mboost-dp1
Sun
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Ja det er utroligt at NemID skal bruge java fra oracle. Men man springer over hvor gæret er lavest. Det skal selvfølgelig være platform uafhængig men det kunne jo også gøres gennem andre platforme eller ved at bruge standarder.
Det er jo et problem i Danmark da vi jo potentielt er et rigtig nemt mål da alle computere stort set bruger java pga. netbanking herhjemme eller bare for at kommunikere med kommunen. Så behøver man ikke man in the middle angreb, da man kan "fake" de officielle netbank sider og så når der skal logges ind så spejler man hjemmesiden så navigeringen foregår via remote control og så når personen logger af så er der frit spil for dem som har kontrol over pc'en.
Det er netop også derfor man ikke skal køre med administrator rettigheder konstant men have en standard bruger med begrænsede rettigheder og gør brug af UAC i vista/7/8
Det er jo et problem i Danmark da vi jo potentielt er et rigtig nemt mål da alle computere stort set bruger java pga. netbanking herhjemme eller bare for at kommunikere med kommunen. Så behøver man ikke man in the middle angreb, da man kan "fake" de officielle netbank sider og så når der skal logges ind så spejler man hjemmesiden så navigeringen foregår via remote control og så når personen logger af så er der frit spil for dem som har kontrol over pc'en.
Det er netop også derfor man ikke skal køre med administrator rettigheder konstant men have en standard bruger med begrænsede rettigheder og gør brug af UAC i vista/7/8
f-style (4) skrev:Ja det er utroligt at NemID skal bruge java fra oracle. Men man springer over hvor gæret er lavest. Det skal selvfølgelig være platform uafhængig men det kunne jo også gøres gennem andre platforme eller ved at bruge standarder.
Er Java ikke platform uafhængigt og en standart i sig selv?
bbb2020 (8) skrev:Er Java ikke platform uafhængigt og en standart i sig selv?
http://da.wikipedia.org/wiki/Standart
Det er kun for at gøre dig opmærksom på "stavefejlen".
f-style (4) skrev:Ja det er utroligt at NemID skal bruge java fra oracle. Men man springer over hvor gæret er lavest.
Nu er gær som regel osse meget lavt.
Nå, men ud over at lave sjov med stavefejl - hvilke andre frameworks/sprog/whatever kunne Nets i virkeligheden have brugt? Som har bedre sikkerhed og samme eller bedre udbredelse.
(Jeg prøver ikke at starte den store "NemID er noget lortekode" diskussion, så hold det sobert :-)
m|E|g|A (7) skrev:Bruger stort set ikke netbank fra browser længere, bruger kun appet på min iPhone, så er man også fri for NemID og java lort, håber aldrig det bliver en del af min banks mobil app.
Tja det er måske en mulighed for nogle, men netbank appen har ikke de store muligheder indenfor investering og aktier. - jo man kan se kursen, men man kan ikke handle.
En løsning baseret på https og ganske almindelige html forms ville have været mere sikker end deres java applet. Der er ikke behov for tredjepartskode på klienten. En browser uden nogen form for scripting eller plugins er tilstrækkeligt til at lave en sikker løsning, og det var den platform man skulle have udviklet til.lorric (10) skrev:hvilke andre frameworks/sprog/whatever kunne Nets i virkeligheden have brugt?
Brugerne skal starte enhver session på et kendt https domæne under .dk. Det kunne have været nemid.dk/,]https://[url][/url]nemid.dk/,[/url] hvis ikke det lige var fordi det var optaget.
Første side beder om brugernavn og password.
Anden side beder om engangspassword og har radio buttons til at vælge hvilket site man vil ind på. Der kunne vises de ti sidste sites man har brugt og som default være valgt "andet", der vil sende brugeren videre til en liste over alle sites tilmeldt nemid.
Men https er da afhængig af certifikaterne, ikke sandt? Og var der ikke en del uro sidste år med certifikater der blev stjålet og misbrugt ...?
Jo. Og det er NemID også. Forskellen er bare at efter NemID blev indført er det blevet sværere at opdage om der bruges forfalskede certifikater, fordi der bruges flere forskellige certifikater.karstenharder (17) skrev:Men https er da afhængig af certifikaterne, ikke sandt?
Med NemID blandes flere forskellige https domæner sammen og der bruges også et certifikat til signatur på applets. Det betyder at man kan bryde sikkerheden ved at angribe blot et enkelt af alle de certifikater.
Før NemID blev indført var der banker, som kun brugte et enkelt https domæne, og derfor var der kun et enkelt certifikat man skulle holde øje med.
Ud over alle disse punkter er der som nævnt andre nye svagheder i NemID, fordi det er afhængig af to nye stykker tredjepartssoftware på klienterne.
milandt (16) skrev:I Danske Banks netbank app kan du handle aktier og værdipapirer.
Og Bankdatas version kan også (Sydbank, snart Jyske Bank og en lang række mindre banker)
lorric (10) skrev:hvilke andre frameworks/sprog/whatever kunne Nets i virkeligheden have brugt? Som har bedre sikkerhed og samme eller bedre udbredelse.
Desværre laver jeg ikke hjemmesider og beskæftiger mig med den slags. Men det brude kunne laves i html5 med noget css, måske i noget php. Java er et stort sikkerhedsbrister, for der skal kun et hul til at kunne angribe alle i danmark stort set.
Det kan godt være der bare mangler de rigtig dygtige programmører til den her slags opgave. Java er okay, men problemet er at det automatisk kører i de fleste browsere og ikke spørger om lov inden det køres. I chrome f.eks. spørger den om siden skal have lov til at køre, hvis dette blev gjort i alle browsere ville det øge sikkerheden en hel del.
Lad os bare håbe der ikke kommer en storm af angreb mod danske brugere.
lorric (10) skrev:Nu er gær som regel osse meget lavt.
Nå, men ud over at lave sjov med stavefejl - hvilke andre frameworks/sprog/whatever kunne Nets i virkeligheden have brugt? Som har bedre sikkerhed og samme eller bedre udbredelse.
(Jeg prøver ikke at starte den store "NemID er noget lortekode" diskussion, så hold det sobert :-)
De kunne nøjes med https + html + javascript...
Jaja der findes også kritiske fejl i java script engines men så ville man ha muligheden for at skifte browser/os for at sikre sig.
Nu hvor NemID har valgt java applet og oracle samtidig åbenlyst ikke satser på java mere sidder de i saksen...
karstenharder (17) skrev:Men https er da afhængig af certifikaterne, ikke sandt? Og var der ikke en del uro sidste år med certifikater der blev stjålet og misbrugt ...?
OG? Der bruges også https til slemID/netbanke nu. Og det Java applet der bruges til slemID log on signeres med samme type certifikat som dem man bruger til https....
"Nyheden" er godt nok af lav kvalitet :-(
Synes det er synd at Newz er sunket så lavt.
"Java sikkerhedsopdatering hjalp ikke"
Jo den gjorde, og betvivler man, så har man tydeligvis ikke forstået det mindste af problematikken.
Der bliver hele tiden fundet "nye/ukendte" fejl i programmer (såkaldte 0days), men disse fejl er for den brede befolkning først farlige når de aktivt exploites (og der ikke findes en rettelse til dem). Med mindre man er et 'high profile target' så skal man ikke frygte 0days.
Security Explorations arbejder med at finde 0days (som de lovligt sælger). Security Explorations siger ikke hvad fejlene er til offentligheden (det holder de fortroligt), de siger bare "vi har fundet en fejl i produkt X" (mens de self. gør køberen opmærksom på alle detaljerne om fejlen).
Den fejl der tales som (det var faktisk 2 fejl) bliver aktivt exploitet. Den er enormt stabil og enormt nem at udnytte, så derfor er den enormt farlig. Det var ikke Security Explorations som afslørede denne fejl, de gjorde bare opmærksom på at den fejl de fandt for lang tid siden, er den samme fejl som nu exploites (altså 2 forskellige personer har fundet samme fejl).
Alle Security Explorations' andre fejl er ikke farlige, fordi de eneste som kender til disse fejl er Security Explorations samt Oracle. Om Oracle udgiver en rettelse nu eller tester dem endnu mere og først udgiver dem om 2 måneder gør ikke det store (så længe ingen andre finder dem, og går igang med at udnytte dem).
Derfor HJÆLPER Oracles rettelse. Og da de ikke har rettet de andre fejl endnu, ja så virker de stadig (doh).
Men jo, en fejl bliver ikke rettet, og så findes den stadig.. lad os da endelig få en nyhed om det -.-'
Synes det er synd at Newz er sunket så lavt.
"Java sikkerhedsopdatering hjalp ikke"
Jo den gjorde, og betvivler man, så har man tydeligvis ikke forstået det mindste af problematikken.
Der bliver hele tiden fundet "nye/ukendte" fejl i programmer (såkaldte 0days), men disse fejl er for den brede befolkning først farlige når de aktivt exploites (og der ikke findes en rettelse til dem). Med mindre man er et 'high profile target' så skal man ikke frygte 0days.
Security Explorations arbejder med at finde 0days (som de lovligt sælger). Security Explorations siger ikke hvad fejlene er til offentligheden (det holder de fortroligt), de siger bare "vi har fundet en fejl i produkt X" (mens de self. gør køberen opmærksom på alle detaljerne om fejlen).
Den fejl der tales som (det var faktisk 2 fejl) bliver aktivt exploitet. Den er enormt stabil og enormt nem at udnytte, så derfor er den enormt farlig. Det var ikke Security Explorations som afslørede denne fejl, de gjorde bare opmærksom på at den fejl de fandt for lang tid siden, er den samme fejl som nu exploites (altså 2 forskellige personer har fundet samme fejl).
Alle Security Explorations' andre fejl er ikke farlige, fordi de eneste som kender til disse fejl er Security Explorations samt Oracle. Om Oracle udgiver en rettelse nu eller tester dem endnu mere og først udgiver dem om 2 måneder gør ikke det store (så længe ingen andre finder dem, og går igang med at udnytte dem).
Derfor HJÆLPER Oracles rettelse. Og da de ikke har rettet de andre fejl endnu, ja så virker de stadig (doh).
Men jo, en fejl bliver ikke rettet, og så findes den stadig.. lad os da endelig få en nyhed om det -.-'
#25
Du har til dels ret, men når de kunne udnytte et "nyt" sikkerhedshul efter kun få timer, så er der jo heller ikke langt til at andre kan - f.eks. dem som fandt fejlen efter Security Explorations. Nu ved andre jo også, at der ikke skal meget til.
Uanset hvad, så synes jeg, at det virker lidt sløset fra Oracles side af.
Men ja, overskriften er en smule EB, men så er det heller ikke værre.
Du har til dels ret, men når de kunne udnytte et "nyt" sikkerhedshul efter kun få timer, så er der jo heller ikke langt til at andre kan - f.eks. dem som fandt fejlen efter Security Explorations. Nu ved andre jo også, at der ikke skal meget til.
Uanset hvad, så synes jeg, at det virker lidt sløset fra Oracles side af.
Men ja, overskriften er en smule EB, men så er det heller ikke værre.
TezlaByte (9) skrev:Det er kun for at gøre dig opmærksom på "stavefejlen".
Det er kun for at gøre dig opmærksom på "at du bør få dig et liv".
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.