mboost-dp1
Flickr - bongo vongo
myplacedk (50) skrev:Eller man kunne bare bruge CPR-numre korrekt, i stedet for at betragte dem som hemmelige.
Det er lige netop essensen af problematikken. CPR nummeret misbruges som om det var en underskrift, i stedet for at betragte det som en identifikation af brugeren.
#49
Men naar Tele2 saa har registreret at IP'en MORT har bedt dem om at slaa op i CPR registret 3 gange (eller 5, 10, 20, whatever), saa melder Tele2 til CPR registrets IP banner at MORT skal bannes i 24/48/72/1903940194 timer.
Saa kan Fullrate jo implementere at deres tjek af CPR kraever at de sender den IP der vil udfoere tjekket, inden de faar lov til at validere.
Det betyder ogsaa at man kan whiteliste Tele2s egen IP, saaledes at man altid kan *ringe* ind og blive oprettet.
It's not that hard og det er faktisk ret skraemmende at der ikke er en sikkerhedsansvarlig der har implementeret et lignende system for *LAENGE* siden.
Når eller hvis det så endeligt sker, så vil den som udfører denial-of-service angrebet blot kunne finde en anden teleudbyder at misbruge til denial-of-service angrebet.
Men naar Tele2 saa har registreret at IP'en MORT har bedt dem om at slaa op i CPR registret 3 gange (eller 5, 10, 20, whatever), saa melder Tele2 til CPR registrets IP banner at MORT skal bannes i 24/48/72/1903940194 timer.
Saa kan Fullrate jo implementere at deres tjek af CPR kraever at de sender den IP der vil udfoere tjekket, inden de faar lov til at validere.
Det betyder ogsaa at man kan whiteliste Tele2s egen IP, saaledes at man altid kan *ringe* ind og blive oprettet.
It's not that hard og det er faktisk ret skraemmende at der ikke er en sikkerhedsansvarlig der har implementeret et lignende system for *LAENGE* siden.
#51
Men det er ikke en underskrift.
Problemet her er, at man reelt ikke behoever at skrive under for at indgaa en bindende aftale.
Hvis du identificerer dig selv med CPR nummer og indgaar en mundtlig aftale, saa er den bindende uanset om du skriver under.
Det boer man, imo, lave om paa.
Det er lige netop essensen af problematikken. CPR nummeret misbruges som om det var en underskrift, i stedet for at betragte det som en identifikation af brugeren.
Men det er ikke en underskrift.
Problemet her er, at man reelt ikke behoever at skrive under for at indgaa en bindende aftale.
Hvis du identificerer dig selv med CPR nummer og indgaar en mundtlig aftale, saa er den bindende uanset om du skriver under.
Det boer man, imo, lave om paa.
fidomuh (52) skrev:ret skraemmende at der ikke er en sikkerhedsansvarlig der har implementeret et lignende system
Hvem har mulighed OG motivation for det?
Tele2 og Fullrate er vel ligeglad med at en eller anden har mulighed for at validere om et CPR-nummer eksisterer. CPR-registret er også. Faktisk er det en service de sælger.
Næh, kunderne/brugerne skal kræve af firmaerne/myndighederne at de får styr på sin sikkerhed, dvs. de skal ikke betragte CPR-numre som mere hemmelige end fx. telefonnumre.
fidomuh (53) skrev:Hvis du identificerer dig selv med CPR nummer og indgaar en mundtlig aftale, saa er den bindende uanset om du skriver under.
Selvfølgelig er en aftale bindende. Det gælder uanset om den er mundligt, skriftlig og hvordan man identificerer hinanden. Og sådan skal det være. Så hvad er det mere præcist du vil have lavet om på?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund