mboost-dp1
Ãkonomistyrelsen
Er det mon ikke økonomi styrelsen der prøver at dække over at DanID's løsning ikke er så sikker da et login ikke automatisk timer ud(den fejl der blev fundet for et par uger siden). Da det så var nemid.dk hvorpå fejlen blev opdaget og DanID jo ikke skal have tæsk, så prøver at økonomistyrelsen at sende aben videre.
Det Økonomistyrelsen har ondt i røven over er at man kan tilgå sin nempost direkte på www.nempost.dk, og ikke behøver at skrive nempost.gentofte.dk.
Lige et spørgsmål.
Er NemID det samme som NemLog-In?
Hvad jeg lige har kunne finde ud af så lader det til at NemLog-In har været tilstede længe, så altså ikke det samme som NemID. NemLog-In har så fået NemID implementeret nu, men før brugte det den gamle digitale signatur. Det lader også til at det fungere ved at man KUN kan logge ind via NemLog-In's side, og den så redirecter dig tilbage til den side du kom fra.
Hvad jeg også har fundet frem til så er NemLog-In et offentlig login system til de offentlige instancer (komuner, stat osv.). Og i de regler indgår at det kun må bruges fra offentlige sider.
Personligt ville jeg også være betænkelig ved at skulle sende meget fortrolige oplysninger fra en private virksomheds hjemmeside. Det kan godt være at nempost.gentofte.dk er en tro kopi af nempost.dk (for den sags skyld en DNS opsættelelse der peger på nempost.dk), men så ved jeg i det mindste at Gentofte kommune virkelig er involveret.
Jeg må indrømme at jeg faktisk mener Økonomistyrelsen har ret i denne sammenhæng. Vel og mærke hvis NemLog-In er et selvstændig system, som det meget lader til at være.
Og det er sikkert kun blevet opdaget nu, fordi der har været så meget fokus på nemid.dk... Hvor mange af jer har f.eks. været inde på den side før den sag kom frem?? Mit gæt er max 1%.
Er NemID det samme som NemLog-In?
Hvad jeg lige har kunne finde ud af så lader det til at NemLog-In har været tilstede længe, så altså ikke det samme som NemID. NemLog-In har så fået NemID implementeret nu, men før brugte det den gamle digitale signatur. Det lader også til at det fungere ved at man KUN kan logge ind via NemLog-In's side, og den så redirecter dig tilbage til den side du kom fra.
Hvad jeg også har fundet frem til så er NemLog-In et offentlig login system til de offentlige instancer (komuner, stat osv.). Og i de regler indgår at det kun må bruges fra offentlige sider.
Personligt ville jeg også være betænkelig ved at skulle sende meget fortrolige oplysninger fra en private virksomheds hjemmeside. Det kan godt være at nempost.gentofte.dk er en tro kopi af nempost.dk (for den sags skyld en DNS opsættelelse der peger på nempost.dk), men så ved jeg i det mindste at Gentofte kommune virkelig er involveret.
Jeg må indrømme at jeg faktisk mener Økonomistyrelsen har ret i denne sammenhæng. Vel og mærke hvis NemLog-In er et selvstændig system, som det meget lader til at være.
Og det er sikkert kun blevet opdaget nu, fordi der har været så meget fokus på nemid.dk... Hvor mange af jer har f.eks. været inde på den side før den sag kom frem?? Mit gæt er max 1%.
Ramius (4) skrev:Er det mon ikke økonomi styrelsen der prøver at dække over at DanID's løsning ikke er så sikker da et login ikke automatisk timer ud
Det timer ud, det har jeg selv oplevet tidligere, også før den her sag. Det er nok tiden de har ændret på; man skal jo også helst kunne arbejde med systemet uden at man konstant bliver logget ud.
Sikots (8) skrev:Hvad med at man i stedet sørger for at login ikke kan komme fra andet end nogle få navngivne kendte sites?
Pointen er at systemet skal være udbredt og bruges til mange ting, så det er lidt at modarbejde formålet.
Sikots (8) skrev:Er det så svært for dem?
Den kommentar hører vist bedre hjemme på EB's nationen.
fennec (9) skrev:Personligt ville jeg også være betænkelig ved at skulle sende meget fortrolige oplysninger fra en private virksomheds hjemmeside.
NemID's applet sender kun oplysninger til DanID; det eneste websiden får er et token, så man slipper for at bekymre sig om at de logger ens passwords.
CableCat (7) skrev:Det Økonomistyrelsen har ondt i røven over er at man kan tilgå sin nempost direkte på www.nempost.dk, og ikke behøver at skrive nempost.gentofte.dk.
Men hvis man læser tilslutningsaftalen, så er det udbyderens ansvar, at sikre at sikkerheden er tilstrækkelig.
Udbyderen er den offentlige myndighed, men denne må gerne (og skal vel hvis det er over en vis pris) udlicitere dette til en privat virksomhed, at stå for opbygning og drift.
Økonomistyrelsen har således, at ponke alle de tilsluttede kommuner, da tilstrækkeligheden af sikkerheden er deres ansvar.
Den skal faktisk bare holde sig væk fra Assemble, som blot leverer en service til kommunerne, som kommunerne definerer ;-)
fennec (9) skrev:Og det er sikkert kun blevet opdaget nu, fordi der har været så meget fokus på nemid.dk... Hvor mange af jer har f.eks. været inde på den side før den sag kom frem?? Mit gæt er max 1%.
... og havde DanID ikke skullet bruge domænet, havde Økonomistyrelsen heller aldrig besøgt siden... ;-)
HenrikH (13) skrev:Men hvis man læser tilslutningsaftalen, så er det udbyderens ansvar, at sikre at sikkerheden er tilstrækkelig.
Hvorfor kan jeg ikke undlade at tænke "Fej for egen dør"? :)
NemID er noget lort anyway.
Utroligt de ikke kan lave et two-way system som ikke kræver at man skal hive et fucking latterligt stykke papir frem hvergang man vil logge ind.
password+computerspecifickey er meget bedre.
Og hvis man ikke kan li den specifikke nøgle man har til ens computer, så kan man punge ud og få sig en token nøgle istedet, så man kan logge ind fra alle steder.
imo nemmere og mere sikkert end et fucking stykke papir som ender med at blive væk alligevel.
(afaik så har alle harddiske/bundkort/cpuer/netkort/etc unikke IDs som man kan bruge til at lave et computer specifikt hash, så den key kun virker på den computer og ikke kan flyttes - kan da ikke være så fandens svært og lave)
Utroligt de ikke kan lave et two-way system som ikke kræver at man skal hive et fucking latterligt stykke papir frem hvergang man vil logge ind.
password+computerspecifickey er meget bedre.
Og hvis man ikke kan li den specifikke nøgle man har til ens computer, så kan man punge ud og få sig en token nøgle istedet, så man kan logge ind fra alle steder.
imo nemmere og mere sikkert end et fucking stykke papir som ender med at blive væk alligevel.
(afaik så har alle harddiske/bundkort/cpuer/netkort/etc unikke IDs som man kan bruge til at lave et computer specifikt hash, så den key kun virker på den computer og ikke kan flyttes - kan da ikke være så fandens svært og lave)
Kazper (3) skrev:det er faktisk det offentlige der dækker over det private erhvervsliv/bankerne/PBS
Husk at NemID er et samarbejde mellem staten og banksektoren.
HenrikH (16) skrev:Der tales om NemLog-in, ikke NemID.....
Enig.
Jeg mener også vi lige skal holde NemID ude af denne diskution, da det tilsyneladen intet har med NemLog-in at gøre.
cryo (12) skrev:NemID's applet sender kun oplysninger til DanID; det eneste websiden får er et token, så man slipper for at bekymre sig om at de logger ens passwords.
Jeg snakker ikke om selve login systemet. Men email systemet (som bruger login systemet).
Hvis du nu blev sygemeldt med verdens største hæmoride (eller et eller andet pinligt), og arbejdsformidlingen bad dig om at give dem en ugentlig status opdatering. Ville du så helst gøre det fra nempost.DinKommune.dk eller nempost.dk?
Siderne er 100% ens og gør præcis det samme, men følelsen af at bruge nempost.DinKommune.dk er meget sikre end et eller andet tilfældig domæne. Og forstil dig så hvordan hr. og fru. danmark føler det, som ikke har nogen som helst IT viden.
Ville du bruge csc.dk til at tjekke dine skatte oplysninger?? Nej vel... Det kan godt være at det er CSC der driver serverne (er det egentlig det??), og har lavet systemet. De kunne helt sikkert også nemt pege csc.dk ind på skat.dk så det ville være lige meget hvilket site man brugte. Men JEG ville til hver en tid altid gå ind via skat's side.
Netop derfor er kravet til NemLog-in at det KUN må bruge på offentlige sider (som kommuners og statens), simpelthen for at bibeholde troen på at det login KUN bruges til det offentlige, og private virksomheder ikke har adgang til de data.
At systemerne så er udviklet og drives af private virksomheder der sikkert har fuld adgang er noget andet. Troen på at data kun er tilgængelig for det offentlige er nok. For havde man ikke den tro, så ville mange holde igen med de "ulækre" (men relevante) detaljer.
fennec (18) skrev:Ville du bruge csc.dk til at tjekke dine skatte oplysninger?? Nej vel...
Den er lidt misvisende.... Mere om du ville bruge www.skatteoplysninger.dk til at kontrollere dine skatteoplysninger?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund