mboost-dp1
PBS A/S
Arh, der er da langt sjovere citater i kildeartiklen :-P
Om end det da ville være rart hvis hun lige fortalte hvilke bestemmelser der var tale om (mener hun mon love?).
Kriminelle er nemlig ikke demokratiske, og bør ingen rettigheder have i samfundet.
Den er bare.... Nej. Lidt som deres megen tid nede, hvor "planlagt" nedetid ikke tæller i statistikken, så tæller "planlagte" sikkerhedshuller åbenbart heller ikke, sejt.
Om end det da ville være rart hvis hun lige fortalte hvilke bestemmelser der var tale om (mener hun mon love?).
Kilden skrev:Når han skal aflevere sine underskrifter hos ministeren vil han jo risikere ikke at blive set på som en demokratisk borger, men som utroværdig og let kriminel
Kriminelle er nemlig ikke demokratiske, og bør ingen rettigheder have i samfundet.
Kilden skrev:Han har ikke peget på et sikkerhedshul, som vi ikke kendte i forvejen
Den er bare.... Nej. Lidt som deres megen tid nede, hvor "planlagt" nedetid ikke tæller i statistikken, så tæller "planlagte" sikkerhedshuller åbenbart heller ikke, sejt.
Når det er hele Danmarks login løsning, vil jeg nok give Porsager ret, så bør man købe alle domæner der bare minder om..
- Da dette er noget alle borgere skal bruge, også dem der lige har lært at tænde en computer..
Men lige på dette område ser jeg ikke reel set et problem. Det er lige nøjagtig derfor der er en tredje sikkerhers funktion, netop det skide irriterende nøglekort (det kunne man have lavet bedre - Men dog vigtigt at der er en tredje sikkerheds mekanisme)
Der er ingen tvivl om at Porsager har overtrådt loven, og jeg håber også han er klar til at tage konsekvensen, hvis der skulle komme sådan en..
- Da dette er noget alle borgere skal bruge, også dem der lige har lært at tænde en computer..
Men lige på dette område ser jeg ikke reel set et problem. Det er lige nøjagtig derfor der er en tredje sikkerhers funktion, netop det skide irriterende nøglekort (det kunne man have lavet bedre - Men dog vigtigt at der er en tredje sikkerheds mekanisme)
Der er ingen tvivl om at Porsager har overtrådt loven, og jeg håber også han er klar til at tage konsekvensen, hvis der skulle komme sådan en..
hans side nejtilnemid.dk er super fed, har selv skrevet under, og er heldigvis bland de få (vil jeg tro) som stadig ikke har været så uheldige at modtage nemid :D
men at han lige frem vælger et lave et phishingsite og franare folk deres koder er ikke særlig smart. hvis han havde lavet siden, og lavet den lukket og vist den til DanID så syntes jeg det er helt i orden. (nu har jeg ikke se de 2 omtalte sider, så ved ikke om de har været lukket)
Men har han med siderne kunne franarre folk deres bruger og kode. så er det ikke i orden, men igen hey en "hacker" skal jo stadig have det her skide papkort.
men at han lige frem vælger et lave et phishingsite og franare folk deres koder er ikke særlig smart. hvis han havde lavet siden, og lavet den lukket og vist den til DanID så syntes jeg det er helt i orden. (nu har jeg ikke se de 2 omtalte sider, så ved ikke om de har været lukket)
Men har han med siderne kunne franarre folk deres bruger og kode. så er det ikke i orden, men igen hey en "hacker" skal jo stadig have det her skide papkort.
HenrikH (1) skrev:Kriminelle er nemlig ikke demokratiske, og bør ingen rettigheder have i samfundet.
Jeg tolker det ikke som enten/eller.
Samme logiske konstruktion:
"Når han deltager i tirsdagskaffe hos jagtklubben vil han jo risikere ikke at blive set på som en jæger, men som en ensom borger der blot vil have selskab."
Jeg synes hun har en pointe. Jeg har sværere og sværere ved at tage Porsager seriøst.
HenrikH (1) skrev:Lidt som deres megen tid nede, hvor "planlagt" nedetid ikke tæller i statistikken, så tæller "planlagte" sikkerhedshuller åbenbart heller ikke, sejt.
Alle systemer har sikkerhedshuller. Det eksperterne gør er at opnå det ønskede sikkerhedsniveau, og kender de sikkerhedshuller der er. At Porsager demonstrerer et af dem på den måde gør ikke én eneste sikkerhedsekspert klogere. Så kan man spekulere over hvad formålet egentlig var.
Marci (3) skrev:Når det er hele Danmarks login løsning, vil jeg nok give Porsager ret, så bør man købe alle domæner der bare minder om..
Hvis de kommer med et godt bud kan de da godt få nemid.myplace.dk.
Hvad med http://nemid.nu:megetlangtekstdeflesteikkekiggerfo... ? Skal de købe hele internettet?
Hvor meget får man ud af at det, hvis man ikke har dem alle? Og alle kan man jo ikke få.
Marci (3) skrev:Men lige på dette område ser jeg ikke reel set et problem. Det er lige nøjagtig derfor der er en tredje sikkerhers funktion, netop det skide irriterende nøglekort
Præcis. Han har kun demonstreret ét led i en lang kæde.
atrox (4) skrev:Det er åbenbart vigtigere at retsforfølge end det er at tage en konstruktiv dialog op med personer som er kompetente på området og som har valide pointer omkring sikkerhed og brugervenlighed.
Tror du helt seriøst at DanID ikke har snakket med en sikkerhedsekspert eller to? Måske ligefrem ansat en, bare på deltid?
Og hvad har Porsager med kompetence at gøre? Jeg har været ved at læse på hans side. Jeg ville have læst det hele, hvis jeg var til tragi-komik.
Ravager (7) skrev:#4:
Men synes du det retfærdiggører et decideret phishing angreb, hvor han logger brugernavne og passwords. Det synes jeg bestemt ikke.
Da jeg kiggede på hans HTML loggede han ikke noget. Nu skal vi ikke gøre det værre end det er. :)
Men jeg kan selvfølgelig ikke garantere at koden ikke har været ændret undervejs.
Planlagt nedetid kan tælle i statistikken, men det kan sgu også sagtens være en del af kontrakten.HenrikH (1) skrev:Den er bare.... Nej. Lidt som deres megen tid nede, hvor "planlagt" nedetid ikke tæller i statistikken, så tæller "planlagte" sikkerhedshuller åbenbart heller ikke, sejt.
Hvis kontrakten siger 98% uptime, så kan de sådan set tillade 2% downtime, eller ca 29 minutter om dagen året rundt.
98% er kun et eksempel i den her situation, jeg vil gå ud fra driften bag NemID har en højere % at leve op til.
Apropos Nem-id, så var jeg idag ude for noget af en sjov hendelse, jeg skulle tilfældigvis bruge mit nem-id på en af kommunens offentlige pcere. Og det kunne jeg ikke, så ringede jeg til nem-id's support, og de kunne fortælle mig at det ikke var muligt at bruge nemid på en pc uden man var logget ind på en bruger med administratoradgang. Synes lidt ideen med nemid forsvinder lidt med den melding. Var hele ideen ikke at man skulle kunne bruge sit nemid alle steder?
#18 ævl og bævl, sæt .html til at live parset som .php og gem lortet...........
Tror du at man kan se "insert into" i et javascript?
Tror du at man kan se "insert into" i et javascript?
men at han lige frem vælger et lave et phishingsite og franare folk deres koder er ikke særlig smart.
Hvilket han jo ikke bare lige gjorde for sjov, - men for at tydeliggøre overfor DanID (og åbentbart ikke en hel masse 'blinde' tilhængere af dette yderst irriterende login system) at deres sikkkerhed er ligeså hullet som en si.
Dette har han gjort opmærksom på fra start af på 'nejtilnemid' web siten. Men som sædvanlig her i Danmark skal der ske ulykker før man bliver taget alvorligt
myplacedk (10) skrev:Hvis de kommer med et godt bud kan de da godt få nemid.myplace.dk.
Hvad med http://nemid.nu:megetlangtekstdeflesteikkekiggerfo... ? Skal de købe hele internettet?
Hvor meget får man ud af at det, hvis man ikke har dem alle? Og alle kan man jo ikke få.
Man skal købe de domæner hvor selve domænet ligner..
Man kan lære folk at kigge på domænet for at se om det er den rigtige side, det bør folk til dels også gøre, men hvis du er inde på nemld.nu vil hovedparten jo antage det som nemid.nu!
Ved at købe de domæner der ligger lige ved siden af, så beskytter man sig bedre mod phishing, punktum.
NacViper (21) skrev:Hvilket han jo ikke bare lige gjorde for sjov, - men for at tydeliggøre overfor DanID (og åbentbart ikke en hel masse 'blinde' tilhængere af dette yderst irriterende login system) at deres sikkkerhed er ligeså hullet som en si.
Må vi så lige få din definition på "hullet som en si"?
- Disse logind oplysninger som vedkommene her ville have skaffet sig er jo værdiløse uden det dertilhørende nøglekort.. !?
- Hvordan i al verden er det et hul!=
Flemhans (23) skrev:Formularen POSTede ingen verdens ting; submit-knappen var blot et link <a href="hejsa går det godt"> fx !
Hov jeg skal lige huske </a>
Det er så i orden, må indrømme jeg ikke selv har set siden, det var kun på belæg af hvad jeg havde fået af vide omkring mig.
Så hvis det var tilfældet, og der slet ikke blev skabt en post request, så overgiver jeg mig :D
NacViper (21) skrev:Hvilket han jo ikke bare lige gjorde for sjov, - men for at tydeliggøre overfor DanID (og åbentbart ikke en hel masse 'blinde' tilhængere af dette yderst irriterende login system) at deres sikkkerhed er ligeså hullet som en si.
Nej han har da ej. Det har vi allerede diskuteret her: http://newz.dk/nemid-ramt-af-phishing-forsoeg
Du kan fx. læse #56 og #58.
NacViper (21) skrev:Hvilket han jo ikke bare lige gjorde for sjov, - men for at tydeliggøre overfor DanID (og åbentbart ikke en hel masse 'blinde' tilhængere af dette yderst irriterende login system) at deres sikkkerhed er ligeså hullet som en si.
Dette har han gjort opmærksom på fra start af på 'nejtilnemid' web siten. Men som sædvanlig her i Danmark skal der ske ulykker før man bliver taget alvorligt
Jeg kunne rigtig godt tænke mig at vide hvordan du mener han har vist et eneste sikkerhedshul i nemid?
Jeg har meget imod nemid, men phishing er ikke en af grundene.
For 6½ år siden skiftede jeg til en anden bank fordi den jeg havde tidligere brugte java til deres netbank login og havde alt for dårlig support. Jeg valgte på det tidspunkt en bank, som havde ry for at have et system der fungerede fuldstændigt upåklageligt. Og det fungere faktisk glimrende i 6½ år.
Nu har de så valgt at udskifte deres ganske udmærkede system med et der i hvert fald på nogle punkter er meget lig det jeg skiftede fra dengang. Tiden vil vise om det er lige så slemt, men indtil videre er situationen, at jeg ikke kan få adgang til netbanken.
Hvis der er en bank, som har et netbank system som kan tilgås med en browser uden java eller andre plugins, så vil jeg højst sandsynligt skifte til den bank, når jeg finder dem.
Hvad angår phishing, så forstår jeg slet ikke hvad det er bekymringen er. Det er jo ikke nok at lave et website med en URL der ligner. Hvis man er igang med at surfe på tilfældige websider, så bør man jo ikke forvente at man pludselig bliver bedt om sit nemid login. Og hvis man bliver bedt om det login når man ikke forventer det, så bør man tænke sig nok om til ikke at taste nogle oplysninger ind.
Jeg har ikke set det phishing site, så jeg ved ikke hvordan det ser ud. Men hvis nu siden er lavet sådan, at de indtastede oplysninger aldrig forlader computeren, og der i stedet bruges javascript til at give brugeren en advarsel om hvor meget han har dummet sig, så kunne det jo være et udmærket værktøj til at lære folk lidt om sikker færdsel på nettet.
Jeg ville ikke selv tage del i offentliggørelsen af hullet. Det ville i så fald være helt op til de andre parters samvittighed om de vil offentliggøre det eller ej, samt hvornår og hvordan offentliggørelsen vil ske.
Jeg vil naturligvis gøre det valgfrit om en virksomhed modtager rapporter igennem systemet. Hvis en virksomhed endnu ikke har tilkendegivet om de ønsker rapporterne, den første gang en bliver sendt, så ville jeg sende den med en forklaring om hvordan systemet fungerer. Hvis ikke de reagerer på henvendelsen vil jeg tage det som indikation af at de ikke er interesseret.
For 6½ år siden skiftede jeg til en anden bank fordi den jeg havde tidligere brugte java til deres netbank login og havde alt for dårlig support. Jeg valgte på det tidspunkt en bank, som havde ry for at have et system der fungerede fuldstændigt upåklageligt. Og det fungere faktisk glimrende i 6½ år.
Nu har de så valgt at udskifte deres ganske udmærkede system med et der i hvert fald på nogle punkter er meget lig det jeg skiftede fra dengang. Tiden vil vise om det er lige så slemt, men indtil videre er situationen, at jeg ikke kan få adgang til netbanken.
Hvis der er en bank, som har et netbank system som kan tilgås med en browser uden java eller andre plugins, så vil jeg højst sandsynligt skifte til den bank, når jeg finder dem.
Hvad angår phishing, så forstår jeg slet ikke hvad det er bekymringen er. Det er jo ikke nok at lave et website med en URL der ligner. Hvis man er igang med at surfe på tilfældige websider, så bør man jo ikke forvente at man pludselig bliver bedt om sit nemid login. Og hvis man bliver bedt om det login når man ikke forventer det, så bør man tænke sig nok om til ikke at taste nogle oplysninger ind.
Jeg har ikke set det phishing site, så jeg ved ikke hvordan det ser ud. Men hvis nu siden er lavet sådan, at de indtastede oplysninger aldrig forlader computeren, og der i stedet bruges javascript til at give brugeren en advarsel om hvor meget han har dummet sig, så kunne det jo være et udmærket værktøj til at lære folk lidt om sikker færdsel på nettet.
Det er da et ret udbredt fænomen. Jeg har lidt overvejet at sætte et website op beregnet til at man anonymt kan rapportere sikkerhedshuller. Hvis virksomheden ikke ved, hvem der har rapporteret hullet, så kan de jo ikke true vedkommende med et sagsanlæg.atrox (4) skrev:Det er åbenbart vigtigere at retsforfølge end det er at tage en konstruktiv dialog op
Jeg ville ikke selv tage del i offentliggørelsen af hullet. Det ville i så fald være helt op til de andre parters samvittighed om de vil offentliggøre det eller ej, samt hvornår og hvordan offentliggørelsen vil ske.
Jeg vil naturligvis gøre det valgfrit om en virksomhed modtager rapporter igennem systemet. Hvis en virksomhed endnu ikke har tilkendegivet om de ønsker rapporterne, den første gang en bliver sendt, så ville jeg sende den med en forklaring om hvordan systemet fungerer. Hvis ikke de reagerer på henvendelsen vil jeg tage det som indikation af at de ikke er interesseret.
Den vil næppe resultere i at noget bliver sendt. Det er dog ikke helt utænkeligt at et passende fejlkonfigureret system kunne finde på at slå hele teksten op som et DNS navn. Hvis der samtidig er en DNS search path som indeholder en * match, så vil ethvert navn resultere i et svar. Hvad nu hvis requesten bliver sendt til en tredjepart som ikke har noget som helst at gøre med klienten eller phishing sitet? Denne tredjepart kunne uforvarende komme til at logge requesten. Hvem er i så fald skyldig?Flemhans (23) skrev:Formularen POSTede ingen verdens ting; submit-knappen var blot et link <a href="hejsa går det godt">
@ #0:
NemID burde aldrig været blevet til. Der er seriøst en arkitekt ét eller andet sted, der burde have alvorligt røde øre og bede svært meget om tilgivelse for at påføre os alle det her system...
#16
Du har virkelig fat i noget her... Og hvad skal en app. i det hele taget have administrator-rettigheder for? Og hvorfor er den i så fald ikke åben-sovs, så man kan se hvad der foregår? Det alene er jo grund nok til at gå langt uden om NemID, da det er absolut det værste man kan gøre - give en tilfældig app. fra nettet adgang til kernesystemet. F.eks. står der på DK-certs hjemmeside (https://www.cert.dk/faq/) :
Så, sikkerhedsanbefalingerne fra et, også af staten, anerkendt sikkerheds-"firma", siger at man ikke uden videre bør stole på Java, men beskytte sig mod angreb via Java igennem at installere en anden browser, og et plugin til denne. Og NemID skulle gøre det "nemmere" for den alm. dansker? :) Jeg vil vove at påstå at det ikke er blevet nemmere, hvis enhver alm. dansker skal hente en anden browser end den han er vant til at bruge, og installere et plugin...
(samme tekst er forøvrigt at finde på https://www.borger.dk/Emner/forbrug-penge-forsikri... )
Ligeledes, uden at nødvendigvis skulle male fanden på væggen, så er det med NemID muligt at installere ting på min maskine, som jeg ikke er vidende om. Altså, enhver virksomhed, eller offentlig instans der bruger NemID til kontakt med mig, har den mulighed. Nu har jeg ikke læst EULA'en igennem, men det vil jeg da lige gøre - det kunne være man fandt noget interessant om hvad man siger "ja" til.
Man kan ligeledes med NemID læse samtlige af de filer min bruger har adgang til, hvilket vil sige ALLE da jeg skal logge på som administrator, for at kunne benytte NemID. Så er der det med at kun benytte "svage" passwords, da passwords i NemID systemet ikke kan kende forskel på store og små bogstaver. Way to go...
Og så kan man, med NemID, spærre andres konti ved at forsøge at logge ind med andres CPR-numre, og de er trods alt ret nemme at få fat i... Bare 5 forsøg, og så lukker NemID af.
Vi er ude på en glidebane, hvis det er muligt at gøre noget sådant med NemID - sorry, men aldrig i livet om jeg nogensinde skal have det skidt på min maskine! Én ting er at de bruger forældet sikkerhed - de har to "låse", så det kan man måske leve med (hvis ikke den ene lås altså var et papkort - gammeltestamentlig sikkerhed med "security through obscurity" er ikke min stil når det kommer til mine penge), men at give private virksomheder adgang til at læse mine private filer eller installere spyware på min dåse, uden jeg er vidende om det, eller bliver spurgt? Not on your life! "Nej nej, det her filter skal KUN bruges til børneporno - kun børneporno. Vil du måske gerne skade børn???! Vil du?! Hader du børn?! Tænder du på dem, hva' syge stodder???! Oh, og så også lige de her sider hvor vi har en fogedretsdom, fra en dommer der fatter hat, om en hjemmeside der hedder AllOfMp3... Og ThePirateBay, den skal også ned... Og. Og... osv..." Det stopper jo aldrig...
Smut I gerne ned af glidebanen - god fornøjelse - jeg forsøger at holde hovedet oven vande så længe som muligt.
Edit:
*tager sølvpapirshatten på*
NemID burde aldrig været blevet til. Der er seriøst en arkitekt ét eller andet sted, der burde have alvorligt røde øre og bede svært meget om tilgivelse for at påføre os alle det her system...
#16
Du har virkelig fat i noget her... Og hvad skal en app. i det hele taget have administrator-rettigheder for? Og hvorfor er den i så fald ikke åben-sovs, så man kan se hvad der foregår? Det alene er jo grund nok til at gå langt uden om NemID, da det er absolut det værste man kan gøre - give en tilfældig app. fra nettet adgang til kernesystemet. F.eks. står der på DK-certs hjemmeside (https://www.cert.dk/faq/) :
Er JavaScript farligt? JavaScript er et programmeringssprog, der kan afvikles i en browser. Mange web-baserede angreb udnytter JavaScript. Det kan derfor være en ide at begrænse JavaScript til kun at køre på websteder, som man kender. Hvis man anvender Firefox kan man bruge tilføjelsen NoScript til at kontrollere, om websteder må afvikle JavaScript.
Så, sikkerhedsanbefalingerne fra et, også af staten, anerkendt sikkerheds-"firma", siger at man ikke uden videre bør stole på Java, men beskytte sig mod angreb via Java igennem at installere en anden browser, og et plugin til denne. Og NemID skulle gøre det "nemmere" for den alm. dansker? :) Jeg vil vove at påstå at det ikke er blevet nemmere, hvis enhver alm. dansker skal hente en anden browser end den han er vant til at bruge, og installere et plugin...
(samme tekst er forøvrigt at finde på https://www.borger.dk/Emner/forbrug-penge-forsikri... )
Ligeledes, uden at nødvendigvis skulle male fanden på væggen, så er det med NemID muligt at installere ting på min maskine, som jeg ikke er vidende om. Altså, enhver virksomhed, eller offentlig instans der bruger NemID til kontakt med mig, har den mulighed. Nu har jeg ikke læst EULA'en igennem, men det vil jeg da lige gøre - det kunne være man fandt noget interessant om hvad man siger "ja" til.
Man kan ligeledes med NemID læse samtlige af de filer min bruger har adgang til, hvilket vil sige ALLE da jeg skal logge på som administrator, for at kunne benytte NemID. Så er der det med at kun benytte "svage" passwords, da passwords i NemID systemet ikke kan kende forskel på store og små bogstaver. Way to go...
Og så kan man, med NemID, spærre andres konti ved at forsøge at logge ind med andres CPR-numre, og de er trods alt ret nemme at få fat i... Bare 5 forsøg, og så lukker NemID af.
Vi er ude på en glidebane, hvis det er muligt at gøre noget sådant med NemID - sorry, men aldrig i livet om jeg nogensinde skal have det skidt på min maskine! Én ting er at de bruger forældet sikkerhed - de har to "låse", så det kan man måske leve med (hvis ikke den ene lås altså var et papkort - gammeltestamentlig sikkerhed med "security through obscurity" er ikke min stil når det kommer til mine penge), men at give private virksomheder adgang til at læse mine private filer eller installere spyware på min dåse, uden jeg er vidende om det, eller bliver spurgt? Not on your life! "Nej nej, det her filter skal KUN bruges til børneporno - kun børneporno. Vil du måske gerne skade børn???! Vil du?! Hader du børn?! Tænder du på dem, hva' syge stodder???! Oh, og så også lige de her sider hvor vi har en fogedretsdom, fra en dommer der fatter hat, om en hjemmeside der hedder AllOfMp3... Og ThePirateBay, den skal også ned... Og. Og... osv..." Det stopper jo aldrig...
Smut I gerne ned af glidebanen - god fornøjelse - jeg forsøger at holde hovedet oven vande så længe som muligt.
Edit:
*tager sølvpapirshatten på*
#19 og 20 ... lol ja ok har så faktisk ik set siden men ville da gå udfra han havde gjorde så der slet ik var noget POST/GET og det ka man godt holde øje med er der ik er -.-
men kun en efterligning af frontend der ik nødvendigvis behøver sende noget
etc: onclick.submit(clear.this); url=(./hah_snydt.php) ...
men kun en efterligning af frontend der ik nødvendigvis behøver sende noget
etc: onclick.submit(clear.this); url=(./hah_snydt.php) ...
myplacedk (9) skrev:Alle systemer har sikkerhedshuller. Det eksperterne gør er at opnå det ønskede sikkerhedsniveau, og kender de sikkerhedshuller der er. At Porsager demonstrerer et af dem på den måde gør ikke én eneste sikkerhedsekspert klogere. Så kan man spekulere over hvad formålet egentlig var.
Hvem siger målgruppen var sikkerhedseksperter? Som bruger er jeg da ret interesseret i, om et monopolistisk system jeg er tvunget til at bruge, kan udnyttes så nemt af folk med de rette kompetencer.
Du kunne lige så godt sige "Arla ved godt der er rotter i tankene på deres mejerier, så en undersøgelse der viser dette bringer ikke nogen ny info til deres fødevarekontrol". Nej det er muligt, men derfor vil jeg gerne stadig vide det, hvis det er tilfældet.
Marci (22) skrev:
Må vi så lige få din definition på "hullet som en si"?
- Disse logind oplysninger som vedkommene her ville have skaffet sig er jo værdiløse uden det dertilhørende nøglekort.. !?
- Hvordan i al verden er det et hul!=
Som det er nævnt før, så ville man godt kunne lave siden, så den også vil spørge brugeren man prøver at snyde om den engangskode der skal bruges. Serveren der prøver at snyde brugeren vil selv prøve at logge ind på den rigtige side i baggrunden og vil derfra vide hvilken nøgle man skal spørge om
Ja, det vil kræve at den person der prøver at snyde en anden person står klar ved computeren når en falder i fælden, men hvis han er klar vil han hurtigt kunne komme ind på netbanken og tømme kontoen (med mindre det er en af de få netbanker der kræver at man bruger en engangskode for hver overførsel)
Jeg er dog rimeligt sikker på at hvis nejtilnemid-manden gik så vidt og lavede sin side så han havde fået den information fra papkortet, så ville alle sige at han gik ALT for vidt med sit eksempel
myplacedk (27) skrev:#25
Tro mig, det har de tænkt på. Det er det nøglekortet er der for.
Så har de ikke tænkt synderligt meget.
For mig:
1. Lav et phising site der ligner min banks.
2. Lav et man in the middle angreb.
2a. Få mit brugernavn og adgangskode
2b. Indsast på min bank.
2c. Få nøglenummer fra min bank.
2d. Få nøglekode af mig.
3. Vær logget ind på min netbank og overfør alle mine penge.
Jeg skal kun bruge en enkelt nøgle til at logge ind, derefter er det først ved større beløb jeg skal bruge den igen, hvis jeg overhovedet skal. Ved det faktisk ikke, for har indtil videre ikke været ude for det overhovedet.
Orange (33) skrev:Hvem siger målgruppen var sikkerhedseksperter?
Det ved jeg ikke.
Orange (33) skrev:Som bruger er jeg da ret interesseret i, om et monopolistisk system jeg er tvunget til at bruge, kan udnyttes så nemt af folk med de rette kompetencer.
Folk som ikke er klar over at intet system er 100% sikkert, vil intet relevant lære af det her.
Orange (33) skrev:Du kunne lige så godt sige "Arla ved godt der er rotter i tankene på deres mejerier, så en undersøgelse der viser dette bringer ikke nogen ny info til deres fødevarekontrol". Nej det er muligt, men derfor vil jeg gerne stadig vide det, hvis det er tilfældet.
Nej, der er ingen "rotter" her. Men jeg er ret sikker på at rotter KAN komme ind, og at de ved det. De ved nok også at de har gjort så stor en indsats imod det, at det ikke er indsatsen værd at gøre mere ud af det.
Hvis nu en chauffør vælger at smide en rotte i tanken, så kan det da godt være at det kan give problemer. I så fald ved de det godt, og der er ikke grund til at en chauffør gør det for at demonstrere det.
myplacedk (37) skrev:Folk som ikke er klar over at intet system er 100% sikkert, vil intet relevant lære af det her.
Nu gør folk vel deres risikoanalyser op i andet end 0% og 100% sikkerhed, og et system der fremstår som 70% sikkert istedet for 98% sikkert sender sandsynligvis et andet signal.
Eftersom NemID er blevet markedsført som en lille revolution indenfor sikkerhed synes jeg personligt det er fint, at der er nogen der råber op og udstiller hvor latterlige sådanne påstande er.
Orange (39) skrev:et system der fremstår som 70% sikkert istedet for 98% sikkert sender sandsynligvis et andet signal.
Folk kan generelt (tydeligvis) ikke vurdere hvor sikkert/usikkert NemID er, og dette "eksperiment" vil hvad det angår misinformere mere end det informerer.
Orange (39) skrev:Eftersom NemID er blevet markedsført som en lille revolution indenfor sikkerhed synes jeg personligt det er fint, at der er nogen der råber op og udstiller hvor latterlige sådanne påstande er.
Synes du så også det er fint når jeg snakker om hvor latterlig Porsagers påstande er?
Hvem stoler du mest på - mig og sikkerhedseksperterne, eller ham som lagde et screenshot på nettet og fik sine venner til at tro på at det var en hjemmeside?
>.< Terraforming er det nye ord for når det lykkedes 'Cide at trolle et topic af sporet. Lad os se om det lykkedes
#40
Ham der rent faktisk viste hvor nemt det var at lave et phishing-site med NemID. Noget som langt de fleste har en ide om ikke kan ske laengere.
Reelt set har du lavet en 3. verifikation, men den er vaerdiloes for "man in the middle" angreb.
Hvori ligger fordelen ved NemID, fremfor normalt login?
Jojo, du skal bruge en engangskode, men hvad sker der naar du taster forkert?
Den spoerger bare igen og naar du saa kan taste korrekt, siger den "Netbanken er desvaerre ude af drift i oejeblikket. Proev igen om 30 minutter."
Saa proever du igen og din konto er toemt.
Det er super easy.
Personligt tror jeg at Porsagers maal med det her, var "15 minutes of fame", men spoergsmaalet er ikke mindre reelt af den grund.
Hvordan vil DanID goere det svaerere at "Phishe"?
Og tbh, det er dette som DanID skal fokusere paa, istedetfor at haenge en person ud som blot har vist offentligheden hvor nemt det er.
Hvem stoler du mest på - mig og sikkerhedseksperterne, eller ham som lagde et screenshot på nettet og fik sine venner til at tro på at det var en hjemmeside?
Ham der rent faktisk viste hvor nemt det var at lave et phishing-site med NemID. Noget som langt de fleste har en ide om ikke kan ske laengere.
Reelt set har du lavet en 3. verifikation, men den er vaerdiloes for "man in the middle" angreb.
Hvori ligger fordelen ved NemID, fremfor normalt login?
Jojo, du skal bruge en engangskode, men hvad sker der naar du taster forkert?
Den spoerger bare igen og naar du saa kan taste korrekt, siger den "Netbanken er desvaerre ude af drift i oejeblikket. Proev igen om 30 minutter."
Saa proever du igen og din konto er toemt.
Det er super easy.
Personligt tror jeg at Porsagers maal med det her, var "15 minutes of fame", men spoergsmaalet er ikke mindre reelt af den grund.
Hvordan vil DanID goere det svaerere at "Phishe"?
Og tbh, det er dette som DanID skal fokusere paa, istedetfor at haenge en person ud som blot har vist offentligheden hvor nemt det er.
Magten (48) skrev:Nu slynger jeg lige noget ud ik'...
Alt det her havde da været endnu nemmere med den gamle digital signatur? Og der havde man så haft fri lejlighed til at benytte brugerens login efterfølgende...?
Eller tager jeg fejl?
Jeg går ud fra at du med den gamle mener tdc's digitale signatur. Så ville det hvis han havde logget brugernavn og kode været muligt at bruge det bag efter ja.
fidomuh (47) skrev:Ham der rent faktisk viste hvor nemt det var at lave et phishing-site med NemID. Noget som langt de fleste har en ide om ikke kan ske laengere.
Really? Du tror at "de fleste" ikke tror på at man kan udgive sig for at være hvem som helst? Well, det kan da godt være du har ret.
Men så er problemet jo at folk er nemme at snyde, for phishing-problemet er jo relevant for ALLE, og INGEN kan beskytte sig særligt meget imod at nogen forsøger.
Men takket være nøglekortet er problemet stort set løst. Tænk på fx. Skat's hjemmeside da man loggede ind med CPR-nummer og en 4-cifret kode. Eller newz. Hvor mange af de hjemmesider hvor du logger ind, sker det ved at skrive brugernavn og kodeord og så submitte?
fidomuh (47) skrev:Reelt set har du lavet en 3. verifikation, men den er vaerdiloes for "man in the middle" angreb.
Den er rigtig svær at beskytte sig imod. Jeg hører MEGET gerne om realistiske forslag, for jeg har ikke nogen.
Men NemID har gjort noget andet. Har du bemærket at når du laver en konto-overførsel, så ser du appletten igen? (Jeg vil dog ikke garantere at alle banker benytter sig af dette.) Ved nogle banker skal man skrive sit kodeord, ved andre skal man bruge nøglekortet.
Ud over at man bekræfter at man stadig er den man er, så sker der også noget signering og lidt sjov, som gør nogle ting langt nemmere (og nogle ting muligt), som gør det nemmere når man senere skal se hvad der er sket, og evt. bevise det i en retssag.
Sikkerhed handler langt fra kun at undgå at de forkerte kan logge ind. Det handler også om at kunne se om der er fusk, så den uskyldige kunde kan få sine penge tilbage hurtigst muligt. Og at fange forbryderen så det er mindre attraktivt at gøre det igen, til fordel for både bank og kunde.
fidomuh (47) skrev:Hvori ligger fordelen ved NemID, fremfor normalt login?
Fx. at stort set alt andet end man-in-the-middle er blevet pokkers meget mere besværligt.
fidomuh (47) skrev:Og tbh, det er dette som DanID skal fokusere paa, istedetfor at haenge en person ud som blot har vist offentligheden hvor nemt det er.
NemID har allerede fokus på sikkerhed. Det er deres eksistensgrundlag. At skræmme befolkningen fra NemID kan jeg ikke se noget godt i.
Skulle han gøre nogen en tjeneste, så skulle han blot have drejet den en anelse. I stedet for at snakke om at NemID har problemet, skulle han blot have været ærlig og snakket om hvordan alle hjemmesider har dette problem. Ligesådan med telefonsamtaler, lad vær med at give fortrolige oplysninger til et firma som ringer dig op. Og sælgere på gaden. Osv.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund