Annonce

Indsend nyhed

Del dine opdagelser!

Afstemning

Hvad er din ynglingsbrowser

  • 63%Chrome
  • 22%Firefox
  • 7%Internet Explorer
  • 4%Safari
  • 2%Opera
  • 1%en helt tredje...
  • 0%Avant Browser
  • 0%SRWare Iron
  • 0%Comodo Dragon
  • 0%Maxthon Cloud
  • 0%Sleipner
  • 0%RockMelt
  • 0%K-Meleon
  • 0%Lunascape

Åbent brev til Danid

#1: kasperd

7. sep. 2011 23:49

En diskussion her på newz fik mig til at overveje et potentielt sikkerhedshul i sikkerhedsmodelen omkring nemids applet.

Jeg sender derfor denne email til Danid for at forhøre mig om hvad de har gjort for at beskytte brugerne:

Jeg har et spørgsmål omkring sikkerheden i nemid. Jeg håber at I vil sende dette spørgsmål videre til en person med den nødvendige tekniske indsigt til at give et fyldestgørende svar.

Indholdet af denne email er blevet offentliggjort. Jeg vil gerne bede om jeres tilladelse til også at offentliggøre svaret. Såfremt I ikke ønsker svaret offentliggjort vil det blive respekteret.

Derudover vil jeg gøre opmærksom på at jeg under alle omstændigheder vil offentliggøre min egen holdning til det svar I giver mig.

Mit spørgsmål er hvorledes I sikrer brugerne imod kompromittering af sikkerheden i følgende scenarie.

1. Danid udgiver et signeret eksemplar af nemid appleten.
2. En bruger tilgår et website der anvender denne signerede applet.
3. Brugeren giver tilladelse til at appleten kan modificere filer på dennes computer.
4. Danid finder et sikkerhedshul i appleten der kunne misbruges til at overtage kontrollen over brugerens computer ved at modificere andre filer end dem som var tiltænkt.
5. Danid udgiver en ny udgave af den signerede applet som ikke længere har samme sikkerhedshul.
6. Efter alle sites med legitim anvendelse af appleten er blevet opdateret kommer detaljer omkring sikkerhedshullet i den gamle version til offentlighedens kendskab
7. Brugeren fra før tilgår et ondsindet website som hoster et eksemplar af den fejlbehæftede version af appleten.
8. Dette ondsindede website anvender sikkerhedshullet til at opnå fuld kontrol over brugerens computer.

The Internet is full, please try again later.

#2: Killa

8. sep. 2011 03:06

De kan vel bare få et nyt certifikat, og annullere det gamle.

#3: kasperd

8. sep. 2011 10:35

De kan vel bare få et nyt certifikat, og annullere det gamle.Killa (#2)

Så vidt jeg ved anvendes samme certifikatinfrastruktur som til SSL. Da Comodo i starten af året kom til at udgive nogle forkerte certifikater valgte flere browserleverandører at udgive opdaterede versioner af browserene med en indbygget blacklist over certifikater der ikke skulle accepteres. At man valgte at gøre det var fordi det var for nemt at forhindre browseren i at opdage at certifikatet var annulleret.

The Internet is full, please try again later.

#4: apkat

8. sep. 2011 12:09

De svarer vel bare "Der er ikke nogen fejl i vores kode"

#5: kasperd

8. sep. 2011 12:22

De svarer vel bare "Der er ikke nogen fejl i vores kode"apkat (#4)

I så fald vil min næste email lyde noget i retning af: "Er det korrekt forstået at I ikke har nogen procedure for at udrulle sikkerhedsopdateringer til jeres applet?"

The Internet is full, please try again later.

#6: Brugernavn

8. sep. 2011 12:24

"Er det korrekt forstået at I ikke har nogen procedure for at udrulle sikkerhedsopdateringer til jeres applet?"kasperd (#5)

Svar fra Danid:

Ikke nødvendigt, når vi ikke laver fejl.

Bless this Thy hand grenade that with it Thou mayest blow Thine enemies to tiny bits, in Thy mercy.

#7: kasperd

8. sep. 2011 12:29

Svar fra Danid:

Ikke nødvendigt, når vi ikke laver fejl.

Zhadow (#6)

Jeg tror ikke Danid har den nødvendige inkompetence til at sende sådan et svar.

The Internet is full, please try again later.

#8: Corholio

8. sep. 2011 12:37

Jeg tror ikke Danid har den nødvendige inkompetence til at sende sådan et svar.kasperd (#7)

Du vil gentagende gange blive forbløffet over den mængde inkompetence der findes i software-udvikling, generelt .... ikke bare inden for DanID.

If only life was as simple as apt-get

#9: myplacedk

8. sep. 2011 12:59

Du vil gentagende gange blive forbløffet over den mængde inkompetence der findes i software-udvikling, generelt .... ikke bare inden for DanID.Corholio (#8)

Der hvor jeg ser allermest inkompetence, er hos folk som svarer på henvendelser fra offentligheden.

Det er ofte studiemedhjælpere, indere eller hvad man nu kan finde af billigst mulig arbejdskraft, som det meste af tiden svarer på hjernedøde henvendelser. Når der kommer noget interessant opdager de det ikke, og fyrer et af deres standard-svar af. Eller også synes de at henvendelser med lidt kød på ikke er interessante, og så fyrer de et standard-svar af så de kan komme videre.

Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?

#10: Hubert

8. sep. 2011 13:34

Svar fra Danid:
Zhadow (#6)

Jeg tror ikke Danid har den nødvendige inkompetence til at sende sådan et svar.kasperd (#7)

Jeg vil mene at #8 har ret. Du ville formentlig blive overrasket over den inkompetance der findes og jeg mener ikke kun det er hos kodefolket men over alt.

Selv deres chef it sikkerhedsmand. Peter et eller andet der på et tidspunkt sagde at nemid overholder PKI standarden på trods af at den private nøgle ikke kontrolleres af brugeren som PKI standarden ellers foreskriver den skal.

Men som udgangspunkt har #9 nok ret i at langt de fleste sære svar kommer fra billige studieansatte.

issues may or may not exist until they are found."… Shrödinger's Vulnerability

#11: kasperd

8. sep. 2011 14:07

Der hvor jeg ser allermest inkompetence, er hos folk som svarer på henvendelser fra offentligheden.myplacedk (#9)

Det må tiden vise. Nu skal de lige have lov til at bruge en uges tid til at besvare mit spørgsmål. Hvis ikke de kan overbevise mig om at de har taget højde for situationen bliver mit næste træk nok at bede Datatilsynet om at tage et kig på problematikken.

The Internet is full, please try again later.

#12: myplacedk

8. sep. 2011 14:38

Selv deres chef it sikkerhedsmand. Peter et eller andet der på et tidspunkt sagde at nemid overholder PKI standarden på trods af at den private nøgle ikke kontrolleres af brugeren som PKI standarden ellers foreskriver den skal.Hubert (#10)

1) Han siger noget som ikke er helt gennemtænkt og korrekt formuleret
2) Det bliver taget ud af sammenhæng
3) Han er ikke PR-mand, og har dårlig evne til at undgå disse to problemer

Det ville jeg ikke gå så højt op i som du gør. (Men du går så tilsyneladende også højt op i det, du nævner det i hvert fald tit.)

Jeg er da langt mere interesseret i om PKI-standarden rent faktisk er overholdt, og om afvigelserne er med god grund.

Men bortset fra det, er det vel et fint eksempel på at hvad man får som svar når man henvender sig (som kunde, potentiel kunde eller journalist) ofte ikke er særligt meget værd.

Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?

#13: Pally

8. sep. 2011 14:57

Selv deres chef it sikkerhedsmand. Peter et eller andet der på et tidspunkt sagde at nemid overholder PKI standarden på trods af at den private nøgle ikke kontrolleres af brugeren som PKI standarden ellers foreskriver den skal.
Hubert (#10)

Gør den? Og med 'den' menes der præcist hvad? PKI er infrastrukturen og i sig selv ikke en standard. Link?

Hvis man kigger i X.509 - ISO/IEC 9594-8:2008 så finder jeg faktisk følgende:
7.1 Generation of key pairs
...
...
Three ways in which a user's key pair may be produced are:
a) The user generates its own key pair. This method has the advantage that a user's private key is never released to another entity, but requires a certain level of competence by the user.
b) The key pair is generated by a third party. The third party shall release the private key to the user in a physically secure manner, and then actively destroy all information relating to the creation of the key pair plus the keys themselves. Suitable physical security measures shall be employed to ensure that the third party and the data operations are free from tampering.
c) The key pair is generated by the CA. This is a special case of b), and the considerations there apply.

Edit: formatting

Science doesn't kill people for not believing

#14: Pally

8. sep. 2011 15:02

Bemærk:
Jeg påstår ikke NemID opfylder b). Min påstand er at "private nøgle ikke kontrolleres af brugeren som PKI standarden ellers foreskriver den skal" er et noget tyndbenet argument.

Science doesn't kill people for not believing

#15: Hubert

8. sep. 2011 16:35

1) Han siger noget som ikke er helt gennemtænkt og korrekt formuleret
2) Det bliver taget ud af sammenhæng
3) Han er ikke PR-mand, og har dårlig evne til at undgå disse to problemer

Det ville jeg ikke gå så højt op i som du gør. (Men du går så tilsyneladende også højt op i det, du nævner det i hvert fald tit.)

Jeg er da langt mere interesseret i om PKI-standarden rent faktisk er overholdt, og om afvigelserne er med god grund.

Men bortset fra det, er det vel et fint eksempel på at hvad man får som svar når man henvender sig (som kunde, potentiel kunde eller journalist) ofte ikke er særligt meget værd.myplacedk (#12)

Nej han er tekniker. Ingen tvivl om han uden tvivl også er dygtig til sit arbejde. Jeg kender ikke manden men jeg håber da ikke at han har fået den position han har uden at have kvalifikationerne i orden.

Det var så vidt jeg husker en q&a arrangeret af danid.

Det undrer mig ikke at du ikke mener det er relevant at bringe op fordi det kaster jo ikke just et positivt lys over nemid løsningen men det må da alt andet lige være relevant når man taler om hvilke svar man kan få fra danid.

issues may or may not exist until they are found."… Shrödinger's Vulnerability

#16: apkat

8. sep. 2011 16:37

Svar fra Danid:
Zhadow (#6)

Jeg tror ikke Danid har den nødvendige inkompetence til at sende sådan et svar.kasperd (#7)

Der er så to muligheder:
1) Du får et ordenligt svar, hvor de skriver bl.a.bl.a.
2) De skriver "der er ingen fejl"

Hvis de svarer 1, så står der imorgen i ekstrabladet "NEMID INDRØMMER AT DER ER MASSERE AF FEJL yaddayadda"
Hvis de svarer 2 så bliver du sur, men resten af danmark føler sig mega trygge.

Jeg holder stadig på 1.

#17: Hubert

8. sep. 2011 16:40

Bemærk:
Jeg påstår ikke NemID opfylder b). Min påstand er at "private nøgle ikke kontrolleres af brugeren som PKI standarden ellers foreskriver den skal" er et noget tyndbenet argument.Pally (#14)

Nej det ville da også være mærkeligt at du skulle påstå noget der på ingen måde har hold i virkeligheden. Det var så vidt jeg husker ham selv der påstod at de levede op til PKI standarden på trods af at denne skulle sige at den privat nøgle skulle kontrolleres af brugeren. Jeg har forgæves forsøg at finde den pågældende artikel igen men den burde være til at finde såfremt jeg gad bruge mere tid på det.

issues may or may not exist until they are found."… Shrödinger's Vulnerability

#18: myplacedk

8. sep. 2011 16:40

Det undrer mig ikke at du ikke mener det er relevant at bringe op fordi det kaster jo ikke just et positivt lys over nemid løsningenHubert (#15)

Hold nu op med dit pis.

Jeg siger ikke noget om at det ikke er relevant. Faktisk siger jeg at det er et godt eksempel.
Og så er jeg træt af dine beskyldninger om at være biased for NemID.

Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?

#19: Hubert

8. sep. 2011 16:44

Hold nu op med dit pis.

Jeg siger ikke noget om at det ikke er relevant. Faktisk siger jeg at det er et godt eksempel.
Og så er jeg træt af dine beskyldninger om at være biased for NemID.myplacedk (#18)

Hvilken beskyldning? Jeg kan ikke mindes at du har anderkendt kritik af nemid. Er det faktisk tilfældet skal jeg være den første til at beklage at jeg har taget fejl.

Og jeg kan se at jeg har misforstået dit indlæg og tillagt dig noget du ikke har givet udtryk for det skal jeg også beklage.

issues may or may not exist until they are found."… Shrödinger's Vulnerability

#20: myplacedk

8. sep. 2011 16:47

Hvilken beskyldning?Hubert (#19)

Den jeg citerede. Du skriver jo at jeg skulle mene at al kritik af NemID er irrelevant. Det gør jeg overhovedet ikke.

Er det faktisk tilfældet skal jeg være den første til at beklage at jeg har taget fejl.Hubert (#19)

OK.

Og jeg kan se at jeg har misforstået dit indlæg og tillagt dig noget du ikke har givet udtryk for det skal jeg også beklage.Hubert (#19)

Fair nok.

Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?

#21: myplacedk

8. sep. 2011 16:56

Jeg kan ikke mindes at du har anderkendt kritik af nemid.Hubert (#19)

Jeg gider ikke lede, men du kan få noget bedre end anerkendelse af kritik - du kan få lidt kritik direkte fra mig:

Det er sgu da klart at de bliver overvældet med support-henvendelser, med alle de usability-problemer de har skabt.

Her er nogle eksempler, som jeg ikke aner om de har rettet op på, men som jeg personligt har observeret mig eller en bekendt have problemer med:

Hvis man har NemID til banken med uden OCES, så logger man selvfølgelig ind på nemid.nu for at oprette sig på OCES-delen. Forkert, man skal lade være med at logge ind, og så bestille et helt nyt NemID, selv om det overhovedet ikke er det man vil. Tumpet!

Hvis man bestiller NemID direkte på NemID.nu, kan man ikke bruge det i banken. Så skal man henvende sig til bankens support for at blive oprettet der. Der er intet med at bankens systemer kan henvende sig til NemID's system, og siger "jeg har en person her med et NemID-nummer jeg ikke kender - hvem er det?" - man skal oprettes manuelt i bankens system, og vente nogle dage op at det ryger til NemID og tilbage igen.

Brevene der kommer når man får NemID er uoverskuelige. Det er så simpelt at aktivere skidtet, og alligevel har man adskillige A4-sider med alt muligt ævl. Man skal ikke have meget tendens til at blive forvirret, før det bliver svært at finde rundt i. Der skal stå med store fede bogstaver hvad man skal gøre, i stedet for at sprede de brugbare informationer rundt mellem ævl og bævl. (Dog er det selvfølgelig nødvendigt at aktiveringskoden står for sig i et selvstændigt brev.)

Og hvad gør de ved at supporten er overvældet? Bruger flere ressourcer på support, slækker på målene, forsøger at give noget af aben til bankerne, og lader de grundlæggende problemer være.

(Og så kan du selv gætte hvilken tråd der inspirerede mig til at tage netop dette kritik-punkt.)

Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?

#22: apkat

8. sep. 2011 17:09

myplacedk og hubert, kan i ikke tie stille når de voksne snakker?

#23: Daniel-Dane

8. sep. 2011 17:09

Hvis man bestiller NemID direkte på NemID.nu, kan man ikke bruge det i banken. Så skal man henvende sig til bankens support for at blive oprettet der. Der er intet med at bankens systemer kan henvende sig til NemID's system, og siger "jeg har en person her med et NemID-nummer jeg ikke kender - hvem er det?" - man skal oprettes manuelt i bankens system, og vente nogle dage op at det ryger til NemID og tilbage igen.myplacedk (#21)

Det er stadig et problem.

You are in control of your breathing, your arms have weight, you are controlling your blinking, and you can feel your tongue in your mouth.

#24: kasperd

8. sep. 2011 17:18

Hvis de svarer 2 så bliver du surapkat (#16)

Hvorfor i alverden skulle jeg være sur over at de vælger at udstille deres egen inkompetence.

men resten af danmark føler sig mega trygge.apkat (#16)

Indtil medierne tager historien op og fortæller at Danid mangler procedurer til at sikre sig imod misbrug. Prøv at forestille dig overskriften i Ekstrabladet: "Nemid lukker hackere ind på din computer!"

Men indtil videre er det kun spekulation. Det kan jo være at de faktisk har overvejet problemet og har en måde at beskytte sig på.

Hvis man har NemID til banken med uden OCES, så logger man selvfølgelig ind på nemid.numyplacedk (#21)

Hvorfor er det en selvfølge at man bruger et niueansk website?

The Internet is full, please try again later.

#25: apkat

8. sep. 2011 17:23

Hvorfor i alverden skulle jeg være sur over at de vælger at udstille deres egen inkompetence.kasperd (#24)

ja okay, sur og sur er en overdrivelse.. Men det er jo et latterligt svar.

Indtil medierne tager historien op og fortæller at Danid mangler procedurer til at sikre sig imod misbrug. Prøv at forestille dig overskriften i Ekstrabladet: "Nemid lukker hackere ind på din computer!"kasperd (#24)

lol som om ekstrabladet kan stave sig igennem dine indlæg. De vil jo fatte hat.

Men indtil videre er det kun spekulation. Det kan jo være at de faktisk har overvejet problemet og har en måde at beskytte sig på.kasperd (#24)

Jeg krydser fingrer.

#26: Darwind

8. sep. 2011 18:45

#1 - du skal nok ikke forvente et svar inden for en uges tid... eller jo du får nok et svar, men det bliver nok noget lignende: "Vi kigger på det og vender tilbage, når vi har undersøgt sagen..." og så kan du få lov til at rykke for sagen i uendelighed...

Eller også får du at vide: "It's not a bug, it's a feature." :P

En pointe er, at udviklere er utroligt ærekær - der skal meget til at indrømmer, at de rent faktisk har lavet en fejl.

Desuden: jeg kan ikke umiddelbart se sikkerhedshullet i det du skriver. Jeg er ikke superstærk i applets, men skal de ikke sætte permissions for appletten? Hvis de permissions er sat korrekt, så er det faktisk ikke NemID, der har en fejl, men snarere Oracle.

Det eneste NemID appletten skriver til din maskine er en danid.log fil, som indeholder nogle oplysninger om maskinen - dvs., hvis nogen skulle udnytte NemID appletten, så skulle de reverseengineere de jar filer der downloades og det er da vist ikke helt let (har kun reverseengineered Android apps før og det var fandme en gang ubrugelig kode jeg fik ud af det...) - eller er jeg helt galt afmarcheret?

#27: kasperd

8. sep. 2011 20:27

En pointe er, at udviklere er utroligt ærekær - der skal meget til at indrømmer, at de rent faktisk har lavet en fejl.Darwind (#26)

Men det har så den stik modsatte effekt. Hvis du ikke vil indrømme når du tager fejl, så bliver du da først helt til grin.

Det er menneskeligt at fejle. Personer som ikke kan begå fejl skal man undgå. Det bedste man kan opnå er:
- Ikke begå fejl særlig tit.
- De fleste af de fejl man begår er ikke så alvorlige, når der er chance for at begå en alvorlig fejl koncentrerer man sig lidt mere således at risikoen er mindre.
- Når man endeligt har begået en fejl indrømmer man det og man hjælpes ad med at rette op på den.

skal de ikke sætte permissions for appletten?Darwind (#26)

Jo, det tror jeg nok de skal. Men jeg ved ikke hvor detaljeret det kan gøres. Jeg må lige prøve at starte med en ny bruger og se igen præcist hvad man bliver bedt om at godkende.

Hvis de permissions er sat korrekt, så er det faktisk ikke NemID, der har en fejl, men snarere Oracle.Darwind (#26)

Der må være fire muligheder.

1. Man kan sætte permissions præcist nok til at appleten kun har adgang til denne ene fil, og det er gjort på denne applet.
2. Man kan sætte permissions præcist nok, men det er ikke gjort på denne applet.
3. Man kan ikke sætte permissions præcist nok.
4. Man kan sætte permissions præcist nok, appleten har gjort det, men JVM tillader alligevel mere adgang.

I tilfælde 1 ser det umiddelbart ud som om alt er som det burde være. Bortset fra den potentielle mulighed for at nogen får adgang til at få signeret en anden applet med andre permissions. Brugeren kan give generel adgang til alt software signeret med denne nøgle og så tror jeg ikke man bliver spurgt om rettigheder til hver enkelt applet.

I tilfælde 2 er det helt klart en fejl i nemid. Og det er netop en af den type fejl der skal være mulighed for at lave en opdatering til og undgå at den fejlbehæftede version efterfølgende kan misbruges.

I tilfælde 3 er det en begrænsning i designet. Man kan argumentere for at begrænsningerne stadigvæk kan lægges ind i appleten. Det er korrekt, men at lægge begrænsningerne i appletkoden gør det bare lidt nemmere at lave fejl i det.

I tilfælde 4 er det en klokkeklar fejl i JVM. Det er ikke denne type fejl jeg bekymrer mig om. Softwareopdateringer til JVM går gennem den normale opdatering af software på klientmaskinen (i hvert fald på OS der understøtter det). Og dermed er der en metode til at få softwareopdateringer ud.

Mange af de mulige scenarier kan betegnes som design fejl i java applet systemet. Hvis der ikke findes nogen metode til at garantere opdatering af fejlbehæftet software eller forkert satte permissions, så er det en fejl i java applet systemet.

Hvis der er tale om en design fejl fra Suns side, så er det selvfølgelig ikke Danids skyld at denne design fejl er begået. Men det er stadigvæk Danids opgave at sætte sig ind i den sikkerhedsmodel de bygger på og indse hvis der er fundamentale fejl i designet.

Endeligt vil jeg sige at det er ikke så vigtigt at kunne angive præcise rettigheder til applets, det er vigtigere at kunne sikre sig imod at signerede applets stadigvæk kan bruges efter der er fundet fejl i dem.

At kunne angive præcise rettigheder gavner kun hvis brugeren godkender det præcise sæt rettigheder og efterfølgende skal godkende igen hvis en senere version kræver flere rettigheder.

Hvis godkendelse af et certifikat betyder at alle applets fra den udgiver kører med de rettigheder de efterspørger, så kan det i princippet lige så godt begrænses i koden selv. Det gør en lille forskel på hvor nemt det er at begå fejl, men så vi tilbage ved vigtigheden af at kunne rette fejl.

hvis nogen skulle udnytte NemID appletten, så skulle de reverseengineere de jar filer der downloades og det er da vist ikke helt letDarwind (#26)

Jeg påstår ikke at det er let. Men når man tænker på hvor mange targets man kan ramme hvis der findes en fejl, så bør man tage truslen alvorlig.

Normalt vil det være sådan at hvis nogen finder en fejl i et stykke software og begynder at misbruge det systematisk, så vil fejlen hurtigt blive udbedret. Men hvis man er garanteret at en fejlrettelse ikke kan udrulles på en sikker måde, så er der mere incitament til at lede efter fejl da man vil kunne udnytte hullet i længere tid.

The Internet is full, please try again later.

#28: Darwind

8. sep. 2011 21:35

Men det har så den stik modsatte effekt. Hvis du ikke vil indrømme når du tager fejl, så bliver du da først helt til grin.kasperd (#27)

Men de indrømmer det ikke så gerne alligevel. Jeg ville da også selv mene, at hvis jeg fik påpeget en alvorlig fejl i min kode, så ville jeg reagere på det og sende dig en flaske rødvin eller noget som tak for hjælpen, men sådan fungerer mange af de gamle rotter inden for faget ikke (min påstand ud for de erfaringer jeg selv har gjort ;)).

Jo, det tror jeg nok de skal. Men jeg ved ikke hvor detaljeret det kan gøres. Jeg må lige prøve at starte med en ny bruger og se igen præcist hvad man bliver bedt om at godkende.kasperd (#27)

Se lige http://java.sun.com/developer/onlineTraining/Programming/BasicJava1/data.html#sec

Jeg tror du har fat i noget. Jeg slettede lige cert'et fra DanID (bare slet sun mappen inde i din app data mappe på Windows) og i cert godkendelsesbilledet står der således:

This application will run with unrestricted access which may put your personal information at riskDanID certifikat

Hvad jeg kan læse ud for den java tutorial jeg linkede til, så kan læse og skrive rettigheder sættes helt præcist, så det er helt klart en designfejl fra DanIDs side af.

Faktisk kan jeg vist huske, at vi havde opkald fra de lidt mere kvikke brugere, fordi de lige pludselig skulle godkende nyt cert fra DanID, som spurgte til, hvorfor det var DanID skulle have fuld adgang til deres computere, hvilket vi jo ikke kunne svare på og måtte sende dem videre til NemIDs egen support (én af de eneste gange dette skete...). Jeg mener faktisk også det er blevet meldt til DanID for at høre, hvad de havde at sige til den sag, men jeg hørte ikke mere til det selv, hvilket jo så dybest set også er en fejl fra vores firmas side af.

#29: markjensen

8. sep. 2011 22:06

Det er stadig et problem.Daniel-Dane (#23)

Gælder det alle banker? Jeg mener ikke at jeg oprettede mit nemid hos Nordea, men jeg kan sagtens logge ind.

Smilinger.dk - tegneserier og billeder

#30: kasperd

8. sep. 2011 22:45

Jeg ville da også selv mene, at hvis jeg fik påpeget en alvorlig fejl i min kode, så ville jeg reagere på det og sende dig en flaske rødvin eller noget som tak for hjælpenDarwind (#28)

Sådan som den mest udbredte praksis ser ud nu til dags, så kan en virksomhed faktisk markere sig positivt ved blot at sige tak og faktisk rette fejlen.

Og jeg synes egentlig at en virksomhed der blot siger tak og retter fejlen burde have ligget i den dårlige ende af spektret. Men ak, de fleste går ikke engang så langt.

Se lige http://java.sun.com/developer/onlineTraining/Programming/BasicJava1/data.html#secDarwind (#28)

Det nævner godt nok nogle muligheder. Men jeg kan ikke finde frem til nogen policy fil.

Når jeg starter appleten bliver jeg blot spurgt om jeg vil køre koden. Jeg får intet at vide om hvilke rettigheder den får. Hvis jeg vælger at se detaljer får jeg certifikatet at se, og intet andet.

Man kan vælge at altid stole på software fra denne udgiver. Hvis ikke man sætter flueben der bliver man spurgt hver gang appleten startes, så jeg gætter på de fleste brugere før eller siden siger ja til det.

Så tilsyneladende er der ingen begrænsninger. Og hvis der er en policy som jeg ikke har kunnet finde, så er den af begrænset værdi da jeg hverken kommer til at skulle godkende den i første omgang eller når den ændres.

The Internet is full, please try again later.

#31: Daniel-Dane

8. sep. 2011 23:58

Gælder det alle banker? Jeg mener ikke at jeg oprettede mit nemid hos Nordea, men jeg kan sagtens logge ind.markjensen (#29)

Jeg bestilte NemID på deres hjemmeside for min mor, og hun skulle ringe til support for at bruge det med Konto-kik. De sendte et kort til, som dog ikke bliver brugt.

Jeg havde ikke problemet, da jeg fik NemID inden Nordea.

You are in control of your breathing, your arms have weight, you are controlling your blinking, and you can feel your tongue in your mouth.

#32: kasperd

9. sep. 2011 11:03

Jeg har modtaget en email fra en sikkerhedskonsulent ved Nets, som siger at han forventer at have et svar parat til mig i næste uge.

Det tog 1½ arbejdsdag før bekræftelsen på min email ankom, til gengæld kom den fra en person som faktisk arbejder med sikkerhed hvilket jeg synes er positivt.

Det er bedre end at sende et standard svar enten automatiseret eller fra en person som alligevel ikke selv kan hjælpe med at svare.

The Internet is full, please try again later.

#33: Hubert

9. sep. 2011 13:56

Jeg har modtaget en email fra en sikkerhedskonsulent ved Nets, som siger at han forventer at have et svar parat til mig i næste uge.

Det tog 1½ arbejdsdag før bekræftelsen på min email ankom, til gengæld kom den fra en person som faktisk arbejder med sikkerhed hvilket jeg synes er positivt.

Det er bedre end at sende et standard svar enten automatiseret eller fra en person som alligevel ikke selv kan hjælpe med at svare.kasperd (#32)

Jeg må indrømme at jeg ikke er så overrasket over at du får svar fra en sikkerhedsmand. Man må forvente at disse findes i nets samt at dette falder ind under deres område.

Jeg er så tilgengæld overrasket over at du ikke har fået svar fra en eller anden 1. level supporter som har sendt spørgsmålet videre til sikkerhedsafdelingen.

issues may or may not exist until they are found."… Shrödinger's Vulnerability

#34: kasperd

16. sep. 2011 15:20

Der er stadig ikke kommet noget svar. Det vil sige nogen skal skrive en email i løbet af weekenden for at nå det indenfor den tidsramme der blev givet i det første svar.

Jeg har dog tænkt mig at vente indtil tirsdag eller onsdag før jeg rykker dem for et svar.

The Internet is full, please try again later.

#35: kasperd

19. sep. 2011 15:30

Der er kommet en email som fortæller at der er kommet nogle opgaver af højere prioritet. Vi kommer altså til at vente "lidt endnu" før der kommer et svar. Jeg vil give dem indtil onsdag eller torsdag i næste uge før jeg rykker for et svar.

The Internet is full, please try again later.

#36: Hubert

19. sep. 2011 16:21

Der er kommet en email som fortæller at der er kommet nogle opgaver af højere prioritet. Vi kommer altså til at vente "lidt endnu" før der kommer et svar. Jeg vil give dem indtil onsdag eller torsdag i næste uge før jeg rykker for et svar.kasperd (#35)

De har vel travlt med at teste den nye token løsning. :)

issues may or may not exist until they are found."… Shrödinger's Vulnerability

#37: BetaLyte

20. sep. 2011 12:15

Eller travlt med rent faktisk at lappe hullet? =)

A programmer is just a tool which converts caffeine into code.

#38: Mnc

20. sep. 2011 12:30

Eller travlt med rent faktisk at lappe hullet? =)BetaLyte (#37)

Haha, det er god værkstedshumor!

#39: BetaLyte

28. sep. 2011 16:27

#38
Det sagde hun også i går... ?

#topic
Nuttin new?

A programmer is just a tool which converts caffeine into code.

#40: kasperd

29. sep. 2011 01:29

Nuttin new?BetaLyte (#39)

Jeg har netop sendt en email for at rykke for et svar.

The Internet is full, please try again later.

#41: Corholio

29. sep. 2011 08:26

Jeg har netop sendt en email for at rykke for et svar.kasperd (#40)

Forvent dit svar om 14-21 dage... på et papkort!

If only life was as simple as apt-get

#42: kasperd

7. okt. 2011 13:24

Så er der gået en måned. Skal deres tavshed tolkes som et tegn på at de ingen anelse har omkring hvorvidt deres system er sikkert eller ej? Eller er det et tegn på at de er opmærksom på at der er et problem, men ikke kan finde på nogen måde at løse det?

The Internet is full, please try again later.

#43: myplacedk

7. okt. 2011 13:39

Eller måske er de bare dårlige til at kommunikere.

...jeg omformulerer lige:

De er dårlige til at kommunikere, måske er det bare derfor.

Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?

#44: Darwind

7. okt. 2011 17:31

Eller måske er deres sikkerhedsafdeling hængt op af presserende sager, som den om Nordea for nyligt? :P

#45: arne_v

9. okt. 2011 03:50

så skulle de reverseengineere de jar filer der downloades og det er da vist ikke helt letDarwind (#26)

At revers engineere en almindelig jar fil er super nemt.

The greater danger for most of us lies not in setting our aim too high and falling short; but in setting our aim too low, and achieving our mark.

#46: Daniel-Dane

9. okt. 2011 06:56

Show off.

You are in control of your breathing, your arms have weight, you are controlling your blinking, and you can feel your tongue in your mouth.

#47: myplacedk

9. okt. 2011 09:23

#46
Til dem som ikke forstår:

Download det gratis program jd-gui. Jarfiler åbnet med jd-gui ligner zip-filer med java-source i.

Vupti. Det er så nemt, jeg bruger det jævnligt, selv om jeg faktisk har sourcen, og jeg ved hvor den er.

Gider du lige sætte navn på bagsiden af mit Möbius pandebånd?

#48: Daniel-Dane

9. okt. 2011 09:30

Ja, eller WinRar. Problemet er bare, at fornuftige folk nok obfuscater den.

You are in control of your breathing, your arms have weight, you are controlling your blinking, and you can feel your tongue in your mouth.

#49: Spiderboy

9. okt. 2011 09:34

Derfor #45 sagde "almindelig jar fil".

#50: Daniel-Dane

9. okt. 2011 10:36

Er en obfuscated fil unormal?

You are in control of your breathing, your arms have weight, you are controlling your blinking, and you can feel your tongue in your mouth.

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret bruger