Uoverensstemmelse i e-Boks.dk's url: »Man skal kigge efter hængelåsen«


På siden står der e-boks.dk. I url'en bruger man .com. E-Boks' officielle navn er e-Boks.dk, men adresselinjen viser noget helt andet.
Denne uoverensstemmelse er bemærkelsesværdig, specielt i en tid med fupmails, som har til formål at franarre folk deres private oplysninger.
Nøglen til at undgå dette er netop at kunne skelne mellem en falsk og den rigtige side.
Oven i købet er det første, man får at vide, når man ringer til e-Boks, en advarsel om, at der 'på nuværende tidspunkt er fupmails i omløb, som foregiver at komme fra e-Boks'.
Nøglen til tryghed er hængelåsen
Hos e-Boks.dk ser man dog ikke så tungt på den forskel.
»Det, der er vigtigt i forhold til tryghed for brugeren, er, at man skal kigge efter den grønne hængelås i hjørnet. Det er der, hvorpå man kan se, om man er havnet på den rigtige side,« siger Jacob Zwicki, sikkerhedschef ved e-Boks.
Han fortæller, at det ikke kun er e-Boks, som har denne uoverensstemmelse:
»Årsagen er, at vi har valgt at drive vores site som en international hjemmeside. Hvis man går på Microsoft.dk, så vil man opdage, at de gør det på præcis den samme måde,« siger han.
Det er også værd at bide mærke i, at tilfældet er det samme hos e-Boks' svenske og norske pendanter. Også her hedder url’en e-boks.com på trods af, at de officielle navne er '.se' og '.no'.
Hvorvidt det er noget, som e-Boks har planer om at ændre, ønskede de ikke at kommentere.
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Tak for uddybning, Mogens Bluhme - og nyttige links, dem vil jeg bruge.
Jeg har anmeldt det til e-boks via deres onlineformular - men da man ingen kvittering får (dårlig stil, synes jeg), er jeg forberedt på, at det er en af den slags henvendelser, der tilfældigvis "forsvinder" sporløst.
Det forstår jeg ikke meget af - men hvis det ser skummelt ud - kan man så simpelthen anmelde det til (cybercrime)-politiet - eller er det ikke i den kategori?e-bosk.dk. 86400 IN SOA ns1.sedoparking.com. hostmaster.sedo.de. 2015071001 86400 10800 604800 86400
e-bosk.dk. 86400 IN NS ns1.sedoparking.com.
e-bosk.dk. 86400 IN NS ns2.sedoparking.com.
e-bosk.dk. 3600 IN TXT "v=spf1 ip6:fd92:59f3:510e::/48 -all"
e-bosk.dk. 3600 IN MX 0 localhost.
e-bosk.dk. 3600 IN A 72.52.4.119
Et fup IPv6-net som SPF-record - en total overflødig MX-record?
- more_vert
- insert_linkKopier link
Hej Anne-Marie
Nu behøver det jo ikke at være malware men spyware, som kan være slemt nok. Domæneindehaveren være en stråmand men zonefilen ser mærkelig ud :
e-bosk.dk. 86400 IN SOA ns1.sedoparking.com. hostmaster.sedo.de. 2015071001 86400 10800 604800 86400 e-bosk.dk. 86400 IN NS ns1.sedoparking.com. e-bosk.dk. 86400 IN NS ns2.sedoparking.com. e-bosk.dk. 3600 IN TXT "v=spf1 ip6:fd92:59f3:510e::/48 -all" e-bosk.dk. 3600 IN MX 0 localhost. e-bosk.dk. 3600 IN A 72.52.4.119
Et fup IPv6-net som SPF-record - en total overflødig MX-record?
Har man mistanke om ens AV har sluppet noget ind, kan man fra tid til anden prøve at boote med en rescue-cd fra et andet AV-firma - de er som regel gratis - jeg har fundet meget snavs hos venner med Kaspersky og Bitdefender :
https://support.kaspersky.com/viruses/rescuedisk
https://www.bitdefender.com/support/how-to-create-a-bitdefender-rescue-cd-627.html
download og brænd en cdrom og boot med dem - der er også andre firmaer, som tilbyder det samme
Nu vil jeg ikke hænge folk ud uden at have noget rigtig substans at have det i. Jeg kender ikke DK Hostmasters politik på området omkring type-squattede domæner men jeg vil mene at det primært ikke er vores ansvar at gøre opmærksom på det - det burde være E-boks' opgave at beskytte sine kunder (der ikke har noget frit valg).
Det kræver meget lidt slåfejl at bytte om på to bogstaver så det er helt usandsynligt at der ikke er andre, som har besøgt dette domæne.
Jeg tastede engang support.microsft.com og så væltede det ned med spændende ting. Problemet eksisterer ikke længere.
I stedet for at lege international med .com burde E-boks have sikret sig med nabodomæner - det har andre firmaer fundet ud af men et monopol gider åbenbart ikke.
- more_vert
- insert_linkKopier link
+1 for denne del alene! I guder hvor føler man sig fanget i det digitale Danmark.E-boks skulle være være til glæde og gavn for Borgerne, men det er nok det sidste de tænker på ude hos Nets i Ballerup, for vi er jo ikke frivillige kunder i den butik og vi har heller ikke noget valg.
- more_vert
- insert_linkKopier link
Tak for tips, Mogens Bluhme. Når man slår domænet op hos Hostmaster er der et dansk navn, og det har været registreret siden 2011 - så spørgsmålet er jo, om e-boks gider bruge 10 000 $, eller om de mener, at det er kundernes eget problem - for jeg kan vel ikke være den første, der er ramt ind i det?
Når e-boks fra starten ikke har sørget for at opkøbe nærliggende domæner, mens de stadig kostede ingenting, så er det efter min opfattelse deres egen fejl, og de bør ryste op nu, hvis ikke domænet er direkte ulovligt.
Jeg brugte Tor på en windows-maskine (Linux og jeg er midlertidig uvenner - eller snarere, Linux er uvenner med min anden nyindkøbte pc - jeg arbejder på sagen) - med eset antivirus - er der nogen redning? Hvad skal jeg se efter for at opdage, hvis der er komme ubudne gæster i maskinen?
- more_vert
- insert_linkKopier link
Anne-Marie: du kan foreslå E-boks at købe e-bosk.dk for det er nu til salg for 10000 $. Det redirecter ellers til lidt af hvert før man får købstilbuddet - suspekt er det i hvert fald - ved ikke om det er en RFC2308 violation - negative caching/NXDOMAIN-udnyttelse.
Men folk med windows vil jeg ikke anbefale at besøge siden.
- more_vert
- insert_linkKopier link
På den anden side, så kan fysisk post väre en fordel fordi modstanderen skal scanne og journalföre det för at de svarer på det, For eksempel dumme-böde advokaterne skal man ikke hjälpe med email, de har kun godt af at arbejde lidt.</p>
<p>Et anbefalet brev er särligt irriterende for dem fordi de heller ikke kan nägte at have modtaget det.
Du har ret, Frithiof :-) Så er der bare problemet med at komme ned og sende det - der er chancen større med en e-mail, og der kan man jo også dokumentere at have sendt den - hvis der altså er en mail adresse.
- more_vert
- insert_linkKopier link
På den anden side, så kan fysisk post väre en fordel fordi modstanderen skal scanne og journalföre det för at de svarer på det, For eksempel dumme-böde advokaterne skal man ikke hjälpe med email, de har kun godt af at arbejde lidt.Kun en snail-mail-adresse
Et anbefalet brev er särligt irriterende for dem fordi de heller ikke kan nägte at have modtaget det.
- more_vert
- insert_linkKopier link
Så når en hacker køber e-boks.it eller org eller bla bla bla, får den til at ligne eboks hjemmesiden lidt og så bestiller et SSL certifikat. Så er den officielle udmelding fra e-boks at vi trygt kan logge ind med vores hos hackeren for det eneste der betyder noget er den grønne hængelås? WTF??????
- more_vert
- insert_linkKopier link
Det er ikke til at finde en e-mail-adresse til e-boks. Kun en snail-mail-adresse eller en online-formular, som ikke sender kopi af den besked man sender.
For dårligt - men bekvemt i forhold til spørgsmål og anmeldelser, firmaet måske ikke har lyst til at svare på.
- more_vert
- insert_linkKopier link
Nej, jeg er blevet klar over, agt det ikke er Yahoo selv, men noget andet snavs. men hvad er så meningen med at omdirigere til Yahoo? Jeg vil forsøge at melde det til e-boks - så må vi se, hvad de siger.
- more_vert
- insert_linkKopier link
Domænet er ikke ejet af Yahoo. Du kan slå domænet op på www.dk-hostmaster.dk og finde ejeren.
Umiddelbart burde det falde ind under reglerne om typosquatting, men jo de burde have lavet deres hjemmearbejde.
- more_vert
- insert_linkKopier link
Nå, det bliver værre og værre - ved et nyt forsøg på "e-bosk.dk" blev jeg omdirigeret til en side med pornobilleder. Ikke betryggende, at et domæne, der er så tæt på "e-boks.dk" åbenbart er en klart skummel side, der omdirigerer til andre sider, man ikke har bedt om.
- more_vert
- insert_linkKopier link
Kan nogen forklare mig, hvorfor man bliver omdirigeret til Yahoo, hvis man kommer til at skrive "e-bosk.dk" i stedet for "e-boks.dk"?
Jeg går ud fra, at det er fordi, Yahoo har været så forudseende at købe "e-bosk.dk" - men hører det ikke til de domæner, som e-boks burde have haft råd til at købe - sådan bare for en sikkerheds skyld?
- more_vert
- insert_linkKopier link
Det er alarmerende læsning - specielt alle de indsigtsfulde kommentarer. Jeg må tilstå, at jeg i lighed med de mange omtalte mødre og svigermødre ikke forstår detaljerne i det fremlagte, men nok rækkevidden af problemet. Jeg håber, at redaktionen vil konfrontere de relevante embedsfolk og politikere og bide sig fast i struben på dem, indtil der er afgivet solide og holdbare løfter om en ændring, der gør en ende på roderiet. Og så at der selvfølgelig bliver rapporteret undervejs. Af kommentarerne fremgår det at der ser ud til at være håndgribelige løsninger, hvis bare man vil tage sig sammen.
- more_vert
- insert_linkKopier link
Min mor på 88 år skal lige trænes i det med den grønne hængelås. Min mor er en kvik og frisk computerbruger, - heldigt for hende, for det offentlige har jo tvunget hende gennem de sidste mange år. Min mor forstår ikke meget af det, men hun har den fordel at hun hverken har travlt eller tager noget som en selvfølge, og endelig har hun stor respekt for alt det "computer hejs" Så når jeg har sagt til hende, at hun skal checke links hun slår op på, at hun skal ignorer mails fra personer ikke kender, osv., ja, så gør hun netop det. Hun har endda skrevet "mine regler" ned på et stykke papir. Nu skal skal jeg så tilføje en grøn hængelås vedr. E-Boks til listen, og jeg ved at hun ikke vil spørge hvorfor (hun ved at hun ikke vil forstå eller være interesseret i forklaringen), men blot sige: "hvor besværligt". Helt på linje med da hun spurgte, om hun kunne få sine E-boks mails ind i sin almindelige Outlook mail. Her spurgte hun helle ikke " hvorfor ikke", men konstaterede blot: "i hvor er det besværligt". E-boks skulle være være til glæde og gavn for Borgerne, men det er nok det sidste de tænker på ude hos Nets i Ballerup, for vi er jo ikke frivillige kunder i den butik og vi har heller ikke noget valg.
- more_vert
- insert_linkKopier link
Er den grå hængelås ikke blot et ikon for "sikkerhedsrapport"? Det er den i hvert fald i den ene af mine browsere (IE) - noget, der faktisk har narret mig et par gange til at tro, at jeg var på en "ægte" hængelåsside, så det er ret usmart, at hængelåsen ikke er et "beskyttet" symbol i adresselinjen.Det pudsige er, at i min browser (Safari) er der netop ikke en grøn hængelås, når man besøger eboks. Der er derimod en grå hængelås
- more_vert
- insert_linkKopier link
Sjovt nok er der en multi-domain wildcard certifikat på sitet. Dem synes jeg ellers ikke jeg har kunnet købe. Men det vil gøre det trivielt for eboks at køre med e-boks.dk i Danmark.
Der er altså ingen grund til at lave redirect til .com - udover marketing afd.
- more_vert
- insert_linkKopier link
Hvad viser hængelåsen ? Hængelåsen viser, at det er en der enten har adgang til webserveren, eller en der har adgang til mails på domænet som har lagt certifikat på.
Den grønne hængelås viser også utvetydigt, at der IKKE er sket en validering af virksomheden bag domænet i forbindelse med udstedelse af certifikat (EV SSL), og at det lige så godt kan være et gratis certifikat. Der er ingen associering mellem domænet og nogen virksomhed.
Jeg er enig i, at alle der udsender store mailmængder, og hvor folk forventes at skulle logge på burde have styr på DMARC. Det ville stoppe næsten alle de spamruns der kører. Det bør være ansvarspådragende ikke at have det på plads hvis man er underlagt finanstilsynets kontrol (banker, forsikringer m.fl)
- more_vert
- insert_linkKopier link
Det pudsige er, at i min browser (Safari) er der netop ikke en grøn hængelås, når man besøger eboks. Der er derimod en grå hængelås. Formodentligt fordi eboks ikke har et EV-certifikat.
Skal jeg tage eboks' egne ord for gode varer, kan jeg altså ikke stole på deres hjemmeside.
Men det næste bliver vel at man skal have Chrome for at kunne bruge eboks. I hvertfald giver det en grøn hængelås. Mon Jacob Zwicki så mener, at det er fordi Chrome er mere sikker end Safari?
- more_vert
- insert_linkKopier link
Da jeg i juni sidste år ville betale en billet via Amager Bios hjemmeside, åbnedes en ny side med en "Verified by VISA"-boks. Oven på boksen kom en "NEM ID Nets Denmark"-boks, som bad om mit Nem ID-login. Adresselinjen havde hængelås med teksten "NETS AS", men på fanen stod den norske adresse acs4.3dsecure.no.
Den er god nok, det er Nets' løsning. Det kan du også bekræfte fordi NETS AS fremgår af adressebaren, det er fordi de har et EV certifikat, hvor udstederen har verificeret at domæne har tilknytning til den givne virksomhed, og at virksomheden eksisterer. En fra ledelsen skal i øvrigt godkende udstedelsen.
- more_vert
- insert_linkKopier link
Tak for svar og god forklaring, Michael Cederberg. Jeg blev så også klar over, at jeg simpelthen har læst din bemærkning forkert, dvs. omvendt, som at nøglekortet gav dårlig sikkerhed. Sjusket af mig.
- more_vert
- insert_linkKopier link
"Den grønne hængelås"</p>
<p>...er bare ikke så meget værd, får man lusket sit rodcertifikat ind på en maskine så kan man få hvad som helst til at vise grøn hængelås.
Ok, men i så fald er alt jo stort set (potentielt) tabt alligevel. Det kan e-boks vist ikke gøre ret meget ved.
- more_vert
- insert_linkKopier link
Den daglige desillusionering :-(
Gider du forklare en amatør dette? Jeg troede i min naivitet, at det var omvendt?
Når det gælder ”passwords” så er der basalt to angrebspunkter: Enten ind gennem fordøren eller ind gennem bagdøren.
Ved fordøren forstås at man komme ind samme vej som den legitime bruger. Her er selv 6 cifre ganske fornuftig sikkerhed, såfremt websitet på en eller anden måde sikrer at en hacker ikke blot kan prøve alle muligheder (fx ved at kræve at man venter efter hver fejl og dobler ventetiden for hver fejl).
Ved bagdøren forstås at man kommer ind en anden vej. Hvis man først er inde, så har man i princippet adgang til alt. Hackeren kan udgive sig for prins Henrik, Lars Løkke eller den grønlandske selvstyreformand. Skaden er sket. Alt information på websitet er tilgængelige for hackeren.
Alligevel beskytter fornuftige systemer (læs ikke Telmore og de andre telefonselskaber) mit password ved ikke at have det liggende direkte som jeg skriver det. I stedet gemmer de noget afledt af passwordet (en hash af passworded - tænk tværsummen; bare meget sværere at regne ud).
Det fungerede ret godt i gamle dage, men nu er computere er blevet ganske gode til at gætte passwords ud fra denne afledte information. Hvis man vil undgå at computere kan gætte ens password ud fra en stjålen password fil så skal man i praksis bruge meget ret lange passwords – så lange at de fleste er nødt til at skrive dem ned for at huske dem. Af samme grund gør de fleste ikke dette og deres password er på den måde usikkert.
I sig selv er der ikke noget stort problem ved at folk finder mit password til telmore.dk hvis de alligevel har adgang til alt andet hos telmore – skaden er allerede sket. Men hvis de kan binde mit password sammen med fx email adresse, telefonnummer, etc. så kan hackeren prøve fordøren på andre sites og komme ind den vej. Det virker hvis jeg – som mange andre – genbruger mit password på tværs af websites.
Et stort problem ved passwords er at hvis jeg hacker din computer og logger alle tastaturtryk, så har jeg ret hurtigt mange af dine passwords. Jeg kan gemme dem til senere og bruge dem når jeg har lyst. Det kan være ret svært for dig at se at jeg har fået dem så længe jeg blot bruger dem til at læse information (nogle websites skriver hvornår jeg sidst var logget ind hver gang jeg logger på – ideen er at jeg på den måde måske kan opdage hvis andre også logger ind).
Papkortet med engangskoder sikrer at selv hvis man hacker min computer i dag, så har man ikke nok information til at kunne logge på nemid ind i morgen. For i morgen vil nemid bede om en anden engangskode end i dag. Dette forudsætter naturligvis at jeg ikke har taget et billede af papkortet og gemt på min computer/telefon.
Med andre ord: 4 cifre eller et længere password der kan huskes i hovedet gør minimal forskel når en password fil er stjålet ved at hackeren er kommet ind ad bagdøren. 4 password cifre plus 4 cifre fra papkortet er nok til at sikre at hackere ikke kommer ind ad fordøren. Og two-factor-authentication (dit nemID password plus dit nemID papkort) sikrer at et simpelt hack af din computer bliver mindre skadeligt.
- more_vert
- insert_linkKopier link
Den daglige desillusionering :-( Gider du forklare en amatør dette? Jeg troede i min naivitet, at det var omvendt?Men pointen er at selv en 4 cifret kode sammenholdt med papkortet (eller bedre nøgleviser) er fin sikkerhed.</p>
<p>
- more_vert
- insert_linkKopier link
Hvad hjælper det hvis man kan lave man in the middle. En kæde er ikke stærkere end det svageste led.NemID har two-factor authentication.
- more_vert
- insert_linkKopier link
e-boks nets rejsekortet og flere andre, er MONOPOLER, og har vi nogensinde set at et monopol har været en god og sikker oplevelse, husk også at i adgangskoder i nemid, ses der ikke forskel på store og små bogstaver heller, at nets har bedt kunderne om at svare på om de vil have en kun 4-cifret nøgle kode !
Vi kan godt blive enige om at det er chokerende at man ikke ser forskel på store og små bogstaver. Det havde jeg ikke forventet i 2017 (eller 1997). Men pointen er at selv en 4 cifret kode sammenholdt med papkortet (eller bedre nøgleviser) er fin sikkerhed.
Mobilepay har allerede vundet når det drejer sig om email sikkerhed, modsat NETS har Mobilepay helt styr på den slags.
NemID har two-factor authentication.
- more_vert
- insert_linkKopier link
Mobilepay har allerede vundet når det drejer sig om email sikkerhed, modsat NETS har Mobilepay helt styr på den slags.Vi kan satse på at MobilPay's indtog på betalingsservice markedet vil få nets op i gear !
- more_vert
- insert_linkKopier link
e-boks nets rejsekortet og flere andre, er MONOPOLER, og har vi nogensinde set at et monopol har været en god og sikker oplevelse, husk også at i adgangskoder i nemid, ses der ikke forskel på store og små bogstaver heller, at nets har bedt kunderne om at svare på om de vil have en kun 4-cifret nøgle kode ! Det lader til at disse monopoler og flere offentlige institutioner, udelukkende er fokuserede på at gøre livet let for de kriminelle, at sikre at flest muligt skal udsættes for kriminelles overgreb og helst også ID-tyveri ! Vi kan satse på at MobilPay's indtog på betalingsservice markedet vil få nets op i gear !
- more_vert
- insert_linkKopier link
I bund og grund mangler vi blot en kompetent minister, som ringer til e-Boks og Nemid og siger det her er ikke godt nok. I driver en forretning til flere hundrede millioner, og så sparer i et certifikat væk som koster 50$ hvert tredje år.
e-Boks har et certifikat som dækker e-boks.dk . De har nok valgt den nuværende løsning uden at tænke sig (sikkert fordi det var nemmest).
Problemet er ikke en kompetent minister o.lign. Problemet er at hele systemet omkring certifikater og tillid (trust) ikke virker. For selv hvis der er en grøn hængelås i hjørnet, så siger det blot at nogen har fået nogle andre til at udstede et certifikat på den adresse.
Vi har brug for et andet system for sikkerhed på nettet. Et hvor jeg kan stille større krav til nem-id, e-boks, skat, netbank, borger.dk etc. Og hvor jeg har mulighed for at se forskel på officielle websites og dem der blot er certificeret mere tilfældigt (fx. af letsencrypt).
- more_vert
- insert_linkKopier link
I bund og grund mangler vi blot en kompetent minister, som ringer til e-Boks og Nemid og siger det her er ikke godt nok. I driver en forretning til flere hundrede millioner, og så sparer i et certifikat væk som koster 50$ hvert tredje år.Hvorfor stiller de ikke krav til e-boks om, at der ikke må kunne opstå disse risici omkring domæne-navne, certifikater, hængelåse etc?
- more_vert
- insert_linkKopier link
Da jeg i juni sidste år ville betale en billet via Amager Bios hjemmeside, åbnedes en ny side med en "Verified by VISA"-boks. Oven på boksen kom en "NEM ID Nets Denmark"-boks, som bad om mit Nem ID-login. Adresselinjen havde hængelås med teksten "NETS AS", men på fanen stod den norske adresse acs4.3dsecure.no.
- more_vert
- insert_linkKopier link
Det er bare en nøgle.
Det er ikke engang et EV-certifikat, hvor nogen har kontrolleret at de rent faktisk er det firma, de giver sig ud for, så firmanavnet står ved siden af den grønne nøgle (se f.ex. https://danskebank.dk/privat)
Det er i den forbindelse dumt at chrome har flyttet "se certifikat" fra "klik på hængelåsen" til F12 - View certificate.
"Klik på hængelåsen" er logisk og til at forklare.
- more_vert
- insert_linkKopier link
Ja. De af dem der ikke blevet er sparet væk eller omstruktureret til en pløjemark i Vemb har travlt med at obfuskere, forhale, misfortolke lovgivning og meget andet snavs, som den efterhånden temmelig mafiøse forsamling af levebrødspolitikere i folketinget mere og mere åbenlyst misbruger dem til.hvor er vore myndigheder? Synes de, at det er helt fint? Lukker de bare øjnene og lader som om, de ikke ved det?
Claus Hjort Frederiksen er såmænd stadig - og for evigt føles det som om - minister.
http://journalisten.dk/jesper-tynell-vinder-cavlingprisen-2009
- more_vert
- insert_linkKopier link
Så e-boks.com er ok, så længe der er en hængelås?
Hvorfor så ikke købe e-boks.nu , som er til salg lige nu. Det er gratis at få et Let's Encrypt certificat, så der kommer en hængelås på.
.nu er præcis lige så latterligt som .com (selvfølgeligt skal det være .dk). Og andre sider, så som www.nemid.nu direkte fra den inkompetente Digitaliseringsstyrelse, har jo allerede trænet brugerne i at .nu og andre skumle ikke .dk-sider er "sikre".
Og e-boks.dk bruger jo ikke HSTS. Så sæt en MitM op, block HTTPS så brugerne sender den initielle forespørgsel over HTTP. Redireger brugerne til https://e-boks.nu , som er kontrolleret af dig. Lav en falsk NemID-boks, og stjæl brugers password, eller giv brugerne beskeder mens de tror de taler med e-boks. Se Moxie Marlinspike's Black Hat foredrag for et eksempel.
Da e-boks derfor ikke er sikker mod MitM, så vil jeg mene at e-boks ikke er kryptologisk sikker. Skal lige læse Persondataloven igen, jeg mener at huske at der var en anvendelig paragraf, som vil gøre e-boks direkte ulovlig.
Jeg lavede nogle gode værktøjer til at definere kryptologisk sikkerhed da jeg skrev artiklen "NemID er ikke kryptologisk sikker". Disse værktøjer er super-anvendelige her til at definere e-boks' mange fejl klart og formelt. Bør få tager mig sammen og få det skrevet pænt ned.
- more_vert
- insert_linkKopier link
Du har ret, Kjeld Flarup Christensen. Det er i mine øjne nærmest kriminelt, hvis man lader disse data ligge og rode i udlandet. Men igen - for at følge op på lignende diskussion vedr. KMD og TechMahindra andetsteds - hvor er vore myndigheder? Synes de, at det er helt fint? Lukker de bare øjnene og lader som om, de ikke ved det? Mener de, at det er nok, at de skriver i kontrakten, at data skal opbevares og behandles sikkert - hvilket er idiotisk? Eller har de helt styr på sikkerheden omkring dette?
Hvorfor stiller de ikke krav til e-boks om, at der ikke må kunne opstå disse risici omkring domæne-navne, certifikater, hængelåse etc?
- more_vert
- insert_linkKopier link
Det er nok det værste ved det! Der ligger så mange fortrolige oplysninger på e-Boks, at de bare skal holdes indenfor kongerigets grænser. Det er selvfølgelig ikke .dk eller .com som fortæller hvor mine data ligger, men indstillingen hos E-boks er bekymrende.Årsagen er, at vi har valgt at drive vores site som en international hjemmeside.
- more_vert
- insert_linkKopier link
Spot on! Jeg forsøgte at følge med i denne historie i går, men fatter ikke kernen i den - så nu tør jeg dårligt bruge min e-boks.
Det forarger mig, at e-boks mener, at det er brugerne, der "bare" skal gøre det ene eller det andet, hvis det faktisk er et problem, e-boks kunne løse - eller advare betydeligt kraftigere imod.
Som sagt er jeg totalt amatør mht. URL's, certifikater o.l. Er det misforstået, at e-boks kunne løse disse problemer ved at opkøbe diverse domæner, der kunne forveksles med e-boks? Eller har de allerede gjort det, men det løser bare ikke ovenstående problem?
- more_vert
- insert_linkKopier link
...er bare ikke så meget værd, får man lusket sit rodcertifikat ind på en maskine så kan man få hvad som helst til at vise grøn hængelås.
- more_vert
- insert_linkKopier link
Som familiens nærmeste bud på en it-kyndig falder det i min lod at forklare konen (og svigermor og lidt flere) om farerne på internettet. Herunder, at man skal være OBS på, hvad der faktisk står i URL-feltet i toppen af Safari. Og at man ikke skal klikke på links i mail og i SMS'er og alt det der. - Jeg tror ikke, jeg vil kunne forklare det her til min lille kundekreds. Det er endnu mærkeligere end at SKATs mails også indeholdt links, selv om vi fortæller os selv og hinanden, at man ikke må klikke på links og så udfylde noget på skærmen bagefter.
- more_vert
- insert_linkKopier link
Her er et ekstra tvist på historien: Når man besøger e-boks.com uden https bliver man ikke stillet om til den sikre httpshttp://www.e-boks.com/corporate/da/
Uha :)
- more_vert
- insert_linkKopier link
Det står der ikke noget som helst om i certifikatet, så at henvise til at alt er i den fineste orden når der er en grøn hængelås, er vist så meget sagt.
Det er da let at oprette fx e-boks.company, og få et letsencrypt certifikat, og derefter scrape e-boks.dk så alt ser helt rigtigt ud.
Der er på ingen måde muligt at som om det er e-boks.dk, e-boks.com eller e-boks.company som er den falske.
/Henning
- more_vert
- insert_linkKopier link
»Af snak og mange tak døde smedens kat«</p>
<p>En dag går det sgu galt men så kan vi vel nok forvente at Jacob Zwicki, sikkerhedschef ved e-Boks står og hælder vand ud af ørene og påstår at det var der ingen der kunne forudse.
Problemet er at det allerede er gået galt. Domænet eboks.dk er blevet misbrugt i en massiv Phishingkampagne. Jeg har renset en del PC'ere for det lort efterhånden. Og kan kunden sende regningen til eboks, fordi de ikke kan finde ud af sikkerheden ? Nej, desværre....
- more_vert
- insert_linkKopier link
De har ihvertfald ingen problemer med roligt at se til mens deres domæne eboks.dk misbruges på livet løs.
En enkelt DNS record kunne stoppe misbruget, men det kan de tilsyneladende ikke finde ud af at oprette.
Jeg har også haft fat i dem et par gange, men de fatter hat. Det skriger til himlen af inkompetence.
Kære Eboks! Få nu DMARC på domænet eboks.dk - Det er ikke så svært og det sparer en masse danskere for en masse besvær.....
- more_vert
- insert_linkKopier link
Er det tilfældigt at e-boks er nede når man lige har læst denne nyhed? :)
- more_vert
- insert_linkKopier link
Nu er der ikke så meget man tager så tungt hos E-Boks :-)
De har ihvertfald ingen problemer med roligt at se til mens deres domæne eboks.dk misbruges på livet løs. En enkelt DNS record kunne stoppe misbruget, men det kan de tilsyneladende ikke finde ud af at oprette.
- more_vert
- insert_linkKopier link
Fint nok de bruger e-boks.com, men aldeles skræmmende at deres sikkerhedschef mener det er sådan man bekræfter det er den rigtige side. Er man så også på den rigtige side hvis jeg registrerer e-boks.co.uk og smider et certifikat på?
Man må da håbe deres produkt ikke bliver brugt til noget vigtigt ...
- more_vert
- insert_linkKopier link
»Det, der er vigtigt i forhold til tryghed for brugeren, er, at man skal kigge efter den grønne hængelås i hjørnet. Det er der, hvorpå man kan se, om man er havnet på den rigtige side,« siger Jacob Zwicki, sikkerhedschef ved e-Boks.
Og den grønne hængelås, sammen med url'en fortæller med stor tydelighed at jeg ikke er på den rigtige side. Der er ikke noget der fortæller mig at der er en sammenhæng imellem e-boks.dk og e-boks.com.
At Microsoft gør det samme er da ikke nogen undskyldning.
- more_vert
- insert_linkKopier link