Tør jeg logge på NemID?

Danid support siger "bare klik ja!", men de vil ikke holde deres brugere skadesfrie ved eventuelle misbrug - godmorgen.

Deres IT folk ved ikke noget andet end "der er vist nok lagt nogle opdateringer på i aften".

Det er da også den helt rigtige brugeropdragelse at man bare skal sige ja til at køre en applet ligegyldigt om den er signeret eller ej. Specielt set i lyset af den manglende sikkerhed for man-in-the-middle angreb som NemID er så såbar overfor.

Det er sku ikke særlig betryggende.

// Jesper

<tinfoilhat>
...at de har glemt at signere den PET-opdatering der kom igår med nets certifikatet :-)
</tinfoilhat>

Det er jo et godt eksempel på en fejl der bare ikke må ske.

Og det eneste rigtige svar fra DanID support vil være: "Nej, du skal ikke klikke ok, vi ved faktisk ikke om det er den rigtige applet".

Selvom man åbenbart er klar over at der er opstået en fejl ifm. en opdatering, så er der 2 udfordringer med et "bare klik ja" svar:

1) DanID ved jo rent faktisk ikke om det er den rigtige applet; tænk hvis "nogen" havde sneget en forkert version ind siden man checkede...
2) Man opdrager sine brugere til ikke at være opmærksom; næste gang klikker man måske bare ja før man ringer til supporten...

Amatører... Signerede applets er ikke ligefrem rocket science eller ny teknologi. Der må være nogle skudsikre procedurer der sikrer at en ikke signeret/forkert signeret applet ikke kommer "ud". Og som minimum bør der være en "smoketest" hvor man efter en opdatering liige checker at alt ser fornuftigt ud...

Rent ud sagt!...

Det er tiltag som NemID, som er styret af så inkompetente personer, der gør at jeg flytter til Norge.

Det handler garanteret bare om et certifikat der er dato-udløbet. Det er min erfaring at, fra de største til de mindste organisationer/firmaer, folk generelt ikke har styr på at få fornyet deres certifikater i tide. Sikkert fordi at mange projekter er spredt ud i mange "kasser", og lige netop certifikatfornyelse er noget der kræver en central funktion eller styring, og der hopper kæden af. Et simpelt samarbejds- og styringsproblem, som rigtigt mange bare ikke kan håndtere.

Var nets - som ejer broderparten af DanID - ikke indtil fornyligt et norsk firma? I kan nå at få NemId derop endnu ;)

-dennis

Det er især det med, at man kan sætte den til altid at godtage materiale fra publisher ved navn Unknown, der gør det attraktivt.

Jeg får det til, en meget korrekt beskrivelse af, at selv på det organisatoriske plan, har DanID mangler der medfører en sikkerhedsbrist.
Spændende observation.

@Lars Bjerregaard

Nej det er et ugyldigt certifikat der er brugt, det er ikke "bare" udløbet. De (eller nogle andre) har således pushet en ny applet ud som ikke er signeret korrekt.

Btw så vil et udløbet certifikat ikke give disse problemer hvis appletten ved signeringstidpunktet også var timestampet korrekt.

Og hvordan kan man have tillid til resten af løsningen, når Nets ikke har styr på lige præcis dette - og så er det sådan set ligegyldigt om andre firmaer sjusker, dette er en fejl der aldrig, gentager ALDRIG, må ske for en udbyder af noget så centralt som det statssanktionerede centrale login.

Nu må politikerne altså til at vågne op, før ulykken bliver total.

Så nu (10:08) er "bare klik ja!"-historien osse versiontoet: http://www.version2.dk/artikel/danids-support-se-bort-fra-sikkerhedsadva...

Fire Version2 NemID-historier på halvanden time det må være rekord. Tillykke!

I norge Bruger alle banker den norske version af nemid (bankid.
Det er styret af nets ligesom i danmark. Så der har du vist snydt dig selv lidt.

http://unknown.com/products
Det ligner ikke NemID :)

Jeg sagde også bare at jeg ville :) Læser stadig her i Danmark.

Men ja desværre. Så må det vel være Sverige eller et andet tilfældigt land.

Nu var min pointe heller ikke så meget destinationen, som årsagen.

hehe

+1

God værkstedshumor :)

Lad mig gætte en gang: Et andet tiltag er den nye job-kontrakt du har underskrevet ?

Det mest bizarre er da den tilbudte tekniske mulighed for at sætte flueben, og dermed sikre fri adgang også for alle andre Unknowns!

Jeg går stærkt ud fra at det er det specifikke ikke-verificerbare certifikat som man godkender. Ikke publisher-navnet "UNKNOWN".

Jow, men det er ikke hvad popup'en forklarer de stakkels brugere...

Jeg undrer mig over at historien stadigvæk ikke er særligt omtalt i andre medier. Det eneste Google News finder er Computerworld's historier fra 10:01 og 11:33, der dog også er på epn.dk. Sidste uges historie om den geografiske udbredelse af NemID kom frem i flere medier.

Der synes at være en forskel i opfattelse af væsentlighed mellem (os) Version2's NemID-kritikere og resten af befolkningen. Skyldes det mon at certifikat-problemet er rimeligt teknisk og derved kan være svært at forstå?

Det er faktisk ret skræmmende at denne sag i alle andre medier forbigås i larmende tavshed.

Desværre nok en indikation af at H.C. Hansen havde ret da han i sin tid efter sigende sagde noget i retning af:

"90% af den danske vælgerbefolkning befinder sig på sinkestadiet eller derunder"

Man kan i Danmark hyle op om ligegyldigheder som trængselsringe, eller om hvorvidt folk snydes hos den lokale bager, eller alt muligt andet nitti gritty der finder vej til Christiansborg, men når det drejer sig om noget der kan have grotesk store konsekvenser for samfundet, så fejes det ind under tæppet.

Tjek tråden under denne artikel:
http://www.version2.dk/artikel/sikkerhedsekspert-nemid-support-giver-for...

Michael Westergaard og Thue Kristensen har en pointe som er interessant.