mboost-dp1
Socialdemokraterne
Et lidt vildt forslag:
Hvad med at man brugte a la netbank hver gang man loggede på internettet. Altså hvis man havde en fil liggende på computeren som identificerede én, og man kunne opnå denne fil gennem en hjemmeside staten havde (cpr-nummer + tilsendt kode eller lign.). På denne fil skulle der så være aldersoplysninger, så man på den måde kun kunne gå ind på hjemmesider, der tillod den angivne alder. Senere kunne der så implementeres mere i disse filer.. men er filerne for nemme at redigere i? nettet skal vel også redigeres til at kunne arbejde med disse filer (hjemmesider skal være kompatible - danske såvel som internationale).
ris/ros for forslaget modtages gerne. jeg har tænkt lidt over dette. Det kunne være en måde at komme uden om alt det her på. men også sådan noget som at små børn går ind og ser porno kan forhindres.
Hvad med at man brugte a la netbank hver gang man loggede på internettet. Altså hvis man havde en fil liggende på computeren som identificerede én, og man kunne opnå denne fil gennem en hjemmeside staten havde (cpr-nummer + tilsendt kode eller lign.). På denne fil skulle der så være aldersoplysninger, så man på den måde kun kunne gå ind på hjemmesider, der tillod den angivne alder. Senere kunne der så implementeres mere i disse filer.. men er filerne for nemme at redigere i? nettet skal vel også redigeres til at kunne arbejde med disse filer (hjemmesider skal være kompatible - danske såvel som internationale).
ris/ros for forslaget modtages gerne. jeg har tænkt lidt over dette. Det kunne være en måde at komme uden om alt det her på. men også sådan noget som at små børn går ind og ser porno kan forhindres.
#1: Ellers tak, det er at stramme den.
Ideen med det oprindelige forslag er at unge skal kunne chatte og bevæge sig sikkert på nettet. Begynder man at bryde udover dette terræn med din identifikation du forslår, vil systemet i sidste ende falde under sig selv, fordi at folk i stor stil bare ville overtale storebror/søster eller deres forældre til at kunne låne deres identifikation.
Edit: Derudover grænser det op af overvågning, og der står jeg også af.
Ideen med det oprindelige forslag er at unge skal kunne chatte og bevæge sig sikkert på nettet. Begynder man at bryde udover dette terræn med din identifikation du forslår, vil systemet i sidste ende falde under sig selv, fordi at folk i stor stil bare ville overtale storebror/søster eller deres forældre til at kunne låne deres identifikation.
Edit: Derudover grænser det op af overvågning, og der står jeg også af.
Yes lad os droppe opdagelsen af vores børn, og bruge en lille login fil til at beskytte dem.
#1
fantastisk ide, så kunne vi udbygge det så dem der er registreret som kritiske overfor regeringen ikke har adgang til internettet. Og som en bonus bliver det nu endnu nemmere at indfører censur som du ikke engang kan komme udenom ved at flygte til et andet land.
Drop nu reguleringen, det kommer ikke til at virke.
#1
fantastisk ide, så kunne vi udbygge det så dem der er registreret som kritiske overfor regeringen ikke har adgang til internettet. Og som en bonus bliver det nu endnu nemmere at indfører censur som du ikke engang kan komme udenom ved at flygte til et andet land.
Drop nu reguleringen, det kommer ikke til at virke.
Regeringen har allerede informationerne, det er bare et spørgsmål om at gøre dem lettere tilgængelige.Wraith (4) skrev:Det er også det jeg selv har haft som største bagdel ved idéen, men så er det så der man skal have tiltro til regeringen
En slags OpenID hos DanID, kunne jo være fantastisk.
Fremragende idé. Det er pisseirriterende når man sidder og chatter med Lise på 14, og endelig får hende overtalt til at komme forbi og få taget nogle "fotografier til at kickstarte hendes modelkarriere", og det så viser sig at være Ernst på 68 ... og hans homo-sadistiske rockervenner :(
Windcape (16) skrev:#14
Fordi det måske er lidt overdrevent med digital signatur til alting, og fordi at unges adfærd er usikker i første omgang.
Hvis de har tænkt sig at have adgang til netbank (og ja, flere banker har ungdomsnetbanker) efter juni i år, så SKAL de have nemID.
Windscape (16) skrev:Så for ikke at gøre deres signatur usikker, bør man have et relateret, men seperat system.
Hvordan gør det deres signatur mere eller mindre sikker at bruge den til sider? Hvis det er usikkert at lade den implementere, så har de tabt på forhånd. Udover det så ved jeg at alt trafik til deres servere er krypteret, faktisk to gange, og at al verificering af signaturen og ens OTP foregår i et hardware system, som kræver 2 uafhængige personer for at man kan opnå fysisk adgang.
T-Hawk (18) skrev:hardware system, som kræver 2 uafhængige personer for at man kan opnå fysisk adgang.
er det der, de optager film om hackere der trykker vilkårligt på tastaturet og forbinder til ip adresser som 43254432.54325435.54324214.432425.432144 ?
tilbage til det quotede..: kilde?
T-Hawk (18) skrev:Hvordan gør det deres signatur mere eller mindre sikker at bruge den til sider? Hvis det er usikkert at lade den implementere, så har de tabt på forhånd.
Måske fordi de unge bliver vandt til at man bruger sin digitale signatur til at logge ind på alle mulige sider, herved bliver de ukritiske overfor hvor den bruges, hvilket kan gøre det nemmere at opsnappe informationer der måske ikke er helt smarte.
Hvad mener du præcist med at der kræves 2 personer? For mig lød det somom der er 2 ansatte der skal trykke godkend før jeg kommer videre, men det passer forhåbentligt ikke :p
T-Hawk (18) skrev:Hvordan gør det deres signatur mere eller mindre sikker at bruge den til sider?
Om ikke andet, så vil det betyde at alverdens sider får fat i ungernes CPR-numre (der faktisk er hemmelige, selvom mange ser stort på det).
sisseck (20) skrev:Måske fordi de unge bliver vandt til at man bruger sin digitale signatur til at logge ind på alle mulige sider, herved bliver de ukritiske overfor hvor den bruges, hvilket kan gøre det nemmere at opsnappe informationer der måske ikke er helt smarte.
Der er så vidt jeg har forstået ikke direkte nogle informationer i dit certifikat om hvem du er, men ihvertfald med den nuværende OCES kan man ansøge om adgang til CPR-registret, hvilket koster penge og registreres
sisseck (20) skrev:
Hvad mener du præcist med at der kræves 2 personer? For mig lød det somom der er 2 ansatte der skal trykke godkend før jeg kommer videre, men det passer forhåbentligt ikke :p
Jeg mener at for fysisk at komme ind i det rum, hvor deres HSM står, skal der være to personer til stede. HSM'en er den der står for al signering og udstedelse af midlertidige certifikater.
noisycricket (19) skrev:tilbage til det quotede..: kilde?
Har jeg desværre ikke, det var noget en ansat hos danID var ude og holde en forelæsning om på DAIMI for en uges tid siden.
Vandborg1 (21) skrev:Hvad nu hvis Per på 46 får neglet lille Lises signatur, og bruger den til at invitere lille Lotte hjem og lege?
Hvis det er baseret på nemID, så er der ikke noget på lille Lises maskine, derimod har hun et personligt password, et brugernavn/nemID-id/CPR-nummer samt et OTP som det kendes fra bl.a. Jyske Bank.
Det er bekymrende at politikerne tror, at alt kan løses med kontrol og overvågning.
Nu er DanID med deres NemID bragt på bane, og der må jeg sige, at det intet har at gøre med Digital Sigantur - det er udelukkende en SSO løsning. En klyt løsning som forhåbentlig ender i endnu en it-skandale, så vi kan få en ordentlig PKI løsning på banen.
Nu er DanID med deres NemID bragt på bane, og der må jeg sige, at det intet har at gøre med Digital Sigantur - det er udelukkende en SSO løsning. En klyt løsning som forhåbentlig ender i endnu en it-skandale, så vi kan få en ordentlig PKI løsning på banen.
T-Hawk (23) skrev:Hvis det er baseret på nemID, så er der ikke noget på lille Lises maskine, derimod har hun et personligt password, et brugernavn/nemID-id/CPR-nummer samt et OTP som det kendes fra bl.a. Jyske Bank.
Men Per er lille Lise's far, og selvfølgelig får han lov at åbne hendes post hvor alle de ting står i. Ellers får hun jo bare tæv....
Vandborg1 (26) skrev:OTP er det kort man får tilsendt hvergang, altså den er "hardware" right?
Det er et papkort med engangskoder på.
Warhawk (24) skrev:Det er bekymrende at politikerne tror, at alt kan løses med kontrol og overvågning.
Ganske enig
Warhawk (24) skrev:
Nu er DanID med deres NemID bragt på bane, og der må jeg sige, at det intet har at gøre med Digital Sigantur - det er udelukkende en SSO løsning. En klyt løsning som forhåbentlig ender i endnu en it-skandale, så vi kan få en ordentlig PKI løsning på banen.
Igen mere eller mindre enig, dog er jeg ikke helt enig i at det er en klyt løsning efter at have hørt på ham fra DanID.
De prøvede jo sådanset en PKI løsning med OCES, af en eller anden grund skulle det bare fedtes ind i alt muligt skrammel.
Vandborg1 (28) skrev:Så Lille Lise bliver også begrænset, x-antal gange hun kan verificerer sig, så skal hun vente 2-3 dage på at få en ny...
Korrekt, dog regner de vist med at man senere kan købe noget lignende en RSA-token så man har en mulliard nøgler.
T-Hawk (29) skrev:Korrekt, dog regner de vist med at man senere kan købe noget lignende en RSA-token så man har en mulliard nøgler.
Selv hvis lille Lise var teknisk inklineret nok til at bestille sådan en, så forhindrer det ikke Per i at true med at tæve hende hvis hun ikke lader ham låne hendes identitet.
Idéen er dødfødt.
Anders Feder (30) skrev:Selv hvis lille Lise var teknisk inklineret nok til at bestille sådan en, så forhindrer det ikke Per i at true med at tæve hende hvis hun ikke lader ham låne hendes identitet.
Idéen er dødfødt.
Hvis dit kriterie for en idé er at man ikke kan true sig til adgang, så findes der vist ingen systemer der ikke er dødfødte. Hvad skulle forhindre Per i at true lille Lise til at give ham hendes password til hendes e-mail, hendes arto profil, osv. osv. osv.?
@T-Hawk,
Det jeg mener er, at DanID lyver og vildleder. Deres NemID har intet med Digital Signatur at gøre, selvom de ihærdigt prøver at sælge den som sådan. Den er ikke omfattet af lov om DS, da den ikke lever op til lovkravene.
Personligt kunne jeg aldrig drømme om at lade andre opbevare min private nøgler - men det er jo det som DanID gør med den nye NemID. Der er absolut ingen sikkerhed eller privacy for brugeren - kun for staten, PET og hvem der ellers har lyst til at snage, da du ikke har kontrol over noget som helst.
Det rigtige ville være en hardware-token, hvorpå du har din private nøgle og fuld kontrol over den.
Det jeg mener er, at DanID lyver og vildleder. Deres NemID har intet med Digital Signatur at gøre, selvom de ihærdigt prøver at sælge den som sådan. Den er ikke omfattet af lov om DS, da den ikke lever op til lovkravene.
Personligt kunne jeg aldrig drømme om at lade andre opbevare min private nøgler - men det er jo det som DanID gør med den nye NemID. Der er absolut ingen sikkerhed eller privacy for brugeren - kun for staten, PET og hvem der ellers har lyst til at snage, da du ikke har kontrol over noget som helst.
Det rigtige ville være en hardware-token, hvorpå du har din private nøgle og fuld kontrol over den.
FeedMe (17) skrev:Jeg ser det som endnu et eksempel på at socialdemokraterne enten
1. tror at man kan kontrollere alting ved at indføre forbud og diverse andre ting - f.eks. disse licenser.
2. Vil tage ansvaret fra forældrene, så de pædofile kan få lidt friere spil....
Udvid din horisont. Alle politikere tænker på den måde.
Welcome to the real world, Neo(liberalist).
Warhawk (33) skrev:@T-Hawk,
Det jeg mener er, at DanID lyver og vildleder. Deres NemID har intet med Digital Signatur at gøre, selvom de ihærdigt prøver at sælge den som sådan. Den er ikke omfattet af lov om DS, da den ikke lever op til lovkravene.
To be fair så brokkede manden fra DanID sig også over det, og skød skylden på deres marketing afdeling :P
Warhawk (33) skrev:
Personligt kunne jeg aldrig drømme om at lade andre opbevare min private nøgler - men det er jo det som DanID gør med den nye NemID. Der er absolut ingen sikkerhed eller privacy for brugeren - kun for staten, PET og hvem der ellers har lyst til at snage, da du ikke har kontrol over noget som helst.
Det er nu ikke så let som det lyder. Din private-key er opbevaret i et HSM. Han sagde ikke specifikt hvilken, men noget i stil med IBM 4764 gætter jeg på.
Det vil sige, at så længe IBM har gjort deres arbejde ordentligt, så er det ikke muligt for dem at læse indholdet af din private nøgle. De kan kun eksportere en nøgle i krypteret form, og det er kun HSM enheden som kender nøglen til at dekryptere denne.
Warhawk (33) skrev:
Det rigtige ville være en hardware-token, hvorpå du har din private nøgle og fuld kontrol over den.
Han snakkede også om at det ville blive en mulighed senere, specielt til firmaer, noget lignende en USB enhed eller et smart-card, men det er en væsentligt dyrere løsning.
T-Hawk (35) skrev:Det er nu ikke så let som det lyder. Din private-key er opbevaret i et HSM. Han sagde ikke specifikt hvilken, men noget i stil med IBM 4764 gætter jeg på.
Det vil sige, at så længe IBM har gjort deres arbejde ordentligt, så er det ikke muligt for dem at læse indholdet af din private nøgle. De kan kun eksportere en nøgle i krypteret form, og det er kun HSM enheden som kender nøglen til at dekryptere denne.
1) Hvilken garanti har jeg som bruger for at nøglen genereres i HSM'et?
2) Løsningen er stadig håbløst åben overfor man-in-the-middle attacks. Men det går nok over hvis vi lader som ingenting.
Anders Feder (36) skrev:
1) Hvilken garanti har jeg som bruger for at nøglen genereres i HSM'et?
Ingen, men hvis du ikke stoler på DanID så vil jeg råde dig til at holde op med at benytte din bank, og dit dankort.
Som han sagde til lige præcis spørgsmålet om misbrug fra deres side. Selv hvis du har dit certifikat, så er de CA og kan derfor altid udstede et nyt certifikat som de kan bruge, det ville de også kunne med en ren PKI løsning.
Anders Feder (36) skrev:
2) Løsningen er stadig håbløst åben overfor man-in-the-middle attacks. Men det går nok over hvis vi lader som ingenting.
Nej, det er den ikke. Løsningen er baseret på en SSL tunnel til deres servere. SSL er beviseligt ikke sårbart overfor man-in-the-middle attacks.
T-Hawk (38) skrev:Ingen, men hvis du ikke stoler på DanID så vil jeg råde dig til at holde op med at benytte din bank, og dit dankort.
Som han sagde til lige præcis spørgsmålet om misbrug fra deres side. Selv hvis du har dit certifikat, så er de CA og kan derfor altid udstede et nyt certifikat som de kan bruge, det ville de også kunne med en ren PKI løsning.
Udstedelsen af et nyt certifikat efterlader spor, som ikke kan slettes, der kan bruges som bevismateriale i en efterfølgende retsag. Gør DanID's løsning det?
T-Hawk (38) skrev:Nej, det er den ikke. Løsningen er baseret på en SSL tunnel til deres servere. SSL er beviseligt ikke sårbart overfor man-in-the-middle attacks.
Og hvad skulle forhindre en phisher i at forbinde til SSL tunnellen fra sin egen computer?
T-Hawk (40) skrev:SSL protokollen? Det er ikke muligt.
Hvorfor undvige spørgsmålet? Jeg prøver igen: hvad i SSL protokollen gør at det ikke er muligt?
Anders Feder (41) skrev:Hvorfor undvige spørgsmålet? Jeg prøver igen: hvad i SSL protokollen gør at det ikke er muligt?
Alt kommunikation i SSL er krypteret med en shared session key, som kun er kendt af server og klient.
Kan vi blive enige om at den ikke er et problem?
Så er der kun hand-shaking delen af SSL tilbage, den foregår, simpelt forklaret, ved:
* Klienten sender et HELLO, med en NONCE, til serveren
* Serveren sender en NONCE, og sit certifikat, tilbage til klienten
* Klienten verificerer certifikatet og genererer en pre-master-key. Den sender så PMS krypteret under pk_s tilbage til serveren, sammen med sit certifikat og en signeret udgave af de to nonces og den krypterede PMS.
* Serveren verificerer certifikatet og signaturen, og dekrypterer PMS, den sender så en MAC af al tidligere kommunikation krypteret under PMS.
* Klienten verifiserer MAC'en og sender selv en MAC med al tidligere kommunikation, dette inkluderer serverens MAC.
* Begge parter laver en session key udfra n_c, n_s og PMS
Det er basalt set pga. MAC meddelelserne ikke muligt at lave man-in-the-middle attacks på SSL
T-Hawk (42) skrev:Alt kommunikation i SSL er krypteret med en shared session key, som kun er kendt af server og klient.
Kan vi blive enige om at den ikke er et problem?
Nej. Klienten i dette tilfælde er phisherens computer. Hvordan skulle det at kun serveren og phisheren selv kender SSK'en forhindre ham i at forbinde til serveren?
Anders Feder (43) skrev:
Nej. Klienten i dette tilfælde er phisherens computer. Hvordan skulle det at kun serveren og phisheren selv kender SSK'en forhindre ham i at forbinde til serveren?
Hvis du nu læser anden halvdel af mit indlæg, vil du kunne se at det ikke er muligt for phisheren at lægge sig imellem brugeren og den rigtige side. Så ja, selvfølgelig kan phisheren oprette en forbindelse til siden, men han kan ikke bruge den forbindelse til at kommunikere med klienten da han enten skal authenticate med sit eget certifikat, eller kun kan fungere som en tunnel for krypteret trafik.
T-Hawk (44) skrev:Så ja, selvfølgelig kan phisheren oprette en forbindelse til siden, men han kan ikke bruge den forbindelse til at kommunikere med klienten da han enten skal authenticate med sit eget certifikat, eller kun kan fungere som en tunnel for krypteret trafik.
Hvilket certifikat? Brugeren modtager jo kun et papkort når ID'en oprettes? Jeg spørger ikke for at irritere men fordi jeg er oprigtig interesseret i om det virkelig er så sikkert som du siger.
T-Hawk (44) skrev:Så ja, selvfølgelig kan phisheren oprette en forbindelse til siden, men han kan ikke bruge den forbindelse til at kommunikere med klienten da han enten skal authenticate med sit eget certifikat, eller kun kan fungere som en tunnel for krypteret trafik.
Jeg kan se jeg læste forkert: du skriver "kommunikere med klienten", hvor jeg læste serveren.
Jeg siger ikke at phisheren sætter sig som mellemmand på brugerens og serverens SSL-forbindelse. Som sagt er phisheren selv klienten.
Hvad skulle forhindre phisheren i at oprette en (ny) forbindelse til serveren via SSL og sende brugerens OTP til serveren? Så vidt jeg kan se: intet?
Hubert (46) skrev:
Beviseligt? Jeg vil da gerne se dit bevis.
Beviseligt er måske et stærkt ord. :)
Hubert (46) skrev:
Jeg kan jo så tilføje følgende der viser det modsatte...
Nu har jeg ikke tid til at læse en 17 siders paper fra 2002, men så vidt jeg kan se bruger det ARP og DNS poisoning, som ikke direkte har noget med SSL at gøre (og forøvrigt skulle være blevet forhindret siden).
Udover det benytter han en fejl i implementationen af SSL, og ikke i SSL selv.
T-Hawk (48) skrev:
Beviseligt er måske et stærkt ord. :)
Enig. Jeg brugte det også kun fordi du selv havde brugt det. Personligt ville jeg hellere have brugt dokumenteret.
Hubert (46) skrev:
Nu har jeg ikke tid til at læse en 17 siders paper fra 2002, men så vidt jeg kan se bruger det ARP og DNS poisoning, som ikke direkte har noget med SSL at gøre (og forøvrigt skulle være blevet forhindret siden).
Udover det benytter han en fejl i implementationen af SSL, og ikke i SSL selv.
Jeg så det brugt sidste år på både facebook og gmail så helt lukket er det åbenbart ikke. Og om det er ssl protokollen eller arp/dns poisening giver vel det samme i sidst ende? Vi taler stadig et mitm angreb. Selv med ssl kan du ikke være helt sikker. Vi ved bedre end at godtage et certificat der ser forkert ud men det ved hr og fru Jensen ikke nødvendigvis og de vil med stor sansynlighed kunne blive snydt af et sådan angreb. :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund