/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
En historie om Verisign SecureSeal (advars~
Fra : Jens U. K.


Dato : 13-12-06 10:35

Hej i gruppen

Jeg bliver nødt til at en e-mailkorrespondance med jer, da jeg (næsten)
har opgivet at gøre mere ved det.
Først lidt baggrundsviden:
---
På vores firmas hjemmeside er der en indgang for udvalgte klienter - vi
kalder det Extranet.
Der er ikke følsomme oplysninger, men der er oversigter som kan gøre livet
lidt lettere/hurtigere for "ondsindede" mennesker.
For at give indtryk af at firmaet er interesseret i at beskytte
oplysningerne er forbindelsen til Extranettet kun mulig over https. Vi har
indkøbt et Verisign certifikat til webserveren til dette formål.

Vi har af Verisign fået mulighed for at benytte deres Secure Seal - som er
et fint lille billede hvor der står at siden er beskyttet med Verisign
certifikat og så kan man klikke på dette seal og blive ledt over til en
Verisign server som "fortæller" hvem ejermanden af certifikatet er. I bund
og grund det samme man kan gøre via den normale browserfunktionalitet, men
her i en mere brugervenlig form...
---
Det var så baggrundshistorien, og jeg er ikke interesseret i at diskutere
politikken i det

Så kommer vi til sagens kerne.
Verisign har "opgraderet" deres Secure seal fra hvor man lagde et lille
versignbillede ind på sin side med et link til verisigns valideringsside,
til at man skal lægge et script-tag ind på sin side, som henter "noget"
fra verisign.
Nu vil jeg gerne stole på Verisign, men jeg er altså som udgangspunkt ikke
meget for at verisign i praksis kan ligge hvad som helst ind på min
side... det er mit første problem.
Derudover er de så flinke at man i script source også overfører en
sprogparameter, således at man på den danske del af vores side får et fint
verisign billede hvorpå der står "bekræft" i grafikken og for f.eks. den
engelske står der "verify".
Problemet er så at ballonteksten _altid_ står på engelsk... det er mit
andet problem.

Det er de to problemer jeg har mailet med verisign om i nedenstående
tilklippede e-mailkorrespondance:

***********************
*** start korrespondance ***
---
From: Verisign
Subject: VeriSign Secured Seal
---
Idet jeg henviser til vores telefonsamtale i sidste uge, fremsender jeg
hermed det svar, som jeg har fået fra vores tekniske support.

Du spurgte til, om det var muligt, at du selv lavede et script, da du ikke
var meget for at installere et script fra en ekstern kilde på din
hjemmeside. Desværre er dette ikke muligt, da det af vores "Abuse Team"
bliver betragtet som "spoofing", dvs. ulovlig kopiering af andres
varemærker.

Vi scanner regelmæssigt Internettet for ulovlig og uautoriseret brug af
vores varemærke og fjerner så vidt muligt alt, hvad der relaterer til
misbrug af vores varemærke. Selv om du er VeriSign kunde, vil det være at
betragte som ureglementeret brug af vores varemærke, da det er imod de
regler, som vi h ar opstillet for brug af vores varemærke (jf. den
installationskontrakt, som man skal acceptere, når man installerer
VeriSign Secured Seal'et).

Da VeriSign er et varemærke, der tit og ofte bliver spoofet af
internet-forbrydere m.m., er vi nødt til at holde os til disse strenge
retningslinier uden undtagelser.

Jeg foreslår derfor, at du installerer det nye VeriSign Secured Seal med
vores script på din hjemmeside hurtigst muligt, da det gamle seal udløber
i dag. Du skal blot fjerne det gamle script på jeres hjemmeside og gå til
følgende side, hvor du i løbet af 5 minutter vil blive guidet igennem
installationen af det nye seal:

<http://www.verisign.dk/products-services/security-services/ssl/secured-seal-program/index.html>

Hvis du har spørgsmål i den forbindelse, kan du bare kontakte mig.

---
To: Verisign
---
Tak for svaret, omend jeg ikke kan se logikken i det... det kan ikke tage
jer mange millisekunder at finde ud af om vores site har installeret et
certifikat udstedt af jer, uanset om vi så bruger en direkte URL til
seal'et eller gør brug af jeres clientside-javascript.

Vil du/supporten/en tekniker være så venlig at forklare mig hvordan man
skal installere det nye seal, hvis man ikke vil gøre brug af clientside
javascript på ens site overhovedet?

