mboost-dp1
NemID
Lad os lige få dette på det rene: er der overhovedet andre end DanID selv der kan få øje på sikkerheden i den besynderlige 'centrale' NemID løsning, som i hvert fald en overgang vil erstatte den digitale signatur?
Som en anden bruger påpeger lader der til at være en gabende man-in-the-middle sårbarhed i løsningen, i og med at jeg tilsyneladende kan sætte en side op, der agerer man-in-the-middle til f.eks. SKAT's side. SKAT's side spørger om en kode fra dit papkort, som kun kan bruges en gang - men hvad gør det når en gang er alt der skal til for at kompromittere dine oplysninger hos SKAT?
Kan det virkelig passe at løsningen er så let at knække? Eller har jeg misforstået hvordan den fungerer?
Det er meget muligt at det været oppe at vende før, men det bliver det da ikke mindre kritisk af? Vi kan som nørder forsøge at undgå systemet, men det gør almindelige borgere jo ikke da de ikke kender risikoen. Det vil jeg da vove at påstå er temmelig skandaløst, og jeg forstår ikke helt hvorfor der ikke råbes mere op om det?
Som en anden bruger påpeger lader der til at være en gabende man-in-the-middle sårbarhed i løsningen, i og med at jeg tilsyneladende kan sætte en side op, der agerer man-in-the-middle til f.eks. SKAT's side. SKAT's side spørger om en kode fra dit papkort, som kun kan bruges en gang - men hvad gør det når en gang er alt der skal til for at kompromittere dine oplysninger hos SKAT?
Kan det virkelig passe at løsningen er så let at knække? Eller har jeg misforstået hvordan den fungerer?
Det er meget muligt at det været oppe at vende før, men det bliver det da ikke mindre kritisk af? Vi kan som nørder forsøge at undgå systemet, men det gør almindelige borgere jo ikke da de ikke kender risikoen. Det vil jeg da vove at påstå er temmelig skandaløst, og jeg forstår ikke helt hvorfor der ikke råbes mere op om det?
Sørme betryggende at ingen modsiger det opstillede man-in-the-middle scenarie. Det er da en ny offentlig IT-skandale waiting-to-happen.
Anders Feder (3) skrev:Sørme betryggende at ingen modsiger det opstillede man-in-the-middle scenarie.
Enten er problemet som du opstiller det, og så har vi en skandale.
Eller også har de løst det, formentlig i en tilstrækkelig grad.
Det passer mig fint at ingen skriver side op og side ned med gætterier, men venter og ser.
myplacedk (6) skrev:Det passer mig fint at ingen skriver side op og side ned med gætterier, men venter og ser.
Det burde det ikke. Du betaler for det, og din identitet overfor det offentlige kommer til at afhænge af det. Derfor burde du også forvente at få tilstrækkelig information til at vurdere sikkerheden før det går i luften.
Næh.
Jeg forventer heller ikke at høre om materialevalg, diameter osv. før de lægger vandrør.
Jeg forventer at de hyrer kompetenter mennesker til at løse de opgaver der er. VVS-folk forventer ikke at reviewe kommunens vandrørsplaner, IT-folk forventer ikke at review statens IT-systemer.
Tanken er sød nok, og jeg er da også selv nysgerrig. Men jeg kan ikke lige se noget problem blive løst af at enhver nørd (og wannabe nørd) får et indblik. Folkets feedback er alligevel ikke værd at lytte til.
Jeg forventer heller ikke at høre om materialevalg, diameter osv. før de lægger vandrør.
Jeg forventer at de hyrer kompetenter mennesker til at løse de opgaver der er. VVS-folk forventer ikke at reviewe kommunens vandrørsplaner, IT-folk forventer ikke at review statens IT-systemer.
Tanken er sød nok, og jeg er da også selv nysgerrig. Men jeg kan ikke lige se noget problem blive løst af at enhver nørd (og wannabe nørd) får et indblik. Folkets feedback er alligevel ikke værd at lytte til.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund