---

Hej,

Nu tilbyder Danske Bank en mere sikker løsning til deres netbank
kunder i form af ActivCard Token, som ved logon anvender et
8-cifret engangspassword (ved ikke om det er ren OTP, eller om
det er afledt af eksempelvis klokken), samt ved bekræftelser en
challenge/response 6 tegns kode.

Den er lidt bedre end Jyske Banks løsning, til gengæld skal man
betale 250 kr for et tokencard.

Se mere på www.danskenetbank.dk

Er der nogen der ved hvordan den virker ? Kan man bruge en sådan
til eget brug ? Eller er den som RSA SecurID sådan at adgang til en
keyfil tillader at man laver en soft-token ?

Er der andre end Mac og Linux brugere der kunne finde på at
vælge dene løsning ? TIl eksempelvis brug på biblioteket,
ferie, netcafé etc.

---

Povl H. Pedersen wrote:
> Er der nogen der ved hvordan den virker ? Kan man bruge en sådan
> til eget brug ? Eller er den som RSA SecurID sådan at adgang til en
> keyfil tillader at man laver en soft-token ?

Har du kikket hos producenten?

http://www.activcard.com/products/tokens_specs.html?m=2

De understøtter ANSI X9.9 og deres egen tidsstyret protokol.

Den skal angivelig administreres via et selvstændig hardware
produkt.

Hvis du leder efter nogle billige tokens, så prøv
at kikke CryptoCard. Deres kort, kan programmeres direkte.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On 2004-02-17, Christian E. Lysel <news.sunsite.dk@spindelnet.dk> wrote:
> Povl H. Pedersen wrote:
>> Er der nogen der ved hvordan den virker ? Kan man bruge en sådan
>> til eget brug ? Eller er den som RSA SecurID sådan at adgang til en
>> keyfil tillader at man laver en soft-token ?
>
> Har du kikket hos producenten?
>
> http://www.activcard.com/products/tokens_specs.html?m=2
>
> De understøtter ANSI X9.9 og deres egen tidsstyret protokol.

Men X9.9 er trykket tilbage jf X9:
http://www.x9.org/docs/TG24_1999.pdf

Så jeg tror mere på det er X9.26 sign-on der anvendes,
og X9.19 MAC. Altså nok noget SHA-1 og muligvis AES
3DES eller public key. Dokumentet nævner også DH og eliptic
curve som muligheder.

Angrebet på X9.9 er også veldokumenteret i dokumentet.
Så man kan se hvor ringe den gamle løsning var.
2 klartekst/MAC nøglepar skulle med stor sikkerhed kunne
tillade at man finder den rigtige nøgle. Og der er max
2^24 muligheder.

Der står også lidt om crack mod X9.17 - så alt i alt et
interessant dokument.

> Den skal angivelig administreres via et selvstændig hardware
> produkt.
>
> Hvis du leder efter nogle billige tokens, så prøv
> at kikke CryptoCard. Deres kort, kan programmeres direkte.

Det var lige så meget for at få en bedre netbank løsning, som
vil køre på Windows, Macintosh. Linux etc.

---

Povl H. Pedersen wrote:
>> De understøtter ANSI X9.9 og deres egen tidsstyret protokol.
>
> Men X9.9 er trykket tilbage jf X9:
> http://www.x9.org/docs/TG24_1999.pdf

Den er gammel, og er "kun" trukket tilbage for banker.

> Angrebet på X9.9 er også veldokumenteret i dokumentet.

X9.9, kan køres i challenge/response og symetrisk tilstand.

Så vidt jeg husker (det er 1 år siden jeg har rodet med det), har
challenge/response tilstanden været sårbart de sidste mange år.

Symetrisk tilstand, er derimod sværrer at bryde for en angriber
der aflytter datatransmittionen mellem klient og validerings serveren.

> Så man kan se hvor ringe den gamle løsning var.

Det er kendte angreb

> 2 klartekst/MAC nøglepar skulle med stor sikkerhed kunne
> tillade at man finder den rigtige nøgle. Og der er max
> 2^24 muligheder.

Men hvor får man klarteksten fra?

> Det var lige så meget for at få en bedre netbank løsning, som
> vil køre på Windows, Macintosh. Linux etc.

Dvs. en ikke IE løsning?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en
meddelelse news:slrnc357ag.2o3.chel@weebo.dmz.spindelnet.dk...

> > Det var lige så meget for at få en bedre netbank løsning, som
> > vil køre på Windows, Macintosh. Linux etc.
>
> Dvs. en ikke IE løsning?

Ifølge http://www.danskebank.dk/Link/Macforuds skal man enten bruge IE
til Mac eller Safari som browser.

Et side spørgsmål: hvad er egentlig grunden til at de fleste
internetbanker kun kan bruges med IE (under Windows) som browser?

--
Jesper Lund

---

On 2004-02-17, Jesper Lund <jelu@despammed.com> wrote:
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en
> meddelelse news:slrnc357ag.2o3.chel@weebo.dmz.spindelnet.dk...
>
>> > Det var lige så meget for at få en bedre netbank løsning, som
>> > vil køre på Windows, Macintosh. Linux etc.
>>
>> Dvs. en ikke IE løsning?
>
> Ifølge http://www.danskebank.dk/Link/Macforuds skal man enten bruge IE
> til Mac eller Safari som browser.
>
> Et side spørgsmål: hvad er egentlig grunden til at de fleste
> internetbanker kun kan bruges med IE (under Windows) som browser?
>
Det er forholdsvist nemt at svare på.
Antallet af bruger der bruger IE er størst. Omkring de 90% +/- 5%
Og så det faktum at de fleste af deres udvikler arbejder i Microsoft
programmer.

/Martin

---

"Martin Arendtsen" <martin@odin.arendtsen.dk> skrev i en meddelelse
news:slrnc35l02.1n48.martin@odin.arendtsen.dk...

> > Et side spørgsmål: hvad er egentlig grunden til at de fleste
> > internetbanker kun kan bruges med IE (under Windows) som browser?
> >
> Det er forholdsvist nemt at svare på.
> Antallet af bruger der bruger IE er størst. Omkring de 90% +/- 5%
> Og så det faktum at de fleste af deres udvikler arbejder i Microsoft
> programmer.

Jeg *formoder* at netbanker kræver sikkerhed, som kun kan
implementeres ved at bruge browser-specifikke features, og jeg er
naturligvis *klar* over at IE under Windows er den mest udbredte
browser. Så langt, så godt...

Det som jeg fiskede efter var bud på, om det virkelig er mere
besværligt at implementere den nødvendige sikkerhed under andre
browsere end IE? Danske Netbank til Mac kræver en ekstra adgangskode
generator (ActiveCard), som man ikke har behov for under Windows med
IE. Det er næppe udtryk for at Danske Netbank er mere sikker under Mac
end under Windows? Forklaringen er måske at Danske Netbank til Mac kan
bruges med to forskellige browsere (IE og Safari) modsat Windows
versionen?

--
Jesper Lund

---

Den Wed, 18 Feb 2004 18:41:57 +0100 skrev Jesper Lund:
>"Martin Arendtsen" <martin@odin.arendtsen.dk> skrev i en meddelelse
>news:slrnc35l02.1n48.martin@odin.arendtsen.dk...
>
>> > Et side spørgsmål: hvad er egentlig grunden til at de fleste
>> > internetbanker kun kan bruges med IE (under Windows) som browser?
>> >
>> Det er forholdsvist nemt at svare på.
>> Antallet af bruger der bruger IE er størst. Omkring de 90% +/- 5%
>> Og så det faktum at de fleste af deres udvikler arbejder i Microsoft
>> programmer.
>
>Jeg *formoder* at netbanker kræver sikkerhed, som kun kan
>implementeres ved at bruge browser-specifikke features, og jeg er
>naturligvis *klar* over at IE under Windows er den mest udbredte
>browser. Så langt, så godt...

>Det som jeg fiskede efter var bud på, om det virkelig er mere
>besværligt at implementere den nødvendige sikkerhed under andre
>browsere end IE? Danske Netbank til Mac kræver en ekstra adgangskode
>generator (ActiveCard), som man ikke har behov for under Windows med
>IE.

Er det ikke bare IE der er den eneste browser der er så usikker at
man kan få lov til at læse nøglefilen direkte på C-drevet? I alle
andre browsere må man placere nøglen et sted hvor brugeren selv
kan finde den.

Under alle omstændigheder er det IKKE noget der giver et godt indtryk
af bankens forståelse for sikkerhed, at man vælger at kræve den mest
hullede browser på markedet.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:c10e9i$306$6@sunsite.dk...

> Er det ikke bare IE der er den eneste browser der er så usikker at
> man kan få lov til at læse nøglefilen direkte på C-drevet? I alle
> andre browsere må man placere nøglen et sted hvor brugeren selv
> kan finde den.

Danske Netbank har et fast placering af nøglefilen på C-drevet, men
man kan også vælge at indlæse den fra en diskette hver gang. Men jeg
kender andre netbanker, hvor du selv kan angive placeringen af
nøglefilen (diskette f.eks.), så jeg kan ikke se hvad det har med IE
at gøre? Som jeg har forstået tingene, er det netbankens kode der
bestemmer dette. Men måske misforstår jeg din pointe?

--
Jesper Lund

---

In article <4033cb52$0$159$edfadb0f@dtext02.news.tele.dk>, Jesper Lund wrote:
> bestemmer dette. Men måske misforstår jeg din pointe?

Pointen (tror jeg) er at det under IE gentagende gange har
været trivielt at samle en fil op fra filsystemmet via
IE.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Den 18 Feb 2004 20:34:55 GMT skrev Christian E. Lysel:
>In article <4033cb52$0$159$edfadb0f@dtext02.news.tele.dk>, Jesper Lund wrote:
>> bestemmer dette. Men måske misforstår jeg din pointe?
>
>Pointen (tror jeg) er at det under IE gentagende gange har
>været trivielt at samle en fil op fra filsystemmet via
>IE.

Bingo.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 2004-02-18, Jesper Lund <jelu@despammed.com> wrote:
> Jeg *formoder* at netbanker kræver sikkerhed, som kun kan
> implementeres ved at bruge browser-specifikke features, og jeg er
> naturligvis *klar* over at IE under Windows er den mest udbredte
> browser. Så langt, så godt...

Men det gør Netbanker netop ikke. Med Danske Bank har man kunnet
komme langt med at bilde serveren ind man var på IE, og det samme
på flere andre banker.

Problemet er i små hjørner, hvor man har valgt at kode specifikt
til Internet Explorer, fremfor at lave kode der kan køre på flere
platforme. En ren Windows/Microsoft kodekarl er jo billigere.

Og fra min tid i Web branchen ved jeg at det tog 20-40% ekstra tid
at få HTML sider til at stå pænt i flere versioner af browsere, og
i flere browserfabrikater.

Nogle banker bruger dog client side Active-X, andre bruger
Java, hvor de er lokket til at bruge MS extensions.
>
> Det som jeg fiskede efter var bud på, om det virkelig er mere
> besværligt at implementere den nødvendige sikkerhed under andre
> browsere end IE?

Nej det er ikke. Det er den samme programmeringsopgave, men nok
bare til en platform de eksisterende medarbejdere ikke kender.

> Danske Netbank til Mac kræver en ekstra adgangskode
> generator (ActiveCard), som man ikke har behov for under Windows med
> IE. Det er næppe udtryk for at Danske Netbank er mere sikker under Mac
> end under Windows?

Jo, det mener jeg helt klart. Hvis jeg får adgang til en PC med Danske
Netbank, så kan jeg læse nøglefilen, og installere en keyboard logger.

Med deres ActivCard (også kaldet Macintosh løsning), kan en cracker
ikke via adgang til computeren få adgang til det der er nødvendigt
for at tilgå brugerens konto.

Hans bedste bud er at lege trojansk hest / man-in-the-middle, og
ændre i beskeder efter brugeren har indtastet dem, og bruge det
af brugeren indtastede svar på challenge til at verificere.

Jeg ved ikke om certifikatløsningen er bedre mht dette. Har ikke
set på den. Men man burde også her kunne præsentere brugerne en
ting til godkendelse, og sende noget andet til banken.

Men for mig er ActivCard teknologien bedre, og den er langt bedre hvis
man bruger PC'ere hvor andre har adgang.

> Forklaringen er måske at Danske Netbank til Mac kan
> bruges med to forskellige browsere (IE og Safari) modsat Windows
> versionen?

Den nye løsning kan sandsynligvis også bruges under Windows, og under
Konqueror på Linux. Men det vender jeg tilbage med.

---

Generelt fatter jeg ikke hvorfor banker laver webløsninger når de
i virkeligheden laver IE5.5/IE6.0, med ActiveX og vores modul løsninger.

Hvorfor ikke blot lave en lille let klient som et almindelig
windows programm?

Povl H. Pedersen wrote:
> Hans bedste bud er at lege trojansk hest / man-in-the-middle, og
> ændre i beskeder efter brugeren har indtastet dem, og bruge det
> af brugeren indtastede svar på challenge til at verificere.

Dette kan evt. implementeres i et API lag i browseren eller
dennes udvidelser.

Man kan evt. også implementerer laget i GUI'en.

> Jeg ved ikke om certifikatløsningen er bedre mht dette. Har ikke
> set på den. Men man burde også her kunne præsentere brugerne en
> ting til godkendelse, og sende noget andet til banken.

Er stadigvæk lige sårbar for ovenstående.

> Men for mig er ActivCard teknologien bedre, og den er langt bedre hvis
> man bruger PC'ere hvor andre har adgang.

Hvis du har en PC du ikke kan stole på og bruger denne med
ActivCard, hjælper det ikke meget. Nogle problemmer
bliver løst.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

In article <slrnc35l02.1n48.martin@odin.arendtsen.dk>, Martin Arendtsen wrote:
> Og så det faktum at de fleste af deres udvikler arbejder i Microsoft
> programmer.

Der findes flere leverandører der kan finde ud af
at levere sikkerhedsløsninger til bankers webløsninger
uden at stille krav til brugernes valg af platform.

En af mine gamle arbejdsgivere har fx produceret,
http://www.ubizen.com/c_products_services/3_ubizen_dmzshield/c3312.html


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On Wednesday 18 February 2004 00:36, Jesper Lund wrote:

> Et side spørgsmål: hvad er egentlig grunden til at de fleste
> internetbanker kun kan bruges med IE (under Windows) som browser?

En kombination af dovenskab og uvidenhed på udviklingstidspunktet. Man er
formentlig (forhåbentlig?) blevet meget klogere nu, hvor det for alvor
giver skridtprygl ikke at kode efter web standarder i stedet for efter
specifikke browsere. De fleste netbanker stammer fra "The Rush" sidst i
90'erne / først i dette årtusinde, og er opstået langsomt ved knopskydning.

Problemet er bare, at der ikke er mange, der kan finde penge til at omlægge
et stort site fra antikke metoder (sen-90'erne) til nye standarder med
bl.a. XHTML og CSS. Det er dyrt++, og derfor svært at overbevise management
om ("jamen det virker jo fint nu?").

Men det burde være ret nemt at overbevise alle. Bare et site som
danskebank.dk ville nok kunne spare et anseeligt beløb til båndbredde ved
at lægge om til XHTML/CSS. For slet ikke at tale om gevinsten ved lettere
vedligehold.

--
Martin Kofoed

---

On 2004-02-19, Martin Kofoed <inzide@hot.mail.com> wrote:
> On Wednesday 18 February 2004 00:36, Jesper Lund wrote:
>
>> Et side spørgsmål: hvad er egentlig grunden til at de fleste
>> internetbanker kun kan bruges med IE (under Windows) som browser?
>
> En kombination af dovenskab og uvidenhed på udviklingstidspunktet. Man er
> formentlig (forhåbentlig?) blevet meget klogere nu, hvor det for alvor
> giver skridtprygl ikke at kode efter web standarder i stedet for efter
> specifikke browsere. De fleste netbanker stammer fra "The Rush" sidst i
> 90'erne / først i dette årtusinde, og er opstået langsomt ved knopskydning.

Problemet med at kode til IE er, at det har været et moving target, hvilket
muligvis også er en grund til at man ser på mere generiske løsninger.

> Problemet er bare, at der ikke er mange, der kan finde penge til at omlægge
> et stort site fra antikke metoder (sen-90'erne) til nye standarder med
> bl.a. XHTML og CSS. Det er dyrt++, og derfor svært at overbevise management
> om ("jamen det virker jo fint nu?").

Men der er stadig MANGE Win95/Win98 derude, så mange at MS har måttet se
at de ikke kan droppe patches og support. Bankerne vil ikke miste disse
kunder selvom de er de mest udsatte / den største trussel.

> Men det burde være ret nemt at overbevise alle. Bare et site som
> danskebank.dk ville nok kunne spare et anseeligt beløb til båndbredde ved
> at lægge om til XHTML/CSS. For slet ikke at tale om gevinsten ved lettere
> vedligehold.

Og sandsynligvis også databehandling. Men gamle browsere forstår ikke
de nymoderne ting.

---

Jesper Lund wrote:
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en
> meddelelse news:slrnc357ag.2o3.chel@weebo.dmz.spindelnet.dk...
>
>
>>>Det var lige så meget for at få en bedre netbank løsning, som
>>>vil køre på Windows, Macintosh. Linux etc.
Interessant tråd denneher, der måske er på kanten af OT, men alligevel
en netbank er i særdeleshed en sikkerhedskomponent. Og jeg mener det er
et problem at man tvinges til at anvende et OS og en browser der
notorisk ikke er kendt for sin styrke på netop sikkerhedsområdet.

Jeg har længe som bankkunde på mulig udkig efter ny bank, søgt efter en
oversigt over, hvilke banker, der tilbyder deres kunder at foretage
bankforretninger fra en ikke MS platform eller blot fra en ikke-IE browser.
Er der nogen der ved om der findes en sådan oversigt?
Jeg har forsøgt mig med google, men indtil videre uden held.

Er selv kunde i Nordea (http://www.nordea.dk), og deres netbank fungerer
fortrinligt uden for IE, fx i Mozilla/Firefox.
Mig bekendt fungerer den også på Linux.
Deres on-line-investering tilgengæld, fungerer kun i IE og Netscape 4(!).

Er også kunde i Danske Bank og har adskillige gange brokket mig til dem
over deres såkaldte netbank. Den har været under al kritik og absolut
kun fungeret (delvist) i IE.

> Ifølge http://www.danskebank.dk/Link/Macforuds skal man enten bruge IE
> til Mac eller Safari som browser.
>
> Et side spørgsmål: hvad er egentlig grunden til at de fleste
> internetbanker kun kan bruges med IE (under Windows) som browser?

Som andre har været inde på er der nok flere grunde.

En af dem der ofte bliver nævnt er, at "IE benyttes af den langt
overvejende del af brugerne".

Det er muligt at det er sandt, men det er ikke til at slutte ud fra
fordelingen af browsere et givent site bliver besøgt med. Det er lidt
som at stoppe folk på motorvejen og spørge om de kører i bil. Jetfly,
både, tog, cykler osv har ingen adgang på en motorvej så selvfølgelig
kører alle bil der.
Så når et site kun fungerer med IE, vil langt den overvejende del af de
besøgende formodentlig være IE-brugere.
Desværre er det netop ofte på det grundlag beslutningen om at "kode til
IE" tages.

Når bankerne i dag ikke længere anvender "stand-alone" løsninger er det
blandt andet også fordi en stor del af præsentationen af bankens øvrige
information i forvejen vises gennem en browser. Bankerne ønsker at
kunden får et samlet indtryk, hvilket (åbenbart) kan være svært hvis man
skiller selve netbankerne ud for sig selv.

Igen som andre i tråden har været inde på, er der intet
sikkerhedsmæssigt krav til en netbank om at den *skal* anvende
browserteknologi. Sikkerheden øges ikke derigennem på nogen måde.
Tværtimod er mit synspunkt.

Fra et sikkerhedsmæssigt synspunkt mener jeg udfra en betragtning af
IE's sikkerheds niveau at en Java-baseret løsning (muligvis indlejret i
en web/browser-løsning, som visse af dagens) må være at foretrække
fremfor en ActiveX (og dermed ren IE) baseret løsning.

Men hvad mener gruppen om netop dette (sikkerhedsmæssige) spørgsmål?
Hvad ville, efter gruppens mening, være den optimale sikkerhedmæssige
løsning til en netbank, der skal kunne anvendes af brugere på
forskellige browsere og platforme?

mvh
T.Nielsen

(Beklager det lidt lange indlæg og så på en flere dage gammel tråd ...

---

On 2004-02-17, Christian E. Lysel <news.sunsite.dk@spindelnet.dk> wrote:
>> Det var lige så meget for at få en bedre netbank løsning, som
>> vil køre på Windows, Macintosh. Linux etc.
>
> Dvs. en ikke IE løsning?

Nu venter jeg på mit kort. Men deres Webside siger IE 5.2 på MacOS
(IE på Mac har gewnerelt altid været nærmere Netscape end IE på PC
i sin fortolkning af HTML og muligvis JS. Egen codebase), men kører også
på Apple's Safri browser, som er baseret på Konqueror, altså en
standard unix browser.

Konqueror 3.2 praler netop af at de har de fleste Apple forbedringer
med, så den kan nok bruges.