Sikkerhedsadvarsel i netbanken? Du skal bare klikke på 'yes'

Hvis det er en del af designet at folk får en besked om at der er fejl i sikkerheden, så er der godt nok nogen der trænger til at komme på et designkursus.

Hvis folk får at vide at de bare skal ignorere det og acceptere, så sker samme handling den dag der er et vindue der skriver "Din konto er hacked, vil du overfører alle penge til 3-parts konto."
Sådan fungerer gennemsnitsbrugeren desværre. De er lemminger i forhold til beskeder og advarsler.

"The aplication's digital signature has an error"...

Hvorfor kommer denne meddelelse? Det er vel ikke er "error" at en signatur er udløbet? Og hvad sker der når man klikker "Run"? Kører man så videre med en udløbet signatur, eller... ?

Den kan ikke lave et godkendelse med serveren, hvilket betyder at programmet rent faktisk ikke ved om serveren og klienten er hvem de udgiver sig for at være og derfor ikke kan kommunikere på sikker vis. Programmet kan derfor, hvis kodet korrekt, ikke køre videre med et udløbet certifikat.

Hvis certifikatet ikke er udløbet og det er udstedt til den server, som har udleveret det, så kommer der ikke en advarsel.

Hvis der kommer en advarsel, så er det fordi banken ikke har styr på deres certifikater og det kan da umuligt være en del af deres design.

Ja, certifikatet skal nok udskiftes hvert andet år, men de KUNNE jo OVERVEJE om ikke de skulle udskifte det INDEN det udløb.

Næh, men et tegn på at nogen har sovet i timen.

Opera afviste mig for nogle år siden, når jeg ville på Sydbanks netbank.

Ved et opkald til deres hotline, blev jeg på det nærmeste svinet til som inkompetent gammel stodder :-(

Det gjorde dog bare at jeg begyndte at undersøge sagen dybere.

Det viste sig at deres certifikat var revoked, og at Opera var(er?) der eneste browser som rent faktisk check for revoked certs.

Mit næste opkald til hotlinen, hvor jeg påstod at deres server var blevet havket, og deres netbank derfor ikke mere var sikker (Hvorfor ellers trække et aktivt certifikat tilbage?), gav så en hel del response.

Men desværre vare deres svar blot at jeg skulle bruge en anden browser, fordi der ikke VAR noget problem.

Et udløbet cert er et tegn på at nogen har sovet i timen, og ikke har fået det fornyet. Det kan ske. Men et revoked cert er slet ikke godt.

Hvad er jeres mening om det svar? Min tillif til deres setup fandt i hvert fald kraftigt.

/Henning

Jeg undrer mig over det sproglige. Browseren ved der er tale om et udløbet certifikat, men overskriften på dialogboksen er "...digital signature has an error" - det er da misvisende!

Og så bliver man tilbudt at køre videre med en signatur "med error"? Hvordan skal man kunne gennemskue om dét er fornuftigt?

Programmet kan derfor, hvis kodet korrekt, ikke køre videre med et udløbet certifikat.

Vil det sige, at hvis man klikker "Run", så hentes der et opdateret certifikat? Hvis ja, så kunne det jo evt. forklares i dialogboksen... ;-)

Når der kommer en sikkerhedsadvarsel, bør de fleste tænke, at der måske er noget galt med sikkerheden.

Hvis folk alligevel kører videre, og de her bliver udsat for en form for angreb der bevirker at de taber penge, så er det ikke sikkert banken hæfter for tabet.
Det at banken skal betale tabet for private står i betalingstjenesteloven, og her står faktisk, at banken ikke nødvendigvis dækker tabet, hvis brugeren "burde have vidst der var en risiko" :)

"Stk. 6. Betaleren hæfter uden beløbsbegrænsning for tab,
der opstår som følge af andres uberettigede anvendelse af betalingsinstrumentet,
når den til betalingsinstrumentet hørende personlige sikkerhedsforanstaltning
er anvendt og betalers udbyder godtgør, at betaleren har oplyst den personlige
sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse,
og at det er sket under omstændigheder, hvor betaleren indså eller burde have
indset, at der var risiko for misbrug."

Så hvis der kommer en advarsel, og du udfylder dine nemid data, som så bliver brugt til indbrud i din netbank, så er det ikke sikkert du får pengene igen.