Sikkerhed - Nem-ID -Java

Nemid kræver et usikkert browser setup og en usikker java konfiguration fordi man har valgt at implementere dele af løsningen via rå systemkald.

En browser er designet til at blokere rå systemkald, derfor kan nemid ikke virke inden i en browsers sandkasse eller sikkerheds miljø men skal bryde ud af den, det gør nemid ved at kalde et java plugin.

Java har sin egen sikkerhedszone eller sandkasse men tillader signeret kode at bryde ud af sandkassen og køre rå systemkald den funktion kan slås fra men nemid kræver adgang til de rå system. Der er en mekanisme i java der garentere at kun betroede applikationer kan bryde ud men eftersom den mekanisme er svag og signature kan sjæles/købes er den dybest set til pynt.

En sikker browser vil derfor ikke værre kompatibel med nemid. ie du skal f.eks. skue ned for firefox normalle sikkerhedsnivou for at kunne bruge nemid fra firefox, hvilket ikke er god sikkerhedspraksis. Chrome har et tilsvarende nemid inkompatibelt default setup af sikkerhedsgrunde.

Løsningen her er ikke at bruge en browser der er usikker nok til at nemid virker i den til dagligt surf.

Et Java-plugin udgør en sikkerhedsrisiko i din browser.

Hvis man er tilpas paranoid, så kan man fint have en browser med Java-plugin (til Nem-ID) og en anden uden. Det vil reducere den pågældende risiko.

Personligt, synes jeg ikke det er besværet værd. Jeg kunne alligevel aldrig finde på at afvikle en Java-applet på en side, jeg ikke stoler på.

#2:
Hvis man er tilpas paranoid, så kan man fint have en browser med Java-plugin (til Nem-ID) og en anden uden. Det vil reducere den pågældende risiko.

Men du er nødt til at have browseren sat til kun at bruge java efter at have spurgt om lov og den blokerings mekanisme er endnu en fejlvektor.

I praksis handler sikkerhed om minimering af fejlvektorer og opstilling af blokader hvor man ikke kan. Ie en browser der automatisk loader nemID appletten vil værre mindre sikker en en der ikke kan afvikle den, med spørg om lov hver gang som et kompromis.

#0: Jeg er kommet ind i en diskussion, om hvorvidt det p.ga af sikkerheden omkring de to ovennævnte ting, er mere sikkert, at bruge to browsere i stedet for en, og hvorfor, jeg håber på lidt hjælp herfra.

Det er altid en god ide, at have mindst to browsere installeret. Den ene til nemid og den anden til surfing med Java deaktiveret. Vil man spille Java spil på internettet, så en tredje browser.

Der ud over bør man holde midlertidige filer, Internet, flash og Java cache rene. Til det kan man installere passende browser plugins, eksempelvis Click&Clean på Chrome, Empty Cache Button på Firefox, Adblock, Script Defender, Wot og Trafficlight der er mere eller mindre browser og platforms uafhængige.

Gider man ikke, eller glemmer man at rense cache manuelt, så installer Bleachbit der passer til operativsystemet, og på Windows og Macintosh CCleaner. Disse kan slette gemte form- og password oplysninger, der udgør yderlige sikkerhedsrisici.

Når man installere en browser, bør man altid kikke efter og ændre funktioner der forøger risici.

Hvis nogen prøver at bilde dig andet ind, iht din diskussion, så kan du hilse at sige, at de ikke aner et klap om hvad de snakker om. Jeg hører ofte folk nævne, at der aldrig er sket noget på deres OS, men når man kikker deres Windows OS efter i sømmene, så er de alle mere eller mindre inficeret med spyware. De mest stædige udtaler ind i mellem, at de ikke har noget at skjule, så skidt med det, men så får de blot at vide, at de ikke skal spørge mig en anden gang. Det plejer at fise ind.

Naturligvis er der forskel på operativsystemerne ang. sikkerhed. Windows er en million gange mere usikker, men sikkerhedsproblemerne vedr. Java, er reelle også med Mac og Linux.

Danid er iøvrigt ved at afvikle Java. Det skyldes naturligvis at Java ikke er egnet som secure logins.

Det har kun taget dem, og politikerne, ca 10 år at indse hvor tåbelig beslutningen er. Hvis man er i tvivl, så se finansrådes statistik over netbank indbrud. Eftersom bankernes egen org. Finansrådet er fedtet ind i beslutningerne om indførsel af Java, så forsøger de naturligvis at opretholde tillid.

http://www.finansraadet.dk/Tal--Fakta/Pages/statistik-og-tal/netbankind…

Læg eksempelvis mærke til formuleringen:

Tabets størrelse
Det beløb, som de it-kriminelle slipper af sted med. Banken dækker tabet for privatkunder. Beløbet korrigeres, såfremt nogle af pengene kommer retur.

Det betyder på jævnt dansk, at antallet af indbrud reelt er større end beløbene angiver.

Tak for hjælpen og rådene, ikke at tingene kommer som den helt store overraskelse, men det er alligevel værre end selv jeg troede.
Nu bruger vi så for eftertiden 3, jeg bruger Opera til surf, konen og børnene Google til spil og firefox til Netbank.

Jeg må sige, at det var gode argumenter jeg fik, selv min lillebror måtte give mig ret, selvom det gjorde ondt, nu vil der så også der blive brugt 3 browsere i fremtiden.

No pain no gain.

De top tre mest misbrugte applications er Oracle Java, Adobe Flash og Adobe PDF Reader.

De to sidste kan helt undværes på Windows maskiner, for Flash (ocx) og Adobe PDF Reader's vedkommende, ved at installere Chrome eller Maxthon og Firefox, hvor Chrome og Maxthon har indbygget Flash og PDF, og Firefox har indbygget PDF. Skal man bruge en rigtig PDF Reader, er et godt valg Nitro PDF eller Foxit Reader.

På Linux er Calibre, der også er E-Book Reader (epub), og også er til Windows og Mac, eller standard Dokumentfremviser, et godt valg til at erstatte Adobe PDF, og Chrome erstatter Flash. Det samme på Mac, hvor dens egen Billedefremviser fungere udmærket med PDF dokumenter.

På den måde kan man slippe af med to af de tre mest misbrugte programmer, og så vidt muligt få nogenlunde samme programflade på heterogeneous LAN.

Man kan også bare skifte til en netbank uden nemid. Hvorfor skal man bruge en bank der tvinger en til nemid?

#8: Man kan også bare skifte til en netbank uden nemid. Hvorfor skal man bruge en bank der tvinger en til nemid?


Jeg har fået en Android tablet i julegave. "Bare" en billig en. Jeg har overvejet at installere min banks app på den, og så skrotte adgangen via Nemid på en browser.

Min tablet har kun Wi-fi, så når app fx. ved overførsler sender en kode vil den komme på min telefon og den vil være random. Når man er færdig med at "besøge" sin bank slukker man jo sin tablet. Mit Wi-fi er WPA2 sikret.

Kunne det ikke være sikkert nok?

#9: Kunne det ikke være sikkert nok?

Du kan ikke være sikker på, at apps til Android er malware fri. Ligesom på computere, er sikkerheden afhængig af hvad man installerer. Selvom din banks apps er ren, så kan andre installerede apps teoretisk være malicious.

https://www.google.dk/search?q=malicious+apps+android&oq=malicious+apps…

-> #10

Puha. Jeg kan godt se hvad du mener, når man lige skimmer bare toppen af din søgning! Planen med tablet´en var egentlig bare til casual surf og så lidt spil til ungerne. Og set i lyset af det, er jeg ikke engang sikker på at jeg vil have hverken bank-app eller email derpå. Det vil jeg nok holde til min telefon, hvor der på ingen måde er eller bliver installeret spil. I det hele taget installerer jeg ikke unødige apps på min telefon. Kun det absolut nødvendige.

Det lyder til at du har meget styr på sikkerhed omkring den slags ting. Må man være så fri at spørge hvilken løsning du selv bruger, uden du behøver at gå i detaljer?

Det er værd at nævne at nemID's papkort faktisk giver en ret god MITM beskyttelse fordi du ikke kan opsnappe login credentials digitalt og bankerne bruger ikke den fiktive digital-signatur komponent.

Problemet er ikke så meget at nemID er usikkert men at det ikke virker på en PC opsat sikkert. Og at nemID's signaturdel ikke helt er hvad det udgiver sig for at værre.

WPA2 er ikke 100% sikkert men din banks app sender så heller ikke data i klartekst. Andoid bank apps er ikke i sig selv usikre og androds sandboks er gennerelt ok.

Når det kommer til trådløse netværk er der ingen der tror man kan sende følsomt data i klartekst og bankerne er gennerelt gode til at kryptere når det kommer til netbank systemer.

#11

Sikkerhed er en af mine primære arbejdsopgaver. Der burde ikke være noget problem med en bank app på android, så længe du ikke ukritisk installere apps på den. Ligesom med alt andet, skal du være stensikker på at installerede apps ikke er malicious.

Det er bedst at have noget dedikeret til seriøs brug, uanset hvilket apparat der er tale om (browsere m.v.), og så noget andet til sjov og mere useriøse ting.

Med hensyn til dit spørgsmål, så bruger jeg ikke netbank, men idag er man nødt til at have nemid til borgerservice. Politikerne skal så forholde sig til virkeligheden, hvilket undertiden synes noget problematisk ;-)

Jeg tror overhovedet ikke problemet er, at forholde sig til virkeligheden, jeg tror faktisk det er det man gør, fordi man ikke aner hvilket sikkerhedssystem man skal anvende, fordi man langt de fleste steder ganske udmærket er klar over, at dem der vil ind kommer ind, og man vil ikke betale hvad det koster, at ansætte de mennesker der ved så meget om sikkerhed, som er nødvendigt, den pris det koster, som de vil have for det.
Presset kan kun komme fra bankverdenen, som efterhånden har lagt hele deres personalepolitik an på, at det her system fungerer, og det værste der kan ske er, at det slipper ud i offenligheden, hvor stort problemet i virkeligheden er.

Hvis nogen her interesserer sig for sikkerhed, sådan lidt udover det sædvanlige, så læs lidt om kvantekryptering:

https://www.google.dk/search?q=kvantekryptering&oq=kvante+kry&aqs=chrom…

Jeg har kigget på en del af det med kvantekryptering, interessant!
Det der er min hovedinteresse omkring emnet er drømmen om det frie internet ( I have a dream - once ), i dag tror jeg, at det største håb hedder Edward Snowden.

#16: Jeg har kigget på en del af det med kvantekryptering

Hvis du er lidt mere teoretisk interesseret, så tilføj Niels Bohr til søgningen:

https://www.google.dk/search?q=kvantekryptering+niels+bohr&oq=kvantekry…

Hvis engelsk information er interessant, så søg med Quantum Key Distribution:

https://www.google.dk/search?q=Quantum+Key+Distribution&oq=Quantum+Key+…

Man kunne gætte på at egentlige kvante computerere bliver eksistentielle indenfor 10-20 år

#13: Med hensyn til dit spørgsmål, så bruger jeg ikke netbank, men idag er man nødt til at have nemid til borgerservice. Politikerne skal så forholde sig til virkeligheden, hvilket undertiden synes noget problematisk ;-)


1. Er det ikke ret omstændigt IKKE at bruge netbank nu om dage? Jeg mener..Der bliver jo færre og færre filialer pga. de øgede solvenskrav til bankerne?

2. Jeg kan ikke huske hvornår vores politikere sidst har forholdt sig til virkeligheden uden at dumme sig..:)

Vi bruger herhjemme godt nok netbank, omend dog i et begrænset omfang. Vi har istedet lavet et lavpraktisk system, som går ud på at vi 1 x per uge går fysisk i banken og hæver vores rådighedsbeløb. Det lægger vi i en pengekasse herhjemme. Og når der skal handles tager vi kontanter med. Vi har fundet at (for os) virker det bare mere overskueligt. Man (vi) har en tendens til at blive talblind når man handler "på beløbet". Og vi har fundet at vi simpelthen bruger færre penge på denne måde.

#18: 1. Er det ikke ret omstændigt IKKE at bruge netbank nu om dage? Jeg mener..Der bliver jo færre og færre filialer pga. de øgede solvenskrav til bankerne?

Jo bestemt, for mange. Jeg er så priviligeret, at jeg bor tæt på Arbejdernes Landsbank, og har derfor ikke behov for netbank. Banken er også en af de sundeste fha deres politik.

#18: 2. Jeg kan ikke huske hvornår vores politikere sidst har forholdt sig til virkeligheden uden at dumme sig..:)

Det kan jeg squ' heller ikke ;-)

#17
Nu vil jeg bruge en del tid på, at studere kvantekryptering, både fordi jeg har tid, og fordi jeg kommer i tanke om for mange år siden ( i mine unge dage ) interesserede mig for kvantefysik, det var spændende fordi det var så uforståeligt, men så kom der nogle andre ting i vejen b.la hende jeg er gift med og Ringenes Herre, der vist blev læst 4 gange 2 på dansk og 2 på engelsk, og så dukker det pludseligt op igen, i en helt anden forbindelse, spændendende, tak skal du have.

#20

Velbekommen, og nu du nævner Ringenes herre, så er nr. 2 i rækken af de tre film vedr. Hobbitten netop udkommet:

The Hobbit-The Desolation of Smaug

#20
Jeg må desværre vente, til den kommer på DVD, min læge på Neurologisk siger, at min epilepsi og 3D film ikke går sammen. Har du set den? Min lillebroder har og var ret begejstret.

Beklager jeg ikke fik svaret hurtigt. Travlt med forberedelserne til imorgen:

Lamb Curry, Basmati og Naan

Regner med at se den imorgen.

#22:
Jeg så den i 2D, så det er også en mulighed i biografen.
mvh
Joe

Fint, så vil jeg se den, hvor der er mulighed for det.

de viser den i Atlasbio i Rødovrecenteret. Der skulle de også bruge en anden slags 3d teknologi der gør at billedet er bedre i 2d end i andre biografer der viser 3d - noget med de ikke behøver at bruge et sølvlærred tror jeg nok det er.

anyway så så jeg den i 3d og det er i hvert fald den bedste 3d effekt jeg har set endnu - måske lige med undtagelse af planetariet.

Nåh nej, det fik jeg ikke skrevet, jeg bor i Silkeborg, så det skulle jo helst være omkring Silkeborg - Århus - Randers området.