Digital signatur kan misbruges i Firefox
-
af
MadDoG
, redigeret af Pernicious
mboost-dp1
unknown
Har jeg forstået det rigtigt ud når jeg ser det som TDC's fejl?
Burde de ikke bare have brugt GnuPG eller hvad det nu hedder og de tilhørende værktøjer som er gennemtestede og virker på alle platforme?
Burde de ikke bare have brugt GnuPG eller hvad det nu hedder og de tilhørende værktøjer som er gennemtestede og virker på alle platforme?
Det fremgår overhovedet ikke af artiklen hos hvilken part fejlen ligger.
Men det må vel være hos TDC, ellers ville det jo være muligt for alle at modificere en opensource browser til at kunne omgå den digitale signatur?
I øvrigt lyder det ikke somom de ved hvad problemet er, det virker lidt som én der har fundet fejlen & så vil ha' lidt media-attention, og ikke som normalt giver TDC en tidsfrist til at få lavet en patch?
Medmindre fejlen ligger hos Firefox er det altså dårlig stil at skrive en artikel der ikke placerer et ansvar, da det for den almindelige bruger lyder som om det er Firefox der er buggy..
Men det må vel være hos TDC, ellers ville det jo være muligt for alle at modificere en opensource browser til at kunne omgå den digitale signatur?
I øvrigt lyder det ikke somom de ved hvad problemet er, det virker lidt som én der har fundet fejlen & så vil ha' lidt media-attention, og ikke som normalt giver TDC en tidsfrist til at få lavet en patch?
Medmindre fejlen ligger hos Firefox er det altså dårlig stil at skrive en artikel der ikke placerer et ansvar, da det for den almindelige bruger lyder som om det er Firefox der er buggy..
Tja så kan folk lære IKKE at forlade deres computer uden at låse den.
Personligt er jeg rigtigt glad for jeg ikke skal indtaste kodeordet hele tiden.
Personligt er jeg rigtigt glad for jeg ikke skal indtaste kodeordet hele tiden.
Laver en copy/paste fra TDCs medarbejder portal. Den skal nok afklare det meste.
---------------------------------------------------------------
Digital Signatur fungerer også med Firefox
Presse/ Forvirring i medierne bunder i forkert installation.
Man behøver ikke bruge Microsoft Explorer for at få fuld sikkerhed med Digital Signatur. En korrekt installeret Digital Signatur er lige så sikker at anvende i de mindre browsere, som f.eks. Firefox.
Ingeniøren bragte fredag en historie om, at sikkerheden i Digital Signatur svigter, når signaturen installeres i en Firefox-browser. Men det sker kun, hvis signaturen ikke er installeret korrekt, forklarer afdelingsleder og ansvarlig for Digital Signatur i TDC Totalløsninger, Morten Storm Petersen.
[Morten Storm Petersen] - Installationsprocessen kan volde problemer for brugere af mindre browsere såsom Firefox, Opera, Mozilla og Safari, fordi brugeren under installationsproceduren er nødt til selv at gå ind i browserens menufunktioner og vælge at anvende en aktiveringskode til signaturen. Installationsproceduren er betydelig nemmere med Microsofts browser, siger Morten Storm Petersen.
TDC har udarbejdet en udførlig installationsvejledning til korrekt installation af Digital Signatur på de mindre browsere. Se link nederst i artiklen.
- Hvis brugeren af Digital Signatur i kombination med de mindre browsere har fulgt vores vejledning, er sikkerheden på Digital Signatur i Firefox fuldt på højde med sikkerheden i andre browsere. Vi arbejder hele tiden med at forbedre Digital Signatur, og vi har også fokus på, at installationen skal være så nem som muligt for alle browsere, fortæller Morten Storm Petersen.
Læs mere:
Vejledningen til at installere Digital Signatur i Firefox.
http://privat.tdc.dk/artikel.php?dogtag=tdc_p_digi...
---------------------------------------------------------------
Sådan, god læse lyst :)
---------------------------------------------------------------
Digital Signatur fungerer også med Firefox
Presse/ Forvirring i medierne bunder i forkert installation.
Man behøver ikke bruge Microsoft Explorer for at få fuld sikkerhed med Digital Signatur. En korrekt installeret Digital Signatur er lige så sikker at anvende i de mindre browsere, som f.eks. Firefox.
Ingeniøren bragte fredag en historie om, at sikkerheden i Digital Signatur svigter, når signaturen installeres i en Firefox-browser. Men det sker kun, hvis signaturen ikke er installeret korrekt, forklarer afdelingsleder og ansvarlig for Digital Signatur i TDC Totalløsninger, Morten Storm Petersen.
[Morten Storm Petersen] - Installationsprocessen kan volde problemer for brugere af mindre browsere såsom Firefox, Opera, Mozilla og Safari, fordi brugeren under installationsproceduren er nødt til selv at gå ind i browserens menufunktioner og vælge at anvende en aktiveringskode til signaturen. Installationsproceduren er betydelig nemmere med Microsofts browser, siger Morten Storm Petersen.
TDC har udarbejdet en udførlig installationsvejledning til korrekt installation af Digital Signatur på de mindre browsere. Se link nederst i artiklen.
- Hvis brugeren af Digital Signatur i kombination med de mindre browsere har fulgt vores vejledning, er sikkerheden på Digital Signatur i Firefox fuldt på højde med sikkerheden i andre browsere. Vi arbejder hele tiden med at forbedre Digital Signatur, og vi har også fokus på, at installationen skal være så nem som muligt for alle browsere, fortæller Morten Storm Petersen.
Læs mere:
Vejledningen til at installere Digital Signatur i Firefox.
http://privat.tdc.dk/artikel.php?dogtag=tdc_p_digi...
---------------------------------------------------------------
Sådan, god læse lyst :)
Det er Firefox der er problemet, hvis jeg har forstået det rigtigt.
Jeg bruger selv digital signatur i Firefox, og nu da det bliver nævnt, kan jeg da godt se sikkerheds-"bristen".
Men medmindre en indbrudstyv kommer ind og får fat i min computer er der ikke noget at råbe op for. (Medmindre at computeren står et offentligt sted)
Hvis en indbrudstyv skulle få fat i computeren kan han da gå hen og tage ting i skuffen der er nætsen lige så personlige som den digitale signatur.
Og hvis det nu ER sket, kan den digitale signatur jo spærres, hvorimod "fysiske" ting ikke kan leveres tilbage eller undgå at misbruges.
Jeg bruger selv digital signatur i Firefox, og nu da det bliver nævnt, kan jeg da godt se sikkerheds-"bristen".
Men medmindre en indbrudstyv kommer ind og får fat i min computer er der ikke noget at råbe op for. (Medmindre at computeren står et offentligt sted)
Hvis en indbrudstyv skulle få fat i computeren kan han da gå hen og tage ting i skuffen der er nætsen lige så personlige som den digitale signatur.
Og hvis det nu ER sket, kan den digitale signatur jo spærres, hvorimod "fysiske" ting ikke kan leveres tilbage eller undgå at misbruges.
Jamen godmorgen til ingenørden og it-unitetet. Sådan har det vist været i nogle år. Det er ikke et sikkerhedshul! lås din hoveddør, så er den vist løst!
Okay, undrede mig meget over hvordan det kunne lade sig gøre, første gang jeg læste om denne bug. Men man skal altså have indtastet kodeordet, hvorefter Firefox giver en mulighed for at gemme det? Det flytter jo ansvaret en hel del, og TDC kan jo ikke undgå at en browser giver mulighed for at gemme kodeordet for en signatur. Så jeg mener helt klart ansvaret ligger hos Firefox, der ikke burde kunne lade folk gemme deres kodeord til en signatur. Og endelig kan folk bruge sinsunde fornuft, og lade være med at gemme et password der kan udnyttes så nemt. Det fremgår ikke af nogen af de artikler jeg har læst.
Peter Kruse siger i artiklen, at
Det er forkert. Der findes der ingen magisk eller hemmelig måde til at frembringe ens master password i Firefox. Den eneste måde hvorpå dette kan lade sig gøre er ved at foretage en udtømmende søgning - og så taler man per definition ikke om at kodeordet knækkes.
Hvis man bruger et kodeord, som anbefalet af TDC, på mindst 8 tegn med store og små bogstaver, samt tal, så vil det tage omkring 700 år for en hacker/cracker at finde det rigtige kodeord.
Jeg finder det mildest talt en smule foruroligende, at blot fordi en eller anden systemadministrator hos IT Universitetet tydeligvis ikke kan finde ud af at følge en simpel guide, så hedder det nu i stort set samtlige danske medier at Firefox er usikker - specielt når andre browsere har langt værre sikkerhedsproblemer.
Der findes et lille værktøj, som kan bruges af enhver til at knække kodeordet.
Det er forkert. Der findes der ingen magisk eller hemmelig måde til at frembringe ens master password i Firefox. Den eneste måde hvorpå dette kan lade sig gøre er ved at foretage en udtømmende søgning - og så taler man per definition ikke om at kodeordet knækkes.
Hvis man bruger et kodeord, som anbefalet af TDC, på mindst 8 tegn med store og små bogstaver, samt tal, så vil det tage omkring 700 år for en hacker/cracker at finde det rigtige kodeord.
Jeg finder det mildest talt en smule foruroligende, at blot fordi en eller anden systemadministrator hos IT Universitetet tydeligvis ikke kan finde ud af at følge en simpel guide, så hedder det nu i stort set samtlige danske medier at Firefox er usikker - specielt når andre browsere har langt værre sikkerhedsproblemer.
Det er da overhovedet ikke nogen sikkerhedsbrist. Det er bare fordi udviklerne har undladt at implementere en åndssvag beskyttelse mod menneskelig dumhed...
Hele filosofien ved den måde Firefox har lavet systemet på er at man indtaster koden til sine digitale signaturer, og så styrer sikkerheden med Firefox's masterpassword. Hvis man ikke har noget master password, så er den digitale signatur frit tilgængelig på computeren, men så vidt jeg husker, så bliver man bedt om at vælge et master password når man indlæser en signatur som er underlagt master passwordet.
Det er skide fedt.
Det er måske derfor jeg har undladt at bestille en digital signatur, for det har jo været 100% sikkert fra starten af eller hvad.
Det er måske derfor jeg har undladt at bestille en digital signatur, for det har jo været 100% sikkert fra starten af eller hvad.
... og sikkerheden vil alligevel være højere i Firefox, da chancen for at få spyware der kan stjæle signaturen, og keylogge dit password, ... næsten ikke findes ! (*griner af IE*)
Og jeg gider ikke digital signatur.. skal åbenbart ringe til dem fordi at system et ændret siden jeg prøvede først gang (for 4-5 år siden).
Og derudover virkede det altså ikke i Firefox sidst jeg prøvede... så jeg gider slet ikke mere omkring det digital signatur's fis, de kan rende og hoppe
Og jeg gider ikke digital signatur.. skal åbenbart ringe til dem fordi at system et ændret siden jeg prøvede først gang (for 4-5 år siden).
Og derudover virkede det altså ikke i Firefox sidst jeg prøvede... så jeg gider slet ikke mere omkring det digital signatur's fis, de kan rende og hoppe
For lige at afklare en misforståelse der er ingen kode på din digitale signatur man kan flytte dem via krypterede PK#12 filer men den kode der intastes er bare krypterings nøglen til pk#12 filen ikke en kode på nøgleparet der bare er en rælle tekst strenge, det er op til det program der håndtere signaturen at sikre at nøgleparet gemmes med et password.
Firefox har så valgt bare at putte i sit generelle sikkerhedsmodul der dom default ikke er beskyttet hvilket selvsagt ikke er smart men den opbavare ikke en kode til din signatur for den kode har aldrig eksisteret.
Personligt gør jeg det at jeg importere min signatur fra en pk#12 fil når jeg skal bruge den og sletter den igen når jeg har ordnet det jeg skal.
Firefox har så valgt bare at putte i sit generelle sikkerhedsmodul der dom default ikke er beskyttet hvilket selvsagt ikke er smart men den opbavare ikke en kode til din signatur for den kode har aldrig eksisteret.
Personligt gør jeg det at jeg importere min signatur fra en pk#12 fil når jeg skal bruge den og sletter den igen når jeg har ordnet det jeg skal.
Bruger man en offentlig pc, har man sine nøgler på en usb-key, cd-rom eller floppy og installerer dem ikke permanent... det er per definition meget svært at beskytte dem hvis andre har adgang til maskinen og ved hvad de skal kigge efter.
<Flueknepperi>
Jeg tror der skulle have stået "installerer" i overskriften istedet for "installere" ;)
</flueknepperi>
Jeg tror der skulle have stået "installerer" i overskriften istedet for "installere" ;)
</flueknepperi>
Jeg er heller ikke vild med at firefox ikke spørger om password, hver gang min signatur skal bruges, men så er det jo dejligt at "IE tab" findes. Den skifter selv over til IE engine på de sider som man vælger.
Hvordan bruges digital signatur i IE, hvis det er mere sikkert end kodeordsbeskyttelse? Ellers gælder samme "alle kan jo bryde et kodeord, og det er jo let at stjæle en computer, og hvis nu den du stjæler den fra ikke opdager den er væk og får lukket sin signatur, så kan du jo....".
Det første jeg fandt irriterende ved Firebird, da jeg skiftede fra Mozilla var faktisk at man kun kunne beskytte sit digitale signatur med ens master password. Så var der også pludselig password på alle sider hvor ens password blev husket og hvad var fidusen så der. Jeg kører nu uden master password, på en bærbar havde jeg måske tænkt anderledes...
Passwords er ikke svaret på alle verden sikkerheds problemer, de bliver upraktiske og der skal altid være en beskeden sammenhæng mellemsikkerhed og anvendelse.
Passwords er ikke svaret på alle verden sikkerheds problemer, de bliver upraktiske og der skal altid være en beskeden sammenhæng mellemsikkerhed og anvendelse.
Som #25 skriver, finder jeg det også _rigtig_ pres at der nu skal indtastes masterkode når jeg kommer ind på sider der kan huske mit login. Bare fordi jeg har digital signatur, så skal alle mine, mere eller mindre, ligegyldige login hist og pist beskyttes af denne master kode.
Ville ønsker der var en eller anden form for sikkerhedsgruppering eller noget. Såsom lav, mellem og høj og så kan man bestemme hvilke grupper der skal beskyttes med kode.
Ville ønsker der var en eller anden form for sikkerhedsgruppering eller noget. Såsom lav, mellem og høj og så kan man bestemme hvilke grupper der skal beskyttes med kode.
#5 (pollefraskagen): Det kan man ikke sige noget generelt om. Hvis du mener hjemmecomputer, så er der ingen tvivl om at langt de fleste er ret nemme at få kontrol over.
#7 (Disky): Du kan ikke i Fx vælge at skulle skrive 'master password' (MP) ind /hver/ gang du benytter en signatur. Alternativt kunne man have et MP til certifikater og ét til det andet. (Teoretisk ville det ikke ændre noget, men i praksis kunne det tænkes at gøre en forskel. Der er en del steder hvor man kan benytte 'Den Fælles Pinkode', og dér ændrer det jo ikke det store; se evt. https://logon.kmd.dk/help_anvendelse.asp.)
#9 (hallavej): Teoretisk er det ikke et problem at der ikke kræves et MP fordi TDC foreskriver at man skal sætte et. I praksis gør det noget, fordi for nogle brugere er det godt nok hvis det bare virker -- og det gør det uden et MP. Utvivlsomt er der brugere der benytter den digitale signatur i Fx uden at have et MP, og det er som sådan et problem.
#12 (ltm): Der har været vislen i krogene om at Fx's måde at håndtere MP på ikke er helt god. Om det er sandt og i hvilket omfang det evt. er, ved jeg ikke.
Det er problematisk er det ikke fremgår tydeligere at man vitterligt /skal/ sætte et MP. Det er også problematisk at guiden ikke er opdateret ift. Fx version 1.5.
Fx kan godt være usikker selvom den er den mest sikre, men jeg er helt enig i at der er lige lovligt meget hype omkring det.
#15 (little-gun-42): Teoretisk, nej, i praksis, jo.
#16 (MadiZone) & #18 (Hekatombe): Det er ikke korrekt. Det lykkedes mig for få dage siden (fordi jeg opdaterede til Fx 1.5) at installere min digitale signatur og benytte den på eposthus.dk /uden/ at have noget MP.
#17 (djani): Du får ikke noget der i praksis er 100 % sikkert.
Hilsen en Fx-bruger.
PS. Blot en bemærkning: Jo, Firefox forkortes Fx.
#7 (Disky): Du kan ikke i Fx vælge at skulle skrive 'master password' (MP) ind /hver/ gang du benytter en signatur. Alternativt kunne man have et MP til certifikater og ét til det andet. (Teoretisk ville det ikke ændre noget, men i praksis kunne det tænkes at gøre en forskel. Der er en del steder hvor man kan benytte 'Den Fælles Pinkode', og dér ændrer det jo ikke det store; se evt. https://logon.kmd.dk/help_anvendelse.asp.)
#9 (hallavej): Teoretisk er det ikke et problem at der ikke kræves et MP fordi TDC foreskriver at man skal sætte et. I praksis gør det noget, fordi for nogle brugere er det godt nok hvis det bare virker -- og det gør det uden et MP. Utvivlsomt er der brugere der benytter den digitale signatur i Fx uden at have et MP, og det er som sådan et problem.
#12 (ltm): Der har været vislen i krogene om at Fx's måde at håndtere MP på ikke er helt god. Om det er sandt og i hvilket omfang det evt. er, ved jeg ikke.
Det er problematisk er det ikke fremgår tydeligere at man vitterligt /skal/ sætte et MP. Det er også problematisk at guiden ikke er opdateret ift. Fx version 1.5.
Fx kan godt være usikker selvom den er den mest sikre, men jeg er helt enig i at der er lige lovligt meget hype omkring det.
#15 (little-gun-42): Teoretisk, nej, i praksis, jo.
#16 (MadiZone) & #18 (Hekatombe): Det er ikke korrekt. Det lykkedes mig for få dage siden (fordi jeg opdaterede til Fx 1.5) at installere min digitale signatur og benytte den på eposthus.dk /uden/ at have noget MP.
#17 (djani): Du får ikke noget der i praksis er 100 % sikkert.
Hilsen en Fx-bruger.
PS. Blot en bemærkning: Jo, Firefox forkortes Fx.
for satan, nogle af de såkaldte sikkerhedskonsulenter lukker sateme noget værre bræk ud, de ved ikke en skid hvad de snakker om, man skulle tro de fik en million for hver gang de lukkede forkerte informationer ud..
jeg kan virkelig godt se, at firefox/digital signatur har en sikkerhedsfejl fordi man VÆLGER ikke at sætte en kode..
jeg tror jeg skal blive sådan en sikkerhedsgut, jeg kan da hurtigt smide verdens største sikkerhedsnyhed ud!
EKSTRA EKSTRA! windows kræver ikke at man sætter en kode!
EKSTRA EKSTRA! der findes programmer som tillader at huske andre koder, uden at selv have en kode til det!!!!
jeg kan virkelig godt se, at firefox/digital signatur har en sikkerhedsfejl fordi man VÆLGER ikke at sætte en kode..
jeg tror jeg skal blive sådan en sikkerhedsgut, jeg kan da hurtigt smide verdens største sikkerhedsnyhed ud!
EKSTRA EKSTRA! windows kræver ikke at man sætter en kode!
EKSTRA EKSTRA! der findes programmer som tillader at huske andre koder, uden at selv have en kode til det!!!!
"Problemet" er vel slet ikke noget problem hvis TDC's retningsliner (2.2) overholdes?
Spørgsmåler er så bare om Hr. & Fru Jensen kan finde ud af det.
Spørgsmåler er så bare om Hr. & Fru Jensen kan finde ud af det.
Må man lige påpege en sproglig fejl?
Ordet "sikkerheds-ekspert" kan ikke optræde i en sætning der indeholder "Peter Kruse" medmindre der er en negation mellem de to del af sætningen.
Den mand er ikke mere sikkrhedsekspert end min gamle far, og han ved ikke engang hvordan man sætter password på sin brugerkonto i XP. jeezus!
ON-TOPIC:
Ja, det er et problem at folk glemmer at sætte et master password i Fx, men er det så ikke også en sikkerhedsfejl når folk skriver deres passwords ned på en post-it note, limet fast til skærmen med teksten "Hemmeligt kodeord til netbank"?
Den her "nyhed" kan virkelig ikke bringe mit pis i kog over hvad de fortæller om, der imod er mit pis i det højrøde felt over den gang ligegyldige sprogspasseri og tanketomhed der har fået en redaktør til at klikke på "godkend" frem for "Afvist - for hjernelamt".
Hvis folk bruger Fx og ikke kan finde ud af at læse en guide, so what? Hvis lillemor hælder sprit i køleren på bilen er det sqda heller ikke Fords skyld når lortet springer i luften, så er det stadig lille fru Jensen der har fucket op.
Ordet "sikkerheds-ekspert" kan ikke optræde i en sætning der indeholder "Peter Kruse" medmindre der er en negation mellem de to del af sætningen.
Den mand er ikke mere sikkrhedsekspert end min gamle far, og han ved ikke engang hvordan man sætter password på sin brugerkonto i XP. jeezus!
ON-TOPIC:
Ja, det er et problem at folk glemmer at sætte et master password i Fx, men er det så ikke også en sikkerhedsfejl når folk skriver deres passwords ned på en post-it note, limet fast til skærmen med teksten "Hemmeligt kodeord til netbank"?
Den her "nyhed" kan virkelig ikke bringe mit pis i kog over hvad de fortæller om, der imod er mit pis i det højrøde felt over den gang ligegyldige sprogspasseri og tanketomhed der har fået en redaktør til at klikke på "godkend" frem for "Afvist - for hjernelamt".
Hvis folk bruger Fx og ikke kan finde ud af at læse en guide, so what? Hvis lillemor hælder sprit i køleren på bilen er det sqda heller ikke Fords skyld når lortet springer i luften, så er det stadig lille fru Jensen der har fucket op.
Desuden promter firefox heller ikke altid med kodeorsboxen fra start, for mig sker det tit 30 sekunder efter jeg har åbnet browseren.
Jeg har skrevet et Request for enhancement i Bugzilla. https://bugzilla.mozilla.org/show_bug.cgi?id=32267...
Hvor jeg beder om at der er gøres forskel på PKCS certificater og web passwords. Det er "sjovt" at der er flere muligheder for at sikre min gmail eller newz.dk konto (don't save password), end der er for at sikre mit certifikat.
Hvor jeg beder om at der er gøres forskel på PKCS certificater og web passwords. Det er "sjovt" at der er flere muligheder for at sikre min gmail eller newz.dk konto (don't save password), end der er for at sikre mit certifikat.
Det kan ikke karakteriseres som et sikkerhedshul det her.
Det er en måske en lidt uhensigtsmæssig måde firefox er opbygget på hvad angår de her signaturer, det er for nemt at installere signaturen på den forkerte måde.
Men at kalde det en sikkershedsfejl virker usagligt.
"A lack of attention on your part does not
constitute an emergency on my part"
Det er en måske en lidt uhensigtsmæssig måde firefox er opbygget på hvad angår de her signaturer, det er for nemt at installere signaturen på den forkerte måde.
Men at kalde det en sikkershedsfejl virker usagligt.
"A lack of attention on your part does not
constitute an emergency on my part"
#27
Man bliver ikke tvunget til at sætte et master-password, men når man f.eks. importere en signatur til Firefox for første gang, så kommer der er en dialog box frem, som beder dig at sætte master-passwordet (sidst jeg så det, var i Firefox 1.0.7, så jeg kan kun gå ud fra, at det stadigvæk er i firefox 1.5). Så det er korrekt, at man kan vægle ikke at havde nogen sikkerhed på sin signatur, men det er et bevist valg fra brugerens side.
#16 (MadiZone) & #18 (Hekatombe): Det er ikke korrekt. Det lykkedes mig for få dage siden (fordi jeg opdaterede til Fx 1.5) at installere min digitale signatur og benytte den på eposthus.dk /uden/ at have noget MP.
Man bliver ikke tvunget til at sætte et master-password, men når man f.eks. importere en signatur til Firefox for første gang, så kommer der er en dialog box frem, som beder dig at sætte master-passwordet (sidst jeg så det, var i Firefox 1.0.7, så jeg kan kun gå ud fra, at det stadigvæk er i firefox 1.5). Så det er korrekt, at man kan vægle ikke at havde nogen sikkerhed på sin signatur, men det er et bevist valg fra brugerens side.
#38 (Hekatombe): Det er ganske korrekt at man skal indtaste et kodeord for at installere et certifikat. Det er dog ikke MP man indtaster, men derimod koden til at dekryptere certifikatet. Jeg har /lige/ gjort det endnu en gang for at være 100 % sikker. Hvilken version bruger du og hvad gør du? Du husker vel at fjerne MP før du prøver, ikke?
#39
Det jeg gjorde:
1. Fjern ~/.mozilla biblioteket (så man har en 'ren' firefox installation, du kan få den til at gemme nogle passwords uden at bliver spurgt om at sætte master-password)
2. Gå ind i 'Håndtere Certificat'
3. Importere dit certificate
Her bliver jeg først spurgt om at sætte et Master-Password, hvilket er valgfrit, derefter bliver bliver jeg bedt om passwordet, som decryptere certificatet. (Det er firefox 1.0.7 på Gentoo)
Det jeg gjorde:
1. Fjern ~/.mozilla biblioteket (så man har en 'ren' firefox installation, du kan få den til at gemme nogle passwords uden at bliver spurgt om at sætte master-password)
2. Gå ind i 'Håndtere Certificat'
3. Importere dit certificate
Her bliver jeg først spurgt om at sætte et Master-Password, hvilket er valgfrit, derefter bliver bliver jeg bedt om passwordet, som decryptere certificatet. (Det er firefox 1.0.7 på Gentoo)
Jeg havde slet ikke overvejet at det ville gøre nogen forskel at sætte MP til "ingenting" og aldrig at have haft sat det, men det gør det tydeligvis. Jeg tog fejl -- tak for opklaringen!
I artiklen står der at man nemt kan knække firefox's Master Password. Er der nogen som kender til sådan et program og i så fald, hvor i ligger fejlen i Firefox? (Det eneste program jeg har kan finde, som kan knække firefox's M-P, er et brute-force program og den slags angreb kan man aldrig beskytte sig imod, når man har direkte læse adgang til password filen)
#43 det kan selvfølgeligt også gøres udefra, et andet aspekt er kyloggers der i princippet ophævet alt kodeords beskyttelse så har du først hackeren inde er du ikke sikret imod en skid.
Det interesante er så så vidt jeg kan se at denne "fejl" kan bruges af 3 pars sider til at få deres egne ting signeret med din signatur uden egentligt at bryde ind eller stjæle din signatur, men det er jeg ikke helt sikker på er tilfældet
Det interesante er så så vidt jeg kan se at denne "fejl" kan bruges af 3 pars sider til at få deres egne ting signeret med din signatur uden egentligt at bryde ind eller stjæle din signatur, men det er jeg ikke helt sikker på er tilfældet
#43, Der er ikke tale om en "remote exploit" i firefox. (dvs. man skal havde login adgang på maskinen som enten admin eller som den bruger der har installeret et certifikat, før dette "problem" er aktuelt)
Efter min mening så er det eneste nye i denne artikel, at den påstår at Firefox's master-password er svag dog uden at komme med nogen former for dokumentation for den påstand. Selv efter at havde læst denne artikel så har jeg ikke noget problemer med at lade firefox opbevare min digital signatur.
Efter min mening så er det eneste nye i denne artikel, at den påstår at Firefox's master-password er svag dog uden at komme med nogen former for dokumentation for den påstand. Selv efter at havde læst denne artikel så har jeg ikke noget problemer med at lade firefox opbevare min digital signatur.
#44
Hvor i artikelen står dette? Der står at alle med adgang til computeren kan bruge signaturen (her går man selvføglelig ud fra, enten at styresystemet ikke er et flerbruger system eller at man ikke udnytter at man har et flerbruger system installeret...)
Det interesante er så så vidt jeg kan se at denne "fejl" kan bruges af 3 par[t]s sider til at få deres egne ting signeret med din signatur [...]
Hvor i artikelen står dette? Der står at alle med adgang til computeren kan bruge signaturen (her går man selvføglelig ud fra, enten at styresystemet ikke er et flerbruger system eller at man ikke udnytter at man har et flerbruger system installeret...)
#47. Nu er min kendskab til kryptografi utrolig begrænset og jeg regner med at der er nogen kloge hoveder som kan komme med en mere dybde gående forklaring.
Men Firefox vil kun bruge et certifikat på sider som har det korrekte 'Server Certificat'. (dvs. signeret af TDC's OCES Certifikat)
Tilføjelse:
Jeg er sikker på at der er flere former for sikkerhed i certificat authentication, men siden jeg ikke forstår det, så lader jeg vær med at give min fortolkning af det
Men Firefox vil kun bruge et certifikat på sider som har det korrekte 'Server Certificat'. (dvs. signeret af TDC's OCES Certifikat)
Tilføjelse:
Jeg er sikker på at der er flere former for sikkerhed i certificat authentication, men siden jeg ikke forstår det, så lader jeg vær med at give min fortolkning af det
Det jeg finder mest irriterende, var at man ikke kunne installere sin digitale signatur uden brug af IE. Bagefter skulle man så tage en backup af sin nøgle, som man så kunne bruge i Firefox. Ja, dokumentationen var virkelig mangelfuld, for der var kun oplyst hvordan man gjorde i Mozilla, og ikke i Firefox på det tidspunkt jeg installerede den. Så måtte man gætte sig lidt frem.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund