mboost-dp1
Åbent brev til Danid
En diskussion her på newz fik mig til at overveje et potentielt sikkerhedshul i sikkerhedsmodelen omkring nemids applet.
Jeg sender derfor denne email til Danid for at forhøre mig om hvad de har gjort for at beskytte brugerne:
Jeg har et spørgsmål omkring sikkerheden i nemid. Jeg håber at I vil sende dette spørgsmål videre til en person med den nødvendige tekniske indsigt til at give et fyldestgørende svar.
Indholdet af denne email er blevet offentliggjort. Jeg vil gerne bede om jeres tilladelse til også at offentliggøre svaret. Såfremt I ikke ønsker svaret offentliggjort vil det blive respekteret.
Derudover vil jeg gøre opmærksom på at jeg under alle omstændigheder vil offentliggøre min egen holdning til det svar I giver mig.
Mit spørgsmål er hvorledes I sikrer brugerne imod kompromittering af sikkerheden i følgende scenarie.
1. Danid udgiver et signeret eksemplar af nemid appleten.
2. En bruger tilgår et website der anvender denne signerede applet.
3. Brugeren giver tilladelse til at appleten kan modificere filer på dennes computer.
4. Danid finder et sikkerhedshul i appleten der kunne misbruges til at overtage kontrollen over brugerens computer ved at modificere andre filer end dem som var tiltænkt.
5. Danid udgiver en ny udgave af den signerede applet som ikke længere har samme sikkerhedshul.
6. Efter alle sites med legitim anvendelse af appleten er blevet opdateret kommer detaljer omkring sikkerhedshullet i den gamle version til offentlighedens kendskab
7. Brugeren fra før tilgår et ondsindet website som hoster et eksemplar af den fejlbehæftede version af appleten.
8. Dette ondsindede website anvender sikkerhedshullet til at opnå fuld kontrol over brugerens computer.
Jeg sender derfor denne email til Danid for at forhøre mig om hvad de har gjort for at beskytte brugerne:
Jeg har et spørgsmål omkring sikkerheden i nemid. Jeg håber at I vil sende dette spørgsmål videre til en person med den nødvendige tekniske indsigt til at give et fyldestgørende svar.
Indholdet af denne email er blevet offentliggjort. Jeg vil gerne bede om jeres tilladelse til også at offentliggøre svaret. Såfremt I ikke ønsker svaret offentliggjort vil det blive respekteret.
Derudover vil jeg gøre opmærksom på at jeg under alle omstændigheder vil offentliggøre min egen holdning til det svar I giver mig.
Mit spørgsmål er hvorledes I sikrer brugerne imod kompromittering af sikkerheden i følgende scenarie.
1. Danid udgiver et signeret eksemplar af nemid appleten.
2. En bruger tilgår et website der anvender denne signerede applet.
3. Brugeren giver tilladelse til at appleten kan modificere filer på dennes computer.
4. Danid finder et sikkerhedshul i appleten der kunne misbruges til at overtage kontrollen over brugerens computer ved at modificere andre filer end dem som var tiltænkt.
5. Danid udgiver en ny udgave af den signerede applet som ikke længere har samme sikkerhedshul.
6. Efter alle sites med legitim anvendelse af appleten er blevet opdateret kommer detaljer omkring sikkerhedshullet i den gamle version til offentlighedens kendskab
7. Brugeren fra før tilgår et ondsindet website som hoster et eksemplar af den fejlbehæftede version af appleten.
8. Dette ondsindede website anvender sikkerhedshullet til at opnå fuld kontrol over brugerens computer.
Så vidt jeg ved anvendes samme certifikatinfrastruktur som til SSL. Da Comodo i starten af året kom til at udgive nogle forkerte certifikater valgte flere browserleverandører at udgive opdaterede versioner af browserene med en indbygget blacklist over certifikater der ikke skulle accepteres. At man valgte at gøre det var fordi det var for nemt at forhindre browseren i at opdage at certifikatet var annulleret.Killa (2) skrev:De kan vel bare få et nyt certifikat, og annullere det gamle.
kasperd (5) skrev:"Er det korrekt forstået at I ikke har nogen procedure for at udrulle sikkerhedsopdateringer til jeres applet?"
Svar fra Danid:
Ikke nødvendigt, når vi ikke laver fejl.
Corholio (8) skrev:Du vil gentagende gange blive forbløffet over den mængde inkompetence der findes i software-udvikling, generelt .... ikke bare inden for DanID.
Der hvor jeg ser allermest inkompetence, er hos folk som svarer på henvendelser fra offentligheden.
Det er ofte studiemedhjælpere, indere eller hvad man nu kan finde af billigst mulig arbejdskraft, som det meste af tiden svarer på hjernedøde henvendelser. Når der kommer noget interessant opdager de det ikke, og fyrer et af deres standard-svar af. Eller også synes de at henvendelser med lidt kød på ikke er interessante, og så fyrer de et standard-svar af så de kan komme videre.
kasperd (7) skrev:Jeg tror ikke Danid har den nødvendige inkompetence til at sende sådan et svar.Zhadow (6) skrev:Svar fra Danid:
Jeg vil mene at #8 har ret. Du ville formentlig blive overrasket over den inkompetance der findes og jeg mener ikke kun det er hos kodefolket men over alt.
Selv deres chef it sikkerhedsmand. Peter et eller andet der på et tidspunkt sagde at nemid overholder PKI standarden på trods af at den private nøgle ikke kontrolleres af brugeren som PKI standarden ellers foreskriver den skal.
Men som udgangspunkt har #9 nok ret i at langt de fleste sære svar kommer fra billige studieansatte.
Det må tiden vise. Nu skal de lige have lov til at bruge en uges tid til at besvare mit spørgsmål. Hvis ikke de kan overbevise mig om at de har taget højde for situationen bliver mit næste træk nok at bede Datatilsynet om at tage et kig på problematikken.myplacedk (9) skrev:Der hvor jeg ser allermest inkompetence, er hos folk som svarer på henvendelser fra offentligheden.
Hubert (10) skrev:Selv deres chef it sikkerhedsmand. Peter et eller andet der på et tidspunkt sagde at nemid overholder PKI standarden på trods af at den private nøgle ikke kontrolleres af brugeren som PKI standarden ellers foreskriver den skal.
1) Han siger noget som ikke er helt gennemtænkt og korrekt formuleret
2) Det bliver taget ud af sammenhæng
3) Han er ikke PR-mand, og har dårlig evne til at undgå disse to problemer
Det ville jeg ikke gå så højt op i som du gør. (Men du går så tilsyneladende også højt op i det, du nævner det i hvert fald tit.)
Jeg er da langt mere interesseret i om PKI-standarden rent faktisk er overholdt, og om afvigelserne er med god grund.
Men bortset fra det, er det vel et fint eksempel på at hvad man får som svar når man henvender sig (som kunde, potentiel kunde eller journalist) ofte ikke er særligt meget værd.
Hubert (10) skrev:Selv deres chef it sikkerhedsmand. Peter et eller andet der på et tidspunkt sagde at nemid overholder PKI standarden på trods af at den private nøgle ikke kontrolleres af brugeren som PKI standarden ellers foreskriver den skal.
Gør den? Og med 'den' menes der præcist hvad? PKI er infrastrukturen og i sig selv ikke en standard. Link?
Hvis man kigger i X.509 - ISO/IEC 9594-8:2008 så finder jeg faktisk følgende:
7.1 Generation of key pairs
...
...
Three ways in which a user's key pair may be produced are:
a) The user generates its own key pair. This method has the advantage that a user's private key is never released to another entity, but requires a certain level of competence by the user.
b) The key pair is generated by a third party. The third party shall release the private key to the user in a physically secure manner, and then actively destroy all information relating to the creation of the key pair plus the keys themselves. Suitable physical security measures shall be employed to ensure that the third party and the data operations are free from tampering.
c) The key pair is generated by the CA. This is a special case of b), and the considerations there apply.
Edit: formatting
myplacedk (12) skrev:1) Han siger noget som ikke er helt gennemtænkt og korrekt formuleret
2) Det bliver taget ud af sammenhæng
3) Han er ikke PR-mand, og har dårlig evne til at undgå disse to problemer
Det ville jeg ikke gå så højt op i som du gør. (Men du går så tilsyneladende også højt op i det, du nævner det i hvert fald tit.)
Jeg er da langt mere interesseret i om PKI-standarden rent faktisk er overholdt, og om afvigelserne er med god grund.
Men bortset fra det, er det vel et fint eksempel på at hvad man får som svar når man henvender sig (som kunde, potentiel kunde eller journalist) ofte ikke er særligt meget værd.
Nej han er tekniker. Ingen tvivl om han uden tvivl også er dygtig til sit arbejde. Jeg kender ikke manden men jeg håber da ikke at han har fået den position han har uden at have kvalifikationerne i orden.
Det var så vidt jeg husker en q&a arrangeret af danid.
Det undrer mig ikke at du ikke mener det er relevant at bringe op fordi det kaster jo ikke just et positivt lys over nemid løsningen men det må da alt andet lige være relevant når man taler om hvilke svar man kan få fra danid.
kasperd (7) skrev:Jeg tror ikke Danid har den nødvendige inkompetence til at sende sådan et svar.Zhadow (6) skrev:Svar fra Danid:
Der er så to muligheder:
1) Du får et ordenligt svar, hvor de skriver bl.a.bl.a.
2) De skriver "der er ingen fejl"
Hvis de svarer 1, så står der imorgen i ekstrabladet "NEMID INDRØMMER AT DER ER MASSERE AF FEJL yaddayadda"
Hvis de svarer 2 så bliver du sur, men resten af danmark føler sig mega trygge.
Jeg holder stadig på 1.
Pally (14) skrev:Bemærk:
Jeg påstår ikke NemID opfylder b). Min påstand er at "private nøgle ikke kontrolleres af brugeren som PKI standarden ellers foreskriver den skal" er et noget tyndbenet argument.
Nej det ville da også være mærkeligt at du skulle påstå noget der på ingen måde har hold i virkeligheden. Det var så vidt jeg husker ham selv der påstod at de levede op til PKI standarden på trods af at denne skulle sige at den privat nøgle skulle kontrolleres af brugeren. Jeg har forgæves forsøg at finde den pågældende artikel igen men den burde være til at finde såfremt jeg gad bruge mere tid på det.
Hubert (15) skrev:Det undrer mig ikke at du ikke mener det er relevant at bringe op fordi det kaster jo ikke just et positivt lys over nemid løsningen
Hold nu op med dit pis.
Jeg siger ikke noget om at det ikke er relevant. Faktisk siger jeg at det er et godt eksempel.
Og så er jeg træt af dine beskyldninger om at være biased for NemID.
myplacedk (18) skrev:Hold nu op med dit pis.
Jeg siger ikke noget om at det ikke er relevant. Faktisk siger jeg at det er et godt eksempel.
Og så er jeg træt af dine beskyldninger om at være biased for NemID.
Hvilken beskyldning? Jeg kan ikke mindes at du har anderkendt kritik af nemid. Er det faktisk tilfældet skal jeg være den første til at beklage at jeg har taget fejl.
Og jeg kan se at jeg har misforstået dit indlæg og tillagt dig noget du ikke har givet udtryk for det skal jeg også beklage.
Hubert (19) skrev:Hvilken beskyldning?
Den jeg citerede. Du skriver jo at jeg skulle mene at al kritik af NemID er irrelevant. Det gør jeg overhovedet ikke.
Hubert (19) skrev:Er det faktisk tilfældet skal jeg være den første til at beklage at jeg har taget fejl.
OK.
Hubert (19) skrev:Og jeg kan se at jeg har misforstået dit indlæg og tillagt dig noget du ikke har givet udtryk for det skal jeg også beklage.
Fair nok.
Hubert (19) skrev:Jeg kan ikke mindes at du har anderkendt kritik af nemid.
Jeg gider ikke lede, men du kan få noget bedre end anerkendelse af kritik - du kan få lidt kritik direkte fra mig:
Det er sgu da klart at de bliver overvældet med support-henvendelser, med alle de usability-problemer de har skabt.
Her er nogle eksempler, som jeg ikke aner om de har rettet op på, men som jeg personligt har observeret mig eller en bekendt have problemer med:
Hvis man har NemID til banken med uden OCES, så logger man selvfølgelig ind på nemid.nu for at oprette sig på OCES-delen. Forkert, man skal lade være med at logge ind, og så bestille et helt nyt NemID, selv om det overhovedet ikke er det man vil. Tumpet!
Hvis man bestiller NemID direkte på NemID.nu, kan man ikke bruge det i banken. Så skal man henvende sig til bankens support for at blive oprettet der. Der er intet med at bankens systemer kan henvende sig til NemID's system, og siger "jeg har en person her med et NemID-nummer jeg ikke kender - hvem er det?" - man skal oprettes manuelt i bankens system, og vente nogle dage op at det ryger til NemID og tilbage igen.
Brevene der kommer når man får NemID er uoverskuelige. Det er så simpelt at aktivere skidtet, og alligevel har man adskillige A4-sider med alt muligt ævl. Man skal ikke have meget tendens til at blive forvirret, før det bliver svært at finde rundt i. Der skal stå med store fede bogstaver hvad man skal gøre, i stedet for at sprede de brugbare informationer rundt mellem ævl og bævl. (Dog er det selvfølgelig nødvendigt at aktiveringskoden står for sig i et selvstændigt brev.)
Og hvad gør de ved at supporten er overvældet? Bruger flere ressourcer på support, slækker på målene, forsøger at give noget af aben til bankerne, og lader de grundlæggende problemer være.
(Og så kan du selv gætte hvilken tråd der inspirerede mig til at tage netop dette kritik-punkt.)
myplacedk (21) skrev:Hvis man bestiller NemID direkte på NemID.nu, kan man ikke bruge det i banken. Så skal man henvende sig til bankens support for at blive oprettet der. Der er intet med at bankens systemer kan henvende sig til NemID's system, og siger "jeg har en person her med et NemID-nummer jeg ikke kender - hvem er det?" - man skal oprettes manuelt i bankens system, og vente nogle dage op at det ryger til NemID og tilbage igen.
Det er stadig et problem.
Hvorfor i alverden skulle jeg være sur over at de vælger at udstille deres egen inkompetence.apkat (16) skrev:Hvis de svarer 2 så bliver du sur
Indtil medierne tager historien op og fortæller at Danid mangler procedurer til at sikre sig imod misbrug. Prøv at forestille dig overskriften i Ekstrabladet: "Nemid lukker hackere ind på din computer!"apkat (16) skrev:men resten af danmark føler sig mega trygge.
Men indtil videre er det kun spekulation. Det kan jo være at de faktisk har overvejet problemet og har en måde at beskytte sig på.
Hvorfor er det en selvfølge at man bruger et niueansk website?myplacedk (21) skrev:Hvis man har NemID til banken med uden OCES, så logger man selvfølgelig ind på nemid.nu
kasperd (24) skrev:Hvorfor i alverden skulle jeg være sur over at de vælger at udstille deres egen inkompetence.
ja okay, sur og sur er en overdrivelse.. Men det er jo et latterligt svar.
kasperd (24) skrev:Indtil medierne tager historien op og fortæller at Danid mangler procedurer til at sikre sig imod misbrug. Prøv at forestille dig overskriften i Ekstrabladet: "Nemid lukker hackere ind på din computer!"
lol som om ekstrabladet kan stave sig igennem dine indlæg. De vil jo fatte hat.
kasperd (24) skrev:Men indtil videre er det kun spekulation. Det kan jo være at de faktisk har overvejet problemet og har en måde at beskytte sig på.
Jeg krydser fingrer.
#1 - du skal nok ikke forvente et svar inden for en uges tid... eller jo du får nok et svar, men det bliver nok noget lignende: "Vi kigger på det og vender tilbage, når vi har undersøgt sagen..." og så kan du få lov til at rykke for sagen i uendelighed...
Eller også får du at vide: "It's not a bug, it's a feature." :P
En pointe er, at udviklere er utroligt ærekær - der skal meget til at indrømmer, at de rent faktisk har lavet en fejl.
Desuden: jeg kan ikke umiddelbart se sikkerhedshullet i det du skriver. Jeg er ikke superstærk i applets, men skal de ikke sætte permissions for appletten? Hvis de permissions er sat korrekt, så er det faktisk ikke NemID, der har en fejl, men snarere Oracle.
Det eneste NemID appletten skriver til din maskine er en danid.log fil, som indeholder nogle oplysninger om maskinen - dvs., hvis nogen skulle udnytte NemID appletten, så skulle de reverseengineere de jar filer der downloades og det er da vist ikke helt let (har kun reverseengineered Android apps før og det var fandme en gang ubrugelig kode jeg fik ud af det...) - eller er jeg helt galt afmarcheret?
Eller også får du at vide: "It's not a bug, it's a feature." :P
En pointe er, at udviklere er utroligt ærekær - der skal meget til at indrømmer, at de rent faktisk har lavet en fejl.
Desuden: jeg kan ikke umiddelbart se sikkerhedshullet i det du skriver. Jeg er ikke superstærk i applets, men skal de ikke sætte permissions for appletten? Hvis de permissions er sat korrekt, så er det faktisk ikke NemID, der har en fejl, men snarere Oracle.
Det eneste NemID appletten skriver til din maskine er en danid.log fil, som indeholder nogle oplysninger om maskinen - dvs., hvis nogen skulle udnytte NemID appletten, så skulle de reverseengineere de jar filer der downloades og det er da vist ikke helt let (har kun reverseengineered Android apps før og det var fandme en gang ubrugelig kode jeg fik ud af det...) - eller er jeg helt galt afmarcheret?
Men det har så den stik modsatte effekt. Hvis du ikke vil indrømme når du tager fejl, så bliver du da først helt til grin.Darwind (26) skrev:En pointe er, at udviklere er utroligt ærekær - der skal meget til at indrømmer, at de rent faktisk har lavet en fejl.
Det er menneskeligt at fejle. Personer som ikke kan begå fejl skal man undgå. Det bedste man kan opnå er:
- Ikke begå fejl særlig tit.
- De fleste af de fejl man begår er ikke så alvorlige, når der er chance for at begå en alvorlig fejl koncentrerer man sig lidt mere således at risikoen er mindre.
- Når man endeligt har begået en fejl indrømmer man det og man hjælpes ad med at rette op på den.
Jo, det tror jeg nok de skal. Men jeg ved ikke hvor detaljeret det kan gøres. Jeg må lige prøve at starte med en ny bruger og se igen præcist hvad man bliver bedt om at godkende.Darwind (26) skrev:skal de ikke sætte permissions for appletten?
Der må være fire muligheder.Darwind (26) skrev:Hvis de permissions er sat korrekt, så er det faktisk ikke NemID, der har en fejl, men snarere Oracle.
1. Man kan sætte permissions præcist nok til at appleten kun har adgang til denne ene fil, og det er gjort på denne applet.
2. Man kan sætte permissions præcist nok, men det er ikke gjort på denne applet.
3. Man kan ikke sætte permissions præcist nok.
4. Man kan sætte permissions præcist nok, appleten har gjort det, men JVM tillader alligevel mere adgang.
I tilfælde 1 ser det umiddelbart ud som om alt er som det burde være. Bortset fra den potentielle mulighed for at nogen får adgang til at få signeret en anden applet med andre permissions. Brugeren kan give generel adgang til alt software signeret med denne nøgle og så tror jeg ikke man bliver spurgt om rettigheder til hver enkelt applet.
I tilfælde 2 er det helt klart en fejl i nemid. Og det er netop en af den type fejl der skal være mulighed for at lave en opdatering til og undgå at den fejlbehæftede version efterfølgende kan misbruges.
I tilfælde 3 er det en begrænsning i designet. Man kan argumentere for at begrænsningerne stadigvæk kan lægges ind i appleten. Det er korrekt, men at lægge begrænsningerne i appletkoden gør det bare lidt nemmere at lave fejl i det.
I tilfælde 4 er det en klokkeklar fejl i JVM. Det er ikke denne type fejl jeg bekymrer mig om. Softwareopdateringer til JVM går gennem den normale opdatering af software på klientmaskinen (i hvert fald på OS der understøtter det). Og dermed er der en metode til at få softwareopdateringer ud.
Mange af de mulige scenarier kan betegnes som design fejl i java applet systemet. Hvis der ikke findes nogen metode til at garantere opdatering af fejlbehæftet software eller forkert satte permissions, så er det en fejl i java applet systemet.
Hvis der er tale om en design fejl fra Suns side, så er det selvfølgelig ikke Danids skyld at denne design fejl er begået. Men det er stadigvæk Danids opgave at sætte sig ind i den sikkerhedsmodel de bygger på og indse hvis der er fundamentale fejl i designet.
Endeligt vil jeg sige at det er ikke så vigtigt at kunne angive præcise rettigheder til applets, det er vigtigere at kunne sikre sig imod at signerede applets stadigvæk kan bruges efter der er fundet fejl i dem.
At kunne angive præcise rettigheder gavner kun hvis brugeren godkender det præcise sæt rettigheder og efterfølgende skal godkende igen hvis en senere version kræver flere rettigheder.
Hvis godkendelse af et certifikat betyder at alle applets fra den udgiver kører med de rettigheder de efterspørger, så kan det i princippet lige så godt begrænses i koden selv. Det gør en lille forskel på hvor nemt det er at begå fejl, men så vi tilbage ved vigtigheden af at kunne rette fejl.
Jeg påstår ikke at det er let. Men når man tænker på hvor mange targets man kan ramme hvis der findes en fejl, så bør man tage truslen alvorlig.Darwind (26) skrev:hvis nogen skulle udnytte NemID appletten, så skulle de reverseengineere de jar filer der downloades og det er da vist ikke helt let
Normalt vil det være sådan at hvis nogen finder en fejl i et stykke software og begynder at misbruge det systematisk, så vil fejlen hurtigt blive udbedret. Men hvis man er garanteret at en fejlrettelse ikke kan udrulles på en sikker måde, så er der mere incitament til at lede efter fejl da man vil kunne udnytte hullet i længere tid.
kasperd (27) skrev:Men det har så den stik modsatte effekt. Hvis du ikke vil indrømme når du tager fejl, så bliver du da først helt til grin.
Men de indrømmer det ikke så gerne alligevel. Jeg ville da også selv mene, at hvis jeg fik påpeget en alvorlig fejl i min kode, så ville jeg reagere på det og sende dig en flaske rødvin eller noget som tak for hjælpen, men sådan fungerer mange af de gamle rotter inden for faget ikke (min påstand ud for de erfaringer jeg selv har gjort ;)).
kasperd (27) skrev:Jo, det tror jeg nok de skal. Men jeg ved ikke hvor detaljeret det kan gøres. Jeg må lige prøve at starte med en ny bruger og se igen præcist hvad man bliver bedt om at godkende.
Se lige http://java.sun.com/developer/onlineTraining/Progr...
Jeg tror du har fat i noget. Jeg slettede lige cert'et fra DanID (bare slet sun mappen inde i din app data mappe på Windows) og i cert godkendelsesbilledet står der således:
DanID certifikat skrev:This application will run with unrestricted access which may put your personal information at risk
Hvad jeg kan læse ud for den java tutorial jeg linkede til, så kan læse og skrive rettigheder sættes helt præcist, så det er helt klart en designfejl fra DanIDs side af.
Faktisk kan jeg vist huske, at vi havde opkald fra de lidt mere kvikke brugere, fordi de lige pludselig skulle godkende nyt cert fra DanID, som spurgte til, hvorfor det var DanID skulle have fuld adgang til deres computere, hvilket vi jo ikke kunne svare på og måtte sende dem videre til NemIDs egen support (én af de eneste gange dette skete...). Jeg mener faktisk også det er blevet meldt til DanID for at høre, hvad de havde at sige til den sag, men jeg hørte ikke mere til det selv, hvilket jo så dybest set også er en fejl fra vores firmas side af.
Daniel-Dane (23) skrev:Det er stadig et problem.
Gælder det alle banker? Jeg mener ikke at jeg oprettede mit nemid hos Nordea, men jeg kan sagtens logge ind.
Sådan som den mest udbredte praksis ser ud nu til dags, så kan en virksomhed faktisk markere sig positivt ved blot at sige tak og faktisk rette fejlen.Darwind (28) skrev:Jeg ville da også selv mene, at hvis jeg fik påpeget en alvorlig fejl i min kode, så ville jeg reagere på det og sende dig en flaske rødvin eller noget som tak for hjælpen
Og jeg synes egentlig at en virksomhed der blot siger tak og retter fejlen burde have ligget i den dårlige ende af spektret. Men ak, de fleste går ikke engang så langt.
Det nævner godt nok nogle muligheder. Men jeg kan ikke finde frem til nogen policy fil.Darwind (28) skrev:Se lige http://java.sun.com/developer/onlineTraining/Progr...
Når jeg starter appleten bliver jeg blot spurgt om jeg vil køre koden. Jeg får intet at vide om hvilke rettigheder den får. Hvis jeg vælger at se detaljer får jeg certifikatet at se, og intet andet.
Man kan vælge at altid stole på software fra denne udgiver. Hvis ikke man sætter flueben der bliver man spurgt hver gang appleten startes, så jeg gætter på de fleste brugere før eller siden siger ja til det.
Så tilsyneladende er der ingen begrænsninger. Og hvis der er en policy som jeg ikke har kunnet finde, så er den af begrænset værdi da jeg hverken kommer til at skulle godkende den i første omgang eller når den ændres.
markjensen (29) skrev:Gælder det alle banker? Jeg mener ikke at jeg oprettede mit nemid hos Nordea, men jeg kan sagtens logge ind.
Jeg bestilte NemID på deres hjemmeside for min mor, og hun skulle ringe til support for at bruge det med Konto-kik. De sendte et kort til, som dog ikke bliver brugt.
Jeg havde ikke problemet, da jeg fik NemID inden Nordea.
Jeg har modtaget en email fra en sikkerhedskonsulent ved Nets, som siger at han forventer at have et svar parat til mig i næste uge.
Det tog 1½ arbejdsdag før bekræftelsen på min email ankom, til gengæld kom den fra en person som faktisk arbejder med sikkerhed hvilket jeg synes er positivt.
Det er bedre end at sende et standard svar enten automatiseret eller fra en person som alligevel ikke selv kan hjælpe med at svare.
Det tog 1½ arbejdsdag før bekræftelsen på min email ankom, til gengæld kom den fra en person som faktisk arbejder med sikkerhed hvilket jeg synes er positivt.
Det er bedre end at sende et standard svar enten automatiseret eller fra en person som alligevel ikke selv kan hjælpe med at svare.
kasperd (32) skrev:Jeg har modtaget en email fra en sikkerhedskonsulent ved Nets, som siger at han forventer at have et svar parat til mig i næste uge.
Det tog 1½ arbejdsdag før bekræftelsen på min email ankom, til gengæld kom den fra en person som faktisk arbejder med sikkerhed hvilket jeg synes er positivt.
Det er bedre end at sende et standard svar enten automatiseret eller fra en person som alligevel ikke selv kan hjælpe med at svare.
Jeg må indrømme at jeg ikke er så overrasket over at du får svar fra en sikkerhedsmand. Man må forvente at disse findes i nets samt at dette falder ind under deres område.
Jeg er så tilgengæld overrasket over at du ikke har fået svar fra en eller anden 1. level supporter som har sendt spørgsmålet videre til sikkerhedsafdelingen.
kasperd (35) skrev:Der er kommet en email som fortæller at der er kommet nogle opgaver af højere prioritet. Vi kommer altså til at vente "lidt endnu" før der kommer et svar. Jeg vil give dem indtil onsdag eller torsdag i næste uge før jeg rykker for et svar.
De har vel travlt med at teste den nye token løsning. :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Software
Gå til bund