiverden eller virkeligheden.
Der sker pr. definition heller aldrig færdselsuheld, for man skal
jo færdes efter forholdene.
>> Til gengæld er det i strid med de tilhørende regler for betaling.
>> Hvilket jo i praksis er det eneste, den almindelige bruger har
>> med certifikater at gøre.
>
>Ubrugelige regler kan vi ikke bruge til noget.
Hvis man vil handle på nettet, jo. Ellers mister man muligheden for
at modtage kreditkortbetalinger.
Mvh.
Klaus.
| |
Kent Friis (04-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 04-10-04 15:49 |
|
Den Mon, 4 Oct 2004 05:51:08 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>>Jaja, og han installerer bare McAfee og ZoneAlarm, så er han heller ikke
>>nervøs for at indtaste visa-nummeret i samtlige phishing-mails der
>>kommer forbi.
>>
>>Er det virkelig det niveau vi ønsker?
>
> Det interessante er jo, at det er det niveau, man er "nødt til" at
> lægge, medmindre man kan finde ud af at uddanne brugerne. Problemet
> er umiddelbart, at du skal fortælle ALT om certifikater, trust-
> modeller og praktiske erfaringer på højst 3 linjer. Ellers gider
> brugeren ikke. Og det hele skal afsluttes med et klik på Ja eller
> Nej (hvor brugeren pr. definition vil trykke Ja og forventer, at
> alting nu virker optimalt og er 110% sikkert).
IMHO vil det være en forbedring bare at installere browseren uden
mafi^H^H^H^HVerisigns (og andre man ikke stoler på) certifikater
som default, og så lade folk selv tage stilling til de enkelte
certifikater. Bevares, flertallet vil stadig clicke accept uden at
tænde for kraniet, men i det mindste er ansvaret så flyttet fra
uduelig software til en uduelig bruger. Og det er nemmere at lære
brugeren at tænke sig om inden han besvarer spørgsmålet, hvis han
rent faktisk får det stillet.
>>> Der har vist været et par "oops"'er, men i betragtning af de meget
>>> små risici og den begrænsede tilhørende kryptering, så virker det
>>> i praksis ganske perfekt for alle pånær de mest bekymrede. Og de
>>> har som bekendt muligheden for at fikse "problemet".
>>
>>Kun ved at tage bilen i stedet for at handle på nettet. For der er
>>praktisk taget ingen online-butikker der har certifikater der er
>>signeret af troværdige personer/firmaer.
>
> Hvad er det præcise problem ved, at du giver kreditkortinformation
> til den forkerte handlende? Din bank taber nogle penge, men der er
> ingen risiko for dig (medmindre du tæller en e-mail til banken med).
Tja, så er vi tilbage ved "så lad os da afskaffe certifikaterne, når
de alligevel ikke bliver brugt til at øge sikkerheden".
>>Men denne gruppe skulle gerne handle om sikkerhed, ikke om hvordan
>>man får alle de fine ord (https, certifikater,...) og samtidig
>>undgår den sikkerhed der ligger bag ordene.
>
> Næeh, men spørgsmålet er, om man ønsker at gruppen i spørgsmål af
> denne karater skal befinde sig i en fantasiverden eller virkeligheden.
"HTTPS sikkerhed" er en fantasi-verden indtil problemet med troværdighed
bliver løst.
>>> Til gengæld er det i strid med de tilhørende regler for betaling.
>>> Hvilket jo i praksis er det eneste, den almindelige bruger har
>>> med certifikater at gøre.
>>
>>Ubrugelige regler kan vi ikke bruge til noget.
>
> Hvis man vil handle på nettet, jo. Ellers mister man muligheden for
> at modtage kreditkortbetalinger.
Altså regler for reglernes skyld?
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Kristian Thy (04-10-2004)
| Kommentar Fra : Kristian Thy |
Dato : 04-10-04 15:51 |
| | |
Kent Friis (04-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 04-10-04 15:56 |
|
Den 4 Oct 2004 14:51:29 GMT skrev Kristian Thy:
> Kent Friis uttered:
>>>>Ubrugelige regler kan vi ikke bruge til noget.
>>>
>>> Hvis man vil handle på nettet, jo. Ellers mister man muligheden for
>>> at modtage kreditkortbetalinger.
>>
>> Altså regler for reglernes skyld?
>
> Nej, regler for virksomhedernes skyld. Dem har vi mange af i vores
> samfund.
Hvilke virksomheder?
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Kristian Thy (04-10-2004)
| Kommentar Fra : Kristian Thy |
Dato : 04-10-04 16:15 |
| | |
Kent Friis (04-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 04-10-04 20:28 |
|
Den 4 Oct 2004 15:15:28 GMT skrev Kristian Thy:
> Kent Friis uttered:
>>> Nej, regler for virksomhedernes skyld. Dem har vi mange af i vores
>>> samfund.
>>
>> Hvilke virksomheder?
>
> Vi er efterhånden godt på vej mod en række regler der skal hjælpe musik-
> og softwarebranchen med at knægte de satans forbrugere, men det hører
> vist til i en anden gruppe
Det er jeg skam fuldt ud klar over, men det var nu reglen om at bruge
https på trods af at samtlige browsere ødelægger trust-modellen der
ligger bag https jeg ikke lige kan se hvem det gavner.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Kasper Dupont (04-10-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 04-10-04 22:12 |
|
Kent Friis wrote:
>
> Det er jeg skam fuldt ud klar over, men det var nu reglen om at bruge
> https på trods af at samtlige browsere ødelægger trust-modellen der
> ligger bag https jeg ikke lige kan se hvem det gavner.
Der er jo tale om en trust path. Du stoler på producenten
af browseren, producenten stoler på certificerings
autoriteterne, og de skriver under på, at de har checket,
at certifikatet udstedes til den korrekte part.
--
Kasper Dupont
| |
Kent Friis (05-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 05-10-04 16:30 |
|
Den Mon, 04 Oct 2004 23:12:13 +0200 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Det er jeg skam fuldt ud klar over, men det var nu reglen om at bruge
>> https på trods af at samtlige browsere ødelægger trust-modellen der
>> ligger bag https jeg ikke lige kan se hvem det gavner.
>
> Der er jo tale om en trust path. Du stoler på producenten
> af browseren,
Ikke lige hvad certifikater angår, så må de først til at vælge nogen
troværdige root-certifikater. Nej jeg tror at browser-producenten har
indset at de ikke havde noget valg, hvis browseren skal have en
chance ude i den virkelige verden.
Nok i virkeligheden en fejltagelse Netscape[1] begik for mange år siden,
og som alle andre browser-producenter har lidt under lige siden.
Mvh
Kent
[1] Microsoft ville have lavet deres eget root-certifikat hvis det var
dem der startede, og så presset alle andre til at bruge det.
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Klaus Ellegaard (04-10-2004)
| Kommentar Fra : Klaus Ellegaard |
Dato : 04-10-04 16:18 |
|
Kent Friis <nospam@nospam.invalid> writes:
>IMHO vil det være en forbedring bare at installere browseren uden
>mafi^H^H^H^HVerisigns (og andre man ikke stoler på) certifikater
>som default, og så lade folk selv tage stilling til de enkelte
>certifikater.
Forskellen er ens. Personligt har jeg end ikke kigget i IEs liste
over certifikater; det interesserer mig ikke, og der er ingen som
helst risiko for mig uanset de certifikater, der er installeret.
Det ville være spild af min tid at beskæftige mig med det.
>> Hvad er det præcise problem ved, at du giver kreditkortinformation
>> til den forkerte handlende? Din bank taber nogle penge, men der er
>> ingen risiko for dig (medmindre du tæller en e-mail til banken med).
>
>Tja, så er vi tilbage ved "så lad os da afskaffe certifikaterne, når
>de alligevel ikke bliver brugt til at øge sikkerheden".
Det gør de da. Risikoen for, at du bliver snydt, er en hel del
mindre med certifikater end uden. Det er ikke ensbetydende med,
at den ikke er der.
Der er en "real-life consensus" om, at certifikater mindsker
risikoen for snyd "tilpas meget" til, at det er besværet værd.
>>>Ubrugelige regler kan vi ikke bruge til noget.
>>
>> Hvis man vil handle på nettet, jo. Ellers mister man muligheden for
>> at modtage kreditkortbetalinger.
>
>Altså regler for reglernes skyld?
For bankernes skyld. Det er bankerne, der tager risikoen, altså
er det også dem, der definerer reglerne.
Jeg er sikker på, at hvis du som handlende skriver under på, at
du uden diskussion påtager dig ethvert tab, som din bank påføres
ifm. online-handel, så kan du også få lov til at fravige reglerne.
Du skal dog nok også stille en flok millioner som sikkerhed
Mvh.
Klaus.
| |
Kent Friis (04-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 04-10-04 20:30 |
|
Den Mon, 4 Oct 2004 15:18:21 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>>> Hvad er det præcise problem ved, at du giver kreditkortinformation
>>> til den forkerte handlende? Din bank taber nogle penge, men der er
>>> ingen risiko for dig (medmindre du tæller en e-mail til banken med).
>>
>>Tja, så er vi tilbage ved "så lad os da afskaffe certifikaterne, når
>>de alligevel ikke bliver brugt til at øge sikkerheden".
>
> Det gør de da. Risikoen for, at du bliver snydt, er en hel del
> mindre med certifikater end uden. Det er ikke ensbetydende med,
> at den ikke er der.
>
> Der er en "real-life consensus" om, at certifikater mindsker
> risikoen for snyd "tilpas meget" til, at det er besværet værd.
Hvordan mindsker utroværdige certifikater risikoen for at blive snydt?
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Klaus Ellegaard (04-10-2004)
| Kommentar Fra : Klaus Ellegaard |
Dato : 04-10-04 21:04 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> Der er en "real-life consensus" om, at certifikater mindsker
>> risikoen for snyd "tilpas meget" til, at det er besværet værd.
>
>Hvordan mindsker utroværdige certifikater risikoen for at blive snydt?
Det faktum at flertallet lader til at mene, at certifikaterne i
større perspektiv faktisk ikke er så utroværdige igen.
Selvfølgelig er der smuttere, og man kan mene en hel masse om
VeriSigns politik og moral i forhold til deres rootserver-job.
Men deres certifikater har en rimelig høj kvalitet, når man ser
på pris/kvalitet-forholdet. Det er "Godt Nok"(tm) for de fleste.
Mvh.
Klaus.
| |
Kent Friis (05-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 05-10-04 16:27 |
|
Den Mon, 4 Oct 2004 20:04:26 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>>> Der er en "real-life consensus" om, at certifikater mindsker
>>> risikoen for snyd "tilpas meget" til, at det er besværet værd.
>>
>>Hvordan mindsker utroværdige certifikater risikoen for at blive snydt?
>
> Det faktum at flertallet lader til at mene, at certifikaterne i
> større perspektiv faktisk ikke er så utroværdige igen.
Flertallet af dem der rent faktisk har en mening om det?
Certifikaternes troværdighed er ikke baseret på certifikaterne selv,
men på udstederen. Fx plejer TDC at være rimelig troværdig, hvorimod
folkene bag SiteFinder nok nærmere ligger på niveau med førnævnte
motorcykelgruppe.
> Selvfølgelig er der smuttere, og man kan mene en hel masse om
> VeriSigns politik og moral i forhold til deres rootserver-job.
> Men deres certifikater har en rimelig høj kvalitet, når man ser
> på pris/kvalitet-forholdet. Det er "Godt Nok"(tm) for de fleste.
Og hvad får man for den pris? Et bevis på at MC Piratos^W^W Verisign
har fået penge nok til at udstede et bevis på at de har fået penge
nok.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Klaus Ellegaard (05-10-2004)
| Kommentar Fra : Klaus Ellegaard |
Dato : 05-10-04 16:41 |
|
Kent Friis <nospam@nospam.invalid> writes:
>> Det faktum at flertallet lader til at mene, at certifikaterne i
>> større perspektiv faktisk ikke er så utroværdige igen.
>
>Flertallet af dem der rent faktisk har en mening om det?
Dét flertal er ret uinteressant i den virkelige verden. De
relevante er dem, der betaler penge for produktet.
>> Men deres certifikater har en rimelig høj kvalitet, når man ser
>> på pris/kvalitet-forholdet. Det er "Godt Nok"(tm) for de fleste.
>
>Og hvad får man for den pris? Et bevis på at MC Piratos^W^W Verisign
>har fået penge nok til at udstede et bevis på at de har fået penge
>nok.
....og en rimelig sandsynlighed for, at butikken er, hvem den
giver sig ud for.
Mvh.
Klaus.
| |
Kent Friis (05-10-2004)
| Kommentar Fra : Kent Friis |
Dato : 05-10-04 19:06 |
|
Den Tue, 5 Oct 2004 15:40:57 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>>> Det faktum at flertallet lader til at mene, at certifikaterne i
>>> større perspektiv faktisk ikke er så utroværdige igen.
>>
>>Flertallet af dem der rent faktisk har en mening om det?
>
> Dét flertal er ret uinteressant i den virkelige verden. De
> relevante er dem, der betaler penge for produktet.
Og deres mening er baseret på hvad?
Jeg er ret sikker på at hvis jeg spørger en af dem, får jeg svaret
"aner det ikke".
>>> Men deres certifikater har en rimelig høj kvalitet, når man ser
>>> på pris/kvalitet-forholdet. Det er "Godt Nok"(tm) for de fleste.
>>
>>Og hvad får man for den pris? Et bevis på at MC Piratos^W^W Verisign
>>har fået penge nok til at udstede et bevis på at de har fået penge
>>nok.
>
> ...og en rimelig sandsynlighed for, at butikken er, hvem den
> giver sig ud for.
Nå ja, hvis rimelig = over 50%, for så mange svindlere er der ikke
på nettet.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
|
|