mboost-dp1
PBS A/S
anazonda (18) skrev:Dit oplæg lyder ikke helt ufornuftigt MEN: Et eller andet sted burde der fra DanID's side være en sikkerhedsforanstaltning eller som et minimum bare et sikkerhedskrav til de der udbyder deres tjeneste?
PBS er jo så gode til at stille krav alle andre steder, specielt i Nethandel, så hvorfor ikke her?
Forlyder der noget om at firmaet skal have en speciel aftale med PBS for at udbyde denne service?
nubus (24) skrev:1. Acceptere at et andet firma har deres domæne - vi taler ikke bare typosquatting men at NemID har valgt at lade stå til. Hvordan kan de gå i luften uden eget domæne (og det hjælper ikke at PBS/Nets er ligeså bovlamme).
At NemID har valgt at lade et kommercielt firma have nemid.dk kan ikke gøre dem ansvalig for en software fejl på det site.
nubus (24) skrev:2. Bygge en løsning, hvor brugerne får en "lås døren" knap... som ikke låser døren. Duh! Det må simpelthen ikke ske.
Det er ikke NemID der har bygget den løsning.
nubus (24) skrev:3. Kende til fejlen men intet gøre i månedsvis... før en avis offentliggør det - og derefter reagere på et par timer. Så er man simpelthen ligeglad med sikkerhed og evner ikke at prioritere.
Firmaet bag nemid.dk er nogle hundehoveder.
Det er meget at forlange af NemID (DanID), at de skal holde øje med og advare mod tredie parts firmaer.
Windcape (34) skrev:Note to self: unit test logout functionality.
tazly (41) skrev:Integrationstest ville nok være bedre ;-)
Uanset hvad vi nu vælger at kalde den test, så er det jo her problemet ligger.
En udvikler har ikke fået implementeret logout.
Enten har de ikke lavet code review eller så har folk siddet og sovet til det.
De har ikke testet funktionaliteten.
(jeg kan ikke forestille mig at man kan teste det og ikke finde problemet - det er jo hoved funktionaliteten i den knap som ikke virker=
#offentlige
Korrektion.
http://politiken.dk/tjek/digitalt/internet/1059529... siger nu at de (økonomi styrelsen) burde havde checket logout.
Korrektion.
http://politiken.dk/tjek/digitalt/internet/1059529... siger nu at de (økonomi styrelsen) burde havde checket logout.
Nu er jeg ikke det store kodehoved. Men jeg kan ikke lade være med at tænke på 2 måder at gøre sikkerheden bedre på:
1.
Lad Dan-ID levere det stykke kode der skal til for at logge ind/ud.
Hvis Dan-ID står for den del af implementeringen så burde denne slags fejl undgås.
Copy/paste burde ikke kunne gå galt..
2.
Sørg for at det kun er muligt at logge ind via nemid.nu.
Når man så logger ind via en anden side åbner en popup, der leder til en underside på nemid-nu, hvor man så kan logge ind via.
Denne popup lader man være i baggrunden så længe man skal er logget ind. Når man så er færdig trykker man på log ud i popup vinduet.
På den måde vil man altid være sikker på at det kun er Dan-IDs implementering der er gældende. Og denne slags fejl burde ikke opstå...
Som sagt er jeg ikke det store kodehoved, så hvis der er noget graverende i vejen for at gøre det på en af disse måder. Så sig endelig til...
1.
Lad Dan-ID levere det stykke kode der skal til for at logge ind/ud.
Hvis Dan-ID står for den del af implementeringen så burde denne slags fejl undgås.
Copy/paste burde ikke kunne gå galt..
2.
Sørg for at det kun er muligt at logge ind via nemid.nu.
Når man så logger ind via en anden side åbner en popup, der leder til en underside på nemid-nu, hvor man så kan logge ind via.
Denne popup lader man være i baggrunden så længe man skal er logget ind. Når man så er færdig trykker man på log ud i popup vinduet.
På den måde vil man altid være sikker på at det kun er Dan-IDs implementering der er gældende. Og denne slags fejl burde ikke opstå...
Som sagt er jeg ikke det store kodehoved, så hvis der er noget graverende i vejen for at gøre det på en af disse måder. Så sig endelig til...
#56
Der er blot tale om at redirecte til en URL, det burde ikke være nødvendigt at danID skal lave det kode :)
Dit punkt nr. 2 kan jeg ikke følge.......... Hvilket problem er det lige du præsenterer en løsning til?
Der er blot tale om at redirecte til en URL, det burde ikke være nødvendigt at danID skal lave det kode :)
Dit punkt nr. 2 kan jeg ikke følge.......... Hvilket problem er det lige du præsenterer en løsning til?
Chewy (56) skrev:N
Lad Dan-ID levere det stykke kode der skal til for at logge ind/ud.
Hvis Dan-ID står for den del af implementeringen så burde denne slags fejl undgås.
Copy/paste burde ikke kunne gå galt..
* det er nok en lidt stor opgave at levere ASP, PHP, ASP.NET, Java, Perl CGI etc. kode
* jeg tror ikke at problemet er at lave koden - jeg tror at problemet er at få kaldt koden det rigtige sted
@57
Det skal være en løsning mod at hver enkelt side der har i sinde at benytte Nem-ID som login mulighed, ikke skal lave hver deres login løsning. Og på den måde har muligheden for at at lave fejl som den vi oplever her.
Hvis man har et dedikeret login vindue, som "ligger" hos Dan-ID. Så burde vi være sikre på at fejl som omtalt i nyheden ikke opstår.
Da der kun er tale om en løsning (modsat nu, hvor hver side laver deres egen implementering).
Og man har samtidig også en klar indikation af ens login status hos Nem-ID (via popup vinduet).
For at skære den ud i pap.
Jeg har tænkt mig at logge ind på love.dk via Nem-ID (hvilket er en mulighed pr. d.d.)
Det kommer til at foregå på følgende måde:
1.
Jeg cruiser ind på love.dk
2.
Jeg trykker på Nem-ID login knappen
3.
Et popupvindue bliver åbnet på adressen http://login.nemid.nu
4.
Jeg logger ind via formularen i popup vinduet
5.
Popop vinduet ændre sig nu til en (relativ) stor grøn lampe, nedenunder er der teksten: "Du er nu logget ind på Nem-ID". Ved siden af den grønne lampe er der en stor knap med teksten "Log ud".
6.
Jeg er nu logget ind på love.dk uden at love.dk har haft noget at gøre med den kode der omhandler logind.
7.
Efter at have færdiggjort mit forehavende på love.dk bestemmer jeg mig for at kigge forbi skat og min netbank.
Dette kan stadig lade sig gøre da jeg stadig er logget ind i popup vinduet.
8.
Når jeg så er færdig med de af mine forehavende der kræver Nem-ID, skifter jeg fokus til popup vinduet og trykker på "Log ud" knappen.
Nu er jeg sikker på at min status hos Nem-ID er "logget ud". Og undervejs har jeg hele tiden været sikker på at den eneste sikkerhedsbrist der skal kunne påvirke min sikkerhed ligger hos Dan-ID...
På denne måde burde man kunne sikre sig imod elendig implementering af 3. parts programmører. Og Dan-ID kan altid stå 100% inde for sikkerheden. Da de er de eneste der har noget at sige mht. implementeringen...
@58
Fair nok.
Tænkte nok at der var ting jeg ikke havde tænkt på :-)
Hvad siger du til mit forslag #2?
Det skal være en løsning mod at hver enkelt side der har i sinde at benytte Nem-ID som login mulighed, ikke skal lave hver deres login løsning. Og på den måde har muligheden for at at lave fejl som den vi oplever her.
Hvis man har et dedikeret login vindue, som "ligger" hos Dan-ID. Så burde vi være sikre på at fejl som omtalt i nyheden ikke opstår.
Da der kun er tale om en løsning (modsat nu, hvor hver side laver deres egen implementering).
Og man har samtidig også en klar indikation af ens login status hos Nem-ID (via popup vinduet).
For at skære den ud i pap.
Jeg har tænkt mig at logge ind på love.dk via Nem-ID (hvilket er en mulighed pr. d.d.)
Det kommer til at foregå på følgende måde:
1.
Jeg cruiser ind på love.dk
2.
Jeg trykker på Nem-ID login knappen
3.
Et popupvindue bliver åbnet på adressen http://login.nemid.nu
4.
Jeg logger ind via formularen i popup vinduet
5.
Popop vinduet ændre sig nu til en (relativ) stor grøn lampe, nedenunder er der teksten: "Du er nu logget ind på Nem-ID". Ved siden af den grønne lampe er der en stor knap med teksten "Log ud".
6.
Jeg er nu logget ind på love.dk uden at love.dk har haft noget at gøre med den kode der omhandler logind.
7.
Efter at have færdiggjort mit forehavende på love.dk bestemmer jeg mig for at kigge forbi skat og min netbank.
Dette kan stadig lade sig gøre da jeg stadig er logget ind i popup vinduet.
8.
Når jeg så er færdig med de af mine forehavende der kræver Nem-ID, skifter jeg fokus til popup vinduet og trykker på "Log ud" knappen.
Nu er jeg sikker på at min status hos Nem-ID er "logget ud". Og undervejs har jeg hele tiden været sikker på at den eneste sikkerhedsbrist der skal kunne påvirke min sikkerhed ligger hos Dan-ID...
På denne måde burde man kunne sikre sig imod elendig implementering af 3. parts programmører. Og Dan-ID kan altid stå 100% inde for sikkerheden. Da de er de eneste der har noget at sige mht. implementeringen...
@58
Fair nok.
Tænkte nok at der var ting jeg ikke havde tænkt på :-)
Hvad siger du til mit forslag #2?
#59
Jeg tror ikke at det er et Columbus æg.
Hvis hver eneste request skal checked hos NemID, så bliver performance jammerlig.
Hvis de kun en enkelt gang checker og så putter informationen i session, så skal der laves noget callback fra NemID til de enkelte sites ved logout. Og den kunne principielt også fejle p.g.a. en kode bøf.
Jeg tror ikke at det er et Columbus æg.
Hvis hver eneste request skal checked hos NemID, så bliver performance jammerlig.
Hvis de kun en enkelt gang checker og så putter informationen i session, så skal der laves noget callback fra NemID til de enkelte sites ved logout. Og den kunne principielt også fejle p.g.a. en kode bøf.
#59
Din ide bærer præg af at du ikke ved særligt meget om kodning, og den eksisterende løsning. Det giver ikke særligt meget mening.
En meget mere gennemtænkt løsning er det der eksisterer der er baseret på DKSAML http://modernisering.dk/da/projekter/brugerstyring...
Din ide bærer præg af at du ikke ved særligt meget om kodning, og den eksisterende løsning. Det giver ikke særligt meget mening.
En meget mere gennemtænkt løsning er det der eksisterer der er baseret på DKSAML http://modernisering.dk/da/projekter/brugerstyring...
#63
Nej, men hans løsnings forslag overlapper med SAML.
og der er faktisk en profil for logout i http://digitaliser.dk/resource/284888/artefact/oio...
(2.4)
Det eneste der skal til for at hjælpe på logout problemet er ordentlig kodning :)
Nej, men hans løsnings forslag overlapper med SAML.
og der er faktisk en profil for logout i http://digitaliser.dk/resource/284888/artefact/oio...
(2.4)
Det eneste der skal til for at hjælpe på logout problemet er ordentlig kodning :)
Som jeg forstår det, kan stort set alle lave et site, der bruger NemId som login.
Når man så logger ind på dette site, startes en Single-Sign-On session, så man reelt også har åbnet døren til skat.dk, netbank osv.
Det der skræmmer mig, er at så vidt jeg har forstået, så kan/vil DanId ikke blokere et sådan site, der ikke virker som det skal.
Dette var ét site der havde en fejlende logud-funktion... på et tidspunkt er der måske hundredvis af sites, odds er at der er en eller anden fejl indimellem.
Skræmmende at de ikke kan lukke for et sites mulighed for at bruge NemId som login...
Endnu mere skræmmende at hvis de kan, så vil de åbenbart ikke?
Når man så logger ind på dette site, startes en Single-Sign-On session, så man reelt også har åbnet døren til skat.dk, netbank osv.
Det der skræmmer mig, er at så vidt jeg har forstået, så kan/vil DanId ikke blokere et sådan site, der ikke virker som det skal.
Dette var ét site der havde en fejlende logud-funktion... på et tidspunkt er der måske hundredvis af sites, odds er at der er en eller anden fejl indimellem.
Skræmmende at de ikke kan lukke for et sites mulighed for at bruge NemId som login...
Endnu mere skræmmende at hvis de kan, så vil de åbenbart ikke?
#65
Jeg synes at det er mere logisk end skræmmende.
Det vil være en ret omfattende opgave for DanID at teste alle brugeres sikkerhed, lukke hvis der er problemer og lukke op når problemerne er fixet.
Og det vil rejse nogen forretningsmæssige/juridiske problemer omkring hvornår DanID kan tillade sig at lukke forretningsgrundlaget for en monopolvirksomhed.
Det er rigtigt at PBS allerede idag gør noget tilsvarende for betalings kort. Men det er et område, hvor der er international standarder for hvordan ting skal gøres. Tilsvarende findes næppe for digitale id'er til offentlige services.
Som med så meget andet tror jeg at folk skal anvende lidt sund fornuft med hensyn til hvilken PC og hvilket site de bruger NemID til.
Jeg synes at det er mere logisk end skræmmende.
Det vil være en ret omfattende opgave for DanID at teste alle brugeres sikkerhed, lukke hvis der er problemer og lukke op når problemerne er fixet.
Og det vil rejse nogen forretningsmæssige/juridiske problemer omkring hvornår DanID kan tillade sig at lukke forretningsgrundlaget for en monopolvirksomhed.
Det er rigtigt at PBS allerede idag gør noget tilsvarende for betalings kort. Men det er et område, hvor der er international standarder for hvordan ting skal gøres. Tilsvarende findes næppe for digitale id'er til offentlige services.
Som med så meget andet tror jeg at folk skal anvende lidt sund fornuft med hensyn til hvilken PC og hvilket site de bruger NemID til.
arne_v (66) skrev:Som med så meget andet tror jeg at folk skal anvende lidt sund fornuft med hensyn til hvilken PC og hvilket site de bruger NemID til.
Dette tror jeg er meget vigtigt budskab at få ud til masserne. Som det er nu, får den jævne dansker bare at vide at NemID er både nemmere og mere sikker end noget tidligere online ID-system. Det kan skabe falsk tryghed.
moveax1ret (30) skrev:Det er IKKE danid der har lavet den ikke fungerende "lås døren knap" det er ET HELT ANDET FIRMA DER INGEN RELATION HAR TIL DANID.
Fejlen ligger på NemID.dk... så firmaet bag NemID har valgt at lade andre bruge deres navn, givet dem adgang til NemID systemet + ikke udført nogen sikkerhedskontrol + sovet i 1 måned efter de blev bekendt med en alvorlig sikkerhedsfejl.
Det svarer til at betaling.danskebank.dk ikke tilhørte Danske Bank, og at det firma der så havde sitet lavede et sikkerhedshul - uden at Danske Bank reagerede. DANID er simpelthen ikke opgaven voksen.
nubus skrev:Fejlen ligger på NemID.dk... så firmaet bag NemID har valgt at lade andre bruge deres navn, givet dem adgang til NemID systemet + ikke udført nogen sikkerhedskontrol + sovet i 1 måned efter de blev bekendt med en alvorlig sikkerhedsfejl.
Det svarer til at betaling.danskebank.dk ikke tilhørte Danske Bank, og at det firma der så havde sitet lavede et sikkerhedshul - uden at Danske Bank reagerede. DANID er simpelthen ikke opgaven voksen.
Nej, Danid gjorde alt de kunne for at få nemid.dk , og i starten gav assemble udtryk for at danid kunne købe domænet, men ombestemte sig så efter danid havde definitivt valgt navnet nemid. De har så gjort alt de kunne for at få domænet, men det er ikke lykkes dem.
Hvorfor skulle de sige at assemble ikke må bruge nemid? Bare fordi de ikke ville sælge et domænenavn til dem? Er det særligt professionelt? Jeg tror ikke engang det er lovligt.
Hvorfor skulle nemid dog udføre sikkerhedskontrol ved deres kunder? Det er da en mærkelig ide? Tror du at alle kunder vil have danid til at rode rundt i deres systemer, bare fordi at de vil lade folk logge på med nemid?!?!?!? Tror du danid gider? Det er da ikke danids opgave- hvorfor skulle det være det?
Og nej, danid har ikke sovet en måned i timen- det har assemble...
nubus (68) skrev:Fejlen ligger på NemID.dk... så firmaet bag NemID har valgt at lade andre bruge deres navn,
De fik ikke registreret navnet i tide, så nu bruges det af et andet firma.
Helt normal praksis på internet.
nubus (68) skrev:givet dem adgang til NemID systemet
Ja. tro det eller ej, men hele ideen med NemID er at det skal bruges. DanID tilbyder en service til alle og nemid.dk firmaet bruger den service ligesom alle andre.
nubus (68) skrev:+ ikke udført nogen sikkerhedskontrol + sovet i 1 måned efter de blev bekendt med en alvorlig sikkerhedsfejl.
Er det DanID's opgave at fungere som QA for hvad diverse private virksomheder udbyder på nettet??
moveax1ret (69) skrev:Hvorfor skulle nemid dog udføre sikkerhedskontrol ved deres kunder? Det er da en mærkelig ide? Tror du at alle kunder vil have danid til at rode rundt i deres systemer, bare fordi at de vil lade folk logge på med nemid?!?!?!? Tror du danid gider? Det er da ikke danids opgave- hvorfor skulle det være det?
Det gør de med PCI-DSS godkendelser.
Men der er en stor forskel ved at PCI-DSS eksisterer, så det er rimeligt veldefineret, hvad systemerne skal kunne.
Der er ikke noget sådant for NemID lignende systemer.
moveax1ret (69) skrev:Og nej, danid har ikke sovet en måned i timen- det har assemble...
Nemlig.
Det er ikke specielt overraskende at det firma som har lavet buggen må bære ansvaret for buggen.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund