mboost-dp1
unknown
Computerworld har fået en meget stor forsideartikel ud af en meget lille sag.
En artikel i bladet Computerworld i torsdags var formuleret som en ’afsløring’ af et sikkerhedshul i den Digitale Signatur, når den bliver flyttet fra én pc til en anden. I det tilfælde har nogle brugere været ude for, at de efter flytningen ikke længere blev afkrævet password, når de ville bruge signaturen.
Imidlertid er der ingen problemer, hvis man slavisk følger TDC’s vejledning for overflytning af Digital Signatur.
Der kan altså udelukkende være tale om en brist, hvis TDC’s vejledning ikke er fulgt under flytningen af signaturen. Er Digital Signatur installeret på en pc og IKKE flyttet til en anden, kan man glemme alt om dette emne.
Hvis man vil teste, om ens overflyttede signatur er i orden, har TDC i dag lagt muligheden ud på nettet.
Hvordan tingene hænger sammen, forklarer afdelingschef Kim Vestergaard fra ’Sikkerhedskoncepter’ i TDC Erhverv her:
- Man kan godt opleve at have lavet en problemfri flytning af Digital Signatur, hvis man har brugt eksempelvis Microsofts standardværktøjer til import og eksport af filer. Men gør man det, kan man gå glip af vigtige skærmbilleder, og der kan automatisk komme et ’flueben’ i rubrikken ’husk mit password’ – og så er sikkerheden ganske rigtigt forsvundet. Netop derfor har vi lige fra starten i marts 2003 gjort opmærksom på, at man skal følge vores vejledning. Så bliver man guidet igennem en styret flytteprocedure, hvor det bliver sikret, at password er aktiveret. Måske har vi ikke været helt gode nok til at forklare dét punkt, men nu gør vi noget effektivt ved det, siger Kim Vestergaard.
For at være 100 procent sikker på at undgå misforståelser ved flytning, kommer Digital Signatur nemlig i næste uge i en ny og forbedret udgave.
Her er nøglefilen låst, sådan at det simpelt hen ikke kan lade sig gøre at bruge de famøse standardværktøjer til en overflytning af signaturen.
En artikel i bladet Computerworld i torsdags var formuleret som en ’afsløring’ af et sikkerhedshul i den Digitale Signatur, når den bliver flyttet fra én pc til en anden. I det tilfælde har nogle brugere været ude for, at de efter flytningen ikke længere blev afkrævet password, når de ville bruge signaturen.
Imidlertid er der ingen problemer, hvis man slavisk følger TDC’s vejledning for overflytning af Digital Signatur.
Der kan altså udelukkende være tale om en brist, hvis TDC’s vejledning ikke er fulgt under flytningen af signaturen. Er Digital Signatur installeret på en pc og IKKE flyttet til en anden, kan man glemme alt om dette emne.
Hvis man vil teste, om ens overflyttede signatur er i orden, har TDC i dag lagt muligheden ud på nettet.
Hvordan tingene hænger sammen, forklarer afdelingschef Kim Vestergaard fra ’Sikkerhedskoncepter’ i TDC Erhverv her:
- Man kan godt opleve at have lavet en problemfri flytning af Digital Signatur, hvis man har brugt eksempelvis Microsofts standardværktøjer til import og eksport af filer. Men gør man det, kan man gå glip af vigtige skærmbilleder, og der kan automatisk komme et ’flueben’ i rubrikken ’husk mit password’ – og så er sikkerheden ganske rigtigt forsvundet. Netop derfor har vi lige fra starten i marts 2003 gjort opmærksom på, at man skal følge vores vejledning. Så bliver man guidet igennem en styret flytteprocedure, hvor det bliver sikret, at password er aktiveret. Måske har vi ikke været helt gode nok til at forklare dét punkt, men nu gør vi noget effektivt ved det, siger Kim Vestergaard.
For at være 100 procent sikker på at undgå misforståelser ved flytning, kommer Digital Signatur nemlig i næste uge i en ny og forbedret udgave.
Her er nøglefilen låst, sådan at det simpelt hen ikke kan lade sig gøre at bruge de famøse standardværktøjer til en overflytning af signaturen.
Jeg har ikke fulgt TDC's vejledning, og jeg bliver heler ikke bedt om password. Men det er da også en sikkerhedsbrist at jeg ikke bliver bedt om password nu. Ligemeget hvordan jeg flytter den bør den stadig spørge efter password.
#7 hvis du nu vidste hvordan den helt præcis virker, så er det faktisk lavet sådan, at det er DIG som foretager den flytning, ergo er det DIN opgave som BRUGER at finde ud af hvordan det skal gøre.
Fordi volvo sælger dig en bil med airbag og sele betyder det jo ikke du kan sagsøge dem fordi du kører galt og er dum nok til ikke at have brugt selen .. capice ?
Fordi volvo sælger dig en bil med airbag og sele betyder det jo ikke du kan sagsøge dem fordi du kører galt og er dum nok til ikke at have brugt selen .. capice ?
Nu er jeg jo ikke pressechef for TDC eller noget, jeg er bare en ganske almindelig lønslave ;-).
Jeg synes bare informationen kunne bidrage til debatten.
Jeg synes bare informationen kunne bidrage til debatten.
Heh...hvor er det typisk...at beskylde brugerne for ikke selv at opsøge information, som de ikke aner er relevant.
Hehe - jeg trode det var en feature - læste det tilfældigvis på TeleDK's side i går - jeg er da meget glad for at jeg ikke skal skrive mit kodeord hele tiden :) - det er sq nice!
De skriver at man skal skynde sig og spære sin konto! - wierd - sq da meget smart
Og ingen folk begynder at gøre grin med mig, så syntes jeg det er smart, meget glad for det!
De skriver at man skal skynde sig og spære sin konto! - wierd - sq da meget smart
Og ingen folk begynder at gøre grin med mig, så syntes jeg det er smart, meget glad for det!
#11
Du glemmer, at de gange hvor man selv regner med at kunne flytte sin signatur, og det lader sig gøre uden at der tilsyneladende er problemer, så kan man jo ikke afgøre at der er sket noget fejlagtigt?
Synes det lugter lidt af, at TDC har skubbet teknologien ud uden at tænke over, hvordan folk ville omgås den.
Du glemmer, at de gange hvor man selv regner med at kunne flytte sin signatur, og det lader sig gøre uden at der tilsyneladende er problemer, så kan man jo ikke afgøre at der er sket noget fejlagtigt?
Synes det lugter lidt af, at TDC har skubbet teknologien ud uden at tænke over, hvordan folk ville omgås den.
oh nooo? nu skal jeg til at skrive en kode hver gang jeg afsender en mail?
Det virker lidt bøvlet for mig, mig bekendt skulle der ligge et windows certifikat og spærre for min private key, som så bliver aktiveret når jeg skriver min logon kode... Det er for mig en ok sikkerhed, jeg får også en advarsel om at mine certifikater bliver ubrugelige hvis jeg som administrator nultiller en adgangskode.
Men ok, for Hr. og Fru Jensen, som ikke rigtigt kan li adgangskoder, kan jeg godt se at windows brugerstyring er for teknisk :(
it's not a bug - it's a feature
Det virker lidt bøvlet for mig, mig bekendt skulle der ligge et windows certifikat og spærre for min private key, som så bliver aktiveret når jeg skriver min logon kode... Det er for mig en ok sikkerhed, jeg får også en advarsel om at mine certifikater bliver ubrugelige hvis jeg som administrator nultiller en adgangskode.
Men ok, for Hr. og Fru Jensen, som ikke rigtigt kan li adgangskoder, kan jeg godt se at windows brugerstyring er for teknisk :(
it's not a bug - it's a feature
Selvfølgelig følger man da brugsvejledningen når det har noget med sikkerhed at gøre.
http://ars.userfriendly.org/cartoons/?id=19991114<a>[/url]
http://ars.userfriendly.org/cartoons/?id=19991114<a>[/url]
#12, som sådan er det vel også en "feature" at IE tilbyder at gemme dit password for dig så du ikek skal taste det. Det er bare ikke specielt hensigtsmæssigt når vi snakker om noget der kan bruges til at skrive under på juridisk bindende dokumenter, da det resulterer i at alle der bruger maskinen uden at skulle kende dit password i princippet kan underskrive juridisk bindende dokumenter for dig.
Lidt off topic, men er der andre end mig der ikke har kunnet bruge Digital Signatur på www.tdconline.dk i efterhånden over 1 mdr.? Jeg kan fint vælge min signatur, men derefter kommer der bare en "The page cannot be displayed" med det samme.
Nu ved jeg ikke præcis hvordan den virker, har ej heller en...
Hvis det at flytte signaturen betyder du ikke skal bruge password, hvis du ikke flytter sikkerhedsmodulet med. Hvad skal så forhindre en hacker i at flytte den fra din computer til sin egen?
At de har kendt probelmet i flere md, betyder det ikke, at signatuen ikke er til at stole på... Hvormange flere fejl har de ikke liggende, der ikke bliver gjordt noget ved offentlighed finder frem til problemerne?
De har sku ikke testet det særligt godt, hvis de ikke har ladet nogle bruger med mindre IT erfaring flytte signaturen til en anden PC...
Det bekrafiger bare min holdning om jeg ikke skal havde den....
Ja og her er så din regning på 2 jetjager. Du skal være fraflyttet dit hus på søndag, da de nye ejere overtager det fra på mandag. Bekrafigelsen på at de har bort adopteret din søn er færdig behandlet og vi har fundet en katoelsk præst som adoptive far. Du skal møde op på Rigs hospitalet på mandag kl 11:00, hvor vi vil fjerne din lever som du aller vendligest har doneret til en narkoman der har fået ødelagt sin egen.
Hvis det at flytte signaturen betyder du ikke skal bruge password, hvis du ikke flytter sikkerhedsmodulet med. Hvad skal så forhindre en hacker i at flytte den fra din computer til sin egen?
At de har kendt probelmet i flere md, betyder det ikke, at signatuen ikke er til at stole på... Hvormange flere fejl har de ikke liggende, der ikke bliver gjordt noget ved offentlighed finder frem til problemerne?
De har sku ikke testet det særligt godt, hvis de ikke har ladet nogle bruger med mindre IT erfaring flytte signaturen til en anden PC...
Det bekrafiger bare min holdning om jeg ikke skal havde den....
Ja og her er så din regning på 2 jetjager. Du skal være fraflyttet dit hus på søndag, da de nye ejere overtager det fra på mandag. Bekrafigelsen på at de har bort adopteret din søn er færdig behandlet og vi har fundet en katoelsk præst som adoptive far. Du skal møde op på Rigs hospitalet på mandag kl 11:00, hvor vi vil fjerne din lever som du aller vendligest har doneret til en narkoman der har fået ødelagt sin egen.
#19, Det er netop det jeg som det første kom til at tænke på. For hvis man selv kan flytte signaturen fra sin gamle maskine til en ny og så risikere at den stopper med at spørge efter adgangskode...
Jammen, så kan alle og enhver jo tiltvinge sig adgang til en andens maskine og kopier signaturen over på sin egen maskine og dermed udgive sig for at være den rigtige person bag signaturen. Det er ret skræmmende.. det minder jo lidt om de her sager der har været med identitets tyveri, hvor folk har benyttet sjtålne personlige papirer til at få lavet pas, dankort og kørekort i andres navn.. bare med sit eget billede på.
Jammen, så kan alle og enhver jo tiltvinge sig adgang til en andens maskine og kopier signaturen over på sin egen maskine og dermed udgive sig for at være den rigtige person bag signaturen. Det er ret skræmmende.. det minder jo lidt om de her sager der har været med identitets tyveri, hvor folk har benyttet sjtålne personlige papirer til at få lavet pas, dankort og kørekort i andres navn.. bare med sit eget billede på.
Well #21
#19 og #20 nævner at onde mennesker har nemt spil. Her vil jeg så svare at ja onde mennesker har nemt spil men: En ond person der får mulighed for at flytte certifikatet har sikkert også mulighed for at sniffe passwordet og så er vi lige vidt.
Derved har #19, #20 og jeg ført en saglig snak, og jeg har bekræftet din tese ved at rette på dig... ;)
#19 og #20 nævner at onde mennesker har nemt spil. Her vil jeg så svare at ja onde mennesker har nemt spil men: En ond person der får mulighed for at flytte certifikatet har sikkert også mulighed for at sniffe passwordet og så er vi lige vidt.
Derved har #19, #20 og jeg ført en saglig snak, og jeg har bekræftet din tese ved at rette på dig... ;)
Hmm jeg har lige fået en mail fra TDC hvor de forklarer om problemet. Det er da meget godt at de gør kunderne opmærksomme på det er problemer!
19#
Det fungere ikke helt sådan, for man kan ikke bare eksportere den og installere den på ny. For når du skal importere den så spørger den efter password, men derefter når den skal bruges spørg den ikke. Så du kan ikke "låne" min signatur med mindre jeg installere den på din pc.
Det fungere ikke helt sådan, for man kan ikke bare eksportere den og installere den på ny. For når du skal importere den så spørger den efter password, men derefter når den skal bruges spørg den ikke. Så du kan ikke "låne" min signatur med mindre jeg installere den på din pc.
Hm...nu har jeg modtaget min ds-mail fra TDC, hvor jeg åbenbart fejler testen. Jeg sidder og studser lidt over rationalet i alt det her.
De vil gerne have en adgangskode genetableret på min digitale signatur.
Var det ikke den slags ting, som DS netop skulle afskaffe/gøre nemmere? Som det er nu, så har jeg kun haft brug for min DS til én ting, nemlig tilretningen af min selvangivelse hos Told & Skat. Her kan jeg udover DS anvende TastSelv-kode. Hvor er det lige jeg opnår en besparelse eller bedre sikkerhed med DS, hvis jeg alligevel skal indtaste en kode? Så vil jeg egentlig hellere holde mig til TastSelv systemet, fordi jeg ved hvor jeg kan finde koden efter ½ år, nemlig på mine skattepapirer.
Jeg har med garanti overset noget væsentligt - anyone?
De vil gerne have en adgangskode genetableret på min digitale signatur.
Var det ikke den slags ting, som DS netop skulle afskaffe/gøre nemmere? Som det er nu, så har jeg kun haft brug for min DS til én ting, nemlig tilretningen af min selvangivelse hos Told & Skat. Her kan jeg udover DS anvende TastSelv-kode. Hvor er det lige jeg opnår en besparelse eller bedre sikkerhed med DS, hvis jeg alligevel skal indtaste en kode? Så vil jeg egentlig hellere holde mig til TastSelv systemet, fordi jeg ved hvor jeg kan finde koden efter ½ år, nemlig på mine skattepapirer.
Jeg har med garanti overset noget væsentligt - anyone?
Udover sikkerheden ved DS er der jo også den fordel at du med tiden kan bruge den mange steder, og derved kun har 1 password du skal huske (ved godt det kommer til at tage tid før det sker, men det er meningen at det skal foregå sådan).
Ok, så gør jeg en lille status for DS pr. dags dato, anno 2004:
Brugbarhed: næsten 0
(meget få administrative systemer med på vognen)
Sikkerhed: middel
(hullet samt det faktum, at det forløbigt bare er endnu et password til samlingen)
Er sikker på at DS kunne have en "Høj"-rating i begge disse kategorier....det kan den bare ikke dags dato. Dét vidner da om god planlægning fra "bygherrens" side, hva'? ;)
Brugbarhed: næsten 0
(meget få administrative systemer med på vognen)
Sikkerhed: middel
(hullet samt det faktum, at det forløbigt bare er endnu et password til samlingen)
Er sikker på at DS kunne have en "Høj"-rating i begge disse kategorier....det kan den bare ikke dags dato. Dét vidner da om god planlægning fra "bygherrens" side, hva'? ;)
Jeg er skam virkelig glad for den!!! Saa vidt jeg kan se er det eneste problem med signaturen, at hvis man bruger IE, saa kan man komme til at slaa en funktion til (en skjult knap under flytning af signaturen), saa IE husker dit password...
Det er selvfoelgelig et problem hvis du saelger din pc, en anden for adgang til den eller lignende...
Det er saa rart at TDC gider goere opmaerksom paa denne feature i IE, saa folk bliver bevist om det eller eller faar det fixet!
De goder sider er, at man allerede kan bruge det mange steder! Der er garenteret mange der meget sjaeldent bruger den, men hvor mange bruger egentlig deres normale underskrift saerlig tit? (ud over ved nogle Dankort automater)
Da jeg for kort tid siden flyttede til udlandet, var jeg utrolig glad for den! Jeg behoever ikke laengere komme til Aarhus fordi jeg glemte et eller andet uselt stykke document! Jeg kan bevise 'jeg er mig' via min underskrit, og saa sender de det til mig!
Jeg har desuden brugt det til minSU, rettelser til min selvangivelse, Telmore og min feriekonto...
Hvis i synes det er pjat, saa lad vaere at bruge den, men jeg kunne snart ikke leve uden!
Det er selvfoelgelig et problem hvis du saelger din pc, en anden for adgang til den eller lignende...
Det er saa rart at TDC gider goere opmaerksom paa denne feature i IE, saa folk bliver bevist om det eller eller faar det fixet!
De goder sider er, at man allerede kan bruge det mange steder! Der er garenteret mange der meget sjaeldent bruger den, men hvor mange bruger egentlig deres normale underskrift saerlig tit? (ud over ved nogle Dankort automater)
Da jeg for kort tid siden flyttede til udlandet, var jeg utrolig glad for den! Jeg behoever ikke laengere komme til Aarhus fordi jeg glemte et eller andet uselt stykke document! Jeg kan bevise 'jeg er mig' via min underskrit, og saa sender de det til mig!
Jeg har desuden brugt det til minSU, rettelser til min selvangivelse, Telmore og min feriekonto...
Hvis i synes det er pjat, saa lad vaere at bruge den, men jeg kunne snart ikke leve uden!
Pringle, Rom blev ikke bygget på en dag.
Det tager selvfølgelig tid at få det rullet ud, men synes faktisk de er kommet ret godt fra start.
Det tager selvfølgelig tid at få det rullet ud, men synes faktisk de er kommet ret godt fra start.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund