mboost-dp1
Flickr - bongo vongo
Mage til *indsæt en masse negative ord omkring ikke IT-kyndige mennesker her* skal man da også lede længe efter. Det er jo fornuft at banken holdes i live hvis man ikke logger af netbanken efter man er færdig. Er ofte tilmed ligemeget om man lukker hele browseren, der skal logges helt ud.
#3 men hvis man lukker browseren mister man nok sin session-cookie (som sikkert er sat til instant timeout ved browserluk), så det er nok godt nok i mange tilfælde. De bør nok sætte en stump JavaScript på som lige gør det samme når fanebladet lukkes. Det er nok også det de andre gør.
Husk også at hvad der er fornuft for dig og mig, ikke nødvendigvis er det for hele befolkningen, og dem vil man jo også gerne have til at kunne bruge netbank ;-)
Husk også at hvad der er fornuft for dig og mig, ikke nødvendigvis er det for hele befolkningen, og dem vil man jo også gerne have til at kunne bruge netbank ;-)
Daniel-Dane (1) skrev:Eller lade være med at gå på netbank fra en offentlig computer.
Idéen med at kræve besidelse af et bestemt kort eller en enhed i stand til at behandle en bekræftelseskode er vel netop, at det ikke er nok at opsnappe folks credentials for at få adgang til deres konti, og som sådan burde det ikke være et problem at logge på fra offentlige maskiner. Problemet burde da kun opstå, hvis ejeren ikke har styr på sit software og tillader brugere f.eks. at installere programmer, der sender requests gennem browseren eller lagrer data om kontienes tilstande, men hvis systemet kræver bekræftelse før hver transaktion eller gruppe af samme, burde sikkerhedsproblemet ved at anvende offentlige maskiner vel være begrænset til denne form for "spionage" og altså ikke tillade nogen form for reelle indgreb...?
Det er meget smart med det nye NemID (Har heldigvis ikke modtaget min endnu) men i min opfattelse skal man aldrig bruge sin netbank fra en offentlig computer, PUNKTUM. Risikoen er for høj.
Men det er nok bare mit System Administrator gen der kommer til udfoldelse :)
Forhåbentlig kommer der vel snart en løsning hvor man kan få koden via SMS så vi kan smide det latterlige papkort væk. Forhåbentlig inden jeg bliver koblet på :)
Men det er nok bare mit System Administrator gen der kommer til udfoldelse :)
Forhåbentlig kommer der vel snart en løsning hvor man kan få koden via SMS så vi kan smide det latterlige papkort væk. Forhåbentlig inden jeg bliver koblet på :)
Som andre allerede har sagt, synes jeg også det er en dårlig ide at gå på sin netbank fra offentlig computere.
Og samtidig burde man altså vide at man skulle lukke browseren helt bagefter.
Fortæller bankerne ikke det til deres kunder ved oprettelse af netbank? Gjorde min bankrådgiver da i tidernes morgen.
Og samtidig burde man altså vide at man skulle lukke browseren helt bagefter.
Fortæller bankerne ikke det til deres kunder ved oprettelse af netbank? Gjorde min bankrådgiver da i tidernes morgen.
Held og lykke med at løse det "problem" som de siger i artiklen - det er en browsers måde at fungere på, da det ellers ville være maks træls hvis man nu brugte facebook og skulle logge ind hver gang man lige ville have en fane ekstra.
Og buhuu, så kan folk se mine saldo på mine konti - de skal alligevel bruge min kode for at overføre penge, eller lave noget.
Og buhuu, så kan folk se mine saldo på mine konti - de skal alligevel bruge min kode for at overføre penge, eller lave noget.
Samme situation var gældende for Handelsbankens Webbank, før NemID. Har ikke testet om det stadig er gældende efter skift til NemID.
Imo vil det være smartere at logge sig af når man er færdig fremfor at sætte sin lid til den pågældende browsers håndtering af sessions.
Imo vil det være smartere at logge sig af når man er færdig fremfor at sætte sin lid til den pågældende browsers håndtering af sessions.
Nu skal det nok lige nævnes, at dette sker, når folk bare lukker fanebladet.
Hvis man rent faktisk trykker på den der knap med ordene "Log ud", så behøver man hverken lukke faneblad, eller noget andet.
Så kan man så diskuttere om det er en sikkerhedsbrist, at man ikke bliver logget ud, når man ikke logger ud >_<
P.S.: Politiken har en lille liste med 50+ banker der er påvirket ;-)
Hvis man rent faktisk trykker på den der knap med ordene "Log ud", så behøver man hverken lukke faneblad, eller noget andet.
Så kan man så diskuttere om det er en sikkerhedsbrist, at man ikke bliver logget ud, når man ikke logger ud >_<
P.S.: Politiken har en lille liste med 50+ banker der er påvirket ;-)
Daniel-Dane (1) skrev:Eller lade være med at gå på netbank fra en offentlig computer.
Som så mange andre, så er jeg enig... jeg mener bare at jeg ofte hører at en af argumenterne for brug af nemid er at det vil være meget nemt at komme på netbank uanset hvor man nu er. Om det så er på en offentlig computer eller om det er på en privat computer, skulle være ligemeget. Men eftersom at det er så mange problemer med at logge ud af systemet, så falder det argument jo helt til jorden
dalbjerg (9) skrev:Tro faktisk at alle banker har det problem, alle BEC banker har også problemet.
Ikke Jyske Bank. Bare man bruger tilbage-knappen i browseren, skal man logge på igen, så det vænner man sig hurtigt af med.
Det har intet med offentlige computere at gøre. Hvis du har logget på i din Netbank, så gemmer netbanken formodentlig nogle oplysninger i en session cookie. Det kan på forskellige måder lade sig gøre for en anden side som er åben i et andet vindue/faneblad at udnytte at denne cookie findes til at få fat på nogle af dine oplysninger.Daniel-Dane (1) skrev:Eller lade være med at gå på netbank fra en offentlig computer.
Det er også helt korrekt. Det her problem bliver ikke hverken større eller mindre af at man bruger en offentlig computer.Adagio (16) skrev:Som så mange andre, så er jeg enig... jeg mener bare at jeg ofte hører at en af argumenterne for brug af nemid er at det vil være meget nemt at komme på netbank uanset hvor man nu er
HenrikH (14) skrev:Nu skal det nok lige nævnes, at dette sker, når folk bare lukker fanebladet.
Hvis man rent faktisk trykker på den der knap med ordene "Log ud", så behøver man hverken lukke faneblad, eller noget andet.
Så kan man så diskuttere om det er en sikkerhedsbrist, at man ikke bliver logget ud, når man ikke logger ud >_<
P.S.: Politiken har en lille liste med 50+ banker der er påvirket ;-)
Problemet er vel at hr og fru flæskesteg bare lukker fanen, det kan man vel som du selv siger ikke klandre nogen for, det var måske en ide at diverse instandser reklameret for vigtigheden af at man logger ud istedetfor at bare lukke fanen/browseren.
Her er endnu en lille NemID historie, netop hvor nemt NemID egentlig er.
Kollegaen skulle på sin netbank og anvender IE. Hun indtaster sit brugernavn og den selvvalgte kode.
Nu når hun så til vinduet hvor NemID koden skal anvendes, men uha uha. IE har opdaget en fejl med appleten så den ikke kan køres. Da hun lukker dette bliver hun fluks viderestillet ind til sin netbank, uden overhovedet at have verificeret sig via NemID
Kollegaen skulle på sin netbank og anvender IE. Hun indtaster sit brugernavn og den selvvalgte kode.
Nu når hun så til vinduet hvor NemID koden skal anvendes, men uha uha. IE har opdaget en fejl med appleten så den ikke kan køres. Da hun lukker dette bliver hun fluks viderestillet ind til sin netbank, uden overhovedet at have verificeret sig via NemID
micma18 (11) skrev:Min bank, som benytter portalbank systemet, der åbner den da banken i nyt vindue når man logger på (ikke ny fane!) Og hvis man bare lukker vinduet, uden at logge af, så åbner den kortvarrigt et nyt vindue som sletter session cookies osv.
Sådan er det også på Bankdatas netbank. (Og det virker også hvis man tvinger netbanken til at være i en fane i stedet for en popup.)
Så indtil videre er statistikken:
BEC: Fejl.
SDC (portalbank): OK
Bankdata: OK
Jyske Bank: OK
Danske Bank: ?
Adagio (16) skrev:Som så mange andre, så er jeg enig... jeg mener bare at jeg ofte hører at en af argumenterne for brug af nemid er at det vil være meget nemt at komme på netbank uanset hvor man nu er. Om det så er på en offentlig computer eller om det er på en privat computer, skulle være ligemeget. Men eftersom at det er så mange problemer med at logge ud af systemet, så falder det argument jo helt til jorden
Jeg synes kun min hverdag er blevet mere træls efter NemID, jeg får det indtryk at der bestemt ikke er styr på tingene.
efter snakken med flere forskellige efter jeg havde ventede over 1mdr på at få min pin kode, fandt jeg løsningen med at dukker op hos mit lokale borger service kontor og lade dem give mig et nyt nemID så jeg kunne logge på igen, imellem tiden havde jeg brug for at bruge tinglysningen hvilket ikke kunne bruge nemid, så derfor har jeg nu 2 nemid bruger ID'er og 1 gammel davs digital signatur :),
NB. den første digital signatur var blevet lukket men ingen kunne forklare mig hvorfor den var lukket, jeg har fået genbestilt min pin kode til kontoen 3 gange, jeg har dog forleden fået 4 pin kode brevet i posten på samme dag. så de har kun været undervejs i 1månede og 14 dage :)
mathiass (19) skrev:Det er også helt korrekt. Det her problem bliver ikke hverken større eller mindre af at man bruger en offentlig computer.
Du syntes ikke at den her fejl gør problemet større hvis man er på en offentlig computer:
Fra linket i nyheden skrev:Det vil sige, at hvis du med din NemID logger på din netbank fra en offentlig computer, hvilken den nye NemID netop er designet til, så risikerer du, at den person, der sætter sig til computeren efter dig, kan få adgang til din konto og se alle dine betalinger, dine indeståender og din brevveksling med banken, selv om du har lukket fanebladet med netbanken ned i browseren.
Gør man det hjemme på sin private PC, er chancerne for at ens data bliver misbrugt meget mindre, hvis en af de andre personer i huset kommer ind og ser ens bankoplysninger
rma (24) skrev:Jeg synes kun min hverdag er blevet mere træls efter NemID, jeg får det indtryk at der bestemt ikke er styr på tingene.
Fundstændig enig
mathias skrev:Det har intet med offentlige computere at gøre. Hvis du har logget på i din Netbank, så gemmer netbanken formodentlig nogle oplysninger i en session cookie. Det kan på forskellige måder lade sig gøre for en anden side som er åben i et andet vindue/faneblad at udnytte at denne cookie findes til at få fat på nogle af dine oplysninger.
Du vrøvler, cookies fungerer per domænenavns basis, det her har alt at gøre med at det er fra en offentlig computer
bjorg skrev:Kollegaen skulle på sin netbank og anvender IE. Hun indtaster sit brugernavn og den selvvalgte kode.
Nu når hun så til vinduet hvor NemID koden skal anvendes, men uha uha. IE har opdaget en fejl med appleten så den ikke kan køres. Da hun lukker dette bliver hun fluks viderestillet ind til sin netbank, uden overhovedet at have verificeret sig via NemID
Mon ikke hun bare har genbrugt en session enten på bankens server, eller på nemid IDPEN?
I øvrigt indtastes brugernavn og selvvalgt kode i appletten- jeg tror du har misforstået noget. I øvrigt tror jeg ikke på at der er så stort et sikkerhedshul i nogen netbanker.
sunlock (15) skrev:#14
...men hvor mange klikker egentlig på log ud, når det kommer til stykket? Hr. og Fru Danmark gør ikke eftersom de (for det meste) ikke er it-kyndige.
Jeg er så, en kold, kynisk og ellers ligeglad skidderik generelt.
Hvis folk er så dumme, at de logger ind, og så ellers undlader at logge ud, så ser jeg kun to muligheder:
1. De fratages retten til netbank.
2. De lærer at de skal logge ud, evt. ved en enkelt omgangs misbrug.
#23
Du vil så ikke være den første der flamebaiter.
Jeg ved desværre ikke hvilken bank der er tale om. Kollegaen er ikke lige til stede før mandag, men hvis du gerne vil vide det kan jeg sende en besked der med infoen.
Men i min verden ville jeg tro NemID sendte et forkert retursvar til banken, når NemID verficeringen ikke er lykkedes. Men banken kan vel vælge at tolke de retursvar som de har lyst (access/no access)
Du vil så ikke være den første der flamebaiter.
Jeg ved desværre ikke hvilken bank der er tale om. Kollegaen er ikke lige til stede før mandag, men hvis du gerne vil vide det kan jeg sende en besked der med infoen.
Men i min verden ville jeg tro NemID sendte et forkert retursvar til banken, når NemID verficeringen ikke er lykkedes. Men banken kan vel vælge at tolke de retursvar som de har lyst (access/no access)
Deldy (10) skrev:Held og lykke med at løse det "problem" som de siger i artiklen - det er en browsers måde at fungere på, da det ellers ville være maks træls hvis man nu brugte facebook og skulle logge ind hver gang man lige ville have en fane ekstra.
Man kan nemt lave en stump JavaScript der køres når fanebladet lukkes, hvor man så sletter session-cookien eller lignende, så det skal de nok kunne klare. Modsat FaceBook, tror jeg ikke netbank-systemer lægger op til at man benytter mere end et enkelt faneblad i en session, og det ville bestemt være en rimelig begrænsning.
mathiass (18) skrev:Det kan på forskellige måder lade sig gøre for en anden side som er åben i et andet vindue/faneblad at udnytte at denne cookie findes til at få fat på nogle af dine oplysninger.
Vist kun hvis der er en fejl i browseren. Desuden skal transktioner mindst signes med password, og i nogle netbanker også med en NemID-challenge, så det får man ikke umiddelbart så meget ud af.
Adagio (16) skrev:Men eftersom at det er så mange problemer med at logge ud af systemet, så falder det argument jo helt til jorden
Ehm.. "problemet" i dette tilfælde er hvis folk ikke logger sig ud, champ. Jeg fornemmer at du henviser til problemet på nemid.dk, som altså ikke var en netbank.
cryo (31) skrev:Vist kun hvis der er en fejl i browseren. Desuden skal transktioner mindst signes med password, og i nogle netbanker også med en NemID-challenge, så det får man ikke umiddelbart så meget ud af.
Der behøver ikke være fejl i browseren for at få fat i oplysninger om cookies fra andre sider... http://google-gruyere.appspot.com/part3#3__cross_s...
Faktisk er dette link en sjov måde at lære om sikkerhed da man kan forsøge at cracke systemet selv :)
I øvrigt kan man jo lave sin egen browser som understøtter de nødvendige ting, men "desværre" indeholder den fejl at cookies fra én side kan læses af en anden side så uanset hvad kan netbanker ikke stole på det der bliver sendt fra browseren(eller fra et program for den sags skyld, netbank-serveren kan ikke se om det er en browser eller et program der efterligner en browser ved at angive de rigtige http-headers)
#35 Sikke dog du ævler, hvorfor blander du nu XSS ind i det her? det har intet med sagen at gøre....... og slet intet med tabs.
Og hvad er det for et argument "I øvrigt kan man lave sin egen browser der indeholder en fejl"
Og hvad er det for et argument "I øvrigt kan man lave sin egen browser der indeholder en fejl"
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund