/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Under al kritik?
Fra : Dennis Friis


Dato : 02-07-03 01:47

Jeg har været så uheldig at blive arb.løs for en periode og har tilmedt
mig AF for at kunne modtage dagpenge fra min fagforening.

Pga. den nye 'Arbejdsmarkedsreform' fra 1. januar 2003 skal ledige der
er "arbejdsparate" lægge deres CV ind i den digitale CV-bank.

Det skal man gøre inden 30 dage fra tilmelding og CV'et bliver så
tjekket af en rådgiver til godkendelse. Alt dette er vel fint nok.

www.jobnet.dk

På siden afkræves en masse følsomme persondata der er beskyttet af
registerloven og det er der også en tekst om, samt en mindre tekstboks
på selve tilmeldingsformularen. Desuden skal man ved aktivering af sit
CV angive CPR-nummer mm. Igen et eksempel på følsomme persondata.

Herligt tænker jeg, det er jo nemt og ligetil. Mine data er beskyttet og
datatilsynet har styr på det, indtil jeg trykker på linket til
tilmeldingsformularen og bemærker at mod forventning er protokollen
_ikke_ skiftet til SSL kryptering. (HTTPS). Jeg tænker, aha, en fejl,
nogle har glemt s'et i http:// linket. Så jeg indsætter manuelt et s,
men siden findes ikke. Jeg er målløs må jeg indrømme. Jeg sender aldrig
persondata der er beskyttet af registerloven over en ukrypteret
forbindelse i ren cleartext af princip. Men jeg _skal_ jo død og pine
for at opfylde min ledighedserklæring og få dagpenge. Enhver med en
sniffer, en log, whatever kan læse med i mine mest personlige data.

Er dette ikke under al kritik, at en offentlig instans har en så lav
sikkerhed? Gud ved jeg ikke er glad for at betale skat, men de må gerne
bruge lidt af mine skattepenge på at købe et certifikat til siden og i
det mindste anvende SSL.

Jeg har jo 30 dage, så jeg har skrevet til dem og venter svar før jeg
vil anvende deres site. Måske jeg får dem overtalt til at installere
HTTPS delen. Om ikke andet vil jeg gerne høre om andre synes, som jeg,
at mindst 128 bit SSL kryptering burde være et lovkrav når persondata
der er beskyttet af registerloven skal fise igennem browseren. Måske
hvis flere er enige vil jeg kontakte mine lokale politikere og pådutte
dem min holdning. Jeg overvejer også at skrive til
forbrugerombudsmanden, synes andre det er en god idé?

Jeg mener sikkerhed kan vi vel ikke "få nok af", specielt med de
selvkontrollerende off. instanser.
</paranoia>




--
Vh
Dennis Friis
IRC: peavey - #linux.dk@undernet


 
 
Kim Ludvigsen (02-07-2003)
Kommentar
Fra : Kim Ludvigsen


Dato : 02-07-03 03:26

Dennis Friis wrote:
>
> Om ikke andet vil jeg gerne høre om andre synes, som jeg,
> at mindst 128 bit SSL kryptering burde være et lovkrav når persondata
> der er beskyttet af registerloven skal fise igennem browseren. Måske
> hvis flere er enige vil jeg kontakte mine lokale politikere og pådutte
> dem min holdning. Jeg overvejer også at skrive til
> forbrugerombudsmanden, synes andre det er en god idé?

Tage en avis med i dine overvejelser. Det kan som regel sætte mere fut i
viljen til at få det ændret, for selvfølgelig skal det ændres.

--
Mvh. Kim Ludvigsen

Kaj Svenningsen (02-07-2003)
Kommentar
Fra : Kaj Svenningsen


Dato : 02-07-03 04:21

Dennis Friis skrev:

>Jeg mener sikkerhed kan vi vel ikke "få nok af", specielt med de
>selvkontrollerende off. instanser.

Du har ret. Det er noget forbandet svineri.
Der blev i sin tid lovet, at CPRnumre ikke skulle udleveres til andre
end off. instanser.

Men glæd dig, for jeg har hørt emailadresserne derinde høstes til
spammere. Det skal jo være en gyldig adresse, så vidt jeg ved.
--
Kaj Svenningsen (Behandl dig selv som du vil behandles af andre)

En dansk gennemgang af Hamsterens opsætning:
http://www.kajsvenningsen.dk/opsat/ham-01.shtml

MFO (02-07-2003)
Kommentar
Fra : MFO


Dato : 02-07-03 06:38


"Kaj Svenningsen" <news@kajsvenningsen.dk> wrote in message
news:bdtq4k.3vvs00b.1@kajsvenningsen.dk...
[snip]
> Men glæd dig, for jeg har hørt emailadresserne derinde høstes til
> spammere. Det skal jo være en gyldig adresse, så vidt jeg ved.
[snap]

Hej!
Du har ret i, at adresserne høstes til spam. Der er dog ikke krav om, at man
angiver en mailadresse.
Venlig hilsen
MFO



kim (03-07-2003)
Kommentar
Fra : kim


Dato : 03-07-03 07:37

"Kaj Svenningsen" <news@kajsvenningsen.dk> skrev
> Men glæd dig, for jeg har hørt emailadresserne derinde høstes til
> spammere. Det skal jo være en gyldig adresse, så vidt jeg ved.

Hey, mener du at hvis man skriver sin mailadresse inde på
AF's hjemmeside, på sit CV, så bliver den tilgængelig for
spammere, som så sender masser af spam til en ?

Ligesom hvis man bruger sin personlige mailadresse i NG ?

Mvh Kim



Kaj Svenningsen (03-07-2003)
Kommentar
Fra : Kaj Svenningsen


Dato : 03-07-03 17:33

kim skrev:

>Hey, mener du at hvis man skriver sin mailadresse inde på
>AF's hjemmeside, på sit CV, så bliver den tilgængelig for
>spammere, som så sender masser af spam til en ?
>
>Ligesom hvis man bruger sin personlige mailadresse i NG ?

Ja.
--
Kaj Svenningsen (Behandl dig selv som du vil behandles af andre)

En dansk gennemgang af Hamsterens opsætning:
http://www.kajsvenningsen.dk/opsat/ham-01.shtml

Michael Foged (03-07-2003)
Kommentar
Fra : Michael Foged


Dato : 03-07-03 18:58

On Thu, 03 Jul 2003 08:36:39 +0200, kim wrote:

> "Kaj Svenningsen" <news@kajsvenningsen.dk> skrev
>> Men glæd dig, for jeg har hørt emailadresserne derinde høstes til
>> spammere. Det skal jo være en gyldig adresse, så vidt jeg ved.
>
> Hey, mener du at hvis man skriver sin mailadresse inde på
> AF's hjemmeside, på sit CV, så bliver den tilgængelig for
> spammere, som så sender masser af spam til en ?
>
> Ligesom hvis man bruger sin personlige mailadresse i NG ?
>
> Mvh Kim

Hvis man er paranoid med hensy til spam, kan man bare holde den skjult,
man vil alligevel kunne kontaktes af eventuelle arbejdsgivere. Har prøvet
det selv.

mvh Michael

Thomas Bjorn Anderse~ (02-07-2003)
Kommentar
Fra : Thomas Bjorn Anderse~


Dato : 02-07-03 06:03

"Dennis Friis" <peavzNOS@PAM.placid.dk> writes:

> Herligt tænker jeg, det er jo nemt og ligetil. Mine data er beskyttet og
> datatilsynet har styr på det, indtil jeg trykker på linket til
> tilmeldingsformularen og bemærker at mod forventning er protokollen
> _ikke_ skiftet til SSL kryptering. (HTTPS). Jeg tænker, aha, en fejl,
> nogle har glemt s'et i http:// linket. Så jeg indsætter manuelt et s,
> men siden findes ikke. Jeg er målløs må jeg indrømme. Jeg sender aldrig
> persondata der er beskyttet af registerloven over en ukrypteret
> forbindelse i ren cleartext af princip. Men jeg _skal_ jo død og pine
> for at opfylde min ledighedserklæring og få dagpenge. Enhver med en
> sniffer, en log, whatever kan læse med i mine mest personlige data.

I betragtning af hvad der står på
http://www.datatilsynet.dk/include/show.article.asp?art_id=532&sub_url=/Vaerd_at_vide/indhold.asp

"Efter Datatilsynets opfattelse bør der ved transmission af
oplysninger om personnumre over det åbne Internet som minimum
foretages kryptering. Der bør også foretages kryptering, hvis andre
oplysninger, som må betragtes som fortrolige (f.eks. oplysninger om
økonomiske forhold o.l.), transmitteres."

så lyder det jo som en ret ligetil sag for datatilsynet.

--
Thomas Bjorn Andersen
+++ATH

Dennis Friis (02-07-2003)
Kommentar
Fra : Dennis Friis


Dato : 02-07-03 07:00

"Thomas Bjorn Andersen" <tbaNOSPAM200301@gen-v.net> wrote in message
news:86vfulbjvw.fsf@gen-v.net...

> I betragtning af hvad der står på
>
http://www.datatilsynet.dk/include/show.article.asp?art_id=532&sub_url=/Vaerd_at_vide/indhold.asp
>
> "Efter Datatilsynets opfattelse bør der ved transmission af
> oplysninger om personnumre over det åbne Internet som minimum
> foretages kryptering. Der bør også foretages kryptering, hvis andre
> oplysninger, som må betragtes som fortrolige (f.eks. oplysninger om
> økonomiske forhold o.l.), transmitteres."
>
> så lyder det jo som en ret ligetil sag for datatilsynet.

Du har ret i at det er et glimrende argument at tage med hvis man skulle
gøre opmærksom på problemet. Jeg så gerne at det var et krav i stedet
for en anbefaling, specielt når det gælder det offentlige.

Tak for linket



--
Vh
Dennis Friis
IRC: peavey - #linux.dk@undernet


Lars Møller (02-07-2003)
Kommentar
Fra : Lars Møller


Dato : 02-07-03 10:01



Dennis Friis wrote:

>
>
> Du har ret i at det er et glimrende argument at tage med hvis man skulle
> gøre opmærksom på problemet. Jeg så gerne at det var et krav i stedet
> for en anbefaling, specielt når det gælder det offentlige.
>

I Vejledning til bekendtgørelse nr. 528 af 15. juni 2000 om
sikkerhedsforanstaltninger til beskyttelse af
personoplysninger, som behandles for den offentlige
forvaltning

Står der:

Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de
transmitterede oplysninger. Hvis der er tale om transmission af
fortrolige oplysninger, herunder personnummer, skal der som minimum
foretages en kryptering. Hvis de transmitterede oplysninger er af følsom
karakter (omfattet af persondatalovens § 7, stk. 1 og § 8, stk. 1), skal
der anvendes en stærk kryptering, baseret på en anerkendt algoritme.

I § 7 stk. 1 står der:

§ 7. Der må ikke behandles oplysninger om racemæssig eller etnisk
baggrund, politisk, religiøs eller filosofisk overbevisning,
fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og
seksuelle forhold.

I § 8 stk. 1 står der:

§ 8. For den offentlige forvaltning må der ikke behandles
oplysninger om strafbare forhold, væsentlige sociale problemer og andre
rent private forhold end de i § 7, stk. 1, nævnte, medmindre det er
nødvendigt for varetagelsen af myndighedens opgaver.

Med venlig hilsen

Lars P. Møller
http://www.sikker-it.dk





Thomas Corell (02-07-2003)
Kommentar
Fra : Thomas Corell


Dato : 02-07-03 13:22

Thomas Bjorn Andersen wrote:
> "Dennis Friis" <peavzNOS@PAM.placid.dk> writes:
>
>> Herligt tænker jeg, det er jo nemt og ligetil. Mine data er beskyttet og
>> datatilsynet har styr på det, indtil jeg trykker på linket til
>> tilmeldingsformularen og bemærker at mod forventning er protokollen
>> _ikke_ skiftet til SSL kryptering. (HTTPS)....
>
> "Efter Datatilsynets opfattelse bør der ved transmission af
> oplysninger om personnumre over det åbne Internet som minimum
> foretages kryptering. Der bør også foretages kryptering, hvis andre
> oplysninger, som må betragtes som fortrolige (f.eks. oplysninger om
> økonomiske forhold o.l.), transmitteres."

Men den POST'er til:

<form method="POST" action="https://secure.amprod..

Altså bliver indholdet af formen sendt krypteret.

--
Don't waste space

Bertel Lund Hansen (02-07-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 02-07-03 13:44

Thomas Corell skrev:

>Men den POST'er til:

> <form method="POST" action="https://secure.amprod..

>Altså bliver indholdet af formen sendt krypteret.

Jeg var ude for en butik hvor jeg også troede at der blev sendt
data usikkert. De forklarede at selve transmissionen var sikker,
men at det blot ikke var synligt for brugeren.

Det virker mest betryggende hvis hængelåsen lukker i allerede
mens man sidder og udfylder formularen selv om det ikke er
nødvendigt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Troels Arvin (02-07-2003)
Kommentar
Fra : Troels Arvin


Dato : 02-07-03 14:14

On Wed, 02 Jul 2003 14:43:59 +0200, Bertel Lund Hansen wrote:

> Det virker mest betryggende hvis hængelåsen lukker i allerede
> mens man sidder og udfylder formularen selv om det ikke er
> nødvendigt.

Absolut!

Det kan ikke være meningen, at man som web-bruger skal forstå HTML og
måske endda javascript for at kunne gennemskue, om éns data vil blive
overført forsvarligt.

Hvis ikke formular-siden vises over SSL vil jeg mene, at det er en yderst
tvivlsom løsning.

/Troels


Andreas Plesner Jaco~ (02-07-2003)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 02-07-03 14:26

In article <pan.2003.07.02.13.13.37.638423@arvin.dk>, Troels Arvin wrote:
>
> Det kan ikke være meningen, at man som web-bruger skal forstå HTML og
> måske endda javascript for at kunne gennemskue, om éns data vil blive
> overført forsvarligt.

Man kunne vel blot skrive det i selve formularen?

> Hvis ikke formular-siden vises over SSL vil jeg mene, at det er en
> yderst tvivlsom løsning.

Den er ikke tvivlsom, den ser tvivlsom ud for den ukyndige.

--
Andreas Plesner Jacobsen | A woman should have compassion.
|    -- Kirk, "Catspaw", stardate 3018.2

Bertel Lund Hansen (02-07-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 02-07-03 15:05

Andreas Plesner Jacobsen skrev:

>Den er ikke tvivlsom, den ser tvivlsom ud for den ukyndige.

.... hvilket gør det umuligt for den ukyndige at skelne sikre
forbindelser fra usikre. Enten må man så som ukyndig afholde sig
fra at sende følsomme data, eller også må man bede til de højere
cybermagter at de vil sikre ens data når man ikke selv kan.

Begge muligheder vil jeg nok kalde tvivlsomme.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Klaus Ellegaard (02-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 02-07-03 16:08

Bertel Lund Hansen <nospamfor@lundhansen.dk> writes:

>>Den er ikke tvivlsom, den ser tvivlsom ud for den ukyndige.

>... hvilket gør det umuligt for den ukyndige at skelne sikre
>forbindelser fra usikre. Enten må man så som ukyndig afholde sig
>fra at sende følsomme data, eller også må man bede til de højere
>cybermagter at de vil sikre ens data når man ikke selv kan.

....eller sætte sin lid til Datatilsynet.

Nok er det en forholdsvis ny ting med kryptering og den slags,
men i mange andre tilfælde tænker vi ikke så meget på vores
sikkerhed - vi regner med, at myndighederne klarer den side af
sagen for os.

Et eksempel er fødevaresikkerhed, hvor vi selvfølgelig går
udenom decideret ulækre pizzasnaske, men på resten spiser vi
i tiltro til, at ejeren har styr på det, og at myndighederne
lukker hans butik, hvis det ikke er tilfældet.

Ikke at man overhovedet kan sammenligne de to ting i øvrigt,
men som forbruger bør man ikke behøve bekymre sig så meget
om den slags. Os, der måske "ved lidt mere", har til gengæld
en forpligtelse til at anmelde overtrædelser, så de kan blive
rettet i en fart.

Mvh.
   Klaus.

Kasper Dupont (02-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 02-07-03 15:08

Andreas Plesner Jacobsen wrote:
>
> In article <pan.2003.07.02.13.13.37.638423@arvin.dk>, Troels Arvin wrote:
> >
> > Det kan ikke være meningen, at man som web-bruger skal forstå HTML og
> > måske endda javascript for at kunne gennemskue, om éns data vil blive
> > overført forsvarligt.
>
> Man kunne vel blot skrive det i selve formularen?

Ville du tro på det? Jeg erindrer en side, der bestemt ikke brugte
SSL. For nu at overbevise folk om, at det var sikkert havde de i
stedet snuppet hængelåsen fra IE og viste den i dobbelt størrelse
på siden.

>
> > Hvis ikke formular-siden vises over SSL vil jeg mene, at det er en
> > yderst tvivlsom løsning.
>
> Den er ikke tvivlsom, den ser tvivlsom ud for den ukyndige.

Hvis ikke formularen sendes over SSL kan der være ændret på den
undervejs. Dermed kan du ikke være sikker på, at felterne betyder
det du tror, og du kan heller ikke være sikker på, hvor formularen
sendes hen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Benny Amorsen (02-07-2003)
Kommentar
Fra : Benny Amorsen


Dato : 02-07-03 20:35

>>>>> "APJ" == Andreas Plesner Jacobsen <apj@daarligstil.dk> writes:

APJ> Den er ikke tvivlsom, den ser tvivlsom ud for den ukyndige.

Den er yderst tvivlsom. Hvis siden bliver skiftet ud af en passende
angriber under transporten, kan linket blive skiftet ud til et
ikke-https link eller et link til en helt anden https-site. Det vil
brugeren ikke have en chance for at opdage.

Det er en af de ting SSL blev designet til at forhindre. (At det så
IMHO er en elendig beskyttelse er en anden sag.)


/Benny


Allan Olesen (03-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 03-07-03 01:27

Benny Amorsen <benny+nospam@amorsen.dk> wrote:

>Hvis siden bliver skiftet ud af en passende
>angriber under transporten, kan linket blive skiftet ud til et
>ikke-https link eller et link til en helt anden https-site.

Hvilket jo egentlig ogsaa kunne ske med den foregaaende side, som
foerer til indtastningssiden...


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Klaus Ellegaard (03-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 03-07-03 05:52

Allan Olesen <aolesen@post3.tele.dk> writes:

>>Hvis siden bliver skiftet ud af en passende
>>angriber under transporten, kan linket blive skiftet ud til et
>>ikke-https link eller et link til en helt anden https-site.

>Hvilket jo egentlig ogsaa kunne ske med den foregaaende side, som
>foerer til indtastningssiden...

- og for selve indtastningssiden. Det er de færreste, der tjekker
certifikater og certifikatets status, hver gang de besøger siden.

Mvh.
   Klaus.

Allan Olesen (03-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 03-07-03 06:15

Klaus Ellegaard <klausellegaard@msn.com> wrote:

>>Hvilket jo egentlig ogsaa kunne ske med den foregaaende side, som
>>foerer til indtastningssiden...
>
>- og for selve indtastningssiden.

Jeg tror egentlig, vi taler om det samme. Det, jeg mente:
Selv om brugeren faar en sikker indtastningsside, er der er
intet, der forhindrer, at den foregaaende side, som leder til
indtastningssiden, er forfalsket og indeholder et link til en
falsk, sikker indtastningsside paa en helt anden server med et
helt andet gyldigt certifikat.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (03-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 03-07-03 08:17

Allan Olesen wrote:
>
> Jeg tror egentlig, vi taler om det samme. Det, jeg mente:
> Selv om brugeren faar en sikker indtastningsside, er der er
> intet, der forhindrer, at den foregaaende side, som leder til
> indtastningssiden, er forfalsket og indeholder et link til en
> falsk, sikker indtastningsside paa en helt anden server med et
> helt andet gyldigt certifikat.

Brugeren burde opdage, at der står en forkert URL i browseren.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Klaus Ellegaard (03-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 03-07-03 08:46

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> falsk, sikker indtastningsside paa en helt anden server med et
>> helt andet gyldigt certifikat.

>Brugeren burde opdage, at der står en forkert URL i browseren.

Hvad er den rigtige URL?

I mange tilfælde benytter online-butikker sig af eksterne
betalingsformidlere. Det er ikke til at vide, om det er den
rigtige, man har fat i. Står der noget andet end normalt,
kan websitet have skiftet udbyder, så det stadig er ok.

Måske burde websitet skrive noget om det, men det kan ikke
undgå at blive en procedure, der vil tage familien Danmark
en times tid at komme igennem. Så er det nemmere at køre
ned i en fysisk butik, og det var jo ikke lige meningen.

Det er i øvrigt det samme med fødevaresikkerheden: når du
køber en bøf, følger der heller ikke en 300 siders manual
med, hvor samtlige bakteriologiske og toksikologiske tests,
man kan udføre på kødet, er beskrevet. Man regner med, at
det er i orden.

Og så kommer priorieteringen jo: fordærvet mad kan man dø
af. Følgerne af en forkert URL er trods alt mindre grelle.

Mvh.
   Klaus.

Troels Arvin (03-07-2003)
Kommentar
Fra : Troels Arvin


Dato : 03-07-03 12:20

On Thu, 03 Jul 2003 09:16:44 +0200, Kasper Dupont wrote:

> Brugeren burde opdage, at der står en forkert URL i browseren.
Hvilket leder til et andet, desværre lidt for ofte forekommende problem:
SSL-sider serveret uden location-felt (fx. som pop-up). Dette har jeg
senest set i en CSC-løsning: Københavns Kommunes selvbetjeningssystem,
hvor login-dialogen er en pop-up boks.

/Troels


Klaus Ellegaard (03-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 03-07-03 12:37

Troels Arvin <troels@arvin.dk> writes:

>Hvilket leder til et andet, desværre lidt for ofte forekommende problem:
>SSL-sider serveret uden location-felt (fx. som pop-up). Dette har jeg
>senest set i en CSC-løsning: Københavns Kommunes selvbetjeningssystem,
>hvor login-dialogen er en pop-up boks.

Jeg har svært ved at se problemet.

Uanset hvad, er det nødvendigt, at man åbner HTML-koden og kigger
på den, hvis man er bekymret. Ellers fanger man ikke, at selve
sitet er blevet hacket, og den onde hacker har ændret FORM'en til
at sende data til evilh4x0r.example.com i stedet for tilbage til
sitet.

Strengt taget bør man nok også først ringe til webstedets ejer
og spørge, om han inden for de sidste 3 sekunder har tjekket, at
hele systemet ikke er i hackerens vold. Det nytter jo ikke noget,
at SSL-laget er i orden, hvis hele maskinen er hacket.

I den sammenhæng bliver tjekket for SSL til en så uvæsentlig del
af sikkerheden, at det næsten kan være ligemeget at tjekke den.

Mvh.
   Klaus.

Troels Arvin (03-07-2003)
Kommentar
Fra : Troels Arvin


Dato : 03-07-03 13:18

On Thu, 03 Jul 2003 11:36:59 +0000, Klaus Ellegaard wrote:

> Uanset hvad, er det nødvendigt, at man åbner HTML-koden og kigger på
> den

Hvis man vil være på den helt sikre side, (t)ja. Men det står jo ikke i
vejen for at gøre det lettere for folk at vurdere, om en side er serveret
over en sikret forbindelse eller ej: Det, der her diskuteres, er god
praksis for SSL-sites; jeg synes, at denne diskussion er interessant.

Efter min mening indebærer god praksis bl.a. at
- web-site navn svarer til certifikatets CN
- siderne ikke benytter frames (som gør det mere kompliceret
at vurdere, hvorfra informationerne stammer)
- siderne ikke inkluderer ikke-SSL materiale (såsom grafik-elementer
over plain HTTP)
- at location-feltet kan ses
- at formular-indtastningssider serveres over SSL - ikke blot
den URL, hvortil formular sendes

> Strengt taget bør man nok også først ringe til webstedets ejer og
> spørge, om han inden for de sidste 3 sekunder har tjekket, at hele
> systemet ikke er i hackerens vold. Det nytter jo ikke noget, at
> SSL-laget er i orden, hvis hele maskinen er hacket.

Dels synes jeg, at ovenstående er perfidt. Dels synes jeg, at du
undervurderer SSL. Jeg sætter stor pris på SSL, særligt når jeg
benytter ukrypterede WLAN-netværk.

Hvis du ikke synes, at diskussionen er interessant, vil du
så ikke lade være med at deltage i den?

/Troels

Klaus Ellegaard (03-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 03-07-03 13:55

Troels Arvin <troels@arvin.dk> writes:

>Hvis man vil være på den helt sikre side, (t)ja. Men det står jo ikke i
>vejen for at gøre det lettere for folk at vurdere, om en side er serveret
>over en sikret forbindelse eller ej:

Mjoh, hvis det strider mod de tre absolut vigtigste parametre:
kundevenlighed, visuel præsentation og .

Det hjælper ikke noget at have en sikkerhedsmæssigt smart side,
hvis det betyder, at kunderne synes, den er grim, ikke passer
på virksomhedens øvrige grafiske profil og/eller ikke tiltrækker
sig kunderne.

Jeg er helt enig i din liste over "best practice", men hvis du
spørger dem, der har ansvar for at tjene penge, er prioriteten
nok noget i retning af:

1. Brugervenligt.
2. Grafisk og konceptuelt i tråd med den øvrige markedsføring.
3. Pænt.
4. Sikkert (det er ikke god markedsføring at blive hængt ud).
.......
73. Nemt at se og kontrollere sikkerhedsparametre.

Dermed ikke sagt, at din "best practice"-liste er forkert. Men
ovenstående har nok en hel del at gøre med, at den ikke ses
implementeret ret mange steder.

>Dels synes jeg, at ovenstående er perfidt. Dels synes jeg, at du
>undervurderer SSL. Jeg sætter stor pris på SSL, særligt når jeg
>benytter ukrypterede WLAN-netværk.

Oh jo, men jeg savner en realistisk indgangsvinkel til daglig
sikkerhed. Man får indtrykket af, at mange brugeres hjem ligner
bokskælderen under Fort Knox. Eller burde gøre det, hvis der var
en smule konsekvens i deres anskuelse af sikkerhed.

>Hvis du ikke synes, at diskussionen er interessant, vil du
>så ikke lade være med at deltage i den?

Det synes jeg da bestemt, men den er yderst teoretisk og ikke i
nævneværdig grad realistisk at implementere. I hvert fald ikke
når der er marketingsfolk med inde i billedet.

Mvh.
   Klaus.

Klaus Ellegaard (03-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 03-07-03 13:56

Klaus Ellegaard <klausellegaard@msn.com> writes:

>Mjoh, hvis det strider mod de tre absolut vigtigste parametre:
>kundevenlighed, visuel præsentation og .

....det overordnede koncept.

Mvh.
   Klaus.

Troels Arvin (03-07-2003)
Kommentar
Fra : Troels Arvin


Dato : 03-07-03 14:38

On Thu, 03 Jul 2003 12:55:16 +0000, Klaus Ellegaard wrote:

> jeg savner en realistisk indgangsvinkel til daglig sikkerhed.

Det er jo netop det, jeg forsøger at få en fornuftig diskussion om.
Derfor den - efter min mening - ret operationelle liste over hvad jeg
synes er "best practise".

Mht. om der er penge i tingene eller ej: Denne her gruppe handler om
sikkerhed. Vi kan godt blive enige om, at der er mange, der prioriterer
det langt nede på listen, men det forhindrer ikke denne gruppe i at
diskutere ...: sikkerhed.

> men den er yderst teoretisk og ikke i nævneværdig grad realistisk at
> implementere. I hvert fald ikke når der er marketingsfolk med inde i
> billedet.

Det er ikke alle steder, at marketingfolk bestemmer alt. Og det er ikke
alle steder, at marketingfolk går mere op i layout end sikkerhed.

Jeg har absolut mødt situationer, hvor sikkerhedsargumenter blev skudt
ned til fordel for mere "poppede" overvejelser, men også det modsatte.
Derfor: Bare fordi tingene fungerer dårligt nogle steder, forhindrer det
ikke denne gruppe i at blive brug til at diskutere sikkerhed.

/Troels

Asbjorn Hojmark (03-07-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 03-07-03 22:18

On Thu, 3 Jul 2003 12:55:16 +0000 (UTC), Klaus Ellegaard
<klausellegaard@msn.com> wrote:

> 1. Brugervenligt.
> 2. Grafisk og konceptuelt i tråd med den øvrige markedsføring.
> 3. Pænt.
> 4. Sikkert (det er ikke god markedsføring at blive hængt ud).
> ......
> 73. Nemt at se og kontrollere sikkerhedsparametre.

Det er nu faktisk min erfaring, at opmærksomheden om de her ting
efterhånden er ret stor i markedet (og altså også hos de omtalte
marketingsfolk).

Det er (ifm. e-handel) efterhånden ikke ualmindeligt, at et af de
allerførste krav er, at alting skal signallere sikkerhed, og det
med om det er pænt kommer først længere nede på listen.

Jeg har på et tidspunkt fået at vide, at PBS har nogle relativt
detaljerede krav til, hvordan den slags skal gøres, når der er
tale om dankortbetalinger, og at et af kravene netop er, at den
omtalte hængelås vises også på den side, hvor man taster date
ind.

Så de har efterhånden lært lektien. (Hvilket selvfølgelig ikke er
ensbetydende med, at man ikke (stadig) kan finde eksempler på det
modsatte).

-A
--
http://www.hojmark.org/

Asbjorn Hojmark (03-07-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 03-07-03 21:57

On Thu, 03 Jul 2003 14:18:26 +0200, Troels Arvin
<troels@arvin.dk> wrote:

> Efter min mening indebærer god praksis bl.a. at
> - web-site navn svarer til certifikatets CN

Det gør browseren da normalt for en.

> - siderne ikke benytter frames (som gør det mere kompliceret
> at vurdere, hvorfra informationerne stammer)

Hvis der benyttes frames, vil browseren ikke vise 'hængelåsen',
hvis det ikke er samtlige frames, der serveres over HTTPS.

> - siderne ikke inkluderer ikke-SSL materiale (såsom grafik-elementer
> over plain HTTP)

Igen vil man ikke få 'hængelåsen', hvis det er en blanding.
Faktisk er jeg ret sikker på, at i hvert fald IE som default
ligefrem kommer med en advarsel, hvis det er blandet.

-A
--
http://www.hojmark.org/

Troels Arvin (04-07-2003)
Kommentar
Fra : Troels Arvin


Dato : 04-07-03 00:06

On Thu, 03 Jul 2003 22:57:22 +0200, Asbjorn Hojmark wrote:

> > Efter min mening indebærer god praksis bl.a. at
> > - web-site navn svarer til certifikatets CN
> Det gør browseren da normalt for en.

Yep, men det forhindrer åbenbart ikke, at nogen leverer løsninger, hvor
de regner med, at folk bare ignorerer browser-advarsler: Da jeg for et
halvt års tid siden ville tilbagebetale noget studiegæld til
Finansstyrelsen via Dankort, foregik det via en "løsning", hvor man blev
sendt til en HTTPS-URL med IP-nummer i stedet for host-navn. Browseren
klagede. Og jeg klagede til Finansstyrelsen, men fik bare et stupidt svar
(som forventet). Jeg gad ikke gå videre til Datatilsynet, bl.a. fordi det
er mit indtryk, at deres magt generelt er ret symbolsk.

Et andet (men relateret) eksempel: Nederst på
http://www.finansstyrelsen.dk/ er et dankort-grafik-element, der er link
til https://147.29.152.233/
147.29.152.233 svarer i skrivende stund ikke, men jeg har svært ved at
forestille mig, at Finansstyrelsen har købt certifikat til 147.29.152.233
....

>> - siderne ikke benytter frames (som gør det mere kompliceret
>> at vurdere, hvorfra informationerne stammer)
>
> Hvis der benyttes frames, vil browseren ikke vise 'hængelåsen', hvis
> det ikke er samtlige frames, der serveres over HTTPS.

Klart. Jeg synes dog stadig, at det er dårlig stil at benytte frames i
SSL-sammenhænge: Det gør det mere besværligt at tjekke hvilke site(s)
der egentlig serverer indholdet. Dette er et generelt frame-problem, som
blot bliver mere aktuelt i situationer, hvor man gerne vil prøve at hitte
rede i, hvad der egentlig sker.

>> - siderne ikke inkluderer ikke-SSL materiale (såsom grafik-elementer
>> over plain HTTP)
>
> Igen vil man ikke få 'hængelåsen', hvis det er en blanding. Faktisk
> er jeg ret sikker på, at i hvert fald IE som default ligefrem kommer
> med en advarsel, hvis det er blandet.

Jeg mener ikke, at alle IE'er gør det pr. default. Og stadig er der
åbenbart firmaer, der er ligeglade med potentielle browser-advarsler;
endda firmaer, der absolut burde vide bedre. Prøv at tjekke
http://news.netcraft.com/archives/2003/06/27/certificate_authorities_careless_about_ssl_security.html

/Troels

Klaus Ellegaard (04-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 04-07-03 06:19

Troels Arvin <troels@arvin.dk> writes:

>sendt til en HTTPS-URL med IP-nummer i stedet for host-navn. Browseren
>klagede. Og jeg klagede til Finansstyrelsen, men fik bare et stupidt svar
>(som forventet). Jeg gad ikke gå videre til Datatilsynet, bl.a. fordi det
>er mit indtryk, at deres magt generelt er ret symbolsk.

Datatilsynet har skam reel magt, men i dette tilfælde er løsningen
helt i orden. Så det vil de ikke kunne gøre noget ved.

Én ting er, at ting ser skidt ud (og browseradvarsler er ikke lige
det, folk ønsker at se). Noget andet er, om det rent teknisk er en
sikkerhedsmæssig forsvarlig løsning. Det sidstnævnte er formentlig
tilfældet her, og så er Datatilsynet tilfreds.

Mvh.
   Klaus.

Troels Arvin (04-07-2003)
Kommentar
Fra : Troels Arvin


Dato : 04-07-03 08:24

On Fri, 04 Jul 2003 05:18:43 +0000, Klaus Ellegaard wrote:

> Én ting er, at ting ser skidt ud (og browseradvarsler er ikke lige
> det, folk ønsker at se). Noget andet er, om det rent teknisk er en
> sikkerhedsmæssig forsvarlig løsning. Det sidstnævnte er formentlig
> tilfældet her, og så er Datatilsynet tilfreds.

Jeg synes ikke, at det er sikkerhedsmæssigt fedt at opfordre folk til at
benytte deres kreditkort til afsendelse af mange tusind kroner til en
server, hvis certifikat ikke match'er.

Bemærk, at jeg _ikke_ henvendte mig til Datatilsynet: Så vi kan _ikke_
konkludere, at løsningen er forsvarlig.

/Troels


Klaus Ellegaard (04-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 04-07-03 09:54

Troels Arvin <troels@arvin.dk> writes:

>> Én ting er, at ting ser skidt ud (og browseradvarsler er ikke lige
>> det, folk ønsker at se). Noget andet er, om det rent teknisk er en
>> sikkerhedsmæssig forsvarlig løsning. Det sidstnævnte er formentlig
>> tilfældet her, og så er Datatilsynet tilfreds.

>Jeg synes ikke, at det er sikkerhedsmæssigt fedt at opfordre folk til at
>benytte deres kreditkort til afsendelse af mange tusind kroner til en
>server, hvis certifikat ikke match'er.

Datatilsynets opgave er at sørge for, at kommunikationen er
sikker, og at oplysninger ikke kan lækkes. Hvis der bruges
SSL, vil det efter al sandsynlighed være tilfældet.

Om det er "fedt" eller ej, er sådan set ligegyldigt, når
man kigger på den lov, Datatilsynet er sat til at føre
tilsyn med.

>Bemærk, at jeg _ikke_ henvendte mig til Datatilsynet: Så vi kan _ikke_
>konkludere, at løsningen er forsvarlig.

Det er derfor, jeg skrev "formentlig".

Mvh.
   Klaus.

Kasper Dupont (04-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 04-07-03 09:07

Klaus Ellegaard wrote:
>
> Troels Arvin <troels@arvin.dk> writes:
>
> >sendt til en HTTPS-URL med IP-nummer i stedet for host-navn. Browseren
> >klagede. Og jeg klagede til Finansstyrelsen, men fik bare et stupidt svar
> >(som forventet). Jeg gad ikke gå videre til Datatilsynet, bl.a. fordi det
> >er mit indtryk, at deres magt generelt er ret symbolsk.
>
> Datatilsynet har skam reel magt, men i dette tilfælde er løsningen
> helt i orden. Så det vil de ikke kunne gøre noget ved.

Løsningen er ikke forsvarlig. Ved et simpelt MiM angreb kunne man
erstate IP i URLen med en anden IP. Hvis de kan få et certifikat,
der er gyldigt for deres IP kan jeg også få et certifikat, som er
gyldigt for min IP. Og man kan ikke forvente at brugeren kan
gennemskue hvem en IP adresse tilhører.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Kasper Dupont (03-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 03-07-03 22:06

Klaus Ellegaard wrote:
>
> Troels Arvin <troels@arvin.dk> writes:
>
> >Hvilket leder til et andet, desværre lidt for ofte forekommende problem:
> >SSL-sider serveret uden location-felt (fx. som pop-up). Dette har jeg
> >senest set i en CSC-løsning: Københavns Kommunes selvbetjeningssystem,
> >hvor login-dialogen er en pop-up boks.
>
> Jeg har svært ved at se problemet.
>
> Uanset hvad, er det nødvendigt, at man åbner HTML-koden og kigger
> på den, hvis man er bekymret. Ellers fanger man ikke, at selve
> sitet er blevet hacket, og den onde hacker har ændret FORM'en til
> at sende data til evilh4x0r.example.com i stedet for tilbage til
> sitet.

Jeg snakker udelukkende om man-in-the-midle-attacks. Det er det
eneste, som SSL kan sikre dig imod. Hvis serveren crackes, er
der jo intet, du kan gøre. I så fald er det jo ikke engang
sikkert for dig, at ringe til dem eller selv møde op. De kan jo
stadig gemme oplysningerne på en usikker server.

Hvis du kommer fra en usikker side kan du ikke vide dig sikker
før du har kontrolleret, at du er på en side serveret med SSL,
og det er den rigtige side. Begge dele kan man se i URLen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Klaus Ellegaard (03-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 03-07-03 22:19

Kasper Dupont <kasperd@daimi.au.dk> writes:

>Jeg snakker udelukkende om man-in-the-midle-attacks. Det er det
>eneste, som SSL kan sikre dig imod.

Det er selvfølgelig et reelt problem i visse sammenhænge, men i
praksis må det siges at være ligegyldigt (man kan stole på sit
lokalnet derhjemme, ISPens net er praktisk talt uhackbart - så
længe der ikke er for meget caching infrastructures involveret,
og destinationens lokalnet stoler man pr. definition på).

Så medmindre man sidder på et bibliotek, kollegie eller lignende,
er risikoen ubeskriveligt lille.

>Hvis du kommer fra en usikker side kan du ikke vide dig sikker
>før du har kontrolleret, at du er på en side serveret med SSL,
>og det er den rigtige side. Begge dele kan man se i URLen.

Du kan se, at det er SSL. Men kan du se, at Bennys Pizzasnask
rent faktisk har en aftale med Fusk & Bedrag Payment Gateway
om clearing af dankortbetalinger?

Mvh.
   Klaus.

Kasper Dupont (04-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 04-07-03 09:12

Klaus Ellegaard wrote:
>
> Du kan se, at det er SSL. Men kan du se, at Bennys Pizzasnask
> rent faktisk har en aftale med Fusk & Bedrag Payment Gateway
> om clearing af dankortbetalinger?

Jeg kan se, hvem jeg kommunikerer med. Og hvis ikke https
URLen er det site jeg vil kommunikere med, så er der i mine
øjne noget galt. I øvrigt mener jeg ikke https kan bruges
til elektronisk betaling. Diskussionen gik på indtastning
af personoplysninger som f.eks. CPR nummer. Til betalinger
kræves, at nogen udvikler en protokol til formålet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Klaus Ellegaard (04-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 04-07-03 10:00

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Du kan se, at det er SSL. Men kan du se, at Bennys Pizzasnask
>> rent faktisk har en aftale med Fusk & Bedrag Payment Gateway
>> om clearing af dankortbetalinger?

>Jeg kan se, hvem jeg kommunikerer med. Og hvis ikke https
>URLen er det site jeg vil kommunikere med, så er der i mine
>øjne noget galt.

Det er selvfølgelig op til dig, men med den holdning er det
umuligt for dig at købe online ret mange steder. Det er spild
af tid og penge for de fleste handlende selv at drive et
betalingssite. Derfor udliciteres det, og du ser netop, at
bennyspizzasnask.dk henviser til https://pay.fuskbedrag.dk/
- uden at der er noget galt i det.

>I øvrigt mener jeg ikke https kan bruges
>til elektronisk betaling. Diskussionen gik på indtastning
>af personoplysninger som f.eks. CPR nummer. Til betalinger
>kræves, at nogen udvikler en protokol til formålet.

Mmmm... du har hørt om online-handel med betalingskort?

Det er endda den mest sikre og bedst forbrugerbeskyttede måde
at drive fjernhandel på overhovedet.

Mvh.
   Klaus.

Allan Olesen (03-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 03-07-03 17:06

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Brugeren burde opdage, at der står en forkert URL i browseren.

Som f.eks. www.windows-update.com i stedet for
www.windowsupdate.com ?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (03-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 03-07-03 22:01

Allan Olesen wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> >Brugeren burde opdage, at der står en forkert URL i browseren.
>
> Som f.eks. www.windows-update.com i stedet for
> www.windowsupdate.com ?

Jeg kender ikke detaljerne omkring den historie. Men til
softwareopdateringer vil jeg bestemt mene SSL er en dårlig idé,
da der findes nemmere og mere sikre løsninger.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Allan Olesen (03-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 03-07-03 23:16

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>> Som f.eks. www.windows-update.com i stedet for
>> www.windowsupdate.com ?

>Jeg kender ikke detaljerne omkring den historie. Men til
>softwareopdateringer vil jeg bestemt mene SSL er en dårlig idé,
>da der findes nemmere og mere sikre løsninger.

Det var ikke ment som et ssl-specifikt eksempel. Det var ment som
et eksempel paa, at man sagtens kan faa en URL til ligne, saa det
er "godt nok" for de fleste.

Faktisk er det ikke ualmindeligt, at et firma for ikke at miste
hits registrerer domaenenavne baade med og uden bindestreg. Saa
kan man godt risikere midt under besoeget at havne paa siden med
det andet navn, uden der er noget som helst suspekt i det.
Hvornaar skal man saa blive bange?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (04-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 04-07-03 09:16

Allan Olesen wrote:
>
> Faktisk er det ikke ualmindeligt, at et firma for ikke at miste
> hits registrerer domaenenavne baade med og uden bindestreg. Saa
> kan man godt risikere midt under besoeget at havne paa siden med
> det andet navn, uden der er noget som helst suspekt i det.
> Hvornaar skal man saa blive bange?

Jeg går ud fra, at man kender det rigtige navn på sitet. Hvor man
kender det fra er en anden sag, men lad os bare gå ud fra en eller
anden officiel kilde. Det første jeg ville gøre var, at indtaste
sitets rigtige navn med https. Så burde jeg aldrig nogensinde se
en URL uden https eller med et andet server navn. (Jeg ved, der er
langt mellem de sites, der fungerer så godt i praksis.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Allan Olesen (04-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 04-07-03 18:36

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Jeg går ud fra, at man kender det rigtige navn på sitet.

Goer man det? Er windows-update.com eller windowsupdate.com det
rigtige navn? Hvordan ved man det?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Troels Arvin (04-07-2003)
Kommentar
Fra : Troels Arvin


Dato : 04-07-03 18:46

On Fri, 04 Jul 2003 19:35:54 +0200, Allan Olesen wrote:

>>Jeg går ud fra, at man kender det rigtige navn på sitet.
>
> Goer man det? Er windows-update.com eller windowsupdate.com det rigtige
> navn? Hvordan ved man det?

Det skal sikres gennem marketing og dokumentation, samt ved at passe på,
at for enslydende domæner ikke registreres uden juridisk konsekvens.

/Troels


Allan Olesen (04-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 04-07-03 20:38

Troels Arvin <troels@itu.dk> wrote:

>Det skal sikres gennem marketing og dokumentation,

Er det ikke lidt optimistisk at tro paa, at man kan
markedsfoere/dokumentere et domaenenavn saa grundigt, at poebelen
bemaerker en bindestreg, som egentlig ser meget velplaceret ud?

> samt ved at passe på,
>at for enslydende domæner ikke registreres uden juridisk konsekvens.

Jeg er da egentlig ikke i tvivl om, at registreringen af
windows-update.com har haft eller faar en juridisk konsekvens.
Men hvad hjalp det i perioden indtil domaenet blev spaerret?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Troels Arvin (04-07-2003)
Kommentar
Fra : Troels Arvin


Dato : 04-07-03 21:19

On Fri, 04 Jul 2003 21:38:04 +0200, Allan Olesen wrote:

> Er det ikke lidt optimistisk at tro paa, at man kan
> markedsfoere/dokumentere et domaenenavn saa grundigt, at poebelen
> bemaerker en bindestreg, som egentlig ser meget velplaceret ud?

Det er muligt. Men jeg har svært ved at se, hvordan det kan gøres bedre:
Hvis man vil hente ting over nettet, må det dog ske fra et navngivet site.

/Troels


Klaus Ellegaard (04-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 04-07-03 21:26

Troels Arvin <troels@itu.dk> writes:

>Det er muligt. Men jeg har svært ved at se, hvordan det kan gøres bedre:
>Hvis man vil hente ting over nettet, må det dog ske fra et navngivet site.

Jep.

"Nogen" burde lave en ny trust-model til webbrowsere, der er mere
interaktiv og mere grundig end den nuværende.

Det kan godt være, jeg tror på det, når Verisign siger god for
Microsoft. Men hvad nu hvis jeg ikke ønsker at stole på dem, når
de giver certifikater til danske firmaer - eller til firmaer, der
har hr. Fusk Fuskesen som direktør?

Det ville være lækkert med en browser, der som udgangspunkt gør
præcis det, browserne gør i dag: stoler på en række anerkendte
og predefinerede CA'er. Men at man kunne redigere den liste frit
og i øvrigt sætte begrænsninger op baseret på indholdet i det
enkelte certifikat.

Men det er jo igen en feature, der kan forvirre brugere (også
dem der slet ikke burde pille ved den slags), så det kommer nok
næppe.

Mvh.
   Klaus.

Christian Andersen (04-07-2003)
Kommentar
Fra : Christian Andersen


Dato : 04-07-03 23:58

Klaus Ellegaard wrote:

> Det ville være lækkert med en browser, der som udgangspunkt gør
> præcis det, browserne gør i dag: stoler på en række anerkendte
> og predefinerede CA'er. Men at man kunne redigere den liste frit
> og i øvrigt sætte begrænsninger op baseret på indholdet i det
> enkelte certifikat.

IE6:

Tools - Options - Content - Certificates

Der er der adgang til frit at eksportere og importere certifikater.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Klaus Ellegaard (05-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 05-07-03 07:58

Christian Andersen <zv856hm02@sneakemail.com> writes:

>IE6:

>Tools - Options - Content - Certificates

>Der er der adgang til frit at eksportere og importere certifikater.

Mjah, det er en start. Men hvor definerer jeg, at jeg ikke stoler
på, at VeriSign kan udstede certifikater til danske firmaer - men
at de er gode nok til de amerikanske?

Mvh.
   Klaus.

Christian Andersen (05-07-2003)
Kommentar
Fra : Christian Andersen


Dato : 05-07-03 11:59

Klaus Ellegaard wrote:

>>Tools - Options - Content - Certificates
>>
>>Der er der adgang til frit at eksportere og importere certifikater.

> Mjah, det er en start. Men hvor definerer jeg, at jeg ikke stoler
> på, at VeriSign kan udstede certifikater til danske firmaer - men
> at de er gode nok til de amerikanske?

Det ved jeg ikke. En halv løsning kunne være at eksportere og slette
Verisign-certifikaterne fra computeren, når du besøger danske sider og
importere dem igen, når du vil besøge amerikanske sider.

Så kan du få fine advarsler af browseren når du besøger danske sider.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

Allan Olesen (04-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 04-07-03 23:31

Troels Arvin <troels@itu.dk> wrote:

>Det er muligt. Men jeg har svært ved at se, hvordan det kan gøres bedre:
>Hvis man vil hente ting over nettet, må det dog ske fra et navngivet site.

Nu reagerede jeg jo blot paa udsagnet:
>>>>>>>>>Brugeren burde opdage, at der står en forkert URL i browseren.

Det er efter min mening ikke noget, brugere altid kan forventes
at opdage, hvis angriberen er bare nogenlunde intelligent i
valget af domaenenavn.

Men derudover er jeg enig med Klaus Ellegaard. Det er lidt sjovt,
at ethvert website, som har skaffet sig et certifikat, i vidt
omfang betragtes som paalideligt, uden at brugeren selv skal
goere noget for at give sin personlige accept af certifikatet.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Troels Arvin (05-07-2003)
Kommentar
Fra : Troels Arvin


Dato : 05-07-03 08:29

On Sat, 05 Jul 2003 00:31:04 +0200, Allan Olesen wrote:

> Det er lidt sjovt,
> at ethvert website, som har skaffet sig et certifikat, i vidt omfang
> betragtes som paalideligt, uden at brugeren selv skal goere noget for at
> give sin personlige accept af certifikatet.

Man kan se et fænomen såsom E-handelsmærket og Forbrugerrådets
koncept-butik som en reaktion på, at der er behov for mere end SSL. Og
efter at have prøvet, hvordan verifikation af identifikation i forb. med
SSL-certifikat-køb foregår kan man godt blive skeptisk over for SSL ("Er
din chef der? Ikke? Nå, men I lyder OK. I får jeres cert pr. mail.".)

Stadig: Jeg vil til enhver tid foretrække, at der benyttes SSL til sites
hvor følsomme oplysninger udveksles, også pga. krypteringen, som
foregår. Og jeg vil fastholde min tidligere liste over god praksis i
denne forbindelse, hvilket bl.a. inkluderer at folk ret let kan se,
hvilket site, de er på. Jeg forstår ikke modstanden mod dette.

--
Greetings from Troels Arvin, Copenhagen, Denmark


Klaus Ellegaard (05-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 05-07-03 08:33

Troels Arvin <troels@arvin.dk> writes:

>Stadig: Jeg vil til enhver tid foretrække, at der benyttes SSL til sites
>hvor følsomme oplysninger udveksles, også pga. krypteringen, som
>foregår. Og jeg vil fastholde min tidligere liste over god praksis i
>denne forbindelse, hvilket bl.a. inkluderer at folk ret let kan se,
>hvilket site, de er på. Jeg forstår ikke modstanden mod dette.

Der er ikke nogen modstand mod det. Udover hos konceptudviklere og
slige sager ret mange steder.

Mvh.
   Klaus.

Allan Olesen (05-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 05-07-03 12:07

Troels Arvin <troels@arvin.dk> wrote:

>Stadig: Jeg vil til enhver tid foretrække, at der benyttes SSL til sites
>hvor følsomme oplysninger udveksles, også pga. krypteringen, som
>foregår. Og jeg vil fastholde min tidligere liste over god praksis i
>denne forbindelse, hvilket bl.a. inkluderer at folk ret let kan se,
>hvilket site, de er på. Jeg forstår ikke modstanden mod dette.

For en ordens skyld: Jeg er enig med dig. Men en konsistent
opsaetning af https-serveren loeser ikke altid problemet med at
vide, om man er i kontakt med den rette https-server.

Maaske man skulle have to typer haengelaase i browserne:
-Den almindelige, som viser, at de basale ting er i orden, og at
"nogen" har godkendt certifikatet.

-En udvidet, som derudover viser, at certifikatet er et, som man
selv tidligere har taget aktiv stilling til. I rigtig kritiske
tilfaelde kunne det jo for den sags skyld ske ved at sammenligne
med en papirudskrift af certifikatets fingerprint, som man har
faaet udleveret ved personligt fremmoede.

Foerstnaevnte er fin til kreditkortbetaling og den slags, hvor
det hoejst kan dreje sig om, at man skal i banken og have nogle
penge tilbagefoert. Sidstnaevnte ville vaere at foretraekke til
f.eks. udveksling af foelsomme oplysninger med myndighederne.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Bertel Lund Hansen (05-07-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 05-07-03 12:21

Allan Olesen skrev:

>Maaske man skulle have to typer haengelaase i browserne:
>-Den almindelige, som viser, at de basale ting er i orden, og at
>"nogen" har godkendt certifikatet.

>Foerstnaevnte er fin til kreditkortbetaling og den slags, hvor
>det hoejst kan dreje sig om, at man skal i banken og have nogle
>penge tilbagefoert.

Jeg synes ikke at den gode sikkerhed som den enkelte har ved
kortbetalinger, skal betyde at vi sløser med den fælles pulje som
går til at dække svindel. Det koster i den sidste ende.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Allan Olesen (05-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 05-07-03 20:57

Bertel Lund Hansen <nospamfor@lundhansen.dk> wrote:

>Jeg synes ikke at den gode sikkerhed som den enkelte har ved
>kortbetalinger, skal betyde at vi sløser med den fælles pulje som
>går til at dække svindel. Det koster i den sidste ende.

Du bliver noedt til at se realistisk paa det:
Hvis handel paa nettet skal vaere praktisk gennemfoerlig,
hjaelper det ikke noget, at man skal have en papirkopi af et
certifikat-fingerprint, som man man kan sammenligne med
betalingsserverens certifikat, foer man betaler.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Klaus Ellegaard (04-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 04-07-03 20:45

Troels Arvin <troels@itu.dk> writes:

>Det skal sikres gennem marketing og dokumentation, samt ved at passe på,
>at for enslydende domæner ikke registreres uden juridisk konsekvens.

Det er langt fra muligt altid.

Eksempelvis er der begrundet tvivl om, hvorvidt "Windows" er et
varemærke. Dermed er der en vis risiko for, at windows-update.com
er et helt legalt domænenavn.

Mvh.
   Klaus.

Kasper Dupont (04-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 04-07-03 23:33

Allan Olesen wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> >Jeg går ud fra, at man kender det rigtige navn på sitet.
>
> Goer man det?

Hvordan havde du egentlig forestillet dig, at du kunne
finde sitet, hvis du ikke kender navnet på det?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Allan Olesen (05-07-2003)
Kommentar
Fra : Allan Olesen


Dato : 05-07-03 11:30

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Hvordan havde du egentlig forestillet dig, at du kunne
>finde sitet, hvis du ikke kender navnet på det?

Hvordan havde du egentlig forestillet dig, at du kunne svare paa
mit indlaeg uden at have laest det?

Vi tager den lige igen:
Mange firmaer har et navn, som giver mulighed for flere lige
indlysende domaenenavne. Derfor sker det tit, at de registrer dem
alle og laver lidt redirect eller virtuelle domaener, saa man kan
gaa ind paa samme site med flere forskellige domaenenavne. F.eks.
krak.dk og kraks.dk.

Lad os nu sige, at man paa et saadant site opsaetter en server
til sikker betaling. Det er noget rod at skulle have certifikater
for ethvert muligt domaenenavn, saa derfor begraenser man sig til
eet domaenenavn paa denne server, f.eks. krak.dk.

Nu gaar en kunde saa ind paa kraks.dk. Der sker tilsyneladende
ingen redirect, for adresselinien i browseren viser www.kraks.dk.
Kunden bestemmer sig til at koebe et eller andet og bliver smidt
videre til betalingsserveren paa krak.dk (jeg ved, ikke om krak
har en saadan server, men lad nu det ligge).

Hvordan skal denne kunde vide, om navneskiftet fra kraks til krak
er helt legitimt og foraarsaget af ovenstaaende problemstilling,
eller om en skummel person har serveret ham en falsk side fra
krak.dk, hvor linket til den sikre server kraks.dk er rettet til
den skumle persons egen krak.dk?

(Vi antager lige, at kunden ikke behersker whois).


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Thomas Corell (02-07-2003)
Kommentar
Fra : Thomas Corell


Dato : 02-07-03 14:58

Bertel Lund Hansen wrote:
> Thomas Corell skrev:
>
>>Men den POST'er til:
>
>> <form method="POST" action="https://secure.amprod..
>
>>Altså bliver indholdet af formen sendt krypteret.
>
> Jeg var ude for en butik hvor jeg også troede at der blev sendt
> data usikkert. De forklarede at selve transmissionen var sikker,
> men at det blot ikke var synligt for brugeren.

Man ser det jo først når man rammer "SUBMIT".

> Det virker mest betryggende hvis hængelåsen lukker i allerede
> mens man sidder og udfylder formularen selv om det ikke er
> nødvendigt.

Det er vi så enige i, men at man ikke får tilsendt formularen med https
er ikke ensbetydende med at den udfyldte sendes ukrypteret.

Mener der var en tråd om omtrent samme emne i d.e.u.webhotel for en rum
tid siden, hvor PBS blev citeret for at det var nok, hvis bare
informationerne fra brugeren blev sendt krypteret (det var så omkring
betaling via nettet).

--
Don't waste space

Bertel Lund Hansen (02-07-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 02-07-03 15:41

Thomas Corell skrev:

>> Jeg var ude for en butik hvor jeg også troede at der blev sendt
>> data usikkert. De forklarede at selve transmissionen var sikker,
>> men at det blot ikke var synligt for brugeren.

>Man ser det jo først når man rammer "SUBMIT".

I første omgang undlod jeg at sende. Efter at have fået en
redegørelse som svar på mit spørgsmål, valgte jeg at stole på den
og handlede ved butikken. Jeg kan garantere dig at det på intet
tidspunkt var muligt at se en lukket hængelås.

En side skal programmeres så hængelåsen går i før man sender. Det
er der flere der har lavet, bl.a. Amazon. Om ikke andet må man
vel kunne submitte noget pladder når formularen vises.

>Det er vi så enige i, men at man ikke får tilsendt formularen med https
>er ikke ensbetydende med at den udfyldte sendes ukrypteret.

Nej, og en betalingsautomat af bølgepap kan muligvis godt have et
lag panserstål inde bag ved - men du får ikke mig til at putte
hverken penge eller kort i den.

>Mener der var en tråd om omtrent samme emne i d.e.u.webhotel for en rum
>tid siden, hvor PBS blev citeret for at det var nok, hvis bare
>informationerne fra brugeren blev sendt krypteret (det var så omkring
>betaling via nettet).

Det er naturligt at man opstiller det som det formelle krav, men
det er ikke nok til at det kan kaldes en god løsning.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Søg
Reklame
Statistik
Spørgsmål : 177548
Tips : 31968
Nyheder : 719565
Indlæg : 6408803
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste