Thue Kristensen
Primære faneblade
-
Man skal enten have åbnet for remote management - eller give en hacker adgang til netværket på routere, via et ukrypteret wifi eller via kabel. Ok - det er straks værre! Vigtigt "eller" :). -
"Gigantisk"
At dømme ud fra YouSee's svar og Version2's beskrivelse synes jeg ikke at jeg ville kalde sikkerhedshullet "gigantisk". Det bør selvfølgelig lukkes, men så længe du skal have adgang til det interne network først, så er det ikke så alvorligt alligevel. Hvis du har adgang til d... -
Re: Kildekode?
ÅhHahahahaha. Held og lykke med at få udgiverne til at udlevere kildekode til deres spil. "Hej. Vi kommer fra Det Kongelige Bibliotek. Kunne I tænke jer at udlevere hele jeres levegrundlag til os? Vi lover at passe rigtig godt på det." Lovgivning. Giv os kildekoden, eller i er ikke... -
Re: Central login-adresse?
Så du foreslår vi får et "single point of failure" som den optimale løsning på det problem? Det er netop det NemID er blevet revset for her med de seneste DDoS angreb fra scriptkiddies. Den nuværende løsning har allerede et single point of failure, og det vil JavaScript-løsningen ... -
Central login-adresse?
Måske det største sikkerhedsmæssige problem ved NemID er, at brugerne ikke har nogen chance for at vide om en given NemID-dialog er ægte. Det er det som fx Version2's demonstration (og min klage over det samme til Datatilsynet et år tidligere) påpegede. Jeg mener simpelthen ikke at NemID har... -
Re: Kildekode?
OK, 70 år efter ophavsmandens død: http://www.it-retten.dk/bog/06/ (6.3.g) Men indenfor IT er det så også meget lang tid. Men lige netop Det Kongelige Bibliotek tænker jo i de tidshorisonter. -
Re: Kildekode?
Copyright udløber ikke på software. Uhh, selvfølgeligt gør det det. -
Kildekode?
Hvorfor ikke gemme kilde-koden? Er det fordi DKB ikke har prøvet at få fat i kildekoden, eller fordi de har prøvet, men ikke har kunnet få fat i dem Med kildekoden har man jo væsentligt bedre muligheder for at emulere og/eller porte spillet til ny hardware i fremtiden. Jeg kunne godt forestille... -
Re: Først til mølle
Så, hvis hun ikke har fået trademark på "Bale" i Danmark, så ved jeg ikke hvordan hun kunne vinde det her. Et trademark gælder kun inden for et område. Bare fordi hun har trademark på "Bale" indenfor advokat-branchen, så kan andre sagtens bruge samme navn i andre sammenhæ... -
Re: Tor?
TOR-browseren virker ikke til f.eks. IRC. http://www.irc-junkie.org/2009-12-31/howto-irc-anonymously-with-tor/ -
Tor?
Hvorfor ikke bare bruge en tor-browser? https://www.torproject.org/projects/torbrowser.html.en -
Re: Decentral løsning
Det er rigtigt at du ikke er afhængig af en central server - men du skal stadig modtage beskederne et sted fra, som har den offentlige nøgle. Det er jo netop det man ikke skal med asymmetrisk kryptering. -
Decentral løsning
»Hvad enten man implementerer én eller flere login-løsninger, vil man stadig være sårbar over for hackere, da disse løsninger også kan angribes og lægges ned. Men med asymmetrisk kryptering, så kan man jo netop lave et system hvor man kan underskrive uden at skulle ind over en central server. Så... -
Re: Peterprincippet.
Sagen er jo så er bare at det det desværre er manden, eller rettere digitaliseringsstyrelsen der er problemet her. Jeps. Jeg mener det burde være uden for diskussion at det ikke var godt nok, at NemID ikke blev født med DOS-beskyttelse. Hvis vi accepterer det (og jeg har ikke hørt nogle arg... -
Re: XSS
Er NemID løsningen sikret imod XSS(Cross-site scripting) Jeg kan ikke se hvorfor NemID's egen kode skulle være sårbar over for XSS. Der er jo ikke noget JavaScript som kommunikerer med omverdenen, eller noget input til JavaScript, så ingen mulighed for XSS i NemID. Hvis der er XSS-hull... -
Kompetence af løsning
Selv med NemID's dårlige track-record havde jeg troet at de havde tænkt DOS-beskyttelse ind i designet fra starten, og testet for det. Det er jo en fuldstændigt elementær sikkerheds-foranstaltning for sådan et oppetids-kritiskt og dyrt system, og åbenlyst mål. Men måske burde jeg ikke være ... -
"vores kunder (bankerne og det offentlige, red.)"
»Vi holder vores kunder (bankerne og det offentlige, red.) Så NemID har kontrol over min digitale identitet, og jeg er tvunget til at bruge NemID-monopolet. Men NemID betragter mig ikke som deres kunde, og føler sig ikke engang forpligtet til at holde mig informeret. Så kan det vist ikke siges ... -
Re: "graverende sikkerhedsfejl"
Kaare: NemID er jo sikkert nok.. men det er Java ikke. NemID er jo helt til grin sikkerhedsmæssigt. Hvordan har du misset Version2's demonstration? http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396 -
Re: Nu ikke det mest farlige.
hentet fra et websted som ikke engang kører https med et certifikat. Hvad mener du med det? NemID bruger vel https? -
NemID har da endnu værre sikkerhed?
NemID har da endnu værre sikkerhed. Med NemID kan dine Sundhedsvejen.dk oplysninger blive stjålet fordi du indtastede dine oplysninger https://spilpoker.dk - og du har ingen mulighed for at vide om NemID-dialogen på spilpoker.dk er ægte eller en efterligning. Her er et login på Sundhedsvejen.dk ...