Niels Dybdahl

Rss
Personligt feed med nye kommentarer i tråde, du overvåger:
https://www.version2.dk/mit/0/kommentarer?token=HPnHcLYhJ8jCXC_UoTnfzqY2R9xpwMBmKONAZAek0jk

Kommentarer

Kommentar til Odense til Datatilsynet for 4. gang: Må vi ikke nok bruge Google Apps?

Re: Fra en der bruger UNI-C's system dagligt

Ok jeg ved godt at skolen er en del af problemet, men backupen og hente noget fra den og ligge det ind igen er helt SIKKET UNI-C og det virker IKKE. Jeg har en formodning om at det faktisk ikke er Uni-C men Skolesoft som har udviklet Skoleintra: http://www.skoleintra.dk/skolesoft/index.html ...
Kommentar til Odense til Datatilsynet for 4. gang: Må vi ikke nok bruge Google Apps?

Uni-Cs sikkerhed

Indtil for nylig var der et problem i Skoleintra, hvor "Afslut"-knappen i elevintra ikke lukkede sessionen. Dvs at andre uden problemer kunne komme til bla elevernes elevplaner. Uni-C var godt klar over problemet og beskrev det i vinduet hvor man logger på. Men med Firefox var problemet...

Re: Ekstra sikkerhed er ekstra godt

Selve phishingen må kunne modarbejdes med nogle små simple programmer. Det drejer sig vel blot om at man ikke lige får nærstuderet adresselinien ordentligt. Det er ikke lige der problemet er. F.eks hvilken af følgende tre loginadresser til webbanker er phishingadressen: jyskenetbank.dk, port...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: Email inden transaktioner udføres

Ok så du har beskyttet dig selv, men hvad med dem der kun har en email addresse. Ikke er særlige kompetente på nettet. Phishere som kun anvender phishing via email vil normalt prøve at angribe et stort antal personer samtidigt. Chancen for at en af dem ville opdage det ville være ret stor og...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: Det er givet at ChipTAN

Tilslut terminalen til computeren/smartphone (evt biometrisk login/pin kode på dimsen).. Normalt kan en almindelig webside ikke tilgå hardware. En signeret Java-applet kan dog godt, så med Java kan det nok godt lade sig gøre. Dog er det ikke alle platforme som understøtter Java-applett...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: Det er givet at ChipTAN

PS: Hvordan kan det være at de Danske banker reelt kan holde andre europæiske banker ude ved disse systemer, uden at blive dømt af EU for konkurrenceforvridende aftaler. De bruger nok samme system som de bruger til at forhindre danskere i at få EC-kort. EC-kortet svarer i Tyskland næsten til...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: Email inden transaktioner udføres

Hvis jeg ville hacke dig, kan jeg sandysnligvis også interagere med din email Et rent MitM angreb giver dig ikke adgang til min email. Hvis du inficerer min PC, så kan du godt få adgang til min privatemail, men hvis jeg får banken til at sende bekræftelsen til min arbejdsemail, som jeg modta...

Re: Forsinkelse og SMS

@Baldur Norddahl, Social engineering, skrive at de oplever problemer med forkerte beskeder på chipTAN. Mon ikke snarere der menes følgende: http://www.redteam-pentesting.de/publications/2009-11-23-MitM-chipTAN-co... Her henvises til 2 problemer med chipTAN: 1. Hvis man skal overføre mange b...

Re: Forsinkelse og SMS

Vil den ikke stadig have lidt af samme svaghed som NemID har? ... Og når chipTAN siger at man er igang med at logge på netbank, er det det offeret forventer. chipTAN vil godt nok hjælpe på problemet med at hvis ens "golfklub", vil bruge ens login til at logge på netbank med, så siger...

Re: Forsinkelse og SMS

Den rigtige løsinge er End-To-End kryptering, og authentication, hvor man benytter sikrede terminaler (som i øverigt allerede eksistere, og koster omkring 200-400dkk/styk, og ville havde været billigere end NemID løsningen). Der er et eksempel i diskussionen http://www.version2.dk/artikel/fo...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Email inden transaktioner udføres

Der har før været nævnt at banker kunne udsende en email inden selve pengeoverførslen udføres, så man har tid til at opdage hvis man har været udsat for et MitM angreb. Jeg spurgte min bank (Finansbanken) om de havde sådan en mulighed og det har de faktisk. Desværre kan man slå emailudsendelsen f...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: Hele humlen II

Nogen der kan uddype dette? Kræver det ikke bare at eventuelle gerningsmænd sender de blinkende firkanter som de modtager over til brugeren? De blinkende firkanter indeholder krypteret information om hvad man godkender og denne information bliver vist på skærmen på platikdimsen. Så en MitM k...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: sikkerhed på nettet

jeg overvejede et system fra giritech for et par år siden ... så popper der et login vindue op hvor man kan indtaste username + password ... jeg vil gerne høre om nogen ser nogen svagheder ved den ide ? Hvis login vinduet popper op på PCens skærm, så er det muligt for malware at lave sit e...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: Hele humlen II

chipTAN løsningen er meget sikker mod MITM, men den er da også helt vildt besværlig at bruge. Givet at nøglekortet netop fik meget kritik for at være for besværligt, så tror jeg ikke det vil blive godt modtaget i befolkningen at lave en løsning som er endnu mere besværlig. Det har du sikkert...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: Hele humlen II

Dog ikke dyrere end at de kan finde ud af det i Tyskland Smart. Til dem der har problemer med det tyske, så koster den 11-15 € inkl forsendelse, dvs under 100 kr.
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: Hele humlen II

Så vidt jeg kan se er det korrekt at realtime man-in-the-middle angreb ikke kan undgås med NemIDs løsning. Men hvilken løsning vil så kunne undgå det? Det kan en løsning hvor der er en krypteringsnøgle hos brugeren, som ikke kan stjæles. Den gamle løsning havde en krypteringsnøgle hos bruger...
Kommentar til Forsker: Vi har kun set begyndelsen på NemID-phishing

Re: Min løsning

Jeg er enig i at login altid bør udføres på samme side, så brugerne kan se om det er en gyldig side at logge ind på. Så vidt jeg husker, benyttede "den fælles pinkode" dette princip.

Re: hvem fik emailen?

De finske på finsk. Den fra skat på noget mærkeligt dansk.

Re: Email ved transaktion?

Hvorefter banken så sender en email til den gamle adresse on ændringen.

hvem fik emailen?

For at besvare det stillede spørgsmål om det kun var nordeakunder som fik emailen, har jeg kigget i mit spamfilter (jeg er ikke hos nordea). Emailen var der ikke, men der var to som bad mig logge ind på en fupside for den finske nordea og en som bad mig logge ind på en fupside for skat.