---

Hej

Jeg har været inde på http://www.skandiabanken.dk/

Vælger man:"kontakt os" / "Skriv besked til kundeservice" står der bla.:

"OBS: Alle dine indtastninger sendes via en sikker server (i krypteret form) til
SkandiaBanken. Derfor er det kun dig og os, der kan se, hvad du har indtastet"

Normalt når det er en sikker forbindelse kommer der en lille hængelås nederst i
browseren, men det sker ikke her.

Er denne forbindelse så sikker eller hvad?
--
Henrik

---

On Thu, 19 Feb 2004 16:12:53 +0100, Henrik Villadsen
<inkasso3@mail.dk> wrote:

>Normalt når det er en sikker forbindelse kommer der en lille hængelås nederst i
>browseren, men det sker ikke her.
>
>Er denne forbindelse så sikker eller hvad?

Forbindelsen er sikker, fordi den form, du udfylder, bliver sendt til:
https://www.skandiabanken.dk/mailforms/mailform_service_send2.asp

Bemærk "https" i begyndelsen.

Du modtager formen ukrypteret, men da den er blank, er det ikke noget
problem. Så de har ret i at dataen sendes krypteret til deres
webserver.

Dog, rent praktisk er det ikke god skik at man ikke allerede er inde
på en sikker side, selvom man bare modtager en blank form. Det er de
færreste, der går ind og tjekker koden igennem, for at se om det nu
også er rigtigt, det de påstår.

Det skyldes dog sikkert at deres sider er viklet ind i noget
frame-værk, der betyder, at man skal have hele framesettet og og de
efterfølgende webfiler krypteret. Ikke at det absolut skulle være et
problem at lave det på den måde.

--
- Peter Brodersen

Ugens sprogtip: saltomortale (og ikke saltomotale)

---

Peter Brodersen wrote:
> Du modtager formen ukrypteret, men da den er blank, er det ikke noget
> problem. Så de har ret i at dataen sendes krypteret til deres
> webserver.

Jo, det er et problem. For det betyder at ikke-HMTL-kyndige som dig ikke
har nogen garanti for at den bruger HTTPS.
Den garanti har de kun hvis de:
1) Stoler på Skandiabanken og at de kan deres kram.
2) Kan se på hængelåsen at den FORM de er ved at udfylde er kommet til
dem fra Skandiabanken.

Peter

---

On 2004-02-19, Peter Mogensen <apm-at-mutex-dot-dk@nospam.no> wrote:

>> Du modtager formen ukrypteret, men da den er blank, er det ikke noget
>> problem. Så de har ret i at dataen sendes krypteret til deres
>> webserver.
>
> Jo, det er et problem. For det betyder at ikke-HMTL-kyndige som dig ikke
> har nogen garanti for at den bruger HTTPS.
> Den garanti har de kun hvis de:
> 1) Stoler på Skandiabanken og at de kan deres kram.
> 2) Kan se på hængelåsen at den FORM de er ved at udfylde er kommet til
> dem fra Skandiabanken.

Men da låsen ikke betyder andet end at din nuværende side er krypteret
kunne ukyndige lige så godt committe til en ikke-ssl-side.

--
Andreas Plesner Jacobsen | Thufir's a Harkonnen now.

---

Andreas Plesner Jacobsen wrote:
> On 2004-02-19, Peter Mogensen <apm-at-mutex-dot-dk@nospam.no> wrote:
>>Jo, det er et problem. For det betyder at ikke-HMTL-kyndige som dig ikke
>>har nogen garanti for at den bruger HTTPS.
>>Den garanti har de kun hvis de:
>>1) Stoler på Skandiabanken og at de kan deres kram.
>>2) Kan se på hængelåsen at den FORM de er ved at udfylde er kommet til
>>dem fra Skandiabanken.
>
>
> Men da låsen ikke betyder andet end at din nuværende side er krypteret
> kunne ukyndige lige så godt committe til en ikke-ssl-side.

Hvis de alligevel ikke stoler på leverandøren af siden - ja.

Men hele ideen tager jo udgangspunkt i at man stoler på den anden part
og vil sikre sig imod 3.-part.
Hvis du antager at det er tilfældet, så er du ført sikker, når begge
HTTP-request benytter SSL.
- hvis det første (formen) ikke gør, så kan den være fra en der udgiver
sig for at være din kommunikationspartner.
- hvis den anden (form-sumbit) ikke er kan data opfanges af 3.-part.

Hvis du derimod i forvejen ikke stoler på dem, du kommunikere med (her
skandiabanken), hvad er så overhovedet formålet?

Peter


Peter

---

On Thu, 19 Feb 2004 16:44:56 +0000 (UTC), Andreas Plesner
Jacobsen <apj@daarligstil.dk> wrote:

> Men da låsen ikke betyder andet end at din nuværende side er
> krypteret kunne ukyndige lige så godt committe til en ikke-
> ssl-side.

Mja, men advarer de fleste browsere ikke (default) om det, når
man trykker send?

-A
--
http://www.hojmark.org/

---

On Thu, 19 Feb 2004 17:11:35 +0100, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

>> Du modtager formen ukrypteret, men da den er blank, er det ikke noget
>> problem. Så de har ret i at dataen sendes krypteret til deres
>> webserver.
>Jo, det er et problem. For det betyder at ikke-HMTL-kyndige som dig ikke
>har nogen garanti for at den bruger HTTPS.

Læste du den del af mit indlæg, der stod under det afsnit?

--
- Peter Brodersen

Ugens sprogtip: saltomortale (og ikke saltomotale)

---

On Thu, 19 Feb 2004 17:03:36 +0100, Peter Brodersen <usenet@ter.dk> wrote:

>On Thu, 19 Feb 2004 16:12:53 +0100, Henrik Villadsen
><inkasso3@mail.dk> wrote:
>
>>Normalt når det er en sikker forbindelse kommer der en lille hængelås nederst i
>>browseren, men det sker ikke her.
>>
>>Er denne forbindelse så sikker eller hvad?
>
>Forbindelsen er sikker, fordi den form, du udfylder, bliver sendt til:
>https://www.skandiabanken.dk/mailforms/mailform_service_send2.asp
>
>Bemærk "https" i begyndelsen.

Hvordan finder du ovenstående link?

Vil det sige at s'et (Secure sockets) i "https" et det som normalt trigger
hængelåsen?

I øvrigt tak til alle som har svaret...
--
Henrik

---

On Thu, 19 Feb 2004 17:36:04 +0100, Henrik Villadsen
<inkasso3@mail.dk> wrote:

>>Forbindelsen er sikker, fordi den form, du udfylder, bliver sendt til:
>>https://www.skandiabanken.dk/mailforms/mailform_service_send2.asp
>>
>>Bemærk "https" i begyndelsen.
>Hvordan finder du ovenstående link?

Jeg kiggede i kildeteksten på:
http://www.skandiabanken.dk/mailform_service.asp

Det kan godt være lidt drilsk, fordi deres webside kun vil vise den
frame i det samlede frameset. Men prøv at at gå ind på:

<view-source:http://www.skandiabanken.dk/mailform_service.asp>

Her finder man så følgende HTML-kode:

<form name="messageform" method="post"
action="https://www.skandiabanken.dk/mailforms/mailform_service_send2.asp">

>Vil det sige at s'et (Secure sockets) i "https" et det som normalt trigger
>hængelåsen?

Ja (hvilket så har en række forudsætninger for at virke, bl.a. at
webserveren overhovedet kører SSL/kryptering).

--
- Peter Brodersen

Ugens sprogtip: saltomortale (og ikke saltomotale)

---

On Thu, 19 Feb 2004 18:01:57 +0100, Peter Brodersen <usenet@ter.dk> wrote:

<klip>
>Jeg kiggede i kildeteksten på:
>http://www.skandiabanken.dk/mailform_service.asp
>
>Det kan godt være lidt drilsk, fordi deres webside kun vil vise den
>frame i det samlede frameset. Men prøv at at gå ind på:
>
><view-source:http://www.skandiabanken.dk/mailform_service.asp>
<klip>

Okay den kendte jeg ikke, jeg takker for guldkornet....
--
Henrik

---

"Henrik Villadsen" <inkasso3@mail.dk> skrev i en meddelelse

> Jeg har været inde på http://www.skandiabanken.dk/
>
> Vælger man:"kontakt os" / "Skriv besked til kundeservice" står der
bla.:
>
> "OBS: Alle dine indtastninger sendes via en sikker server (i krypteret
form) til
> SkandiaBanken. Derfor er det kun dig og os, der kan se, hvad du har
indtastet"
>
> Normalt når det er en sikker forbindelse kommer der en lille hængelås
nederst i
> browseren, men det sker ikke her.
>
> Er denne forbindelse så sikker eller hvad?

tja, der burde vel nok stå

"OBS: Alle dine indtastninger sendes via en sikker server (i krypteret
form) til
SkandiaBanken. Derfor er det kun dig, os og NSA, der kan se, hvad du
har indtastet"

(har lige læst "Gåden om ECHELON af Bo Elkjær og Kenan Seeberg)



Spang

---

Spangkuk wrote:
>
> "OBS: Alle dine indtastninger sendes via en sikker server (i krypteret
> form) til
> SkandiaBanken. Derfor er det kun dig, os og NSA, der kan se, hvad du
> har indtastet"

Men man kan da heldigvis stoppe NSA: http://zapatopi.net/afdb.html

--
Mvh. Kim Ludvigsen

---

On Thu, 19 Feb 2004 17:05:19 +0100, "Spangkuk"
<hrmfkekgh@tiyestkt.øå> wrote:

> (har lige læst "Gåden om ECHELON af Bo Elkjær og Kenan Seeberg)

Bah.

Bo Elkjær er journalist på Ekstra Bladet, og det er måske ikke
lige, hvad jeg opfatter som det fremmeste blå stempel for
grundighed, saglighed og redelighed.

Kenan Seeberg kan man sige meget om (fx. at han ofte har været
kontroversiel), men heller ikke han er kendt som den helt store
sikkerhedsekspert.

-A
--
http://www.hojmark.org/

---

Henrik Villadsen wrote:
> Normalt når det er en sikker forbindelse kommer der en lille hængelås nederst i
> browseren, men det sker ikke her.
>
> Er denne forbindelse så sikker eller hvad?


Det er lidt tricky. .. for det hængelåsen i hjørnet betyder er at den
side du kigger på kom til dig via en HTTPS forbindelse. Der er i
princippet ingen garanti for at de links du klikker på også anvender HTTPS.

M.a.o. hængelåsen betyder at du kan stole på at det er skandiabanken,
der har genereret den side du kigger på. - ikke at du kan stole på at de
iøvrigt laver deres system fornuftigt.
Jeg har også set et par dankort-betalings-sider, der ikke var HTTPS, men
hvor det godtnok var korrekt at hvis man udfyldte den HTML-form, der var
på siden, så ville den sende ens data via HTTPS. Det kan man desværre
kun være helt sikker på ved selv at læse HMTL-koden.

Det er ikke særlig elegant, men jeg mener at det i princippet overholder
PBS's krav.

Prøv at se i HTML-koden om ikke den alligevel submitter data med HTTPS.

Peter

---

Peter Mogensen skrev:

>M.a.o. hængelåsen betyder at du kan stole på at det er skandiabanken,
>der har genereret den side du kigger på. - ikke at du kan stole på at de
> iøvrigt laver deres system fornuftigt.

Men rent psykologisk er det smartest (nødvendigt) at man allerede
når man udfylder formularen, kan se den låste hængelås.

Og så skulle det da være en sær programmør der ikke også sørger
for at 'låse' ved den vigtige dataoverførsel. Og hvad skal
hængelåsen i øvrigt ellers gøre godt for?

>Prøv at se i HTML-koden om ikke den alligevel submitter data med HTTPS.

Jeg har før skrevet til et firma om en side der gjorde mig
nervøs, men hvor de forsikrede at sikkerheden var i orden, men
blot usynlig.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

On Thu, 19 Feb 2004 17:06:51 +0100, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

> Det er ikke særlig elegant, men jeg mener at det i princippet
> overholder PBS's krav.

Det mener jeg bestemt ikke. Jeg er ret overbevist om, at såvel
alle elementer af den aktuelle side, som det er submit'es skal
være krypteret.

-A
--
http://www.hojmark.org/

---

On Thu, 19 Feb 2004 17:06:51 +0100, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

>Det er ikke særlig elegant, men jeg mener at det i princippet overholder
>PBS's krav.

PBS' krav om at sende beskeder?

--
- Peter Brodersen

Ugens sprogtip: saltomortale (og ikke saltomotale)

---

Peter Brodersen wrote:
> On Thu, 19 Feb 2004 17:06:51 +0100, Peter Mogensen
> <apm-at-mutex-dot-dk@nospam.no> wrote:
>
>
>>Det er ikke særlig elegant, men jeg mener at det i princippet overholder
>>PBS's krav.
>
>
> PBS' krav om at sende beskeder?

PBS' krav om Dankort betaling på nettet. De kræver at man bruger SSL til
at kontakte payment-gateway, men jeg er ikke sikker på om de kræver at
man også præsenterer form'en på en SSL-side. Det siger Asbjørn at de
gør, hvilket jeg også ville mene var det mest fornuftige.

Peter

---

On Fri, 20 Feb 2004 15:06:47 +0100, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

>PBS' krav om Dankort betaling på nettet. De kræver at man bruger SSL til
>at kontakte payment-gateway, men jeg er ikke sikker på om de kræver at
>man også præsenterer form'en på en SSL-side. Det siger Asbjørn at de
>gør, hvilket jeg også ville mene var det mest fornuftige.

Hep - i det her tilfælde var det så ikke tale om en betaling, men bare
at man ville sende en vilkårlig besked til banken.

Jeg er dog også enig i at evt. PBS-retningslinjer om hængelås allerede
på den side er en god idé, i andre tilfælde end online-betalinger.

--
- Peter Brodersen

Ugens sprogtip: saltomortale (og ikke saltomotale)

---

On Fri, 20 Feb 2004 15:06:47 +0100, Peter Mogensen
<apm-at-mutex-dot-dk@nospam.no> wrote:

> PBS' krav om Dankort betaling på nettet. De kræver at man bruger
> SSL til at kontakte payment-gateway, men jeg er ikke sikker på om
> de kræver at man også præsenterer form'en på en SSL-side. Det
> siger Asbjørn at de gør, hvilket jeg også ville mene var det mest
> fornuftige.

Ja, jeg har ikke selv læst reglerne, men i et setup, jeg engang
lavede med SSL offload, listede kunden det som et krav fra PBS'
side. (Hvis der er tale om et frame set, skal det hele være SSL).

Det er efter min mening også det eneste rimelige.

-A