/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Betaling over nettet - ukrypteret
Fra : Jakob Bork


Dato : 30-05-02 17:39

Jeg er lige stødt på en side, hvor man betaler ved at sende kreditkortinfo
ukrypteret til webserveren, hvorefter "firmaet" senere (De skriver maks 31
dage senere) sender oplysningerne videre til PBS.

Siden er forholdsvis stor (i antal betalende). Er det ikke totalt
uacceptabelt?
Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?
Findes dette mange andre steder på nettet?

mvh
Jakob Bork



 
 
Daniel Blankensteine~ (30-05-2002)
Kommentar
Fra : Daniel Blankensteine~


Dato : 30-05-02 17:48

"Jakob Bork" <bork@adslhome.dk> wrote in message
news:3cf6558d$0$8970$edfadb0f@dspool01.news.tele.dk...
> Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?
> Findes dette mange andre steder på nettet?

Virksomheden burde benytte sig af SHTTP.

mvh
db



Jakob Bork (30-05-2002)
Kommentar
Fra : Jakob Bork


Dato : 30-05-02 18:11

> > Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?
> Virksomheden burde benytte sig af SHTTP.

ja, okay, det var ikke ment som et spørgsmål til metoden, for den har jeg
ikke så meget indflydelse på.

Men er der mange andre steder på nettet, hvor man sender kreditkortinfo
ukrypteret, eller er det en stor fejl fra webmasteren/firmaets side?

mvh
Jakob Bork



Daniel Blankensteine~ (30-05-2002)
Kommentar
Fra : Daniel Blankensteine~


Dato : 30-05-02 18:13

"Jakob Bork" <bork@adslhome.dk> wrote in message
news:3cf65d10$0$8989$edfadb0f@dspool01.news.tele.dk...
> > > Svaret er vel ja, når man spørger herinde, men hvad gør man i
praksis?
> > Virksomheden burde benytte sig af SHTTP.
>
> ja, okay, det var ikke ment som et spørgsmål til metoden, for den har
jeg
> ikke så meget indflydelse på.
>
> Men er der mange andre steder på nettet, hvor man sender
kreditkortinfo
> ukrypteret, eller er det en stor fejl fra webmasteren/firmaets side?

Ja det er en fejl, men jeg ved ikke om der er andre steder, det er der
vel.
Prøv se at gå ind og se om de bruger shttp.

mvh
db



Jesper Krogh (30-05-2002)
Kommentar
Fra : Jesper Krogh


Dato : 30-05-02 18:13

In article <3cf6558d$0$8970$edfadb0f@dspool01.news.tele.dk>, Jakob Bork wrote:
> Jeg er lige stødt på en side, hvor man betaler ved at sende kreditkortinfo
> ukrypteret til webserveren, hvorefter "firmaet" senere (De skriver maks 31
> dage senere) sender oplysningerne videre til PBS.
> Siden er forholdsvis stor (i antal betalende). Er det ikke totalt
> uacceptabelt?
> Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?
> Findes dette mange andre steder på nettet?

Hvis de gør det så bryder de deres indløsnings aftale med PBS, så det
det tror jeg næppe de gør. Prøv at kigge i sourcen til siden og se om
der ikke i formen står at den poster til en https:// url?


--
../Jesper Krogh, jesper@linuxpusher.dk
webshop: http://www.linuxpusher.dk - Mandrake 8.2 PowerPack er nu i hus.


Jakob Bork (30-05-2002)
Kommentar
Fra : Jakob Bork


Dato : 30-05-02 18:46

> Hvis de gør det så bryder de deres indløsnings aftale med PBS, så det
> det tror jeg næppe de gør.

Ja, de har vel en aftale med PBS.

> Prøv at kigge i sourcen til siden og se om
> der ikke i formen står at den poster til en https:// url?

Dette står i kildekoden:
FORM NAME="form1" METHOD="POST"
ACTION="./Tilmeld.php?pScreen=&pAction=Pay&pPaymentId=0000001&pOrderId=13050
21324&Key=">

Og jeg havde lige en pakkesniffer (paranoid som jeg er) i gang imens jeg
betalte (naiv som jeg er).
Dette stod i headeren på en pakke til serveren:

POST
/player/Tilmeld.php?pScreen=&pAction=Pay&pPaymentId=0000001&pOrderId=1305021
324&Key= HTTP/1.1

og lidt længere nede i samme pakke:
CreditCardNumber=XXX&CreditCardCVC=XXX&ExpireMonth=XX&ExpireYear=XXHTTP/1.1

hvor XXX er tal, som jeg kan nikke genkendende til, men som jeg ikke føler
trang til at sprede yderligere...

Jeg kender ikke lige så meget til https, men jeg kan ikke se den mindste
antydning af det her.

mvh
Jakob Bork



Jesper Krogh (30-05-2002)
Kommentar
Fra : Jesper Krogh


Dato : 30-05-02 19:01

In article <3cf66552$0$8957$edfadb0f@dspool01.news.tele.dk>, Jakob Bork wrote:
> > Hvis de gør det så bryder de deres indløsnings aftale med PBS, så det
> > det tror jeg næppe de gør.
>
> Ja, de har vel en aftale med PBS.
>
> > Prøv at kigge i sourcen til siden og se om
> > der ikke i formen står at den poster til en https:// url?
>
> Dette står i kildekoden:
> FORM NAME="form1" METHOD="POST"
> ACTION="./Tilmeld.php?pScreen=&pAction=Pay&pPaymentId=0000001&pOrderId=13050
> 21324&Key=">
>
> Og jeg havde lige en pakkesniffer (paranoid som jeg er) i gang imens jeg
> betalte (naiv som jeg er).
> Dette stod i headeren på en pakke til serveren:
>
> POST
> /player/Tilmeld.php?pScreen=&pAction=Pay&pPaymentId=0000001&pOrderId=1305021
> 324&Key= HTTP/1.1
>
> og lidt længere nede i samme pakke:
> CreditCardNumber=XXX&CreditCardCVC=XXX&ExpireMonth=XX&ExpireYear=XXHTTP/1.1
>
> hvor XXX er tal, som jeg kan nikke genkendende til, men som jeg ikke føler
> trang til at sprede yderligere...
>
> Jeg kender ikke lige så meget til https, men jeg kan ikke se den mindste
> antydning af det her.

Det kan jeg heller ikke, jeg syntes du bør skrive til butikken og påpege
det for dem. Du kan prøve at læse på http://www.betaling.dk/
der er de 2 løsninger som pbs tilbyder skitseret. Begge krypteret det er
ssl ( https ) løsningen der er mest udbredt.

Men jo, det er lidt skummelt, hvilken butik er det?

--
../Jesper Krogh, jesper@linuxpusher.dk
webshop: http://www.linuxpusher.dk - Mandrake 8.2 PowerPack er nu i hus.


Jakob Bork (30-05-2002)
Kommentar
Fra : Jakob Bork


Dato : 30-05-02 20:44

> Det kan jeg heller ikke, jeg syntes du bør skrive til butikken og påpege
> det for dem.

Det er hermed gjort.

> Men jo, det er lidt skummelt, hvilken butik er det?

Den bedste sikkerhed, som det firma har lige nu, er vist anonymitet. Jeg
undlader at nævne navne

mvh
Jakob Bork



Dennis Jakobsen (31-05-2002)
Kommentar
Fra : Dennis Jakobsen


Dato : 31-05-02 07:43

Jesper Krogh wrote:
> In article <3cf6558d$0$8970$edfadb0f@dspool01.news.tele.dk>, Jakob Bork wrote:
>
>> Jeg er lige stødt på en side, hvor man betaler ved at sende kreditkortinfo
>> ukrypteret til webserveren, hvorefter "firmaet" senere (De skriver maks 31
>> dage senere) sender oplysningerne videre til PBS.
>> Siden er forholdsvis stor (i antal betalende). Er det ikke totalt
>> uacceptabelt?
>> Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?
>> Findes dette mange andre steder på nettet?
>
>
> Hvis de gør det så bryder de deres indløsnings aftale med PBS, så det
> det tror jeg næppe de gør. Prøv at kigge i sourcen til siden og se om
> der ikke i formen står at den poster til en https:// url?

det er jo også galt.. du skal jo initiere en SSL connection FØR du
taster ind.. at sende informationerne over en ubeskyttet linje TIL et
HTTPS: site er jo nytteløst!


Kasper Mejlgaard (31-05-2002)
Kommentar
Fra : Kasper Mejlgaard


Dato : 31-05-02 10:48

It seems Dennis Jakobsen wrote:
> det er jo også galt.. du skal jo initiere en SSL connection FØR du
> taster ind.. at sende informationerne over en ubeskyttet linje TIL et
> HTTPS: site er jo nytteløst!

Sludder - hvis den side ACTION tag peger på en https denne del af
sikkerhedden fin. Dog er det ikke smart fordi det netop ikke signalerer at
det er en sikker transaktion der er ved at ske.

--
Kasper Mejlgaard

Kasper Dupont (31-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 31-05-02 14:43

Kasper Mejlgaard wrote:
>
> It seems Dennis Jakobsen wrote:
> > det er jo også galt.. du skal jo initiere en SSL connection FØR du
> > taster ind.. at sende informationerne over en ubeskyttet linje TIL et
> > HTTPS: site er jo nytteløst!
>
> Sludder - hvis den side ACTION tag peger på en https denne del af
> sikkerhedden fin. Dog er det ikke smart fordi det netop ikke signalerer at
> det er en sikker transaktion der er ved at ske.

Det største problem ved den fremgangsmåde er vel, at du ikke
kan se certifikatet, før du har sendt oplysningerne.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Dennis Skærup Højlun~ (31-05-2002)
Kommentar
Fra : Dennis Skærup Højlun~


Dato : 31-05-02 15:05

Kasper Dupont skrev:
>> Sludder - hvis den side ACTION tag peger på en https denne del af
>> sikkerhedden fin. Dog er det ikke smart fordi det netop ikke signalerer at
>> det er en sikker transaktion der er ved at ske.
> Det største problem ved den fremgangsmåde er vel, at du ikke
> kan se certifikatet, før du har sendt oplysningerne.

Og lige netop det at hængelåsen er tilstede under hele betalingsforløbet
(incl. indtastning af kortnummer) er et krav fra PBS.

--
Dennis Skærup Højlund Andersen (http://euph.dk)
http://euph.dk/disclaimer

Henning Petersen (31-05-2002)
Kommentar
Fra : Henning Petersen


Dato : 31-05-02 22:53

On Fri, 31 May 2002 16:05:14 +0200, Dennis Skærup Højlund Andersen
<usenet@euph.dk> wrote:

> Og lige netop det at hængelåsen er tilstede under hele betalingsforløbet
> (incl. indtastning af kortnummer) er et krav fra PBS.

Har du en reference på det?

I så fald er der flere (mange) steder hvor der er problemer med
diverse betalings-gateways.

--
Venlig hilsen / Best regards
   Henning

_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg

Dennis Skærup Højlun~ (01-06-2002)
Kommentar
Fra : Dennis Skærup Højlun~


Dato : 01-06-02 07:48

Henning Petersen skrev:
>> Og lige netop det at hængelåsen er tilstede under hele betalingsforløbet
>> (incl. indtastning af kortnummer) er et krav fra PBS.
> Har du en reference på det?

PBS's Merchant Guide som ikke svjv findes i en online udgave, men jeg
har tidligere i en anden gruppe citeret den:
http://groups.google.com/groups?selm=q95jftg371eijrhstjavimar753umr4c7f%40news.geekonline.dk

> I så fald er der flere (mange) steder hvor der er problemer med
> diverse betalings-gateways.

Yep.

--
Dennis Skærup Højlund Andersen (http://euph.dk)
http://euph.dk/disclaimer

Lasse Reichstein Nie~ (31-05-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 31-05-02 13:37

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Det største problem ved den fremgangsmåde er vel, at du ikke
> kan se certifikatet, før du har sendt oplysningerne.

Du burde blive informeret om eventuelle problemer med certifikatet når
din browser forsøger at oprette den krypterede forbindelse, altså
inden den sender indholdet af formen over den.
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgment merely degrades the spirit divine.'

Kasper Dupont (31-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 31-05-02 22:17

Lasse Reichstein Nielsen wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> > Det største problem ved den fremgangsmåde er vel, at du ikke
> > kan se certifikatet, før du har sendt oplysningerne.
>
> Du burde blive informeret om eventuelle problemer med certifikatet når
> din browser forsøger at oprette den krypterede forbindelse, altså
> inden den sender indholdet af formen over den.

Ja, hvis der er nogle formelle problemer omkring certifikatet,
burde browseren advare dig. Men hvis du gerne vil se, hvem du
sender oplysningerne til er det en anden sag. Når du ser en
side kan du se denne sides certifikat med oplysninger om
hvilken CA, der har udstedt certifikatet, og til hvem. Men når
du sender en formular kan du ikke se disse oplysninger før du
har sendt formularen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Henning Petersen (31-05-2002)
Kommentar
Fra : Henning Petersen


Dato : 31-05-02 09:17

On Fri, 31 May 2002 09:42:38 +0300, Dennis Jakobsen
<brunis@kolumbus.fi> wrote:

> Jesper Krogh wrote:
> > In article <3cf6558d$0$8970$edfadb0f@dspool01.news.tele.dk>, Jakob Bork wrote:
<cut>
> > Hvis de gør det så bryder de deres indløsnings aftale med PBS, så det
> > det tror jeg næppe de gør. Prøv at kigge i sourcen til siden og se om
> > der ikke i formen står at den poster til en https:// url?
>
> det er jo også galt.. du skal jo initiere en SSL connection FØR du
> taster ind.. at sende informationerne over en ubeskyttet linje TIL et
> HTTPS: site er jo nytteløst!

Hvorfor det? Det er jo kun i forbindelse med afsendelse at dine
oplysninger vil blive sendt over nettet, og postes der til en
https://adresse _er_ forbindelsen krypteret.

Den eneste forskel er at du ikke vil ha en lille hængelås i hjørnet af
din browser, hvilket ikke har betydning for din tekniske sikkerhed.

I princippet er der jo heller ingen som forhindrer at en formular
indtastet på en https: side ikke postes til et http: script (dvs
ukrypteret). Derudover vil de flese browsere vistnok komme med en
advarsel hvis det forsøges.

--
Venlig hilsen / Best regards
   Henning

_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg

Jesper Stocholm (01-06-2002)
Kommentar
Fra : Jesper Stocholm


Dato : 01-06-02 15:33

Dennis Jakobsen wrote in news:3CF71B5E.9020009@kolumbus.fi:

>> Hvis de gør det så bryder de deres indløsnings aftale med PBS, så det
>> det tror jeg næppe de gør. Prøv at kigge i sourcen til siden og se om
>> der ikke i formen står at den poster til en https:// url?
>
> det er jo også galt.. du skal jo initiere en SSL connection FØR du
> taster ind.. at sende informationerne over en ubeskyttet linje TIL et
> HTTPS: site er jo nytteløst!

Det er da vist ikke rigtigt ...

det bør ingen forskel gøre om SSL-tunnelen er opsat inden indtastning
eller først efter der trykkes på "Submit"-knappen. Hvis target/ref er sat
til en SSL-side, så opsættes SSL-tunnelen /inden/ data fra formen sendes
til sitet. Derfor giver det ingen forskel. Data vil under alle
omstændigheder være krypterede under overførsel imellem din browser og
SSL-sitet.

:)

--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

F.Larsen (30-05-2002)
Kommentar
Fra : F.Larsen


Dato : 30-05-02 18:54

"Jakob Bork" <bork@adslhome.dk> wrote in message
news:3cf6558d$0$8970$edfadb0f@dspool01.news.tele.dk...
> Siden er forholdsvis stor (i antal betalende). Er det ikke totalt
> uacceptabelt?
> Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?
> Findes dette mange andre steder på nettet?

Det er totalt uacceptabelt. Jeg ville under ingen omstændigheder sende den
slags oplysninger uden en krypteret forbindelse. Sikkerheden er ved at være
et problem og de større kreditkort selskaber er ved at indføre mulighed for
yderligere sikkerhed mht betaling over internet.

--
Flemming
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/AlphaPal8045T/index.htm
Asus A7V266-E.: http://hjem.get2net.dk/Quake2/LowNoise2/A7V266-E.htm





Povl H. Pedersen (30-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 30-05-02 20:29

On Thu, 30 May 2002 19:54:22 +0200,
F.Larsen <n0spam@spamfilter.dk> wrote:
> "Jakob Bork" <bork@adslhome.dk> wrote in message
> news:3cf6558d$0$8970$edfadb0f@dspool01.news.tele.dk...
>> Siden er forholdsvis stor (i antal betalende). Er det ikke totalt
>> uacceptabelt?
>> Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?
>> Findes dette mange andre steder på nettet?
>
> Det er totalt uacceptabelt. Jeg ville under ingen omstændigheder sende den
> slags oplysninger uden en krypteret forbindelse. Sikkerheden er ved at være
> et problem og de større kreditkort selskaber er ved at indføre mulighed for
> yderligere sikkerhed mht betaling over internet.

Et stort problem er også, at PBS ikke har sikkerhed på infrastrukturen.
SSL er OK, men kun så længe du kan stole på certifikater.

Og der er ingen certifikater mellem butik og PBS's betalingsserver.
Så principielt kan du i TD@'s kælder smide en maskine op, give den
IP adressen på PBS' server, få al kreditkortinfo du ønsker, rette
lidt i nogle posteringer, og så lade det køre videre til PBS.

Jeg har flere gange, også gennem revisor der gennemgår inet butikkernes
PBS løsninger, gjort PBS opmærksom på svagheden, og opfordret dem selv
at udstede certifikater, og anvende disse som butiksID
klientcertifikater, samt kræve at butikkerne validerer PBS' cert
ved handshake.

Det store problem er nok mangel på kvalificerede medarbejde i dette
land som kan implementere en sådan løsning til en lav pris.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

Christian E. Lysel (30-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 30-05-02 20:53

Povl H. Pedersen wrote:
> Det store problem er nok mangel på kvalificerede medarbejde i dette
> land som kan implementere en sådan løsning til en lav pris.

Endvidere ville det være skønt med en browser der ikke vil besøge sites
med ugyldige certifikater.

Hvor svært kan det være at implementere :)



Peder Vendelbo Mikke~ (30-05-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 30-05-02 22:05

Christian E. Lysel skrev:

>> Povl H. Pedersen wrote:
>> Det store problem er nok mangel på kvalificerede medarbejde i dette
>> land som kan implementere en sådan løsning til en lav pris.

> Endvidere ville det være skønt med en browser der ikke vil besøge
> sites med ugyldige certifikater.

Min IE 6 spørger om jeg har lyst til at fortsætte, jeg kan ikke huske
om jeg har ændret indstillingerne i den forbindelse eller om jeg sta-
digvæk kører med original-indstillinger.

> Hvor svært kan det være at implementere :)

Det virker fint i Internet Explorer 6. Man kan slå følgende til eller
fra (i forbindelse med certifikater):

Check for publishers certificate revocation
--------- server certificate revocation
--------- signatures on downloaded programs
Do not save encrypted pages to disk
Warn about invalid site certificates
Warn if changing between secure and not secure mode
Warn if forms submittal is being redirected.

Der kan sikkert opsættes mere via registreringsdatabasen, men jeg gider
ikke slå det op.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >


Christian E. Lysel (31-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 31-05-02 08:30

Peder Vendelbo Mikkelsen wrote:
>> Endvidere ville det være skønt med en browser der ikke vil besøge
>> sites med ugyldige certifikater.
> Min IE 6 spørger om jeg har lyst til at fortsætte, jeg kan ikke huske
> om jeg har ændret indstillingerne i den forbindelse eller om jeg
> sta- digvæk kører med original-indstillinger.

At spørge er ikke det samme.

>> Hvor svært kan det være at implementere :)
> Det virker fint i Internet Explorer 6. Man kan slå følgende til eller
> fra (i forbindelse med certifikater):

Dvs at det er stået til, pr. default?


Følgende kritik af MS har jeg fundet deres håndtering af PKI:

http://www.spindelnet.dk/?path=security/pki&file=microsoft.txt

PS: Det er ikke den eneste producent der ikke kan finde ud af det:

http://www.spindelnet.dk/?path=security/pki&file=producenter.txt


Peder Vendelbo Mikke~ (03-06-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 03-06-02 21:23

Christian E. Lysel skrev:

> Dvs at det er stået til, pr. default?

Jeg vil forsøge at huske, at slå det op i Ressource kittet til IE 6 i
morgen, hvis der er regnvejr eller andre grunde til ikke at smutte en
tur til stranden for at tjekke udviklingen på sololie-området.

> Følgende kritik af MS har jeg fundet deres håndtering af PKI:

Tak for links.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >



Povl H. Pedersen (30-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 30-05-02 22:22

On Thu, 30 May 2002 21:53:17 +0200,
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Povl H. Pedersen wrote:
>> Det store problem er nok mangel på kvalificerede medarbejde i dette
>> land som kan implementere en sådan løsning til en lav pris.
>
> Endvidere ville det være skønt med en browser der ikke vil besøge sites
> med ugyldige certifikater.

Du får da advarsler. Og hvis du går ind i din IE og checker de
mellemliggende root certifikater, så kan IE ikke validere dem, men
alligevel står de til at være lovlige certifikater.

Men jeg synes da, at det er OK at man kan vælge at acceptere sine
hjemmeudstedte certifikater, uden at skulle tvinge ens eget rootCA
ned i alle de browsere man anvender.

> Hvor svært kan det være at implementere :)

Meget let.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

Dennis Jakobsen (31-05-2002)
Kommentar
Fra : Dennis Jakobsen


Dato : 31-05-02 07:48

Christian E. Lysel wrote:
> Povl H. Pedersen wrote:
>
>> Det store problem er nok mangel på kvalificerede medarbejde i dette
>> land som kan implementere en sådan løsning til en lav pris.
>
>
> Endvidere ville det være skønt med en browser der ikke vil besøge sites
> med ugyldige certifikater.
>
> Hvor svært kan det være at implementere :)

det ER implementeret..

hent Netscape7 eller Moziila, de bruger OCSP til certifikat validering..


Christian E. Lysel (31-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 31-05-02 08:45

Dennis Jakobsen wrote:
>> Endvidere ville det være skønt med en browser der ikke vil besøge
>> sites med ugyldige certifikater.
>>
>> Hvor svært kan det være at implementere :)
> det ER implementeret..
>
> hent Netscape7 eller Moziila, de bruger OCSP til certifikat validering..

Ikke pr. default.

Men når man så besøger fx https://216.168.252.86/ som er verisign, siger
den pænt at dette kan være et hacker angreb og du skal vælge cancel hvis
du ikke ønsker at forsætte.

Hvad mon de fleste almindelig brugere vælger? De vælger ok, og forsætte
som intet var hændt.



Citrix's nyeste klient, kan ikke forbinde til en SSL service, hvis den
ikke stoler på CA'en, den spørger ikke brugeren om noget, den fortæller
blot at den nægter at forsætte og du kan ikke tvinge den til det.



Kasper Dupont (31-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 31-05-02 15:01

"Christian E. Lysel" wrote:
>
> Hvad mon de fleste almindelig brugere vælger? De vælger ok, og forsætte
> som intet var hændt.
>
> Citrix's nyeste klient, kan ikke forbinde til en SSL service, hvis den
> ikke stoler på CA'en, den spørger ikke brugeren om noget, den fortæller
> blot at den nægter at forsætte og du kan ikke tvinge den til det.

Jeg synes ikke, man skal gøre noget stort nummer ud af brugere,
der ignorer den slags advarsler. Uanset hvor meget vi gør kan
vi ikke sikre de dummeste brugere mod dem selv. De kunne også
vælge at sende fortrolige oplysninger over en ukrypteret linie,
eller måske enda per email til en person, der giver sig ud for
at arbejde for bank/webbutik/etc.

Ved en hurtig søgning på nettet fandt jeg disse citater:

- Mankind is building bigger, better, faster, and more
foolproof machines. The universe is building bigger,
better, and faster fools.

- "Nothing is foolproof, fools are ingenious." -Murphy

- A common mistake that people make when trying to design
something completely foolproof is to underestimate the
ingenuity of complete fools." - Douglas Adams.

- Programming today is a race between software engineers
striving to build bigger and better idiot-proof programs,
and the Universe trying to produce bigger and better
idiots. So far, the Universe is winning. --Richard Cook

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Christian E. Lysel (31-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 31-05-02 18:25

Kasper Dupont wrote:
> Jeg synes ikke, man skal gøre noget stort nummer ud af brugere,
> der ignorer den slags advarsler. Uanset hvor meget vi gør kan

Ja, og derfor bør browseren ikke tillade denne slags tilfælde.

> vi ikke sikre de dummeste brugere mod dem selv. De kunne også
> vælge at sende fortrolige oplysninger over en ukrypteret linie,
> eller måske enda per email til en person, der giver sig ud for
> at arbejde for bank/webbutik/etc.

Problemet er blot at ingen bruger går op i at et certifikat ikke passer,
men det er trivielt at få en browser til at stoppe hvis certifikatet
ikke passer. I stedet er browserne programmeret således at man kan
tilsidesætte sikkerheden, dvs. man har brugt ekstra resourcer for at få
denne "feature".


Henning Petersen (31-05-2002)
Kommentar
Fra : Henning Petersen


Dato : 31-05-02 10:44

On Thu, 30 May 2002 21:53:17 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

> Povl H. Pedersen wrote:
> > Det store problem er nok mangel på kvalificerede medarbejde i dette
> > land som kan implementere en sådan løsning til en lav pris.
>
> Endvidere ville det være skønt med en browser der ikke vil besøge sites
> med ugyldige certifikater.

Både IE og Opera kommer da med advarsler om at certifikatet ikke kunne
findes.

I Opera har du så valget mellem at godkende certifikatet midlertidigt
eller installere det permanent, så kan man jo selv afgøre om man vil
stole på certifikatet eller ej.

> Hvor svært kan det være at implementere :)

Er det forlængst.

--
Venlig hilsen / Best regards
   Henning

_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg

Christian E. Lysel (31-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 31-05-02 13:01

Henning Petersen wrote:
>>Endvidere ville det være skønt med en browser der ikke vil besøge sites
>>med ugyldige certifikater.
> Både IE og Opera kommer da med advarsler om at certifikatet ikke kunne
> findes.

Men browseren vil stadigvæk besøge sitet hvis brugeren ikke tænker sig
om. Læg mærke til min formulering.

>>Hvor svært kan det være at implementere :)
> Er det forlængst.

Nej, og de tør nok ikke at implementere det!


Henning Petersen (31-05-2002)
Kommentar
Fra : Henning Petersen


Dato : 31-05-02 22:59

On Fri, 31 May 2002 14:01:08 +0200, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:

> Henning Petersen wrote:
> >>Endvidere ville det være skønt med en browser der ikke vil besøge sites
> >>med ugyldige certifikater.
> > Både IE og Opera kommer da med advarsler om at certifikatet ikke kunne
> > findes.
>
> Men browseren vil stadigvæk besøge sitet hvis brugeren ikke tænker sig
> om. Læg mærke til min formulering.

Jeg har set din formulering.

> >>Hvor svært kan det være at implementere :)
> > Er det forlængst.
>
> Nej, og de tør nok ikke at implementere det!

Jeg bruger løbende et par sites via https, som ikke har verisign
certifikater, så hvis min browser blot ville skrotte dem, ville den
ryge direkte ud - at man så kunne lave det så det blev lidt sværere at
installere / godkende certifikater hvor CA ikke var kendt, er så en
anden ting.

- iøvrigt, hvordan kan jeg være mere sikker på at verisign ikke laver
forkerte certifikater? var der ikke noget med et falskt microsoft
certifikat på et tidspunkt - husker ikke lige detaljerne, men
alligevel, hvordan kan Jens Hansen som ikke aner noget om
certifikater, være sikker på at et firma ved navn verisign (eller
thatwe/KMD_CA og hvad de alle hedder) skulle være sikkert?


--
Venlig hilsen / Best regards
   Henning

_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg

Christian E. Lysel (01-06-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-06-02 09:22

Henning Petersen wrote:
> - iøvrigt, hvordan kan jeg være mere sikker på at verisign ikke laver
> forkerte certifikater? var der ikke noget med et falskt microsoft
> certifikat på et tidspunkt - husker ikke lige detaljerne, men
> alligevel, hvordan kan Jens Hansen som ikke aner noget om
> certifikater, være sikker på at et firma ved navn verisign (eller
> thatwe/KMD_CA og hvad de alle hedder) skulle være sikkert?

Blacklistning af ugyldige certifikater, dog sent implementeret.



Kasper Dupont (01-06-2002)
Kommentar
Fra : Kasper Dupont


Dato : 01-06-02 18:13

"Christian E. Lysel" wrote:
>
> Henning Petersen wrote:
> > - iøvrigt, hvordan kan jeg være mere sikker på at verisign ikke laver
> > forkerte certifikater? var der ikke noget med et falskt microsoft
> > certifikat på et tidspunkt - husker ikke lige detaljerne, men
> > alligevel, hvordan kan Jens Hansen som ikke aner noget om
> > certifikater, være sikker på at et firma ved navn verisign (eller
> > thatwe/KMD_CA og hvad de alle hedder) skulle være sikkert?
>
> Blacklistning af ugyldige certifikater, dog sent implementeret.

Så vidt jeg erindrer, var det allerede specificeret da problemet
opstod. Men Microsoft havde glemt at implementere blacklistning
i deres egen software.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Lars Kim Lund (30-05-2002)
Kommentar
Fra : Lars Kim Lund


Dato : 30-05-02 21:01

Hej "Povl H. Pedersen" <nospam@home.terminal.dk>

>Det store problem er nok mangel på kvalificerede medarbejde i dette
>land som kan implementere en sådan løsning til en lav pris.

Kvalificerede medarbejdere er i sagens natur ikke billige - men i
sidste ende kan en rigtig løsning være billigere. Som et gammelt
ordsprog siger: "Det er dyrt at være fattig" eller lettere omskrivet
"Det er dyrt at spare de forkerte steder".

--
Lars Kim Lund
http://www.net-faq.dk/

Povl H. Pedersen (30-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 30-05-02 20:16

On Thu, 30 May 2002 18:38:39 +0200,
Jakob Bork <bork@adslhome.dk> wrote:
> Jeg er lige stødt på en side, hvor man betaler ved at sende kreditkortinfo
> ukrypteret til webserveren, hvorefter "firmaet" senere (De skriver maks 31
> dage senere) sender oplysningerne videre til PBS.
>
> Siden er forholdsvis stor (i antal betalende). Er det ikke totalt
> uacceptabelt?

Jeg mener ikke at det er uacceptabelt, idet der ikke er sikkerhed mellem
butik og PBS. OK, det er SSL, men der checkes ikke certifikater i nogen
af enderne, så man-in-the-middle er meget vel muligt.

Selv er jeg ikke specielt bange for at sende en mail med
kortoplysninger. Bankerne bærer risikoen. Hvis de vil have mere
sikkerhed må de give os engangspasswords a'la Jyske Banks hjemmebank.

> Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?

Ringer eller mailer til PBS. SÅ får de 1-2 måneder til at rette fejlen,
ellers lukker PBS for deres indløsningsaftale. Så det plejer at virke.

> Findes dette mange andre steder på nettet?

Nogle. Ikke mange.


--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

Jesper Krogh (30-05-2002)
Kommentar
Fra : Jesper Krogh


Dato : 30-05-02 20:25

In article <slrnafcuju.4sk.nospam@home.terminal.dk>, Povl H. Pedersen wrote:
> On Thu, 30 May 2002 18:38:39 +0200,
> Jakob Bork <bork@adslhome.dk> wrote:
> > Jeg er lige stødt på en side, hvor man betaler ved at sende kreditkortinfo
> > ukrypteret til webserveren, hvorefter "firmaet" senere (De skriver maks 31
> > dage senere) sender oplysningerne videre til PBS.
> >
> > Siden er forholdsvis stor (i antal betalende). Er det ikke totalt
> > uacceptabelt?
>
> Jeg mener ikke at det er uacceptabelt, idet der ikke er sikkerhed mellem
> butik og PBS. OK, det er SSL, men der checkes ikke certifikater i nogen
> af enderne, så man-in-the-middle er meget vel muligt.

Hvad mener du med checkkes certifikater?
I de fleste opsætninger kommer kortoplysninger aldrig forbi butikken,
men forbi en af pbs-godkent betalingsgateway, hvortil der forbindes med
https. Jeg er ikke så meget inde i det, men jeg vil da gerne vide hvor
hullet er henne?

--
../Jesper Krogh, jesper@linuxpusher.dk
webshop: http://www.linuxpusher.dk - Mandrake 8.2 PowerPack er nu i hus.


Povl H. Pedersen (30-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 30-05-02 21:55

On Thu, 30 May 2002 21:25:16 +0200,
Jesper Krogh <jesper@linuxpusher.dk> wrote:
>> Jeg mener ikke at det er uacceptabelt, idet der ikke er sikkerhed mellem
>> butik og PBS. OK, det er SSL, men der checkes ikke certifikater i nogen
>> af enderne, så man-in-the-middle er meget vel muligt.
>
> Hvad mener du med checkkes certifikater?
> I de fleste opsætninger kommer kortoplysninger aldrig forbi butikken,
> men forbi en af pbs-godkent betalingsgateway, hvortil der forbindes med
> https. Jeg er ikke så meget inde i det, men jeg vil da gerne vide hvor
> hullet er henne?

Set fra bruger er butik ofte lig betalingsgateway. Du ved vel heller
ikke hvem der ejer Dankort terminalen i butik A.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

Jesper Krogh (31-05-2002)
Kommentar
Fra : Jesper Krogh


Dato : 31-05-02 05:48

In article <slrnafd4ds.iuv.nospam@home.terminal.dk>, Povl H. Pedersen wrote:
> On Thu, 30 May 2002 21:25:16 +0200,
> > Hvad mener du med checkkes certifikater?
> > I de fleste opsætninger kommer kortoplysninger aldrig forbi butikken,
> > men forbi en af pbs-godkent betalingsgateway, hvortil der forbindes med
> > https. Jeg er ikke så meget inde i det, men jeg vil da gerne vide hvor
> > hullet er henne?
>
> Set fra bruger er butik ofte lig betalingsgateway. Du ved vel heller
> ikke hvem der ejer Dankort terminalen i butik A.

Det er jo kun hvis du ikke stoler på PBS's godkendelses regler at det
gør sig gældende. Der skal noget af en godkendelse til hvis butikken i
sig selv skal have lov til at se eller endda opbevare
kortinformationerne. Betalingsgatewayen der står for kommunikationenen
med PBS, regner vi vel med at de her deres certifikater i orden. Ellers
er der jo noget der er helt hen i vejret. Sikkerheden består i PBS's
godkendelse af systemerne. Det ville være meget rart hvis du pointerede
hvor problemerne af sikkerhedsmæssig karakter opstår, for i mine øjne,
så er ringen altså sluttet.

--
../Jesper Krogh, jesper@linuxpusher.dk
webshop: http://www.linuxpusher.dk - Mandrake 8.2 PowerPack er nu i hus.


Povl H. Pedersen (31-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 31-05-02 06:56

On Fri, 31 May 2002 06:47:59 +0200,
Jesper Krogh <jesper@linuxpusher.dk> wrote:
> Det er jo kun hvis du ikke stoler på PBS's godkendelses regler at det
> gør sig gældende. Der skal noget af en godkendelse til hvis butikken i
> sig selv skal have lov til at se eller endda opbevare
> kortinformationerne.

Næh. De skal bare have et system der lever op til kravene fra PBS.
Og det er en årlig revisorpåtegning, samt noget gratis software f.eks.
Cashcow.

> Betalingsgatewayen der står for kommunikationenen
> med PBS, regner vi vel med at de her deres certifikater i orden. Ellers
> er der jo noget der er helt hen i vejret. Sikkerheden består i PBS's
> godkendelse af systemerne. Det ville være meget rart hvis du pointerede
> hvor problemerne af sikkerhedsmæssig karakter opstår, for i mine øjne,
> så er ringen altså sluttet.

PBS kender ikke betalingsgateway'ens (BG) certifikat. PBS's ende checker
heller ikke om BG anvender et certifikat de selv har udstedt, eller om
det er udstedt af Fup og Svindel A/S. BG'en kender heller ikke PBS'
certifikat.

Så enhver kan i praksis overtage denne krypterede kommunikation hvis
man har adgang til netværksforbindelsen undervej, hvormed noget af
sikkerheden forsvinder.
--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

Dennis Skærup Højlun~ (31-05-2002)
Kommentar
Fra : Dennis Skærup Højlun~


Dato : 31-05-02 09:40

Povl H. Pedersen skrev:
> PBS kender ikke betalingsgateway'ens (BG) certifikat. PBS's ende checker
> heller ikke om BG anvender et certifikat de selv har udstedt, eller om
> det er udstedt af Fup og Svindel A/S. BG'en kender heller ikke PBS'
> certifikat.

Cashcow, som du selv nævner tidligere har et lille check på dette, i og
med at det bliver kontrolleret om det er et verisign-stemplet certifikat
der er hos PBS.

--
Dennis Skærup Højlund Andersen (http://euph.dk)
http://euph.dk/disclaimer

Kasper Dupont (30-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 30-05-02 21:21

Jakob Bork wrote:
>
> Jeg er lige stødt på en side, hvor man betaler ved at sende kreditkortinfo
> ukrypteret til webserveren, hvorefter "firmaet" senere (De skriver maks 31
> dage senere) sender oplysningerne videre til PBS.

Jeg synes egentlig det er uacceptabelt, at man overhovedet bruger
kreditkortnummer som identifikation. Der burde i stedet anvendes
elektronisk signatur. Men man har altså valgt den nemme løsning
frem for den sikre. Nogen har haft så travlt med at åbne op for
betalinger over internettet, at de ikke kunne vente på, at det
nødvendige forarbejde blev gjort. Det undrer mig, at ingen har
sagt stop og nægtet at intoducere denne type løsninger.

Anvendelse af SSL til hele kommunikationen eller dele heraf, vil
naturligvis forbedre sikkerheden. Men det ændrer ikke ved, at det
grundlæggende princip er forkert.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Alex Holst (30-05-2002)
Kommentar
Fra : Alex Holst


Dato : 30-05-02 22:00

Jakob Bork <bork@adslhome.dk> wrote:
> Siden er forholdsvis stor (i antal betalende). Er det ikke totalt
> uacceptabelt?
> Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?

Det er sjovt at folk har saa travlt med at bruge https, men ikke er
interesseret i at kende firmaets sikkerhedspolitik og procedurer som
spiller endnu stoerre rolle i mange tilfaelde.

Hvis jeg ikke var traet lige nu ville jeg kunne komme tanke om andre end
CD Universe som var offer for et elektronisk indbrud hvor samtlige
opbevarede kreditkort numre blev stjaalet.

Hvorfor bruge 45 dage paa at sniffe alt kreditkort trafik til en server
naar man kan bruge 45 minutter paa at bryde ind og faa alle kredit kort
der er blevet brugt de sidste X maaneder?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Daniel Blankensteine~ (30-05-2002)
Kommentar
Fra : Daniel Blankensteine~


Dato : 30-05-02 22:16

"Alex Holst" <a@area51.dk> wrote in message
news:slrnafd4na.23ja.a@C-Tower.Area51.DK...
> Hvorfor bruge 45 dage paa at sniffe alt kreditkort trafik til en
server
> naar man kan bruge 45 minutter paa at bryde ind og faa alle kredit
kort
> der er blevet brugt de sidste X maaneder?

Tja, mht sikkerhed så kan vi jo sige at alt vi gør er ligemeget,
crackeren kommer jo ind alligevel, så det eneste du egentlig skal gøre,
er at have et godt IDS. Men alligevel sætter vi jo firewalls op og kører
daemons i jails o.s.v.. Det handler jo om at skabe så mange lag som
muligt, at kryptere surfing med shttp, vil jo stoppe nogle mindre
begavet crackere.

mvh
db



Alex Holst (31-05-2002)
Kommentar
Fra : Alex Holst


Dato : 31-05-02 03:09

Daniel Blankensteiner <db@traceroute.dk> wrote:
> Tja, mht sikkerhed så kan vi jo sige at alt vi gør er ligemeget,
> crackeren kommer jo ind alligevel, så det eneste du egentlig skal gøre,
> er at have et godt IDS.

Det kunne du godt have sagt noget foer. En masse arbejde med OSS'en
kunne have vaeret sparet.

Det var sarkasme.

Naar jeg laeser dine indlaeg faar jeg indtrykket af, at der er et par
ting du har misforstaaet. I dette tilfaelde var min pointe var, at folks
fokus er det forkerte sted. Mange forlanger at HTTPS bliver brugt fremfor
HTTP, men ingen forlanger at faa indsigt i hvordan systemerne hos disse
firmaer ellers er sikret og bliver vedligeholdt.

Hvorfor har handlesteder, nyhejdstjenester og finansinsitutioner, etc
ikke deres sikkerhedspolitik, procedurer og audit resultater
tilgaengeligt paa nettet, saa man virkeligt kan faa en ide om hvor sikre
de er? Jeg ville gerne vide hvordan der sikres imod programmeringsfejl i
interne systemer, hvordan ansatte vaelges, hvordan patching af services
finder sted, og meget andet.

I mange tilfaelde betyder det ganske lidt om der bruges http eller
https, men da netop dette spoergsmaal er tilpas simpelt til at
almindelige mennesker har en mening om det[1], skaber det en masse stoej
og de sande punkter der er vaerd at diskutere bliver slet ikke bragt op.


Alex

[1] http://a.area51.dk/clueful/1999-phk-bikeshed

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Daniel Blankensteine~ (31-05-2002)
Kommentar
Fra : Daniel Blankensteine~


Dato : 31-05-02 10:56

"Alex Holst" <a@area51.dk> wrote in message
news:slrnafdmpb.2set.a@C-Tower.Area51.DK...
> Daniel Blankensteiner <db@traceroute.dk> wrote:
> > Tja, mht sikkerhed så kan vi jo sige at alt vi gør er ligemeget,
> > crackeren kommer jo ind alligevel, så det eneste du egentlig skal
gøre,
> > er at have et godt IDS.
>
> Det kunne du godt have sagt noget foer. En masse arbejde med OSS'en
> kunne have vaeret sparet.
>
> Det var sarkasme.

*G*

> Naar jeg laeser dine indlaeg faar jeg indtrykket af, at der er et par
> ting du har misforstaaet.

Tja, det gør jeg nogen gange, ved ikke hvorfor :-/

> I dette tilfaelde var min pointe var, at folks
> fokus er det forkerte sted. Mange forlanger at HTTPS bliver brugt
fremfor
> HTTP, men ingen forlanger at faa indsigt i hvordan systemerne hos
disse
> firmaer ellers er sikret og bliver vedligeholdt.
>
> Hvorfor har handlesteder, nyhejdstjenester og finansinsitutioner, etc
> ikke deres sikkerhedspolitik, procedurer og audit resultater
> tilgaengeligt paa nettet, saa man virkeligt kan faa en ide om hvor
sikre
> de er? Jeg ville gerne vide hvordan der sikres imod programmeringsfejl
i
> interne systemer, hvordan ansatte vaelges, hvordan patching af
services
> finder sted, og meget andet.

Uha, jamen det er jo en hel virksomhedsanalyse, så skal vi jo til at
tage penge for det

> I mange tilfaelde betyder det ganske lidt om der bruges http eller
> https, men da netop dette spoergsmaal er tilpas simpelt til at
> almindelige mennesker har en mening om det[1], skaber det en masse
stoej
> og de sande punkter der er vaerd at diskutere bliver slet ikke bragt
op.

Rigtig nok.

mvh
db



Alex Holst (31-05-2002)
Kommentar
Fra : Alex Holst


Dato : 31-05-02 12:17

Daniel Blankensteiner <db@traceroute.dk> wrote:
> "Alex Holst" <a@area51.dk> wrote in message
>> Jeg ville gerne vide hvordan der sikres imod programmeringsfejl i
>> interne systemer, hvordan ansatte vaelges, hvordan patching af
>> services finder sted, og meget andet.
>
> Uha, jamen det er jo en hel virksomhedsanalyse, så skal vi jo til at
> tage penge for det

Nej, det vil saa hoere med til evalueringsmaterialet. Det vil ikke tage
urimeligt lang tid at laese saadant materiale igennem naar din
motivation er at finde ud af om en web handlende er et sted du stoler
paa med dit kreditkort og andre personlige oplysninger. Om ikke andet
vil der vaere underlige mennesker som bruger tid paa det, og raaber
hoejt om hvad de finder.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Christian E. Lysel (31-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 31-05-02 08:31

Alex Holst wrote:
>>Siden er forholdsvis stor (i antal betalende). Er det ikke totalt
>>uacceptabelt?
>>Svaret er vel ja, når man spørger herinde, men hvad gør man i praksis?
> Det er sjovt at folk har saa travlt med at bruge https, men ikke er
> interesseret i at kende firmaets sikkerhedspolitik og procedurer som
> spiller endnu stoerre rolle i mange tilfaelde.

Eller blot producenten af klient applikationen der bruger SSL:

http://www.spindelnet.dk/?path=security/pki&file=producenter.txt


Troels Arvin (31-05-2002)
Kommentar
Fra : Troels Arvin


Dato : 31-05-02 11:18

On Thu, 30 May 2002 23:00:27 +0200, Alex Holst wrote:

> Hvorfor bruge 45 dage paa at sniffe alt kreditkort trafik til en server
> naar man kan bruge 45 minutter paa at bryde ind og faa alle kredit kort
> der er blevet brugt de sidste X maaneder?

PBS tillader ikke, at kreditkort oplysninger gemmes af butikken.

--
Greetings from Troels Arvin, Copenhagen, Denmark


Alex Holst (31-05-2002)
Kommentar
Fra : Alex Holst


Dato : 31-05-02 12:32

Troels Arvin <troels@arvin.dk> wrote:
> On Thu, 30 May 2002 23:00:27 +0200, Alex Holst wrote:
>
>> Hvorfor bruge 45 dage paa at sniffe alt kreditkort trafik til en server
>> naar man kan bruge 45 minutter paa at bryde ind og faa alle kredit kort
>> der er blevet brugt de sidste X maaneder?
>
> PBS tillader ikke, at kreditkort oplysninger gemmes af butikken.

Jeg vil vaedde en isvaffel med tre kugler[1] paa at det sker alligevel.


[1] chokolade, nougat og banan. Ingen guf.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Peter Brodersen (31-05-2002)
Kommentar
Fra : Peter Brodersen


Dato : 31-05-02 13:07

On Fri, 31 May 2002 13:31:31 +0200, Alex Holst <a@area51.dk> wrote:

>Jeg vil vaedde en isvaffel med tre kugler[1] paa at det sker alligevel.

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=13927
==
Tværtimod vil Speednames automatisk forlænge registreringen og
herefter bruge de kreditkortoplysninger, kunden tidligere har
indtastet, til at hæve pengene.
==

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=7170
==
I et døgn lagde brugere intetanende følsomme oplysninger som
CPR-nummer, Dankort-nummer, årsindtægt, aktieposter og gæld ud på
hackernes tag-selv-bord. Det skete på den splinternye danske
finansielle webtjeneste Unibroker, hvor brugerne kan indhente tilbud
på lån og forsikringer.
==

Jeg ved dog ikke om Speednames har en aftale med PBS. Men dertil
kommer stadigvæk udenlandske sites (med andre betalingsløsninger end
op mod PBS), der jo også har deres historie af uheldige tilfælde, fx
Playboy, CD Universe, m.fl.

En søgning på "kreditkortoplysninger" på diverse mediesites giver et
par eksempler hvad det angår.

Jeg er i øvrigt enig i at det ikke giver nogen mening, at der ikke er
information angående sikkerhedspolitik og lignende. At det skulle
koste penge at smide det online, kunne kun tyde på at man skulle bruge
ressourcer på at udarbejde en sikkerhedspolitik i første omgang. Hvis
den ikke under alle omstændigheder er udarbejdet, så er der heller
ingen grund til at være kunde.

--
- Peter Brodersen

Alex Holst (31-05-2002)
Kommentar
Fra : Alex Holst


Dato : 31-05-02 13:27

Peter Brodersen <professionel@nerd.dk> wrote:
> On Fri, 31 May 2002 13:31:31 +0200, Alex Holst <a@area51.dk> wrote:
>
>>Jeg vil vaedde en isvaffel med tre kugler[1] paa at det sker alligevel.
>
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=13927
[..]
> http://www.computerworld.dk/default.asp?Mode=2&ArticleID=7170

Jeg skulle have sagt 5 kugler. Og med en floedebolle.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Ulrik Lunddahl (31-05-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 31-05-02 21:22

"Peter Brodersen" <professionel@nerd.dk> wrote:

> Jeg er i øvrigt enig i at det ikke giver nogen mening, at der ikke er
> information angående sikkerhedspolitik og lignende. At det skulle
> koste penge at smide det online, kunne kun tyde på at man skulle bruge
> ressourcer på at udarbejde en sikkerhedspolitik i første omgang. Hvis
> den ikke under alle omstændigheder er udarbejdet, så er der heller
> ingen grund til at være kunde.

De fleste sikkerhedspolitikker jeg kender indskærper MINDST at udlevering af
sikkerhedsprocedurer elller information om sikkerhedsforanstaltninger sker
på need to know basis.

Og det findet jeg egentligt ganske fornuftigt, set med tekniske
sikkerhedsbriller.

Tager vi økonomibriller på er der for de flestes vedkommende nok ikke meget
omsætning i at lægge sikkerhedspolitikken online.

Med markedting briller på skal man nok kun skrive noget hvis man er meget
sikker, og selv her skal man vurdere om det kan betale sig, at tage chancen
for at opnå rigtig dårlig omtale, hvis man nu ikke var sikker alligevel.

Jeg kan ikke se hvilke briller der skulle kunne putte en sikkerhedspolitik
online.

Firmaer der sælger sikkerhed vil måske have en fordel, men selv her vil der
være bedre at profilere sig på sine kunders sikkerhed, og så kun oplyse
kunderne om hvordan man internt skaber den sikkerhed man sælger.

Naturligvis har du med forbrugerbriller ganske ret, men forvent ikke at
modparten lytter til dig før der er et samlet krav fra masserne.

--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil



Christian E. Lysel (31-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 31-05-02 21:53

Ulrik Lunddahl wrote:
> De fleste sikkerhedspolitikker jeg kender indskærper MINDST at udlevering af
> sikkerhedsprocedurer elller information om sikkerhedsforanstaltninger sker
> på need to know basis.

Og grunden hertil?

> Og det findet jeg egentligt ganske fornuftigt, set med tekniske
> sikkerhedsbriller.

Ikke enig, der er typisk en grund til ovenstående.



Povl H. Pedersen (31-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 31-05-02 23:17

On Fri, 31 May 2002 22:52:45 +0200,
Christian E. Lysel <chlyshoswmdatapunktumcom@example.net> wrote:
> Ulrik Lunddahl wrote:
>> De fleste sikkerhedspolitikker jeg kender indskærper MINDST at udlevering af
>> sikkerhedsprocedurer elller information om sikkerhedsforanstaltninger sker
>> på need to know basis.
>
> Og grunden hertil?

Security by obscurity.

Hvis man ikke har implementeret sikkerhed, eller den er mangelfuld,
så skulle det nødigt komme nogen til kendskab.

>> Og det findet jeg egentligt ganske fornuftigt, set med tekniske
>> sikkerhedsbriller.
>
> Ikke enig, der er typisk en grund til ovenstående.

Ja. Dårlig sikkerhed.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

Ulrik Lunddahl (01-06-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 01-06-02 00:11

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> > De fleste sikkerhedspolitikker jeg kender indskærper MINDST at
udlevering af
> > sikkerhedsprocedurer elller information om sikkerhedsforanstaltninger
sker
> > på need to know basis.
>
> Og grunden hertil?

Alle andre steder har man fundet det praktisk at holde sikkerhedsprocedurer
hemmelige, hvorfor skulle der være anderledes med de procedurer der gælder
for sikkerheden i forbindelse med internettet.

> > Og det findet jeg egentligt ganske fornuftigt, set med tekniske
> > sikkerhedsbriller.
>
> Ikke enig, der er typisk en grund til ovenstående.

Du er ikke enig i at der er fornuftigt at holde sikkerhedsprocedurerne
hemmelige, eller i det mindste på need to know basis ?


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil



Christian E. Lysel (01-06-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-06-02 00:31

Ulrik Lunddahl wrote:
>>Og grunden hertil?
> Alle andre steder har man fundet det praktisk at holde sikkerhedsprocedurer
> hemmelige, hvorfor skulle der være anderledes med de procedurer der gælder
> for sikkerheden i forbindelse med internettet.

Et agument som "alle de andre gør det", kan jeg ikke se er et godt argument.

Hvis alle de andre gør det, kan du så ikke komme med forklaringen hertil?

>>>Og det findet jeg egentligt ganske fornuftigt, set med tekniske
>>>sikkerhedsbriller.
>>Ikke enig, der er typisk en grund til ovenstående.
> Du er ikke enig i at der er fornuftigt at holde sikkerhedsprocedurerne
> hemmelige, eller i det mindste på need to know basis ?

Ja, det er jeg ikke enig i.

Hvis du har nogle sikkerhedsprocedurer, der ikke tåler dagens lys, hvad
er de så værd? Grunden til de ikke tåler dagens lys, må ligge i at der
er svagheder der kan udnyttes.

Det er det samme med kryptering...hemmelige krypterings algoritmer,
plejer at stinke langt væk. :)


Ulrik Lunddahl (01-06-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 01-06-02 00:56

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> Et agument som "alle de andre gør det", kan jeg ikke se er et godt
argument.

Tja, det er ikke mit problem, jeg syntes der er et godt argument i
forbindelse med sikkerhed.

Hvorfor tror du politiets sikkerhedsprocedurer er hemmelige, det samme
gælder for forsvaret.

> Hvis alle de andre gør det, kan du så ikke komme med forklaringen hertil?

Ikke alle andre personer, virksomheder, stater og lande, men men gør det med
alle andre sikkerhedsprocedurer.

Der er indlysende hvorfor jeg ikek vil beskrive hvordan min sikkerhed er
lavet i praksis, intet er 100% sikkert, og der er ingen grund til at
fortælle modparten om hullerne, når det nu giver en bedre sikkerhed at han
ikke kender disse og først skal finde dem for at udnytte dem.

> Hvis du har nogle sikkerhedsprocedurer, der ikke tåler dagens lys, hvad
> er de så værd? Grunden til de ikke tåler dagens lys, må ligge i at der
> er svagheder der kan udnyttes.

Jeg sagde ikke at de ikke tåler dagens lys, men blot at de ikke skal gøres
tilgængelige for dem der er interesserede i at omgås dem.

> Det er det samme med kryptering...hemmelige krypterings algoritmer,
> plejer at stinke langt væk. :)

Du er mester i at blande tingende sammen, en ikke officiel sikkerhedspolitik
er ikke det samme som en hemmelig krypteringsalgoritme.

--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil



Christian E. Lysel (01-06-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-06-02 09:26

Ulrik Lunddahl wrote:
> Hvorfor tror du politiets sikkerhedsprocedurer er hemmelige, det samme
> gælder for forsvaret.

Det er en anden situation end en Internet butik.

> Der er indlysende hvorfor jeg ikek vil beskrive hvordan min sikkerhed er
> lavet i praksis, intet er 100% sikkert, og der er ingen grund til at
> fortælle modparten om hullerne, når det nu giver en bedre sikkerhed at han
> ikke kender disse og først skal finde dem for at udnytte dem.

Dine huller er vel så dyre at udnytte at det ikke kan betale sig?

>>Hvis du har nogle sikkerhedsprocedurer, der ikke tåler dagens lys, hvad
>>er de så værd? Grunden til de ikke tåler dagens lys, må ligge i at der
>>er svagheder der kan udnyttes.
> Jeg sagde ikke at de ikke tåler dagens lys, men blot at de ikke skal gøres
> tilgængelige for dem der er interesserede i at omgås dem.

Hvad er forskellen?

>>Det er det samme med kryptering...hemmelige krypterings algoritmer,
>>plejer at stinke langt væk. :)
> Du er mester i at blande tingende sammen, en ikke officiel sikkerhedspolitik
> er ikke det samme som en hemmelig krypteringsalgoritme.

Som du selv siger intet er 100% sikkert, derfor kan da der være en
fordel i ikke at offentlig gøre krypterinen algorimen. Dog plejer dette
at dække over grundlæggende svagheder.


Ulrik Lunddahl (04-06-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 04-06-02 10:50

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> Det er en anden situation end en Internet butik.

Naturligvis, men derfor behøver man jo ikke tage skyklapper på og kaste alle
erfaringer over højre skulder.

> Dine huller er vel så dyre at udnytte at det ikke kan betale sig?

Nej, mine huller er ikke opdagede endnu, hvis jeg bruge firewall A og der
offentligøres et sikkerhedshul i denne firewall kan hackeren måske udnytte
det før jeg lapper det.

Hvis jeg ikke offentligører hvordan og hvilke produkter jeg bruger bliver
dette sværere for hackeren.

Altså hvis jeg ikke offentligører hvordan min sikkerhed er implementeret
bliver den sikrere, simpelthen, og det gælder både for min sikkerhed på
internettet og for f.eks. forsvaret.

> >>Hvis du har nogle sikkerhedsprocedurer, der ikke tåler dagens lys, hvad
> >>er de så værd? Grunden til de ikke tåler dagens lys, må ligge i at der
> >>er svagheder der kan udnyttes.

> > Jeg sagde ikke at de ikke tåler dagens lys, men blot at de ikke skal
gøres
> > tilgængelige for dem der er interesserede i at omgås dem.

> Hvad er forskellen?

Se ovenstående, at jeg ikke offentligører hvordan det viker, behøver ikke
være fordi det ikke virker.

> Som du selv siger intet er 100% sikkert, derfor kan da der være en
> fordel i ikke at offentlig gøre krypterinen algorimen. Dog plejer dette
> at dække over grundlæggende svagheder.

Plejer indgår ikke i min sikkerhedspolitik, men mit syn på sagen er måske
lidt mere nyanceret og ikke så negativt.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil



Christian E. Lysel (05-06-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-06-02 10:28

Ulrik Lunddahl wrote:
>>Det er en anden situation end en Internet butik.
> Naturligvis, men derfor behøver man jo ikke tage skyklapper på og kaste alle
> erfaringer over højre skulder.

Hvem siger man behøves at kaster alle erfaringer væk?

>>Dine huller er vel så dyre at udnytte at det ikke kan betale sig?
> Nej, mine huller er ikke opdagede endnu, hvis jeg bruge firewall A og der
> offentligøres et sikkerhedshul i denne firewall kan hackeren måske udnytte
> det før jeg lapper det.

Jeg kan ikke se dette har noget med en sikkerhedspolitik at gøre.

> Hvis jeg ikke offentligører hvordan og hvilke produkter jeg bruger bliver
> dette sværere for hackeren.

Hvis du referere til ovennævnte huller, kan jeg stadigvæk ikke se hvad
firewall A har med en sikkerhedspolitik at gøre.

Hvis ovenstående er et problem, bør sikkerhedspolitiken sige at
firewallen skal sættes op så den ikke kan genkendes fordi der er
følgende problemmer.....

> Altså hvis jeg ikke offentligører hvordan min sikkerhed er implementeret
> bliver den sikrere, simpelthen, og det gælder både for min sikkerhed på
> internettet og for f.eks. forsvaret.

I dette tilfælde du trækker frem, bør sikkerhedspolitiken ikke gå i
detaljer med hvilken firewall det er, men blot stille krav til firewallen.

Jeg har endnu ikke set en sikkerhedspolitik, der beskriver hvilke
firewall der er i brug, men har set krav som indholdsikkerhed, stærk
brugervalidering, stærk kryptering, ectetera.

>>>>Hvis du har nogle sikkerhedsprocedurer, der ikke tåler dagens lys, hvad
>>>>er de så værd? Grunden til de ikke tåler dagens lys, må ligge i at der
>>>>er svagheder der kan udnyttes.
>>>Jeg sagde ikke at de ikke tåler dagens lys, men blot at de ikke skal
>>
> gøres
>
>>>tilgængelige for dem der er interesserede i at omgås dem.
>>
>
>>Hvad er forskellen?

> Se ovenstående, at jeg ikke offentligører hvordan det viker, behøver ikke
> være fordi det ikke virker.

Ulrik kan du ikke kommer med et bedre eksempel, jeg vil gerne forstå
hvad du ser som et problem, med et konkret eksempel. Dog kan jeg ikke se
noget problem i ovenstående eksempel.

>>Som du selv siger intet er 100% sikkert, derfor kan da der være en
>>fordel i ikke at offentlig gøre krypterinen algorimen. Dog plejer dette
>>at dække over grundlæggende svagheder.
> Plejer indgår ikke i min sikkerhedspolitik, men mit syn på sagen er måske
> lidt mere nyanceret og ikke så negativt.

Jeg finder det blot positivt at offentliggøre ens sikkerhedspolitik.


Peter Brodersen (31-05-2002)
Kommentar
Fra : Peter Brodersen


Dato : 31-05-02 22:14

On Fri, 31 May 2002 22:22:08 +0200, "Ulrik Lunddahl"
<nospam037@lunddahl.dk> wrote:

>De fleste sikkerhedspolitikker jeg kender indskærper MINDST at udlevering af
>sikkerhedsprocedurer elller information om sikkerhedsforanstaltninger sker
>på need to know basis.

.... hvortil man kan nævne, at det vel netop er relevant for brugeren
at vide hvordan, hans informationer bliver opbevaret.

>Tager vi økonomibriller på er der for de flestes vedkommende nok ikke meget
>omsætning i at lægge sikkerhedspolitikken online.

... men forhåbentligt flere og/eller mere trygge kunder. Jeg tror
desværre blot ikke at det er tilfældet i praksis.

--
- Peter Brodersen

Ulrik Lunddahl (31-05-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 31-05-02 23:59

"Peter Brodersen" <professionel@nerd.dk> wrote:

> >De fleste sikkerhedspolitikker jeg kender indskærper MINDST at udlevering
af
> >sikkerhedsprocedurer elller information om sikkerhedsforanstaltninger
sker
> >på need to know basis.
>
> ... hvortil man kan nævne, at det vel netop er relevant for brugeren
> at vide hvordan, hans informationer bliver opbevaret.

Overhovedet ikke, brugeren skal stole på at virksomheden handler fornuftigt
generelt, han behøver jo heller ikke kende firmaets instrukser for hvordan
varer pakkes på lageret, for ikke at være bange for at de ved en fejl sender
ham en bombe.

Kender du f.eks. din banks sikkerhedspolitik, og hvis du ikke gør er er du
så bange for dine penge ?

> .. men forhåbentligt flere og/eller mere trygge kunder. Jeg tror
> desværre blot ikke at det er tilfældet i praksis.

Tja, jeg er bange for at den den typiske dankort bruger er ligeglad med
hvordan sikkerheden ved betalingen er implementeret, checker du din dankort
automat, eller spørger i banken om den nu er sikker nok, næ, du går bare ud
fra at det er i orden.

Det samme må gælde på nettet, og der er PBS og kortudstedernes opgave at
skabe denne sikkerhed, ikke kunden.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil



Christian E. Lysel (01-06-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-06-02 00:47

Ulrik Lunddahl wrote:
>>... hvortil man kan nævne, at det vel netop er relevant for brugeren
>>at vide hvordan, hans informationer bliver opbevaret.
> Overhovedet ikke, brugeren skal stole på at virksomheden handler fornuftigt
> generelt, han behøver jo heller ikke kende firmaets instrukser for hvordan
> varer pakkes på lageret, for ikke at være bange for at de ved en fejl sender
> ham en bombe.

Varer pakkes, hvad snakker vi om?

> Kender du f.eks. din banks sikkerhedspolitik, og hvis du ikke gør er er du
> så bange for dine penge ?

Hvorfor snakker du om banker, hvor mange banker findes der i Danmark?
Hvor mange Internet butikker findes der i Danmark?

>>.. men forhåbentligt flere og/eller mere trygge kunder. Jeg tror
>>desværre blot ikke at det er tilfældet i praksis.
> Tja, jeg er bange for at den den typiske dankort bruger er ligeglad med
> hvordan sikkerheden ved betalingen er implementeret, checker du din dankort
> automat, eller spørger i banken om den nu er sikker nok, næ, du går bare ud
> fra at det er i orden.

Ja, da det er en bank, er denne underlagt almindelig regler, som banken
kender til. Endvidere har du som Dankort kunde, indgået en aftale med
din bank der forpligtiger både dig og din bank på flere forskellige
områder, bla. sikkerhed.

> Det samme må gælde på nettet, og der er PBS og kortudstedernes opgave at
> skabe denne sikkerhed, ikke kunden.

Som sagt, hvor mange Internet butikker findes der?

Hvor store er bankernes sikkerhedsafdelinger? Har Internet butikkerne
generelt en sikkerhedsafdeling?



En af mine bekende, og 2 af hendes venner, har selv bygget deres egen
Internet butik, kan du gætte hvor kundernes oplysninger ligger?

....

De ligger i en access fil, der frit kan hentes fra webserveren, hvis man
kender den rigtige URL.

Hvorfor, fordi de ikke ved hvordan man ellers skal gøre. Jeg har fortalt
dem om problemstillingen og løsningen hertil, men det hjælper ikke.

De vil forresten ud og sælge det som en standard løsning. Dejligt?


Ulrik Lunddahl (01-06-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 01-06-02 01:09

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> Varer pakkes, hvad snakker vi om?

Det var et eksempel på at du ikek behøver at vide alt om et emne for ikke at
være bange for det, hvis du ikke fangede den så glem det.

> > Kender du f.eks. din banks sikkerhedspolitik, og hvis du ikke gør er er
du
> > så bange for dine penge ?
>
> Hvorfor snakker du om banker, hvor mange banker findes der i Danmark?
> Hvor mange Internet butikker findes der i Danmark?

Igen et eksempel på at man ikke behøver at kende de aktuelle
sikkerhedsprocedurer for at være tryk ved at sikkerheden er god nok.

Hvormange banker eller butikker der findes er vel irelevant, men vi kan jo
sige 337, hvis det gør dig gladere.

> > Det samme må gælde på nettet, og der er PBS og kortudstedernes opgave at
> > skabe denne sikkerhed, ikke kunden.
>
> Som sagt, hvor mange Internet butikker findes der?

Hvad her det at gøre med hvem der skal skabe sikkerheden i forbindelse med
betalinger at gøre.

Hvis der er 337 butikker er der så kunden eller kortudstederen der skal
skabe sikkerheden, og hvad hvis der er 4387 er det så kunden eller
kortudstederen.

> Hvor store er bankernes sikkerhedsafdelinger? Har Internet butikkerne
> generelt en sikkerhedsafdeling?

Det bliver ikke kortholderens opgave at sørge for sikkerheden af den grund.

> En af mine bekende, og 2 af hendes venner, har selv bygget deres egen
> Internet butik, kan du gætte hvor kundernes oplysninger ligger?

Næ, og jeg er ligeglad, jeg skal ikke handle der, og hvis jeg skal,
udleverer jeg ikke oplysninger, som jeg ikke ville være tryk ved at give
dem, hvis de havde en fysisk foretning.

> De ligger i en access fil, der frit kan hentes fra webserveren, hvis man
> kender den rigtige URL.

Jeg havde ikke forventet noget bedre ?

> Hvorfor, fordi de ikke ved hvordan man ellers skal gøre. Jeg har fortalt
> dem om problemstillingen og løsningen hertil, men det hjælper ikke.

Gad vide om der er andre ting i deres virksomhed der ville få mig til at
stille spørgsmåltegn ved om jeg skulle handle der, anyways, hvis de sælger
gode billige lakridser må de da gerne få min adresse så de kan sende dem til
mig, de må også gerne gemme min adresse i deres usikre access database, den
ligger frit tilgængelig på nettet alligevel.

Derimod må de ikke tage 1000 kr for en pose lakrids, og der behøver de
sikkert heller ikke, da de ikke har store omkostninger i forbindelse med
sikkerhed.

> De vil forresten ud og sælge det som en standard løsning. Dejligt?

Tja, tror du de skaber en sund virksomhed på denne måde, og tror du deres
produkt sætter standarden for sikkerhed, og er der overhovedet noget problem
så ?


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil



Christian E. Lysel (01-06-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-06-02 09:32

Ulrik Lunddahl wrote:
>>>Kender du f.eks. din banks sikkerhedspolitik, og hvis du ikke gør er er
>>>du så bange for dine penge ?
>>Hvorfor snakker du om banker, hvor mange banker findes der i Danmark?
>>Hvor mange Internet butikker findes der i Danmark?

> Igen et eksempel på at man ikke behøver at kende de aktuelle
> sikkerhedsprocedurer for at være tryk ved at sikkerheden er god nok.
>
> Hvormange banker eller butikker der findes er vel irelevant, men vi kan jo
> sige 337, hvis det gør dig gladere.

Der findes væsenlig færrer banker end Internet butikker.

Alle og enhver kan starte en Internet butik.

Alle og enhver kan _ikke_ starte en bank.

Jeg ser en stor forskel i dette!

Der findes endvidere lang størrer krav til en Bank.

>>>Det samme må gælde på nettet, og der er PBS og kortudstedernes opgave at
>>>skabe denne sikkerhed, ikke kunden.
>>Som sagt, hvor mange Internet butikker findes der?
> Hvad her det at gøre med hvem der skal skabe sikkerheden i forbindelse med
> betalinger at gøre.

Jeg havde misforstået dit spørgsmål. *sorry*

> Hvis der er 337 butikker er der så kunden eller kortudstederen der skal
> skabe sikkerheden, og hvad hvis der er 4387 er det så kunden eller
> kortudstederen.
>
>
>>Hvor store er bankernes sikkerhedsafdelinger? Har Internet butikkerne
>>generelt en sikkerhedsafdeling?
> Det bliver ikke kortholderens opgave at sørge for sikkerheden af den grund.

Hvem siger det er kortholderens opgave?

>>En af mine bekende, og 2 af hendes venner, har selv bygget deres egen
>>Internet butik, kan du gætte hvor kundernes oplysninger ligger?
> Næ, og jeg er ligeglad, jeg skal ikke handle der, og hvis jeg skal,
> udleverer jeg ikke oplysninger, som jeg ikke ville være tryk ved at give
> dem, hvis de havde en fysisk foretning.

Hvordan ved du ikke handler der i forvejen?

> Gad vide om der er andre ting i deres virksomhed der ville få mig til at
> stille spørgsmåltegn ved om jeg skulle handle der, anyways, hvis de sælger
> gode billige lakridser må de da gerne få min adresse så de kan sende dem til
> mig, de må også gerne gemme min adresse i deres usikre access database, den
> ligger frit tilgængelig på nettet alligevel.

Og de må også smide dit kortnummer i access databasen?



Ulrik Lunddahl (04-06-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 04-06-02 11:00

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

> Der findes væsenlig færrer banker end Internet butikker.
> Alle og enhver kan starte en Internet butik.
> Alle og enhver kan _ikke_ starte en bank.
> Jeg ser en stor forskel i dette!
> Der findes endvidere lang størrer krav til en Bank.

Og derfor er det teknisk nemmere/sværere at sike en bank/internetbutik ?

> Hvem siger det er kortholderens opgave?

Hvis du læser tråden omhandler den en kortholder der aktivt forsøger at
hjælpe en virksomhed der måske har problemer med sikkerheden, det er pænt af
ham, og han gør det på den rigtige måde, men det er ikke hans opgave.

Hvor tit har vi ikke set indlæg hvor en kunde skriver:

- Se her hvordan man kan udnytte firma x sikkerhedshul, er det ikke for
dårligt ?

Kunden mener det måske i god tro, men han brude ikke poste sikkerhedshuller
på nettet, men sende dem til frimaets sikkerhedsafdeling.

> >>En af mine bekende, og 2 af hendes venner, har selv bygget deres egen
> >>Internet butik, kan du gætte hvor kundernes oplysninger ligger?
> > Næ, og jeg er ligeglad, jeg skal ikke handle der, og hvis jeg skal,
> > udleverer jeg ikke oplysninger, som jeg ikke ville være tryk ved at give
> > dem, hvis de havde en fysisk foretning.
>
> Hvordan ved du ikke handler der i forvejen?

Jeg checker som regel firmaet bag web butikken, og til dags dato har jeg
ikke behøvet, at handle med andet end større virksomheder der har en fysisk
salgskanal ved siden af deres web shop.

Jeg har aldrig brugt min Dankort på nettet, men mit VISA kort er brugt flere
gange.

> > Gad vide om der er andre ting i deres virksomhed der ville få mig til at
> > stille spørgsmåltegn ved om jeg skulle handle der, anyways, hvis de
sælger
> > gode billige lakridser må de da gerne få min adresse så de kan sende dem
til
> > mig, de må også gerne gemme min adresse i deres usikre access database,
den
> > ligger frit tilgængelig på nettet alligevel.
>
> Og de må også smide dit kortnummer i access databasen?

Hvis PBS siger god for deres betalings system må de vel gerne, men det kan
jeg ikke forestille mig.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil



Christian E. Lysel (05-06-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 05-06-02 10:21

Ulrik Lunddahl wrote:
>>Der findes væsenlig færrer banker end Internet butikker.
>>Alle og enhver kan starte en Internet butik.
>>Alle og enhver kan _ikke_ starte en bank.
>>Jeg ser en stor forskel i dette!
>>Der findes endvidere lang størrer krav til en Bank.
> Og derfor er det teknisk nemmere/sværere at sike en bank/internetbutik ?

Nej. Men det er sværer for en bank _ikke_ at sikre deres forretning, end
det er for en Internet butik.

>>Hvem siger det er kortholderens opgave?
> Hvis du læser tråden omhandler den en kortholder der aktivt forsøger at
> hjælpe en virksomhed der måske har problemer med sikkerheden, det er pænt af
> ham, og han gør det på den rigtige måde, men det er ikke hans opgave.
>
> Hvor tit har vi ikke set indlæg hvor en kunde skriver:

En kortholder?

> - Se her hvordan man kan udnytte firma x sikkerhedshul, er det ikke for
> dårligt ?

Men, er det ikke for dårligt, at en kunde der _ikke_ arbejder med
sikkerhed til dagligt _kan_ finde et sikkerhedshul?

> Kunden mener det måske i god tro, men han brude ikke poste sikkerhedshuller
> på nettet, men sende dem til frimaets sikkerhedsafdeling.

Dette er afhængig af hvordan firmaet handler. Typisk har en Internet
butik ikke nogen sikkerhedafdeling.

Typisk er firmaet selv klar over at dette sikkerhedshul eksitere, eller
også har de et design der ikke holder. I det første tilfælde har de
regnet på hvad det koster at hullet bliver opdaget, og fundet at det kan
betale sig ikke at rette hullet eller det dårlige design. Dette betyder
også at de ikke vil gøre noget ved problemet, før det bliver offentligt.

Hvis man så har regnet med ovenstående, bør man også være parat til at
blive hængt ud, når hullet opdages, efter de ikke har reageret på hullet?

Når hullet er offentligt, har mange forretninger ikke andet at gøre end
at lukke sitet eller dele af dette ned.

Men som du selv siger, så er det typisk forretningen der holder tabet.

>>Og de må også smide dit kortnummer i access databasen?
> Hvis PBS siger god for deres betalings system må de vel gerne, men det kan
> jeg ikke forestille mig.

Det virker naivt på mig at have den holdning, men jeg gider ikke at
skrive negativt om én specifik forretning (PBS).

Men hvor mange tror du overholder de krav PBS stiller?

Endvidere hvad siger det dig hvis du kikker på de krav der bliver stillet.



Kasper Dupont (31-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 31-05-02 22:22

Ulrik Lunddahl wrote:
>
> Jeg kan ikke se hvilke briller der skulle kunne putte en sikkerhedspolitik
> online.

Hvis ikke man som kunde har mulighed for at læse sikkerhedspolitiken,
tør man vel ikke bruge firmaets services. Og hvis firmaet rent faktisk
har grund til at holde sikkerhedspolitiken hemmelig, er der noget galt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Ulrik Lunddahl (31-05-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 31-05-02 23:51

"Kasper Dupont" <kasperd@daimi.au.dk> wrote:

> Hvis ikke man som kunde har mulighed for at læse sikkerhedspolitiken,
> tør man vel ikke bruge firmaets services. Og hvis firmaet rent faktisk
> har grund til at holde sikkerhedspolitiken hemmelig, er der noget galt.

Hvorfor tror du ikke det, 1000 vis af Danskere bruger deres dankort til at
betale over nettet, ganske få tænker overhovedet på om det er sikkert eller
ej.

Tværtom vil mange der ikke forstår sig på computere og sikkerhed, nok blive
tilbageholdende hvis der står en masse om sikkerhed...

Om det er godt eller skidt, tja, personligt er jeg er helst fri for at tænke
på certifikater, sikkerhed og hængelåse når jeg skal købe bøger/cd'ere
o.s.v. på nettet, jeg handler der hvor jeg stoler på firmaet, og der er
mange faktorer jeg vægter højere end sikkerheden ved betalingen.

Skal jeg betale større beløb eller flytte penge på mit arbejde findes der
fine systemer der ikke involverer internettet ved selve overførslen af
pengene.

--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil



Jesper Dybdal (01-06-2002)
Kommentar
Fra : Jesper Dybdal


Dato : 01-06-02 16:02

"Ulrik Lunddahl" <nospam037@lunddahl.dk> wrote:

>"Kasper Dupont" <kasperd@daimi.au.dk> wrote:
>
>> Hvis ikke man som kunde har mulighed for at læse sikkerhedspolitiken,
>> tør man vel ikke bruge firmaets services. Og hvis firmaet rent faktisk
>> har grund til at holde sikkerhedspolitiken hemmelig, er der noget galt.
>
>Hvorfor tror du ikke det, 1000 vis af Danskere bruger deres dankort til at
>betale over nettet, ganske få tænker overhovedet på om det er sikkert eller
>ej.

Og det er jo også ret irrelevant for den enkelte bruger, da han
jo alligevel ikke hæfter for tabet hvis det skyldes manglende
sikkerhed i systemet.

Jeg kan godt forstå at fx banker ikke offentliggør deres
sikkerhedspolitik i detaljer.

Det er mit indtryk at når det indimellem hænder at en journalist
opdager at det kan lade sig gøre at misbruge Dankort, så bliver
en stakkels bankdirektør hevet ind i et tv-studie for at blive
udsat for et tredjegradsforhør af en journalist som i en dybt
forarget tone mener at det er helt uacceptabelt at der kan
forekomme misbrug. Bankdirektøren forsøger så forgæves at
forklare journalisten at det jo er banken der lider tabet, at det
ville koste banken - og dermed dens kunder - langt flere penge at
undgå misbrug helt, og at det derfor ville være ganske tåbeligt
at bruge penge på det. Journalisten afslutter derefter
interviewet med at konkludere at misbrug altså kan forekomme og
at banken ikke vil gøre noget ved det - i en tone der antyder
overfor seerne at her fik han vel nok afsløret noget virkelig
råddent.

Så ligefrem at offentliggøre en sikkerhedspolitik der kalkulerer
med et vist misbrug er nok for farligt - med den kvalitet
journalister vi har i dag.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Christian E. Lysel (31-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 31-05-02 13:09

Alex Holst wrote:
>>PBS tillader ikke, at kreditkort oplysninger gemmes af butikken.
> Jeg vil vaedde en isvaffel med tre kugler paa at det sker alligevel.

Ligeledes vil jeg vædde det samme på at et eller flere danske internet
butikker er taget af code red eller en anden orm/virus!

Alex har fuldstændig ret i at den eneste sikkerhed vi har, er hvad de
fortæller os, ikke hvad de dokumentere.


Når du køber et pengeskab, ved du at de tager 2 timer med en skærbrænder
at bryde ind i pengeskabet.

Hvem ville købe et pengeskab, som sælger sig selv på at den har en
kombinationslås med 2^128 kombinationer, men undlader at nævne at
siderne er lavet af papir?


Dennis Skærup Højlun~ (31-05-2002)
Kommentar
Fra : Dennis Skærup Højlun~


Dato : 31-05-02 15:13

Troels Arvin skrev:
>> Hvorfor bruge 45 dage paa at sniffe alt kreditkort trafik til en server
>> naar man kan bruge 45 minutter paa at bryde ind og faa alle kredit kort
>> der er blevet brugt de sidste X maaneder?
> PBS tillader ikke, at kreditkort oplysninger gemmes af butikken.

Fra PBS's sikkerhedskrav:

"Følgende data skal udelades eller krypteres nar de logges eller lagres
på systemer, der direkte eller indirekte kan nåes fra Internettet:

- Kortnummmer
- Udløbsdato

Kortets 3-cifrede kontrolciffer må ikke logges eller på anden måde
gemmes når betalingstransaktionen er gennemført."

Så de tillader vel egentlig at man gemmer dem...

--
Dennis Skærup Højlund Andersen (http://euph.dk)
http://euph.dk/disclaimer

Troels Arvin (03-06-2002)
Kommentar
Fra : Troels Arvin


Dato : 03-06-02 13:14

On Fri, 31 May 2002 16:12:33 +0200, Dennis Skærup Højlund Andersen wrote:
> "Følgende data skal udelades eller krypteres nar de logges eller lagres
> på systemer, der direkte eller indirekte kan nåes fra Internettet:
>
> - Kortnummmer
> - Udløbsdato

Damn; så har de lavet reglerne om (eller også har jeg bare en muggen
hukommelse).

Jeg kan forstå, hvis de tillader hashing af kortnummeret (således at man
som sælger har mulighed for at black-list'e kort, som der er gentagne
problemer med). - Men jeg er skeptisk overfor at kryptering+lagring
tillades; hvis en web-butik bliver hack'et, er der en god chance for, at
kortnummer krypteringen også brydes. Åbenbart baserer de ret megen
sikkerhed på CVC-nummeret.

--
Greetings from Troels Arvin, Copenhagen, Denmark


Dennis Skærup Højlun~ (03-06-2002)
Kommentar
Fra : Dennis Skærup Højlun~


Dato : 03-06-02 14:06

Troels Arvin skrev:
>> "Følgende data skal udelades eller krypteres nar de logges eller lagres
>> på systemer, der direkte eller indirekte kan nåes fra Internettet:
>>
>> - Kortnummmer
>> - Udløbsdato
> Damn; så har de lavet reglerne om (eller også har jeg bare en muggen
> hukommelse).

Det er citat fra de nye sikkerhedskrav der trådte i kraft den 1. april
(hvor CVC-koden i princippet også skulle være gået drift). Det eneste
punkt i sikkerhedkravene der ikke er gældende endnu, er kravet om 128bit
certifikat.

> Jeg kan forstå, hvis de tillader hashing af kortnummeret (således at man
> som sælger har mulighed for at black-list'e kort, som der er gentagne
> problemer med). - Men jeg er skeptisk overfor at kryptering+lagring
> tillades; hvis en web-butik bliver hack'et, er der en god chance for, at
> kortnummer krypteringen også brydes. Åbenbart baserer de ret megen
> sikkerhed på CVC-nummeret.

Af og til er det ikke helt logisk det PBS foretager sig... Desværre.

Jeg opdagede bagefter, at hvis jeg havde citeret lidt mere, så var det
kun et krav hvis dataene var tilgængelige fra internettet direkte eller
indirekte. Hvis de ligger på andre systemer, så er det ikke nødvendigvis
et krav at de er krypteret, men systemet skal være godkendt af PBS
(taget fra hukommelsen da jeg ikke har sikkerhedskravene ved hånden lige
nu).

--
Dennis Skærup Højlund Andersen (http://euph.dk)
http://euph.dk/disclaimer

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste