Uofficiel app syncher e-Boks-dokumenter uden brug af NemID

Illustration: e-boks
Ny open source-app kan videresende e-Boks-dokumenter til en mappe på din computer helt uden brug af NemID.
33

Den danske it-udvikler og partner i det københavnske app-udviklingshus Shape Ole Gammelgaard har frigivet en app med navnet ‘Postboks’ på open source-communitiet Github. Appen synkroniserer dokumenter fra din e-Boks og direkte til en mappe på din MAC, uden at du først behøver logge ind med NemID.

Appen er ikke godkendt af e-Boks, og Ole Gammelgaard gør da også tydeligt opmærksom på over for Version2 og på sin Twitter-profil, at brugen af appen er på eget ansvar. Ikke desto mindre er appen blevet taget godt imod af følgerne på Ole Gammelgaards Twitter-profil og på siden Macbay, hvor nyheden også er lagt op.

Bare for sjov

Det er over halvandet år siden, at Ole Gammelgaard udviklede appen. Egentlig var den bare tænkt til at være til ham selv.

»Jeg lavede den bare for sjov, fordi jeg selv savnede, at mine e-Boks beskeder blev videresendt til min computer,« fortæller han.

Men appen blev hurtigt populær blandt venner. Ole Gammelgaard besluttede sig derfor for at gøre den lidt pænere og lægge den ud som et open source-projekt.

»Det er superfedt at se, at så mange andre også har fundet den brugbar og har været inde på Github og lavet ‘pull request’ på projektet. Det betyder, at der blive videreudviklet og lavet forbedringer på det,« fastslår han.

Virker også i Sverige

Ole Gammelgaard har ikke kendskab til at nogen har skrevet Postboksen om til pc, men det kan nemt lade sig gøre, fortæller han.

Appen fungerer som en menubar-applikation, der kører i baggrunden på computeren og tjekker e-Boks-API´en en gang i timen.

»Efter at Postboks-appen er installeret på en computeren, skal du hente og indtaste en aktiverings-kode mage til den, du skal bruge, når du installer e-Boks' mobilapp. Herefter henter Postboks-appen dokumenterne direkte i e-Boks via API´en fra e-Boks' mobilapp,« forklarer Ole Gammelgaard

På Github kan man hente kildekoden til appen, og på Macbay beskriver brugerne den som lige så sikker som e-Boks' egen app med NemID.

Ifølge brugerne på Twitter virker appen også på den svenske udgave af e-Boks og muligvis også den norske.

Ikke sikker nok for e-Boks

Ole Gammelgaard har været i dialog med e-Boks omkring sin Postboks-app. Men hos e-Boks vil man af sikkerhedsmæssige grunde ikke tilbyde videresendelse af beskeder.

»Vi ser e-Boks som noget andet end en almindelig e-mail-kanal. Mange beskeder i e-Boks indeholder følsomme oplysninger, der ikke egner sig til at blive sendt til Google i stor stil,« siger Erik Abildgaard Knudsen, nordisk produktdirektør hos e-Boks.

Erik Abildgaard Knudsen forklarer, at e-Boks er konstrueret til at være en kanal, hvor der er sikkerhed fra afsender til modtager om, at dokumentet er modtaget, og at der kan sendes følsomme oplysninger. Samtidig er e-Boks mere end bare beskedudveksling, da der også er indbygget underskrift-funktioner m.v.

App for egen regning

På spørgsmålet om, hvad e-Boks tænker om Ole Gammelgaards open source-app, siger Erik Abildgaard Knudsen:

»Det vil jeg meget nødigt tænke alt for meget om. Det må stå for Ole Gammelgaards egen regning. En væsentlig driver for os er at gøre det så godt og sikkert for borgeren som muligt, og derfor tilbyder vi ikke at videresende dokumenter automatisk.«

Det er i dag muligt at videresende dokumenter fra e-Boks. Men der er noget du selv aktivt skal gå ind i din e-Boks og gøre for hvert enkelt dokument, du ønsker at videresende. Erik Abildgaard Knudsen afviser, at e-Boks-systemets log-funktion over brugernes aktivitet har noget med sagen at gøre.

Opdateret: Ordet illegal er ændret til uofficiel i artiklens overskrift, da uofficiel vurderes at dækker artiklens indhold bedre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (33)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Stricker

Vi ser e-Boks som noget andet end en almindelig e-mail kanal

Tænk, det gør vi brugere sandelig også. Det er nok grunden til, at Ole Gammelgaards app har fået så mange brugere.

e-Boks er konstrueret til at være en kanal, hvor der er sikkerhed fra afsender til modtager om, at dokumentet er modtaget

Og det har man så klaret med et juridisk fif, hvor man definerer dokumentet som værende modtaget i det øjeblik, det er afsendt. Det er sandelig en smart måde at få sikkerhed for modtagelse på.

Bo Nørgaard

E-Boks laver et API, der er sikkert nok til deres egen App på iOS.

Ole bruger samme API til en App på OSX, og nu er det ikke sikkert længere...

... fordi nogle informationer "ikke egner sig til at blive sendt til Google i stor stil"?

"Appen syncer dokumenter fra din e-Boks og direkte til en mappe på din MAC" - hvor er det lige at Google bliver blandet ind i det?

Allan S. Hansen

Nu har jeg ikke tjekket koden til app'en, men det forekommer mig noget mistænkeligt og underligt at e-Box ikke synes det er sikker nok til at sync'e dokumenter UDEN brug af NemID men stadig har et API til at kunne gøre det?

Hvis de har et API hvor det er muligt, som kan tilgås offentligt, så må det også enten være meningen nogle/noget skal bruge det uden NemID, eller også at de har et kæmpe sikkerhedshul?
Og hvis det skal være muligt at sync'e uden NemID, så må de apps vel være lige så usikre som denne iflg. e-box?

Emil Stahl

Sjovt nok var det planen at de skulle tilbyde videresendelse her engang i 2016.
Man kan i dag videresende via hjemmeside og app manuelt (uden den mindste form for kryptering).
Virksomheder kan videresende automatisk med S/MIME.

Kender produktdirektøren overhovedet deres produkter??

Forresten, hvorfor handler hans udtalelser om videresendelse. Har journalisten og produktdirektøren misforstået appen?

Mikkel Kruse Johnsen

Det er godt lavet.

Jeg har ellers lige opdaget at man kan tilgå sin e-boks fra sin Danske bank app. Dvs. jeg kan logge ind på Danske bank appen med fingeraflæsning og komme direkte ind i e-boks der fra, uden alt det bøvl med login fra e-boks. Men der er visse filer der ikke kan læses på en mobil, f.eks. periodisk syn af bil.

Her er dette program fedt, da den henter alle PDF'er ned på computeren. (Overvejer om jeg skal synce direkte til Dropbox).

Så lige at min bil skal synes inden 9. feb.

Så dette program sparede mig måske for 2000 kr i bøde. Tak :)

Emil Stahl

Man kan undre sig over at produktdirektøren ikke nævner at Postboks og brugerne af appen bryder Slutbruger licensvilkår for anvendelse af e-Boks App?

Du må ikke søge at udlede sourcekoden, modificere, eller skabe afledte værker (derivater) af denne App.

Enhver overtrædelse af disse anvendelsesvilkår og/eller overtrædelse af den danske ophavsretslovgivning vil automatisk ophæve din ret til at anvende App'en i henhold til disse anvendelsesvilkår. Ud over at ophæve din ret til at anvende App'en, kan enhver overtrædelse af disse anvendelsesvilkår og/eller overtrædelse af den danske ophavsretslovgivning medføre retlige skridt imod dig.

Jesper Kleis

Det kunne også være at E-post skulle have lært noget af post væsenet.

Der har de anbefalede breve og almindelige breve. Anbefalede breve er lidt mere besværlige for afsender og modtager og kunne med fordel kræve login i et lukket miljø.

Tilgengæld er de resterende breve mindre problematiske, og her kunne man jo tilbyde muligheden for automatisk download.

Det kunne jo også være ret praktisk med notifikationer når man fik ny post (alså ikke i gennem email). Søgning i pdf dokumenterne (men det kan man jo klare med download app'en). Eller hvad med at hvis man åbner et brev der kun har et pdf dokument inden i, simpelthen åbner det dokument med det samme, i stedet for at lade brugeren gøre det.

Deruodover vil jeg oftest gerne se det næste ulæste dokument - hvad med en genvej til det?

I øjeblikket er jeg dog ligeglad, jeg bruger Postboks app'en med største fornøjelse.

Lars Buur

428 dokumenter synkroniseret og indekseret så jeg er glad.

Det er skræmmende hvor mange leverandører af app´s som tænker/tror at bare man kommunikerer via en app så er det sikkert - og man behøver ikke at tænke synderligt over sikkerhed.

Hvis man som udvikler vil kigge en app´s kommunikation over "skuldrene" skal der blot to værktøjer til på en mac. SquidMan som proxy og Packet Peeper til at kigge netværkspakkerne igennem. Så kan du blot sætte din telefon til at bruge din Mac som gateway.
Det giver mening at lukke alt unødigt ned så der er så lidt trafik som overhovedet muligt.

En udbyder af en app til at gemme sportsresultater har pt. et kæmpe hul som gør at man kan hente hele databasen på over 500.000 brugere inkl. adresse, telefon etc. Jeg skrev til dem for over tre måneder siden og foreslog at de rettede det - men de vurderede at det ikke rigtig var noget problem….. suk.

Povl H. Pedersen

Det er meget let, man beder om dokumentation så man kan gøre eBoks kompatibel med sin "sync" app. Hvis man ikke får det, så har man en ret der ikke kan opgives, til at lave eller få lavet reverse engineering af koden.

Alt software må reverse engineers med henblik på at gøre det kompatibelt med et eller andet, medmindre man kan få de nødvendige oplysniger fra softwarefabrikanten for en rimelig pris. Denne ret kan ikke opgives ved aftale.

kenneth krabat

Rigtig God Idé - den failer desværre bare. Oprette mobilkode på e-boks.dk, indtaste data i app, manuel sync via menuikon, 10 sekunder senere failer update?

EDIT: Ah, IKKE acceptere forslaget om mappe(navn) at gemme downloads i UDEN først at oprette en mappe med det foreslåede navn...

Jonas Andersen

Der bliver brugt HTTPS til al kommunikation.
Så forbindelsen er sikker.
URL hvortil al trafik går er: https://rest.e-boks.dk
Kig evt selv igennem herinde hvad den gør.
https://github.com/olegam/Postboks/blob/master/Postboks/API/APIClient.m
Her står alle de URL's som der bliver lavet requests til.

Jeg kunne ikke forestille mig at deres app gør så meget andet end hvad dette program gør.

Jan Heisterberg

Ak ja, JOURNALIST René Kornum skriver sin forklaring.....

Den Danske Ordbog skriver: "illegal - som handler, sker eller på anden måde er i strid med et lands love fx om person, foretagende eller handling".

Mon der er love som omhandler e-boks ?

"E-boks", som er en virksomhed, kan have nogle forretningsvilkår .....
Men det er sjældent, at noget som er umiddelbart tilgængeligt, kan belægges så restriktive vilkår (kopi beskyttelse er eet af de få, gældende, vilkår efter Dansk ret).

Det betaler sig, også for journalister, at lave bare lidt reserch = slå op i en ordbog.

Bent Jensen

Lånte Pop3 server, og satte konto op i Thunderbird.
Sparet mig for særdeles meget tid, da jeg nu kan søge i tingene til regnskab,

TAK for det. Det er ikke brug for at betale Eboks for at lave flere ting.
Angående sikkerhed. Når afsender kan gå ind og ændre i afsendte beskeder, og E-boks fumler rundt, og ikke får lavet selv det simpleste. Så er brug af kode og brugernavn via en mail server ikke det værste.

Der er jo også stadig 2 faktor, der skal bruges til underskrift og ligende, så det svare bare til at have sin åbne breve ligende frit fremme.

https://github.com/dk/Net-Eboks

Michael Cederberg

Nu har jeg ikke tjekket koden til app'en, men det forekommer mig noget mistænkeligt og underligt at e-Box ikke synes det er sikker nok til at sync'e dokumenter UDEN brug af NemID men stadig har et API til at kunne gøre det?

e-Boks egne apps er beskyttet af en simpel pinkode eller fingeraftryk. Ydermere gemmes credentials sikkert i det mobile device. Det betyder at der er en form for sikkerhed omkring tilgang til dokumenter i e-Boks når man bruger deres apps. Ikke fantastisk sikkerhed, men en smule sikkerhed.

Hvis først dokumenterne sync'es lokalt, så er de tilgængelige for alle der måtte hacke computeren. Det er de nu også hvis man har downloadet dem manuelt.

Hvis de har et API hvor det er muligt, som kan tilgås offentligt, så må det også enten være meningen nogle/noget skal bruge det uden NemID, eller også at de har et kæmpe sikkerhedshul?

Selvfølgeligt er det ikke et sikkerhedshul. e-Boks har kun kontrol over hvad der sker på deres egne servere - ikke hvad der sker på kundens device. Deres apps skal snakke sammen med deres servere og det sker gennem en form for API'er. Disse API'er er rent teknisk tilgængelige for alle for alt hvad der sker på brugernes devices er i princippet muligt for brugerne selv at emulere (som det er gjort i dette tilfælde). Det betyder bare ikke at det er lovligt.

Jailbreak er også illegalt fordi Apple ikke kan lide det. Nej vel?

Dit apple eksempel handler om at tage en device du har købt og bruge på en anden måde end det var tiltænkt fra leverandøren. Dette handler om at tilgå en service der er udstillet på internettet på en anden måde end det var tiltænkt. Det falder nemt ind under hacking.

Jeg håber nogen, der kan gennemskue koden, kan svare på om cprnr, password og aktiveringskode er krypteret, når det sendes ud på nettet.

Hvis de blot har en smule hjerne, så ligger hverken CPR, password eller aktiveringskode lokalt eller skal sendes hver gang der synkroniseres. I stedet vil man typiske vælge en slags cookie der genereres første gang man logger på. Denne vil naturligvis sagtens kunne flyttes et andet sted hen, men der er forskel på at kunne synkronisere og på at kunne udgive sig for at være en anden (fx. logge ind og signere et dokument). "Cookien" vil kun kunne bruges til at synkronisere.

Log ind eller Opret konto for at kommentere

88 partier opstillet i hullet valgsystem: »Rent wild west«

8

Lancering af Aula udskudt: Mest for at forbedre overskuelighed i beskedmodul

1

Data om indsatte går tabt på grund af it-fejl hos Kriminalforsorgen

0
I samarbejde med jobfinder logo - Danmarks største job- og karrieresite for ingeniører og it-professionelle.
Mest debatteredeMest læste
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Webinar: Sådan får du med datavask fuldstændig styr på dine Cisco-serviceaftaler
Whitepaper
Whitepaper
How to drive GDPR compliance with vulnerability management
Webinar
Webinar
Lær hvordan din it-afdeling effektivt kan standardisere og automatisere processer i SMV'er
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder