Thue Kristensen
Primære faneblade
-
Version2-artiklen nævner det ikke, men der er også andre grunde til at skifte metode: 1) Den nuværende SSL-kontrol virker ikke hvis man ikke er på internettet (som fx hvis man er på en betaling-side før der åbnes adgang til internettet). 2) Det er ret langsomt at verificere certificatet på den ... -
Re: Link til verificering
Vel fordi det heller ikke er påkrævet, at man skilter med det...? Hvis man har lyst til at følge sikkerheds-kravene uden at skilte med det, så er det jo harmløst. Men hvis man reklamerer med at man følger e-mærket, så skal brugerne have mulighed for let at checke om det er sandt. Dvs der ska... -
Link til verificering
Samtidig bør man verificere, at der er tale om et gyldigt e-mærke. Ifølge e-mærket kan det som regel gøres ved at klikke på mærket på butikkens hjemmeside, som kan linke til et certifikat hos e-mærket. Det er dog ikke alle e-mærkede butikker, som linker via mærket. Hvorfor er et sådant link ikke... -
E-mærket er alligevel en vittighed rent sikkerhedsmæssigt
Kravene til sikkehed for at få e-mærket er alt for lave. Man behøver ikke at beskytte login, password, eller cookie med https. Alverdens information om ens konto og købshistorie bliver sendt over http. På fx gavekortet.dk så har jeg været ude for at indtaste en kode til et gavekort på 500 kr uden... -
Re: "Breaking"? Ha!
http://www.version2.dk/artikel/skat-dropper-links-i-e-mails-sikkerhed-ko... :-) DanIDs regler siger kun at de ikke må linke direkte til login-siden. De må gerne linke til en forside, hvorfra man så kan klikke videre til en login-side. Ud fra et eller andet mystisk argument om at en IT-kriminel ... -
Re: "Breaking"? Ha!
"Og så vil Claus Christensen gerne slå fast, at Nordea som altid råder deres kunder til aldrig at give deres loginoplysninger væk, eller reagere på mails, hvor der står, at de skal logge ind på bankens hjemmeside. Den slags mails sender Nordea ikke, lyder det fra banken." Måske for... -
Re: "Breaking"? Ha!
Og husk Version2's gentofte-bibliotek.dk demo. Ville det også være brugernes skyld hvis de fik tømt deres netbank pga det? -
Re: "Breaking"? Ha!
nordea.dk og nordea-dk.com skulle man også mene at folk havde opdaget... Nej, for folk har ikke fået at vide at de skal holde øje med domaine-navnet, og de har ikke at vide hvilke domaine-navne som er de rigtige. For eksempel er seb.dk's netbank-login på adressen https://taz.vv.sebank.... -
Re: "Breaking"? Ha!
Hvad havde forhindret den falske Nordea-side i at pege på https://danld.dk eller https://danid.eu med en pixel-til-pixel-kopi af https://danid.dk? danid.eu er så forskelligt fra danid.dk, at folk selv skulle opdage det. Mht til danld.dk, så skal DanID selvfølgelig opkøbe alle domainer som t... -
Ville ikke have hjulpet på det sidste angreb
BankID er langt fra perfekt, men det forhindrer det angreb, banker i Danmark har været udsat for flere gange Jeg ville ikke sige at BankID kunne have forhindret det sidste angreb. Hvis de kriminelle har overtaget kontrollen med din computer, så er der ikke noget at gøre, for de kan vise hvadsomh... -
Re: Thue
Nej, den ville være sikker. Fordi så er "computeren" chiptan-dimsen, og computeren er derfor ikke overtaget. Og modsat min PC, så ville brugerne ikke køre alverdens snavs på chiptan-computeren. Det ville sådan set være en udemærket løsning. Hvis du kunne overtale danskerne til at bruge... -
Re: "Breaking"? Ha!
kig HTML-koden igennem for kun en applet. HTML med javascript er turing-komplet. Teoretisk kan du ikke matematisk forudsige uddata ved at læse kildekoden. Og du er nød til at læse alle CSS og JS-filerne igennem, for måske er den div som <applet ...> ligger i sat til display:none på lin... -
Det største problem er vel falske forventninger
Der er vel ingen som har forstand på computere, som havde forventet at NemID skulle kunne stoppe et angreb når computeren var blevet overtaget af en virus. Det problem kan man simpelthen ikke løse, så vidt jeg ved. Så på den måde har NemID vel ikke fejlet. Måden som brugerne kan sikre sig på er,... -
Re: "Breaking"? Ha!
Nej, forvirringen er at du prøver at glemme hvad du skrev. Du skrev at der stik imod "best practice" ingen mulighed er for at kontrollere om en loginboks er reel. Det er der. Så forklar mig da, hvordan jeg kender forskel! Også så min mor kan forstå det, tak. At det er de færreste ... -
Re: Eneste mulighed er ved at bruge SMSer som 3. faktor?
Netbank på smartphones. En rogue app vil sikkkert også have adgang til dine SMS beskeder. Så kunne man håndhæve at vigtige transaktioner ikke måtte foretages fra smartphone. Bare lige for at udpensle SMS-løsningen: Når man får en SMS, så skal der selvfølgelig også stå i SMSen at man var ve ... -
Eneste mulighed er ved at bruge SMSer som 3. faktor?
Som jeg skrev i et andet indlæg, så burde angriberen kunne have lavet angrebet ved simpelthen at erstatte hele login-siden lokalt på offerets maskine. Og Det kan NemID vel ikke gøre noget ved ved at fifle med Java-appletten. De kan vel ikke rigtigt gøre andet en at tilføje en ekstra sikkerhedsfa... -
Re: "Breaking"? Ha!
Det er derimod dette. Siden Java-appleten er signeret, har du en mulighed for at vide om den er reel eller ej. Hvordan vil du kende forskel? Hvis man har klikket "stol altid på DanID", så får du aldrig den dialog mere. Og Java-appletten er jo pixel-for pixel identisk med en HTML-ef... -
Re: "Breaking"? Ha!
??????? Ups, mangler ord. Ordet er "oversolgt". -
Re: "Breaking"? Ha!
Det er ikke klart hvordan det nu er foregået hos Danske Bank. Pressemeddelelsen taler om '”real time phishing”. Misbruget har fundet sted, mens kunderne har været logget ind i deres netbank.' Hvis kunderne bruger deres NemID på den rigtig bank-webside og samtidig har en keylogger inst... -
Re: "Breaking"? Ha!
Java-appleten er da signeret af DanID. Se Version2's demo-video, hvor de laver en login-dialog vha billedfiler, som ligner NemID's java-dialog på en prik: http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396