Da vi ikke har opdateret seal'et endnu, havner man ved klik på seal'et på
den side
der pænt forklarer at seal'et ikke kan verificeres. Hvis man her, som
beskrevet i punkt 2, går videre via linket "web site security"

<http://www.verisignsecured.com/content/Default.aspx?buy_body.html> og i
"Verify before you buy"-linien indtaster URL'en på vores website, så
fremkommer følgende meddelelse:

"VeriSign® SSL Certificates are issued to specific Web addresses that are
secure. Unfortunately, we cannot find a VeriSign SSL Certificate for this
Web address. Please make sure you have typed the correct Web address."

Jeg har prøvet at taste adressen ind på flere måder, men får samme fejl
hvergang - det er jeg ikke tilfreds med. Hvordan kan det være?

---
From: Verisign
---
Jeg vil undersøge det nærmere.

---
To: Verisign
---
Tak for det.

Vi har nu foreløbigt installeret det nye seal (med clientside javascript)
og det
fungerer umiddelbart fint. Dog undrer det mig at "dk"-versionen af seal'et
har en engelsk ballon-tekst - det er en detalje, men det undrer mig dog
alligevel.
Er det noget der vil blive rettet?

---
From: Verisign
---
Det er efterhånden ved at være noget tid siden, at jeg lovede dig et par
svar på dine spørgsmål vedrørende VeriSign Secured Sealet. Jeg har netop
prøvet at ringe til dig, men uden held, hvorfor jeg nu skriver en email.

For det første må jeg desværre oplyse dig om, at det ikke er muligt at
installere seglet uden et script.

For det andet vil alle internationale sider blive inkluderet i den
database, som er at finde på www.verisignsecured.com, i januar 2007.
Indtil nu har det kun været amerikanske sider, som er at finde i
databasen, men dette vil selvfølgelig hurtigst muligt blive ændret, så
alle sider i hele verden er inkluderet.

Hvad angår ballonteksten, har jeg endnu ikke fået svar på, om denne
forventes oversat inden længe - jeg vil selvfølgelig vende tilbage, når
jeg hører fra mine amerikanske kollegaer.

---
To: Verisign
---
Tak for svaret - jeg vil sætte pris på at ballonteksten på "seal'et"
bliver oversat snarest - specielt set i lyset af at "I" har så travlt med
at vi _skal_ bruge scriptet for at bruge "seal'et"! Jeg er i øvrigt sikker
på at du er enig i dette - så vi må jo bare vente på at det bliver gjort.

---
From: Verisign
---
Jeg har nu talt med vores ingeniører i USA, der har forklaret følgende:

Eftersom alle VeriSign Secured Seals bliver hostet på én server i USA, er
det ikke muligt at ændre ballonteksten, idet vi kun kan vise én
ballontekst per server. Jeg beklager, men håber, at brugerne af jeres
extranet trods alt føler sig trygge ved at logge på, når de ser seglet.

Hvis du har spørgsmål / kommentarer, er du velkommen til at kontakte mig
igen.

---
To: Verisign
---
Tak for dit svar - men jeg må være ærlig at sige at jeg ikke kan forstå
det.

Afhængigt af om der er valgt "DK" eller "EN" i den del af "seglet" som
definerer sprogvalg vises henholdsvis et segl/billede der har indbygget en
dansk tekst: "bekræft" eller en engelsk tekst "verify". Ballonteksten
derimod er den samme engelske uanset sprogvalg - det giver ingen mening at
man ikke kan lave ballonteksten på dansk.

Hvis man følger "bekræft"-linket videre, kommer man også til en side med
dansk tekst på. Hvis man følger "verify"-linket, kommer man til en side
med engelsk tekst på - det giver ingen mening at man ikke kan lave
ballonteksten på dansk.

Som jeg ser det er der nogen der er blevet misinformeret om hvad der er
muligt. Der er ingen teknisk hindring i at der bliver genereret en dansk
ballontekst i det script man _skal_ inkludere for at benytte seglet - der
bliver i forvejen genereret en masse ting i forbindelse med at det bliver
"kaldt" fra ens website. Nedenstående (vigtige) to linier bliver f.eks.
genereret:

Bekræft-linket:
h t t p s://seal.verisign.com/splash?form_file=fdf/splash.fdf&dn=indsæt
domænenavn her&lang=da

Image/seal-linket:
h t t p s://seal.verisign.com/getseal?at=0&&sealid=1&dn=indsæt domænenavn
her&aff=VeriSignDenmark&lang=da

Der ville ikke være noget teknisk problem i at der i scriptet blev
overført en variabel der indeholdt den til sproget valgte korrekte
ballontekst og at "ALT"-egenskaben (ballonteksten) blev tildelt denne
variabel.

Jeg kunne rigtigt godt tænke mig at få et officielt svar fra
Verisign-koncernen (dvs. den del af jeres koncern der har ansvaret for at
have besluttet at der kun skal være en engelsk ballontekst til et segl,)
om hvorfor man har valgt kun at lave en engelsk ballontekst. Hvis det
virkelig er en teknisk umuligt, vil jeg meget gerne bede om en uddybende
forklaring på hvorfor det er umuligt og samtidig en forklaring på hvorfor
man ikke har ændret teknik så det kan lade sig gøre. Jeg vil også gerne
bede om tilladelse til at gengive dette officielle svar på f.eks
nyhedsgrupper o.lign.

---
From: Verisign
---
Jeg vil videresende din email til diverse relevante personer og vil
efterfølgende vende tilbage til dig, når jeg har modtaget et svar.

Indtil da er du selvfølgelig velkommen til at henvende dig til mig, hvis
du har andre spørgsmål eller kommentarer.

---
From: Verisign
---
Det er nu langt om længe lykkes mig at få et svar på dit spørgsmål
angående den engelske ballontekst, der fremkommer, når man kører musen hen
over vores VeriSign Secured Seal.

Her er, hvad Troy Kitch, Product Manager for VeriSign Secured Seal, har
svaret:

1) We serve up the VeriSign Secured Seal here from Mountain View and it
supports all customers worldwide.
2) We have the infrastructure set up to serve up the English language
scroll-over text.
3) If we were to change that to Danish, then all of our customers will see
that language.
4) We could set up other servers to support this language, but we haven't
had enough requests to do this.

So yes, it is possible to technically do this mouseover text support, but
we haven't had enough customer requests to justify those costs at this
time for any language other than English.

Jeg håber, at dette svar er tilfredsstillende - du er selvfølgelig
velkommen til at diskutere det i nyhedsgrupper m.m.

Hvis du stadig har spørgsmål / kommentarer, kan du selvfølgelig skrive
tilbage til mig, og jeg vil gøre mit bedste for at give dig et
fyldestgørende svar så hurtigt som muligt.

---
To: Verisign
---
Jeg må jo skuffe med at jeg umiddelbart finder selve svaret
tilfredsstillende men indholdet utilfredsstillende.

Hvis man har afsat midler af til at lave et "imageseal" hvorpå der står
"bekræft" når man har kaldt det med "da" som sprogparameter, så bliver man
da nødt til også at afsætte midler til at lave en dansk ballon-tekst. Du
må meget undskylde, men så meget koster det altså heller ikke at få
oversat et par linier engelsk til (selv en masse) andre sprog.

Når man har sagt a må man også sige b?!

Når man samtidig har så _travlt_ med at man _skal_ bruge script-kaldet:
s c r i p t src=https://seal.verisign.com/getseal?host_name=indsæt
domænenavn her&size=M&use_flash=NO&use_transparent=NO&lang=da
/ s c r i p t

i sin kode for at vise seglet, så gør det bare Troy Kitch begrundelse om
"cost" endnu mere uforståelig!
Der er da helt sikkert brugt midler på det script, men det er jo kun noget
værd på engelsk...
Giv os i stedet for lov til at bruge de to links, som scriptet genererer.
Vi kan sagtens selv finde ud af at ligge de oversatte sprog på som
ballon-tekst som vi selv har behov for.

Og jeg tvivler stærkt på at nogen andre vil finde det problematisk!

Så behøver VeriSign heller ikke at bruge midler på at holde deres script
ved lige.

Næste gang vi skal forny vores certifikat vil det blive taget op til
revurdering om Verisign er de rette til at gøre dette.

---
From: Verisign
---
Tak for din mail - jeg beklager endnu engang det sene svar.

Som skrevet i min sidste mail, er det ikke et spørgsmål om, at VeriSign
ikke vil ofre penge på at oversætte ballonteksten til andre sprog. Derimod
drejer det sig om, at vores seal kun bliver hostet af én server - og denne
server er sat til at vise ballonteksten på engelsk. Hvis ballonteksten
skulle vises på forskellige andre sprog, ville vi skulle sætte et
tilsvarende antal nye servere op til at hoste de forskellige seals med
forskellige ballontekster - og det er her, at Troy Kitch mener, at vi ikke
har haft nok forespørgsler om at sætte et antal nye servere op, der skal
hoste de forskellige sprogs seals.

Jeg har sendt din email videre til mine amerikanske kollegaer og bedt dem
om at svare på, om det er muligt, at I kan bruge de to selvgenererede
scripts.

Jeg vender selvfølgelig tilbage med et svar, så snart dette foreligger.

---
To: Verisign
---
Nu er du jo nok ikke den rette at diskutere med, men...

når nu argumentet for den manglende oversættelse af ballonteksten på
seal'et er, at det kun bliver hostet af _en_ server, hvordan vil du så
argumentere for at selve billedet der vises i forbindelse med Seal'et kan
vises på flere sprog ("bekræft(da)/verify(en)/verifier(fr)" osv.)?

---
From: Verisign
---
Det er korrekt, at seglet bliver hostet af én server i USA.

Denne server er sat til at vise ballonteksten på engelsk, og da vi ikke
har fået andre forespørgsler angående dette, overvejer vi ikke at bruge
midler på at sætte én server op per sprog.

Hvis man ønsker at installere seglet, skal man skabe et script på vores
hjemmeside - det er korrekt, at man her kan vælge størrelse, sprog etc på
seglet.

Men dette har ikke noget med ballonteksten at gøre - den er ikke en del af
scriptet.

Vi kan desværre ikke lade dig bruge dit eget script til seglet (jf. de
installationsbetingerlser, som du har accepteret, da du installerede
seglet samt mine tidligere forklaringer i henhold til spoofing m.m.).

Men umiddelbart tror jeg nu nok, at manglerne ved en engelsk ballontekst
vil blive opvejet af den merværdi, som seglet tilføjer jeres hjemmeside.

Som tidligere skrevet er du velkommen til at diskutere dette i diverse
nyhedsgrupper m.m.

**********************
*** slut korrespondance ***

JEG KAN ALTSÅ BARE IKKE FORSTÅ ARGUMENTERNE!

Ahhh, det gav luft

/Jens Ulrik


 
 
Kent Friis (13-12-2006)
Kommentar
Fra : Kent Friis


Dato : 13-12-06 17:21

Den Wed, 13 Dec 2006 10:34:59 +0100 skrev Jens U. K.:
>
> **********************
> *** slut korrespondance ***
>
> JEG KAN ALTSÅ BARE IKKE FORSTÅ ARGUMENTERNE!
>
> Ahhh, det gav luft

Hvad havde du forventet? De kan ikke få plads til to tekster på samme
server, kræver at du giver dem mulighed for at hijacke enhver browser
der connecter, som har javascript slået til...

Det kan da ikke overraske nogen at den slags skulle komme fra folkene
der forsøgte at hijacke hele internettet med deres sitefinder stunt.

Utroværdighed er hvad navnet Verisign står for nutildags.

Der var nogen der sagde at Sitefinder stuntet kun påvirkede
troværdigheden i deres domæne-afdeling, og man stadig kunne stole
på certifikat-afdelingen. Tja, dit indlæg beviser jo så at
certifikat-afdelingen er lige så utroværdige.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Asbjorn Hojmark (13-12-2006)
Kommentar
Fra : Asbjorn Hojmark


Dato : 13-12-06 17:38

On Wed, 13 Dec 2006 10:34:59 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
wrote:

> For at give indtryk af at firmaet er interesseret i at beskytte
> oplysningerne er forbindelsen til Extranettet kun mulig over https.
> Vi har indkøbt et Verisign certifikat til webserveren til dette
> formål.

Hvis du er træt af de svar du får, så "stem med pengene" og tag din
SSL-forretning et andet sted hen. I mellemtiden kan du bare lade være
med at vise det åndssvage segl, der 1) er gratis reklame til VeriSign
og 2) ingen sikkerhedsmæssig værdi har.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

Peter Brodersen (14-12-2006)
Kommentar
Fra : Peter Brodersen


Dato : 14-12-06 00:46

On Wed, 13 Dec 2006 17:38:19 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>Hvis du er træt af de svar du får, så "stem med pengene" og tag din
>SSL-forretning et andet sted hen. I mellemtiden kan du bare lade være
>med at vise det åndssvage segl, der 1) er gratis reklame til VeriSign
>og 2) ingen sikkerhedsmæssig værdi har.

Ad 2, så er det fantastisk, at et firma, der skulle fremme
sikkerheden, netop prøver at opdrage brugere til at tro på
grafik-elementer inde på selve hjemmesiden. De nævner endda selv, at
de netop har problemer med folk, der kopierer varemærket. Jamen,
problemet eksisterer jo kun, fordi de har opdraget folk til at tro på,
hvad der står, på en hjemmeside (nåja, og så også at det giver
"merværdi").

Det samme ses på antivirus-fronten, hvor man får e-mails, der er
"certificeret virus-fri". Selvfølgelig uden nogen form for
certificering.

Man får lyst til at bryde ind hos medarbejdere hos diverse
sikkerhedsfirmaer, plyndre deres hus og så samtidig sige: "Jeg er ikke
en røver". Hvis man gør det tilpas mange gange, kan det være, man kan
opdrage dem til at tro på det.

--
- Peter Brodersen
Kendt fra Internet

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408920
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste