mboost-dp1
PBS A/S
XorpiZ (44) skrev:Er du nu også helt sikker på det?
Ja. Inden for IT er ensretning som udgangspunkt sikrest når det drejer sig om at sikre majoriteten.
Det er sandt at du som individuel bruger kan gøre dig mere sikker hvis du bruger noget som kun få andre brugere benytter (Linux vs. Windows f.eks.), men her er der tale om et individuelt valg. NemID er ikke individuelt valg, og et ensrettet system med hurtige opdateringer er den sikreste løsning.
Hun har naturligvis ret i at det at gøre sig afhængig af Java (en udbyder) mod JavaScript (alle udbydere af browsere) er en dum beslutning. Men dette er ikke af sikkerhedsmæssige årsager, men derimod fleksibilitetsmæssige årsager.
Athinira (51) skrev:a. Inden for IT er ensretning som udgangspunkt sikrest når det drejer sig om at sikre majoriteten.
Det mener jeg nu ikke. Hvad så hvis det viser sig at udbyderen har haft X antal zero-day exploits i 2 år? Hvis de har monopol, gider de så besvære sig med at fixe dem?
Der er intet der tyder på, at ensretning er godt for sikkerheden.
SpYkE112 (21) skrev:Se den og du vil forstå hvorfor SSL over HTTP ikke nødvendigvis er sikkert..MadiZone (18) skrev:#16
Hvorfor er et almindeligt login for usikkert? Hvis du kører det via HTTPS, så har du certifikater mellem bruger og NemID's server. Samtidig kan du lave noget på serversiden i mellem minbank.dk og nemid.nu, så det ikke er hvem som helst der kan benytte sig af det.
Jeg forestiller mig ikke lige at man bare skriver:
http://signin.nemid.nu?target=www.evil.com&rev...
Det var en voldsom lærerig, underholdende, men dæleme også skræmmende video. Blev godt nok klogere på SSL og sikkerhed.
Jesus. Jyske Bank have en løsning før NemID der 100% minder om NemID idag. Kodekort og login. De brugte HTTPS og det var fint sikkert. Jeg kan for min gud ikke se hvorfor HTTPS tunnel skulle være mere usikkert end en hjemmelavet Java SSL tunnel? Det er helt sort. Der skal ikke bruges Javascript i stedet. Dem der siger det ved ikke hvad det går ud på :)
Så jeg gentager: Ring til Jyske Bank og få kildekoden til deres løsning :)
Så jeg gentager: Ring til Jyske Bank og få kildekoden til deres løsning :)
XorpiZ (52) skrev:Det mener jeg nu ikke. Hvad så hvis det viser sig at udbyderen har haft X antal zero-day exploits i 2 år? Hvis de har monopol, gider de så besvære sig med at fixe dem?
Der er intet der tyder på, at ensretning er godt for sikkerheden.
Jeg skrev "som udgangspunkt" netop for at understrege at der naturligvis er undtagelser. Hvis en producent aldrig sikkerhedsopdaterer sine produkter, så er det naturligvis ikke godt at hæfte sig fast i denne.
Der hvor vi snakker forbi hinanden tror jeg er i definitionen af ensretning. Det ser ud som om du har det ide at ensretning betyder at vi alle bruge den same software, hvilket ikke er et krav. Ensretning kan også være standarder.
Tag f.eks. kryptering. De fleste softwareimplementationer benytter de samme krypteringsalgoritmer (RSA, AES). Dette er en godt eksempel på ensretning som er god sikkerhedsmæssig fornuft. Selvom vi risikerer et class break ved at benytte de samme algoritmer i alle programmer (hvis nogen bryder AES bryder de stort set alle krypteringsprogrammer og hardwareimplementationer på markedet), så er vi langt mere sikrere end hvis alle begynder at lave deres egne hjemmebryggede krypteringsalgoritmer til hver sin software. Den approach er prøvet før mange gange (bl.a. af Microsoft), og er i stort set alle tilfælde er blevet brudt groft på relativt kort tid.
JavaScript er også et godt eksempel på positiv ensretning (selvom det dog godt kunne være bedre), og det låser dig ikke fast til nogen producent (du kan benytte lige netop den browser der behager dig bedst).
TwistedSage (55) skrev:Jeg kan for min gud ikke se hvorfor HTTPS tunnel skulle være mere usikkert end en hjemmelavet Java SSL tunnel? Det er helt sort.
For nu at tage udgangspunkt i den video #18 postede, så er HTTPS sårbart over for SSL-stripping. Java er ikke.
Det kunne godt være mere elegant, de fleste problemer hænger Oracle dog på.
Men heldigvis er Java idag så udbredt og de fleste kan godt finde ud af at installere java, ellers kunne de nemlig ikke spille minecraft.
Forøvrigt så fungere min Netbank App fint på mobilen uden jeg skal opdatere Java, selvom den kræver NemID :-?
Men heldigvis er Java idag så udbredt og de fleste kan godt finde ud af at installere java, ellers kunne de nemlig ikke spille minecraft.
Forøvrigt så fungere min Netbank App fint på mobilen uden jeg skal opdatere Java, selvom den kræver NemID :-?
Athinira (56) skrev:Der hvor vi snakker forbi hinanden tror jeg er i definitionen af ensretning. Det ser ud som om du har det ide at ensretning betyder at vi alle bruge den same software, hvilket ikke er et krav. Ensretning kan også være standarder.
Ahh ok. Så er vi enige. Jeg troede du plæderede for, at alle skulle bruge samme software, fordi det var mest sikkert :)
Da min Digitale signatur udløb sidste år og man ikke længere kan få dem har jeg udmeldt mig af NemID. Eller ihvertfald den del af NemID samarbejdet der beror på OCES delen. Bruger idag kun NemID til netbank og det bliver jeg personligt ved med til at både sikkerheden bliver bedre og til at jeg selv kan få lov til at opbevarer min nøgle som jeg ønsker det.
Ligesom man kunne med ens digitale signatur dengang den stadig eksisterede. Og nej den der nøgledimmer er bare for stor og klodset til at have siddende i sit nøglebundt etc.....
Ligesom man kunne med ens digitale signatur dengang den stadig eksisterede. Og nej den der nøgledimmer er bare for stor og klodset til at have siddende i sit nøglebundt etc.....
PraetorianGuard (60) skrev:Da min Digitale signatur udløb sidste år og man ikke længere kan få dem har jeg udmeldt mig af NemID. Eller ihvertfald den del af NemID samarbejdet der beror på OCES delen. Bruger idag kun NemID til netbank og det bliver jeg personligt ved med til at både sikkerheden bliver bedre og til at jeg selv kan få lov til at opbevarer min nøgle som jeg ønsker det.
Ligesom man kunne med ens digitale signatur dengang den stadig eksisterede. Og nej den der nøgledimmer er bare for stor og klodset til at have siddende i sit nøglebundt etc.....
Hvad ændrer det at bruge nøgle generatoren? Nøglen er jo stadig i hsm modulet hos Danid... De påstår jo at de har en løsning på vej til folk som dig og jeg der ikke stoler på stasiløsningen. Men mon ikke den også bliver en 3 år forsinket som alt andet de har skulle levere.
Hubert, løsningen er at det er så meget som jeg vil gå med til. Fornægter jeg fuldstændig NemID så kan jeg helller ikke bruge min netbank og det er bare alt alt for bøvlet. Men indtil at jeg selv kan få lov til at gemme og styre nøglen skal jeg ikke have mere. Så må det offentlige finde sig i at jeg ringer eller møder op personligt.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund