mboost-dp1
Socialdemokraterne
Anders Feder (50) skrev:Det er for så vidt også underordnet da MITM-angrebet her ikke ville være rettet mod SSL-sessionen selv, men mod applikationslaget ovenover. SSL er ikke mere sikkert end de data man fodrer den med.
SSL bliver ikke mere eller mindre sikkert afhængig af data?
Selv hvis de lægger sig oven på den applet man skal logge på igennem, (ved at skifte den ud?) så er det jo ikke muligt for dem at oprette senere sessions, da de skal bruge et OTP. De kan altså kun udnytte personens credentials så længe hans session er åben, og kun med den side.
T-Hawk (51) skrev:SSL bliver ikke mere eller mindre sikkert afhængig af data?
Selv hvis de lægger sig oven på den applet man skal logge på igennem, (ved at skifte den ud?) så er det jo ikke muligt for dem at oprette senere sessions, da de skal bruge et OTP. De kan altså kun udnytte personens credentials så længe hans session er åben, og kun med den side.
Du misforstår.
1) Jeg er phisher, og sætter et fake community op for dukkesamlere.
2) Du er lille Lise, og synes mit community ser helt vildt fedt ud, og klikker 'log ind med NemID'.
3) Mit site forbinder til din netbank, og beder om at logge ind.
4) Din netbank beder om et OTP.
5) Mit site sender OTP-spørgsmålet videre til dig.
6) Du indtaster frejdigt det rette OTP fra dit højteknologiske papkort fordi du vil ind og lege med dukker, og det skal være NU!
7) Mit site sender det indtastede OTP tilbage til din netbank.
8) Din netbank godtager OTP'et og logger mig ind.
9) Jeg lænser hele din bankkonto, og logger ud.
10) Din netbank lukker sessionen, og jeg kan ikke logge ind igen. Men hvad gør det? Jeg har jo allerede lænset hele din bankkonto.
#52
Sådan fungerer SSL ikke...
For det første er server certifikater som regel bundet til host adressen, dvs. du skal også spoofe netbankens IP. Dette er selvfølgelig også muligt under gængse omstændigheder.
Men idet du beder netbanken om at logge ind, har din egen computer allerede generet et keypair og oprettet den krypterede forbindelse til banken. Med mindre du hacker ind på Lises computer og sørger for at den opretter en SSL session med nøjagtigt samme keypair, kan du ikke bare forwarde data direkte mellem hende og banken.
Alternativet er at du lader hende oprette SSL forbindelsen til banken (ved at agere tunnel), men det kan du heller ikke bruge til noget, for så kender du ikke hendes private key.
Hvis du alligevel skal hacke ind på hendes computer for at aflytte forbindelsen, så kan du jo lige så godt bare bruge en keylogger.
Du kunne selvfølgelig lave din egen service der imiterer bankens login-system, men så ville det kunne ses på certifikatet (eller mangel på samme). Det er jo så heller ikke sikkert at Lise lægger mærke til det.
Sådan fungerer SSL ikke...
For det første er server certifikater som regel bundet til host adressen, dvs. du skal også spoofe netbankens IP. Dette er selvfølgelig også muligt under gængse omstændigheder.
Men idet du beder netbanken om at logge ind, har din egen computer allerede generet et keypair og oprettet den krypterede forbindelse til banken. Med mindre du hacker ind på Lises computer og sørger for at den opretter en SSL session med nøjagtigt samme keypair, kan du ikke bare forwarde data direkte mellem hende og banken.
Alternativet er at du lader hende oprette SSL forbindelsen til banken (ved at agere tunnel), men det kan du heller ikke bruge til noget, for så kender du ikke hendes private key.
Hvis du alligevel skal hacke ind på hendes computer for at aflytte forbindelsen, så kan du jo lige så godt bare bruge en keylogger.
Du kunne selvfølgelig lave din egen service der imiterer bankens login-system, men så ville det kunne ses på certifikatet (eller mangel på samme). Det er jo så heller ikke sikkert at Lise lægger mærke til det.
Suk :)
Læs indlægget igen. Lise beder ikke netbanken om at logge ind. Hun tror at hun logger ind på dukkesamler-sitet.
tachylatus (53) skrev:Men idet du beder netbanken om at logge ind, har din egen computer allerede generet et keypair og oprettet den krypterede forbindelse til banken.
Læs indlægget igen. Lise beder ikke netbanken om at logge ind. Hun tror at hun logger ind på dukkesamler-sitet.
Anders Feder (52) skrev:
1) Jeg er phisher, og sætter et fake community op for dukkesamlere.
2) Du er lille Lise, og synes mit community ser helt vildt fedt ud, og klikker 'log ind med NemID'.
3) Mit site forbinder til din netbank, og beder om at logge ind.
4) Din netbank beder om et OTP.
5) Mit site sender OTP-spørgsmålet videre til dig.
6) Du indtaster frejdigt det rette OTP fra dit højteknologiske papkort fordi du vil ind og lege med dukker, og det skal være NU!
7) Mit site sender det indtastede OTP tilbage til din netbank.
8) Din netbank godtager OTP'et og logger mig ind.
9) Jeg lænser hele din bankkonto, og logger ud.
10) Din netbank lukker sessionen, og jeg kan ikke logge ind igen. Men hvad gør det? Jeg har jo allerede lænset hele din bankkonto.
Nu begynder det at ligne noget, bortset fra at det ikke er netbanken der står for login, men derimod DanID. Plus, lige præcis netbanker kører på et andet system end normalt signering, hvor de opererer med certifikater med meget kort gyldighed.
#54
Right, så din idé går ud på det som jeg også foreslog til sidst: At imitere, jeg retter lige mig selv, DanID's login-system. Så jeg misforstod dig åbenbart også - troede du snakkede om at cracke SSL ;)
I så fald skal Lise blot lære at hun kun må logge på når hun kan se at siden vises gennem en sikker forbindelse, og naturligvis ikke acceptere ugyldige certifikater.
Right, så din idé går ud på det som jeg også foreslog til sidst: At imitere, jeg retter lige mig selv, DanID's login-system. Så jeg misforstod dig åbenbart også - troede du snakkede om at cracke SSL ;)
I så fald skal Lise blot lære at hun kun må logge på når hun kan se at siden vises gennem en sikker forbindelse, og naturligvis ikke acceptere ugyldige certifikater.
tachylatus (57) skrev:sikker forbindelse, og naturligvis ikke acceptere ugyldige certifikater.
*indeholder minds 4 ord lille lise ikke har lært i skolen endnu
T-Hawk (55) skrev:Nu begynder det at ligne noget, bortset fra at det ikke er netbanken der står for login, men derimod DanID.
Teknisk set er det vel ligegyldigt?
T-Hawk (55) skrev:Plus, lige præcis netbanker kører på et andet system end normalt signering, hvor de opererer med certifikater med meget kort gyldighed.
Ja. Så hvis vi i stedet for at lænse din bankkonto, forestiller os at jeg logger ind på Arto med din NetID, og får en af dine nuttede små veninder til at møde mig i en skummel baggård, så...
#56
Den holdning er jeg meget uenig i.
Jeg kan ikke se hvordan der er tale om nogen falsk sikkerhed. Der er jo ikke nogen der siger, at fordi man indfører ungdomssignatur behøver man ikke længere lære børn at begå sig sikkert på internettet.
#58
Taget i betragtning af hvad mange børn er i stand til med computere allerede i en meget ung alder, så synes jeg at du undervurderer Lises evner. Det er ikke svært at lære børn at se efter den lille hængelås i adressefeltet, og desuden kræver det en del mere indsigt overhovedet at kunne finde ud af at acceptere et ugyldigt certifikat (i hvert fald i Chrome og Firefox).
Når alt kommer til alt, så vil det stadig gøre det betydeligt sværere for pædofile at komme i kontakt med de mindreårige på nettet, såfremt børnene bliver opdraget til at holde sig til de sites der kræver login-systemet.
Sammenlignet med andre tiltag, såsom det fuldstændigt latterlige børnepornofilter (som virkelig ER en joke på sikkerhed), synes jeg bestemt dette lyder som et fornuftigt tiltag.
Den holdning er jeg meget uenig i.
Jeg kan ikke se hvordan der er tale om nogen falsk sikkerhed. Der er jo ikke nogen der siger, at fordi man indfører ungdomssignatur behøver man ikke længere lære børn at begå sig sikkert på internettet.
#58
Taget i betragtning af hvad mange børn er i stand til med computere allerede i en meget ung alder, så synes jeg at du undervurderer Lises evner. Det er ikke svært at lære børn at se efter den lille hængelås i adressefeltet, og desuden kræver det en del mere indsigt overhovedet at kunne finde ud af at acceptere et ugyldigt certifikat (i hvert fald i Chrome og Firefox).
Når alt kommer til alt, så vil det stadig gøre det betydeligt sværere for pædofile at komme i kontakt med de mindreårige på nettet, såfremt børnene bliver opdraget til at holde sig til de sites der kræver login-systemet.
Sammenlignet med andre tiltag, såsom det fuldstændigt latterlige børnepornofilter (som virkelig ER en joke på sikkerhed), synes jeg bestemt dette lyder som et fornuftigt tiltag.
tachylatus (60) skrev:så synes jeg at du undervurderer Lises evner.
Lise er en lille opmærksomhedsluder der ikke følger med i timen fordi hun har travlt med at gi handjobs til drengen der sidder ved siden af hende.
homer (56) skrev:Som Anders sagde, tror det var nummer 30 :)
Det eneste det er, er falsk sikkerhed.
Som kan betyde at forældrene ikke prøver, at lære barnet, at være opmærksom på visse farer på internettet.
Hele ideen er latterlig, og uigennemtænkt imo.
Delvist enig. Jeg mener dog ikke det er falsk sikkerhed. Nu har der været en del snak frem og tilbage, men hvis først din computer er blevet inficeret, så kunne der ligeså godt stå en person over din skulder og tvinge dig til at gøre som han sagde. Det er ikke det der kan eller bliver beskyttet imod.
Derimod mener jeg også det blot er endnu et eksempel på den moderne indstilling til børneopdragelse: "Det er samfundets/skolens/regeringens/børnehavens/butikkernes ansvar at opdrage mit barn"
Det ses igen og igen, forældre tør ikke tage diskussionen, fordi de jo skal være venner med deres børn og have åh så meget kvalitetstid.
#62 Det jeg mente med falsk sikkerhed er mere, at alle dem der sidder i den anden ende, og regner med de snakker med ejeren af certifikatet, men i virkeligheden snakker med ejerens pædofile far. Er hurtigere til at glemme farerne.
Trojans er vel osse en mulighed, eller Lises laptop står på bordet og en af drengene laver en hurtig backup (hvis det virkede som netbank) Og lader somom han er lise.. osv osv.
Drop certifikatet og lav det til en del af "fællestime" eller hvad de nu kalder det idag, at lære børn om den slags. Nu når forældrene ikke gider hehe.
Trojans er vel osse en mulighed, eller Lises laptop står på bordet og en af drengene laver en hurtig backup (hvis det virkede som netbank) Og lader somom han er lise.. osv osv.
Drop certifikatet og lav det til en del af "fællestime" eller hvad de nu kalder det idag, at lære børn om den slags. Nu når forældrene ikke gider hehe.
T-Hawk (62) skrev:Delvist enig. Jeg mener dog ikke det er falsk sikkerhed. Nu har der været en del snak frem og tilbage, men hvis først din computer er blevet inficeret, så kunne der ligeså godt stå en person over din skulder og tvinge dig til at gøre som han sagde. Det er ikke det der kan eller bliver beskyttet imod.
Men hvad er det så? Praktisk talt alle børn på f.eks. Arto har voksne familiemedlemmer, der kan misbruge barnets signatur hvis de vil. Hvis først man er parat til at lokke et barn på et internetforum til sig, og misbruge det seksuelt, så kan skridtet til lige at opsnappe ens søns eller datters koder i posten eller på deres værelse altså ikke være ret stor.
Hold nu KÆFT!
Verden er bare ikke sikker og det bliver den aldrig. Børn skal lære at tænke sig om konstant! Jo, før vores børn lærer at tænke på konsekvenserne af deres valg, jo klogere, modne og bedre mennesker vil de blive!
Jo før den her slags curling-barn mentalitet holder op, jo bedre. Vi hverken kan eller skal beskytte vores børn fra virkeligheden. I stedet for skal vi fortælle dem om farerne, støtte dem når de træffer valg, og hjælpe dem, når deres valg fører dem ud i problemer.
Selvfølgelig skal vi passe på vores børn, men de klarer sig dårligt ude i virkeligheden, hvis de ikke kender til problemer.
Verden er bare ikke sikker og det bliver den aldrig. Børn skal lære at tænke sig om konstant! Jo, før vores børn lærer at tænke på konsekvenserne af deres valg, jo klogere, modne og bedre mennesker vil de blive!
Jo før den her slags curling-barn mentalitet holder op, jo bedre. Vi hverken kan eller skal beskytte vores børn fra virkeligheden. I stedet for skal vi fortælle dem om farerne, støtte dem når de træffer valg, og hjælpe dem, når deres valg fører dem ud i problemer.
Selvfølgelig skal vi passe på vores børn, men de klarer sig dårligt ude i virkeligheden, hvis de ikke kender til problemer.
Anders Feder (64) skrev:Men hvad er det så? Praktisk talt alle børn på f.eks. Arto har voksne familiemedlemmer, der kan misbruge barnets signatur hvis de vil. Hvis først man er parat til at lokke et barn på et internetforum til sig, og misbruge det seksuelt, så kan skridtet til lige at opsnappe ens søns eller datters koder i posten eller på deres værelse altså ikke være ret stor.
Nu var det ikke så meget om det er det rigtige valg med en signatur til det her jeg mente ikke var falsk sikerhed. Det var mere PKI systemer og SSO systemer som DanID jeg ikke mente man kunne afskrive på den måde.
Som jeg også nævnte så er det, vil det altid være, og skal det være, forældrenes ansvar at opdrage deres børn. Og hvis lille Lises far er ond pædofil som gerne vil snakke med små drenge på Arto, så er der nok ikke ret meget der hjælper.
Ihvertfald hverken børneporno-filtre, signaturer eller andre tåbelige forslag politikerne kan komme med.
T-Hawk (66) skrev:Nu var det ikke så meget om det er det rigtige valg med en signatur til det her jeg mente ikke var falsk sikerhed. Det var mere PKI systemer og SSO systemer som DanID jeg ikke mente man kunne afskrive på den måde.
Jeg er stor tilhænger af PKI og SSO. Men NemID synes jeg er noget klyt, jvf. ovenstående scenarier.
T-Hawk (66) skrev:Som jeg også nævnte så er det, vil det altid være, og skal det være, forældrenes ansvar at opdrage deres børn. Og hvis lille Lises far er ond pædofil som gerne vil snakke med små drenge på Arto, så er der nok ikke ret meget der hjælper.
Ihvertfald hverken børneporno-filtre, signaturer eller andre tåbelige forslag politikerne kan komme med.
Så blev vi da enige om noget.
#65
True. Jeg er også selv modstander af den mentalitet. Alt for mange forældre er dårlige til at opdrage deres børn.
#66
børnepornofilter == tåbeligt... helt bestemt!
Hvorfor? Det kan nemt misbruges til at krænke andres frihed (selvom det er trivielt at omgå).
ungdomssignatur == tåbeligt... måske.
Hvem ved det? Ingen, for det er ikke blevet testet endnu. Desuden kan jeg ikke se hvordan det skal kunne skade nogen.
#@
Jeg forstår ikke hvorfor folk hidser sig sådan op. Signaturen er et værktøj - hvor fanden kommer børneopdragelse ind i billedet?!
I har sgu så travlt med at skyde det ned, finde på alle mulige eksotiske scenarier hvor det kunne brydes og råbe op omkring forældrenes vs. samfundets ansvar.
I værste fald ville det være ineffektivt og vi ville have spildt nogle skattekroner på det. I bedste fald kunne det virke efter hensigten og rent faktisk reducere antallet af overgreb.
Hvis det samtidigt kan resultere i færre tåbelige tiltag fra regeringens side, hvad er det så folk brokker sig sådan over?
True. Jeg er også selv modstander af den mentalitet. Alt for mange forældre er dårlige til at opdrage deres børn.
#66
børnepornofilter == tåbeligt... helt bestemt!
Hvorfor? Det kan nemt misbruges til at krænke andres frihed (selvom det er trivielt at omgå).
ungdomssignatur == tåbeligt... måske.
Hvem ved det? Ingen, for det er ikke blevet testet endnu. Desuden kan jeg ikke se hvordan det skal kunne skade nogen.
#@
Jeg forstår ikke hvorfor folk hidser sig sådan op. Signaturen er et værktøj - hvor fanden kommer børneopdragelse ind i billedet?!
I har sgu så travlt med at skyde det ned, finde på alle mulige eksotiske scenarier hvor det kunne brydes og råbe op omkring forældrenes vs. samfundets ansvar.
I værste fald ville det være ineffektivt og vi ville have spildt nogle skattekroner på det. I bedste fald kunne det virke efter hensigten og rent faktisk reducere antallet af overgreb.
Hvis det samtidigt kan resultere i færre tåbelige tiltag fra regeringens side, hvad er det så folk brokker sig sådan over?
tachylatus (68) skrev:I værste fald ville det være ineffektivt og vi ville have spildt nogle skattekroner på det.
Nej. i værste fald bliver det brugt til overvågning af dine børn.
for at citere Benjamin Franklin: "Those who would give up Essential Liberty to purchase a little Temporary Safety, deserve neither Liberty nor Safety."
Anders Feder (67) skrev:Jeg er stor tilhænger af PKI og SSO. Men NemID synes jeg er noget klyt, jvf. ovenstående scenarier.
Og hvordan mener du at NemID adskiller sig fra alle muligt andre SSO løsninger? Om muligt er det en sikrere løsning end de fleste SSO løsninger.
tachylatus (68) skrev:
Jeg forstår ikke hvorfor folk hidser sig sådan op. Signaturen er et værktøj - hvor fanden kommer børneopdragelse ind i billedet?!
Det gør det, fordi vi er nogle stykker herinde der ser forslaget som det det er, en måde for forældre at fralægge sig mere ansvar: "Jamen jeg behøver ikke lære min dejlige Victoria Charlotte Amalie ikke at give sin adresse til fremmede, hun har jo ungdomssignatur"
tachylatus (68) skrev:
I har sgu så travlt med at skyde det ned, finde på alle mulige eksotiske scenarier hvor det kunne brydes[...]
Ja? Det er er altid godt at have en teknisk debat om en mulig løsning for den implementeres. Man kan dårligt forvente at politikerne har en, så hvis der skal advares mod en dårlig løsning så skal det komme fra nogle andre (også selvom de ikke lytter)
tachylatus (68) skrev:
I værste fald ville det være ineffektivt og vi ville have spildt nogle skattekroner på det.
Som starz#1 sagde:
starz#1 (69) skrev:Nej. i værste fald bliver det brugt til overvågning af dine børn.
Udover det, så er vi i krise tider, at spilde skattekroner er ikke nogen god idé. Faktisk er det aldrig en god idé at kaste penge ud af vinduet.
tachylatus (68) skrev:I bedste fald kunne det virke efter hensigten og rent faktisk reducere antallet af overgreb.
Ja, det er da hensigten, om end jeg mener det er utopi.
tachylatus (68) skrev:
Hvis det samtidigt kan resultere i færre tåbelige tiltag fra regeringens side, hvad er det så folk brokker sig sådan over?
Hvad har et forslag stillet fra S om en ungdomssignatur med regeringen at gøre? Eller var det bare en undskyldning for lidt regerings bashing, det er jo så moderne.
Wow... Forældre har åbenbart intet ansvar for deres børn mere.
Engang blev alle børn fortalt at de ikke måtte gå med fremmede, modtage slik fra fremmede osv osv osv - "børnelokker" var engang et ord (senere afløst af "pædofil"). Det virkede faktisk, at langt de fleste børn var nogenlunde sikre, og vidste hvordan de skulle reagere i en situation hvor de kom i nærheden af et sådant menneske.
Kunne man forestille sig, og nu tænker jeg helt ud af kassen her, at forældrene til de pågældende børn, måske tog et ansvar for børnenes sikkerhed, og lærte dem hvordan man skal opføre sig på nettet? Jeg ved godt at det er langt ude, og hvem kunne nogensinde forestille sig at noget sådant kunne komme til at ske...
Det er måske bare mig, men er det for helvedet ikke forældrenes ansvar at sørge for at deres børn er sikre, og har de sociale egenskaber der skal til for at kunne kende forskel på rigtigt og forkert, og kende barn fra voksen?
Screw politics, rød, blå, sort, grøn - I don't care. Det er forældre/børn-forhold det her.
Lidt li'som den mor der ville sagsøge en kommune for at ikke have en livredder klar da hendes søn druknede ved stranden. Nej, hun skulle have lært sit barn 2 ting. At have respekt for vandet, og at svømme. Det havde reddet hendes barn, ikke en livredder.
Engang blev alle børn fortalt at de ikke måtte gå med fremmede, modtage slik fra fremmede osv osv osv - "børnelokker" var engang et ord (senere afløst af "pædofil"). Det virkede faktisk, at langt de fleste børn var nogenlunde sikre, og vidste hvordan de skulle reagere i en situation hvor de kom i nærheden af et sådant menneske.
Kunne man forestille sig, og nu tænker jeg helt ud af kassen her, at forældrene til de pågældende børn, måske tog et ansvar for børnenes sikkerhed, og lærte dem hvordan man skal opføre sig på nettet? Jeg ved godt at det er langt ude, og hvem kunne nogensinde forestille sig at noget sådant kunne komme til at ske...
Det er måske bare mig, men er det for helvedet ikke forældrenes ansvar at sørge for at deres børn er sikre, og har de sociale egenskaber der skal til for at kunne kende forskel på rigtigt og forkert, og kende barn fra voksen?
Screw politics, rød, blå, sort, grøn - I don't care. Det er forældre/børn-forhold det her.
Lidt li'som den mor der ville sagsøge en kommune for at ikke have en livredder klar da hendes søn druknede ved stranden. Nej, hun skulle have lært sit barn 2 ting. At have respekt for vandet, og at svømme. Det havde reddet hendes barn, ikke en livredder.
nyx (71) skrev:Wow... Forældre har åbenbart intet ansvar for deres børn mere.
Engang blev alle børn fortalt at de ikke måtte gå med fremmede, modtage slik fra fremmede osv osv osv - "børnelokker" var engang et ord (senere afløst af "pædofil"). Det virkede faktisk, at langt de fleste børn var nogenlunde sikre, og vidste hvordan de skulle reagere i en situation hvor de kom i nærheden af et sådant menneske.
Kunne man forestille sig, og nu tænker jeg helt ud af kassen her, at forældrene til de pågældende børn, måske tog et ansvar for børnenes sikkerhed, og lærte dem hvordan man skal opføre sig på nettet? Jeg ved godt at det er langt ude, og hvem kunne nogensinde forestille sig at noget sådant kunne komme til at ske...
Det er måske bare mig, men er det for helvedet ikke forældrenes ansvar at sørge for at deres børn er sikre, og har de sociale egenskaber der skal til for at kunne kende forskel på rigtigt og forkert, og kende barn fra voksen?
Screw politics, rød, blå, sort, grøn - I don't care. Det er forældre/børn-forhold det her.
Lidt li'som den mor der ville sagsøge en kommune for at ikke have en livredder klar da hendes søn druknede ved stranden. Nej, hun skulle have lært sit barn 2 ting. At have respekt for vandet, og at svømme. Det havde reddet hendes barn, ikke en livredder.
Jeg er enig og dybt uenig i det du siger.
Jeg er enig i at det er at tage ansvaret fra forældrene. Men det du foreslår er at vi giver det til børnene i stedet. Det er faktisk værre :)
Forældre skal vide hvor deres børn er hele tiden indtil de når en vis alder.
Hvis et barn drukner i havet er det ligegyldigt om en forældre har lært det at svømme eller om det har givet barnet respekt for vand - det handler om at holde opsyn med børnene, så længe de ikke har indset livets alvor.
Anders Feder (11) skrev:Fremragende idé. Det er pisseirriterende når man sidder og chatter med Lise på 14, og endelig får hende overtalt til at komme forbi og få taget nogle "fotografier til at kickstarte hendes modelkarriere", og det så viser sig at være Ernst på 68 ... og hans homo-sadistiske rockervenner :(
Den funktion kunne Anders Bonde godt have brugt ;)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund