mboost-dp1
Åbent brev til Danid
Jeg har indtil videre sendt en email til en enkelt folketingspolitiker for at spørge om hvordan man kommer i kontakt med de personer som vil varetage den kulegravning af sikkerheden, som Version2s artikel omtaler.
Jeg synes ikke der på nuværende tidspunkt er grund til at mit spørgsmål skal rejses i folketingssalen, men det bør bestemt indgå som et punkt i en kulegravning af sikkerheden af nemid, såfremt det er korrekt at en sådan kulegravning er undervejs.
Jeg forventer ikke at komme videre med sagen før efter nytår, men hvis ikke jeg som minimum har fået bekræftet at min email er blevet læst vil jeg nok tage yderligere skridt umiddelbart efter nytår.
Jeg synes ikke der på nuværende tidspunkt er grund til at mit spørgsmål skal rejses i folketingssalen, men det bør bestemt indgå som et punkt i en kulegravning af sikkerheden af nemid, såfremt det er korrekt at en sådan kulegravning er undervejs.
Jeg forventer ikke at komme videre med sagen før efter nytår, men hvis ikke jeg som minimum har fået bekræftet at min email er blevet læst vil jeg nok tage yderligere skridt umiddelbart efter nytår.
Jeg har prøvet et lille eksperiment som delvist er relateret til denne tråd.
Jeg prøvede at sætte noexec på /tmp (sådan som nogle personer som er fuldstændigt fanatiske omkring sikkerhed siger at man bør gøre). Resultatet er at man ikke længere kan køre nemid.
Når nemid startes får man 500 liniers stackdumps. Det skyldes at java får EPERM når det prøver at mappe en .so fil fra /tmp.
Appletten starter alligevel og beder om brugernavn og password, men når man forsøger at fortsætte hænger appletten ved beskeden "Please wait. Your details are being processed..."
På dette tidspunkt ses en endeløs strøm af stackdumps startende med: java.lang.NoClassDefFoundError: Could not initialize class dk.danid.plugins.ParagraphView
Er der andre ting man kan eksperimentere med omkring deres spyware uden nødvendigvis at dissekere det fuldstændigt?
En anden sjov detalje, som muligvis intet har at sige. Hvis man åbner https://applet.danid.dk/ står der blot 172.17.17.6. Det ligner en IP adresse. Ser alle mon den samme IP adresse?
Jeg prøvede at sætte noexec på /tmp (sådan som nogle personer som er fuldstændigt fanatiske omkring sikkerhed siger at man bør gøre). Resultatet er at man ikke længere kan køre nemid.
Når nemid startes får man 500 liniers stackdumps. Det skyldes at java får EPERM når det prøver at mappe en .so fil fra /tmp.
Appletten starter alligevel og beder om brugernavn og password, men når man forsøger at fortsætte hænger appletten ved beskeden "Please wait. Your details are being processed..."
På dette tidspunkt ses en endeløs strøm af stackdumps startende med: java.lang.NoClassDefFoundError: Could not initialize class dk.danid.plugins.ParagraphView
Er der andre ting man kan eksperimentere med omkring deres spyware uden nødvendigvis at dissekere det fuldstændigt?
En anden sjov detalje, som muligvis intet har at sige. Hvis man åbner https://applet.danid.dk/ står der blot 172.17.17.6. Det ligner en IP adresse. Ser alle mon den samme IP adresse?
Det var den historie der inspirerede mig til at prøve at køre nemid med noexec på /tmp.Mamad (moveax1ret) (104) skrev:det er da pga. dette:
http://www.version2.dk/artikel/danid-ja-vi-staar-b...
kasperd (103) skrev:En anden sjov detalje, som muligvis intet har at sige. Hvis man åbner https://applet.danid.dk/ står der blot 172.17.17.6. Det ligner en IP adresse. Ser alle mon den samme IP adresse?
Jeg ser samme IP fra min Linux 3.1.6 på en Telenor ADSL-forbindelse.
Nu har jeg fundet en svaghed i deres applet. Præcist hvor meget svagheden kan udnyttes til ved jeg ikke. Dog er det muligt at udføre et DoS angreb.
Jeg havde exploitkode kørende som en bruger på min computer og som en anden bruger gik jeg så ind i min netbank. DoS angrebet kunne ikke forhindre mig i at logge ind, men ethvert forsøg på at betale et girokort imens jeg var logget ind ville fejle. Efter jeg havde stoppet exploitkoden og startede netbanken fra login igen var jeg i stand til at gennemføre betalinger.
Et DoS angreb er i sig selv ikke det værste der kunne ske, men i teorien kunne svagheden også udnyttes til at afvikle vilkårlig kode som den bruger der kører nemid.
På nuværende tidspunkt ved jeg ikke hvad jeg skal gøre med de nærmere detaljer omkring svagheden. Med den professionalisme vi hidtil har set fra danid er min forventning at hvis jeg fortæller dem om svagheden vil de blot benægte og intet gøre ved det. Jeg tror ikke engang en offentliggørelse ville rykke noget, da de sikkert stadig vil benægte eksistensen af nogen svaghed.
På nuværende tidspunkt vil jeg derfor holde detaljerne for mig selv. Hvis jeg ønsker at bruge min viden til at styrke sikkerheden tror jeg det er bedre at holde på dem indtil jeg finder en passende mulighed for at udnytte dem til at skyde den nuværende løsning helt ned, så vi kan få noget ordentligt i stedet.
I mellemtiden vil jeg overveje hvordan den teoretiske mulighed for afvikling af vilkårlig kode kan omsættes til praksis.
Jeg havde exploitkode kørende som en bruger på min computer og som en anden bruger gik jeg så ind i min netbank. DoS angrebet kunne ikke forhindre mig i at logge ind, men ethvert forsøg på at betale et girokort imens jeg var logget ind ville fejle. Efter jeg havde stoppet exploitkoden og startede netbanken fra login igen var jeg i stand til at gennemføre betalinger.
Et DoS angreb er i sig selv ikke det værste der kunne ske, men i teorien kunne svagheden også udnyttes til at afvikle vilkårlig kode som den bruger der kører nemid.
På nuværende tidspunkt ved jeg ikke hvad jeg skal gøre med de nærmere detaljer omkring svagheden. Med den professionalisme vi hidtil har set fra danid er min forventning at hvis jeg fortæller dem om svagheden vil de blot benægte og intet gøre ved det. Jeg tror ikke engang en offentliggørelse ville rykke noget, da de sikkert stadig vil benægte eksistensen af nogen svaghed.
På nuværende tidspunkt vil jeg derfor holde detaljerne for mig selv. Hvis jeg ønsker at bruge min viden til at styrke sikkerheden tror jeg det er bedre at holde på dem indtil jeg finder en passende mulighed for at udnytte dem til at skyde den nuværende løsning helt ned, så vi kan få noget ordentligt i stedet.
I mellemtiden vil jeg overveje hvordan den teoretiske mulighed for afvikling af vilkårlig kode kan omsættes til praksis.
For en uges tid siden fik jeg svar fra en af de IT ordfører jeg har skrevet til. Jeg havde bare ikke tid til at opdatere tråden her med det samme, og efterfølgende glemte jeg det igen.
Det jeg fik at vide er at det var en overdrivelse da Version2 sagde at sikkerheden skulle kulegraves. Og blev i stedet henvist til Digitaliseringsstyrelsen, som åbenbart er de eneste som ser på sikkerheden af nemid.
Jeg burde nok prøve at finde en anden måde at komme i kontakt med Digitaliseringsstyrelsen, da de stadig ikke har svaret på den email jeg sendte til den adresse, som Datatilsynet nævnte.
Det jeg fik at vide er at det var en overdrivelse da Version2 sagde at sikkerheden skulle kulegraves. Og blev i stedet henvist til Digitaliseringsstyrelsen, som åbenbart er de eneste som ser på sikkerheden af nemid.
Jeg burde nok prøve at finde en anden måde at komme i kontakt med Digitaliseringsstyrelsen, da de stadig ikke har svaret på den email jeg sendte til den adresse, som Datatilsynet nævnte.
Jeg har via en Google søgning fundet en anden email adresse på Digitaliseringsstyrelsen end den som Datatilsynet oplyste.
Jeg har kontaktet den email adresse og fået et svar hvoraf det fremgår at min mail aldrig er nået frem til Digitaliseringsstyrelsen.
Jeg har netop sendt dem en email mere hvor jeg har vedhæftet en kopi af min kommunikation med Datatilsynet, så de nu skulle have alle relevante oplysninger.
Jeg ser frem til et mere uddybende svar fra Digitaliseringsstyrelsen.
Jeg har ved samme lejlighed spurgt til om andre henvendelser fra Datatilsynet til Digitaliseringsstyrelsen kan være berørt.
Jeg har kontaktet den email adresse og fået et svar hvoraf det fremgår at min mail aldrig er nået frem til Digitaliseringsstyrelsen.
Jeg har netop sendt dem en email mere hvor jeg har vedhæftet en kopi af min kommunikation med Datatilsynet, så de nu skulle have alle relevante oplysninger.
Jeg ser frem til et mere uddybende svar fra Digitaliseringsstyrelsen.
Jeg har ved samme lejlighed spurgt til om andre henvendelser fra Datatilsynet til Digitaliseringsstyrelsen kan være berørt.
Det her virke relevant for tråden: http://www.computerworld.dk/art/212960/nemid-derfo...
Ja, det er i nogen udstrækning relevant. Lad mig hive et enkelt citat frem fra artiklen.Alrekr (112) skrev:Det her virke relevant for tråden
Men vi har - sammen med myndigheder og banker - en uddannelsesfunktion i forhold til brugerne for at få dem til at opdatere softwarenDertil har jeg to kommentarer. For det første gælder det jo ikke kun om at holde sin JVM opdateret, man skal også sørge for, at appletten er opdateret.
Når man på den ene side siger at man skal sørge for at uddanne brugerne til hvordan de holder softwaren opdateret, og man på den anden side nægter at besvare spørgsmål om det, når brugerne spørger, så er der noget galt.
Hvordan kan uddanne brugerne til at holde softwaren opdateret, hvis man samtidig synes det er en trussel imod sikkerheden, hvis brugerne ved præcist hvordan appletten holdes opdateret?
Min anden kommentar er omkring valget af kanal for opdateringerne. Software opdateringer bør komme gennem en officiel kanal. Tag nu f.eks. Ubuntu, der findes en JVM i standard repository, hvis man installerer den derfra, så får man automatisk opdateringer på samme måde som resten af operativsystemet bliver opdateret. Når den mulighed er til stede er det nu engang den bedste måde at holde JVM opdateret på.
Men de personer der skal supportere nemid foreslår en helt anden fremgangsmåde til at installere en JVM, som gør at den ikke vil komme ind under opdateringssystemet, og samtidigt øger risikoen for at man i første omgang kommer til at installere en JVM fra en utroværdig kilde, som potentielt kunne være en trojan.
Så jeg mener at første skridt er at få uddannet deres egne supportere til at kunne instruere i hvordan man korrekt installerer den officielle JVM til det operativsystem, man anvender.
Endeligt vil jeg sige, at selv hvis man holder sin JVM opdateret er det stadig en angrebsflade mere end man ville have uden den JVM.
26. januar fik jeg et kort svar fra Digitaliseringsstyrelsen, der blot bekræftede at min email var modtaget. Jeg ser stadig frem til et mere uddybende svar.kasperd (111) skrev:Jeg ser frem til et mere uddybende svar fra Digitaliseringsstyrelsen.
Nu spekulerer jeg så på om jeg i næste uge skal skrive igen for at finde ud af om vedkommende stadigvæk arbejder ved Digitaliseringsstyrelsen?
Jeg går ud fra du mente #114.Chewy (118) skrev:I forlængelse af #115
Spørgsmålet stammer fra Version2s debatforum. I denne tråd bliver det diskuteret hvilken formulering der skal anvendes i §20 spørgsmålet.
At nemid smugler programfiler ind på computere kamufleret som billedfiler er et faktum, der har været kendt et stykke tid. Og jeg har selv verificeret at det er korrekt at dette foregår. I mange år der personer som har foreslået at Linux bør sættes op således at den slags ikke kan lade sig gøre. Det er forholdsvist nemt at beskytte sig imod, man skal blot sikre sig at alle filsystemer der tillader afvikling af kode er read-only. Et Linux system hvor man har gjort dette for at forbedre sikkerheden kan ikke køre nemid.
At PET bruger en trojan til at overvåge borgerne har også været diskuteret et stykke tid. Det tog fart da det kom frem at der åbenbart er flere tilfælde end de er i stand til at tælle.
Hvem der først foreslog at der kunne være en forbindelse mellem de to historier ved jeg ikke. Det ældste debatindlæg jeg har kunnet finde frem til, som har foreslået en sammenhæng er fra 20. januar.
Jeg har i dag fået et svar fra Digitaliseringsstyrelsen (som åbenbart stadigvæk bruger itst.dk til email adresser). Svaret nævner https://www.nemid.nu/support/tekniske_krav/brug_af... og giver også lidt flere detaljer end der kan læses på den webside.
Det er det bedste svar indtil nu, dog har jeg alligevel følt det nødvendigt at sende et opfølgende spørgsmål. Jeg spurgte desuden om lov til at offentliggøre svaret.
Det er det bedste svar indtil nu, dog har jeg alligevel følt det nødvendigt at sende et opfølgende spørgsmål. Jeg spurgte desuden om lov til at offentliggøre svaret.
Denne her er lige kommet som Ritzau breaking:
http://www.dr.dk/Nyheder/Penge/2012/02/10/123040.h...
edit: pressemeddelse fra NETS: http://www.nets.eu/dk-da/Om/nyheder-og-presse/Page...
Hackere har i otte tilfælde fået adgang til netbankkonti i Danske Bank og brudt NemID-sikkerheden undervejs, fremgår det af oplysninger fra selskabet Nets.
http://www.dr.dk/Nyheder/Penge/2012/02/10/123040.h...
edit: pressemeddelse fra NETS: http://www.nets.eu/dk-da/Om/nyheder-og-presse/Page...
Min vurdering af hvilke tiltag der kan iværksættes er: ikke ret mange. Der er tale om at klient maskinerne har været kompromitteret. Jeg har adskillige gange i tidens løb sagt, at ingen netbank løsning kan være sikker hvis klient maskinen er kompromitteret. Denne historie viser blot at jeg havde ret i det.http://epn.dk/teknologi2/computer/sikkerhed/article2691527.ece skrev:Nets DanID vil sammen med bankerne nøje analysere de pågældende hændelser og vurdere, hvilke yderligere tiltag der kan iværksættes for at forebygge denne form for svindel.
Brugen af nøgletokens og nøglekort betyder at der skal et mere målrettet angreb til. Simpel phishing og keylogger er ikke nok til at man efterfølgende kan bryde ind. Men jeg har altid været af den holdning at med netbankerne er der penge nok på spil til at give kriminelle incitament til at foretage målrettede angreb.
I den konkrete sag er der intet forlydende om hvordan denne malware er kommet ind på brugernes computere. Hvis det er sket gennem en svaghed i Java eller Nemid mener jeg at Danid kan betragtes som ansvarlig for sikkerhedsbrudet.
Men hvis malwaren er kommet ind ad anden vej er Danid kun skyldige i en urealistisk holdning til hvad de kan beskytte imod med deres software.
Muligheden for at beskytte imod denne type angreb er blevet præsenteret som en undskyldning for at Nemid kører spyware på brugernes computere. At det ikke er lykkedes for Danid at forhindre disse angreb mener jeg må være nok til at den undskyldning er endnu mindre acceptabel end den var før.
At deres spyware ikke har været i stand til at opdage denne malware og da spywaren er en teoretisk vektor til at få malware ind på computerne er to grunde til at et af de få tiltag jeg mener de kan træffe er at stoppe deres brug af spyware.
Det eneste de derudover kan gøre er at se på hvordan software på brugernes computere kan holdes opdateret. Min holdning til det punkt har jeg allerede skrevet om i #113.
Et tiltag de kan træffe er så vidt muligt at undersøge versionsnumre på den software der kører på brugernes computere. En del af disse oplysninger ligger allerede i den user-agent streng der sendes af browseren. Hvis brugeren kører med en forældet version bør der vises en advarsel samt et link til oplysninger om hvordan denne software opdateres gennem officielle kanaler. Jeg synes ikke det er for meget at forlange at de skriver vejledninger rettet mod de operativsystemer, browsere og jvmer, der bruges af mere end 5% af brugerne.
kasperd (122) skrev:Min vurdering af hvilke tiltag der kan iværksættes er: ikke ret mange. Der er tale om at klient maskinerne har været kompromitteret. Jeg har adskillige gange i tidens løb sagt, at ingen netbank løsning kan være sikker hvis klient maskinen er kompromitteret. Denne historie viser blot at jeg havde ret i det.
Din og mange andres vurdering viste sig at være korrekt. Men det er vel næppe overraskende. Det mest skræmmende er dog at et af 'argumenterne' for nemid var at det her ikke skulle kunne ske, hvis jeg da ikke husker helt forkert.
kasperd (122) skrev:Hvis brugeren kører med en forældet version bør der vises en advarsel samt et link til oplysninger om hvordan denne software opdateres gennem officielle kanaler.
Det skal ihvertfald være tvungen. Ellers sige folk bare "jaja" også logger på. Standard bruger stil :-D
Jeg antager at du her hentyder til deres "gif" filer med os-specifik kode.kasperd (122) skrev:Muligheden for at beskytte imod denne type angreb er blevet præsenteret som en undskyldning for at Nemid kører spyware på brugernes computere.
Kan du fortælle mig hvordan nemId kan stoppe et sådan angreb ud fra at de har serienummer på min CPU samt mit firma/private windows-login?
kasperd (122) skrev:Et tiltag de kan træffe er så vidt muligt at undersøge versionsnumre på den software der kører på brugernes computere. En del af disse oplysninger ligger allerede i den user-agent streng der sendes af browseren. Hvis brugeren kører med en forældet version bør der vises en advarsel samt et link til oplysninger om hvordan denne software opdateres gennem officielle kanaler. Jeg synes ikke det er for meget at forlange at de skriver vejledninger rettet mod de operativsystemer, browsere og jvmer, der bruges af mere end 5% af brugerne.
Dette vil så udelukke Mac/linux brugere for at bruge NemID, da NemID fx siger du må ikke bruge thunderbird 9 eller lign, du skal bruge version 5. Thunderbird er den eneste officielt understøttet mail client til disse to OS'er
Dertil kræver den under Linux at du erstatter QT med en outdated udgave. Læs evt mere her om hvorfor NemID ikke kræver et opdateret OS.
http://www.version2.dk/artikel/nemid-mac-os-x-linu...
Det er da noget vrøvl. Om Danid har skrevet dokumentation om hvordan man holder et specifikt OS opdateret har overhovedet ingen indflydelse på hvorvidt det OS kan bruges eller ej.Saxov (126) skrev:Dette vil så udelukke Mac/linux brugere for at bruge NemID
Jeg gætter på at de personer som vælger et OS som bruges af mindre end 5% af befolkningen er personer som selv kan finde ud af hvordan det OS holdes opdateret.
Og hvis du prøver at bruge tvang, så finder folk en måde at omgå det på. Hvis det skal have en effekt skal det holdes på et niveau hvor der ikke er nogen som gider prøve at omgå det.apkat (124) skrev:Det skal ihvertfald være tvungen. Ellers sige folk bare "jaja" også logger på.
Hubert (123) skrev:Det mest skræmmende er dog at et af 'argumenterne' for nemid var at det her ikke skulle kunne ske, hvis jeg da ikke husker helt forkert.
Var argumentet ikke blot at det med indførelse af to-faktor verifikation ville blive meget sværere at kunne gennemføre phishing angreb?
To-faktor autentifikation var der ikke noget nyt i. Det har man haft til netbank systemer i årevis.Cloud02 (129) skrev:Var argumentet ikke blot at det med indførelse af to-faktor verifikation ville blive meget sværere at kunne gennemføre phishing angreb?
Det forhindrer alligevel ikke phishing. Det kræver blot at phishing angrebene skal være mere målrettede og interagerer med banken i realtime.
At den nye løsning involverer to forskellige SSL sites og en signeret applet betyder at man nu er nødt til at verificere tre certifikater i stedet for blot et enkelt, hvis man vil være sikker på at der ikke er blevet udført angreb imod certificeringsinfrastrukturen. I praksis er det umuligt at være lige så opmærksom på certifikaterne, som man kunne før i tiden.
Samtidigt bruges den nye løsning på ikke blot et men mange sites. Og systemet er designet således at man blot skal udføre et phishing angreb imod et enkelt af disse sites for at få adgang til credentials der kan bruges til dem alle.
Vil man lave phishing skal det altså ikke nødvendigvis være imod banken. Hvis blot man kan efterligne et site og overbevise brugeren om at det er ganske naturligt at de skal bruge nemid til dette site, så kan brugerens netbank misbruges.
Og hvor går grænsen for hvilke sites man kan overbevises om at man skal bruge nemid til? Jeg mener da at have hørt om at man snart skal til at bruge nemid til udenlandske poker sites, fordi det åbenbart kræves af dansk lovgivning, hvis sitet vil have danske brugere.
En bannerreklame om at man kan få 100kr gratis ved oprettelse på et pokersite, og så et krav om at man skal identificere sig med nemid plus at man samtidigt skal oplyse en bankkonto som gevinsterne kan udbetales til kunne meget hurtigt komme til at lyde legitimt.
Da nemid er designet så det er umuligt for den gennemsnitlige bruger at se hvor det indtastede password sendes til er det nemt for sådan et pokersite at lave et phishingangreb. De skal jo blot erstatte appletten med en lookalike. Denne lookalike kan enten laves som en java applet, der ikke kræver specielle rettigheder (og dermed ikke kræver godkendelse af certifikat), eller i et helt andet sprog.
Manglen på krav om at login stilles via et domæne der er kendt af brugeren kombineret med de meget vide rammer for hvilke sites det bruges på gør systemet til et let mål for phishing.
Jeg håber jeg har misforstået hvad det er for en plan der er med nemid og poker sites. Men hvis det er sandt er der i hvert fald ingen personer, som er bevidste omkring sikkerheden, som længere vil bruge de poker sites. Det er selvfølgelig også en måde at forsøge at angribe de sites indtægtskilde på uden at man juridisk set har forbudt dem at rette sig imod danske kunder.
Men der er nok poker spillere nok i Danmark, som ikke kan gennemskue risikoen for phishing og stadigvæk vil bruge udenlandske pokersites, selvom de måtte kræve autentifikation.
Nu kommer det store spørgsmål, hvilket beløb vil være størst? De ekstra skatter man kan indkræve fra brugen af disse poker sites eller den mængde penge der forsvinder ud af landet pga. en øget mængde phishing?
kasperd (130) skrev:
Nu kommer det store spørgsmål, hvilket beløb vil være størst? De ekstra skatter man kan indkræve fra brugen af disse poker sites eller den mængde penge der forsvinder ud af landet pga. en øget mængde phishing?
Vi skal også huske de 250 milliarder det offentlige har smidt i nemid løsningen som kunne gå hen og være spildt når og hvis man finder ud af at løsningen bare ikke er go' nok.
Det er jo sørgeligt at man skal være med til at betale for den løsning. Personligt ville jeg hellere betale for at kunne bruge det gamle system, der virkede fejlfrit.Hubert (131) skrev:Vi skal også huske de 250 milliarder det offentlige har smidt i nemid løsningen som kunne gå hen og være spildt når og hvis man finder ud af at løsningen bare ikke er go' nok.
Hvis du havde læst artikelen jeg linkede til vil du se at det er ca 10% mac brugere og ½ procent linux brugere.kasperd (127) skrev:Det er da noget vrøvl. Om Danid har skrevet dokumentation om hvordan man holder et specifikt OS opdateret har overhovedet ingen indflydelse på hvorvidt det OS kan bruges eller ej.
Jeg gætter på at de personer som vælger et OS som bruges af mindre end 5% af befolkningen er personer som selv kan finde ud af hvordan det OS holdes opdateret.
NemID KRÆVER at du downgrader QT til 4.5.3 for linux, og at du for Mac/Windows/Linux downgrader Thunderbird til version 5, hvis du vil bruge "sikker email".
dvs. hvis du kombinere kravet om "skal være opdateret" med kravet om "skal bruge en version der er ½-1 år gammel, så kan du vel nok se det giver issues :)
Jeg har nu læst svaret fra itst lidt nærmere igennem. Det meget korte resume af svaret er at såfremt der bliver fundet en svaghed i appletten annulleres certifikatet, og en opdateret udgave af appletten vil være signeret med et nyt certifikat.
Der anvendes CRL eller OCSP til at checke om certifikatet er annulleret. Det fremgår ikke af svaret på hvilket tidspunkt det besluttes, hvilken af de to metoder der skal anvendes.
Svaret fra itst tager ikke stilling til kendte svagheder i ovenstående metoder til at checke certifikater. Jeg tror ikke personen der skrev svaret helt har forstået problemet omkring at godkendelse af appletten rækker længere end den enkelte session.
Jeg vil skrive en email mere til itst, hvor jeg uddyber hvor jeg mener problemet ligger. Men før jeg kan sende den email er jeg nødt til selv at gennemføre mine tests igen, så jeg kan være sikker på at jeg husker forløbet korrekt.
De tests tror jeg at jeg får brug for en frisk installation til, for jeg vil helst ikke eksperimentere for meget med at installere og afinstallere forskellige JVMs på den computer, jeg bruger til min daglige brug.
Der anvendes CRL eller OCSP til at checke om certifikatet er annulleret. Det fremgår ikke af svaret på hvilket tidspunkt det besluttes, hvilken af de to metoder der skal anvendes.
Svaret fra itst tager ikke stilling til kendte svagheder i ovenstående metoder til at checke certifikater. Jeg tror ikke personen der skrev svaret helt har forstået problemet omkring at godkendelse af appletten rækker længere end den enkelte session.
Jeg vil skrive en email mere til itst, hvor jeg uddyber hvor jeg mener problemet ligger. Men før jeg kan sende den email er jeg nødt til selv at gennemføre mine tests igen, så jeg kan være sikker på at jeg husker forløbet korrekt.
De tests tror jeg at jeg får brug for en frisk installation til, for jeg vil helst ikke eksperimentere for meget med at installere og afinstallere forskellige JVMs på den computer, jeg bruger til min daglige brug.
Så er der nyt fra DanID: http://www.computerworld.dk/art/215142/natlig-opda...
Publisher UNKNOWN, men i From står der stadig deres URL. Hmm.
Hvor ligetil er det at fake From, eller andet info?
Tænker bare... Hvis der står den rigtige adresse i From feltet, er det så stadig noget man bør overveje at stole på?
Bare i tilfælde af at det ikke er sidste gang der kommer hickups fra DanID. ;)
Hvor ligetil er det at fake From, eller andet info?
Tænker bare... Hvis der står den rigtige adresse i From feltet, er det så stadig noget man bør overveje at stole på?
Bare i tilfælde af at det ikke er sidste gang der kommer hickups fra DanID. ;)
#140:
Du klikker bare på "Run" og husker at krydse "Always trust content from this publisher" af, så er den i vinkel: http://www.version2.dk/artikel/danids-support-se-b...
Du klikker bare på "Run" og husker at krydse "Always trust content from this publisher" af, så er den i vinkel: http://www.version2.dk/artikel/danids-support-se-b...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Software
Gå til bund