NemID er åbenbart fuld af sikkerhedshuller

Tilmeldt 11. Nov 06

Indlæg ialt: 375

Martin T Skrevet 20-08-2010 kl. 10:45

Hvor mange stjerner giver du? :

Lundsby:

Martin T:
Hvordan skulle det faktum at den applet koere med fuld access paa brugerens computer give en hvilken som helst virksomhed som modtager nemid login, mulighed for at laese kundens andre nemid transactions*?

Når applet kører med fuld-access, så betyder det at den har adgang til hele computeren og kan alt! Lidt ligesom når man kører en almindelig executable.

Ja det ved jeg godt, men det betyder jo bare at den koere med samme rettigheder som browseren. Hvorfor er det et problem? Amino har jo ikke adgang til min computer selvom de kan sende data til min browser, saa hvorfor skulle en virksomhed kunne faa adgang til min computer fordi de kan sende data til en applet paa min computer?

Det er jo kun hvis de kan sende kode til min applet, som denne applet saa koerer at der er et problem og det sker jo ikke.

Qr-marketing med mobil optimerede hjemmesider.

Fra Hellerup

Tilmeldt 11. Apr 06

Indlæg ialt: 3722

Lundsby Fra CloudSprout Skrevet 20-08-2010 kl. 11:19

Hvor mange stjerner giver du? :

Gennemsnit 5,0 stjerner givet af 1 person

Eiler:

Nej, jeg er selvfølgelig bare medløber....

http://www.version2.dk/artikel/15599-minister-om-nemid-struktur-bedst-for-sikkerheden-at-samle-alt-hos-danid
- den dag DanID laver en fejl40 er vi for alvor på røven. Sikkerhedsrutiner, overvågning og alle de andre flotte ord til trods - når dagen er omme sidder ét firma med det hele, og alle kan lave en fejl40. Nogle steder har det bare større konsekvenser end andre.

Så din argumentation er at fejlen er at et firma står for det?

Der er uafhængigt kode review af selve appletten, så det hele ligger ikke hos et firma. Hvordan synes du de skulle havde gjort det anderledes, en hemmelig bliver jo ikke mere sikker af at man deler den med flere ?

Alternativt kunne man sige, at staten måske selv skulle stå for det, men med den succesrate der er når staten laver it-projekter, er det nok meget fornuftigt at de lægger det ud til andre.

Eiler:
Jeg ser bare nogle risici når man samler det hele på den måde - så mange kritiske og personfølsomme data på ét sted. Så jeg håber og forventer da, at de har styr på tingene!

Nu bliver en hemmelighed altså ikke mere hemmelig ved at man deler den med flere, så det er da kun betryggende at de hemmelige nøgler kun ligger et sted.

Eiler:
Derudover må selv du da give mig ret i, at det hverken er særlig nemt eller smart, at skulle rende rundt med en lap papir, hver gang man vil bruge sin netbank eller andet offentligt websted, og i tide og utide skulle bestille nye af disse. Det må da kunne laves smartere!

Jeg synes systemet med papirlapperne virker genialt, jeg har haft jyskebank en små ti-års tid og kan sige i praksis fungerer det helt fint. Du er meget velkommen til at komme med et bedre forslag?
Husk at løsningen også skal være sikker for de mange maskiner der er hacket, hvor andre kigger med og har mulighed for at tage kontrol!

Fra Hellerup

Tilmeldt 11. Apr 06

Indlæg ialt: 3722

Lundsby Fra CloudSprout Skrevet 20-08-2010 kl. 11:23

Hvor mange stjerner giver du? :

Martin T:
Ja det ved jeg godt, men det betyder jo bare at den koere med samme rettigheder som browseren. Hvorfor er det et problem? Amino har jo ikke adgang til min computer selvom de kan sende data til min browser, saa hvorfor skulle en virksomhed kunne faa adgang til min computer fordi de kan sende data til en applet paa min computer?

Nope, på en PC betyder det at den kører med samme rettigheder som dig, ligesom et almindeligt program gør. Når man "truster" en applet, så fungerer den stortset som et almindeligt program. Det er vigtigt at forstå, at den væsentlige forskel ligger ikke om applet kræver at man "truster" eller ej.

Fra Silkeborg

Tilmeldt 19. Feb 07

Indlæg ialt: 2355

thorup.io Fra ZeroCode Skrevet 20-08-2010 kl. 11:27

Hvor mange stjerner giver du? :

Eiler:
og i tide og utide skulle bestille nye af disse

Du får automatisk tilsendt et nyt nøglekort, når det nuværende er ved at løbe tør for nøgler.

Fra Aarhus

Tilmeldt 9. Mar 10

Indlæg ialt: 695

Anders Eiler Skrevet 20-08-2010 kl. 11:32

Hvor mange stjerner giver du? :

Lundsby:
Jeg synes systemet med papirlapperne virker genialt, jeg har haft jyskebank en små ti-års tid og kan sige i praksis fungerer det helt fint. Du er meget velkommen til at komme med et bedre forslag?

Danske Bank har et ganske udmærket system, som faktisk fungerer på samme måde. Men i stedet for en lap papir, så har de et Active Card (som de kalder det) - en lille "lommeregner"-agtig ting, lidt mindre end et kreditkort. Den fungerer på samme måde som kode-papirerne - du åbner den med en pinkode - taster den kode ind, som netbanken giver dig - og spytter den engangskode ud, som du skal bruge til at logge på. Dette er så kombineret med unikt brugernavn og (stærkt) kodeord. Samme princip, ingen papirlapper!

Lundsby:
Eiler:
Jeg ser bare nogle risici når man samler det hele på den måde - så mange kritiske og personfølsomme data på ét sted. Så jeg håber og forventer da, at de har styr på tingene!

Nu bliver en hemmelighed altså ikke mere hemmelig ved at man deler den med flere, så det er da kun betryggende at de hemmelige nøgler kun ligger et sted.

Muligvis ikke - og så længe de nødvendige procedurer (uafhængig kode-review, sikkerhedscheck mv) bliver overholdt, er det muligvis den bedste løsning. Jeg ser imidlertid stadig en fare i at have alle nøgler for alle danskere samlet ét sted. Dette værende sagt uden, at jeg kan stille et bedre alternativ.

Vh Anders Eiler

Founder @herodesk.io

Herodesk er et simplere og billigere helpdesk system til danske iværksættere og webshops.

Fra Aarhus

Tilmeldt 9. Mar 10

Indlæg ialt: 695

Anders Eiler Skrevet 20-08-2010 kl. 11:33

Hvor mange stjerner giver du? :

Fairtime:

Eiler:
og i tide og utide skulle bestille nye af disse

Du får automatisk tilsendt et nyt nøglekort, når det nuværende er ved at løbe tør for nøgler.

Ok, det er ikke hvad jeg har kunne læse mig til. Det er jo kun godt! Ellers, se mit svar lige ovenfor, for alternativ.

Vh Anders Eiler

Founder @herodesk.io

Herodesk er et simplere og billigere helpdesk system til danske iværksættere og webshops.

Tilmeldt 11. Nov 06

Indlæg ialt: 375

Martin T Skrevet 20-08-2010 kl. 11:38

Hvor mange stjerner giver du? :

Lundsby:

Martin T:
Ja det ved jeg godt, men det betyder jo bare at den koere med samme rettigheder som browseren. Hvorfor er det et problem? Amino har jo ikke adgang til min computer selvom de kan sende data til min browser, saa hvorfor skulle en virksomhed kunne faa adgang til min computer fordi de kan sende data til en applet paa min computer?

Nope, på en PC betyder det at den kører med samme rettigheder som dig, ligesom et almindeligt program gør. Når man "truster" en applet, så fungerer den stortset som et almindeligt program. Det er vigtigt at forstå, at den væsentlige forskel ligger ikke om applet kræver at man "truster" eller ej.

Men hvorfor er det et sikkerheds problem? Alt mit software koere jo som mig, saa hvorfor er den Applet vaere end min browser og mit andet software?

Qr-marketing med mobil optimerede hjemmesider.

Fra Aarhus

Tilmeldt 9. Mar 10

Indlæg ialt: 695

Anders Eiler Skrevet 20-08-2010 kl. 11:40

Hvor mange stjerner giver du? :

http://www.version2.dk/artikel/15918-danid-vi-kan-ikke-overtage-nogens-nemid-og-dog?utm_source=feed&utm_medium=rss&utm_campaign=nyheder

Lidt brænde på bålet...

Nu skal jeg imidlertid på weekend (oh yeah!) - go fredag og go weekend! Og held og lykke til NemID, vi kommer jo ikke udenom! ;-)

Vh Anders Eiler

Founder @herodesk.io

Herodesk er et simplere og billigere helpdesk system til danske iværksættere og webshops.

Fra Hellerup

Tilmeldt 11. Apr 06

Indlæg ialt: 3722

Lundsby Fra CloudSprout Skrevet 20-08-2010 kl. 11:43

Hvor mange stjerner giver du? :

Eiler:
Danske Bank har et ganske udmærket system, som faktisk fungerer på samme måde. Men i stedet for en lap papir, så har de et Active Card (som de kalder det) - en lille "lommeregner"-agtig ting, lidt mindre end et kreditkort. Den fungerer på samme måde som kode-papirerne - du åbner den med en pinkode - taster den kode ind, som netbanken giver dig - og spytter den engangskode ud, som du skal bruge til at logge på. Dette er så kombineret med unikt brugernavn og (stærkt) kodeord. Samme princip, ingen papirlapper!

Så du vil erstatte en Papir-lap, med en lille "lommeregner" med samme funktion, og det mener du er en smartere løsning? Der tilhører jeg nok skolen, der synes at simplere er bedre!

Lundsby:
Eiler:
Jeg ser bare nogle risici når man samler det hele på den måde - så mange kritiske og personfølsomme data på ét sted. Så jeg håber og forventer da, at de har styr på tingene!

Muligvis ikke - og så længe de nødvendige procedurer (uafhængig kode-review, sikkerhedscheck mv) bliver overholdt, er det muligvis den bedste løsning. Jeg ser imidlertid stadig en fare i at have alle nøgler for alle danskere samlet ét sted. Dette værende sagt uden, at jeg kan stille et bedre alternativ.

Jeg kan heller ikke lige komme på en bedre løsning, så det virker i mine øjne ikke så dumt det de har lavet.

Du kan godt se hvor vi er endt ikke, du kom først med et dommedagsprofeti om at det måtte gå galt før eller siden, men nu viser det sig at det er en ganske fornuftig løsning, de har fået strikket sammen. Måske skulle vi antage at dem der står bag ikke er 100% idioter :-)

Fra Hellerup

Tilmeldt 11. Apr 06

Indlæg ialt: 3722

Lundsby Fra CloudSprout Skrevet 20-08-2010 kl. 11:45

Hvor mange stjerner giver du? :

Martin T:
Men hvorfor er det et sikkerheds problem? Alt mit software koere jo som mig, saa hvorfor er den Applet vaere end min browser og mit andet software?

Præcist, prøv at læs mit første indlæg, det er nemlig det der er min pointe.