Hjemmeudviklet NemID-klient får syngende nej: Trues med ‘nødvendige juridiske tiltag’

En egenudviklet NemID-klient, der bruger Javascript, har fået et blankt afslag fra Nets, der truer udvikleren med juridiske tiltag og en mulig hackersag.

“Ok, det må jeg ikke”. Sådan skriver datalog og internetaktivist Christian Panton på sin hjemmeside efter han har fået et afslag fra Nets. Christian Panton udviklede nemlig en NemID-klient, der kørte på JavaScript, for at gøre NemID mere tilgængelig. Men det skal han holde sig langt fra, lyder svarer mellem linjerne fra Nets, der står bag NemID.

Læs også: Datalog overhaler det offentlige med egenudviklet NemID-klient: "Vi skal have flere øjne på protokollen"

Med advarsler som “uautoriseret indtrængen i NemID's sikkerhedsinfrastruktur” og “nødvendige juridiske tiltag” advares Christian Panton fra at prøve sig med sin klient.

»Det er mega ærgerligt. Jeg kom med en løsning i hånden og sagde: “Lad os se om, vi ikke kan løse det problem, rigtigt mange danskere har med ikke at kunne få NemID til at virke med java og som samtidig udgør et kæmpe sikkerhedsproblem.”,« siger Christian Panton til Version2.

Over nogle lange vinternætter havde datalogen udviklet en NemID-klient ved hjælp af reverse engineering og gravet sig gennem den obfuskerede kode. Til sidst havde han en løsning klar, og testede den op mod en udgave af NemID, der lå på en af hans egne servere. Og det var heldigt, han ikke testede den op mod de rigtige NemID-servere, kan man læse af svaret fra Nets.

For havde han gjort det, var der nemlig ifølge Nets tale om en uautoriseret indtrængen i NemID's sikkerhedsinfrastruktur. Med andre ord: Christian Panton ville, ifølge Nets, have hacket en kritisk dansk infrastruktur.

Og han skal heller ikke gøre sig tanker om at dele koden eller endda viden om koden, lyder advarslen fra Nets - det vil nemlig bryde deres ophavsret og overtræde en række pantenter. Derfor vil Nets træffe de “nødvendige juridiske tiltag for at sikre, at disse rettigheder ikke krænkes,” som det lyder i mailen.

Men hvorfor overhovedet lave en JavaScript NemID-klient, når Nets er på vej med deres egen? Christian Panton spår lange udsigter til den JavaScript-løsning, Nets er på vej med, som efter planen skulle være klar i juli. Han havde derfor håbet, Nets havde været mere imøddekommende.

»Det er mange måneder endnu fra nu af og frem til at de første tjenester begynder at implementere løsningen, formentlig først omkring årsskiftet,« siger Christian Panton til Version2 og påpeger, at hans løsning ikke skulle være permanent:

»Min løsning er en slags polyfilla - en midlertidig løsning.«

Ud over at være datalog er Christian Panton internetaktivist i Bitbureauet. Klienten er derfor et udtryk for, at få alle med på den bølge, det offentlige Danmark har sat i gang med brugen af NemID.

»Vi er i høj grad afhængigt af NemID på alle platforme med digitaliseringsstrategien. Så det havde været rigtigt rart, hvis man kunne bruge det allerede nu.«

Vil ikke kæmpe mod Nets

Løsningen blev udviklet af Christian Panton selv, og som privatperson ønsker han ikke at tage kampen op mod Nets - en kamp, han betegner som én mand mod en romersk hær.

»Jeg gider ikke kæmpe med jurister, det er fuldstændigt pointeløst i denne her sag,« siger Christian Panton til Version2 og fortsætter:

»Jeg vil ikke sove dårligt om natten og risikere min families psykiske og fysiske velbefindende ved at der skal ske noget her. “Vi sagsøger dig langt ind i helvede” minder det lidt om.«

Overraskende bastant afslag

»Det er af almindelig høflighed, at jeg skrev en mail til dem. Der kunne jo være nogle store sikkerhedshuller i systemerne, som de blev gjort opmærksomme på med min løsning, som herefter skulle rettes. Derfor havde jeg håbet, at de havde anerkendt arbejdet,« siger Christian Panton til Version2 og fortsætter:

»De lægger ikke ud med at sige, at det er interessant, men i stedet med bål og brand. Det er ukonstruktivt.«

Vil ikke gå videre med sagen

Flere - blandt andet Version2’s læsere - har ønsket at Christian Panton deler koden, sin indsigt og værktøjer med offentligheden. Det har han dog ingen interesse i efter Nets reaktion. Derfor vil han heller ikke gå videre med sagen og for eksempel forhøre sig hos Digitaliseringsstyrelsen, der har det politiske ansvar for NemID.

Men hvis andre har lyst til at tage teten, vil han gerne hjælpe med, hvis det juridisk er muligt. Det vil dog kræve, at der er nogen, der kan sige god for, at han ikke kommer i juridiske problemer.

»Jeg gider ikke bruge mere energi på det nu. Hvis der er nogen, der gerne vil snakke lidt videre med Digitaliseringsstyrelsen om det, vil jeg gerne deltage. Jeg gider bare ikke kæmpe en kamp hvor jeg bliver mødt af en mur. Jeg møder den romerske hær for alvor nu.«

Læs uddrag af mailen her:

Med Christian Pantons tilladelse bringer Version2 her et uddrag af mailen, Nets har sendt til ham.

Nets ejer NemID, det vil bl.a. sige de IT-komponenter, som indgår i anvendelse af løsningen. Java Appletten, som benyttes i dag og den kommende JavaScript-løsning er en integreret del af NemID infrastrukturen. Som ejer af den samlede NemID løsning indestår Nets DanID for sikkerheden i hele løsningen. Løsningen er designet, udviklet og sikkerhedstestet som et "hele". Nets betragter brug af sådanne klienter som uautoriseret indtrængen i NemID's sikkerhedsinfrastruktur.

Såfremt der foretages reverse engineering af komponenterne i NemID med henblik på at kopiere eller offentliggøre viden om NemID (herunder anvendelse af samme protokoller, datastrukturer, sekvenser og lignende) vil dette være en krænkelse af Nets' ophavsret, ligesom det kan medføre overtrædelse af patenter hos 3. part.

Nets vil gøre de nødvendige juridiske tiltag for at sikre, at disse rettigheder ikke krænkes.

Version2 har kontaktet Nets for en kommentar

Følg forløbet

Kommentarer (51)

Bjarke I. Pedersen

Okay, nu bliver jeg forvirret.

Siger loven netop ikke, at man godt må reverse engineere ting, med folk at lave interoperabilitet med disse?

Det er jo netop det han gør, så kan ikke rigtig se hvordan de kan komme og true, så længe han ikke tager deres kode og selv bruger den, men i stedet skriver sin egen implementation...

Er der nogen som har bedre kendskab til lovgivningen, som kan uddybe hvordan det hænger sammen?

Jens Holm

Den eneste indlysende grund til Nets reaktion er at de er bange for at miste gulvkalven. Christian har jo blot vist hvilke gevaldige overpriser Nets tager, og hvilken inkompetente beslutninger, der tages i virksomheden.

Jacob Smedegård

Det kan da ikke være rigtigt at

Såfremt der foretages reverse engineering af komponenterne i NemID med henblik på at ...offentliggøre viden om NemID (herunder anvendelse af samme protokoller, datastrukturer, sekvenser og lignende) vil dette være en krænkelse af Nets' ophavsret, ligesom det kan medføre overtrædelse af patenter hos 3. part.

Patenter kan vel ikke krænkes ved at snakke om dem og datastrukturer samt protokoller falder vel ikke ind under ophavsretten, med mindre man kopiere den originale kode?

Bjarke I. Pedersen

Den eneste indlysende grund til Nets reaktion er at de er bange for at miste gulvkalven. Christian har jo blot vist hvilke gevaldige overpriser Nets tager, og hvilken inkompetente beslutninger, der tages i virksomheden.

Jeg tror problemet er det som der tit ses ved store offentlige projekter - en 1500 siders kravspec, hvoraf de sidste 250 sider modsiger de resterende 1250 sider - samt at der har været så mange folk inde over, så føler de skal sætte sit præg på det...

Kristian Lund

"Såfremt der foretages reverse engineering af komponenterne i NemID med henblik på at kopiere eller offentliggøre viden om NemID (herunder anvendelse af samme protokoller, datastrukturer, sekvenser og lignende) vil dette være en krænkelse af Nets' ophavsret"

What? At bruge deres protokol / datatruktur er en krænkelse af ophavsretten?
Så de påstår de har copyright over alle udtryk af en given form - enhver tekststreng der fanges af en regex de har defineret, for nu at sætte det på spidsen?

Det er lige præcis det copyright ikke kan, gud ske lov.

Sune Marcher

Det var jo en fuldstændigt forventelig reaktion fra NETS' side.

Ærgerligt at Christian valgte at udtale sig offentligt om sit projekt, i stedet for anonymt at leake sin implementation, værktøjer og dokumentation til offentligheden. Men det er for sent nu.

Det kan godt være at Christians arbejde er fuldstændigt lovligt (omend jeg stadig er overbevist om der er nogle terrorsagsgummiparagraffer han kan skydes ned med), men hvilken privatperson har overskud og økonomiske midler til at tage en retssag mod NETS - og eventuelt staten?

Carsten Olsen

Siger loven netop ikke, at man godt må reverse engineere ting, med folk at lave interoperabilitet med disse?


Lige præcis. Men du må ikke offentligøre hvad du finder ud af. Chritian har nu valgt IKKE at offentligøre hvad han fandt ud af, efter at have set nets reaktion. Så Christian har handlet "helt igennem lovligt".

Hvis vi ser på de problemer Nets har, så er det KÆMPE problemer. Hvis en kriminel vælger at gøre de samme ting men vælger at holde det hemmeligt så har han frit spil og Nets jurister kan jo ikke forfølge nogen som de ikke engang ved eksisterer. Men så er det jo godt at de har en syndebuk. Det her ligner ren beskæftigelsesterapi for jurister.

Thomas Larsen

Patenter? I software?

Dette er tydeligvis juridisk trussels-bullshit. Desværre forfattet af en person som ikke en gang behersker et præcist dansk ("gøre de nødvendige juridiske tiltag").

Men det er vel et meget godt eksempel på hvilke juridiske trusler vi kan vente os mere af når danskerne stemmer ja til patentdomstolen...

Det er da klart at hvis man som stor virksomhed har fået det offentlige til at tro at det koster et tocifret millionbeløb at udvikle en javascript-udgave af NemID så er det rart at man kan (mis)bruge patentlovgivningen til at beskytte sit monopol og forhindre talentfulde iværksættere i at vise at de kan gøre det bedre og billigere.

Kræn Hansen

"Nets betragter brug af sådanne klienter som uautoriseret indtrængen i NemID's sikkerhedsinfrastruktur." Det kan de jo betragte som de vil - jeg betragter det som en fejlfortolkning af sine beføjelser og som udtryk for en meget, meget gammeldags måde at anskue den digitaliserede virkelighed.

Det "værste" der kan ske er vel at man som bruger af Christian's NemID klient overtræder slutbruger-aftalen, men det vil i danmark kun kunne have den konsekvens, at man som slutbruger ikke må benytte produktet (NemID). I så fald vil det være dem der benytter din uofficielle klient der ikke har fået lov til at deres browser kommunikerer med Nets infrastruktur.

Reverse engineering af komponenterne er mig bekendt ikke strafbart i danmark. Selvfølgelig hvis Christian offentliggører ophavsretsbeskyttet materiale i processen, men det mener jeg ikke at der er risiko for så fremt Christian ikke laver afskrift af deres kode, men istedet offentliggører sin egen implementering.

Troels Henriksen

Er nogen i Danmark nogensinde blevet dømt (eller bare sagsøgt) for at distribuere egenudviklet programmel? Bevares, det kan godt være det ville være ulovlig "hacking" at bruge klienten, men det er da for så vidt lovligt nok at distribuere "hackersoftware", er det ikke?

Kræn Hansen

Jeg mistænker at man kan blive anklaget for at være medskyldig, hvis ens programmel benyttes til at overtræde loven. Lige som man nok kan blive det hvis man giver et automatvåben til en frustreret person, foran en i køen i Netto.

Casper Bang

Øv, jeg havde virkelig glædet mig til at læse detaljerne fra Cristian - nu giver det iøvrigt mere mening hvorfor han havde den gamle applet liggende og kunne lave diff på den, da NETS sidst kludrede i det.

Skønt jeg har fuld forståelse for at han trækker følehornene til sig, har jeg svært ved at se, hvad IdFix gør af ulovligheder ved at emulere en applet - det er jo kode der kører på ejermandens enhed! Eneste årsag må derfor være at NETS stadig foretrækker at praktisere Security through obscurity.

Lad os håbe vi får en offentlig debat ud af det i det mindste.

Christian P. Broe Petersen
Torben Mogensen

Det kræver vist en ret fri fortolkning af begrebet "infrastruktur". Han har jo ikke tiltvunget sig adgang til NemID's servere eller hemmeligholdt information. Koden til klienten er jo netop offentlig (omend i obfuskeret form), og jeg tvivler på at de-obfuskering kan betragtes som ulovlig indtrængen.

Hvad patenter angår, så kan det være, at klienten indeholder en eller anden patenteret metode, men det er ikke ulovligt at beskrive patenterede metoder eller deres brug, kun at lave produkter, der udnytter patenterne. Så patenter kunne ikke forhindre Christian i at offentliggøre en beskrivelse af klienten -- så længe han ikke frigiver et kørende program.

Så er der ophavsret. Copyright dækker ikke ideer eller metoder, kun specifikke tekster, billeder m.v. og afledte værker. For eksempel må man ikke uden tilladelse udgive en oversættelse af en bog til et andet sprog, og det er heller ikke tilladt at udgive sin egen indspilning af en sang uden at få lov til dette. Der er ikke nogen fast definition af, hvor grænsen går i forhold til afledte værker. For eksempel er parodier tilladt, mens uautoriserede sequels til romaner ikke er. Kopiering af et spil er ikke tilladt, men det er tilladt at lave et spil med samme mekanismer, sålænge grafik og tekst er lavet om fra grunden. Uafhængig (gen)implementering af en bestemt funktionalitet med et program er tilladt, men det kan diskuteres, hvor uafhængig implementeringen er, når der er lavet reverse engineering. Det er derfor, at man snakker om "clean-room reimplementations", som bevidst er lavet uden kendskab til eksisterende implementeringer (men med kendskab til en specifikation). I Christians tilfælde vil det nok stå eller falde på en vurdering af, i hvor høj grad Christian har støttet sig til den oprindelige implementering. Men hvor patenter ikke hindrer beskrivelser eller lignende, så kan copyright betyde, at det ikke er lovligt for Christian at offentliggøre sin kode. Hvorvidt det vil holde i byretten kan jeg ikke sige, men jeg forstår så udmærket, at Christian ikke vil løbe risikoen.

Men sagen viser, at staten har grebet hele ideen om digitalt login/signatur helt forkert ad: Alle protokoller bør være offentlige, dels for at gøre det muligt for enhver at analysere sikkerheden og påpege huller (security by obscurity har aldrig været nogen god ide), og dels for at gøre det muligt for tredjeparter at implementere klienter på platforme, som den oprindelige udbyder ikke har interesse i. Hvis brugerne SKAL bruge et bestemt system, så er det da ikke udbyderens problem (i egen mening), hvis de ikke kan bruge den på deres foretrukne platform -- så må de bare købe en af udbyderens godkendte platforme. I værste fald kan man komme ud for, at sælgeren af den understøttede platform betaler udbyderen for ikke at udbyde løsningen til andre platforme. Den slags er set før.

Claus Jepsen

Passivitet er ret farligt juridisk set, så det er ganske givet derfor at de for en sikkerheds skyld sikrer sig med en klar tilkendegivelse.

Ps: Staten ejer ikke nets, men har en aktiepost via Nationalbanken på vistnok 10%, og det er begrænset hvad den kan bruges til.

Peter Brodersen

Hvis dette er repræsentativt for bankernes juridiske kompetence (fx "vores patenter, som alle kan slå op, er hemmelige"), hvordan kan nogen så overhovedet have tillid til øvrige aftaler med bankerne, fx huslån, lønkonto, etc.?

Tag snakken, næste gang du har fat i en bankrådgiver. Afkræv svar om deres juridiske kompetence og "synspunkter". Spørg, hvor den juridiske tillid er (hvilket ikke kan kompenseres for gennem imagekampagner).

Jacob Sparre Andersen

http://www.it-retten.dk/bog/07/04/ afsnit "7.4.g. Reverse engineering" hvis du vil kende lovgivningen. Den er ikke lige frem.

Det mest relevante afsnit er nok det om plagiering (under §37), hvor forfatteren påstår at »reverse engineering« med henblik på plagiering ikke er lovligt. Man kunne påstå at det er præcist det der er gjort med DanID's Java-klient. På den anden side, så lader DanID folk kopiere Java-klienten ganske gratis, så erstatningen for det lovbrud må vel også være gratis.

På den anden side kan man også henvise til at DanID selv siger at det er ét samlet system, og at »reverse engineering« af (en del af systemet) udelukkende er sket for at kunne skabe interoperabilitet mellem DanID's system og JavaScript-programmer.

Victor Jacobsen

bange for at miste gulvkalven

Det er vist mere af strategiske hensyn end egentlig guld. Der skulle være oparbejdet et underskud på 355 millioner ifølge NemID er en sten i skoen

en 1500 siders kravspec, hvoraf de sidste 250 sider modsiger de resterende 1250 sider

Det er uden tvivl korrekt, da de vel skal være klar til uendelige redegørelser og bortforklaringer til ministre, udvalg og styrelser.

Han må godt nok have brugt lang tid på det

Til deres forsvar så er opgaven ikke kun at erstatte en applet med javascript. Det skal også virke optimalt på mobile enheder iOS, Android og Windows Phone, så de må vel også finde en erstatning for de skjulte .GIF filer og andet.
Dertil kommer signering og kryptering af dokumenter og mails også på de mobile enheder.

Endelig så bliver det vel heller ikke billigere når IBM er indover http://www.computerworld.dk/art/220551/denne-it-gigant-skal-nu-drive-din...

Mikkel Mikjær

Den artikel er så fuld af juridisk bullshit at det tog 3 forsøg at komme igennem den, hvorfor har "journalisten" ikke indhentet en kommentar fra en rigtig jurist der kan forklare hvad ophavsret og patenter er ... og måske også forklare at NET's holdning ikke er lov ...

Med andre ord ... få nogen unbiased fagfolk på ... få fat i en minister og hvis ikke det er muligt så hiv fat i nogle it ordførere ... med andre ord ... gør det journalister gør! :) (eller burde gøre)

Daniel Udsen

Det kan godt være at Christians arbejde er fuldstændigt lovligt (omend jeg stadig er overbevist om der er nogle terrorsagsgummiparagraffer han kan skydes ned med), men hvilken privatperson har overskud og økonomiske midler til at tage en retssag mod NETS - og eventuelt staten?

Du behøver ikke nødvendigvis terror paragrafferne infosec direktivet og efterfølgende lovgivning har en masse underlig jura der både beskytter "security through obscurity" og forsøger at "forbyde reverse engineering" samtidigt med at det modsatte ofte påstås i de forarbejder der ikke helt gælder inden for EU ret osv.

"Nets betragter brug af sådanne klienter som uautoriseret indtrængen i NemID's sikkerhedsinfrastruktur."

Igen kommer vi til det rod der er skabt af infosec og meget af det nye panik lovgivning omkring "hacking".

De sager der har været har f.eks. handlet om hvorvidt det er indtrængen at gætte en URL og de har ofte endt med at lands og byret modsage hinanden. Hertil kommer at der er tradition i DK for at domstolene stoler på myndighedskøn i højere grad end det i teorien bør værre tilfældet.

NETS er her fanget i problem at de realt har fortalt politikerne at "security through obscurity" virker og derfor er det ekstremt pinligt for dem hvis det bliver alment kendt at en studerende inden for relativt kort tid har været istand til at gennemskue deres interne datastrukturer.

Lars Lundin

Nets' forsøg på at true Chr. Panton til tavshed fordi han udstiller deres kombination af inkompentence og overfakturering er en oplagt lejlighed til fra politisk hold at ændre lovgivningen om NemID, således at det nuværende monopol bortfalder.

Thomas Graversen

Angående patenter vil det være ok at frigive kildekoden, da vi ikke har softwarepatenter i Europa. Source kode er "free speech", det svarer til at beskrive med ord hvordan et åbent API fungerer, det kan ikke censureres væk.
Kilde koden er bare en mere præcis sproglig beskrivelse af hvordan et åbent API fungerer. Så længe man ikke frigiver en binær eller kompileret udgive vil det være ok.
Ellers ville det jo også være ulovligt at snakke om hvordan man tror API'et virker.

Det kunne da være en god ting at få en juridisk afgørelse / precedence på området, også selvom man skulle tabe på nogle af de andre punkter.

Selvfølgelig skal man have lov til at implementere sin egen klient, ellers kan kriminelle jo bare gøre det.
Den tekniske implementation af Nets klienten holder jo ikke hvis den skal forsvares juridisk.
Jeg tror det handler om at Nets skal bevare snoren i alle danskere, som jo håndhæves gennem java appletten. Herigennem har man fuld mulighed for at uploade programmer eller undersøge danskernes PC med en modificeret java applet.
Begge sager er yderst betændte rent juridisk, derfor synes jeg at det skal afprøves ved retssystemet.

I kunne sagtens lokke mig til at donere til et sagsanlæg.

I bedste fald vil udfaldet af dommen blive, at Nets bliver opfordret til at rette i API'et, hvis det kan udnyttes af kriminelle og det vigtigste: at offentlige API'er er offentlige.

Hvorfor er der ikke et krav om offentlige API'er fra politikkernes side ?
Jeg kan kun finde den forklaring at Nets vil have monopol på (Java) clienten.
Er det et krav fra staten til Nets ?
Det burde være et politisk spørgsmål.

Lars Lundin

Det kunne da være en god ting at få en juridisk afgørelse / precedence på området, også selvom man skulle tabe på nogle af de andre punkter.

Men det er jo det der er problemet (og derfor samtidigt den strategi som Nets følger):

Det ville medføre en stor personlig omkostning for Chr. Panton at få afprøvet disse synspunkter i retten - også selvom han (givetvis efter det absolut maksimale antal appeller) skulle vinde til sidst.

Det er derfor at en politisk løsning er den eneste reelt farbare vej.

Henrik Biering

Hvad patenter angår, så kan det være, at klienten indeholder en eller anden patenteret metode, men det er ikke ulovligt at beskrive patenterede metoder eller deres brug, kun at lave produkter, der udnytter patenterne. Så patenter kunne ikke forhindre Christian i at offentliggøre en beskrivelse af klienten -- så længe han ikke frigiver et kørende program.

Udover at vi (som flere har nævnt) ikke har softwarepatenter i DK, så har NETS jurister vist aldrig fået kæmpet sig helt frem til §3 stk. 3 i patentloven:

Stk. 3. Eneretten omfatter ikke

1) handlinger, der udføres i ikkeerhvervsmæssigt øjemed,

2) handlinger angående produkter, som af patenthaveren eller med dennes samtykke er bragt i omsætning her i landet eller i et andet land inden for Det Europæiske Økonomiske Samarbejdsområde (EØS),

3) handlinger, som udføres i forsøgsøjemed i forbindelse med genstanden for den patenterede opfindelse

Thomas Graversen

>Jeg mistænker at man kan blive anklaget for at være medskyldig, hvis ens >programmel benyttes til at overtræde loven. Lige som man nok kan blive det hvis >man giver et automatvåben til en frustreret person, foran en i køen i Netto.

Nu bruges sådan software også til at lave sikkerheds audits med, af "the Good Guys", så det skal selvfølgelig være frit til rådighed ellers ville "the Bad Guys" jo bare overtage det hele og videre udvikle deres skadelige software.
Man har ret til at kunne udveksle ideer og kode med andre. Kildekode er free speech, en måde at kommunikere på.

Det er jo heller ikke ulovligt, at have en hammer, bare fordi man kan slå nogen ihjel med den. Ej heller er det strafbart at efterlade eller glemme den ude i sin have. Det heller ikke strafbart at låne den ud, sætte et nyt træ skaft på eller male den grøn.

Men jeg deler den samme bekymring som dig, der sker i disse år et stor skred i vores retssikkerhed, nogen bliver nød til at sætte hælen i.

Hvis man tager analogien med hammeren inden for IT: Det er i praksis 'forbudt' at låne sin internet forbindelse ud/dele med andre, du er juridisk ansvarlig for hvad der sker på din internet forbindelse.
Jeg vil gerne del min forbindelse, men er i praksis forhindret i det

Hvorfor må jeg ikke låne min IT hammer ud ? Hvorfor er det anderledes bare fordi det er inden for IT ?
Hvorfor mister vi vores grundlovssikret ret til brevhemmelighed bare fordi det er et elektronisk brev ?
osv, osv.
Ved at lave så streng lovgivning hjælper politikkerne kun the "bad guys".
F.eks hvis jeg kunne dele min internet forbindelse med andre, kunne jeg modvirke tracking og Big data indsamling.
For mig er Big data om privatpersoner "the bad guy"

Men man kikker fra politisk side igennem fingre med at der implementeres bagdøre i vores routere, som truer vores private retssikkerhed og er et åbent smuthul til industri spionage i Europa.

Liste med 19 bekræftede bagdøre i routere fra Linksys, Netgear, Cisco, Belkin
http://securityaffairs.co/wordpress/20941/hacking/netgear-linkys-routers...

http://en.wikipedia.org/wiki/Dual_EC_DRBG
USA er ikke de store mere: http://www.top500.org/list/2013/11/
Algoritmen er kendt.

Bjørn Meldgaard

"men hvilken privatperson har overskud og økonomiske midler til at tage en retssag mod NETS ..."

Sten nets Axelsen fx - selv om han alligevel endte med at sælge forleden

(og ja jeg ved godt det er i en helt anden boldgade:)

Claus Karstensen

Hvis det er et problem at vi får indsigt i NemID-protokollen, så har Nets vel egentlig, nærmest per definition, sjoflet helt elementære sikkerhedshensyn så groft at der må komme noget strafansvar på banen. Personligt strafansvar hvis min lettere ondskabsfulde optimisme får det som den vil.

Hvad Christian P's aktuelle kode angår: Hvis den virkelig ikke får dagens lys at se, så må vi andre på banen og starte forfra. Det her hører hjemme på Github.

Benny Lyne Amorsen

Angående patenter vil det være ok at frigive kildekoden, da vi ikke har softwarepatenter i Europa.


Vi har softwarepatenter i Europe. Mængder. Der er ikke så mange af dem som er blevet testet i retten, men EP0618540 er på vej igennem systemet i Tyskland -- det har taget nogle år med modstridende kendelser. Status lige nu er at det er ugyldigt, men IKKE fordi det er et softwarepatent. Derimod er der efter rettens mening ikke tilstrækkelig stort forskel på det som patentet dækker, og så den prior art som eksisterede før patentet.

Michael Valter Hansen

Jeg har også min tvivl om, hvorvidt NETS ville have en sag såfremt en alternativ klient kom på markedet. Hvis kildekoden til dén klient var åben kunne jeg godt finde på at bruge den. Jeg forstår dog godt at alle og enhver ikke skal kunne tilbyde deres egen klient til ikke-softwarekyndige danskere, der ikke kan vurdere, om softwaren kommer fra en pålidelig kilde.

Jeg synes at vi i denne debat antager, at den alternative nemid klient faktisk virker og kunne anvendes som vi (eller i al fald nogle af os) anvender NETS' nemid klient idag. Kan den faktisk det? Christian Panton påstår at han har udviklet en klient, som udfra teksten i Version2's artikler, som minimum kan logge én ind på nemid. Er der noget bevis for dette? Kan Christian selv logge ind via sin klient (han siger at det aldrig er prøvet, men det skal han vel sige). Klart at det fungerer hvis han gør det imod sin egen nemid-server, men er der overhovedet noget bevis, eller en sandsynliggørelse for, at han har ret og ikke bare bilder os noget ind? Jeg bliver blot skeptisk når det "bare lige er lavet på et par aftener" selvom jeg på ingen måde udelukker at det er muligt hvis vores "hacker" er lige så dygtig som han udgiver sig for.

Ren Hansen

Den eneste indlysende grund til Nets reaktion er at de er bange for at miste gulvkalven. Christian har jo blot vist hvilke gevaldige overpriser Nets tager, og hvilken inkompetente beslutninger, der tages i virksomheden.

Principielt synes jeg det er forkert at lege stavepoliti, men jeg MÅ altså bare gøre opmærksom på at sommetider er "sdavefejl" simpelthen bare for morsomme ;o)

Frithiof Andreas Jensen

Det er derfor at en politisk løsning er den eneste reelt farbare vej.


Näh - fordi, som det er blevet demonstreret utallige gange (dog uden at välgerne fatter at det er et generelt princip som räkker en del videre end beregningen af deres ejendomsskat): Politikerne er ikke på "vores" side, det nytter ikke at forsöge på at hjälpe firmaer - som, for eksempel, NETS eller rejsekortet.

Direkte på pastebin og bittorrent uden at involvere "bureaukratiet", det er den farbare vej!

Allan Høiberg

"Vores løsning er sikker, for det står i kontrakten. Hvis I begynder at reverse-engineere koden, er det en overtrædelse af kontrakten, og så kan vi ikke stå inde for sikkerheden længere".

Godt, de kriminelle holder sig til spillereglerne, siger jeg bare.
</sarcasm>

Ida Jacobsen

Som enhver anden virksomhed er Nets forpligtet til at pleje sine interesser, og som det pointeres af flere i denne debat, er det det de gør i deres svar. De kridter banen op for deres økonomiske interesser og rasler med deres våben i kraft deres rolle som primær ejer af Nemid. Jeg ville forvente den samme reaktion fra enhver anden almen forretning.

Men dette her handler om softwareudvikling til alle danskere, til os allesammen. Nemid svarer jo efterhånden til samme powertrip som kirkebogen havde før i tiden (og tildels stadig har) - vi skal allesammen en tur igennem den. Og derfor er det himmelråbende ærgerligt at man ikke, i disse oplyste tider, har det intellektuelle overskud til, som virksomhed, at se hvornår nogen rækker en et guldæg - selvom det måske er af alternative veje. Som softwarehus burde man både have selvkritik nok til at erkende at der altid vil være en derude der kan og vil gøre det bedre rent udviklingsmæssigt, og at dynamikken på nettet gør at der er nogen der vil prøve at hacke det man har lavet. Nets burde være pokkers glad og taknemmelig for at der findes ærlige folk der faktisk mener det godt når de hænger ens pinlige kode til tørre for offentligheden.

Det er håbløst naivt at man vil digitalisere Danmark og stadig bibeholde en topstyret tilgang til selve softwareudviklingen. Ja, softwareudvikling er lig med kontrakter og store budgetter, og der vil ufravigeligt være en masse interesser der skal beskyttes, garantier der skal dækkes og sikkerhed der skal overholdes. Men hvor ville det være rart med lidt flere visioner og åbenhed, når vi allesammen er påvirkede af produktet, og især når der er folk der kan gøre det bedre.

Jan Hansen Hviid

Jeg spurgte dem via chat i dag, om hvorvidt den nye script løsning ville kunne køre under Win XP, hvor, som bekendt, Oracle lukker for supporten med Java 7u65.

Svaret lød: "nok ikke"

Det tolker jeg som, at det ikke er noget man har testet, og muligvis heller ikke har tænkt at teste.

Hele setup'et med NemID, XP og en død Java, er blevet endnu mere mudret, ved at der nu verserer rygter om, at det kun er den stærkt forældede Internet Explorer 8, der er problemet. En opdateret Firefox skulle fortsat kunne fungere med nye Java versioner under XP.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Rapportskrivning med Word

Hvornår: 2016-05-04 Hvor: Storkøbenhavn Pris: kr. 3500.00

SharePoint 2013 Business Intelligence [55042]

Hvornår: 2015-10-07 Hvor: Storkøbenhavn Pris: kr. 11700.00

Personcertificering efter DS/INSTA 800, videnniveau 3

Hvornår: 2015-10-26 Hvor: Fyn Pris: kr. 13000.00

Projektlederen som facilitator

Hvornår: 2015-11-03 Hvor: Østjylland Pris: kr. 12500.00

Service er marketing

Hvornår: 2015-11-18 Hvor: Storkøbenhavn Pris: kr. 3990.00