Den græske tragedie NemID status

Pyha, jeg er glad for at jeg har ferie i denne uge, så jeg kan bruge lidt tid på NemID ... NOT, ville hellere løbe en tur på vestamager.

Jeg er blevet kontaktet af diverse journalister og andre som er oppe i det røde felt. Nu er den jo gal igen med NemID.

I den forbindelse er det jo svært når man stilles spørgsmålet, hvad er der galt med NemID - for alt er jo galt med NemID!

Helt seriøst, så søger jeg stadig et enkelt område hvor NemID har success.

Så kort opsummeret nogle af værste problemer med NemID som jeg ser det er:

  • NemID har ikke success, kun udbredt med tvang - de har mange brugere, men kun grundet tvang, ikke valg
  • NemID er derudover et monopol , hvor vi burde have flere aktører, tak til @rankenberg for at huske mig på dette igen
  • sikkert - NemID opbevarer vores nøgler udenfor vores kontrol
  • sikkert - NemID har mange problemer i anvendelsen af nøgler, se eksempelvis den udmærkede artikel fra 2010 hvor man allerede så problemer http://www.version2.dk/artikel/sikkerheds-ekspert-saadan-burde-staten-ha...
  • driftstabilt mod DDoS - manglende beskyttelse af en hjørnesten i den danske infrastruktur mod små DDoS er inkompetence eller manglende ansvarlighed, ref http://www.version2.dk/artikel/it-sikkerhedsekspert-nets-er-skadeligt-in...
  • snævertsynet 1 - NemID ser kun deres egen lille andedam, hvis serverne er oppe er systemet iorden, punktum. I praksis er brugerne ligeglade med om de ikke kan komme på NemID fordi Java er årsagen eller NemID koden er årsagen, det virker ikke
  • driftstabilt og ansvar Der er også mange andre grunde til at NemID ikke er tilgængeligt og der mangler nogen der vil tage ansvar for at det virker, at man er ked af det er en ting, men for visse kunder kan det have konsekvenser hvis man ikke kan logge på
  • snævertsynede og farlige - når NemID så opdager at en opdatering af Java (som den alvorlige oktober 2013) ikke virker med NemID, så anbefaler de uden yderligere kommentarer at man lader være med at opgradere. Burde man ikke samtidig fortælle hvilken risiko man dernæst udsætter sig for, eller en alternativ løsning som 2-browser strategi med een browser MED Java og en browser UDEN java til surf?
  • Farlig java - når vi nu taler om Java viser statistikken jo at Java ER usikkert. De har netop fixet ca 50 alvorlige problemer, men om 3 mdr er der vel 50 nye. Burde man pro-aktivt medvirke til at borgere i Danmark får reduceret deres risiko for malwareinficering, ved at anvise hvordan man bruger Java på enkelte sites, og ikke tillade det på alle? Igen mener jeg 2-browserstrategien er en enkel løsning på de flestes problemer. De mere avancerede brugere kunne få en VM en NemID-appliance udleveret som de kunne starte i VirtualBox, VMware Player el.lign. - gerne en som de har testet mere indgående ;-)
  • Samtykkekrav med privat firma. "For at borgeren kan få OCES NemID skal borgeren indgå en aftale med DanID A/S, og borgeren skal afgive et samtykke til dette firma. " ref http://www.itpol.dk/notater/henvendelse-om-L159-obligatorisk-digital-sel...
  • Symptombehandling Der er en høj grad af symptombehandling og det er som om tavlen blot viskes ren efter hver hændelse, selvom vi står med lignende problemer igen om 3 mdr. Jeg mener det er omkring 10 tilfælde indenfor det sidste år at der har været problemer relateret til samspillet mellem Java og NemID, enten skulle man opgradere eller netop IKKE opgradere.

NB: jeg forbeholder mig retten til at tilføje til denne liste, specielt hvis I skriver nogle åbenlyse nedenfor i debatten som bør være på listen. I må ligeledes gerne kopiere denne liste og selv bygge videre på den, BSD-licens ;-)

Derudover er der mange andre problemer, og kun fantasien sætter snart grænserne. Jeg kunne eksempelvis godt ønske mig følgende tiltag sat i søen (specielt når de engang skrotter det og laver næste version):

  • Manglende styring i processen
    Der er behov for kritisk analyse i processen og Digitaliseringsstyrelsen BØR i næste omgang tage udenforstående med i arbejdet. Det kunne være IT-politisk forening og Stephan Engberg som er nogle af dem som har kritiseret mest.
  • Tag imod kritik generelt. NemID er en defineret success basta, hvilket lader til at medføre en manglende opsamling af erfaringer
    al kritik nedtones og fejes ind under gulvtæppet.
  • et mere specifikt og udtalt fokus, NemIDs formål er utydeligt. Er det en Single-sign-on SSO løsning eller et system til at underskrive digitalt
  • krav om handlekraft. Det kan ikke være rigtigt at ting tager så lang tid. Jeg ledte lidt i gemmerne og der er mange eksempler på forsinkelser. Når det så samtidig er nogle af de vigtigste kritikpunkter som pap-nøglekort, hvor der som svar på kritikken loves smartcard løsning snart, og denne forsinkes ... så er det altså ikke at tage hånd om brugeren/borgeren

NemID til mobile platforme

Jeg er en af dem som ved at den PC baserede browser er "død". Allerede nu i år 2013 har vi kunder i hosting som har flere besøgende fra tablets og mobile platforme, end den traditionelle browser på Mac, Windows eller Linux på laptops og andre typer PC'ere. Denne statistik og medfølgende diversitet i massen af internetbrugere gør at alle services enten skal tilpasse sig eller dø, fordi brugeren går til konkurrenten.

Desværre er NemID et monopol og det kan derfor ikke undre at man skal læse ting som:

Siden starten af 2012 har Digitaliseringsstyrelsen ledt efter den rigtige model til at få NemID overført til de mobile platforme – smartphones og tablets. Nu er der fundet den rette tekniske løsning, og en aftale med Nets DanID om at udvikle et nyt NemID-log-in er næsten på plads. Det nye log-in forventes lanceret i 2. kvartal 2014.

Kilde: https://www.nemid.nu/dk-da/om_nemid/videreudvikling_af_nemid/nemid_til_m...

Med sædvanlig forsinkelse kommer den måske senere?

De skriver yderligere:

I efteråret 2012 gennemførte Nets DanID derfor en undersøgelse af nye teknologiske muligheder med henblik på at frigøre NemID fra Java-teknologien. …. Forprojektet blev afsluttet i april, og de fællesoffentlige parter har i juni 2013 truffet beslutning om at tilslutte sig udviklingsprojektet.

Ca. 1,5 år om at tage en beslutning
- er det en rimelig sagsbehandlingstid?

Jeg kan kun opfordre til at der kommer konkurrence på dette område.

Yderligere referencer

Der er skrevet mangt og meget om NemIDs mange problemer, hvoraf mange udelukkede symptombehandles.

Se og søg derfor på:

  • http://version2.dk - doh du er her allerede og du må have bemærket de mange kritiske artikler om NemID
  • http://computerworld.dk - mange artikler om NemID gennem flere år
  • http://nejtilnemid.dk en protestside, som navnet måske antyder
  • http://da.wikipedia.org/wiki/NemID danske wikipedia om NemID. BTW har også yderligere kritik som brugen af .nu domæne, en lille men aligevel vigtig ting. Bør dansk infrastruktur ikke være forankret i DK med det danske ccTLD .dk under dansk lovgivning? - det er som om det aldrig stopper med dumme ting som kunne laves om, men som blot ignoreres.
  • http://itpol.dk/ har diskuteret og kritiseret NemID i flere år

Jeg vil også varmt anbefale at man bruger Twitter, hvor #nemid søgning vil finde en masse intelligente diskussioner og kommentarer. Specielt tak til dem som jeg har kommunikeret med på twitter og andre steder om NemID - jeg kan ikke selv overskue hele omfanget af Fail i denne græske tragedie. Tak også til ITTB for opbakning og hjælp.

Kommentarer (46)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Schou

Et meget slemt problem var NemID fik rutinemæssig fornyelse af certifikat galt i halsen.

Først må jeg fortælle folk at det var en fejl fra DanIDs side, og de kunne trykke OK.

Dernærst fortælle at den slags advarsler skal tages meget alvorligt, og at de ikke fremover bare må trykke OK. Vi er nogle der kæmper en kamp, for at få almindelige brugere til at forstå hvad de har med at gøre, og så de kan agere forsvarligt på egen hånd, og så kommer DanID og stikker en kæp i hjulet...

De fleste af dem jeg kender, forventer at der sker mystiske ting når de går ind på en tilfældig hjemmeside, men når det er deres netbank.... suk!

  • 29
  • 0
Henrik Madsen

På et tidspunkt lykkedes det en simpel bankansat at forkludre en oprettelse så een kunde fik adgang til en anden kundes NemID, dette betød at kunden havde fuld kontrol over den anden kundes digitale identitet.

Hvorfor en bankansat har mulighed for at lave denne fejl uden systemet fanger den er en gåde og viser hvor ringe sikkerheden reelt set er selvom de ellers praler med god sikkerhed og krypterede nøgler i sikre moduler osv osv.

  • 14
  • 0
Lars Skovlund

Som før nævnt mener jeg også det er et problem, at de enkelte delelementer af tvangsdigitaliseringen er så afkoblede fra hinanden, at ingen har det overordnede ansvar. DanID nægter at forholde sig til risiciene ved de systemer som de giver adgang til (evt. via MitM), Digitaliseringsstyrelsen afviser at det er deres problem når NemID er nede, man lader det være op til bibliotekarer at hjælpe borgere der ikke selv kan (på trods af at man kun må anvende NemID på computere " hvor operativsystem, internetbrowser og øvrige programmer løbende bliver opdateret med de seneste sikkerhedsopdateringer", hvilket man naturligvis ikke kan stå inde for på kommunens vegne på et bibliotek). Så vidt jeg ved bliver kun misbrugsstatistikker fra bankdelen offentliggjort, hvis statistikker for OCES overhovedet findes (der er også problemer med værdiansættelse af misbrug der).

Resultatet er at borgeren kan blive kastet rundt mellem private og offentlige organisationer, eksempelvis i et forsøg på at genoprette skaderne efter et NemID-misbrug.

Thumbs down til tvangsdigitalisering.

  • 12
  • 0
Jesper Lund

Så vidt jeg ved bliver kun misbrugsstatistikker fra bankdelen offentliggjort, hvis statistikker for OCES overhovedet findes (der er også problemer med værdiansættelse af misbrug der).

Misbrugsstatistikkerne for netbank omfatter kun de borgere som har fået penge stjålet fra deres bankkonto. De kriminelle ved næppe på forhånd hvem der har 50k stående på deres lønkonto, så realistisk set har de kriminelle brudt ind i et langt større antal bankkonti, mange steder for blot at konstatere at her var der ikke noget at stjæle. De har givetvis høstet navn og CPR nummer når de nu var i gang, men så er vi ovre i det mere bløde identitetstyveri som der ikke er præcise statistikker for.

  • 6
  • 0
Christian Nobel

Der er et og kun et sikkerhedsniveau, svarende til en og samme nøgle til haveskuret, huset, cyklen, bilen, bankboksen mv.

Det er ikke muligt at håndtere fuldmagter, svarende til at jeg gav min nabo nøglen til pengeskabet og det hele, hvis han gerne, mens jeg er på ferie, vil låne min plæneklipper der står i skuret.

  • 12
  • 0
Thue Kristensen

Du mangler en af de mest åbenlyse: Der er ingen reel sikkerhed, man skal bare taste sit password og engangskode ind på alle sider som har noget som ligner en NemID-login-boks. Modsat fx OpenID, hvor mit ID har en central login-side, og jeg derfor har en måde at sikre mig at en login-form sender mit password det rigtige sted hen.

http://www.version2.dk/artikel/video-saadan-kan-nemid-hackes-32396

Det synes jeg faktisk er det grelleste problem med NemID, fordi det er så umotiveret og nemt at designe rigtigt.

  • 10
  • 0
Keld Simonsen

Der var et problem med at DanID sagde at de ikke havde adgang til filerne på kundens computer. Og så viste det sig bagefter at de havde skjult kode i nogen billedfiler, på bedste hackermanér, endda med kode til forskellige systemer i forskellige filer.

NemID appletten har adgang til de fleste filer på kundens computer, det er altså den rene bank- og statstrojaner. IT-POL har demonstreret hvordan det gøres.

DanID havde ikke på forhånd sikret sig dk-domænet for nemid-tjenesten. Mage til hovedløs business-praktis har jeg ikke set længe. Så lagde de sag an mod ejeren af demid.dk, og tabte. NETS tabte også sagen om domænet nets.dk. Det virker altså amatøragtigt for så stort og vigtigt infrastuktur-firma. Det er ikke særligt betryggende.

Henrik, du siger du vil samle kalamiteterne. Hvor vil du lægge informationen? På en Wiki et sted? Måske wikipedia?

  • 8
  • 0
Henrik Secher Jarlskov

Jeg elsker bare at høre og læse omkring hvor godt og smart det er at det offentlige digitaliserer... men gør de nu også det?

Som jeg ser det har vi bare fået udvekslet rundsendingen af papir med rundsendingen af pap-kort? ... Det er da vist analog tænkning i en digital alder!

Og hvorfor skal det offentlige altid satse på EEN leverandør og ALTID på en Klient-Server model, hvor ALT ligger hos den private leverandør?
Når man vælger en så kritisk opgave og smider alle æggene i samme kurv burde man da i det mindste stille andre kvalitetskrav end oppetid? ... Hvad er kravene til Test hos DanID? Hvad er kravene til alternative løsninger? Hvad er kravene til support? Hvad er kravene til design/arkitektur? Hvad er kravene til integration? Hvad er kravene til skalerbarhed? osv.

Vi ved jo alle hvordan det går når man har et lille IT projekt med en inkompetent forretning og en projektleder, der ikke forstår hverken forretning eller IT siden... Prøv så at udskifte forretning med "ingenting" og projektleder med "politiker"!
Så er det da ingen sag at regne ud at samtlige IT projekter kører i hegnet med fuld fart og travlheden ved håndvasken vil ingen ende tage!

Lige så lidt prestige der er i at gennemføre et succesfuldt IT projekt for en politiker (ja, jeg ved godt at det er en teoretisk situation!) lige så lidt prestige er der åbenbart i at gennemføre den fra IT leverandørens side!

  • 5
  • 1
Jørgen Jakobsen

Uagtet at hendes indstillinger hos NemID står til automatisk fornyelse og hendes email oplysninger er korrekte, udløb hendes certifikat uden varsel forleden, og gjorde hende nemid ubrugeligt. Efter at have gennemtrevlet nemid.nu uden at finde oplysninger om hvad man så skulle gøre, var eneste mulighed at ringe til Nets - hvor der selvfølgelig grundet <subject> var enorme ventetider på at komme igennem.

  • 1
  • 0
Klavs Klavsen

De har da endelig(!) fået gjort det muligt at have sin private nøgle på sit eget USB-token - så de ikke længere har ens private nøgle i deres "sikre" varetægt.

Det er årsagen til at jeg endelig har fået et OCES certifikat :)

Det virker iøvrigt også på f.ex. Linux - har lige lavet en opdateret vejledning til hvordan det gøres (inkl. noget java workaround - fordi NemID ikke kan løse, hvad alle andre sjovt nok godt kan :) - sig til hvis i vil have link til blog om det.

Der er nu 2 leverandørers hardware-tokens som NemID har testet og lavet vejledninger til brug af, som NemID opbevaring - så det virker til at være korrekt implementeret, da man kan købe vilkårlig hardware fra 3. part (så længe det lever op til kravene) og det anvender såvidt jeg kan se standarden pkcs11 til at man kan bruge det i browseren - og så burde man også kunne anvende ens token til bl.a. at kryptere emails osv. - som man kunne med det gamle x509 cert vi havde på en fil (og her er jeg glad for at jeg nu har det på et token :)

Resten af punkterne er jeg rimeligt enige i.. Vi burde måske lave nogle officielle løsningsforslag, for at hjælpe politikerne lidt på vej til når aftalen skal fornys.. Måske hvis f.ex. Version2 stod bag koordineringen, kunne vi få udarbejdet noget ordentligt og struktureret - istedet for at vi alle blog'er om hvad vi synes :)

  • 6
  • 0
Hans Schou

Hvorfor er SMS-kode mere usikre end fx NemID?


Jeg læser dit spørgsmål som: Hvorfor er SMS-koder dårligere end papkort/access-key?

Som Multi-factor authentication er SMS-koder helt klart en af de brugbare løsninger. Problemet med SMS-koden er den kan opsnappes på forskellig vis, fx hvis du benytter en smartphone til dit banklogin.

Nogle banker blander det lidt sammen, så afhængig af hvad man vil i banken, er der forskellige sikkerhedsniveauer. Jeg kunne snildt leve med kodeord+SMS for at se kontoudtog, og så fx kodeord+SMS+papkort for at lave en transaktion. Jeg kunne også nemt leve med at en bankoverførsel til udlandet krævede telefonopringning fra banken, førstkommende hverdag.

Jeg passer da på min telefon. Kodekort og Nøglegenerator ligger....et sted derhjemme.

Mafiaen+NSA passer også godt på at de ikke bliver opdaget på din telefon.

  • 6
  • 0
Klavs Klavsen

Hvorfor er SMS-kode mere usikkre end fx NemID?
Jeg passer da på min telefon. Kodekort og Nøglegenerator ligger....et sted derhjemme

Hvad der øjensynligt er gået mange forbi, så har du ikke ene-kontrol over din telefon.
Prøv at google på "bagdøre" i telefoner - det er f.ex. i dag, muligt på ALLE telefoner, for operatøren at sende sms'er med "hemmelige" koder - (som de forhåbentlig spærrer for at andre kan sende - medmindre man så lige hacker operatøren - ikke specielt svært hvis man virkelig vil) som installerer software på din telefon, eller ændrer indstillinger.

Det er ikke en sølvpapirshat ting desværre - det er den skinbarlige sandhed og operatørerne mener at have brug for det, for at kunne hjælpe os osv.
Desværre kan den slags "velmenene hjælpe muligheder" også nemt misbruges, og vi har INGEN garanti for at den ikke bliver det - og har ikke mulighed for at vide det.

Det er jo almindelig kendt at FBI mm. får lokket dem de overvåger til at installere en bagdør på deres smartphones - og ligeledes så opdages der jævnligt apps som gjorde mere end man troede de gjorde (af mere eller mindre ondsindet natur) - så der er rigtig mange måder at få adgang til dine sms'er på din tlf.

Husker du f.ex. at svare nej til en app - der tilfældigvis lige nævner at den også vil kunne læse dine sms'er ? Det kan en bank ihvertfald ikke stole på at flertallet gør :(

Derudover så indeholder telefoner idag, jo kun den funktionalitet som producenter og operatører ønsker at du får (læs de kan tjene penge på) - og jeg må indrømme at der er mange småting jeg godt kunne tænke mig at ændre på og da jeg er en stor tilhænger af software frihed, så glæder jeg mig til at få en telefon med fri software på (og KUN fri software) - og må indtil da leve med cyanogenmod (eller openmoko - men hardwaren er desværre for dårlig) og udover det, så er der jo desværre også indbygget diverse bagdøre i de chips der håndterer kommunikationen med gsm nettet - så bagdøre i dem, er bestemt ganske sandsynligt, selvom man har en fri telefon.

Så for at opsummere - det er ikke en særlig god idé at lade "den ting du har" være en anden computer - så er der ikke særlig langt, til at man bare hacker den også, når man vil have fat i dine oplysninger.

  • 5
  • 0
Jesper Poulsen

Det virker iøvrigt også på f.ex. Linux - har lige lavet en opdateret vejledning til hvordan det gøres (inkl. noget java workaround - fordi NemID ikke kan løse, hvad alle andre sjovt nok godt kan :) - sig til hvis i vil have link til blog om det.

Jatak. Jeg har også først fået OCES efter at hardwareløsningen kom på gaden. Jeg har indtil videre anvendt den på en Windows-installation.

Det er bare skammeligt, at hardwareudgaven af NemID ikke kan anvendes alle steder. Det er jo den sikreste udgave af NemID.

  • 1
  • 0
Erling Sjørlund

HK: Du foreslår at bruge en VM til alle hjemmesider, der kræver NemID. Det har jeg gjort længe.
Men med det forslag fjerner du jo reelt værdien af, at PET via NemID's trojanere let og uden dommerkendelse kan skaffe sig adgang til alle de data den enkelte borger har adgang til på sin computer. De eneste data der vil være at hente, er de, som PET allerede kender i forvejen.
Læg en NemID-VM ind på Version2's hjemmeside med en vejledning i dens installation og brug, og en begrundelse for, hvorfor man som borger bør beskytte sit privatliv.
Hvor lang tid tror du der ville gå inden en pæn mand i jakkesæt kom på besøg og "overbeviste" chefredaktøren om at den skulle fjernes igen?

  • 0
  • 0
Erling Sjørlund

Kalle har du da selv genereret den private nøgle, eller var den i dimsen da du modtog den?
Jeg havde en USB-nøgle i en kort tid da den kom frem - den døde ret hurtigt på grund af en produktionsfejl, og jeg fil aldrig anskaffet en ny. Jeg kan ikke huske, at jeg var indblandet på nogen måde i genereringen af den private nøgle.
Hvis man ikke selv og som den eneste genererer den private nøgle er det jo en pseudosikkerhed.

  • 4
  • 0
Jesper Lund
  • 4
  • 0
Klavs Klavsen

@Michael R.: Han har åbenbart slettet sit indlæg sidenhen..
@Lars S.: Når du har NemID på hardware, så har den (og bør ikke - ellers er der en ALVORLIG brist hos NemID/DanID) ingen tilknytning til papkortet (da man jo selv har genereret ens private nøgle på usb-tokenet og man derfor slet ikke KAN anvende den almindelige OCES løsning - de har jo ikke din private nøgle længere.

Mit papkort havde jeg i forvejen ikke nogen OCES tilknytning på - så den anvender jeg til min bank og IKKE andet.

  • 0
  • 0
Henrik Madsen

Kalle har du da selv genereret den private nøgle, eller var den i dimsen da du modtog den?
Jeg havde en USB-nøgle i en kort tid da den kom frem - den døde ret hurtigt på grund af en produktionsfejl, og jeg fil aldrig anskaffet en ny. Jeg kan ikke huske, at jeg var indblandet på nogen måde i genereringen af den private nøgle.
Hvis man ikke selv og som den eneste genererer den private nøgle er det jo en pseudosikkerhed.

Mener da det var fremme dengang at disse hardware dongles kom frem at din nøgle godtnok er genereret i det kort der er inde i donglen

Dog var det så vidt jeg husker noget med at for at få lov at signere en transaktion med donglen så skulle man have en kode (Pinkode) og DanID var i besiddelse af master koden (PUK koden).

Ergo vil det være fuldt ud muligt, i hvert fald for DanID at få adgang til din digitale identitet.

Derudover, når du ikke selv har genereret nøglen så er du jo igen nødt til at stole på DanID når de siger at nøglen bliver genereret i kortet og at de ikke har en kopi af nøglen et sted.

  • 0
  • 1
Kåre Fog

Jeg har ikke forstand på IT, så måske er min kommentar ikke relevant. Men altså: Som almindelig IT bruger plejer jeg at bruge Firefox som browser. Sidste sommer, da der kom en ny Java-version, kunne jeg ikke længere få NEM ID til at virke med Firefox. Da jeg genindlæste den gamle Java-version, virkede det; men det holdt kun en måneds tid, så blev den gamle Java-version taget helt ud.
Fra da af har jeg været nødt til at bruge Internet Explorer, fordi jeg ikke kunne logge på med Firefox. Det fungerer jo; men det støder mig, at et statsligt monopol på den måde tvinger alle brugere i Danmark til at bruge en bestemt browser. Eller har jeg helt misforstået det ? Kan man få NEM ID til at fungere med Firefox på nogen måde ?

  • 0
  • 0
Jesper Poulsen

Dog var det så vidt jeg husker noget med at for at få lov at signere en transaktion med donglen så skulle man have en kode (Pinkode) og DanID var i besiddelse af master koden (PUK koden).

Det er ikke korrekt.

Der skal en pinkode til for at låse den op første gang. Derefter genereres certifikatet i dens hardware. Den passhrase man baserer certifikatet på skal derefter indtastes ved brug. Glemmer man den er certifikatet tabt og et nyt skal genereres. DanID kan ikke hjælpe.

  • 0
  • 0
Joachim Michaelis

At man har valgt at skabe endnu et monopol er minsandten håbløst.

Dog synes jeg at den evindelige bashing af Java er unuanceret. F.eks. pointen med at Java er usikkert, fordi der bliver lavet mange sikkerhedspatches, mener jeg er lidt skæv: For er al software, der ofte bliver sikkerhedspatchet, så usikkert?

Jeg har godt nok også selv mistet lidt af tilliden til Java, men primært pga. det nu er Oracle og ikke Sun, der står bag. Og hvis vi virkelig skal helt af med Java og tænke lidt konstruktivt, hvad skal alternativet så være? Javascript? Er dét nutidens bedste bud på sikkerhed?

Og endelig er pointen med at "den PC baserede browser er død" en gang sensationsjournalistik, som trækker ned på en ellers god artikel.

  • 1
  • 1
Nils Bøjden

At man har valgt at skabe endnu et monopol er minsandten håbløst.

Det er nu ikke helt korrekt.

Det der er problemet er at man har skabt et monopol som man derefter har forankret i en privat virksomheder.

Men offentlige monopoler på infrastrukturområdet giver særdeles god mening. F.eks vand, kloak, veje, jernbaner og datakommunikation.

Så med NemId kunne man sagtens have skabt et Offentligt infrastruktur monopol (Verifiseringen) og et privat servicelag som kunne udnytte dette.

  • 5
  • 0
Jesper Lund

Og endelig er pointen med at "den PC baserede browser er død" en gang sensationsjournalistik, som trækker ned på en ellers god artikel.

Hvis du læser blogindlægget, vil du se at udsagnet er baseret på en statistisk analyse af user agent strings for et antal større danske websites, og her var mere end halvdelen af alle besøg fra mobile browsere.

Det er mere "facts" end det er "mening".

Personligt kommer jeg aldrig til at lave NemID ting fra en mobil browser, men det skyldes min holdning til IT-sikkerhed, og jeg er klar over at jeg i den henseende udgør et mindretal i samfundet.

  • 1
  • 0
Philip Grønbech
  1. Closed source (problem af åbenlyse årsager)
  2. Kører arbitrær kode som intet har med ID at gøre (som vi ikke ved hvad er - potentiale for backdoors/statstrojaner af forskellig art )
  3. Dårligt design, hvis det koster 50 mil og tager over et år at porte fra Java til JS er der altså noget helt galt.
  4. Når jeg bruger feks. Danske netbank på min tablet antager jeg at jeg bryder følgende klausuler i nemID's TOS:
    • ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt medium eller på anden måde digitalisere eller kopiere nøglerne
    og
    • du bruger NemID på en computer, hvor operativsystem, internetbrowser og øvrige programmer løbende bliver opdateret med de seneste sikkerhedsopdateringer.
  5. DanID kan ændre reglerne når de vil, og ændringerne gælder med det samme:
    3.10 Ændring af reglerne for brug af NemID
    DanID har ret til at ændre reglerne uden varsel,
  • 2
  • 0
Maciej Szeliga

Closed source (problem af åbenlyse årsager)


I går fik jeg så at vide (af en ung mand med god kendskab til IT) at hele problemet med NemID er Open Source og at man aldrig skulle have bygget noget så samfundskritisk oven på nogen Open Source (det er Java der menes med Open Source) fordi alle kan jo hacke skidted uden at nogen opdager det.

Jeg har ingen ide om hvor unge mennesker får de tåbeligheder ind i hovedet men de sidder der meget fast.

  • 4
  • 0
Klavs Klavsen

Eller 90% + af de store børser er Linux baseret (ingen kilde - modbevis gerne :).
Og at den engelske (ihvertfald iflg. nyhederne) - har prøvet windows først -og måẗte opgive og skifte til Open Source, for at få noget der fungerede :)
http://blogs.computerworld.com/london_stock_exchange_to_abandon_failed_w...

Osv. men Darwins lov skal jo 'fange' nogen - og så må de forblive i deres verdenssyn som de vil, alt imens vi andre nyder vores :)

  • 1
  • 0
Log ind eller Opret konto for at kommentere