|
| Sikkerhedsbrist i Digital signatur Fra : Gamle |
Dato : 10-08-10 20:59 |
| | |
Kim Ludvigsen (10-08-2010)
| Kommentar Fra : Kim Ludvigsen |
Dato : 10-08-10 21:17 |
|
Den 10-08-2010 21:58, Gamle skrev:
> Og hvad så? http://epn.dk/teknologi2/computer/sikkerhed/article2145973.ece
Du skulle måske også have læst nogle af artiklerne senere på
dagen, efter de mere kompetente journalister havde blandet sig.
Det var en storm i et glas vand, og man kan undre sig, at
der egentlig var så mange, der hoppede på den undervejs. Jeg
tænker her især på debatører på de mere tekniske sider som
version2 og Computerworld.
--
Mvh. Kim Ludvigsen
Undgå virus og andet snavs på computeren:
http://pc-sikkerhed.dk
| |
Kent Friis (10-08-2010)
| Kommentar Fra : Kent Friis |
Dato : 10-08-10 21:18 |
|
Den Tue, 10 Aug 2010 22:16:34 +0200 skrev Kim Ludvigsen:
> Den 10-08-2010 21:58, Gamle skrev:
>> Og hvad så? http://epn.dk/teknologi2/computer/sikkerhed/article2145973.ece
>
> Du skulle måske også have læst nogle af artiklerne senere på
> dagen, efter de mere kompetente journalister havde blandet sig.
Du mener dem der spurgte DanID, og fik at vide "det er korrekt at
man kan, men det gør man ikke", og accepterede at så var der ikke
nogen problemer?
Mvh
Kent
--
"The Brothers are History"
| |
Kim Ludvigsen (10-08-2010)
| Kommentar Fra : Kim Ludvigsen |
Dato : 10-08-10 21:57 |
|
Den 10-08-2010 22:17, Kent Friis skrev:
> Den Tue, 10 Aug 2010 22:16:34 +0200 skrev Kim Ludvigsen:
>> Du skulle måske også have læst nogle af artiklerne senere på
>> dagen, efter de mere kompetente journalister havde blandet sig.
>
> Du mener dem der spurgte DanID, og fik at vide "det er korrekt at
> man kan, men det gør man ikke", og accepterede at så var der ikke
> nogen problemer?
Jeg mener, at det kan man med alle programmer, der
installeres på en computer. Det er ikke noget nyt, og det er
ikke noget enestående for NemID's Java-applet.
Der er meget andet at bebrejde NemID for, men ikke dette.
--
Mvh. Kim Ludvigsen
Undgå virus og andet snavs på computeren:
http://pc-sikkerhed.dk
| |
Kent Friis (11-08-2010)
| Kommentar Fra : Kent Friis |
Dato : 11-08-10 19:48 |
|
Den Tue, 10 Aug 2010 22:57:11 +0200 skrev Kim Ludvigsen:
> Den 10-08-2010 22:17, Kent Friis skrev:
>> Den Tue, 10 Aug 2010 22:16:34 +0200 skrev Kim Ludvigsen:
>
>>> Du skulle måske også have læst nogle af artiklerne senere på
>>> dagen, efter de mere kompetente journalister havde blandet sig.
>>
>> Du mener dem der spurgte DanID, og fik at vide "det er korrekt at
>> man kan, men det gør man ikke", og accepterede at så var der ikke
>> nogen problemer?
>
> Jeg mener, at det kan man med alle programmer, der
> installeres på en computer. Det er ikke noget nyt, og det er
> ikke noget enestående for NemID's Java-applet.
Argumentet for overhovedet at sætte DanID på opgaven, var så vidt jeg
har forstået at den gamle signatur krævede noget installeret på
computeren. Et af kravene var således at løsningen skulle kunne
bruges fra hvorsomhelst. Papkortet blev indført bl.a. for at sikre
dette.
Når man har valgt at der alligevel skal installeres noget på
computeren, er det ikke længere muligt at bruge det hvor man ikke
har lov til at installere, fx på biblioteket, på telefonen, for
mange mennesker endda på arbejdet.
> Der er meget andet at bebrejde NemID for, men ikke dette.
Hvem har taget valget om at det skulle være en Java-applet, frem
for noget der ikke kræver andet end en browser? DanID.
Bagefter at undskylde den dårlige sikkerhed i netop valget af noget der
skal installeres, med at det er et generelt problem for ting der skal
installeres, ændrer intet.
Mvh
Kent
--
"The Brothers are History"
| |
15kw (27-09-2010)
| Kommentar Fra : 15kw |
Dato : 27-09-10 08:36 |
|
"Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
news:4c62f076$0$273$14726298@news.sunsite.dk...
> Argumentet for overhovedet at sætte DanID på opgaven, var så vidt jeg
> har forstået at den gamle signatur krævede noget installeret på
> computeren. Et af kravene var således at løsningen skulle kunne
> bruges fra hvorsomhelst. Papkortet blev indført bl.a. for at sikre
> dette.
>
> Når man har valgt at der alligevel skal installeres noget på
> computeren, er det ikke længere muligt at bruge det hvor man ikke
> har lov til at installere, fx på biblioteket, på telefonen, for
> mange mennesker endda på arbejdet.
Gad også godt vide hvornår de kommer til at understøtte WIN98, og vil da
også gerne vide hvad C:\windows\nemid.log indeholder, mener bestent ikke jeg
har givet dem lov til at smide noget der.
> > Der er meget andet at bebrejde NemID for, men ikke dette.
>
> Hvem har taget valget om at det skulle være en Java-applet, frem
> for noget der ikke kræver andet end en browser? DanID.
Det er vel fordi de tror at de kan kode data i Java så det er mere sikkert
end SSL.
> Bagefter at undskylde den dårlige sikkerhed i netop valget af noget der
> skal installeres, med at det er et generelt problem for ting der skal
> installeres, ændrer intet.
--
Peteropfinder
Peter N. Petersen
http://Peteropfinder.dk
| |
Niels Kristian Jense~ (27-09-2010)
| Kommentar Fra : Niels Kristian Jense~ |
Dato : 27-09-10 21:27 |
|
"15kw" <15kw@FJERNtdcadsl.dk> wrote in
news:4ca0494c$0$56774$edfadb0f@dtext02.news.tele.dk:
> Gad også godt vide hvornår de kommer til at understøtte WIN98, og vil
Sikkerhedsfejl i WIN98 bliver ikke rettet af Microsoft mere. Det er derfor
ikke tilrådeligt at bruge WIN98 til netbank eller andre formål, der har med
økonomi at gøre.
Mvh. NKJensen
| |
Kent Friis (27-09-2010)
| Kommentar Fra : Kent Friis |
Dato : 27-09-10 21:36 |
|
Den 27 Sep 2010 20:26:39 GMT skrev Niels Kristian Jensen:
> "15kw" <15kw@FJERNtdcadsl.dk> wrote in
> news:4ca0494c$0$56774$edfadb0f@dtext02.news.tele.dk:
>
>> Gad også godt vide hvornår de kommer til at understøtte WIN98, og vil
>
> Sikkerhedsfejl i WIN98 bliver ikke rettet af Microsoft mere. Det er derfor
> ikke tilrådeligt at bruge WIN98 til netbank eller andre formål, der har med
> økonomi at gøre.
Den største sikkerhedsmæssige risiko nutildags sidder 40 cm fra skærmen.
Det er derfor ikke tilrådeligt at involvere brugeren til netbank eller
andre formål der har med økonomi at gøre.
Hvem fa*en gider iøvrigt angribe en Win98? Det svarer næsten til at
stjæle Trabant'er for at sælge dem som reservedele.
Hvilke services kører der iøvrigt på Win98, som kan angribes?
Mvh
Kent
--
"The Brothers are History"
| |
Root Kit (28-09-2010)
| Kommentar Fra : Root Kit |
Dato : 28-09-10 05:45 |
|
On 27 Sep 2010 20:35:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>Hvem fa*en gider iøvrigt angribe en Win98? Det svarer næsten til at
>stjæle Trabant'er for at sælge dem som reservedele.
Mon ikke botnet ejere er lige så glade for trabanter som for BMW'er?
>Hvilke services kører der iøvrigt på Win98, som kan angribes?
Er services da den eneste angrebsvektor?
| |
Kent Friis (28-09-2010)
| Kommentar Fra : Kent Friis |
Dato : 28-09-10 17:29 |
|
Den Tue, 28 Sep 2010 06:44:55 +0200 skrev Root Kit:
> On 27 Sep 2010 20:35:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Hvem fa*en gider iøvrigt angribe en Win98? Det svarer næsten til at
>>stjæle Trabant'er for at sælge dem som reservedele.
>
> Mon ikke botnet ejere er lige så glade for trabanter som for BMW'er?
Koden der skal skrives er forskellig (det er derfor der findes
programmer der ikke supporterer Win98). Der skal derfor ofres
tid og penge på at udvikle botnet-koden til Win98, som slet ikke
står mål med de få maskiner man får ud af det.
>>Hvilke services kører der iøvrigt på Win98, som kan angribes?
>
> Er services da den eneste angrebsvektor?
Nej, brugeren er naturligvis den største. Der er bare lige den detalje
at det hul også findes i nyere versioner, så det gør ikke Win98 mere
usikkert.
Mvh
Kent
--
"The Brothers are History"
| |
Chano Andersen (27-09-2010)
| Kommentar Fra : Chano Andersen |
Dato : 27-09-10 21:31 |
|
Den 27-09-2010 09:35, 15kw skrev:
> "Kent Friis"<nospam@nospam.invalid> skrev i en meddelelse
> news:4c62f076$0$273$14726298@news.sunsite.dk...
>> Hvem har taget valget om at det skulle være en Java-applet, frem
>> for noget der ikke kræver andet end en browser? DanID.
>
> Det er vel fordi de tror at de kan kode data i Java så det er mere sikkert
> end SSL.
Mon ikke trafikken mellem java appletten, og serveren løber over en
https forbindelse? Tvivler på de selv har kodet noget kryptering ind i
javadimsen.
- Chano Andersen
| |
Klaus Ellegaard (10-08-2010)
| Kommentar Fra : Klaus Ellegaard |
Dato : 10-08-10 21:28 |
|
Kim Ludvigsen <usenet@kimludvigsen.dk> writes:
>Det var en storm i et glas vand, og man kan undre sig, at
>der egentlig var så mange, der hoppede på den undervejs. Jeg
>tænker her især på debatører på de mere tekniske sider som
>version2 og Computerworld.
Jeg tror, det oprindelige budskab blev kommunikeret lidt dårligt
og videreformidlet endnu dårligere.
Kritikken handler ikke så meget om den konkrete udgave af NemID
- men mere om den måde, den er implementeret på. Og måske især om
den skødesløshed, man risikerer at opdrage brugerne til, fordi man
bruger nogle teknologier med indlejrede risici, som er unødvendige
for at implementere en simpel "login-tjeneste".
På det punkt er kritikken reel nok, men derfra og til at sige, at
NemID i den nuværende udgave er en åben ladeport... der er meget
langt. Praktisk talt alle netbanker og den gamle digitale signatur
i java-udgaven har samme "problem".
Personligt synes jeg, det er ualmindeligt fjollet, at der i det
hele taget er Java involveret i NemID. Det er brugerfjendtligt
og begrænser mulighederne og stederne, hvorfra man kan logge ind,
unødigt meget. Det burde være aldeles rigeligt - og meget sikrere
og teknologisk troværdigt - at lave det i ren HTML. Hvis der er
nogle få tilfælde, hvor det af forskellige grunde ikke er nok,
kan man vælge at "tvinge" en java-applet ned i halsen på folk i
de konkrete situationer.
Mvh.
Klaus.
| |
Kim Ludvigsen (10-08-2010)
| Kommentar Fra : Kim Ludvigsen |
Dato : 10-08-10 22:08 |
|
Den 10-08-2010 22:28, Klaus Ellegaard skrev:
> Kim Ludvigsen<usenet@kimludvigsen.dk> writes:
>
>> Det var en storm i et glas vand, og man kan undre sig, at
>> der egentlig var så mange, der hoppede på den undervejs. Jeg
>> tænker her især på debatører på de mere tekniske sider som
>> version2 og Computerworld.
>
> Jeg tror, det oprindelige budskab blev kommunikeret lidt dårligt
> og videreformidlet endnu dårligere.
Jeg tror, den ene kilde bevidst har forsøgt at "bagtale"
NemID. Den anden af de oprindelige kilder har siden trukket
lidt i land - udtalelsen var vist ud fra en forudsætning om,
at den første kildes påstand var rigtig, hvad den så ikke var.
> Kritikken handler ikke så meget om den konkrete udgave af NemID
> - men mere om den måde, den er implementeret på. Og måske især om
> den skødesløshed, man risikerer at opdrage brugerne til, fordi man
> bruger nogle teknologier med indlejrede risici, som er unødvendige
> for at implementere en simpel "login-tjeneste".
Man skal kun installere programmer, hvor man stoler på
producenten. Det gælder for NemID's Java-applet, og det
gælder for alle andre programmer. Personligt vil jeg have
mere tiltro til DanID end til så mange andre producenters
programmer.
Så vidt jeg har forstået, vil det altid være NemID-appletten
man bruger, så efter min mening opdrager man ikke til
skødeløshed i højere grad, end når man vil have folk til at
installere så mange andre programmer. Det være sig en ny
browser eller en kontorpakke.
> På det punkt er kritikken reel nok, men derfra og til at sige, at
> NemID i den nuværende udgave er en åben ladeport... der er meget
> langt. Praktisk talt alle netbanker og den gamle digitale signatur
> i java-udgaven har samme "problem".
Jep, og alle andre programmer, man kan installere.
> Personligt synes jeg, det er ualmindeligt fjollet, at der i det
> hele taget er Java involveret i NemID.
Helt enig! Det kunne måske forsvares med de gamle
nøglecertifikater, men der burde ikke være nogen grund til
det med NemID.
--
Mvh. Kim Ludvigsen
Undgå virus og andet snavs på computeren:
http://pc-sikkerhed.dk
| |
Chano Andersen (11-08-2010)
| Kommentar Fra : Chano Andersen |
Dato : 11-08-10 18:11 |
|
Den 10-08-2010 22:28, Klaus Ellegaard skrev:
> unødigt meget. Det burde være aldeles rigeligt - og meget sikrere
> og teknologisk troværdigt - at lave det i ren HTML. Hvis der er
> nogle få tilfælde, hvor det af forskellige grunde ikke er nok,
> kan man vælge at "tvinge" en java-applet ned i halsen på folk i
> de konkrete situationer.
Jeg tror egentligt at det primære problem i IKKE at lave det i Java, er
at mange bare klikker "Ja" til at huske brugernavne og adgangskoder,
samt at MANGE ikke vil opbevare nøglekortet forsvarligt (Det ligger nok
ofte ved PC'en). Den eneste måde at sikre brugernavn og adgangskode ikke
gemmes, er ved at sikre browseren ikke ved der er tale om en
adgangskode, og det kan java fint klare. (Ligesom flash, og andre sjove
ting)
- Chano Andersen
| |
Kent Friis (11-08-2010)
| Kommentar Fra : Kent Friis |
Dato : 11-08-10 19:53 |
|
Den Wed, 11 Aug 2010 19:10:45 +0200 skrev Chano Andersen:
> Den 10-08-2010 22:28, Klaus Ellegaard skrev:
>> unødigt meget. Det burde være aldeles rigeligt - og meget sikrere
>> og teknologisk troværdigt - at lave det i ren HTML. Hvis der er
>> nogle få tilfælde, hvor det af forskellige grunde ikke er nok,
>> kan man vælge at "tvinge" en java-applet ned i halsen på folk i
>> de konkrete situationer.
>
> Jeg tror egentligt at det primære problem i IKKE at lave det i Java, er
> at mange bare klikker "Ja" til at huske brugernavne og adgangskoder,
> samt at MANGE ikke vil opbevare nøglekortet forsvarligt (Det ligger nok
> ofte ved PC'en). Den eneste måde at sikre brugernavn og adgangskode ikke
> gemmes, er ved at sikre browseren ikke ved der er tale om en
> adgangskode, og det kan java fint klare. (Ligesom flash, og andre sjove
> ting)
En nævnte et andet sted, at han bruger et password-huske-program. Han
har så et komplekst password, som låser op for passwords'ne, og alle
de ting han bruger har lange autogenererede passwords der er umulige
at huske.
Java-applet'en er ikke modtagelig for cut'n'paste, og han har derfor
været nødt til at vælge et simplere password, der er nemt at huske.
Browserens password-husker kan - hvis den er sat rigtigt op - bruges
til det samme. At give ting passwords, der er umulige at huske, og
så have et master-password, i stedet for at bruge en masse simple
passwords.
Mvh
Kent
--
"The Brothers are History"
| |
Chano Andersen (11-08-2010)
| Kommentar Fra : Chano Andersen |
Dato : 11-08-10 21:59 |
|
Den 11-08-2010 20:52, Kent Friis skrev:
> Browserens password-husker kan - hvis den er sat rigtigt op - bruges
> til det samme. At give ting passwords, der er umulige at huske, og
> så have et master-password, i stedet for at bruge en masse simple
> passwords.
Ganske korrekt, men desværre er der mange der får gemt et password på en
fremmed computer, det være sig biblioteket, hos venner, hos familie, på
fælles computere på arbejdspladsen, institutioner etc.
Så set fra det synspunkt er det egentligt meget klogt at det ikke er
lavet i ren HTML, hvor denne huske funktion kan gemme passwordet.
Men det er korrekt, at hvis det er implementeret, og benyttes korrekt,
kan den funktion give meget bedre sikkerhed.
- Chano Andersen
| |
Kent Friis (12-08-2010)
| Kommentar Fra : Kent Friis |
Dato : 12-08-10 16:29 |
|
Den Wed, 11 Aug 2010 22:59:05 +0200 skrev Chano Andersen:
> Den 11-08-2010 20:52, Kent Friis skrev:
>> Browserens password-husker kan - hvis den er sat rigtigt op - bruges
>> til det samme. At give ting passwords, der er umulige at huske, og
>> så have et master-password, i stedet for at bruge en masse simple
>> passwords.
>
> Ganske korrekt, men desværre er der mange der får gemt et password på en
> fremmed computer, det være sig biblioteket, hos venner, hos familie, på
> fælles computere på arbejdspladsen, institutioner etc.
>
> Så set fra det synspunkt er det egentligt meget klogt at det ikke er
> lavet i ren HTML, hvor denne huske funktion kan gemme passwordet.
>
> Men det er korrekt, at hvis det er implementeret, og benyttes korrekt,
> kan den funktion give meget bedre sikkerhed.
Første skridt ville være hvis browser-producenterne lavede det så
passwords kun huskes hvis man har sat et master-password (og indtastet
det inden man får lov at gemme).
Mvh
Kent
--
"The Brothers are History"
| |
Ukendt (11-08-2010)
| Kommentar Fra : Ukendt |
Dato : 11-08-10 13:28 |
| | |
Kent Friis (11-08-2010)
| Kommentar Fra : Kent Friis |
Dato : 11-08-10 19:50 |
|
Den Wed, 11 Aug 2010 14:27:30 +0200 skrev Martin Møller Skarbiniks Pedersen:
> On 2010-08-10 21:58, Gamle wrote:
>> Og hvad så? http://epn.dk/teknologi2/computer/sikkerhed/article2145973.ece
>>
>> /Torben
>>
>
> Det er ihvertfalde en digital signatur men mere et single logon.
Mangler der et "ikke" i den sætning?
Mvh
Kent
--
"The Brothers are History"
| |
Ukendt (14-08-2010)
| Kommentar Fra : Ukendt |
Dato : 14-08-10 13:02 |
|
On 2010-08-11 20:49, Kent Friis wrote:
> Den Wed, 11 Aug 2010 14:27:30 +0200 skrev Martin Møller Skarbiniks Pedersen:
>> On 2010-08-10 21:58, Gamle wrote:
>>> Og hvad så? http://epn.dk/teknologi2/computer/sikkerhed/article2145973.ece
>>>
>>> /Torben
>>>
>>
>> Det er ihvertfalde en digital signatur men mere et single logon.
>
> Mangler der et "ikke" i den sætning?
>
Jo.
/Martin
| |
|
|