It-bøvl hos Skat: Mac-brugere kunne ikke logge på med NemID

Tænk hvis NemID havde valgt en STANDARD krypteringsløsning i stedet for at forsøge at opfinde sin egen måde at gøre tingene på, hvor meget besvær havde vi så ikke undgået?

Og det på alle sider der har nemID

Men det er godt at NemID er så gode til sit job at de har kreeret en ufejlbarig applikation som er uhackbar og som ministrene er tilfredse med....

Sikken en gang slamkode og arrogance de er sluppet af sted med.

Så kære MF'ere tag og Luk NemID ned - for det forbistrede "#¤##!¤& kan vi ikke være tjent med.

For et par uger siden hjalp jeg en bekendt, der var kørt sur i netop Skats TastSelv Erhver med NemID (som jo er påtvunget nu).
Platform: Windows 7 med Firefox.

Mage til @#$%%...
Hvis vi nu ser bort fra at systemet så var nede da vi endelig var kommet igennem NemID-bøvlet (hvilket man skulle være tekniker for ikke at tolke som om NemID stadig ikke virkede) - så var processen så kringlet og så fuld af sikkerhedsadvarsler som alm. brugere ikke have en chance for at vide om det var klogt at svare ja eller nej til, at det er komplet meningsløst at snakke om sikkerhed - for slet ikke at tale om at blive kastet frem og tilbage mellem domæner man aldrig havde hørt om med HTTP redirects.
Set bagefter kan jeg virkelig ikke se hvad i processen, der skulle give min bekendte nogen følelse af at det her var sikkert og det er også tvivlsomt om det - med alle de ting der skulle installeres, klikkes "ok" til om det egentlig var.
... og så er vi slet ikke nået til at man tvinger alle til at have Java på deres maskine.

Jeg forsøgte at indberette moms, men kunne ikke logge ind. Jeg har opdateret styresystemet på min Mac og også browserne Firefox og Safari.

Forsøgte så at bruge skats hjemmeside til at generere en OCR-kode, så jeg kunne indbetale via netbank, men den blev ved med at påstå, at jeg havde skrevet en forkert dato, og gik så i selvsving med fejl-dialoger, indtil jeg tvang min browser til at lukke.

Så forsøgte jeg at sende Skat en mail om mine problemer, men man kan UDELUKKENDE sende e-mail til Skat, ved at logge ind med NEM-ID, som jo ikke virker. - Smart!

Jeg ringer nu til supporten og venter i kø i en evighed. Da jeg endelig kommer igennem, bliver jeg anbefalet at installere en meget gammel version af Internet Explorer på min Mac, som selvfølgelig ikke virker. Derefter er supporterens bedste råd, at jeg låner en computer, på min lokale bibliotek!!! (Jeg lader den lige stå et øjeblik)

Jeg beder så om at tale med nogen, som kan fortælle mig, at jeg selvfølgelig ikke behøver at afregne moms, før de har fået deres systemer op at køre igen. - Men hér venter jeg så længe i telefonkø, at jeg giver op før jeg kommer igennem...

Da man ikke kan mail'e til Skat, ville jeg sende en mail til skatteministeren, men jeg kunne ikke finde hans adresse. Jeg har derfor skrevet til ministeriet, om jeg afventer information fra dem, om hvornår deres systemer virker igen...

Jeg vil anbefale alle andre der oplever samme problemer, om at mail'e skatteministeriet, så der kan komme skub i tingene!

Tjah, min erfaring er at man endelig ikke må fjerne fokus fra det faneblad der er ved at loade NemId-appletten - andet faneblad eller anden applikation (eller popup notification) får appletten til at dø med "failed to initialise" -- og så er der ellers ikke andet at gøre end at lukke hele Firefox ned, alle faneblade i alle vinduer... mange tak.

De må da ha' gjort sig umage for at få Java til at opføre sig sådan???

Ifølge artiklen har SKAT "bestilt" noget hos deres underleverandør. Måske problemet er specifikt for SKAT og ikke noget Nemid har med at gøre.

Det er NemID - fejl opstår på samtlige sider der bruger NemID...

DanID er vel bare i gang med at "hæve sikkerheden":

http://www.version2.dk/artikel/danid-overvejer-haeve-nemid-sikkerhed-eft...

NemID - Nu så sikkert at ingen kan komme ind :)

Jeg har både en netbank hos Nordea og en hos Danske Bank

Fra Linux/firefox kan jeg logge på nordea, men ikke Dankse Bank (sgatus ved sidste månedsskifte)

Der kan være gået meget i fisk siden da

Ja fyha, og vi tvinger dem også til at have et OS og en browser. Det er dælme bare ikke i orden. Tænk dig den browser skal også kunne afvikle JavaScript....

Nikolaj, det svar er bare ikke i orden. Før NemId kunne det sagtens lade sig gøre uden Java -- fx. Jyske bank havde en ganske glimrende løsning som var sikker (den brugte bl.a. faste credentials plus engangskoder fra papkort ligesom vi kender det nu) og brugervenlig, og så krævede den INTET client-side ud over en standard browser. Jeg fik vist aldrig prøvet den i Lynx men den virkede upåklageligt på en Palm PDA -- helt uden CLIENT-SIDE Java eller JavaScript.

Ret beset, for at maksimere sikkerheden bør der ude hos brugerne være så lidt kode og gear som overhovedet muligt, for den slags skal vedligeholdes og kan knækkes. Langt bedre er det at centralisere og sikre det nødvendige kode hos en professionel enhed (og jo, en central adgang kan godt sikres mod DDoS, man skal bare ikke tænke "Skat ved nytår" eller "Dankort ved jul" men derimod "Wimbledon" eller "Facebook").

Det svar er helt i orden i min bog. Der stilles krav til en brugers udstyr for at man kan tilgå en service. Det er ok. Det er klart at er udstyret noget der koster urimelige summer, eller er umådelig svært at komme til, så begynder vægtskålen at tippe den forkerte vej.

Men Java på klienten, er i min bog altså ok, og på lige vilkår med at man godt kan forudsætte som minimum IE 7+, Firefox 3+, Safari 3+ osv. (Chrome er det svært lige at give et eller andet nummer for det er totalt arbitrært med den måde det virker på med den - min er vist 17 et-eller-andet).

Er der overhovedet noget krav til klienten du så ikke mener er ok? Har du en grænse?
Må man f.eks. kræve at man kan sende mails til din klient med eksekverbare scripts?
Har du overhovedet intet forhold til om der skal være en rimelig grund og nødvendighed sammenlignet med de sikkerhedsimplikationer kravet har?

Jo da.

Lad nu være med at forsøge at starte en eller anden krig af en diskussion, uden noget egenligt indhold. Jeg mener Java er et rimelligt krav som jeg skriver. Det mener du ikke.
Der er også en del der mener at et token vil være fornuftigt - det er ikke anderledes.

Det er jo helt utroligt at man fortsætter med det skrammel.

Nu forsøger man at smide sorteper over på Skat, fordi NemID er en gang dyrt købt skrammel, som ikke virker.
Hvis man virkelig ved hvad man selv roder med hos DanID, så bør det kun være en bagatel at ringe over til Skat, og fortælle hvor fejlen ligger og hvordan den rettes.
Det bør ikke tage en måned, slet ikke når der allerede er pres på, for at virksomhederne kan komme til at gøre deres pligt.

For et par dage siden, stod man frem i Danske Bank, efter et vellykket angreb gennem NemID, og fremturede med, at det var Danske Bank, der skulle "ændre deres indstillinger", i forhold til intrusion detection.
Sikke en gang vrøvl at komme med. Som også beskriver en hel del om Danske Bank's sikkerhedsniveau, og dermed åbner endnu mere for mulige hackere.

NemID holder ikke vand i forhold til det offentlige, herunder Skat.
NemID holder ikke vand i forhold til finanssektoren.
Er der noget som helst sted, hvor det virker ?
Hvilken mekanisme i NemID forhindrer det i at blive misbrugt af identitetstyve og andre netsvindlere ?
Ingenting !
NemID er simpelthen dokumenteret, specielt velegnet til at bruge som værktøj, hvis man vil svindle og bedrage.
Især er der tale om, hvor velegnet det er i forbindelse med keyloggere & trojanere.
Derfor åbner NemID helt op for alle tænkelige muligheder, hvis man vil stjæle data. Altså spionage, både privat, industrielt og militært.
Mulighederne er helt ubegrænsede, og enhver netsvindler, terrorist eller fjendtlig fremmed magt, bør simpelthen sende et takkebrev til DanID, for deres indsats.

Hvem har i øvrigt modtaget de 700.000 der blev stjålet fra Danske bank ?
Som minimum må det være kriminelle, men det er sandsynligt, at det er terrorister for der skal alligevel et minimum af muligheder til, for at kunne smutte af sted med 700.000 !
Flot DanID !
Hvem holder i egentlig med ?

NemID er dokumenteret usikker, og KAN ikke blive en sikker løsning.
Det KAN ikke lade sig gøre.

NemID er helt umuligt.
Det falder fra hinanden, helt som forudsagt.

Kejserens nye klæder......... om og om igen.

Det var et godt trick - antyd, at det er terrorister. Så er lommerne dybere.

nemmerlig !

Hvorfor dette raseri mod NemId. SKAT siger jo at de har bestilt en løsning fra deres underleverandør - jeg går ud fra at det ikke er NemId der menes.
Godt nok er NemId noget hø, men jeg tvivler på det er skyld i denne her. NemId login virker jo fint andre steder (Pas, Danske Bank - nogle steder jeg med min Mac benyttede).

Godt at høre, at andre også har problemer med at komme igennem det offentlige log-in-fællesskab. Jeg har forgæves forsøgt at gøre SKAT opmærksom på mine problemer; men for at kunne skrive til SKAT skal man være logget ind, hvad jeg ikke kan, men har kunnet indenfor det seneste år.

Konklusioner: der er ikke kun problemer med NemId; designet er ikke en servicevirksomhed værdigt; SKAT kan ikke vide, hvor mange der har problemer.

For en uges tid siden sendte Skat et brev ud til hele Danmark, om at vi skulle gå til deres hjemmeside, og ordne vores skatteoplysninger. De sendte et link med til startsiden, hvor vi så skulle klikke videre for at logge ind.

Fint nok - men i dagevis førte linket på hjemmesiden til
"http://www.skat.dk/www.tastselv.skat.dk?newwindow=true" - de fleste kan vel se hvorfor linket ikke fungerede, og hvad det skulle have været...

Jeg tror det du kalder en "krig" startede da du sarkastisk sammenlignede et krav til Java med et krav til en en browser.
I den sarkasme lå vist ikke en gensidig anerkendelse af at vi nok blot var uenige om hvorvidt Java var et rimeligt krav.

...tolkede du...