mboost-dp1
PBS A/S
Ikke for jeg syntes NemID er en på nogen måde god løsning (bruger det faktisk så lidt som muligt).
Men syntes det er lidt et tveægget sværd.
NemID prøver at komme med en løsning som de nok har arbejdet på lidt længere end offentligheden har kendt til sikkerhedshullerne i 7u10 og pre.
Så er det jo meget nemt at sidde som "regerings-parti" og råbe op om hvor mange fejl og hvor utilfreds man er med løsningen, uden at komme med noget løsnings forslag selv.
Men syntes det er lidt et tveægget sværd.
NemID prøver at komme med en løsning som de nok har arbejdet på lidt længere end offentligheden har kendt til sikkerhedshullerne i 7u10 og pre.
Så er det jo meget nemt at sidde som "regerings-parti" og råbe op om hvor mange fejl og hvor utilfreds man er med løsningen, uden at komme med noget løsnings forslag selv.
Artiklen skrev:Hertil svarer Bjarne Corydon, at Digitaliseringsstyrelsen på nemid.nu allerede rådgiver borgere om sikkerheden i NemID.
Glemmer den kære minister, at rådet fra DanIDs side er "der er ingen sikkerhedsproblemer med Java, brug i det bare" - ligegyldigt hvad der foregår?
XorpiZ (5) skrev:Tast brugernavn
Tast password
Tast to-faktor koden
Hvad er problemet?
Inden da skal du undre dig over hvorfor det nu ikke virker i dag, herefter forsøge at opdatere - og fejle - for at skulle afinstallere Java, geninstallere det og genstarte din computer - og så klikke for at aktivere det :-P
De fravalgte i det mindste den løsning man har i sverige, med en kortlæser og smartcard, som skal sidde i med usb for at kunne lave digital signatur, og som kræver et særligt program installeret, som til tider virker endnu mere ustabilt end Java (!)mic (4) skrev:Brugervenlighed var bestemt heller ikke det vigtigste valg da det fandt på NemID.
ved ikke om det program findes til mac og linux.
det er lykkedes mig at tabe den der kortlæser på gulvet, hvilket den ikke kunne tåle. Mene hvad man vil om nøglekortet, så kan det til tider endda overleve vaskemaskinen.
Testa (8) skrev:Det mere relevante spørgsmål at stille er nok om den helhedsbetragtning der blevet lavet overvejede om java var det bedste valg 5-10-20år ud i fremtiden.
ikke for at tage Java til forsvar, men hvis du skulle pege på en teknologi i dag, som skulle være god nu, og om 5-10-20 år, hvilken ville du pege på?
Det går udviklingen da alt for hurtigt til, at man kan give et meningsfyldt svar på.
Jeg forstår ikke selve autentifikeringsflowet for NemID. Java virker unødvendigt og overflødigt.
Hvorfor er det man ikke har valgt en viderestillingsmodel hvor man fra signin.minbank.dk viderestilles til signin.nemid.nu som så forestår autentifikeringen via HTTPS og viderestiller tilbage til signedin.minbank.dk?
Ved at bruge denne model, så skal brugeren ikke forholde sig til om nogen applet eller ægte eller ej og han skal ikke give staten uindskrænket adgang til ens harddisk. Han skal kun forholde sig til om han er på signin.nemid.nu
Hvorfor er det man ikke har valgt en viderestillingsmodel hvor man fra signin.minbank.dk viderestilles til signin.nemid.nu som så forestår autentifikeringen via HTTPS og viderestiller tilbage til signedin.minbank.dk?
Ved at bruge denne model, så skal brugeren ikke forholde sig til om nogen applet eller ægte eller ej og han skal ikke give staten uindskrænket adgang til ens harddisk. Han skal kun forholde sig til om han er på signin.nemid.nu
Så vidt jeg ved brugte alle netbanker vel også Java inden Nemid? Der var vel ingen der brokkede sig dengang.
Og ang. Brugervenligheden har jeg aldrig haft problemer. Det har stort set altid fungeret også selvom jeg har siddet med en ver. 6 af Java efter ver. 7 var udkommet
Problemet er nok nærmere de andre ting der er installeret i din browser som blokerer for diverse ting.
Og ang. Brugervenligheden har jeg aldrig haft problemer. Det har stort set altid fungeret også selvom jeg har siddet med en ver. 6 af Java efter ver. 7 var udkommet
Problemet er nok nærmere de andre ting der er installeret i din browser som blokerer for diverse ting.
#2
php er serverside, hvad har det med nemID at gøre? de kan kode serveren i lige det de har lyst til, uden det påvirker dig.
#7
Og det er Javas skyld? eller er det fordi de programmører der har lavet implementationen ikke har gjort deres arbejde godt nok? Eller det er måske din computer der ikke er installeret rigtigt?
#8
Tvivler kraftigt på der er nogen der kan lave en helhedsbetragtning, der dækker 10-20 år ud i fremtiden, når det drejer sig om IT.
#0
Kunne være Stine skulle spørge sig selv, om hun selv kunne finde på en bedre løsning.
php er serverside, hvad har det med nemID at gøre? de kan kode serveren i lige det de har lyst til, uden det påvirker dig.
#7
Og det er Javas skyld? eller er det fordi de programmører der har lavet implementationen ikke har gjort deres arbejde godt nok? Eller det er måske din computer der ikke er installeret rigtigt?
#8
Tvivler kraftigt på der er nogen der kan lave en helhedsbetragtning, der dækker 10-20 år ud i fremtiden, når det drejer sig om IT.
#0
Kunne være Stine skulle spørge sig selv, om hun selv kunne finde på en bedre løsning.
Afhængigheden af et 3. parts plugin der gerne vil installere Ask toolbaren er det største problem her. Nu kan vi jo se hvordan Oracle "rettede" fejlene i første omgang, ved at slå nogle features fra som standard. Det har de så dog fikset nu.
Ikke fordi browsere ikke også har huller, men her kan man på 2 min. hente en alternativ browser hvor sikkerhedshul XX ikke findes.
Så jeg er helt klart tilhænger af at de bare laver en SSL-løsning.
Ikke fordi browsere ikke også har huller, men her kan man på 2 min. hente en alternativ browser hvor sikkerhedshul XX ikke findes.
Så jeg er helt klart tilhænger af at de bare laver en SSL-løsning.
Det er ærgerligt, at han ikke erkender, at én fælles operatør med én bestemt teknologi giver sikkerhedsproblemer. Monopolet betyder, at vi bliver meget ens og dermed meget sårbare. Stine Brix, Enhedslisten, til Version 2
Hvad havde hun ellers forestillet sig? At der skulle laves 5 forskellige versioner af NemID af 5 forskellige leverandører og så skulle de helst laves på forskellige teknologier?
Jeg ved godt at NemID ikke har været perfekt og Java heller ikke.
Men jeg synes da NemID har gjort livet nemmere for mig i forbindelse med login til bank, det offentlige osv.
Tænk på det, du har en bruger, kode og så et nøglekort og så kan du logge ind hos det offentlige fra stort set hvilken som helst computer. Det er da rart.
Før det, havde du et login til banken (hvertfald for Danske Bank), som krævede at der blev installeret en key på din pc, som du så skulle fragte med hvis du skulle logge ind på en anden maskine.
Så havde du et andet login til skat.dk og det offentlige osv osv osv.
Klart at det ville være rart hvis NemID blev bedre og kunne køre på mobile platforme som ikke kører Java, men det er allerede bedre end det har været.
#16
Hvorfor er et almindeligt login for usikkert? Hvis du kører det via HTTPS, så har du certifikater mellem bruger og NemID's server. Samtidig kan du lave noget på serversiden i mellem minbank.dk og nemid.nu, så det ikke er hvem som helst der kan benytte sig af det.
Jeg forestiller mig ikke lige at man bare skriver:
http://signin.nemid.nu?target=www.evil.com&rev...
Hvorfor er et almindeligt login for usikkert? Hvis du kører det via HTTPS, så har du certifikater mellem bruger og NemID's server. Samtidig kan du lave noget på serversiden i mellem minbank.dk og nemid.nu, så det ikke er hvem som helst der kan benytte sig af det.
Jeg forestiller mig ikke lige at man bare skriver:
http://signin.nemid.nu?target=www.evil.com&rev...
Applets er fulde af mærkelig opførsel:XorpiZ (14) skrev:Hvad har Java med brugervenlighed at gøre?
- Somme tider loader NemID appletten slet ikke i browseren og man er nødt til at refreshe før det sker. Der vises bare ikke noget på siden
- Browseren kan have fokus uden at appletten har, så man kan se en blinkende cursor i appletten uden at der sker noget når man skriver på keyboardet
- Java skal hele tiden opdateres og hver gang skal man genstarte browseren og huske at sige nej til at få mærkelige toolbars og andet crapware på sin computer.
Jeg kan simpelthen ikke komme i tanke om andre måder at lave en kasse med to input-felter som giver så meget bøvl som den valgte løsning...
Det er desværre lidt for nemt at stjæle cookies og bruge dem til at fortsætte en session på en anden maskine. NemID systemet forsøger at undgå dette ved at lave et finger print af maskinen. Det er hele årsagen til at man bruger Java i stedet for den åbentlyse JavaScript/form løsning.MadiZone (18) skrev:#16
Hvorfor er et almindeligt login for usikkert? Hvis du kører det via HTTPS, så har du certifikater mellem bruger og NemID's server. Samtidig kan du lave noget på serversiden i mellem minbank.dk og nemid.nu, så det ikke er hvem som helst der kan benytte sig af det.
Jeg forestiller mig ikke lige at man bare skriver:
http://signin.nemid.nu?target=www.evil.com&rev...
Jeg siger ikke at det er en god grund...
Se den og du vil forstå hvorfor SSL over HTTP ikke nødvendigvis er sikkert..MadiZone (18) skrev:#16
Hvorfor er et almindeligt login for usikkert? Hvis du kører det via HTTPS, så har du certifikater mellem bruger og NemID's server. Samtidig kan du lave noget på serversiden i mellem minbank.dk og nemid.nu, så det ikke er hvem som helst der kan benytte sig af det.
Jeg forestiller mig ikke lige at man bare skriver:
http://signin.nemid.nu?target=www.evil.com&rev...
mathiass (20) skrev:Det er desværre lidt for nemt at stjæle cookies og bruge dem til at fortsætte en session på en anden maskine. NemID systemet forsøger at undgå dette ved at lave et finger print af maskinen. Det er hele årsagen til at man bruger Java i stedet for den åbentlyse JavaScript/form løsning.
Jamen, kan du så ikke lige stjæle cookies fra min computer hvis det er så nemt :-)
Hvis du har fjenden inden bag dine mure er der intet som er sikkert. :-)
Du går vel heller ikke med seler for at holde dine soler oppe der skal holde dine andre seler oppe? Hvornår stopper det?
Testa (8) skrev:Lidt morsomt det er enhedslisten der er imod en fælles løsning.
Jeg er glad for at det ikke bare er mig der har set den.
Enhedslisten, partiet som ville lade staten tvangsovertage store danske virksomheder som LEGO og Novo Nordisk, og på alle måder går ind for et kommunistisk fællesskab, er altså imod monopoler, for frie markedskræfter med forskellige konkurrerende løsninger, og synes det er skidt at DanId som betales af staten alene står for implementeringen?
Undskyld mit franske, men det her er da den virkelige nyhed. Stine Brix fra Enhedslisten er Anders Samuelsen (LA) i forklædning (en væsentligt pænere udgave oveni).
mathiass (19) skrev:Applets er fulde af mærkelig opførsel:
- Somme tider loader NemID appletten slet ikke i browseren og man er nødt til at refreshe før det sker. Der vises bare ikke noget på siden
- Browseren kan have fokus uden at appletten har, så man kan se en blinkende cursor i appletten uden at der sker noget når man skriver på keyboardet
- Java skal hele tiden opdateres og hver gang skal man genstarte browseren og huske at sige nej til at få mærkelige toolbars og andet crapware på sin computer.
Jeg kan simpelthen ikke komme i tanke om andre måder at lave en kasse med to input-felter som giver så meget bøvl som den valgte løsning...
Det er jo så ikke Java's skyld, men browserens måde at håndtere den applet på du brokker dig over her :-)
MadiZone (18) skrev:Hvorfor er et almindeligt login for usikkert? Hvis du kører det via HTTPS, så har du certifikater mellem bruger og NemID's server.
Det er vel snart slået fast i de andre tråde om emnet. Appletten opretter sin egen krypterede tunnel - som ikke har noget med https at gøre - til deres hsm. Så hele systemet er bygget op om, at der skal lidt mere til...
ko (26) skrev:Det er vel snart slået fast i de andre tråde om emnet. Appletten opretter sin egen krypterede tunnel - som ikke har noget med https at gøre - til deres hsm. Så hele systemet er bygget op om, at der skal lidt mere til...
Mjoe. Hvis SSL er godt nok til betaling med kreditkort er det også godt nok til min netbank. Synes jeg :)
#27
Det synes jeg ikke.
Der er langt mere at miste hvis nogen får fuld adgang til min netbank, end hvis de får mine kort oplysninger (som kan spæres ret hurtigt).
Desuden er det ikke kun din netbank de får adgang til.
På nogle få minutter, kan de vende hele dit liv på hovedet ved at have din NemID. Ny adresse, nyt pas, ja faktisk hele din eksistens kan ændres via NemID.
NemID SKAL sikres langt mere end "bare" SSL kryptering af kommunikation.
Det synes jeg ikke.
Der er langt mere at miste hvis nogen får fuld adgang til min netbank, end hvis de får mine kort oplysninger (som kan spæres ret hurtigt).
Desuden er det ikke kun din netbank de får adgang til.
På nogle få minutter, kan de vende hele dit liv på hovedet ved at have din NemID. Ny adresse, nyt pas, ja faktisk hele din eksistens kan ændres via NemID.
NemID SKAL sikres langt mere end "bare" SSL kryptering af kommunikation.
mathiass (19) skrev:Applets er fulde af mærkelig opførsel:
- Somme tider loader NemID appletten slet ikke i browseren og man er nødt til at refreshe før det sker. Der vises bare ikke noget på siden
- Browseren kan have fokus uden at appletten har, så man kan se en blinkende cursor i appletten uden at der sker noget når man skriver på keyboardet
- Java skal hele tiden opdateres og hver gang skal man genstarte browseren og huske at sige nej til at få mærkelige toolbars og andet crapware på sin computer.
Det var ikke det der blev snakket om. Påstanden var, at NemID ikke var brugervenlig.
ko (30) skrev:Man skal vel kigge på alle aspekter. Bilen er en bekvemmelig måde at komme frem på - men kun hvis der er fornuftige veje at køre på.
Det gør jeg skam også. Det ændrer ikke på, at NemID er ganske brugervenlig. At der er mange andre ting galt med den, er en anden snak.
XorpiZ (32) skrev:Det gør jeg skam også. Det ændrer ikke på, at NemID er ganske brugervenlig. At der er mange andre ting galt med den, er en anden snak.
Jo, men pointen, som bliver givet, er vel, at en given løsning skal ses som en helhed. Du kan ikke nøjes med kun at kigge på applettens venlighed (når alt andet kører vel) overfor brugeren.
syska (23) skrev:Du går vel heller ikke med seler for at holde dine soler oppe der skal holde dine andre seler oppe? Hvornår stopper det?
Hehe - fik lige flashback til The Big Hit:
(Gump) "Yo yo yo, that's why I gots this Trace Buster BUSTER. See, when the mother-fucker tries to bust your trace with a trace buster. This mother-fucker is gonna bust the mother-fucking trace buster that's bustin' your... uh..." (Cisco) ".. Trace!"
OT:
Jeg har aldrig været fan af NemID løsningen. Når man baserer offentlige systemers login løsning på ét fælles system, så VIL det jo uundværligt tiltrække sig de kriminelles fokus. Allerede dér er der en sikkerhedsmæssig fejl.
Og det værste er, at man ikke engang kan vælge skidtet fra, eller vælge en login løsning som kun virker for det enkelte site. "Hvis du ikke kan lide lugten i bageriet, kan du jo bare lade være med at handle der" - men nej, det er bare ikke til at komme uden om NemID hvis man vil have netbank i Danmark.
ko (33) skrev:Jo, men pointen, som bliver givet, er vel, at en given løsning skal ses som en helhed. Du kan ikke nøjes med kun at kigge på applettens venlighed (når alt andet kører vel) overfor brugeren.
Det synes jeg da.
Din mening svarer vel lidt til, at man kalder Windows 7 for ustabil, fordi maskinen lukker ned hver halve time pga. overophedning.
Unbound (13) skrev:#7
Og det er Javas skyld? eller er det fordi de programmører der har lavet implementationen ikke har gjort deres arbejde godt nok? Eller det er måske din computer der ikke er installeret rigtigt?
Snakker vi om at java programmørerne har implementeret det elendigt eller?
Det er Java installationen der fint vil have flere forskellige udgaver installeret - samtidig.
Det er Java installationen der vil installere Ask-toolbaren.
Det er Java der er ret så fuldt af huller.
Det er Java der er så avanceret, og platformsuafhængigt, at det skal implementeres som plugins i de forskellige browsere.
Skal vi fortsætte?
syska (23) skrev:Hvis du har fjenden inden bag dine mure er der intet som er sikkert. :-)
Med "fjenden" antager jeg at du mener DanID, ikk'? :-D
Lidt uden for diskussionen egentlige emne, men Oracle nu har lavet en opdatering af JAVA, således at apple brugere igen kan tilgå nemid.
http://politiken.dk/tjek/digitalt/computer/ECE1889...
http://politiken.dk/tjek/digitalt/computer/ECE1889...
ko (36) skrev:#35
Det kan ikke sammenlignes direkte. At din hardware er ustabil står uden for Microsofts indflydelse.
Bingo!
Og at Java kan være ustabilt, browseren har problemer med fremvisning o.a. er uden for Nemids indflydelse! :-)
Java har fået en masse skældud hen over årene. Alligevel valgte man at bruge java til nemid.
Det med Microsoft og Windows, og at de har valgt at udvikle deres OS til f.eks. x86-platformen, er noget ret andet. Hvis det nu var, at x86 var en røvelendig platform, som altid gik ned, så ville den overordnede vurdering nok også være, at det ville være bøvlet at køre Windows på den.
Det med Microsoft og Windows, og at de har valgt at udvikle deres OS til f.eks. x86-platformen, er noget ret andet. Hvis det nu var, at x86 var en røvelendig platform, som altid gik ned, så ville den overordnede vurdering nok også være, at det ville være bøvlet at køre Windows på den.
#0 skrev:Det er ærgerligt, at han ikke erkender, at én fælles operatør med én bestemt teknologi giver sikkerhedsproblemer. Monopolet betyder, at vi bliver meget ens og dermed meget sårbare.
- Stine Brix
Frøken Brix demonstrerer fint her at hun ingen ide har om hvordan IT-sikkerhed bedst struktureres.
Der er to muligheder for at bekæmpe trusler:
- Gøre sig selv meget forskellige for at gøre det svært at hacke alle (f.eks. har forskellige mennesker forskelligt DNA, hvilket gør det sværere for sygdomme at ramme os alle, og folk med forskellige operativsystemer er ikke sårbare over for de samme trusler)
- Gøre alting ens for alle, hvilket gør at vi alle kan overkomme en trussel på samme tid (en opdatering af Chrome der fikser et sikkerhedshul gør os alle sikre på en gang mod det hul når vi opdaterer)
Af de to muligheder er det i IT oftest sidste løsning som er den bedste. Årsagen er at stort set ALT software har bugs, fejl og sikkerhedshuller i uanede mængder. Det giver hackerne frit spil til at nedlægge deres ofre fordi at forskellighed kun gør det svært for os at opdatere mod de forskellige trusler. Forskellighed er - som mit eksempel indikerede - en god biologisk løsning, men det er fordi vores krop har et robust immun-system som gør os i stand til at modstå de fleste trusler. Software har derimod intet immun-system, og den eneste chance vi har her er at benytte fælles systemer som kan opdateres nemt (også selvom dette betyder at en sårbarhed rammer flere mennesker).
Ikke dermed sagt at Java var et klogt valg, for de fikser sikkerhedstrusler i et tempo og med et engagement der får selv vores dovne politikere til at se aktive ud, men hendes argumentation om at det er fordi vi alle er ens at vi er sårbare er helt ude i hampen.
Og vi bevæger os også heldigvis i den retning. Browsermarkedet har siden Chrome blev udgivet taget en helt ny kultur til sig, ikke kun ved at levere hurtige opdateringer, men også ved at gøre dem mere eller mindre usynlige for brugeren så det hele sker automatisk. Det giver kun god sikkerhedsmæssig mening at browserne tager sig af det og frigør sig fra Java.
Nu mangler vi bare nogle opdateringer til JavaScript (eller at lade HTML5 overtage rollen) for at få det sidste sikkerhed på plads, så er vi langt på vej mod en lysere fremtid.
SpYkE112 (21) skrev:Se den og du vil forstå hvorfor SSL over HTTP ikke nødvendigvis er sikkert..MadiZone (18) skrev:#16
Hvorfor er et almindeligt login for usikkert? Hvis du kører det via HTTPS, så har du certifikater mellem bruger og NemID's server. Samtidig kan du lave noget på serversiden i mellem minbank.dk og nemid.nu, så det ikke er hvem som helst der kan benytte sig af det.
Jeg forestiller mig ikke lige at man bare skriver:
http://signin.nemid.nu?target=www.evil.com&rev...
Meget interessant, men han fortæller, at alt, som bruger SSL, er ramt. Jeg ved ikke, hvordan NemID gør det, men det vil ikke gøre nogen forskel, om de bruger SSL over Java eller HTTPS.
ko (47) skrev:I forhold til sikkerhed og bøvlede opdateringer?
Oh, yes. Der er stadig mange mennesker, som bruger meget forældede browsere. De gamle browsere har simpelthen ikke haft noget opdateringssystem.
ko (47) skrev:I forhold til sikkerhed og bøvlede opdateringer? Og som der nævnes længere oppe... en toolbar?
Ja. Har du aldrig fået JS-fejl i en browser? Eller startet en browser med 14 toolbars?
Du romantiserer HTML/SSL-løsningen. Det er fint nok, men pointen er stadig, at NemID i sig selv er svær at gøre mere simpel.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund