/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikkerhed på www.telmore.dk
Fra : Michael Schrøder


Dato : 17-10-02 21:27

Jeg skal betale på Telmores hjemmeside, og så får jeg en pop-up-box med
omtrent følgende ordlyd:

Du er ved at blive omdirigeret til en forbindelse der ikke er sikker.
Oplysningerne kan blive sendt videre til et ikke-sikkert web-sted......! Vil
du fortsætte?

Hvor alvorligt er det, og hvorfor har et firma som Telmore ikke styr på
sikkerheden?

Michael



 
 
Morten Kjær Nielsen (17-10-2002)
Kommentar
Fra : Morten Kjær Nielsen


Dato : 17-10-02 21:41

On Thu, 17 Oct 2002 22:26:34 +0200, "Michael Schrøder"
<skjernvej38b@mail.dk> wrote:

>Hvor alvorligt er det,

Du ved det altså ikke.

>og hvorfor har et firma som Telmore ikke styr på
>sikkerheden?

Så du kan ikke tillade dig at drage en sådanne konklusion.


--
Morten!

Peter Brodersen (18-10-2002)
Kommentar
Fra : Peter Brodersen


Dato : 18-10-02 00:53

On Thu, 17 Oct 2002 22:40:32 +0200, Morten Kjær Nielsen
<nospam.5juni2002.dk@gummiand.dk> wrote:

>>og hvorfor har et firma som Telmore ikke styr på
>>sikkerheden?
>Så du kan ikke tillade dig at drage en sådanne konklusion.

Jo - sikkerhed handler også om tryghed i processen.

Et simpelt eksempel på dette er at have en form på en ikke-krypteret
side, der submitter til en krypteret side. Brugere har ingen mulighed
for at se at deres data havner på en krypteret side, medmindre, de fx
kigger i kildeteksten.

For ikke at skabe unødig forvirring, bør brugeren kunne forholde sig
til browserens udmeldinger. Uanset om noget følsomt data blev
submittet krypteret, og der derefter bare var en redirect til en
generisk og ikke-krypteret side, så er det stadigvæk yderst
uhensigtsmæssigt - specielt hvis brugeren fx ikke vil lade sig stille
videre til en ikke-krypteret side (hvilket kan betyde at transaktionen
er gennemført, men brugeren tror, han har fortrudt, fordi han nægter
at gå videre til den side, der blot informerer om at transaktionen er
gennemført).

Selv tilfælde med SSL-sider, der fx bare inkluderer et
baggrundsbillede eller lignende ud fra en almindelig URL (uden SSL)
skaber advarsler om "sikre og ikke-sikre elementer". Brugeren har
ingen let mulighed til at tage stilling til et sådan spørgsmål eller
overskue konsekvenserne, også selvom det ikke er vigtigt at man henter
et baggrundsbillede over en ikke-krypteret forbindelse.

Således bør både form-siden, submit-siden og en evt. resultat-side
befinde sig under SSL, så brugeren ikke (måske fejlagtigt) tror at
noget er gået galt undervejs. Det samme gælder selvfølgelig relevante
elementer i samme forbindelse.

Browseren kan godt stille alle mulige SSL-afhængige spørgsmål. Men den
gennemsnitlige bruger kan ikke tage stilling til de spørgsmål.

--
- Peter Brodersen

Bertel Lund Hansen (18-10-2002)
Kommentar
Fra : Bertel Lund Hansen


Dato : 18-10-02 06:59

Peter Brodersen skrev:

>Således bør både form-siden, submit-siden og en evt. resultat-side
>befinde sig under SSL

Nemlig. Jeg har to gange været ude for at jeg ikke så min
browsers hængelåsikon blive låst som tegn på at mine kortdata
blev sikkert overført. Den anden gang tog jeg kontakt til firmaet
og fik en forklaring på at det var sikkert nok selv om brugeren
ikke kunne se det.

Det er bare ikke godt nok. Vil de måske have at jeg skal blive
ligeglad med om browseren viser at sikkerheden er i orden?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

F.Larsen (17-10-2002)
Kommentar
Fra : F.Larsen


Dato : 17-10-02 22:41

"Michael Schrøder" <skjernvej38b@mail.dk> wrote in message
news:3daf1c89$0$97628$edfadb0f@dspool01.news.tele.dk...
>
> Du er ved at blive omdirigeret til en forbindelse der ikke er sikker.
> Oplysningerne kan blive sendt videre til et ikke-sikkert web-sted......!
Vil
> du fortsætte?

>
> Hvor alvorligt er det, og hvorfor har et firma som Telmore ikke styr på
> sikkerheden?

Det betyder sandsynligvis at der ikke anvendes krypteret kommunikationen
mellem din PC og serveren.
At du får pop-uppen kunne tyde på at forbindelsen faktisk har været
krypteret på et tidspunkt, så det kan være svært at sige noget om det er ok
eller ej - det afhænger jo af hvornår i forløbet du får beskeden.

--
Flemming
http://home.cbkn.dk/Rhodos/
http://home.cbkn.dk/spyware/



Finn Nielsen (18-10-2002)
Kommentar
Fra : Finn Nielsen


Dato : 18-10-02 07:42

"Michael Schrøder" <skjernvej38b@mail.dk> writes:

> Jeg skal betale på Telmores hjemmeside, og så får jeg en pop-up-box med
> omtrent følgende ordlyd:
>
> Du er ved at blive omdirigeret til en forbindelse der ikke er sikker.
> Oplysningerne kan blive sendt videre til et ikke-sikkert web-sted......! Vil
> du fortsætte?

Det er normalt ved mange handelssteder at man omdirigeres til en ssl
server når man skal indtaste kortoplysninger og omdirigeres tilbage til
en almindelig forbindelse når transaktionen er overstået.

Hvis du først fik beskeden efter at have fået at vide fra Telmore at dit
kort var godkendt så er der ingen grund til bekymring.

> Hvor alvorligt er det, og hvorfor har et firma som Telmore ikke styr på
> sikkerheden?

Måske du skulle fortælle hvornår i forløbet du fik beskeden før kommer
med den slags påstande.

--
Finn Nielsen - http://www.finnnielsen.dk/

AR (18-10-2002)
Kommentar
Fra : AR


Dato : 18-10-02 13:28

Bekymring.... Betyder det noget, om der er nogen der bruger ens kort
oplysninger!? Jeg har prøvet det flere gange, og nogle af mine kort er da
også blevet brugt af andre, men jeg skal ikke bevise at der er forgået ét
bedrag, det skal derimod den der hæver!

/A

"Finn Nielsen" <spamtrap1@zznyyd.dk> wrote in message
news:m3hefknt8m.fsf@triton.zznyyd.dk...
> "Michael Schrøder" <skjernvej38b@mail.dk> writes:
>
> > Jeg skal betale på Telmores hjemmeside, og så får jeg en pop-up-box med
> > omtrent følgende ordlyd:
> >
> > Du er ved at blive omdirigeret til en forbindelse der ikke er sikker.
> > Oplysningerne kan blive sendt videre til et ikke-sikkert web-sted......!
Vil
> > du fortsætte?
>
> Det er normalt ved mange handelssteder at man omdirigeres til en ssl
> server når man skal indtaste kortoplysninger og omdirigeres tilbage til
> en almindelig forbindelse når transaktionen er overstået.
>
> Hvis du først fik beskeden efter at have fået at vide fra Telmore at dit
> kort var godkendt så er der ingen grund til bekymring.
>
> > Hvor alvorligt er det, og hvorfor har et firma som Telmore ikke styr på
> > sikkerheden?
>
> Måske du skulle fortælle hvornår i forløbet du fik beskeden før kommer
> med den slags påstande.
>
> --
> Finn Nielsen - http://www.finnnielsen.dk/



Thomas (18-10-2002)
Kommentar
Fra : Thomas


Dato : 18-10-02 14:04

AR wrote:
> Bekymring.... Betyder det noget, om der er nogen der bruger ens kort
> oplysninger!? Jeg har prøvet det flere gange, og nogle af mine kort er da
> også blevet brugt af andre, men jeg skal ikke bevise at der er forgået ét
> bedrag, det skal derimod den der hæver!

Jeg tror du skal læse betingelserne for dit kort igen.

--
Don't waste space

Jonathan Stein (18-10-2002)
Kommentar
Fra : Jonathan Stein


Dato : 18-10-02 14:43

Thomas wrote:

> > Bekymring.... Betyder det noget, om der er nogen der bruger ens kort
> > oplysninger!? Jeg har prøvet det flere gange, og nogle af mine kort er da
> > også blevet brugt af andre, men jeg skal ikke bevise at der er forgået ét
> > bedrag, det skal derimod den der hæver!
>
> Jeg tror du skal læse betingelserne for dit kort igen.

Man skal dække op til 8.000 kr, hvis man ved groft uansvarlig adfærd har
muliggjort misbruget.
Man har pligt til at oplyse, hvis man har mistanke om, at andre har fået
kendskab til ens PIN-kode. Man har ikke pligt til at oplyse, hvis man har
mistanke om, at andre har fået adgang til ens kortnummer (hvilket også ville
være helt absurd).
Ud fra dette, kan det ikke være groft uansvarligt at afgive sit
kreditkortnummer over en usikret forbindelse.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



AR (19-10-2002)
Kommentar
Fra : AR


Dato : 19-10-02 09:47

Min bank/PBS har da uden at give mig kvaler, tilbageført beløb på optil
1000$, efter at jeg udfylder en erklæring til PBS. Jeg har aldrig selv
betalt én krone, for transaktioner jeg ikke selv har gemmenført.
Naturligvis skifter jeg kort engang imellem, og jeg har et kort, som jeg kun
bruger til netkøb. Øhh, hvilken idiot ville også oplyse sin pin kode på
nettet!

/A

"Jonathan Stein" <jstein@image.dk> wrote in message
news:3DB00FF7.D5A438F4@image.dk...
> Thomas wrote:
>
> > > Bekymring.... Betyder det noget, om der er nogen der bruger ens kort
> > > oplysninger!? Jeg har prøvet det flere gange, og nogle af mine kort
er da
> > > også blevet brugt af andre, men jeg skal ikke bevise at der er forgået
ét
> > > bedrag, det skal derimod den der hæver!
> >
> > Jeg tror du skal læse betingelserne for dit kort igen.
>
> Man skal dække op til 8.000 kr, hvis man ved groft uansvarlig adfærd har
> muliggjort misbruget.
> Man har pligt til at oplyse, hvis man har mistanke om, at andre har fået
> kendskab til ens PIN-kode. Man har ikke pligt til at oplyse, hvis man har
> mistanke om, at andre har fået adgang til ens kortnummer (hvilket også
ville
> være helt absurd).
> Ud fra dette, kan det ikke være groft uansvarligt at afgive sit
> kreditkortnummer over en usikret forbindelse.
>
> M.v.h.
>
> Jonathan
>
> --
> Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
> Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
> (giver mulighed for eget SSL-certifikat).
> http://www.jsp-hotel.dk/
>
>



Jonathan Stein (19-10-2002)
Kommentar
Fra : Jonathan Stein


Dato : 19-10-02 12:46

AR wrote:

> Min bank/PBS har da uden at give mig kvaler, tilbageført beløb på optil
> 1000$, efter at jeg udfylder en erklæring til PBS. Jeg har aldrig selv
> betalt én krone, for transaktioner jeg ikke selv har gemmenført.

Nej, og sådan skal det jo også være, hvis man ikke har handlet "groft
uansvarligt".

Det er forresten lidt svært at se præcis hvad du svarer på - tag et kig på
http://usenet.dk/netikette/quote.html - så bliver det nemmere.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Finn Nielsen (19-10-2002)
Kommentar
Fra : Finn Nielsen


Dato : 19-10-02 09:51

"AR" <allan@asp-host.dk> writes:

> Bekymring.... Betyder det noget, om der er nogen der bruger ens kort
> oplysninger!? Jeg har prøvet det flere gange, og nogle af mine kort er da
> også blevet brugt af andre, men jeg skal ikke bevise at der er forgået ét
> bedrag, det skal derimod den der hæver!

Jeg skrev noget om hvordan netbutikker virker.. Hvad i alverden er det du
prøver at sige??

--
Finn Nielsen - http://www.finnnielsen.dk/

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste