---

Jeg håber ikke at dette emne er off-topic, i så fald undskylder jeg mange
gange.

Jeg har på-en-eller-anden måde fået ovenstående installeret i min explorer,
således at der regelmæssigt popper reklamer op på min skærm når jeg er på
nettet.

Da det ikke er lykkedes mig at få skidtet fjernet og jeg ikke har lyst til
at omformatere osv., vil jeg hermed høre om der er én som ved hvordan jeg
kan slippe af med "GAIN".

På forhånd tak

Jesper Krarup Nielsen

---

Jesper Krarup Nielsen <jesper@krarupnielsen.dk>, wrote in
<news:3da9321f$0$3634$edfadb0f@dspool01.news.tele.dk>:

> Da det ikke er lykkedes mig at få skidtet fjernet og jeg ikke har lyst til
> at omformatere osv., vil jeg hermed høre om der er én som ved hvordan jeg
> kan slippe af med "GAIN".

Har du prøvet at kigge i tilføj/fjern programmer?
Ellers kan du jo give Ad-aware chancen: www.lavasoftusa.com

--
Anders Lund - spam2002q4@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix

---

>
> Da det ikke er lykkedes mig at få skidtet fjernet og jeg ikke har lyst til
> at omformatere osv., vil jeg hermed høre om der er én som ved hvordan jeg
> kan slippe af med "GAIN".
>
Prøv programmet Ad-Aware. Google vil fortælle dig hvor du kan finde
programmet.

/FreeMan

---

In article <3da9321f$0$3634$edfadb0f@dspool01.news.tele.dk>, Jesper Krarup Nielsen wrote:
> Jeg håber ikke at dette emne er off-topic, i så fald undskylder jeg mange
> gange.
>
> Jeg har på-en-eller-anden måde fået ovenstående installeret i min explorer,
> således at der regelmæssigt popper reklamer op på min skærm når jeg er på
> nettet.
>
> Da det ikke er lykkedes mig at få skidtet fjernet og jeg ikke har lyst til
> at omformatere osv., vil jeg hermed høre om der er én som ved hvordan jeg
> kan slippe af med "GAIN".

Du kan eksempelvis skifte browser til Mozilla, så kan du slå popup
reklamer fra, ligesom i Mozilla. Det er udover at den ikke skal
opdateres hver uge for ikke at være en hacker-bagdør, en god grund til
at skifte.

---

>
> Du kan eksempelvis skifte browser til Mozilla, så kan du slå popup
> reklamer fra, ligesom i Mozilla. Det er udover at den ikke skal
> opdateres hver uge for ikke at være en hacker-bagdør, en god grund til
> at skifte.


Gå nu væk, missionær.

---

In article <3da964a1$0$79624$edfadb0f@dspool01.news.tele.dk>, Andreas Jeppesen wrote:
>
>>
>> Du kan eksempelvis skifte browser til Mozilla, så kan du slå popup
>> reklamer fra, ligesom i Mozilla. Det er udover at den ikke skal
>> opdateres hver uge for ikke at være en hacker-bagdør, en god grund til
>> at skifte.
>
> Gå nu væk, missionær.

Jeg missionerer ikke mere end Microsofts ledere selv gør.

Problemet med IE er, at den featuremæssigt på mange områder
er ved at komme langt bag de alternative browsere. Jeg bruger
selv IE en del af tiden, men foretrækker Mozilla, da det er
et bedre værktøj til at se på websider med.
>

>

---

Povl H. Pedersen <povlhp@povl-h-pedersens-computer.local> wrote:
> Problemet med IE er, at den featuremæssigt på mange områder
> er ved at komme langt bag de alternative browsere. Jeg bruger
> selv IE en del af tiden, men foretrækker Mozilla, da det er
> et bedre værktøj til at se på websider med.

Jeg har ikke grund til at tro, at Mozilla er af betydeligt bedre
kvalitet end IE er, hvertfald fra et sikkerhedsmaessigt synspunkt. Jeg
oplever at Mozilla har langt bedre understoettelse af W3's standarder
end IE har, hvilket er den primaere grund til at jeg bruger den. Jeg
bruger kun IE naar jeg opdaterer min Windows spillemaskine.

Mozilla har nogle sikkerhedsmaessige fordele alene ved at der er visse
teknologier som ActiveX den ikke understoetter.

Mozilla har ulemper paa forskellige omraader f.eks. er der ikke et
grafisk interface til dens sikkerhedszoner, saa almindelige brugere er
tvunget til at slaa JavaScript fra globalt. Opdateringer kan heller ikke
installeres lige saa let som Windows Update tillader IE at blive
opgraderet. Saa vidt jeg ved kan Mozilla heller ikke bindes sammen med
Windows' native support for authentication og lign., hvilket kan vaere
et problem i nogle miljoer.

For mig er det dog vigtigere at vise udviklere af websites at der *er*
andre browsere end IE, ellers ender vi i en situation hvor flere og
flere kritiske sites (min bank, told & skat, etc) udelukkende virker i
IE.

Google frigav nogle statistikker om hvilke browsere og OS der besoegte
deres site. Den stoerste klump paa 40% var IE paa Windows 98. Linux
brugere udgjorde 1% saa vidt jeg husker, og samtlige BSD og nogle andre
OS faldte under 'Others' kategorien paa 2%. Man forstaar jo godt hvorfor
at folk der ikke umiddelbart kender HTML standarden udelukkende tester
paa IE.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst <a@mongers.org> wrote:
> Google frigav nogle statistikker om hvilke browsere og OS der besoegte
> deres site. Den stoerste klump paa 40% var IE paa Windows 98.

Jeg ved ikke hvor jeg fik IE fra -- Google's statistik naevner ikke
noget om browser, kun om OS.

http://www.google.com/press/zeitgeist.html

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

In article <hmacoa.9ec.ln@miracle.mongers.org>, Alex Holst wrote:
> Alex Holst <a@mongers.org> wrote:
>> Google frigav nogle statistikker om hvilke browsere og OS der besoegte
>> deres site. Den stoerste klump paa 40% var IE paa Windows 98.
>
> Jeg ved ikke hvor jeg fik IE fra -- Google's statistik naevner ikke
> noget om browser, kun om OS.
>
> http://www.google.com/press/zeitgeist.html

Ja, det ser ud til, at der kun er omkring 4-5 gange flere IE 6 end
der er Netscape + andre ikke-IE.

Derudover er der problemet med IE at man kun kan have en version
installeret. Man kan ikke slukke for pop-up vinduer. Der mangler
tabbed browsing (genialt på en lille skærm som 1024x768),

Mozilla kan også lave ting som at blokere pop-ups og cookies
på et site-by-site basis. Man kan slå irriterende Javascript ting
fra. Nye versioner har gestures etc.

Derudover er det langt bedre at udvikle i Mozilla da den lever op til
standarden, har en god DOM inspector, og view source / view page
info er meget bedre end i IE.

IE til Mac har dog en cool sidebar der overgår noget jeg har set i
IE på Windows.

Og så checker Mozilla om SSL certificater er valide, det mener jeg
ikke IE gør endnu, dvs enhver der er på lokalnetværk med en der
bruger https til at kommunikere med eksempelvis netbank kan
downloade et hackertool og se med. Dette gælder også switchede
netværk. MS ser det ikke som et problem.
>

---

Povl H. Pedersen wrote:

Jeg er sådan set enig med dig i at Mozilla har nogle fede features.

:: Og så checker Mozilla om SSL certificater er valide, det mener jeg
:: ikke IE gør endnu, dvs enhver der er på lokalnetværk med en der
:: bruger https til at kommunikere med eksempelvis netbank kan
:: downloade et hackertool og se med. Dette gælder også switchede
:: netværk. MS ser det ikke som et problem.

Til gengæld synes ærlig talt ikke at ovenstående giver ret meget mening. Det
er rigtigt at IE (eller rettere Windows) ikke validerer på alle felter i SSL
certifikatet. Det gør at man med lidt spoofing kan narre en bruger/browser
til at oprette en forbindelse til en fake side. Men det kræver AFAIK at man
er i besiddelse af et SSL certifikat, samt er istand til at spoofe en
adresse. Et dumt sikkerhedshul - ja. Kritisk - tja....

Jeg har ikke hørt om et hackertool der kan gøre alt dette, men hvis det
findes er jeg selvfølgelig klar til at ændre holdning. Har du nogen kilde?

Og til sidst er jeg ikke klar over hvad dette sikkerhedshul har med
lokalnetværket, og hvorvidt dette er switched eller ej at gøre. Uanset om
SSL certifikatet er udstedt korrekt eller ej, bliver forbindelse jo
krypteret. Men måske kan du oplyse os om dette.

/FreeMan

---

In article <aociku$elc$1@sunsite.dk>, FreeMan wrote:
> Povl H. Pedersen wrote:
>
> Jeg er sådan set enig med dig i at Mozilla har nogle fede features.
>
>:: Og så checker Mozilla om SSL certificater er valide, det mener jeg
>:: ikke IE gør endnu, dvs enhver der er på lokalnetværk med en der
>:: bruger https til at kommunikere med eksempelvis netbank kan
>:: downloade et hackertool og se med. Dette gælder også switchede
>:: netværk. MS ser det ikke som et problem.
>
> Til gengæld synes ærlig talt ikke at ovenstående giver ret meget mening. Det
> er rigtigt at IE (eller rettere Windows) ikke validerer på alle felter i SSL
> certifikatet. Det gør at man med lidt spoofing kan narre en bruger/browser
> til at oprette en forbindelse til en fake side. Men det kræver AFAIK at man
> er i besiddelse af et SSL certifikat, samt er istand til at spoofe en
> adresse. Et dumt sikkerhedshul - ja. Kritisk - tja....

Enhver kan få et gratis e-mail certifikat fra Thawte, som kun bekræfter
din e-mail adresse. De deler dem ud i hobetal på deres website.
Thawte er en trusted root, 100% ejet af Verisign.

Det at spoofe en adresse er vist nok bare at sende arp replies ud
på det lokale subnet, hvor du siger din MAC adresse er hvad der skal
bruges.
>
> Jeg har ikke hørt om et hackertool der kan gøre alt dette, men hvis det
> findes er jeg selvfølgelig klar til at ændre holdning. Har du nogen kilde?

Toolkittet er klart til brug på: http://www.thoughtcrime.org/ie.html
komplet med det nødvendige trustede certifikat.

Det er hit #1 på google hvis man søger på
ssl internet explorer mac spoof

> Og til sidst er jeg ikke klar over hvad dette sikkerhedshul har med
> lokalnetværket, og hvorvidt dette er switched eller ej at gøre. Uanset om
> SSL certifikatet er udstedt korrekt eller ej, bliver forbindelse jo
> krypteret. Men måske kan du oplyse os om dette.

Hvis du er på lokalnettet, så kan du overtage rollen som default gateway
med at forurene ofrets ARP cache, og dermed få alt hans trafik.

Se ovenståenmde website. Det er trivielt at gøre min din
Linux / BSD kasse.

---

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnaqm2hq.204.povlhp@povl-h-pedersens-computer.local...
> In article <aociku$elc$1@sunsite.dk>, FreeMan wrote:
> > Povl H. Pedersen wrote:

>
> Enhver kan få et gratis e-mail certifikat fra Thawte, som kun bekræfter
> din e-mail adresse. De deler dem ud i hobetal på deres website.
> Thawte er en trusted root, 100% ejet af Verisign.

Jeg var godt nok klar over at Thawte svinede med lidt med certifikaterne,
men at det var så grotesk anede jeg ikke. Og jeg synes egentlig også at have
hørt, at de ikke skulle være root længere, men det kan jeg jo så se at de
stadig er....

Er man så lemfældig med omgangen med certifikater falder hele trustmodellen
sammen. Og det synes jeg egentlig er være end selve sikkerhedshullet.

At der kan laves et hackertool til at udnytte dette, kan kun lade sig gøre
fordi

1) at Thawte er installeret som rodcertifikat
2) De deler ud, uden at tjekke identiteten på modtageren
3) IE validerer ikke på alle felter.

Jeg havde egentlig ikke regnet med forudsætning 2 var overholdt......

Men der kan man bare se.

/FreeMan

---

"FreeMan" <bkb18633a@post.cybercity.dk> writes:

> "Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
> news:slrnaqm2hq.204.povlhp@povl-h-pedersens-computer.local...
> > In article <aociku$elc$1@sunsite.dk>, FreeMan wrote:
> > > Povl H. Pedersen wrote:
>
> >
> > Enhver kan få et gratis e-mail certifikat fra Thawte, som kun bekræfter
> > din e-mail adresse. De deler dem ud i hobetal på deres website.
> > Thawte er en trusted root, 100% ejet af Verisign.
>
> Jeg var godt nok klar over at Thawte svinede med lidt med certifikaterne,
> men at det var så grotesk anede jeg ikke. Og jeg synes egentlig også at have
> hørt, at de ikke skulle være root længere, men det kan jeg jo så se at de
> stadig er....

Der er jo ikke nogen central instans, der bestemmer, hvem der er root og
hvem der ikke er. Det er helt op til dem, der udvikler webbrowsere.

> Er man så lemfældig med omgangen med certifikater falder hele trustmodellen
> sammen. Og det synes jeg egentlig er være end selve sikkerhedshullet.
>
> At der kan laves et hackertool til at udnytte dette, kan kun lade sig gøre
> fordi
>
> 1) at Thawte er installeret som rodcertifikat
> 2) De deler ud, uden at tjekke identiteten på modtageren

Jeg tror skam nok, at de checker identiteten på modtageren, når der er
tale om email-certifikater. Det kan gøres relativt nemt og uden papirfnidder.

> 3) IE validerer ikke på alle felter.

Det er her, det går galt.

--
Med venlig hilsen
Christian Laursen

---

In article <aof2t6$boa$1@sunsite.dk>, FreeMan wrote:
>> Enhver kan få et gratis e-mail certifikat fra Thawte, som kun bekræfter
>> din e-mail adresse. De deler dem ud i hobetal på deres website.
>> Thawte er en trusted root, 100% ejet af Verisign.
>
> Jeg var godt nok klar over at Thawte svinede med lidt med certifikaterne,
> men at det var så grotesk anede jeg ikke. Og jeg synes egentlig også at have
> hørt, at de ikke skulle være root længere, men det kan jeg jo så se at de
> stadig er....

Der er intet problem med Thawte's krav for at udstede certifikater. Jeg
stoler generelt mere på et Thawte certifikat end et fra moderselskabets
forhandlere, dvs. signed af Verisign øverst i kæden.

Det er også Verisign der sendte et på MS certifikater til nogle hackere,
som aldrig blev sporet. Så man ved aldrig om ting fra MS er noget man kan
stole på.

> Er man så lemfældig med omgangen med certifikater falder hele trustmodellen
> sammen. Og det synes jeg egentlig er være end selve sikkerhedshullet.

Hvad mener du ? Det eneste deres certifikat bekræfter er, at ejeren
af en given e-mail adresse på et givet tidspunkt har været i stand til
at modtage certifikatet. Du kan ikke bruge det til eksempelvis websites,
eneste lovlige brug er e-mail - hvis dine klientprogrammer følger
standarder.

Man kan mod at betale, enten Thawte, eller nogle i der har haft
mange til at stole på dem, få tilføjet sit navn i certifikatet. Men
det kræver personligt fremmøde og billed-legitimation.

Derudover er Thawte's e-mail certifikater udstedt af en særlig
Thawte rod, og ikke deres primære.

> At der kan laves et hackertool til at udnytte dette, kan kun lade sig gøre
> fordi
>
> 1) at Thawte er installeret som rodcertifikat
> 2) De deler ud, uden at tjekke identiteten på modtageren
> 3) IE validerer ikke på alle felter.
>
> Jeg havde egentlig ikke regnet med forudsætning 2 var overholdt......
>
> Men der kan man bare se.

De checker da identiteten. De sender til den e-mail adresse som er
det eneste certifikatet validerer.

Det er da også let at få et fake certifikat hos stort set alle de
store.

Opret et domæne med et vilkårligt firmanavn som ejer. Betal kontant
eller på nettet. Sørg for at e-mail korrespondance går til eksempelvis
en hotmail adresse, eller på et billigt hostinghotel.

Søg om certifikat.

Gå ind på publi-com, lav udtræk af firmaoplysninger, og få dem
til at sende certifikatet til en mail-adresse på det domæne du
skal have certifikatet til.

Du skal muligvis lave lidt dokumentfalsk undervejs.

Man kan også bruge en af Verisigns mange useriøse forhandlere,
som garanterer at man altid kan få et cert på 24 timer for 200 kr,
eller hvad priserne nu er.

---

On Tue, 15 Oct 2002 17:29:40 +0000 (UTC), "Povl H. Pedersen"
<povlhp@povl-h-pedersens-computer.local> wrote:

>Det er også Verisign der sendte et på MS certifikater til nogle hackere,
>som aldrig blev sporet. Så man ved aldrig om ting fra MS er noget man kan
>stole på.

Det fejlagtigt udstedte certifikat udløb 30. januar 2002. Så burde den
ikke være længere.

--
- Peter Brodersen

---

Den Wed, 16 Oct 2002 00:58:18 +0200 skrev Peter Brodersen:
>On Tue, 15 Oct 2002 17:29:40 +0000 (UTC), "Povl H. Pedersen"
><povlhp@povl-h-pedersens-computer.local> wrote:
>
>>Det er også Verisign der sendte et på MS certifikater til nogle hackere,
>>som aldrig blev sporet. Så man ved aldrig om ting fra MS er noget man kan
>>stole på.
>
>Det fejlagtigt udstedte certifikat udløb 30. januar 2002. Så burde den
>ikke være længere.

Checker IE så det?

Jeg kan i hvert fald oplyse at den checker som default ikke om et
certifikat er tilbagekaldt. Jeg havde en gang sat mine sikkerheds-
indstillinger som jeg syntes de burde være, og kort efter begyndte
jeg at få fejlmeldinger på vores egen webshop. Man havde tilbagekaldt
certifikatet, fordi det skulle flyttes over på en ny server, men den
nye server var ikke klar endnu. Jeg var den eneste der opdagede
problemet, alle andre havde stadig standardinstillinger.

Mvh
Kent
--
Which one is faster - Lotus Notes or Lotus Esprit?

---

On Wed, 16 Oct 2002 08:03:27 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:

>>Det fejlagtigt udstedte certifikat udløb 30. januar 2002. Så burde den
>>ikke være længere.
>Checker IE så det?

Ja, find en IE og prøv evt. mit udløbede certifikat:
https://secure.ter.dk/

IE har tre overordnede punkter, der skal være i orden (hvor hver punkt
omfatter en række underliggende tjek):

- Certifying Authority'en skal være trusted. Her går det dog galt i
kæden, idet IE altså ikke har tjekket om subject type'n på
certifikatet kunne tænkes at være en "End Entity" (som et udstedt
certifikat normalt vil være)

- Certifikatet må ikke være udløbet

- Certifikatet skal tilhøre det rigtige domæne

Et eksempel på en afvarsel for et udløbet domæne ses fx her:
http://stock.ter.dk/ie_expired
Andre browsere har tilsvarende advarsler.

Undervejs oplevede jeg lige en noget mindre kritisk bug i mozilla:
Hvis man er gået ind på en secure side, og så trykker "Back", bliver
man bedt om at bekræfte at man vil forlade det secure site. I nogle
tilfælde - vist typisk hvis man stod på et billede - henter den den
ikke-SSL-beskyttede URL i baggrunden, mens den spørger om man vil
forlade et SSL-site.

--
- Peter Brodersen

---

In article <aok95q$ih2$1@dknews.tiscali.dk>, Peter Brodersen wrote:
> On Wed, 16 Oct 2002 08:03:27 +0000 (UTC), leeloo@phreaker.net (Kent
> Friis) wrote:
>
>>>Det fejlagtigt udstedte certifikat udløb 30. januar 2002. Så burde den
>>>ikke være længere.
>>Checker IE så det?
>
> Ja, find en IE og prøv evt. mit udløbede certifikat:
> https://secure.ter.dk/

Ja, men spørgsmålet er, om disse kan bruges indirekte. Checker
den dato på alle certifikater op gennem hierarkiet ?

> IE har tre overordnede punkter, der skal være i orden (hvor hver punkt
> omfatter en række underliggende tjek):
>
> - Certifying Authority'en skal være trusted. Her går det dog galt i
> kæden, idet IE altså ikke har tjekket om subject type'n på
> certifikatet kunne tænkes at være en "End Entity" (som et udstedt
> certifikat normalt vil være)
>
> - Certifikatet må ikke være udløbet

Nej, men må nogen af udstederne ?
>
> - Certifikatet skal tilhøre det rigtige domæne
>
> Et eksempel på en afvarsel for et udløbet domæne ses fx her:
> http://stock.ter.dk/ie_expired
> Andre browsere har tilsvarende advarsler.
>
> Undervejs oplevede jeg lige en noget mindre kritisk bug i mozilla:
> Hvis man er gået ind på en secure side, og så trykker "Back", bliver
> man bedt om at bekræfte at man vil forlade det secure site. I nogle
> tilfælde - vist typisk hvis man stod på et billede - henter den den
> ikke-SSL-beskyttede URL i baggrunden, mens den spørger om man vil
> forlade et SSL-site.
Det er selvfølgelig et problem, omend mindre. Jeg mener generelt
ikke at der er noget problem i at forlade en SSL site hvis bare man
er opmærksom på at man ikke længere submitter data sikkert.

---

On Wed, 16 Oct 2002 20:12:44 +0000 (UTC), "Povl H. Pedersen"
<povlhp@povl-h-pedersens-computer.local> wrote:

>> Ja, find en IE og prøv evt. mit udløbede certifikat:
>> https://secure.ter.dk/
>Ja, men spørgsmålet er, om disse kan bruges indirekte. Checker
>den dato på alle certifikater op gennem hierarkiet ?

Aner det ikke. Jeg kan jo prøve at se bort fra "End Entity" ogoprette
et undercerfitikat... :)

Men bortset fra det, så vil jeg tro det. Jeg mindes omkring 1999 et
mægtigt postyr med at "alle" skulle opgradere deres IE, m.m., pga. et
root-certifikat, der var ved at udløbe. Følgende sider bekræfter mine
minder:

http://www.eurotrust.dk/dk/support/index.php?page=rootcertificat#2
http://www.eurotrust.dk/dk/support/index.php?page=knownissues#root

>> - Certifikatet må ikke være udløbet
>Nej, men må nogen af udstederne ?

Tilsyneladende ikke.

>Det er selvfølgelig et problem, omend mindre. Jeg mener generelt
>ikke at der er noget problem i at forlade en SSL site hvis bare man
>er opmærksom på at man ikke længere submitter data sikkert.

Jeg testede lige med et link fremad, ud af SSL-site't. Jeg kunne i
mozilla-tab'en se <title> på den side, jeg var på vej hen til, mens
den spurgte mig. I det mindste stopper den op, hvis man forsøger at
submitte noget ud via en form (også selvom det blot er vha. GET).

--
- Peter Brodersen

---

Peter Brodersen skrev:

> Ja, find en IE og prøv evt. mit udløbede certifikat:
> https://secure.ter.dk/

Min IE kommer med en advarsel, No er standard svar på spørgsmålet
(IE 6 er, såvidt jeg ved, patchet i begge ender. Standardsvaret er vig-
tigt, da det er resultatet hvis brugeren trykker på enter-tasten uden
at læse hvad der står (som mange brugere har for vane)), om man vil
fortsætte. Advarslen går på at certifikatet er udløbet eller ikke trådt
i kraft endnu (jeg ved ikke nok til certifikater, til at vide hvad den
burde svare, men vil umiddelbart gætte på at den ikke burde nævne noget
om at certifikatet ikke er trådt ikraft endnu.

> Undervejs oplevede jeg lige en noget mindre kritisk bug i mozilla:
> Hvis man er gået ind på en secure side, og så trykker "Back", bliver
> man bedt om at bekræfte at man vil forlade det secure site.

Det gør IE også ved https websider.

---

Kent Friis skrev:

> skrev Peter Brodersen:
>> Det fejlagtigt udstedte certifikat udløb 30. januar 2002. Så burde
>> den ikke være længere.

> Checker IE så det?

IE 5, 5.5 og 6 har i alt fald galpet hos mig, på certifikater som er
udløbet. Jeg kan ikke huske om jeg har slået det specifikt til, hvis
Thor Larholm kommer forbi ved han det sikkert.

> Jeg kan i hvert fald oplyse at den checker som default ikke om et
> certifikat er tilbagekaldt.

Du har sikkert ret.

> Jeg var den eneste der opdagede problemet, alle andre havde stadig
> standardinstillinger.

Du har selvfølgelig slået på dem, går jeg ud fra.

---

Den Wed, 16 Oct 2002 19:40:20 +0200 skrev Peder Vendelbo Mikkelsen:
>Kent Friis skrev:
>
>> skrev Peter Brodersen:
>>> Det fejlagtigt udstedte certifikat udløb 30. januar 2002. Så burde
>>> den ikke være længere.
>
>> Checker IE så det?
>
>IE 5, 5.5 og 6 har i alt fald galpet hos mig, på certifikater som er
>udløbet. Jeg kan ikke huske om jeg har slået det specifikt til, hvis
>Thor Larholm kommer forbi ved han det sikkert.
>
>> Jeg kan i hvert fald oplyse at den checker som default ikke om et
>> certifikat er tilbagekaldt.
>
>Du har sikkert ret.
>
>> Jeg var den eneste der opdagede problemet, alle andre havde stadig
>> standardinstillinger.
>
>Du har selvfølgelig slået på dem, går jeg ud fra.

Nøh, jeg rettede min browser tilbage til standardinstillingerne, udfra
den betragtning at når det er firmaet sikkerhedspolitik, så er det
deres problem.

Mvh
Kent
--
"A computer is a state machine.
Threads are for people who can't program state machines."
- Alan Cox

---

Povl H. Pedersen <povlhp@povl-h-pedersens-computer.local>, wrote in
<news:slrnaqj6c3.16k.povlhp@povl-h-pedersens-computer.local>:

>> Gå nu væk, missionær.
>
> Jeg missionerer ikke mere end Microsofts ledere selv gør.

Jeg har ikke lige set nogen Microsoft ledere herinde i denne gruppe.

--
Anders Lund - spam2002q4@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix

---

On Sun, 13 Oct 2002 16:04:18 +0000 (UTC), "Povl H. Pedersen"
<povlhp@povl-h-pedersens-computer.local> wrote:

>> Gå nu væk, missionær.

> Jeg missionerer ikke mere end Microsofts ledere selv gør.

Og de er efter din mening ikke særlig slemme?

-A
--
http://www.hojmark.org/

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

"FreeMan" <bkb18633a@post.cybercity.dk> writes:

> Det gør at man med lidt spoofing kan narre en bruger/browser til at
> oprette en forbindelse til en fake side. Men det kræver AFAIK at man
> er i besiddelse af et SSL certifikat, samt er istand til at spoofe
> en adresse. Et dumt sikkerhedshul - ja. Kritisk - tja....

Enhver spade kan lave sit eget SSL-certifikat; det er en anden sag at
få det signeret af en af de store. At spoofe en adresse er absolut
trivielt, hvis man er den lokale netværksgorilla (eller har rootet en
passende æske), eller sætter browseren til at bruge denne eller hin
proxy.

> Jeg har ikke hørt om et hackertool der kan gøre alt dette, men hvis det
> findes er jeg selvfølgelig klar til at ændre holdning. Har du nogen kilde?

Øh... OpenSSL og enhver nogenlunde kapabel proxyserver. Det er
selvfølgeligt løsningen for folk, der har en smule forstand på
sagerne. Script kiddies, der kun kan trykke på alle tilgængelige
knapper i håb om at rammen en rigtig før eller siden, skal nok kigge
andetsteds.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj2qB7AACgkQYu1fMmOQldXN9QCeNpRd4dLqyytqLAjKMOrggR8O
WnAAnjRmTPcrmQoi2gRQ/2NJcAjcyQgA
=5n39
-----END PGP SIGNATURE-----

---

:: Enhver spade kan lave sit eget SSL-certifikat; det er en anden sag at
:: få det signeret af en af de store.

Og hvis det ikke er signeret af en af de store vil ens browser ikke per
default acceptere certifikatet (dvs. brugeren skal installere/acceptere
det). Så enten skal man lokke brugeren til at foretage en eller anden
handling, eller også skal man have et certifikat fra "en af de store", dvs.
en af dem hvis rodcertifikat er installeret i browseren. Omkring
sandsynligheden for at brugeren installerer certifikatet, så går mine
brugere ihvertfald i selvsving så snart de ser en meddelse om
certifikatproblemer (og sikkerhedsindstilinger), så jeg er ikke så bange for
at de skal acceptere et forkert certifikat (man får spm.á la - bliver jeg
hacket nu?). Og alt andet lige må man være væsentlig nemmere at spore, hvis
man har erhvervet sig et signeret certifikat.

:::At spoofe en adresse er absolut
:: trivielt, hvis man er den lokale netværksgorilla (eller har rootet en
:: passende æske), eller sætter browseren til at bruge denne eller hin
:: proxy.

Enig

:: Øh... OpenSSL og enhver nogenlunde kapabel proxyserver. Det er
:: selvfølgeligt løsningen for folk, der har en smule forstand på
:: sagerne. Script kiddies, der kun kan trykke på alle tilgængelige
:: knapper i håb om at rammen en rigtig før eller siden, skal nok kigge
:: andetsteds.

Nu var påstanden fra Povl sådan set også den, at enhver kunne downloade et
hackerværktøj og så se med. Det var det jeg opponerede imod. Jeg har aldrig
sagt at det ikke kunne lade sig gøre via diverse værktøjer. Er man guru på
det lokale net er der sq så meget andet der også kan lade sig gøre.

Jeg synes selvfølgelig at hullet bør lukkes. Men jeg synes ikke der er nogen
grund til at himle op på den måde. Jeg synes stadigvæk det er et mindre
problem set i forhold til alle de huller der er i dårlige
defaultinstallationer, og år gamle sikkerhedshuller der ikke bliver patchet.
Det kræver ihvertfald at man er væsentlig mere målrettet end den
gennemsnitlige angriber. Og skal vi råbe ulven kommer, vil jeg foretrække at
prioritere de største sikkerhedsproblemer først.

/FreeMan

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

"FreeMan" <bkb18633a@post.cybercity.dk> writes:

>> Enhver spade kan lave sit eget SSL-certifikat; det er en anden sag at
>> få det signeret af en af de store.
> Og hvis det ikke er signeret af en af de store vil ens browser ikke per
> default acceptere certifikatet (dvs. brugeren skal installere/acceptere
> det).

Var problemet ikke lige netop, at IE accepterer dem alligevel?

>> Øh... OpenSSL og enhver nogenlunde kapabel proxyserver. Det er
>> selvfølgeligt løsningen for folk, der har en smule forstand på
>> sagerne. Script kiddies, der kun kan trykke på alle tilgængelige
>> knapper i håb om at rammen en rigtig før eller siden, skal nok
>> kigge andetsteds.
> Nu var påstanden fra Povl sådan set også den, at enhver kunne downloade et
> hackerværktøj og så se med. Det var det jeg opponerede imod.

Min pointe, som jeg nok skulle have gjort mere klart, var, at når det
kan gøres med almindeligt tilgængelige værktøjer, skal der nok også
være nogen, der har automatiseret processen. Hvis jeg kender script
kiddie-verdenen ret, kan man være sikker på, at hvis en svaghed er
kendt og let at udnytte, vil der eksistere kits til at automatisere
udnyttelsen af disse svagheder. Det vil derfor være rimeligt sikkert
at antage ad ignorantiam, at der eksisterer de værktøjer, Povl snakker
om.

> Jeg synes selvfølgelig at hullet bør lukkes. Men jeg synes ikke der
> er nogen grund til at himle op på den måde. Jeg synes stadigvæk det
> er et mindre problem set i forhold til alle de huller der er i
> dårlige defaultinstallationer, og år gamle sikkerhedshuller der ikke
> bliver patchet.

Det kan vi kun være enige om. Men hvis man skulle opremse alle
Microsofts øvrige synder, hver gang en ny tages til debat, ville man
jo aldrig komme nogen vegne.

> Det kræver ihvertfald at man er væsentlig mere målrettet end den
> gennemsnitlige angriber. Og skal vi råbe ulven kommer, vil jeg
> foretrække at prioritere de største sikkerhedsproblemer først.

Gennemsnitlige angribere er da også til grin. Men den viden, der
kræves for at udnytte et hul som dette, er ret begrænset. Selv om det
kræver, at man ikke blot skyder i blinde, kan hullet udnyttes til en
del ret alvorlige ting.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj2rAHQACgkQYu1fMmOQldWorwCdEK9tbnyKneQYwmaaVVVPjWGP
vdYAni1IUF67Pr3Goa9XxHPS6O+8ccMw
=Ob2e
-----END PGP SIGNATURE-----

---

"Martin Christensen" <knightsofspamalot-factotum@gvdnet.dk> wrote in message
news:87d6qcgbyj.fsf@gvdnet.dk...
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> "FreeMan" <bkb18633a@post.cybercity.dk> writes:
>
> >> Enhver spade kan lave sit eget SSL-certifikat; det er en anden sag at
> >> få det signeret af en af de store.
> > Og hvis det ikke er signeret af en af de store vil ens browser ikke per
> > default acceptere certifikatet (dvs. brugeren skal installere/acceptere
> > det).
>
> Var problemet ikke lige netop, at IE accepterer dem alligevel?

Min opfattelse af problemet er helt klart, at IE ikke validerer alle felter.
Specielt ikke det felt der fortæller om man har lov til at udstede nye
certifikater, med baggrund i det eksisterende. Så selvom man ex. kun har et
"end-user" Verisign certifikat kan man altså udstede et nyt certifikat
lydende på www.amazon.com eller hvad man nu kan finde på, og IE vil
acceptere det (forudsat at rodcertifikatet er installeret). For at det skal
være brugbart (=man skal kunne slippe godt fra et exploit) kræver det altså
at man kan skaffe et signeret certifikat fra en af de store
certifikatudbydere, uden at ens identitet bliver kendt.

> Min pointe, som jeg nok skulle have gjort mere klart, var, at når det
> kan gøres med almindeligt tilgængelige værktøjer, skal der nok også
> være nogen, der har automatiseret processen. Hvis jeg kender script
> kiddie-verdenen ret, kan man være sikker på, at hvis en svaghed er
> kendt og let at udnytte, vil der eksistere kits til at automatisere
> udnyttelsen af disse svagheder. Det vil derfor være rimeligt sikkert
> at antage ad ignorantiam, at der eksisterer de værktøjer, Povl snakker
> om.

Ja, men hvis min forståelse af hullet er korrekt, synes jeg ikke at man når
hele vejen alligevel. Det kræver stadig et signeret certifikat fra en
anerkendt udsteder. Det kan man jo ikke sådan lige automatisere.

> Det kan vi kun være enige om. Men hvis man skulle opremse alle
> Microsofts øvrige synder, hver gang en ny tages til debat, ville man
> jo aldrig komme nogen vegne.

Point taken. Det var også mere en reaktion på de lidt "skingre" kommentarer
til dette sikkerhedshul, som jeg efterhånden har set (ikke bare her i
gruppen). Så langt som vi er fra et acceptabelt sikkerhedsniveau, synes jeg
at man skal sætte det i perspektiv. Men jeg kan selvfølgelig ikke forstå at
MS ikke bare retter det via en patch ASAP, istedet for al den snak.

Bortset fra den konkrete fortolkning af sikkerhedshullet, tror jeg ikke vi
er så uenige endda.....

/FreeMan

---

FreeMan skrev:

> Men jeg kan selvfølgelig ikke forstå at MS ikke bare retter det via
> en patch ASAP, istedet for al den snak.

Tjoh, men hvorfor skal man stole på en opdatering fra MS?

Der er jo intet i vejen for at snyde folk, ved at gelejde folk hen til
et falsk windowsupdate.com. Umiddelbart ville folk kunne lokkes til at
gøre det med en email der ser realistisk ud og "ser ud" til at stamme
fra MS (dernæst skal siden blot bringes til at ligne noget folk måske
har set før, det er jo ikke ligefrem raketvidenskab at gøre det første
eller det sidste).

Det behøver ikke engang at være særligt avanceret, jeg kender masser
af mennesker som slet ikke lægger mærke til hvad der står i adresse-
linien i deres browser. Hvis de får en email som ser troværdig ud, vil
de straks følge instruktionen, slå hælene sammen og sige velbekomme jeg
håber at det også var godt for dig.

En så vigtig ting som opdatering af root-certifikater, burde komme med
fodpost, til alle registrerede brugere. Det ville sikkert ikke koste
meget mere end 5 sider med store fuldfarvetryk af billeder af MS-
cheferne eller de nyeste spil i brugermagasinet, at producere en cd og
medsende den (det vil også være billigt at fake det, men sikkert være
svært at overtale fodposten til at distribuere det uden spor til dig).

Det ovennævnte med fodpost og certifikater er ikke min ide, jeg har
læst den (formuleret på en lidt anden måde) i et Bruce Schneier nyheds-
brev og har digtet lidt videre.

---

In article <87d6qcgbyj.fsf@gvdnet.dk>, Martin Christensen wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> "FreeMan" <bkb18633a@post.cybercity.dk> writes:
>
>>> Enhver spade kan lave sit eget SSL-certifikat; det er en anden sag at
>>> få det signeret af en af de store.
>> Og hvis det ikke er signeret af en af de store vil ens browser ikke per
>> default acceptere certifikatet (dvs. brugeren skal installere/acceptere
>> det).
>
> Var problemet ikke lige netop, at IE accepterer dem alligevel?

Nej, MS stoler på certifikater der et eller andet sted i hierarkiet
er blevet signet til et eller andet formål. Så det gratis Thawte
certifikat du har fået til din e-mail, hvor din e-mail er eneste
ID kan du bruge som om det var et root certifikat, fordi MS ikke
checker de felter i certifikatet der siger hvad det må anvendes
til. Alle certifikater kan derfor bruges til at udstede nye med
hvis det bare er MS der skal stole på dem.

Jeg stødte på en netbank forleden der vist havde den slags problemer,
Mozilla 1.2 ville ihvertfal ikke acceptere dens undskyldning for et
certifikat.
>
>>> Øh... OpenSSL og enhver nogenlunde kapabel proxyserver. Det er
>>> selvfølgeligt løsningen for folk, der har en smule forstand på
>>> sagerne. Script kiddies, der kun kan trykke på alle tilgængelige
>>> knapper i håb om at rammen en rigtig før eller siden, skal nok
>>> kigge andetsteds.
>> Nu var påstanden fra Povl sådan set også den, at enhver kunne downloade et
>> hackerværktøj og så se med. Det var det jeg opponerede imod.

Se mit andet indlæg.
>
> Min pointe, som jeg nok skulle have gjort mere klart, var, at når det
> kan gøres med almindeligt tilgængelige værktøjer, skal der nok også
> være nogen, der har automatiseret processen. Hvis jeg kender script
> kiddie-verdenen ret, kan man være sikker på, at hvis en svaghed er
> kendt og let at udnytte, vil der eksistere kits til at automatisere
> udnyttelsen af disse svagheder. Det vil derfor være rimeligt sikkert
> at antage ad ignorantiam, at der eksisterer de værktøjer, Povl snakker
> om.

OK. Det er et par stykker og en webside med brugsanvisning der er
klar nok til at 12-14 årige script kiddies kan lege med.
>
>> Jeg synes selvfølgelig at hullet bør lukkes. Men jeg synes ikke der
>> er nogen grund til at himle op på den måde. Jeg synes stadigvæk det
>> er et mindre problem set i forhold til alle de huller der er i
>> dårlige defaultinstallationer, og år gamle sikkerhedshuller der ikke
>> bliver patchet.
>
> Det kan vi kun være enige om. Men hvis man skulle opremse alle
> Microsofts øvrige synder, hver gang en ny tages til debat, ville man
> jo aldrig komme nogen vegne.

Jeg er UENIG. Ting der sendes over HTTPS / SSL er som regel vigtige
og/eller fortrolige. Og derfor bør det prioriteres at få disse
data beskyttet igen. At MS så burde lade alle deres hotfixes sætter
sikkerhedsniveau til højt i IE indtil fejlene er rettet er en anden sag.
Egentlig burde de fjerne sikkerhedsniveau mellem og lav for
internetzonen.

>> Det kræver ihvertfald at man er væsentlig mere målrettet end den
>> gennemsnitlige angriber. Og skal vi råbe ulven kommer, vil jeg
>> foretrække at prioritere de største sikkerhedsproblemer først.
>
> Gennemsnitlige angribere er da også til grin. Men den viden, der
> kræves for at udnytte et hul som dette, er ret begrænset. Selv om det
> kræver, at man ikke blot skyder i blinde, kan hullet udnyttes til en
> del ret alvorlige ting.

Enig. Derfor mener jeg det er vigtigere at lukke end så meget andet.
Hvordan taler din browser med din netbank ? Jeg tror godt mine
sessioner til Jyske Bank kunne manipuleres. Hvad med dine ?

---

Povl H. Pedersen skrev:

> In article Martin Christensen wrote:
>> Var problemet ikke lige netop, at IE accepterer dem alligevel?

> Nej, MS stoler på certifikater der et eller andet sted i hierarkiet
> er blevet signet til et eller andet formål. Så det gratis Thawte
> certifikat du har fået til din e-mail, hvor din e-mail er eneste
> ID kan du bruge som om det var et root certifikat,

Hmm, jeg fik ikke noget, jeg kunne hente et gratis prøvecertifikat som
skulle udløbe (efter 14 dage? eller var det Verisign?). Jeg har dog
ikke testet det.

Jeg har dog nødtvunget installeret KMDs certifikat, for at få adgang
til eboks (det er næsten en forudsætning for at være kommunalt ansat,
at man anvender eboks (så kommunen og kmd kan spare penge på at udsende
lommepengeafregning)).

> Egentlig burde de fjerne sikkerhedsniveau mellem og lav for internet-
> zonen.

Efter meget råben og skrigen, ville mine brugere smide alle websites i
intranetzonen. Jeg mener ikke at vi er kommet spor længere så. Jeg har
ingen forslag som kan forbedre situationen og vil derfor undlade at
beskrive situationer hvor man slår på folk med bøger (mange af mine
brugere er ældre mennesker og går unødigt i stykker hvis man gør det).

Nogle gange er jeg ikke sikker på at det er en god ide at gøre sine
brugere alt for paranoide, de ringer rask væk og er temmeligt for-
styrrede over at få advarsler om at printeren er løbet tør for papir.

---

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local>
wrote:

>Nej, MS stoler på certifikater der et eller andet sted i hierarkiet
>er blevet signet til et eller andet formål. Så det gratis Thawte
>certifikat du har fået til din e-mail, hvor din e-mail er eneste
>ID kan du bruge som om det var et root certifikat, fordi MS ikke
>checker de felter i certifikatet der siger hvad det må anvendes
>til. Alle certifikater kan derfor bruges til at udstede nye med
>hvis det bare er MS der skal stole på dem.
>
>Jeg stødte på en netbank forleden der vist havde den slags problemer,
>Mozilla 1.2 ville ihvertfal ikke acceptere dens undskyldning for et
>certifikat.

Jeg bringer lige lidt liv i en gammel traad. Denne gang handler
det dog om bankers Java-certifikater:

Min bank (Laan og Spar) lider af og til under udloebne
certifikater paa diverse Java-ting paa deres hjemmeside eller
deres netbank. Hver gang paastaar de haardnakket, at det ikke kan
passe, og saa vil de have flere oplysninger. Man skulle tro, at
det var forfaerdeligt nemt for banken at checke udloebsdatoer paa
de certifikater, der findes paa en given side, saa de ikke
behoever at bede mig om hjaelp til at identificere dem, men
saadan spiller klaveret aabenbart ikke.

Derfor:
Findes der i Mozilla en nem metode til at dumpe hele indholdet af
et certifikat som tekstfil? Naar jeg faar advarslen om det
udloebne certifikat, har jeg mulighed for at se certifikatet, men
kun et af felterne "Version", "Serial Number" osv. ad gangen, saa
det er lidt boevlet at tage skaermdumps eller kopiere indholdet
af felterne over i en email.

....og findes der i oevrigt en mulighed for at se de certifikater,
der ikke resulterer i advarsler?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Jesper Krarup Nielsen" <jesper@krarupnielsen.dk> wrote in message
news:3da9321f$0$3634$edfadb0f@dspool01.news.tele.dk...
> Da det ikke er lykkedes mig at få skidtet fjernet og jeg ikke har lyst til
> at omformatere osv., vil jeg hermed høre om der er én som ved hvordan jeg
> kan slippe af med "GAIN".

Jeg har installeret Ad-Aware og er nu sluppet af med det lorte
reklame-program der har begået indbrud i min PC.
Tak for hjælpen til alle.

Med venlig hilsen
Jesper Krarup Nielsen

---

>
> Jeg har installeret Ad-Aware og er nu sluppet af med det lorte
> reklame-program der har begået indbrud i min PC.

Begået indbrud...

Nu er du er selvfølgelig 100% sikker på at det ikke er blevet installeret
sammen med et eller andet P2P program? Og du læser så selvfølgelig
licensbetingelserne inden du installerer den slags?

/FreeMan

---

Jesper Krarup Nielsen wrote:

> Jeg har installeret Ad-Aware og er nu sluppet af med det lorte
> reklame-program der har begået indbrud i min PC.

Hmmmm.... Kaazaa

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.

---

rea721 wrote in <news:3da98a2d$0$3363$edfadb0f@dspool01.news.tele.dk>:

>> Jeg har installeret Ad-Aware og er nu sluppet af med det lorte
>> reklame-program der har begået indbrud i min PC.
>
> Hmmmm.... Kaazaa

Vade Retro Satana!

Er der tilfældigvis nogen der har en liste over hvilke porte de mest
almindelige af den type share-programmer bruger? Mine brugere kan
åbenbart ikke dresseres til at begrænse deres brug, så nu er tiden
kommet til at lukke for dem i routeren.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

This is not a fix of the backend.

---

Niels Callesøe <pfy@nntp.dk>, wrote in
<news:Xns92A6D0F0A7812k5j6h4jk3@193.88.15.213>:

> Er der tilfældigvis nogen der har en liste over hvilke porte de mest
> almindelige af den type share-programmer bruger? Mine brugere kan
> åbenbart ikke dresseres til at begrænse deres brug, så nu er tiden
> kommet til at lukke for dem i routeren.

Luk af for alt - åben kun for hvad der er brug for.

--
Anders Lund - spam2002q4@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix

---

Anders Lund wrote in <news:aocegl$206m$1@news.cybercity.dk>:

>> Er der tilfældigvis nogen der har en liste over hvilke porte de mest
>> almindelige af den type share-programmer bruger? Mine brugere kan
>> åbenbart ikke dresseres til at begrænse deres brug, så nu er tiden
>> kommet til at lukke for dem i routeren.
>
> Luk af for alt - åben kun for hvad der er brug for.

For megen administration. Netværket bruges fortinsvis til online-spil,
der typisk anvender underlige porte. Der er allerede lukket for ikke-
initialiseret udefrakommende trafik (alm. NAT), men den slags share-
programmer er jo forberedte på den type begrænsning.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

This is not a fix of the backend.

---

Niels Callesøe <pfy@nntp.dk>, wrote in
<news:Xns92A6DFFEA49Fk5j6h4jk3@193.88.15.213>:

>>> Er der tilfældigvis nogen der har en liste over hvilke porte de mest
>>> almindelige af den type share-programmer bruger? Mine brugere kan
>>> åbenbart ikke dresseres til at begrænse deres brug, så nu er tiden
>>> kommet til at lukke for dem i routeren.
>>
>> Luk af for alt - åben kun for hvad der er brug for.
>
> For megen administration. Netværket bruges fortinsvis til online-spil,
> der typisk anvender underlige porte. Der er allerede lukket for ikke-
> initialiseret udefrakommende trafik (alm. NAT), men den slags share-
> programmer er jo forberedte på den type begrænsning.

Jeg er ked af at sige det, men der følger sku noget arbejde med, med at
sikre et netvæk.

--
Anders Lund - spam2002q4@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix

---

Anders Lund wrote in <news:aodi53$1j3$1@news.cybercity.dk>:

>>> Luk af for alt - åben kun for hvad der er brug for.
>>
>> For megen administration. Netværket bruges fortinsvis til
>> online-spil, der typisk anvender underlige porte. Der er allerede
>> lukket for ikke- initialiseret udefrakommende trafik (alm. NAT),
>> men den slags share- programmer er jo forberedte på den type
>> begrænsning.
>
> Jeg er ked af at sige det, men der følger sku noget arbejde med,
> med at sikre et netvæk.

Det er ikke det, det handler om. Det handler om at min
sikkerhedspolitik vægter mine brugeres frihed til at anvende
forbindelsen til de formål der er interessante for dem, på de
tidspunkter der er interessante for dem, (så længe de ikke er til gene
for det øvrige netværk, heraf problemet) højere end den anslåede risiko
ved at tillade udgående trafik på valgfri porte.

At begrænse udgående trafik til bestemte porte medfører i øvrigt ikke
nødvendigvis nogen sikkerhedsmæssig fordel, da -- som det er nævnt
flygtigt andetsteds i tråden -- en tilstrækkelig resourcestærk angriber
vil kunne omgå den slags. Til gengæld vil begrænsning af en _bestemt
type_ trafik have en fyldestgørende (samt opdragende!) effekt overfor
den mindre resourcestærke bruger, hvilket er hvad jeg ønsker at opnå.

Din grundlæggende indstilling til problemstillingen er såmænd fornuftig
nok, men som du måske ved, er jeg fast læser af denne gruppe og _har_
gjort mig de indledende tanker som du referer.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

This is not a fix of the backend.

---

In article <Xns92A6D0F0A7812k5j6h4jk3@193.88.15.213>, Niels Callesøe wrote:
> rea721 wrote in <news:3da98a2d$0$3363$edfadb0f@dspool01.news.tele.dk>:
>
>>> Jeg har installeret Ad-Aware og er nu sluppet af med det lorte
>>> reklame-program der har begået indbrud i min PC.
>>
>> Hmmmm.... Kaazaa
>
> Vade Retro Satana!
>
> Er der tilfældigvis nogen der har en liste over hvilke porte de mest
> almindelige af den type share-programmer bruger? Mine brugere kan
> åbenbart ikke dresseres til at begrænse deres brug, så nu er tiden
> kommet til at lukke for dem i routeren.
>
Sørg for at de ikke kan installere software på deres PC.
Der er ingen grund til at de er lokale administratorer.

---

Povl H. Pedersen wrote in
<news:slrnaqjhjq.1rd.povlhp@povl-h-pedersens-computer.local>:

>> Er der tilfældigvis nogen der har en liste over hvilke porte de
>> mest almindelige af den type share-programmer bruger? Mine
>> brugere kan åbenbart ikke dresseres til at begrænse deres brug,
>> så nu er tiden kommet til at lukke for dem i routeren.
>>
> Sørg for at de ikke kan installere software på deres PC.
> Der er ingen grund til at de er lokale administratorer.

Bwahaha. Ja, den er god. Der er ikke noget jeg hellere ville, men det
er ikke lige den type brugere jeg har. Det er privatpersoner med hver
deres PC, så bortset fra at det ikke er praktisk ladsiggørligt (da
jeg ikke har nøgle til de respektive værelser/lejligheder) er det nok
heller ikke noget de vil sætte ret stor pris på.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

This is not a fix of the backend.

---

"Niels Callesøe" <pfy@nntp.dk> writes:

> Er der tilfældigvis nogen der har en liste over hvilke porte de mest
> almindelige af den type share-programmer bruger? Mine brugere kan
> åbenbart ikke dresseres til at begrænse deres brug, så nu er tiden
> kommet til at lukke for dem i routeren.

Visse af dem køre ganske udemærket på port 80.

--
Besøg http://adsltips.cjb.net for guider
til ADSL og opsætning af CISCO router.

---

Martin Schultz <di020172@NO.SPAM.diku.dk>, wrote in
<news:rdnwuomru93.fsf@brok.diku.dk>:

>> Er der tilfældigvis nogen der har en liste over hvilke porte de mest
>> almindelige af den type share-programmer bruger? Mine brugere kan
>> åbenbart ikke dresseres til at begrænse deres brug, så nu er tiden
>> kommet til at lukke for dem i routeren.
>
> Visse af dem køre ganske udemærket på port 80.

Så er det på med en proxyserver...

--
Anders Lund - spam2002q4@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix

---

Niels Callesøe" <pfy@nntp.dk> wrote:
> Er der tilfældigvis nogen der har en liste over hvilke porte de mest
> almindelige af den type share-programmer bruger? Mine brugere kan
> åbenbart ikke dresseres til at begrænse deres brug, så nu er tiden
> kommet til at lukke for dem i routeren.

Hvem er dine brugere? Har du virkeligt udtoemt mulighederne for, ahem,
uddannelse? Har du mulighed for at overvaage netvaerket, og informere
dem, at hvis der sker yderligere brud paa politikken omkring sharing
programmer, saa vil der blive lukket for blanket udgaaende trafik og kun
tilladt til specifikke porte som 22, 25, 53 og 80?

I mange situationer vil denne slags "overtalelse" vaere at foretraekke
frem for tekniske foranstaltninger. Gruppepres er en vidunderlig
opfindelse.

Ellers kan en Google efter "filesharing" + "block", "ports" eller lign.
nok give en delvis liste.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:

>> Er der tilfældigvis nogen der har en liste over hvilke porte de
>> mest almindelige af den type share-programmer bruger? Mine
>> brugere kan åbenbart ikke dresseres til at begrænse deres brug,
>> så nu er tiden kommet til at lukke for dem i routeren.
>
> Hvem er dine brugere?

Beboere i "min" opgang. Studerende, enkelte med Rigtigt Job(tm). Kort
sagt: Drengerøve.

> Har du virkeligt udtoemt mulighederne for, ahem, uddannelse?

Lad os sige, at jeg endnu ikke har sendt tæskehold, men alt derunder er
forsøgt med mere eller mindre held, i kortere eller længere perioder.
(Inkl. hard reboot af routeren når belastningen bliver for høj og "Nå,
nu hiver vi det segment af i en time, SKDLD"-metoden.)

> Har du mulighed for at overvaage netvaerket,

Desværre kun i begrænset omfang pt. Det er selvfølgelig "på trapperne"
(sammen med noget QoS) men er desværre ikke noget jeg kan prioritere i
øjeblikket.

> og informere dem, at hvis der sker yderligere brud paa politikken
> omkring sharing programmer, saa vil der blive lukket for blanket
> udgaaende trafik og kun tilladt til specifikke porte som 22, 25,
> 53 og 80?

Det har jeg tænkt. Desværre er der også et par "gode brugere" der vil
blive ramt uden at det vil være selvforskyldt, hvilket jeg ikke er så
glad for.

> I mange situationer vil denne slags "overtalelse" vaere at
> foretraekke frem for tekniske foranstaltninger. Gruppepres er en
> vidunderlig opfindelse.

Det kan der være noget om. Jeg har bestemt heller ikke opgivet
"opdragelsen", men det er min fornemmelse at nogen måske kunne have
brug for en Så Kan Du Lære Det(tm) oplevelse.

> Ellers kan en Google efter "filesharing" + "block", "ports" eller
> lign. nok give en delvis liste.

Er gjort. Har fundet frem til nogle. Men jeg tænkte, at hvis en anden
læser af gruppen havde gjort forarbejdet allerede (og ville dele), var
der ikke nogen grund til at opfinde den dybe tallerken igen.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Nu med mere bitter disclaimer.

---

On 14 Oct 2002 06:38:52 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:

>Lad os sige, at jeg endnu ikke har sendt tæskehold, men alt derunder er
>forsøgt med mere eller mindre held, i kortere eller længere perioder.
>(Inkl. hard reboot af routeren når belastningen bliver for høj og "Nå,
>nu hiver vi det segment af i en time, SKDLD"-metoden.)

Jeg er ked af det, men hvor populær, SKDLD-metoden har været, kan den
let resultere i at folk tror, du er dårlig til at vedligeholde
systemet ("Det går hele tiden ned"), og måske internt håber på at "en
bedre" vil tage over.

--
- Peter Brodersen

---

Peter Brodersen skrev:

> "Niels Callesøe" wrote:
>> SKDLD"-metoden.

> SKDLD-metoden

Hvad betyder forkortelsen og hvad går metoden ud på?
(jeg bliver jo nødt til at spørge når der er flere som har hørt om det/
den, måske kan jeg bruge metoden til at give mig en lettere arbejdsdag
(nej, det tror ingengang jeg på, men man skal jo være positiv af og
til))
--
If calories are an issue, store your chocolate on top of the fridge.
Calories are afraid of heights and they will jump out of the chocolate
to protect themselves. -- Bob Brenchley

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> enriched usenet with:

> Peter Brodersen skrev:
>
>> "Niels Callesøe" wrote:
>>> SKDLD"-metoden.
>
>> SKDLD-metoden
>
> Hvad betyder forkortelsen og hvad går metoden ud på?
> (jeg bliver jo nødt til at spørge når der er flere som har hørt om det/
> den, måske kan jeg bruge metoden til at give mig en lettere arbejdsdag
> (nej, det tror ingengang jeg på, men man skal jo være positiv af og
> til))

"Så Kan De Lære Det"-metoden

--
Lars Kyndi Laursen, representatum nixi

Jeg har ikke noget digital kamera, selvom
Peder Vendelbo Mikkelsen lovede mig et.

---

Niels Callesøe skrev:

> Alex Holst wrote:
>> Har du mulighed for at overvaage netvaerket,

> Desværre kun i begrænset omfang pt. Det er selvfølgelig "på trap-
> perne" (sammen med noget QoS) men er desværre ikke noget jeg kan
> prioritere i øjeblikket.

Hvis du har behov for at dokumentere forbruget overfor brugerne eller
dem med pengene, kunne du overveje at opsætte:

<URL: http://www.ntop.org >

Hvis brugerne undrer sig over at inet-forbindelsen kører langsomt, kan
de jo tage et kig på webstatistikken, hvis du vælger at slå den til og
derved anvende den indbyggede webserver (programmet kan også afvikles
i en kommandoprompt/et terminalvindue), og forsikre sig om at der er
liv i butikken.

Jeg læste, jeg tror at det var på snapshot.ntop.org, at hvis man selv
kompilerer programmet fra et af de nyeste snapshots, skulle programmet
være betydeligt mere effektivt og nogle grimme sikkerhedsfejl skulle
være rettet.

> Jeg har bestemt heller ikke opgivet "opdragelsen", men det er min
> fornemmelse at nogen måske kunne have brug for en Så Kan Du Lære Det
> (tm) oplevelse.

Så vil det vel ikke være at vejen, at opdrage med dokumentation af hvad
hver enkel bruger belaster forbindelsen med? Du kan sandsynligvis selv
banke en begrundelse sammen, som snører brugerne med på ideen f.eks. at
du skal bruge det til at måle om tingene kører som i regner med/betaler
for.

---

On Sun, 13 Oct 2002 16:58:48 +0200, "rea721" <leon@721.dk> wrote:

>Jesper Krarup Nielsen wrote:
>
>> Jeg har installeret Ad-Aware og er nu sluppet af med det lorte
>> reklame-program der har begået indbrud i min PC.
>
>Hmmmm.... Kaazaa
jeg bruger Grokster.com, den har cydoor og den kan man komme af med!
Google: remove cydoor grokster spyware
HEHEHE
jeg tror at man kan undgå spyware med Kazaa?


--
best regards IzNoGoUd aka Claes Nielsen, Svendborg, Denmark.

---

"Jesper Krarup Nielsen" <jesper@krarupnielsen.dk> skrev i en meddelelse
news:3da9321f$0$3634$edfadb0f@dspool01.news.tele.dk...
> Jeg håber ikke at dette emne er off-topic, i så fald undskylder jeg mange
> gange.
>
> Jeg har på-en-eller-anden måde fået ovenstående installeret i min
explorer,
> således at der regelmæssigt popper reklamer op på min skærm når jeg er på
> nettet.
>
> Da det ikke er lykkedes mig at få skidtet fjernet og jeg ikke har lyst til
> at omformatere osv., vil jeg hermed høre om der er én som ved hvordan jeg
> kan slippe af med "GAIN".
>
> På forhånd tak
>
> Jesper Krarup Nielsen
>
Det er nu IKKE altid ad-aware finder det hele, som supplement vil jeg
foreslå "spybots S&D",
som kan hentes på følgende link: http://security.kolla.de/ - også i en dansk
udgave - Den
finder det ad-aware ikke gør!
/Gert