NemID-login får forældre til at boykotte ForældreIntra

Forældreintra er under alle omstændigheder så stort, besværligt og bringer alt for mange unødvendige funktioner til forældrene, når det eneste man egentligt skal bruge det til er en informationstavle og evt. uploading af hold til dagens rundboldspil.

Det var vel egentlig også sådanne problemer at Google Wave var designet til at løse. Måske er det bare ikke nemt at få masserne til at kommunikere sammen, siden vi stadig sender oldnordiske emails?

Forældreintra er virkeligt grimt og besværligt og giver ikke ret meget værdi, men det mest irriterende er da næsten at man får et mærkværdigt login, som man hele tiden glemmer. Jeg ville synes brugen af NemID er en forbedring, men den mulighed er vidst desværre ikke tilgængelig i Høje Taastrup.

Emailsystemet fungerer, og da det hænger sammen med skolens øvrige registringer, og derfor bliver ajourført, kan det ikke umiddelbart erstattes af email.

Der er adgang til klasselister og telefonlister, der sandsynligvis er opdaterede, uden at de oplysninger er til rådighed for hele verden og Google...

Du kan sende mail til Karoline fra 6B's forældre, uden at "rigtige" emailadresser er involveret, eller at nogen glemmer at skrive emailadresser i BCC-feltet, så adresserne havner på en virusbefængt maskine og bliver fisket til spam.

Telefonnummer og en selvvalgt kode til adgang, husket af browseren, ville være det bedste.

Så længe forældrene ikke er pålagt tavshedspligt, men kan hænge elevplaner op på opslagstavlen i Brugsen, hvis de vil, giver det ikke mening at kræve et nemid-sikret adgang.

Til de, der har adgang til manges oplysninger, og måske endda kan ændre i dem, er det selvfølgelig anderledes.

Nogle banker kan give adgang til at læse med kun Nemid login og password, uden pinkode, først når der skal rettes/betales, kræves pinkode. Hvis der endelig skal bruges Nemid i forældreintra, var det måske en metode, der kunne bruges.

men det mest irriterende er da næsten at man får et mærkværdigt login, som man hele tiden glemmer.

A: Mit login er mit telefonnummer efterfulgt af et bogstav, det er da til at huske.

B: Kodeordet vælger man selv.

C: Browseren husker det for mig; jeg skal kun huske passwordet til at logge ind på windows med.

Jeg er ikke helt klar over, hvor sikker "tredjeparts"-implementeringer af NemID er. Jeg mener, hvad forhindrer en hjemmeside i at udvikle en Java-applet, som opfører sig ligessom NemID's, men som i stedet stjæler din kode? Er det en reel mulig risiko?

Ja, for det første er NemID's java applet jo signeret af DanID, og det vil deres egenudviklet applet jo ikke være. For det andet, skal de vide hvilken kode de skal spørge efter på brugerens papkort.

Der er sikkert en helt masse andre gode grunde til, at det ikke lige umiddelbart lader sig gøre, men det var bare de åbentlyse, som lige faldt mig ind.

Ja, for det første er NemID's java applet jo signeret af DanID, og det vil deres egenudviklet applet jo ikke være.

Hvordan checker jeg at den applet som jeg modtager har den korrekte signatur? Ved https kan jeg checke SSL certifikatet. Det kan jeg ikke ved indlejret https som 3D Secure eller ved java appletter (som NemID).

Hvis du kan gennemføre et angreb med en usigneret applet, vil alle browsere loade den uden at spørge.

Af sikkerhedshensyn ville jeg foretrække at blokere java i min browser, men det er ikke muligt på grund af NemID.

Hvordan checker jeg at den applet som jeg modtager har den korrekte signatur? Ved https kan jeg checke SSL certifikatet. Det kan jeg ikke ved indlejret https som 3D Secure eller ved java appletter (som NemID).

Du kan sætte din browser op til altid at spørge om bekræftelse før den kører en applet.

Hvis du kan gennemføre et angreb med en usigneret applet, vil alle browsere loade den uden at spørge.

Hvis den så ikke spørge om tilladelse til at køre appleten, ved du at den ikke har været signeret.

Du kan sætte din browser op til altid at spørge om bekræftelse før den kører en applet.

Og ihukommende at NemID er proppet ned i halsen på Hr. og Fru. Danmark, er det så ikke en lidt naiv betragtning?

Tværtimod så luller hele NemID konstruktionen folk ind i en falsk sikkerhed, hvor de for at gøre ondt værre ukritisk bare siger jaja hver gang de ser en advarselsboks, ud fra devisen det-ved-vi-ikke-noget-om-så-det-er-sikkert-helt-ok.

Hvis den så ikke spørge om tilladelse til at køre appleten, ved du at den ikke har været signeret.

Ja og det er sikkert en farbar vej for måske halvtredstusinde personer her i landet - de resterende 2.950.000 fatter hat.

Du kan sætte din browser op til altid at spørge om bekræftelse før den kører en applet. Og ihukommende at NemID er proppet ned i halsen på Hr. og Fru. Danmark, er det så ikke en lidt naiv betragtning.

Jeg kan ikke se, hvad de to ting har med hinanden at gøre?

Ja og det er sikkert en farbar vej for måske halvtredstusinde personer her i landet - de resterende 2.950.000 fatter hat.

Som den opmærksomme læser vil have bemærket, så skrev jeg indledningsvis, at det bare var de åbentlyse grunde, som faldt mig ind. Nu er dine tal jo også helt i skoven, da den det scenarie vi tale om her, jo kun er relevant for NemID med OCES certifikat, og til trods for at der er omkring 3M NemID i omløb, så er det kun en brøkdel, der har OCES delen tilknyttet.

Forældreintra er virkeligt grimt og besværligt og giver ikke ret meget værdi, men det mest irriterende er da næsten at man får et mærkværdigt login, som man hele tiden glemmer.

Jeg kan følge dig på grimt og besværligt og ikke ret megen værdi, men jeg kan ikke følge dig på login. Muligvis er der forskellige login i forskellige kommuner? Jeg kan i hvertfald se, at der er nogle der taler om telefonnumre i tråden.

Mit login er af formatet "Fi123b". Fi for Forældreintra skulle nok være til at huske. b'et fordi hun bor hos sin mor og ikke hos mig giver også sig selv. Det giver alt i alt blot et trecifret tal at huske. Password'et kunne man selv vælge, og med et passende som "3ssdvhfk" eller lignende forbogstaver fra en dansk børnesang, skulle det vel også være til at huske?

...så er det kun en brøkdel, der har OCES delen tilknyttet.

Ja... for husk nu at vi blev højt og helligt lovet at det var absolut frivilligt (spejderære) om man ville have OCES til sit NemID.

Nu kan vi jo se at det er det skam også - hvis man altså vil undvære skatte-fradrag for løn til håndværker-ydelser, personregistrering af sit barn udenom folkekirken - og nu altså også forældreintra.

Login som standard står systemet til at generere brugernavne sådan "de første 3 bogstaver af fornavnet + de første 3 bogstaver i efternavnet + evt. et tal" De to skoler jeg har leget med, har valgt at læse lidt videre i vejledningen "Det er muligt, hvis skolen ønsker det, at bestemme brugernavne bestående af tlf.nr. Det gøres under Admin > ForældreIntra > Adgang til ForældreIntra."

Jeg kan ikke lige finde teksten, men jeg kan huske at systemet som standard har mor som "eget tlf"+a og far som "eget tlf"+b evt ekstra værge er vist "eget tlf"+c

Web skidt Jeg er stadig træt af at man skal bruge et webinterface for at se sin mail (og forskellige sider for hvert barn) kunne man få lov at hente sin post med noget standard secure imap/pop3?, (ellers kunne de i det mindste lade være med at slette ens beskeder efter 3 måneder.)

Jeg læser primært min mail på en lille smartphone webinterface mail var noget jeg forlod i forrige årti.

Ja... for husk nu at vi blev højt og helligt lovet at det var absolut frivilligt (spejderære) om man ville have OCES til sit NemID.

Nu kan vi jo se at det er det skam også - hvis man altså vil undvære skatte-fradrag for løn til håndværker-ydelser, personregistrering af sit barn udenom folkekirken - og nu altså også forældreintra.

Nu kender jeg intet til forældreintra, så der må jeg være dig svar skyldig, men for de øvrige sider du henviser til, er der jo intet (endnu i hvert fald) der forhindrer dig i at anvende den gamle digitale signatur. Det er stadig muligt at forny den. Jeg gjord det selv så sent som for to uger siden. Jeg mener endda at have læst for nyligt, at det faktisk stadig er muligt at bestille den gamle signatur også.

Og faktum er altså, at det kun er en brøkdel af de udstedte NemID, som har OCES delen tilknyttet. Den seneste statistik jeg så, var det vist kun en 1/4 af alle NemID, der også fungerede som digital signatur.

Og faktum er altså, at det kun er en brøkdel af de udstedte NemID, som har OCES delen tilknyttet. Den seneste statistik jeg så, var det vist kun en 1/4 af alle NemID, der også fungerede som digital signatur.

Kilde?

Jeg mener endda at have læst for nyligt, at det faktisk stadig er muligt at bestille den gamle signatur også.

Det vil jeg da gerne vide hvor er, for min gamle signatur udløb desværre.

Det vil jeg da gerne vide hvor er, for min gamle signatur udløb desværre.

Det var i en af de mange NemID tråde på Version2. Jeg kan desværre ikke huske hvilken, men det for nyligt. Så vidt jeg huske, var personen endda så flink at give et direkte link til siden, hvor man kan bestille. Jeg prøvede det dog ikke, da jeg selv løbende sørger for at forny min signatur, da jeg egentlig troede at de lukkede for den mulighed sidste år, da de rullede NemID ud. Det er dog heldigvis ikke tilfældet.

Kilde?

Ja, den har jeg så ikke ved hånden. Mener det var en artikel i Politiken for omkring 3 mdr. siden, hvor Jette Knudsen udtalte sig. I artiklen stod der, at der var 2,9 millioner aktiveret NemID, hvoraf godt 25 % også anvendtes som digital signatur.

Kilde?

Der var den: http://politiken.dk/tjek/penge/dinepenge/ECE1217020/skat-har-lokket-dans...

Den er som sagt 3 mdr. gammel, og som der står i artiklen kan muligheden for at tilgå sin forskudsopgørelsen måske have rykket lidt på procentsatsen.

Ja, for det første er NemID's java applet jo signeret af DanID, og det vil deres egenudviklet applet jo ikke være. For det andet, skal de vide hvilken kode de skal spørge efter på brugerens papkort.

1. Du behøver ikke signere din java applet medmindre du fx vil tilgå brugerens harddisk. Du kan derfor nemt lave en dan-id look-a-like uden at de fleste brugere vil fatte mistanke.

2. Du behøver ikke altid papkortet. Mange banker har konto-kik uden brug af papkort.

Nu kender jeg intet til forældreintra, så der må jeg være dig svar skyldig, men for de øvrige sider du henviser til, er der jo intet (endnu i hvert fald) der forhindrer dig i at anvende den gamle digitale signatur. Det er stadig muligt at forny den.

Det varer ikke længe før den gamle digitale signatur bliver udfaset. Min pensionskasse understøtter allerede nu kun login med nemid-oces og IKKE digital signatur. Det hjælper dig ikke at du har en digital signatur i de næste 2 år, hvis du ikke kan bruge den nogen som helst steder. Der er iøvrigt blevet lukket for bestilling pr. 1. juni.

Fint nok at der skal være en vis sikkerhed ifm login. Men når man først er inde er sikkerheden helt i bund. Prøv f.eks. den mobile version og læs en besked. Prøv så at se URL'en - der skal ikke meget til for at gennemskue hvad man skal ændre for at læse andres beskeder! Husk det næste gang du skriver noget personligt på ForældreIntra. Og det er bare den mobile version – den ”normale” har lidt af det sammen så længe jeg har brugt det(ca. 2 år). Jeg har tidligere skrevet til Uni-c/Skolesoft og anbefalet at de gennemgik deres applikation for sikkerhedshuller- men der ikke sket noget.

C: Browseren husker det for mig; jeg skal kun huske passwordet til at logge ind på windows med.

Kender typen: når Windows så laver en crash'n'burn og skal ominstalleres eller de bare får ny PC så er der panik fordi man ikke kan huske adgangskoden...

Prøv f.eks. den mobile version og læs en besked. Prøv så at se URL'en - der skal ikke meget til for at gennemskue hvad man skal ændre for at læse andres beskeder! Husk det næste gang du skriver noget personligt på ForældreIntra. Og det er bare den mobile version – den ”normale” har lidt af det sammen så længe jeg har brugt det(ca. 2 år). Jeg har tidligere skrevet til Uni-c/Skolesoft og anbefalet at de gennemgik deres applikation for sikkerhedshuller- men der ikke sket noget.

Jeg har nu skrevet til skolens ledelse og bestyrelse om denne fejl; så får vi se, om der sker noget.

Det er da helt hen i vejret! Hvis der skulle være en flink UNI*C medarbejder der sidder og læser med her: det kan altså kun gå for langsomt med at lukke dette hul.

Det er da helt hen i vejret! Hvis der skulle være en flink UNI*C medarbejder der sidder og læser med her: det kan altså kun gå for langsomt med at lukke dette hul.

Jeg har nu fået dette svar: [quote]Sv: Sikkerhedshul i mobilintra Besked fra Ole Bentsen Modtaget den 21-06-2011 14:56:13 Kære Leif

Hermed svaret fra Uni-c

Hej Ole

Denne uhensigtsmæssighed er nu blevet rettet.

Med venlig hilsen

Allan Aagesen UNI-C Support · Olof Palmes Allé 38 · 8200 Århus N Telefon: · Fax: 89376501 E-post: support@uni-c.dk [quote]

(Man mangler mulighed for at redigere i sine indlæg)

Det er testet, og hullet er lukket.