mboost-dp1
PBS A/S
Heh... alle de penge de spilder på at gøre nemid sikkert osv..
Kunne de have brugt på at uddane folk så de kunne finde ud af at bruge den "gamle" digitale signatur.
Mjaah - altså, hvis man kritiserer sikkerheden på NemID, bør man ikke være al for hurtig til at rose Digital Signatur - det var da i hvert fald usikkert af hæwlede til! :-)
Den gamle digitale signatur var i bund og grund et fælt misfoster, som det ikke giver mening at uddanne folk i.D_V (1) skrev:Heh... alle de penge de spilder på at gøre nemid sikkert osv..
Kunne de have brugt på at uddane folk så de kunne finde ud af at bruge den "gamle" digitale signatur.
Kompromitteret != blevet hacket.
Kompromittere=stille i et ugunstigt lys (den Store Danske Ordbog)=blevet hacket
Hvis de ikke er kommet igennem sikkerheden er sikkerheden ikke kompromitteret - så de må være blevet hacket!
Edit: Det er selvf. også muligt, at de ikke ved hvad ordet betyder og ikke er blevet hacket! :-)
T-Hawk (11) skrev:Jeg syntes du skal læse nogle af de andre tråde om NemID, for at se hvorfor det ikke er helt så dumt som det lyder.
Det er også helt fint at den ikke er placeret hos forbrugeren.. Hvis en ondsindet skulle få adgang -- må der da som minimum gerne være en barriere mere.
Hvor i dog snakker og snakker om en masse i intet viden har omkring. Fejlen skyldes at CPR registreret ikke kan følge med til alle de brugere som er inde for at bestille på samme tid. At de ikke kan lave en ansændig fejlbesked skal jeg dog ikke kunne svare på. Mht. Sikkerheden af NemID har Certifikatpolitikkerne forpligter udbyderne af OCES-certifikater til, at der årligt skal gennemføres systemrevision af sikkerheden og udarbejdes en protokol og revisionserklæring af en ekstern statsautoriseret revisor, der indsendes til IT- og Telestyrelsen til godkendelse. Der er desuden krav om en ledelseserklæring fra CA (Certificate Authority).
#13
Det er da heldigt, at vi så har dig der kan fortælle os, hvad den yderst mangelfulde beskrivelse dækker over.
Man må formode du har "insider viden" ?
Det er da heldigt, at vi så har dig der kan fortælle os, hvad den yderst mangelfulde beskrivelse dækker over.
Man må formode du har "insider viden" ?
Hele præmissen bærer jo på troværdighed og at vi skal stole 100% på at N3M-ID har fuldstændig styr på sikkerheden, at der intet misbrug er -- og at systemet altid er så robust at intet kan bryde ind.
Er det ikke Utopi at tro at deres løsning er så sikker at ingen kan finde på bryde sikkerheden? I værste tilfælde - at de faktisk opdager for sent at systemet har været kompromitteret i (au, au) længere tid.
Det er fint nok med alle procedurer, kontrol, test, optimering, erklæringer osv..
Sidder jeg (vi)på den anden side og systematisk prøver at komme ind -- så gør man også det..
If there is a possibility of several things going wrong, the one that will cause the most damage will be the FIRST to go wrong
Er det ikke Utopi at tro at deres løsning er så sikker at ingen kan finde på bryde sikkerheden? I værste tilfælde - at de faktisk opdager for sent at systemet har været kompromitteret i (au, au) længere tid.
Det er fint nok med alle procedurer, kontrol, test, optimering, erklæringer osv..
Sidder jeg (vi)på den anden side og systematisk prøver at komme ind -- så gør man også det..
If there is a possibility of several things going wrong, the one that will cause the most damage will be the FIRST to go wrong
Jeg er ellers så glad for min egen netbankadgang. Der er personlig kode (tal, store og små bogstaver) og en krypterings-lommeregner-agtig-dims med 4-cifret adgangskode.
Det er da træls at jeg i stedet skal have NemID. Omvendt så bliver det nemmere at komme i kontakt med det offentlige...
Det er da træls at jeg i stedet skal have NemID. Omvendt så bliver det nemmere at komme i kontakt med det offentlige...
(0) skrev:Sikkerhed kompromitteret
Vi har konstateret tegn på at der foregår et sikkerhedsangreb.
I teorien kunne det jo også være at der er for mange der prøver at oprette et NemID fra samme IP. F.eks. fra det samme firma og sikkerhedssystemet så har set det som en trussel da mange forespørgsler kom fra samme sted.
Men det er bare min teori uden at have nogen opbakkende beviser :)
mathiask (17) skrev:Jeg er ellers så glad for min egen netbankadgang. Der er personlig kode (tal, store og små bogstaver) og en krypterings-lommeregner-agtig-dims med 4-cifret adgangskode.
Det er da træls at jeg i stedet skal have NemID. Omvendt så bliver det nemmere at komme i kontakt med det offentlige...
Der er også personlig kode på N3M-ID + Nøglekort + brugernavn. Senere vil det også blive muligt at få den "dims" du snakker om til N3M-ID. - Kan ikke helt se forskellen :)
daninino (18) skrev:(0) skrev:Sikkerhed kompromitteret
Vi har konstateret tegn på at der foregår et sikkerhedsangreb.
I teorien kunne det jo også være at der er for mange der prøver at oprette et NemID fra samme IP. F.eks. fra det samme firma og sikkerhedssystemet så har set det som en trussel da mange forespørgsler kom fra samme sted.
Men det er bare min teori uden at have nogen opbakkende beviser :)
- Det skyldes, som nævt tidligere, at CPR-registret ikke kan give N3M-ID den ønskede kapacitet. - Dette er også meldt ud til medierne.
Det er rigtig mange mennesker i denne tråd som blander ting sammen.
Nedbrud:
Da NemID er afhængig af at kunne trække cpr oplysninger fra CPR-registret, og der her ikke er nok ressourcer til at håndtere alle forespørgelser, har NemID oplevet nogle nedbrud.
Dette har intet at gøre med det postulerede hacker angreb.
Sikkerhedsagreb
Dette er ikke et sikkerhedsangreb, dette er medierne der blæser det her alt for meget op.
Beskeden kommer når man prøver at sende en mail til nemid, via den form som er på deres hjemmeside.
Det der sker er, at den validering som kontrollerer de indtastede oplysninger, tror at man prøver at injecte javascript/html kode. Og derfor smider valideringen en videre til en fejlmeddelse som er den som også er fremvist i denne artikel.
Så som #2 også siger, Malice before ignorance.
Der er INTET sikkerhedsangreb på nemID.
Og nej, jeg har ingen insider viden, eller har på nogen måde noget at gøre med nogle af de involdvere parter.
Det eneste jeg har er teknisk viden.
Se evt her:
http://www.version2.dk/artikel/15428-nemid-afviser...
Nedbrud:
Da NemID er afhængig af at kunne trække cpr oplysninger fra CPR-registret, og der her ikke er nok ressourcer til at håndtere alle forespørgelser, har NemID oplevet nogle nedbrud.
Dette har intet at gøre med det postulerede hacker angreb.
Sikkerhedsagreb
Dette er ikke et sikkerhedsangreb, dette er medierne der blæser det her alt for meget op.
Beskeden kommer når man prøver at sende en mail til nemid, via den form som er på deres hjemmeside.
Det der sker er, at den validering som kontrollerer de indtastede oplysninger, tror at man prøver at injecte javascript/html kode. Og derfor smider valideringen en videre til en fejlmeddelse som er den som også er fremvist i denne artikel.
Så som #2 også siger, Malice before ignorance.
Der er INTET sikkerhedsangreb på nemID.
Og nej, jeg har ingen insider viden, eller har på nogen måde noget at gøre med nogle af de involdvere parter.
Det eneste jeg har er teknisk viden.
Se evt her:
http://www.version2.dk/artikel/15428-nemid-afviser...
#23 -
2. jul. 2010 10:25
Mistah (22) skrev:Beskeden kommer når man prøver at sende en mail til nemid, via den form som er på deres hjemmeside.
Det der sker er, at den validering som kontrollerer de indtastede oplysninger, tror at man prøver at injecte javascript/html kode. Og derfor smider valideringen en videre til en fejlmeddelse som er den som også er fremvist i denne artikel.
Det er også noget øv ikke at have testet sådan en lille ting... er selv lige stødt i noget lignende, men heldigvis i dev og ikke production, da det var bevist.
Men det er da virkelig også en god tekst, hvis man gerne vil hyle brugerne ud af den.
jAST (5) skrev:Kompromitteret != blevet hacket.
Hvorledes svarer det på mit spørgsmål? Mener du min router er kompromitteret fordi jeg kan se der konstant portscannes etc.?
48 timer kan der ikke engang gå, før der er nogen der har brudt sikkerheden. Men det viser jo bare hvor inkompetente de idioter, regeringen sætte til at lave deres arbejde, er.
Har der egentlig været nogen offentlige systemer som er blevet lavet ordentligt? UDEN FEJL efter 2-3 dage?
Alle deres chokerende udgifter på systemer som bryder sammen overskygger fuldstændigt de systemer der skulle virke.
Har der egentlig været nogen offentlige systemer som er blevet lavet ordentligt? UDEN FEJL efter 2-3 dage?
Alle deres chokerende udgifter på systemer som bryder sammen overskygger fuldstændigt de systemer der skulle virke.
#27 -
2. jul. 2010 10:42
Mulpacha (26) skrev:Nogen der kan forklare, eller smide et link til et sted der forklarer, hvordan NemID's sikkerhedsmodel (public/private keys samme server) giver mening?
http://newz.dk/nemid-kan-blive-mere-digital/page1
Diverse kommentarer forklarede det rimelig godt for mig... især T-Hawk's.
GuZzEr (19) skrev:mathiask (17) skrev:Jeg er ellers så glad for min egen netbankadgang. Der er personlig kode (tal, store og små bogstaver) og en krypterings-lommeregner-agtig-dims med 4-cifret adgangskode.
Det er da træls at jeg i stedet skal have NemID. Omvendt så bliver det nemmere at komme i kontakt med det offentlige...
Der er også personlig kode på N3M-ID + Nøglekort + brugernavn. Senere vil det også blive muligt at få den "dims" du snakker om til N3M-ID. - Kan ikke helt se forskellen :)
Mod betaling...token-kort koster penge hvis du ikke vil have en lap papir..som kan tabes/stjæles...og som ikke har en pinkode som sikkerhed ved tab/tyveri.
Hvordan kan man ud fra
Det eneste der står ar sg da at de er under angreb (nogen som forsøger at hacke det...)
Jeeez. Folk er godt nok hurtige til at kaste med mudder...
skrive en artikel om at sikkerheden på ved NEM ID er kompromitteret?Sikkerhed kompromitteret Vi har konstateret tegn på at der foregår et sikkerhedsangreb. skrev:
Det eneste der står ar sg da at de er under angreb (nogen som forsøger at hacke det...)
Jeeez. Folk er godt nok hurtige til at kaste med mudder...
#30: De to første ord kan nok lede folk til tanker i retningen af at sikkerheden er kompromitteret. Jeg tror at alle her er med på at det er en ufattelig uheldig fejlbesked som kommer ud af et helt andet problem, nemlig overbelastning af en del af systemet (i dette tilfælde adgangen til CPR).
Programmøren som har skrevet dette har nok tænkt at hvis sådan en overbelastning skete så måtte det være resultat af et DOS angreb.
Programmøren som har skrevet dette har nok tænkt at hvis sådan en overbelastning skete så måtte det være resultat af et DOS angreb.
Scorp-D (23) skrev:Det er også noget øv ikke at have testet sådan en lille ting... er selv lige stødt i noget lignende, men heldigvis i dev og ikke production, da det var bevist.
Nu kan det jo være de har testet det med belastninge (Det ville være mærkeligt andet) men er blevet overrasket over hvor mange der egentligt vil have en signatur den dag de åbner. Vi ser jo det samme gang på gang med Billetnet
#34 -
2. jul. 2010 11:24
Nu stopper i....
Hvis det er pga. validering, fx i ASP.NET at ValidateRequest ikke er false og siden returnere html/javascript som ikke var der til at starte med, så får man normalt en rigtig træls fejl kastede i hovedet...
Hvis de catcher den fejl, og redirecter til https://borger.pr.certifikat.dk/status/sikkerhed_k... , så er det vel fuldstændig ligegyldigt at tjekke for overbelastning...
At en overbelastning har ledt til at mange har forsøgt at skrive til dem, og der derved er kommet mange redirects er så en helt anden sag.
Så de burde stadig have tjekket indsendelsesformen.
Hvis det er pga. validering, fx i ASP.NET at ValidateRequest ikke er false og siden returnere html/javascript som ikke var der til at starte med, så får man normalt en rigtig træls fejl kastede i hovedet...
Hvis de catcher den fejl, og redirecter til https://borger.pr.certifikat.dk/status/sikkerhed_k... , så er det vel fuldstændig ligegyldigt at tjekke for overbelastning...
At en overbelastning har ledt til at mange har forsøgt at skrive til dem, og der derved er kommet mange redirects er så en helt anden sag.
Så de burde stadig have tjekket indsendelsesformen.
FritzFarlig (24) skrev:Hvorledes svarer det på mit spørgsmål? Mener du min router er kompromitteret fordi jeg kan se der konstant portscannes etc.?
At være kompromitteret betyder at du er blevet stillet i en ugunstig situation. Er vi enige om at være under angreb er "ugunstig", dvs. ufedt ?
Så ja hvis du f.eks. bliver DoSet , så er du blevet kompromitteret men ikke hacket.
moulder666 (10) skrev:Kompromittere=stille i et ugunstigt lys (den Store Danske Ordbog)=blevet hacket
Hvis de ikke er kommet igennem sikkerheden er sikkerheden ikke kompromitteret - så de må være blevet hacket!
Edit: Det er selvf. også muligt, at de ikke ved hvad ordet betyder og ikke er blevet hacket! :-)
Ja, altså hvis dansk var dit helt eget sprog og du kunne fortolke det som du ville.
Kompromitteret betyder ikke nødvendigvis hacket. Hacket betyder hacket. Kompromitteret er en mindre negativ betegnelse og dækker meget bredere end hacket gør.
Fordi jeg lægger din server ned, så har jeg ikke nødvendigvis hacket dig. Jeg kunne bare have kompromitteret dit system..
stofferm (35) skrev:Hvorfor f*nden kan man ikke bestille NemID vha min digitale signatur? Er der virkelig en grund til at jeg skal rejse mig op og finde mit pas frem...
Enig. Synes det er pisirriterende... DanID's falliterklæring af Digital Signatur... -.-
Men har nu kørekort, så det var hurtigt klaret :)
hahahaha det er simpelthen til grin med NemId.
Først skriver de, at man vil få sin nemid "når det bliver ens tur" - hvilket jeg også har fået at vide via min bank igennem en meddelelse sendt i netbank.
Nu kan man så pludselig bestille det, og så tænker jeg - jeg bruger da min digitale signatur - men næh nej, den er åbenbart slet ikke god nok mere. Skal jeg tolke det som, at digital signatur er noget bras - og de nu efter flere år har erkendt det? Bankerne havde altså ret dengang de ikke ville bruge digital signatur fordi den var for usikker. Nu har de så samarbejdet med det bureaukratiske juks til Nemid.
Først skriver de, at man vil få sin nemid "når det bliver ens tur" - hvilket jeg også har fået at vide via min bank igennem en meddelelse sendt i netbank.
Nu kan man så pludselig bestille det, og så tænker jeg - jeg bruger da min digitale signatur - men næh nej, den er åbenbart slet ikke god nok mere. Skal jeg tolke det som, at digital signatur er noget bras - og de nu efter flere år har erkendt det? Bankerne havde altså ret dengang de ikke ville bruge digital signatur fordi den var for usikker. Nu har de så samarbejdet med det bureaukratiske juks til Nemid.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund