mboost-dp1
PBS A/S
syska (49) skrev:Som jeg læser det, så er der ingen der har prøvet og alt handler om mulige forhindringer mere end det handler om det ikke kan lade sig gøre.
Der er jo mindst ligeså mange forhindringer ved Java. Virker ikke, uninstall, install, for gammel version, you name it ...
Nu kan løsningen jo gøres nemmere, som jeg ser det. Opdater din browser, så virker det ... så det med IE6,7,8 synes jeg er et ligeså ringe argument som at man skal opdatere Java for at nem-id virker ...
Eller er det noget jeg har misforstået her?
Der er ikke alle mulige forhindringer. Det er muligt, og der er allerede libraries man kan bruge. http://stackoverflow.com/questions/5976539/looking...
Der er en demo her af rsa-2048. Fungerer fint på min iphone.
mfriis (50) skrev:IE kan ikke opgraderes fra eksempelvis IE6 til 9. Jeg tror endda heller ikke det kan lade sig gøre fra IE7 til 9.
Hvis du hænger på IE6-8 burde du også ******. Hænger du stadig i XP bruger du forhåbeligt Chrome eller anden bedre browser end hvad der findes til XP.
mfriis (50) skrev:Jeg mener IE7 var standard browser i den første version af Vista. IE9 kræver Windows 7.
Jeg tror nu det var IE8, men lad os bare komme videre. Folk hænger kun ufrivilligt fast i Vista.
mfriis (50) skrev:Så hvis du anvender XP eller Vista så kan du i realiteten ikke opgradere din browser.
Og ... ? Der er gratis alternativer ... hvis staten kan gennemtrumfe at alle skal have en nem-konto, så kan vel også tvinge dig til at bruge software der kan køre ordenligt.
mfriis (50) skrev:At gennemtvinge en browser opgradering væk fra IE6-8 har været teoretiseret og forsøgt af mange. Oracle kan nagge dig til at opdatere Java, og lade dig gennemføre det på ganske kort tid.
Woot? Vil du have adgnag til penge og andre sociale ting, må du også gørne en indstats ... Fatter simpelthen ikke man ikke har valgt den nemmeste og bedste løsning. Selvom dette skulle beskytte folk, findes der jo stadig fjolser som formår at give adgang væk ... HOLY CHRIST.
mfriis (50) skrev:Jeg siger ikke Java er et fantastisk valg til NemID men valget er næppe truffet uden at undersøge alternativer som fx Javascript.
Jeg tror kun de har haft kig på sikkerhed og at det er nemmere, NÅR det virker. Men fakta er jo bare at mange har problemer med Java. Hvis det var JS ville det jo være utrolig nemt at sende en opdatering ud hvis der var et hul. Nu skal man jo faktisk udelukke folk med en gammel version af Java indtil Java har udsendt en opdatering. Derefter skal brugeren opdatere og først få adgang.
Der er ingen tvivl om hvad jeg ville vælge.
jonashn (51) skrev:
Der er ikke alle mulige forhindringer. Det er muligt, og der er allerede libraries man kan bruge. http://stackoverflow.com/questions/5976539/looking...
Der er en demo her af rsa-2048. Fungerer fint på min iphone.
Jamen, så forstår jeg endnu mindre.
Suk ... slemme nemid :-)
Certificerede java applets udgør faktisk en forringelse af sikkerheden, ikke en forbedring.jonashn (12) skrev:Jeg ved at det primære argument er er de her certifikater, men helt ærligt..
Certificeringen er kun krævet fordi appletten tildeles rettigheder som en applet ikke burde have. Det er nok de færreste brugere som er klar over hvad de giver tilladelse til. De giver faktisk tilladelse til at danid kan køre vilkårlig kode på brugernes computere.
Alle de phishing og mitm angreb man kunne have lyst til at udføre kunne sagtens udføres uden de ekstra rettigheder. Så en forfalsket applet ville bare droppe certifikatet og få lov til at køre alligevel.
Fra brugerens synspunkt ser det ud nøjagtigt på samme måde uanset om der køres en autentisk applet med et certifikat, som allerede er godkendt eller om det er en uautentisk applet som ikke behøver et certifikat fordi den ikke roder med brugerens computer, men kun udfører et mitm angreb på kommunikationen.
Certifikaterne på disse applets bliver ofte nævnt som løsningen på et problem, de slet ikke er designet til at løse. Certifikaterne på disse applets er et lille plaster på et problem, som slet ikke ville være der, hvis man undlod at bruge java applets.
Jeg synes også det er mere relevant at fokusere på hvilke data på PCen som applet har mulighed for at ændre eller slette.BurningShadow (21) skrev:Hvorfor denne overdrevne fokus, på hvilke informationer de kan (eller ikke kan) få om PC'en, når de informationer alligevel ikke bliver brugt til noget fornuftigt?
Brug af Zero Knowledge til password autentifikation er uden tvivl fremtiden, hvis vi vil have bedre sikkerhed. Men måden det er gjort på i nemid hjælper bare ikke. Realiteten er at det introducere nye trusler uden at lukke for den trussel, det i første omgang skulle lukke for.mfriis (25) skrev:jeg mener NemID anvender SRP som til 0-Knowledge kryptering af dit password.
Koden skal være indbygget i browseren. Og hvis man mente seriøst at man ville have en sikker Zero Knowledge baseret autentifikation, så gik man i gang med at få etableret en standard protokol til det.
Flere af de største browsere på markedet er open source, man kunne sagtens implementere forbedringerne deri og pulicere dem. Og man kunne indgå et samarbejde med andre parter, som er interesseret i forbedringer af password autentifikation.
I stedet har man valgt den fuldstændigt useriøse fremgangsmåde med at køre sit helt eget løb og lave en løsning som er mindre sikker end det man kom fra.
Og det samme gælder nemid. HTTPS er den eneste sikkerhed man har for integriteten af java appletten. Alle der kunne angribe SSL forbindelsen kunne også udskifte java appletten. Derudover introduceres en ny trussel, hvis man samtidigt kunne få fat i den hemmelige nøgle som er brugt til at certificere appletten, eller hvis man kan finde et sikkerhedshul i en allerede signet applet.mfriis (35) skrev:HTTPS er mig bekendt kun sikkert frem til webserveren i den anden ende.
jonashn (1) skrev:Jeg ved slet ikke hvad jeg skal sige til den udtalelse. Jeg må dog indrømme, at den ikke får mig til at føle at det er verdens mest kompetente personer der administrerer nem-id.
BurningShadow (2) skrev:Det var også det jeg lagde mest mærke til, ved nyheden. Hun siger jo lige ud, at de vil skide på over 4 millioner danskeres IT sikkerhed. Det burde være strafbart!
Er det JS, Flash eller SL som I mener der ikke findes huller i?
syska (47) skrev:Men er der nogen der kan svare på om det bliver brugt ved andet end Auth af sin nem-id, for så synes jeg at snakker om performance problemer er lige til at lukke op og skide i.
Hvis du læser linket i #41 vil du se at der også er understøttet signering af filer.
Jeg ved dog ikke om den funktionalitet bruges, men der kunne sagtens være firmaer som brugte den.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund