Datatilsynet advarer mod at stole på hængelåsen i browseren

En hængelås eller en besked om HTTPS i browserens adressefelt er ikke nødvendigvis ensbetydende med, at forbindelsen er sikker, fremgår det af et nyt skriv fra Datatilsynet.

Blot fordi, der står HTTPS og/eller er en hængelås i browserens adressefelt, så er det ikke det samme som, at forbindelsen til en server er tilstrækkelig sikker.

Det fremgår af en netop udgivet såkaldt it-sikkerhedstekst fra Datatilsynet med overskriften 'Krypteret dataudveksling via websider – set fra brugerens synsvinkel (PDF)'.

Ifølge Datatilsynets hjemmeside er 'formålet med it-sikkerhedsteksterne er at sætte fokus på udvalgte it-sikkerhedsmæssige problemstillinger, som dataansvarlige, databehandlere, projektansvarlige og andre i praksis skal håndtere i forbindelse med behandling af personoplysninger.'

Men tilbage til teksten om hængelåsen.

»Visning af hængelås eller HTTPS i browserens adressefelt garanterer ikke imod, at uvedkommende kan kikke med eller endda ændre i dataudvekslingen,« står der.

Som eksempel på, hvorfor det til tider kan forholde sig således, skriver Datatilsynet, at når en browser viser hængelås/HTTPS (eller ingen hængelås/HTTP), kan denne oplysning gælde hele den viste webside eller kun dele af websiden. Dermed vil der altså kunne være indhold på siden, som ikke er krypteret, til trods for hængelåsen.

Og som - antageligt - ganske mange Version2-læsere vil være klarover, så har forskellige browsere forskellige måder at kommunikere til brugeren på, hvordan det står til med den sikre - eller usikre - kommunikation til en hjemmeside.

Derudover kan det certifikat, der bliver anvendt til skabe den sikre forbindelse også have som formål at identificere, hvorvidt 'modparten i dataudvekslingen er den, man forventer,' som Datatilsynet formulerer det.

»Som tidligere nævnt kan certifikater benyttes til andet end kryptering af dataudvekslingen. Derfor er informationen i browserens adressefelt og de tekstuelle advarsler ikke nødvendigvis tegn på manglende eller utilstrækkelig kryptering. Som bruger er man henvist til at sætte sig ind i advarslernes betydning, og foretage sin egen vurdering af, hvordan man bør reagere,« skriver Datatilsynet i teksten.

Utilstrækkelige krypteringsmetoder

Tilsynet bemærker desuden, at en hængelås eller HTTPS i browserens adressefelt indikerer, at »der er anvendt kryptering, men ikke hvilken slags, eller i hvilken grad krypteringen beskytter imod, at uvedkommende omdanner de kryptere data til læsbart format.«

Og i den forbindelse skriver Datatilsynet, at en flere »krypteringsmetoder, som været anvendt i browsere i mange år, i dag for at være utilstrækkelige.«

Datatilsynet kommer i det 10 sider lange skriv blandt andet også ind på, hvordan man-in-the-middle-angreb kan betyde, at den øjensynligt krypterede forbindelse ikke er ensbetydende med, at kommunikationen til en webserver faktisk er sikker.

It-sikkerhedsteksten indeholder også en række tips til, hvad en bruger kan gøre for at undersøge og til dels styre en krypteret dataudveksling.

Udover 'Krypteret dataudveksling via websider – set fra brugerens synsvinkel' har Datatilsynet også netop udgivet it-sikkerhedsteksten 'Krypteret dataudveksling via websider – set fra den dataansvarliges synsvinkel' (PDF)

Denne tekst er med sine fire sider noget kortere end den brugervendte tekst. Teksten til den dataansvarlige indeholder flere eksempler på, hvordan datakommunikationen kan sikres.

Her lyder et af eksemplerne, at 'webserveren til kun at etablere krypterede forbindelser ved anvendelse af krypteringsmetoder, der pt. anses for tilstrækkeligt sikre. Det kan indebære, at brugere med forældede browsere skal afvises (forhindres i at udveksle data med webserveren).'

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (42)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Schmidt

Jeg synes, der er nogle håbløse råd og løsningsforslag i ST12, som skaber mere forvirring og angst end nødvendigt, og som ikke løser de nævnte problemer ved roden.

Det er selvfølgelig en generel præmis, at dataoverførsler er i fare for at blive aflyttet, uanset hvor mange forholdsregler man har taget (pga. 0-day exploits, fejl hos CA'er, osv.). Det er relevant at gøre opmærksom på, men det er ikke hensigtsmæssigt at sætte spørgsmålstegn ved de sikkerhedsmekanismer, som rent faktisk fungerer efter hensigten (forudsat at de er anvendt korrekt).

Der diskuteres farer ved delvis kryptering. Det findes i mange varianter, der er mere eller mindre problematiske. Det bedste råd, man kan give brugerne, er at stole på browseren og lære at forstå de forskellige slags hængelås-ikoner.

Der diskuteres farer ved forældede krypteringsalgoritmer. Jeg vil mene, at hvis blot man sørger for at holde sin software opdateret (OS, browser mv.), så har man ikke noget at frygte i den henseende. Det fører ikke til noget at få almindelige brugere til at ikke bekymre sig om krypteringsalgoritmer.

Der diskuteres afbrudt kryptering (interception proxies). Jeg går ud fra, at der tænkes på PAC og WPAD. Hvis man har en af disse slået til (det har vel de færreste), bør man hurtigst muligt slå det fra. Har man gjort det, og man i øvrigt husker at tjekke hængelås og hostnavn i adressefeltet, så kan hoteller og andre ikke kunne intercepte din HTTPS-trafik. At forklare almindelige brugere om interception proxies fører vist ikke til noget fornuftigt.

  • 18
  • 1
Rune Jensen

Jeg har sagt til alle og enhver, de skal bare kigge efter hængelåsen.

Helt ærligt... Du får ikke noget normalt menneske med gennemsnitsligt kendskab til computere til at sætte sig ind i certifikater og styrken af kryptering.

No way.

Problemet er, at hængelåsen og det lille HTTPS: er en brugervenlig metode til at vise sikkerhed, og det er noget folk umiddelbart forstår.

Det er derfor også aldeles brugeruvenligt at kræve at folk yderligere skal vide noget om certifikater og kryptering. Det kommer aldrig til at virke. Det mudrer i dén grad folks opfattelse af sikkerhed.

Hvis certifikater er et problem, så må det løses af browserfabrikanterne. Det er vel dem, som installerer dem?

Og det samme med styrken af krypteringen.

Og så må webmasterne til at benytte bedre security policy. Man kan komme langt her, f.eks. blocke externt 3. parts javascript samt inline javascript, så kun hvad der absolut er lavet til den side kan udføres.

  • 12
  • 2
Rune Jensen

Iøvrigt... Man bør altid køre sikkerhedskritiske sessions i en privat browservindue. Fordi, så bliver extentions også lukket af. Det er også nemt at lære folk. Det forstår de.

Men der må simpelthen ikke være nogetsomhelst de skal gøre, som involverer noget direkte teknisk.

Dette gælder desværre også whitelists. Folk forstår det ikke, det er alt for teknisk.

  • 7
  • 0
Maciej Szeliga

...det er ingen kunst at lave et MITM angreb mod et https sikret site, bare fordi der er en hængelås betyder IKKE at sitet er sikret for det siger intet om ejeren af certifikatet eller for den sags skyld udstederen af certifikatet.
Det eneste man ved er at kommunikationen mellem browseren og serveren er krypteret og at certifikatet er udstedt til sitet.

Firewalls som checker https trafik laver i princippet et MITM angreb netop på https trafik, hvor det certifikat brugeren ser er firewallens certifikat og ikke serverens - men hey, brugeren er glad, han har jo en grøn hængelås.

Hvad skal jeg gøre for at det lykkes ? jeg skal "bare" installere et certifikat på ofrets Windows og så er jeg kørende... nu kan jeg få enhver side til at vise en grøn hængelås... oh, wait... var det ikke det Lenovo gjorde for 1½ års tid siden?

  • 5
  • 5
Poul-Henning Kamp Blogger

Det eneste man ved er at kommunikationen mellem browseren og serveren er krypteret og at certifikatet er udstedt til sitet.

...af en af flere hundrede selvbestaltede "Certificate Authorities" som Microsoft, Apple, Google eller Mozilla har bestemt vi skal stole på, til trods for at de færreste danskere ville turde købe 500 ark hvidt A4 papir med deres kreditkort.

Hvor mange danskere er klar over at deres browser fuldautomatisk og uden at fortælle dem det, stoler 100% på "TÜRKTRUST Bilgi Iletişim ve Bilişim Güvenligi Hizmetleri A.Ş." som kan tænde hængelåsen for en site der påstår at være https://grundloven.dk ?

Eller at TDC uden problemer med det samme ville kunne udstede et certifikat til en site der lager "google.dk" hvis PET eller FE har brug for det ?

Det eneste hængelåsen viser, er at nogen har betalt (beskyttelses-)penge til en CA.

  • 14
  • 4
Tobias Tobiasen
  • 4
  • 1
Christian Schmidt

Eller at TDC uden problemer med det samme ville kunne udstede et certifikat til en site der lager "google.dk" hvis PET eller FE har brug for det ?

Hvis man bruger Firefox eller Chrome, bliver man specifikt for Googles domæner reddet af den public key pinning, der er preloadet i browseren. Men det løser ikke det generelle problem.

Et forsøg på at løse problemet er DANE, men det har indtil videre ikke vundet større indpas.

  • 3
  • 0
Morten Hartvig

Det er da også en "usikkerhed", at en HTTP proxy uden videre kan afslutte SSL/TLS sessionen og lade det sidste led foregå ukrypteret uden brugerens kendskab (f.eks. tilbyder den gratis tjeneste cloudflare dette - bevares: Det er muligt at hele vejen er krypteret, men det kan også vælges fra som standard)

  • 2
  • 0
Rune Jensen

Det eneste hængelåsen viser, er at nogen har betalt (beskyttelses-)penge til en CA.

Godt klar over, hvad der menes. Men der er flere former for sikkerhed, og aldrig nogen vel, som har påstået andet end at HTPS betyder krypteret kommunikation, og ikke siger noget om troværdigheden af selve indholdet af siden.

Derfor kan et malware site også få sådan en hængelås, S VJV ja. Men det er jo det, at man går ud fra som udgangspunkt, at man allerede har valgt det korrekte domæne, og først derefter er HTPPS en egentlig sikkerhed.

Dvs. at man ikke går ind på en phishing udgave af Nordea/danske bank, men det korrekte domæne. Og så derefter er krypteringen vigtig.

  • 2
  • 0
Anne-Marie Krogsbøll

Hvem er det, der indtil nu har ført os almindelige forbrugere (der ikke forstår en dyt af de fleste kommentarer her, og derfor heller ikke kan vurdere dem) bag lyset ved at bilde os ind, at vi bare skal kigge efter hængelås (og når det går rigtigt fint til - certificater), så kan vi føle os rimeligt trygge?

Hvis det ikke er Datatilsynet, der har stået bag denne vejledende regel - hvor kommer den så fra?

Hvis det står så sløjt til med pålideligheden af den tommelfingerregel, som jeg lige nu får indtryk af, så svigter vore myndigheder åbenbart endnu engang de almindelige borgere - for vi har ikke en chance for på egen hånd at forholde os kritisk til, hvornår denne regel kan bruges eller ikke bruges. Er det mon endnu engang, fordi man tilgodeser erhvervslivets interesser i stedet for den almindelige borgers?

Spørgsmålet er ikke retorisk ment - jeg forstår simpelthen ikke, hvordan vi er havnet i denne sump.

  • 9
  • 8
Flemming Madsen

De mange thumbs down til Anne-Marie får det til at se ud, som om "almindelige" mennesker uden en højere akademisk teknisk uddannelse, ikke kan komme med spørgsmål på dette forum.
Det er endnu en lejlighed til at overveje om ikke dette anonyme thumbs up/down system burde erstattes med noget lidt mere tidsvarende.

  • 6
  • 4
Anne-Marie Krogsbøll

"»Som tidligere nævnt kan certifikater benyttes til andet end kryptering af dataudvekslingen. Derfor er informationen i browserens adressefelt og de tekstuelle advarsler ikke nødvendigvis tegn på manglende eller utilstrækkelig kryptering. Som bruger er man henvist til at sætte sig ind i advarslernes betydning, og foretage sin egen vurdering af, hvordan man bør reagere,« skriver Datatilsynet i teksten."

Jeg forstår ikke engang, hvad der står her, så gad vide, hvor mange der overhovedet nogensinde ville få købt noget, hvis de skal følge det råd - jeg ville i hvert fald ikke. De fleste, der ikke har teknisk indsigt, er nødsaget til at henholde sig til ret overfladiske vurderinger af, om det ser nogenlunde fornuftigt ud, og så håbe på det bedste.

Jeg er ikke fortaler for, at man slet ikke behøver at bruge hjernen som forbruger - man kan f.eks. undgå sider, der tydeligvis er oversat med Google. Men som kommentarerne her viser, så er det selv for fagfolk ikke let gennemskueligt, hvad der kan gemme sig bag hængelåse, certifikater eller mangel på samme (sådan forstår jeg i hvert fald kommentarerne). Og de fleste forbrugere har altså brugt sådanne som pejlemærker, når man tager stilling til, om en side er tilforladelig, for det er et råd, vi har fået fra diverse myndigheder. Men måske et dårligt råd?

  • 2
  • 0
Henrik Biering Blogger

Dvs. at man ikke går ind på en phishing udgave af Nordea/danske bank, men det korrekte domæne. Og så derefter er krypteringen vigtig.

Hr. og fru Jensen har generelt ikke en kinamands chance for at vurdere om de er gået ind på et domæne, der ejes af en given virksomhed. Den eneste mulighed for at opnå dette uden at forlade sig på diverse utroværdige CA'er som mellemmænd er at skabe en direkte association mellem virksomhed og domæne, som bl.a. indikeret i denne tråd. Det er der indtil videre teknisk belæg for at starte i Danmark, Norge, Finland og New Zealand, så det egentlig blot med at komme i gang.

  • 4
  • 0
Peter Hansen

Alt respekt til dig for at forsøge at blive klogere - og jeg kunne også godt tænke mig at vide hvorfor dine indlæg får thumbs down.


Anne-Marie har skrevet flere end 2.000 indlæg i de cirka 500 dage, hun har været medlem herinde og kan vel ikke forvente at få thumbs op for dem alle - måske mindst af alt dem, hvor der primært gives udtryk for manglende forståelse af artiklens indhold eller som bare består af en masse spørgsmål om hvad noget teknisk betyder måske senere efterfulgt af et "Tak. Det vil jeg læse op på."

  • 2
  • 7
Tonny Rabjerg

Som en virksomhed der leverer løsning til beskyttelse af browsers og trafik er jeg ofte blevet overrasket over hvor mange der blindt stoler på "hængelåsen" og hvad den står for.

Iflg statistik så sker ca 10% af alle cyber angreb i brugerens browser og de fleste af disse efter at SSL/TLS er blevet dekrypteret. SSL giver beskyttelse for angreb i sessionen, et område der trods at det er brudt kun betyder få angreb, men de fleste angreb vil ske efter at SSL er dekrypteret, dvs. i selve browseren.

Jeg mener stadig ikke at der er grund til panik og skræk kampagner, specielt ikke i Danmark, men vi skal dog være opmærksomme da det er et voksende marked for angreb og ofte ses som det svageste led i en sikkerhedsløsning.

Tiden hvor vi kunne få brugere til at installere løsninger er historie og vi må som virksomheder derfor gøre hvad vi kan for at beskytte vore kunder

  • 1
  • 0
Anne-Marie Krogsbøll

Anne-Marie har skrevet flere end 2.000 indlæg i de cirka 500 dage, hun har været medlem herinde og kan vel ikke forvente at få thumbs op for dem alle


Bestemt ikke, Peter Hansen :-) Jeg har heller ikke brokket mig (som du måske bemærker), vil bare gerne vide, om de i dette tilfælde skyldes uenighed, eller at jeg helt har misforstået noget.

Udviklingen indenfor IT er efterhånden lig med selve samfundsudviklingen. At mene, at indsigt i denne udvikling skal være forbeholdt dem, der har forstand på det, er en form for elitestyre, som meget hurtigt vil underminere demokratiet. Der har på det seneste været stemmer, der begynder at argumentere i den retning, bl.a. i Politiken http://politiken.dk/debat/premium/premium/ECE3447840/uoplyste-borgere-bo...

For mig at se en uhyggelig udvikling, som jeg agter at modarbejde.
Jeg vil derfor omformulere mit spørgsmål: Skyldes de problemer, som opridses i artiklen, at myndigheder har sovet i timen og ikke udvist rettighed omhu? Eller har vore myndigheder været på en fra starten helt umulig opgave i forhold til at sikre, at borgerne kan færdes nogenlunde sikkert i netbutikker, uden at skulle være IT-specialister?

  • 0
  • 2
Kenn Nielsen

Anne-Marie har skrevet flere end 2.000 indlæg i de cirka 500 dage, hun har været medlem herinde og kan vel ikke forvente at få thumbs op for dem alle

Såeh du mener at der findes en "gylden thumbs up/down ratio", som man skal forvente at blive jantet hen imod ??

Debatten ville blive ganske kedelig - og meget lidt givende - hvis det er forbudt at indrømme at man har problemer med at forstå et givet argument.

Personer som er ude af stand til at sige "det forstår jeg ikke" har vi i forvejen rigeligt af...

  • Og jeg ved ikke hvorfor tallet 179 lige nu står malet med grafitti på endevæggen af min frontallap..

K

  • 4
  • 1
Maciej Szeliga

Skyldes de problemer, som opridses i artiklen, at myndigheder har sovet i timen og ikke udvist rettighed omhu? Eller har vore myndigheder været på en fra starten helt umulig opgave i forhold til at sikre, at borgerne kan færdes nogenlunde sikkert i netbutikker, uden at skulle være IT-specialister?


Myndighederne har som sådan slet ikke noget at gøre med det...
Etablering af en https site foregår så'n ca.:
Ejeren af sitet genererer en csr fil på sin webserver (det er certificate sign request)
Filen sendes til en CA som er en kommerciel institution, (f.eks. VeriSign, Symantec, Comendo)
CA signerer filen med sit certifikat og gør den dermed godkendt for alle som stoler på den givne CA
...og så sendes en cer fil retur til ejeren af websitet, ejeren skal så bare lægge filen på det rette sted på webserveren og så kan han køre https.
Det er proceduren for at oprette et websted som kører https....
Når man så som bruger rammer webserveren vil man blive præsenteret for certifikatet og hvis browseren stoler på den CA som har signeret certifikatet så viser den en grøn hængelås.

Som du kan se så er der ingen steder nogen myndigheder involveret...

Hvis jeg så som systemadministrator vil sætte min proxy eller firewall til at checke https trafik (terminere SSL) så behøver jeg bare at få de Windows maskiner der er i huset til at stole på firewallens certifikat (det kan man nemt i Active Directory og det kan man for så vidt også lure brugerne til at gøre hvis det ikke er et AD) så ser brugerne en grøn hængelås og min firewall kan checke at der ikke kan sendes grimme ting gennem https.

  • 5
  • 0
Nicolai Larsen

Alt respekt til dig for at forsøge at blive klogere - og jeg kunne også godt tænke mig at vide hvorfor dine indlæg får thumbs down.

Hendes primære fokus er ikke at blive teknisk klogere på emnet, men at finde ud af om myndighederne har svigtet, hvilket også fremgår af hendes indlæg, citeret herunder. Havde det bare været for at blive klogere, men hendes holdninger er kendte.

så svigter vore myndigheder åbenbart endnu engang de almindelige borgere

Tilsvarende troede hun at den danske overvågning var total, da hun opdagede DR Ultras pauseunderholdning, som består af webkameraer fra DR's kælder. Et indlæg hun havde snuset op på Reddit, uden at nærlæse tråden.

AMK giver ofte udtryk for, at myndighederne skal holde sig langt fra privates data, og hvis myndighederne ønsker metoder for at gøre det bedre, er det en glidebane. Samtidig mener hun så også, at det er myndighedernes skyld hvis borgerne kommer i klemme. Så uanset hvad, kan myndighederne ikke gøre noget rigtigt.

Den meget ensidige fokusering på myndighedernes fejl, bliver trættende i længden. Måske er det derfor? :) Det er bare et gæt.

  • 3
  • 4
Nicolai Larsen

De mange thumbs down til Anne-Marie får det til at se ud, som om "almindelige" mennesker uden en højere akademisk teknisk uddannelse, ikke kan komme med spørgsmål på dette forum.

Nej, det er nok mere et udtryk for at hun som vanligt forsøger at finde "skyts" til hendes egen agenda - "enhver mulighed for at kritisere myndighederne", og dermed fordrejer debatten. Som det også fremgår fra hendes indlæg:

så svigter vore myndigheder åbenbart endnu engang de almindelige borgere

Og

Er det mon endnu engang, fordi man tilgodeser erhvervslivets interesser i stedet for den almindelige borgers?

Samt

at myndigheder har sovet i timen og ikke udvist rettighed omhu?

.

Det er endnu en lejlighed til at overveje om ikke dette anonyme thumbs up/down system burde erstattes med noget lidt mere tidsvarende.

Jeg tror du har misforstået de "thumbs down", selvfølgelig må man spørge for at blive klogere - men når man inddrager sin personlige irrelevante agenda, så må man forvente at folk bliver trætte af det. Uanset hvad mener jeg at det er under al kritik at de er anonyme. Det kan ikke passe, at man ikke skal stå ved sin kritik. :)

  • 3
  • 3
Bjarne Nielsen

Som du kan se så er der ingen steder nogen myndigheder involveret...

Når man som myndighed tvangsdigitaliserer en hel befolkning inkl. dem, som ellers skal have deres børnebørn til at programmere fjernbetjeningen, så har man også et stort ansvar for, at det sker på sikker vis. Og så hjælper det ikke noget, hvis man vælger løsninger, som kræver det udvidede maskinmester certifikat for ikke at tage en finger i ny og næ.

Hvis det havde været tale om et tilbud, så vil det være rimeligt at forvente at folk selv siger fra, hvis evnerne ikke rækker eller hvis de var utrygge, men der er desværre i praksis ofte tale om et påbud.

  • 3
  • 1
Maciej Szeliga

Udviklingen indenfor IT er efterhånden lig med selve samfundsudviklingen. At mene, at indsigt i denne udvikling skal være forbeholdt dem, der har forstand på det, er en form for elitestyre, som meget hurtigt vil underminere demokratiet.


Det er jeg som sådan helt enig i.... men det er ikke "OS" teknonørder der kører showet den vej, vi kan ikke sælge varen fordi den ikke er letfordøjelig og det kræver en hel del viden (eller interesse) for at forstå det.

  • 3
  • 0
Anne-Marie Krogsbøll

Tilsvarende troede hun at den danske overvågning var total, da hun opdagede DR Ultras pauseunderholdning, som består af webkameraer fra DR's kælder. Et indlæg hun havde snuset op på Reddit, uden at nærlæse tråden.


Ej altså, Nicolai - er du sød lige at finde linket til dette - så kan folk selv vurdere, hvem det var, der ikke fattede joken der - dig eller mig :-) Det vil gå betydeligt bedre med kommunikationen, hvis du trods alt ikke gør mig dummere, end jeg er, og hvis du undlader at skyde mig ting i skoene, som der ikke er belæg for. Jeg forklarede dig allerede den gang, at det pågældende link blev lagt, fordi det var så hylende morsomt, at andre også skulle have glæde af det. Måske er det din humoristiske sans, det kniber lidt med?

Uanset hvad jeg skriver, så giver du mig - så vidt har jeg da luret dig - thumbs down - simpelthen fordi du er uenig i mine holdninger til privacy og persondata. Når du ser mit navn, ser du rødt, fordi du selv arbejder med forskning i persondata, og derfor føler dig truet. Helt i orden, det har jeg vænnet mig til, og det ville være mærkeligt, hvis der ikke var nogen, der reagerede negativt på mine ret skarpe holdninger til det emne.

Mht. at blive klogere på det tekniske, så er jeg bestemt blevet meget klogere undervejs - men jeg må også tit give op, og erkende, at dette ikke er mit område, ud over at IT i et eller andet omfang efterhånden bør være alles område, fordi det i så høj grad er blevet styrende for samfundsudviklingen.

Den meget ensidige fokusering på myndighedernes fejl, bliver trættende i længden. Måske er det derfor? :)


Ja, der har du nok ret - som sagt har jeg efterhånden oparbejdet skarpe meninger på det punkt - belært af diverse sager. Det kan sikkert irritere nogen. Jeg har dog indtryk af, at jeg på det punkt har mange meningsfæller herinde.

Men spring dog mine indlæg over, Nicolai - det er ganske enkelt at gøre.

  • 3
  • 0
Anne-Marie Krogsbøll

Det er jeg som sådan helt enig i.... men det er ikke "OS" teknonørder der kører showet den vej, vi kan ikke sælge varen fordi den ikke er letfordøjelig og det kræver en hel del viden (eller interesse) for at forstå det.


Nej, det er jeg klar over, det er dårligt formuleret af mig, hvis det kommer til at fremstå som en anklage i den retning, Maciej - jeg fornemmer en del bekymring blandt jer også over udviklingen.

  • 1
  • 0
Anne-Marie Krogsbøll

Jeg tror du har misforstået de "thumbs down", selvfølgelig må man spørge for at blive klogere - men når man inddrager sin personlige irrelevante agenda, så må man forvente at folk bliver trætte af det. Uanset hvad mener jeg at det er under al kritik at de er anonyme. Det kan ikke passe, at man ikke skal stå ved sin kritik. :)


Både enig og uenig, Nicolai.
"irrelevant" kan der jo være forskelligt syn på - måske har jeg ramt forkert i denne kommentartråd, i så fald beklager jeg (det forekommer mig nu selv relevant) - men "thumbs Down" siger nu engang ikke noget om, hvad det er folk reagerer på. Det kan jo være så meget. Så hvis det skal have en opdragende effekt, så må det uddybes med lidt forklaring . Fint nok, at du så giver et bud her - jeg tager det med i mine overvejelser frem over.

Jeg kan så se, at jeg har gjort dig lidt uret. Jeg troede faktisk, at du stod bag den ene konsekvente thumbs Down, jeg plejer at få - men det er så ikke tilfældet?

Mht. kritik af myndighederne: Forummet her er en kærkommen mulighed for mig for at få et andet syn på det "spin", som tit kommer ud fra officielt hold vedr. diverse forhold, inkl. IT-udvikling, for herinde er der jo faktisk fagkundskab, som har insiderviden om mange af disse emner. Og det hænder faktisk, at jeg bliver beroliget mht. myndighedernes indsats - selv om jeg oftere bliver skuffet eller bekræftet i fornemmelsen af, at der er en del vi borgere ikke får at vide.

  • 0
  • 0
Finn Thøgersen

Nogen anbefalinger af værktøjer til intelligent oprydning i certifikatjunglen i firefox/chrome/... ?

Manuel gennemgang virker lidt som en march på stedet, ikke mindst pga de mange indbyggede der ikke kan slettes...

Fx noget der udfra region/brugerprofil/... laver en white/grey/blacklist

  • 0
  • 0
Nicolai Larsen

Ej altså, Nicolai - er du sød lige at finde linket til dette - så kan folk selv vurdere, hvem det var, der ikke fattede joken der - dig eller mig :-)

Haha. Der var intet i dit indlæg der indikerede en "joke", det plejer man at gøre, som jeg kan se du godt kan finde ud af, med en smiley eller bemærkning om ironi. Det var først efter det gik op for dig, hvad det reelt gik ud på, at du brugte den velkendte taktik med at kalde din fejlagtige udtalelse for en joke, og du fulgte da op med at påstå jeg ikke havde forstået joken, selvom jeg kommenterede du ikke havde forstået den. Det forsvar virker altid, i stil med konspirations-teorier, fordi man bringer tvivlen ind. Men som nævnt, jokes er enten tydelige eller påført en smiley. Som du kan se, er dit indlæg ikke i den kategori:


Kan ikke nære mig...

...for at gøre opmærksom på, at også i udlandet undrer man sig over den omsiggribende brug af overvågningskameraer i Danmark:

https://www.reddit.com/r/Denmark/comments/40untv/wtf_is_up_with_your_nig...


Generelt er der flere forkerte end rigtige i dit indlæg. Jeg arbejder ikke i det felt du beskriver, og jeg følger sjældent dine indlæg - men jeg synes det er ærgerligt at du benytter enhver mulig lejlighed herinde, til at fordreje mod din politiske agenda. Selv når det ikke har noget med myndighederne at gøre, stiller du stadig spørgsmålet "har myndighederne svigtet?" i håbet om at du kan samle mere til bitterheden.

Ja, der har du nok ret - som sagt har jeg efterhånden oparbejdet skarpe meninger på det punkt - belært af diverse sager. Det kan sikkert irritere nogen. Jeg har dog indtryk af, at jeg på det punkt har mange meningsfæller herinde.

"Skarp" bliver det først når man ved hvad man snakker om. At du har mange meningsfæller herinde, når du snakker imod systemet, er slet ikke mærkeligt. Der er ret mange sølvpapirhatte herinde, ligeså vel som du finder hash-tilhængere på Christiania. Men er du så usikker, at du er nødt til at drage andre ind for at støtte din politiske agenda?

Men spring dog mine indlæg over, Nicolai - det er ganske enkelt at gøre.

Jeg må foreslå dig at følge hvad du prædiker, fremfor at gøre dig til dommer over hvad andre skal.

  • 2
  • 2
Nicolai Larsen

Så hvis det skal have en opdragende effekt, så må det uddybes med lidt forklaring . Fint nok, at du så giver et bud her - jeg tager det med i mine overvejelser frem over.

Men alligevel anbefaler du mig at springe dine indlæg over? Modsiger du så ikke dig selv nu?

Jeg kan så se, at jeg har gjort dig lidt uret. Jeg troede faktisk, at du stod bag den ene konsekvente thumbs Down, jeg plejer at få - men det er så ikke tilfældet?

Nej, som regel springer jeg dine indlæg over, for de er alt andet end relevante. Og jeg kan altså heller ikke trykke på "thumbs down" 8 gange, så måske du skulle kigge lidt indad? Jeg tænker også, at jeg heller ikke er den eneste der for det meste bare ignorerer dine indlæg, så at du ikke får flere thumbs down behøver ikke at betyde at du har ret. Man ved jo også, at når man modsiger en sølvpapirhat, at så får man "thumbs down" fra alle de andre hatte, så ofte gider man ikke. Det er heller ikke uden grund, at Version2 også går under navnet "Versionen".

Men der er mange gode debatter du har decideret ødelagt med din evindelige politiske jagt efter skyts mod alt hvad det offentlige gør.

selv om jeg oftere bliver skuffet eller bekræftet i fornemmelsen af, at der er en del vi borgere ikke får at vide.

Du ved godt at vores samfund er et tillidsbaseret samfund? Det er nu en gang den måde vi har valgt at bygge det op på. Ikke dermed sagt at man skal være ukritisk.

Men hvordan kan du vide, at der er en del borgerne ikke får at vide? Hvis de ikke har fået det at vide, hvordan kan du så vide det? Er det fordi at nogle får det at vide, bare ikke alle? Er det fordi du bare ikke selv opsøger det der er at vide? Eller måske forstår du det ikke? Det er jo ret naturligt, at man ikke bombarderer folk med informationer de ikke forstår alligevel. Der er vi jo så heldige, at vi har et af verdens mest åbne systemer, så hvis du vil vide, kan du få at vide. Så ingen grund til at du igen drejer det over på konspirationsteorier om at borgerne bliver holdt i uvidenhed.

  • 0
  • 3
Anne-Marie Krogsbøll

Kan ikke nære mig...

...for at gøre opmærksom på, at også i udlandet undrer man sig over den omsiggribende brug af overvågningskameraer i Danmark:

https://www.reddit.com/r/Denmark/comments/40untv/wtf_is_up_with_your_nig...


https://www.version2.dk/artikel/politiet-derfor-gemmer-vi-ogsaa-billeder...

Hvad er det her, du ikke fatter, Nicolai (og som flere andre så ud til at fatte dengang) ? Er det ikke ret indlysende, at det er en joke - endda en fantastisk god joke? Men du har ret - af hensyn til dig burde jeg have inkluderet smileyen, så du også kan grine med :-) Det glemmer jeg ikke næste gang.

Jeg arbejder ikke i det felt du beskriver

Siden du nu har så afslappet et forhold til persondata, inkl. vores andres, kunne du så ikke oplyse, hvad du så faktisk laver? Eller er det for privat?

Men der er mange gode debatter du har decideret ødelagt med din evindelige politiske jagt efter skyts mod alt hvad det offentlige gør.


Sammen med de andre sølvpapirshatte? :-) For ellers er det da lidt af en præstation helt alene.
Iøvrigt jagter jeg ikke det offentlige, som jeg faktisk holder meget af - jeg er utilfreds med den linje, der presses ned over det offentlige oppe fra, som faktisk ødelægger det gode offentlige system, vi havde engang.

Men hvordan kan du vide, at der er en del borgerne ikke får at vide?


Det kan jeg vide, fordi der jævnligt er folk herinde, der fortæller om den slags. Og fordi det jævnligt kommer frem i andre medier.

Humlen er nok, at jeg er meget kritisk overfor den udvikling, som samfundet er på vej ind i i øjeblikket - og det provokerer dig åbenbart, fordi du går ind for den udvikling. Du kritiserer mig for, at mine holdninger er velkendte, og derfor bør jeg klappe i - mener du ikke, at dine holdninger er enddog særdeles velkendte?

Hvor meget krudt har du ikke brugt på mig i denne tråd? Er det relevant i forhold til artiklens emne? Nej vel? Men den har du måske ikke noget at bidrage med i forhold til?

  • 0
  • 0
Morten Sørensen

Må jeg i denne forbindelse slå et slag for Subresource Integrity, forkortet SRI, som er en blændende metode til stadig at sikre levere data, hvis man ikke stoler 100% på den grønne hængelås. Ved at hashe en fil og lade browseren sammenligne hashværdien, så sikrer man at filen rent faktisk er den fil man søger, og ikke en kompromiteret fil som en hacker har pillet ved.

Vi bruger det på en privat CDN, der leverer alt fra CSS frameworks og web-skrifttyper, til JS-libraries og banale ting som f.eks. jQuery. På denne måde sikrer vi os, at selvom vores SSL forbindelse er sikker, så kan en hacker sagtens have været inde forbi og pille ved f.eks. Bootstrap, så vi henter malware ned i stedet. Men med SRI, så rejecter browseren simpelthen filen, hvis hash'en ikke passer, og der er ingen skade sket.

Det er heldigvis ikke sket endnu, men det skader ikke at være et skridt mere sikker.

PS: Det er selvfølgelig ikke supporteret i IE

  • 2
  • 0
Maciej Szeliga

Kan du uddybe det? Jeg har aldrig set det på en privat computer. Din browser vil jo netop brokke sig hvis firewallen laver MITM. Men måske du snakker om enterprise computere?


Jeg taler om enterprise løsninger men det er i princippet ikke noget som ikke kan gøres hvor som helst... det kræver ikke noget andet end proxy software og et certifikat. Det kan køre på samme maskine som brugerens/ofrets browser, f.eks. kunne man lokke brugeren til at installere det her coole sikkerhedssoftware som gør at alle sider kører https ;-)

  • 0
  • 0
Christian Schmidt

Det kan køre på samme maskine som brugerens/ofrets browser, f.eks. kunne man lokke brugeren til at installere det her coole sikkerhedssoftware som gør at alle sider kører https ;-)

Hvis en ondsindet trejdepart har været i stand til at installere certifikater eller andet på din computer, kan du ikke stole på noget som helst. Det samme gælder, hvis du ikke har fuld kontrol over din computer men er underlagt en ondsindet eller inkompetent it-afdeling. Det kan hverken HTTPS eller nogen anden sikkerhedsmekanisme ændre på.

Hvis du befinder dig i en sådan uheldig situation, er et tvivlsomt hotel-WiFi (som omtalt i Datatilsynets vejledning) næppe din største bekymring.

Lad os nu ikke gøre HTTPS værre, end det er. Selvom det tillidsbaserede system er flosset i kanten, er det (mig bekendt) i praksis ikke muligt at købe falske certifikater på gadehjørnerne (medmindre man er en efterretningstjeneste eller har meget dybe lommer). Er du privat bruger med kontrol over egen maskine, vil jeg mene, at hængelås-ikonet er en rimelig god indikator for, at du har fat i den server, der står i adressefeltet, og at forbindelsen er krypteret. Men det er selvfølgelig ingen 100% garanti. En sådan garanti kan ikke gives.

  • 1
  • 0
Christian Schmidt

Jeg går ud fra at det er Microsoft, Google, Apple og Mozilla du mener ?

Nej.

Din pointe er velsagtens, at man ikke være 100% sikker på, at de nævnte firmaer ikke fifler med HTTPS-verifikationen, evt. under ordre fra en efterretningstjeneste eller lign.? Det er korrekt, hvilket jeg også skriver. Hvis Google er ude på at tage røven på en Chrome-bruger, kan de gøre det på mange andre måder end via falske certifikater.

Er jeg bekymret for, at Google misbruger min tillid til at aflure min netbankkode eller mine lumre beskeder til min elskerinde? Nej. Men hvis jeg var eftersøgt for terrorisme, ville jeg da sikkert se anderledes på sagen. I den situation bliver man nok nødt til helt at undlade at bruge browsere og computere i det hele taget uanset leverandør.

  • 3
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize