mboost-dp1
Sun
kasperd (50) skrev:Det leverer ikke signering af dokumenter.
Forkert.
https://www.nemid.nu/dk-da/offentlige_myndigheder/...
https://www.nemid.nu/dk-da/om_nemid/hvad_er_nemid/...
kasperd (50) skrev:Jeg har aldrig genereret noget nøglepar og afleveret en offentlig nøgle til DanID.
Korrekt.
DanID har på dine vegne genereret og opbevarer både private og public key.
Førend der gik Java skræk i NemID var det hovedkritikken mod NemID.
kasperd (50) skrev:Det har aldrig nogensinde fungeret at lade installation, opdatering og afinstallering af software være programmets egen opgave. Se derimod på hvordan de fleste Linux distributioner gør. Der er lidt forskel på, hvad distributionerne bruger (de fleste bruger vist enten rpm + yum eller deb + apt-get), men principperne er næsten de samme. Der er et centralt stykke pakkesoftware, som varetager al installation. Man kan om nødvendigt tilføje flere repos til sin konfiguration. Og så kører det hele bare af sig selv.
Glimrende løsning for de 5% mest IT-kyndige i Danmark.
En katastrofe for de andre 95%.
Selvopdaterende software er den eneste måde at holde hr. og fru Jensens PC opdateret.
Og dermed er det ikke mig der har skrevet under på noget, men derimod DanID.arne_v (51) skrev:DanID har på dine vegne genereret og opbevarer både private og public key.
Det lyder som om du ikke har prøvet at bruge et Linux system. Og det lyder også som om du har glemt et af principperne i godt software design.arne_v (52) skrev:Glimrende løsning for de 5% mest IT-kyndige i Danmark.
En katastrofe for de andre 95%.
Selvopdaterende software er den eneste måde at holde hr. og fru Jensens PC opdateret.
Det er ikke meningen at den dybe tallerken skal genopfindes hver eneste gang nogen udvikler en applikation. Opdatering af software er en opgave som bør varetages af et stykke software udviklet til den opgave. Udvikler man et stykke software til en anden opgave, så bør man ikke inkludere sådan funktionalitet, men i stedet bruge den som platformen stiller til rådighed.
Og de fleste Linux systemer kan vel også konfigureres til automatisk at installere opdateringer. Hvis man installerer Linux, aktiverer automatiske opdateringer og i øvrigt holder sig til at installere software gennem den officielle kanal, så er man bedre stillet med hensyn til opdatering af software end man nogensinde kan blive på Windows. (Baseret på hvad jeg har læst om Windows, jeg har ikke selv rørt det siden 2006.)
Det var måske lidt overdrevet at kalde det meget almindeligt. Men det anti-pattern er dog også set i andre scenarier. Det gælder f.eks. alle DRM systemer. Jeg har også læst om hardware til trådløs kommunikation som fysisk er i stand til at sende signaler, som ikke er lovlige, producenten valgte så at tolke lovgivningen sådan, at så længe de håndhævede regler i software og kildekoden til den software ikke var offentlig tilgængelig, så var hardwaren også lovlig. Det er ikke helt client-side-validation, men det minder dog meget om det.arne_v (53) skrev:Hvor er det også kendt fra?
Et andet eksempel på client-side-validation så jeg, da jeg tilfældigvis havde lejlighed til at kigge lidt på et konkurrerende produkt til et system, jeg udvikler på. Denne konkurrent havde valgt at bruge client-side-validation til at styre hvilke data hver enkelt medarbejder havde læse og skrive adgang til.
kasperd (54) skrev:Og dermed er det ikke mig der har skrevet under på noget, men derimod DanID.
Det kan du godt hævde.
Men jeg tror ikke at påstanden vil have mange chancer i en eventuel retssag.
NemID digitale underskrifter bruges tusinder af gange om dagen og accepteres af banker of offentlige.
Og teknisk set er private key gemt i HSM hvor det kun kan tilgåes med oplysninger genereret udfra dit password som NemID ikke har. Det vil blive en meget lang og indviklet forklaring at beskrive et scenarie, hvor din digitake underskrift var brugt uden din medvirken.
kasperd (54) skrev:Det lyder som om du ikke har prøvet at bruge et Linux system. Og det lyder også som om du har glemt et af principperne i godt software design.
Det er ikke meningen at den dybe tallerken skal genopfindes hver eneste gang nogen udvikler en applikation. Opdatering af software er en opgave som bør varetages af et stykke software udviklet til den opgave. Udvikler man et stykke software til en anden opgave, så bør man ikke inkludere sådan funktionalitet, men i stedet bruge den som platformen stiller til rådighed.
Og de fleste Linux systemer kan vel også konfigureres til automatisk at installere opdateringer. Hvis man installerer Linux, aktiverer automatiske opdateringer og i øvrigt holder sig til at installere software gennem den officielle kanal, så er man bedre stillet med hensyn til opdatering af software end man nogensinde kan blive på Windows. (Baseret på hvad jeg har læst om Windows, jeg har ikke selv rørt det siden 2006.)
Hvis de konfigureres til at opdatere automatisk, så er det OK for almindelig brug.
Jeg har dog aldrig oplevet en Linux distro hvor det var default.
Men det ville jo under alle omstændigheder ikke løse problemet med Java opdateringer.
Den Java implementation som DanID anbefaler for NemID bliver nemlig ikke opdateret via disse.
kasperd (54) skrev:Det var måske lidt overdrevet at kalde det meget almindeligt. Men det anti-pattern er dog også set i andre scenarier. Det gælder f.eks. alle DRM systemer. Jeg har også læst om hardware til trådløs kommunikation som fysisk er i stand til at sende signaler, som ikke er lovlige, producenten valgte så at tolke lovgivningen sådan, at så længe de håndhævede regler i software og kildekoden til den software ikke var offentlig tilgængelig, så var hardwaren også lovlig. Det er ikke helt client-side-validation, men det minder dog meget om det.arne_v (53) skrev:Hvor er det også kendt fra?
Et andet eksempel på client-side-validation så jeg, da jeg tilfældigvis havde lejlighed til at kigge lidt på et konkurrerende produkt til et system, jeg udvikler på. Denne konkurrent havde valgt at bruge client-side-validation til at styre hvilke data hver enkelt medarbejder havde læse og skrive adgang til.
Nu bruger NemID det så vidt vides slet ikke den hardware checksum til validering. Det er et trace til brug ved efterforskning. Ingen af eksempler synes tilnærmelsesvis at ligne dette.
Så det såkaldte:
kasperd (50) skrev:meget almindeligt anti-pattern
er tilsyneladende hverken kendt eller beskrevet.
De bedst dokumenterede angreb går jo også ud på, at man selv medvirker uden at vide det. Og forklaringen er hverken lang eller svær at forstå. Det var så vidt jeg husker Version2, der skar mitm svagheden ud i pap, så enhver kunne forstå det.arne_v (55) skrev:Det vil blive en meget lang og indviklet forklaring at beskrive et scenarie, hvor din digitake underskrift var brugt uden din medvirken.
Og derfor bør man ikke følge deres anbefaling, hvis man nogensinde bruger sin computer til noget vigtigt. Det er sørgeligt hvad det betyder for befolkningens forståelse for IT-sikkerhed, når DanID giver den slags anbefalinger.arne_v (56) skrev:Den Java implementation som DanID anbefaler for NemID bliver nemlig ikke opdateret via disse.
Hvad værre er, så er der ingen procedure for sikkerhedsopdatering af deres applet. Vil man angribe brugere gennem en svaghed i deres applet, så lægger man blot den sårbare version på sit website.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund