Dennis Glindhart

Stort nedbrud rammer Borger.dk, NemId og andre tjenester

Og hvorfor er version 2 så langsom til at opdatere?

Man skal lige trykke Ctrl+F5 hver gang man lander på forsiden. Det er sat caching i din browser på 1 år på forsiden i Cache-Control headeren. (Er allerede meldt ind til dem, men åbenbart ikke løst endnu)

EDIT: Ser faktisk ud til at være løst nu, men kræver at klienterne lige får hentet forsiden en enkelt gang før det endeligt slår igennem.

23. juni kl. 12:59
Millioner af danskere bruger stadig kun e-Boks trods udbuds-nederlag til Netcompany

Man behøver hverken bruge mit.dk eller e-Boks for at modtage digital post fra det offentlige - det er begge private løsninger som bruger det nye "Digital Post API" - nok mest sammenlignligt med f.eks Outlook og Thunderbird bruger IMAP/POP3.

Hvis man ønsker at modtage post fra det offentlige uden at bruge de private udbydere kan man bruge "klienten" på borger.dk ved at klikke på Digital Post oppe i højre hjørne (eller gå direkte til post.borger.dk)

Derudover kan man så være mere eller mindre friviligt tvunget til også have e-Boks og/eller mit.dk hvis ens private arbejdsgiver, energi-leverandør eller noget helt tredje samarbejder og sender lønsedler, info, regninger etc. via de private løsninger.

17. juni kl. 09:03
IPv6 med egen CPE

Jeg har desværre også oplevet problemer med IPv6 den sidste ca. 1½ måned hvor jeg pludselig mistede default route efter det har kørt fint i lang tid. Jeg har været i dialog med deres support, men uden der rigtigt er kommet det store resultatet ud af det - de mener ikke at have ændret på noget omkring det tidspunkt.

Om det er samme problem skal jeg ikke gøre mig klog på, men timingen lyder rigtigt (omkring første uge af oktober ish hvor jeg lagde mærke til det).

Så vidt jeg har debugget mig frem til sender deres router/BNG ikke længere unsolicited route advertisements løbende, men udelukkende solicited (hvor CPE'en eksplicit spørger efter en route). Så jeg oplever konkret at IPv6 virker fint de første x minutter (afhængig af ra-lifetime) efter boot af routeren , hvorefter default routen udløber. Min router (Ubuquiti EdgeRouter) sender kun route solicitation ved boot/start af interface, og forventer derefter der løbende kommer unsolicited route advertisements for at holde den kørende (Vist en helt "efter bogen" forventning). (Jeg har ikke pcaps fra tidligere gemt til at underbygge et, men jeg antager at der tidligere er udsendt unsoclited RA's løbende - det er eneste logiske forklaring jeg er kommet på)

Jeg har gaffatape-fixet det ved at lave en statisk default route på routeren, og det har sådan set virket helt fint indtil videre - og indtil de ændrer IP eller lign. på routeren :)

set protocols static route6 '::/0' next-hop 'fe80::32:1' interface eth0

Jeg sidder på EWII's net med Ubuquiti EdgeRouter.

23. november 2021 kl. 21:52
2020: Spikes overalt

Hvis man er nysgerrig på hvordan nettet er bygget op i ens lokalområde - f.eks om der bliver brugt GPON eller P2P som her omtalt. Er det noget man typisk kan finde offentligt tilgængeligt hos f.eks Energiselskab eller hvem der nu ejer nettet? Eller er eneste måde at bestikke sådan en som dig med en øl i byen? ;)

1. januar 2021 kl. 18:26
IPv6 med egen CPE

Hej Anders + andre der har Kviknet og ønsker at bruge egen CPE.

Jeg er lige blevet kunde hos Kviknet og har ligeledes forsøgt mig med at få det til at virke med en Ubiquiti edgerouter - og det er faktisk lykkedes mig at komme igennem uden at skulle bruge specielle klienter.

Den option der ser ud til at gøre udslaget er IAID for NA (Non-temporary address) skal have værdien 1 (istedet for 0 som vist er default i de fleste DHCP-klienter).

Det burde være muligt at indstille i de fleste DHCP-klienter uden det store.

Specifikt på en EdgeRouter (vyatta baseret) eksiterer den option dog ikke i mangement-laget hvor den er hardcodet til id-assoc na 0, men man kan snyde lidt ved at replace na 0 med na 1 i scriptet der generer dhcp-config'en. (Testst på EdgeRouter firmware v 2.0)

$ sudo sed -i 's/na 0/na 1/g' /opt/vyatta/sbin/dhcpv6-pd-client.pl

Derefter er det bare at fyre de normale PD-settings af og commit'e så config'en bliver regenereret.

set interfaces ethernet eth0 dhcpv6-pd pd 1 prefix-length 48

set interfaces ethernet eth0 dhcpv6-pd pd 1 interface switch0 prefix-id ':1'

set interfaces ethernet eth0 dhcpv6-pd pd 1 interface switch0 host-address '::1'

set interfaces ethernet eth0 dhcpv6-pd pd 1 interface switch0 service slaac

Håber det kan hjælpe :)

8. oktober 2020 kl. 21:03
Danske hostingudbydere forsømmer DNS-sikkerhed: Under én procent af .dk-domæner sikret med DNSSEC

Det lyder som en god måde at holde på kunderne på :-D
Men er et skift ikke bare et spørgsmål om at sætte TTL ned til få minutter, og lave det hele forfra en nat.

. Man kan sagtens registrere flere samtidige DNSSEC-nøgler så både din gamle og nye DNS-udbyders nøgle er valide samtidig i overgangsperioden, så ingen grund til bekymring hvis man ikke er natteravn

28. september 2016 kl. 13:26
Afløser for den 40 år gamle TCP-protokol er på vej

Der findes allerede et par alternativer til TCP/UDP - bl.a. SCTP og DCCP. Nogen der ved hvilke garantier og hvordan de performer i forhold til Giga?

Umiddelbart er en stopklods, som formegentlig også gælder Giga, at NAT-traversal er et problem da alle NAT-devices på vejen skal understøtte/fortolke protokollen. Alternativt kan IPv6 falde ned fra himlen verden rundt.

25. januar 2016 kl. 17:41
Certifikatcirkus

Jeg har for nyligt skrevet Bachelor-projekt netop med udgangspunkt i dette problem.

Det bestod basalt set af indledende overvejelser om brug af DNSSEC som Secure Entry Point for validering/distribuering af certifikater. Det fungerer selvfølgelig under den antagelse af at man kender det korrekte domæne for et givent firma/endpoint. Whois opslag burde så mere eller mindre kunne lave denne validering, afhængig af hostmasterens validering ved domæne-registrering.

Efterhånden som DNSSEC bliver rullet ud burde dette langsomt kunne blive et alternativ. Der er nogle mere eller mindre væsentlige problemer i forhold til NAT med domæne -> server mappingen helst skal være mere eller mindre unik. IPv6 afhjælper dog dette.

Projektet var i praksis mest fokuseret på at benytte dette til initialisering af IPSec forbindelser, men teorien burde kunne overføres til SSL/TLS.

14. december 2012 kl. 08:29
Reklamerne i gratis Angry Birds grovæder din telefons batteri

Jeg tror der menes at det er strømmen der bruges på at overførre reklamerne via Data-netværket, og ikke så meget at det er selve visningen af reklamerne når de først er modtaget lokalt på telefonen.

20. marts 2012 kl. 17:03
Stem med dine fødder: Skift til en internetudbyder med IPv6

hvorfor skulle jeg bruge tid på at finde en ligeså god forbindelse som jeg har nu (pris/hastigheds) som har IPv6 i stedet for IPv4 som ikke gør min forbindelse dyre?
Jeg vil ikke kunne få noget ud af det før div service vil kræve dem

Det er lige præcis pointen som artiklen i første linje skriver:

Uanset om man er slutbruger, netværksadministrator eller internetudbyder, så er der lige nu ikke mange praktiske argumenter for at vælge IPv6 frem for IPv4. Bortset fra fremtidssikringen

Det er netop derfor at RIPE-direktøren kommer med denne opfordring i håb om at sætte mere gang i udviklingen.

14. januar 2012 kl. 15:26
Stem med dine fødder: Skift til en internetudbyder med IPv6

»Der er ingen nye tjenester, som kun kører på IPv6, så funktionaliteten er ikke større end med IPv4. Det kommer til at ændre sig over de næste måneder og år, hvor ikke alle tjenester kommer til at køre på begge protokoller,« siger Axel Pawlik.

Sludder - Man får da lov at se den dansende skildpadde på www.kame.net

Hvis der var mulighed for at skifte til en anden udbyder med IPv6-support gjorde jeg det da glædeligt. Problemet er jo, som mange nok allerede har bemærket, at der i Danmark ikke findes nogle udbydere man kan skifte til.

Senest igår ringede jeg til Telenor for at høre status, da de for et halvt år siden sagde at jeg skulle prøve igen ved denne tid. Jeg endte dog med at måtte "stave" IPv6 for en supporter - på trods af jeg i min udtale af IPv6, netop siger et bogstav adgangen... altså staver det.

Svaret, efter at have hørt sig ad hos de "højere" magter, var desværre som det plejer - "Det der IPv6 noget er ikke offentligt endnu". Jeg må køre videre på Sixxs.

13. januar 2012 kl. 16:22
Skal du med bussen? CPR-nummer, tak

Nu er i hvert fald grillbaren i Tølløse nærmest lig med stationen ;) - Så helt ucentralt i forhold til offentlig transport er det ikke

13. oktober 2011 kl. 11:26
NemID-token forsinket til efter sommerferien

Det kræver ikke mere "konspiration" end at staten, eventuelt via en dommerkendelse, beordrer DanID til at gøre det. Her citerer jeg blot det høringssvar som DanID har skrevet til Folketinget. Det er ikke noget som jeg selv finder på.

Hvad er det for en høringssvar du henviser til? Jeg har personligt ikke kendskab til nogen love der skulle give staten/ministerier beføjelser til give en sådan tilladelse, men hvis en sådan eksisterer er det da klart fouroligende. Men indtil da er vi beskyttet af at der skal et flertal i folketinget til for at tillade det, så vidt jeg ved.

1. juni 2011 kl. 16:41
NemID-token forsinket til efter sommerferien

Men helt ærligt.. Hvor svært er det at pushe en ny applet til danskerne i morgen? Og hvis DanID en dag blev beordret til at aflure et password, ville vi aldrig få det at vide.

Med de sikkerheds-procedurer der er implementeret hos DanID hvor bl.a. Udviling og idriftsættelse er 2 skarpt adskildte "afdelinger" ville det kræve en konspiration med op til flere personer. ¨

Brute-force angreb muligheden må også eksistere selv om DanID ikke har kommenteret det aspekt.

Jeg ved ikke om det er tilfældet, men det er vel teknisk muligt for HSM'en at være beskyttet mod bruteforce hvor den simpelthen lukker for keyen (eller sletter den) efter et antal forkerte forsøg.

De har da fuld læserettighed til alle harddiske (inkl. dem man har adgang til via netværk). DanID har en tunnel mellem deres server og brugerens maskine. Hvad der foregår på den tunnel ved kun DanID selv.

Det er korrekt og jeg forstår din pointe. Jeg er selv ret kritisk hvad angår det punkt og det var også det første spørgsmål jeg spurgte Peter Damkjær om da jeg fik chancen. Dog vil jeg igen henvise til overstående med seperation af udvikling og idræftsættelse hos DanID. Derudover kan du jo bruge værktøjer som ProcessExplorer eller lign. for at se hvad appleten går ind og laver. Det burde selvfølgelig ikke være nødvendigt for brugeren at holde øje med det - Det er vi enige om.

1. juni 2011 kl. 16:25
NemID-token forsinket til efter sommerferien

Blev der derimod brugt et krypto-nøgekort som indeholder nøgle, men ikke kan udlæse det ville det begynde at ligne noget.

Nøglerne bliver genereret og gemt i en HSM. Uden at have det store kendskab til HSM'er vil jeg da mene det stortset er hvad du efterspørger - bare på centralt niveau.

Som Erik Jacobsen skriver, skal vi jo stole på noget et eller andet sted. Om vi så stoler på DanID's valg af HSM producent må så være hvad diskussionen skal lyde på.

Personligt er jeg pt. af den overbevisning at en HSM er bedre istand til at sikre min private nøgle sikker end at nøglen er i min varetægt - uanset hvor godt jeg føler jeg har sikret mit maskineri. Selvfølgelig er der stadig muligheden med en uafhængig ekstern token pr. person.

Hvis man har et system som SMS PASSCODE, hvor nøglen ikke eksisterer før login sessionen (er ikke pre-kalkuleret som det er tilfældet med tokens og papkort), så er man ikke udsat for at nøglen kan stjæles/kompromiteres til senere brug. En real-tids nøgle er en nøgle, der genereres på baggrund af den specifikke login session og eksisterer kun for det login forsæg.

Det er så vidt jeg ved også tilfældet for Bank-delen af NemID. Når der logges ind generes der en kort-tidsnøgle, lidt svarende til de gamle nøglefiler, som så bruges i den Netbank-session. Om ikke andet er det i hvert fald en forbedring i forhold til den gamle netbank-model med nøglefilen lokalt, hvilket netop var en af de vigtigste problemer at løse med NemID.

1. juni 2011 kl. 14:17
Danmarks 12 mand store cyberforsvar er i luften

Er jeg den eneste der synes et budget på 8 millioner til 12 mand lyder lidt undervurderet?

En hurtig hovedregning giver, antaget at hele budgettet går til løn, en månedsløn på ca. 55.000 kr. Hvad ligger en nogenlunde seriøs sikkerheds-fidus på?

Går ud fra der også er en del omkostninger til udstyr, administration og hvad der nu følger med.

Synes umiddelbart det er lidt lavt sat.

21. december 2010 kl. 14:21
Version2's julegave til dig: 1 måneds gratis sky

Jo tak. Kunne da godt bruge en til at prøve at se hvorvidt jeg kunne få integreret nogle POS-systemer med synkronisering op mod Azure.

20. december 2010 kl. 12:05
Nyt tilbud: Drop papkortet og få NemID-koder på mobilen - mod betaling

Var en af NemID's primære argumenter for pap-kortet ikke netop den fysiske sikkerhed hvor det krævede at man både fik adgang til den digitale del (cpr og password via keylogger eller lign.) og derudover det fysiske papkort.

Med deres bud på en løsning hvor en app på telefonen generer koden. Gør de så ikke netop det stik modsatte? Så behøver man kun overtage telefonen, så har man adgang til det hele, da man jo også bruger telefonen til at logge på?

Er der noget jeg har overset, eller har de lige modsagt sig selv på nok en af de vigtigste argumenter for NemID?

9. december 2010 kl. 09:58
Minister jubler: Nu har 80.000 danskere fået NemID

Jeg har frivilligt bestilt NemID og er ganske godt tilfreds. Nu kan jeg endelig undgå at skulle slæbe rundt på diverse nøgle-filer til banker og evt. digital-signatur på USB stick for at logge på fra andre maskiner. Pap-Kortet ligger fint sammen med diverse andre plastik-kort man er blevet pålagt :)

Når man lige har prøvet logon et par gange går det faktisk ret hurtigt - Selvfølgelig ikke så hurtigt som hvis den gamle digitale signatur er installeret og man bare skal indtaste adgangskode, men et par sekunder fra eller til er altså ikke et problem i min verden.

Og ja, man kan sagtens nøjes med én NemID til det hele. Jeg bestile det via NemID og da jeg fik det ringede jeg til banken og sagde jeg havde fået NemID og 30 sekunder senere kunne jeg logge på banken med det.

Ang. brugernavn - Jeg har fravalgt at have et brugernavn og bruger istedet mit CPR-nr som brugerid når jeg logger på. Ganske nemt. De fleste burde kunne huske deres CPR-nr. - Så opskure brugernavne er kun hvis man selv vælger det.

Når man først er logget på netbank og skal betale regninger så behøver man ikke bruge sit nøglekort hver gang. I hvert fald i Danske Bank skal jeg kun bruge nøgle-kortet når jeg logger på, og ved godkendelse af en regning kan jeg nøjes med adgangskoden. Skal ikke kunne sige om andre banker har implementeret det anderledes, men det kan åbenbart lade sig gøre sådan, og NemID skal ikke have skylden for hvordan bankerne vælger at implementere det.

26. juli 2010 kl. 20:20
Klagenævn konfiskerer HTML-fri domæner

Der er lidt flere ting i denne sag som artiklen ikke nævner noget om.

Hvis man går ind og læser dommen hos Domæneklagenævnet vil man få øje på flere ting der kan retfærdiggøre afgørelsen.

http://www.domaeneklager.dk/uploads/2009-0016-eof.dk

Bl.a. at der ikke har været givet dokumentation for at domænet har været aktivt brugt, og en forvirende lille historie om at domænet pludselig pejede på et helt 3 firmas hjemmeside og lidt sjov virksomheds-bytten-rundt.

Har kun lige kigget det hurtigt igennem, men ville bare lige gøre klart, at der er flere ting i sagen end som så, der virker lidt mistænkelige og kunne (måske) godtgøre udfaldet af dommen.

15. september 2009 kl. 19:30