MitID og Netbank

slettet220516
Antal: 9
Tilmeldt:
11-05-2022
User is offline
MitID og Netbank

Hej.
Jeg har lige fået MitID. Det virker fint på Borger.dk og e-Boks, men jeg får fejl meldinger når jeg prøver at logge på https://www.al-bank.dk/privat/netbank

Bruger jeg Firefox, så siger banken at jeg har ikke tilladt JavaScript. Bruger jeg Gnome Web, skriver banken at service er ikke tilgængelig i øjeblikket, prøv senere. Men banken tager fejl. Jeg har tilladt JavaScript i Firefox, og i uBlock Origin. Og jeg har prøvet med uBlock Origin slukket. Lige meget hjælper det. Og husk, min MitID virker på Borger.dk og e-Boks.

Jeg tog kontakt til banken og fik en smøre tilbage om at jeg skulle kontakte deres teknisk support. Det viste sig at være BEC i Roskilde. Og fra BEC fik jeg det simpel svar, at BEC ikke understøtter Linux. Basta. Mange tak for det. Undskyld ulejligheden.

Men husk, MitID virker fint på Borger.dk og e-Boks, og derfor må det være noget specifikt hos Bankernes EDB Central i Roskilde.

Jeg kan selvfølgelig lån min kones Windows maskine, men jeg er ikke Linux bruger for ingenting. Er der nogen forslag til hvad jeg kan gøre for at få MitID til at virke på netbank og Linux?

På forhånd tak


FrugalMan
FrugalMan's picture
Antal: 1780
Tilmeldt:
18-12-2007
User is offline
Har du prøvet me browseren

Har du prøvet me browseren Opera. Det virker i min netbank med Sydbank

"Man kan modstå alt undtagen fristelser" - Oscar Wilde

Frit Software


slettet220516
Antal: 9
Tilmeldt:
11-05-2022
User is offline
Det virker

Tak for det. Opera virker.

Men det er noget af en gåde at Firefox virker alle steder undtagen netbanken

Rettelse kl. 1437 ... Men jeg har slettet Opera igen. Det ser for mig ude som om Opera beskytter ikke vores privatliv i samme grad som Firefox.
Firefox med indskærpet indstillinger i about:config er nok det mest sikker og privat browser af alle ... undtaget Tor


ejvindh
Antal: 206
Tilmeldt:
17-05-2010
User is offline
Bare lige til oplysning, så

Bare lige til oplysning, så fungerer Mit-ID fint sammen med Firefox på den netbank, som er knyttet til Jyskebank. Jeg var også lige inde og teste, så al-bank.dk, og der så det også ud til at virke. Jeg blev naturligvis afvist til sidst (fordi jeg ingen konto har), men der var ikke noget brok i forhold til javascript...


slettet220516
Antal: 9
Tilmeldt:
11-05-2022
User is offline
skærpet sikkerhed

Takker. Nu tror jeg at problemet skyldes at jeg har skærpet Firefox sikkerheds indstillinger i about:config.

Jeg har lavet en hele række justeringer i about:config, f.eks. privacy.trackingprotection.fingerprinting.enabled ... og privacy.firstparty.isolate er begge slået til, hvorimod de er lukket som standard. Jeg har en stribe andre sikkerheds og privatlivs indskærpninger også. Men det forklarer ikke hvorfor netbanken siger at JavaScript er ikke slået til når JavaScript ER slået til. Det passer bare ikke hvad de skriver.

Men jeg har andre betænkeligheder. For nogle måneder siden skiftede jeg Telenor ude med YouSee. Telenor måtte forsvinde fordi jeg kunne se i UFW log at jeg var udsat for regelmæssig port scanning. Min Linux firewall blokeret det, men Telenords router firewall lod det passere til vores hjemmenetværk. Det kunne jeg ikke tillade. Jeg spurgte Telenor om opdatering af routeren's firmware, og om det var muligt at få bedre kontrol over routerens firewall. Telenor var slet ikke behjælpelig, og derfor skiftede jeg til YouSee. Alt imens brugte jeg whois i terminalen, og kunne jeg se at UFW havde blokeret bl.a. Bankernes EDB Central i flere portscanning episoder. Da jeg meldte det til BEC, afviste de kategorisk at de laver port scanning. Jeg kom aldrig tættere på en forklaring, men det glæder mig at melde, at YouSees router giver mig bedre kontrol over router firewall, og siden jeg fik YouSee har jeg ikke oplevet andre port scanning episoder.

Nå, jeg ved godt der her lyder som et "conspiracy theory", men jeg har mine betænkeligheder. Folk omkring mig taster rask væk på deres computere og smartphones uden at skænke det en tanke hvem der måtte gøre brug af deres kommunikationer. Og faktum er at DK har budt USA velkommen til at snage i vores samtaler. Mon ikke mine sikkerheds og privatlivs stramninger i Firefox har fået MitID til at svigte på netbanken? Og hvorfor skulle de det? Er det fordi nogen i bankvæsenet vil vide mere om min maskine end Borger.dk eller e-Boks?


FrugalMan
FrugalMan's picture
Antal: 1780
Tilmeldt:
18-12-2007
User is offline
Rettelse kl. 1437 ...

#2: Rettelse kl. 1437 ... Men jeg har slettet Opera igen. Det ser for mig ude som om Opera beskytter ikke vores privatliv i samme grad som Firefox.
Du kan også sikre Opera
https://www.opera.com/secure-private-browser

"Man kan modstå alt undtagen fristelser" - Oscar Wilde

Frit Software


slettet220516
Antal: 9
Tilmeldt:
11-05-2022
User is offline
Restore Privacy

#5:
Selvfølgelig skal vi ikke tro alt hvad vi læser, men disse Restore Privacy folk syntes at have god omdomme. De er hele tiden ude efter Google, og har ikke ret meget til overs for Opera

https://restoreprivacy.com/browser/secure/


slettet220516
Antal: 9
Tilmeldt:
11-05-2022
User is offline
Chromium virker

Tak til Frugal og ejvindh. Det var godt at konstatere noget virker!

Som ses ovenfor, MitID virker på Linux med Firefox og Opera. Men jeg har ikke appetit for Opera, og slet ikke for Firefox hvis jeg skal slække af på mine sikkerheds og privatlivs indstillinger. Derfor har jeg kigget efter en sikker og privat browser jeg kunne anvende alene til netbank.

Jeg konstatere at MitID virker også i Chromium snap fra Ubuntu. Jeg har holdt mig væk fra alt der har med Google at gøre, men nu kan jeg se at Chromium er udviklet af Canonical (altså, Ubuntus skabere).

Jeg konkluderer at MitID virker ikke med netbanking i Firefox når man har indskærpet privatlivs indstillinger. Bankens påstand om at JavaSscipt ikke er til er ikke korrekt. Og jeg syntes banken burde forklare hvad de har gang i.


ejvindh
Antal: 206
Tilmeldt:
17-05-2010
User is offline
Sådan lidt teknisk tror jeg

Sådan lidt teknisk tror jeg godt, jeg kan se for mig, at nogle af dine sikkerhedsindstillinger kan blokere for noget af det javascript, som er en uundværlig del af MitId, og at det derfor fra udviklernes perspektiv kan se ud som om, du har blokeret for javascript -- selvom du konkret så kun har blokeret _bestemte_ former for javascript...

Jeg mener nu nok, at Google også er med-udviklere af Chromium. Men ja, så længe det er opensource, hvilket Chromium jo er, så kan man jo principielt kigge i koden, og derfor vil det nemmere blive opdaget, hvis de indbygger alt for meget overvågning. Så mon ikke de holder den værste del af den slags tiltag i den lukkede kode, som hører deres egen browser til.


slettet220516
Antal: 9
Tilmeldt:
11-05-2022
User is offline
first party isolate

Sådan lidt teknisk tror jeg godt, jeg kan se for mig, at nogle af dine sikkerhedsindstillinger kan blokere for noget af det javascript, som er en uundværlig del af MitId, og at det derfor fra udviklernes perspektiv kan se ud som om, du har blokeret for javascript -- selvom du konkret så kun har blokeret _bestemte_ former for javascript...

Ja. En af mine indskærpninger i about:config er first party isolate. Det har slået mig at Arbejdernes Landsbank nok ikke behandler mine MitID data selv ... mon ikke de bare formidler dem videre til gad vide hvor. Hvis det er tilfældet vil Firefox nok ikke samarbejde med netbanken fordi mine data gives videre.

Det sjov er, at jeg har aldrig bøvl med first party isolate. Alle de websider jeg besøger virker fint og uden problem, og uden at mine data formidles videre til for mig ukendte personer. Men jeg kan godt forestille mig at MitID har lange tråde og vores data spredes meget længere end nogen forestiller sig. Og i bakspejlet, savner jeg en grundig forklaring hvorfor i det hele taget staten har sådan et samarbejde med bankerne, samt hvordan det virker i praksis. Er der ingen der interesserer sig? Hvad er meningen at staten skal samarbejde på denne måde med virksomheder som banker? Uanset hvor uskyldig det måtte være, nogle vil kalde det korporatisme, nogle vil endda sige fascistisk. Vi kan bare kigge til udlandet for at se hvordan andre håndterer disse sikkerheds og privatlivs spørgsmål med gode resultater, uden at stat og finansindustrien skal være forlovet.

Jeg har ikke tænkte mig at bruge Chromium til andet end netbank. På denne måde kan jeg fortsæt sikkert med min indskærpet Firefox, og alligevel logge på netbank engang imellem. Det vil vise sig hvor hvidt jeg kan brug MitID til lidt nethandel med Firefox, ellers må jeg lade være.


slettet220516
Antal: 9
Tilmeldt:
11-05-2022
User is offline
om first party isolate ...

Jeg er pragmatisk m.h.t. computere, og dermed ingen specialist. Men her står at med first party isolate aktiv, får folk problemer med at anvende Facebook eller Google konti til at åbne andre ting.

https://www.ctrl.blog/entry/firefox-fpi.html

Nå, men som jeg siger, jeg er pragmatisk. Jeg kan ikke anvende høje privatlivs indstillinger og MitID samtidig. Sagt på anden måde. MitID er ikke privatlivs venlig. Når nu ingen tilsyneladende har protesteret over MitIDs udvikling og indførsel gør det mig betænkelig. Det er som om vi har fået det trukket ned om ørene. Værs'go! Fait accomplis!


ejvindh
Antal: 206
Tilmeldt:
17-05-2010
User is offline
Du har helt ret i, at det er

Du har helt ret i, at det er ikke Arbejdernes Landsbank selv, der håndterer dit MitID-login. Det ville først for alvor blive et kæmpe sikkerhedsproblem, hvis der lå kode lokalt ude hos de enkelte sites, som den lokale webmaster så selv kunne "tilpasse" og "forbedre på" efter forgodt befindende. Jeg siger ikke at den nuværende arkitektur er uden problemer, men det andet ville være en fuldstændig spagetti-situation, hvor alle danskere i løbet af en uges tid ville risikere at have fået afluret alle deres mest private forhold. Derfor, ja, er det nødvendigt med eksekvering af javascript fra eksterne sites, hvis man vil bruge MitID.

Jeg kender ikke de indstillinger, som du piller i, men hvis du har slået eksekvering af ekstern javascript fra, burde du dog også have haft problemer på borger.dk og eboks. Men hvis din bekymring handler specifikt om sociale medier og google, så tænker jeg måske at en bedre løsning kunne være at blokere mere specifikt for disse -- fx gennem dit ublock-plugin.


marlar
Antal: 3266
Tilmeldt:
05-12-2009
User is offline
Når nu ingen

#10: Når nu ingen tilsyneladende har protesteret over MitIDs udvikling og indførsel gør det mig betænkelig

MitID er også mindre sikker end NemID. Problemet med MitID er at der kun er et brugernavn, intet kodeord. Og brugernavnet er ikke skjult med stjerner. Så hvis en medarbejder på kontoret kigger dig over skulderen kan vedkommende jo yderst let aflure brugernavnet. Og hvis du så derefter går ud og henter kaffe og personen også kender eller gætter telefonens kode, er der jo reelt frit spil.

Det er helt skørt at man fjerner det ekstra sikkerhedslag som adgangskoden giver.


mich
mich's picture
Antal: 1062
Tilmeldt:
13-10-2007
User is offline
Problemet med MitID er

#12: Problemet med MitID er at der kun er et brugernavn, intet kodeord.
Det gælder vist kun app'en, som jeg har fravalgt.

Når jeg skal bruge MitID for at komme i netbanken (og der var ingen vej udenom, hvis jeg fortsat ville bruge netbank), skal jeg indtaste brugernavn, adgangskode og en engangskode fra en kodeviser. Det svarer til proceduren ved NemID, men om det ene er mere eller mindre sikkert end det andet, kan jeg ikke lige gennemskue.
NemID har notorisk nogle svagheder og har været omgået, hacked eller snydt. Om MitID også har har svagheder og kan omgås (eller brugeren kan snydes), har vi nok ikke haft det længe nok til at vide endnu.

Jeg vil ikke have det (skidt) på min telefon, hvor jeg også får tilsendt SMS-koder fra banken ved køb på nettet.
Hvor meget to-faktor er der lige ved at have det hele på en enhed?

Beklager, hvis jeg lige fik hidset mig lidt op og skrevet for langt.

./mich