---

Hejsa.

Jeg har i dag set på dk-hostmasters side at man kan tilmelde sine regninger
til betalings service, og det er som sådan fint nok.

Men den omtalte side benytter ikke nogen form for sikkerhed hovedet. Ingen
SSL eller andet. Men beder brugeren om personnummer og bank informationer.

Er der ikke regler for at personfølsomme data skal transmitteres sikkert.
Eller er det virkelig op til den enkelte om man vil benytte en sådan side. ?

---
Jan Kristensen

---

"Jan Kristensen" <jan.kristensen@invalid.besked.com> skrev i en meddelelse
news:41769593$0$197$edfadb0f@dread11.news.tele.dk...
> Men den omtalte side benytter ikke nogen form for sikkerhed hovedet. Ingen
> SSL eller andet. Men beder brugeren om personnummer og bank informationer.
> Er der ikke regler for at personfølsomme data skal transmitteres sikkert.
> Eller er det virkelig op til den enkelte om man vil benytte en sådan side.
?

Er der ikke de relevante oplysninger, såsom pbs nummer, debitorgruppenr.
osv. så du selv kan tilmelde den til webbank eller ringe ned i din bank og
få dem til det? Så har man da trods alt et valg

--
MVH Thomas
http://www.pudekamp.dk - live webcam

---

> Er der ikke de relevante oplysninger, såsom pbs nummer, debitorgruppenr.
> osv. så du selv kan tilmelde den til webbank eller ringe ned i din bank og
> få dem til det? Så har man da trods alt et valg
>
Jo. Men det er jo ikke det der er pointen her. Hostmaster opfordre til at
man benytter denne side, og tilmelder til betalings service.

Selvfølgelig har man et valg. Det har man jo altid.

Men jeg ville spurgte jo om ikke der var nogle regler om at disse data
skulle sendes via en sikker forbindelse.

---
Jan Kristensen

---

Jan Kristensen skrev:

>Men den omtalte side benytter ikke nogen form for sikkerhed hovedet.

Hvor ved du det fra?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" <nospamius@lundhansen.dk> skrev i en meddelelse
news:dm4fn0dfkqbrjv6rsog32fisrgnbjonmmf@news.stofanet.dk...
> Jan Kristensen skrev:
>
>>Men den omtalte side benytter ikke nogen form for sikkerhed hovedet.
>
> Hvor ved du det fra?
>
Kan ses på siden. Ingen SSL, data bliver sendt til en http side via formens
POST..

---
Jan Kristensen

---

On Thu, 21 Oct 2004 13:28:02 +0200, "Jan Kristensen"
<jan.kristensen@invalid.besked.com> wrote:

>
>"Bertel Lund Hansen" <nospamius@lundhansen.dk> skrev i en meddelelse
>news:dm4fn0dfkqbrjv6rsog32fisrgnbjonmmf@news.stofanet.dk...
>> Jan Kristensen skrev:
>>
>>>Men den omtalte side benytter ikke nogen form for sikkerhed hovedet.
>>
>> Hvor ved du det fra?
>>
>Kan ses på siden. Ingen SSL, data bliver sendt til en http side via formens
>POST..
>
Er det den her side du tænker på?

http://www.dk-hostmaster.dk/dkhostcms/bs?pageid=244&action=cmsview&language=da&

Hvis ikke, kan du så ikke poste et link til den så det er til at se
for os andre hvad der foregår på den?
--
Snuden

"I am a river to my people" -Auda abu Tayi

---

> Er det den her side du tænker på?
>
> http://www.dk-hostmaster.dk/dkhostcms/bs?pageid=244&action=cmsview&language=da&
Nej.

>
> Hvis ikke, kan du så ikke poste et link til den så det er til at se
> for os andre hvad der foregår på den?

Kan jeg ikke da den viser bla. mit kunde nummer hos hostmaster.

Men . http://www.dk-hostmaster.dk > Selvbetjening > Mine Domæner > login >
Tilmeld fremtidige regninger til "Betalingsservice"

På den side beder de om.

CPR-nr. / CVR/SE-nr.
Pengeinstitut
Reg. nr
Kontonummer

Håber du kan finde den.!

---
Jan Kristensen

---

On Thu, 21 Oct 2004 18:57:41 +0200, "Jan Kristensen"
<jan.kristensen@invalid.besked.com> wrote:

>> Er det den her side du tænker på?
>>
>> http://www.dk-hostmaster.dk/dkhostcms/bs?pageid=244&action=cmsview&language=da&
>Nej.
>
>>
>> Hvis ikke, kan du så ikke poste et link til den så det er til at se
>> for os andre hvad der foregår på den?
>
>Kan jeg ikke da den viser bla. mit kunde nummer hos hostmaster.
>
>Men . http://www.dk-hostmaster.dk > Selvbetjening > Mine Domæner > login >
>Tilmeld fremtidige regninger til "Betalingsservice"
>
>På den side beder de om.
>
>CPR-nr. / CVR/SE-nr.
>Pengeinstitut
>Reg. nr
>Kontonummer

Det er der heller ikke noget i vejen for. De bør dog som minimum køre
https. Sikker på du ikke har overset "s"'et?
>
>Håber du kan finde den.!
>
Jow.. men kan ikke komme forbi logon billedet da jeg ikke ejer et
domæne og derfor heller ikke kan angive handle og pinkode.. hvad med
at tage et screen dump, fjerne dine personlige oplysninger med fx.
photoshop eller lignende og så smide dumpet op i dk.binear?


--
Snuden

"I am a river to my people" -Auda abu Tayi

---

En helt masse bits fra Snuden til dk.videnskab.jura gav følgende:

[...]

> Jow.. men kan ikke komme forbi logon billedet da jeg ikke ejer et
> domæne og derfor heller ikke kan angive handle og pinkode.. hvad med
> at tage et screen dump, fjerne dine personlige oplysninger med fx.
> photoshop eller lignende og så smide dumpet op i dk.binear?

Det kan ses på
http://gallery.lagengymnastik.dk/screenshots/dk-hostmaster1.png?width=1024 .
Men eksemplet er såmænd ikke enestående hos DK-Hostmaster og idet Jan
Kristensen (og alle os andre der har domæner hos DK-Hostmaster og som
benytter sig af selvbetjeningsservicen) logger på selvbetjeningsservicen, har
vi allerede sendt vores handle og pin-kode via ikke-ssl
( http://gallery.lagengymnastik.dk/screenshots/dk-hostmaster1.png?width=1024 ).
Måske ikke helt så følsomme oplysninger, men alligevel :)

> Snuden

--
Med Venlig Hilsen: Henrik Bøgh || http://lagengymnastik.dk/

"This is the strangest life I've ever known"
-- Val Kilmer as Jim Morrison in 'The Doors'

---

On Fri, 22 Oct 2004 12:45:54 +0200, Henrik Bøgh
<henrik@FJERNlagengymnastikFJERN.dk> wrote:

>En helt masse bits fra Snuden til dk.videnskab.jura gav følgende:
>
>[...]
>
>> Jow.. men kan ikke komme forbi logon billedet da jeg ikke ejer et
>> domæne og derfor heller ikke kan angive handle og pinkode.. hvad med
>> at tage et screen dump, fjerne dine personlige oplysninger med fx.
>> photoshop eller lignende og så smide dumpet op i dk.binear?
>
>Det kan ses på
>http://gallery.lagengymnastik.dk/screenshots/dk-hostmaster1.png?width=1024 .
>Men eksemplet er såmænd ikke enestående hos DK-Hostmaster og idet Jan
>Kristensen (og alle os andre der har domæner hos DK-Hostmaster og som
>benytter sig af selvbetjeningsservicen) logger på selvbetjeningsservicen, har
>vi allerede sendt vores handle og pin-kode via ikke-ssl
>( http://gallery.lagengymnastik.dk/screenshots/dk-hostmaster1.png?width=1024 ).
>Måske ikke helt så følsomme oplysninger, men alligevel :)
>

Okay, ingen SSL her - men der er jo heller ingen der tvinger nogen til
at tilmelde sig PBS via DK-Hostmasters hjemmeside. Gør det via netbank
i stedet - den forbindelse er da i det mindste krypteret

--
Snuden

"I am a river to my people" -Auda abu Tayi

---

En helt masse bits fra Snuden til dk.videnskab.jura gav følgende:

[...]

> Okay, ingen SSL her - men der er jo heller ingen der tvinger nogen til
> at tilmelde sig PBS via DK-Hostmasters hjemmeside. Gør det via netbank
> i stedet - den forbindelse er da i det mindste krypteret

Joew - men nu gik spørgsmålet nu på om det i det hele taget er lovligt det
DK-Hostmaster gør. Ikke på om man har alternativer:

| Er der ikke regler for at personfølsomme data skal transmitteres sikkert.
| Eller er det virkelig op til den enkelte om man vil benytte en sådan side. ?

Personligt mener jeg - efter at have genopfrisket
http://www.datatilsynet.dk/lovgivning/personoplysninger/afsnit4.asp#afsnit4 -
at der sker overtrædelse af §41 stk. 3 i Lov om behandling af
personoplysninger.
Der er formodentlig også andre §§ der er overtrådet, ligesom det _måske_ er en
overtrædelse af PBS's fastsatte regler
( http://www.pbs.dk/pbs/site/pbs_dk/dk/content/om_pbs/nyheder/nyhed_000124.html ).
Måske fordi jeg ikke lige helt kan se om BetalingsService-tilmeldingen også
foregår via PBS, eller om det kun er selve betalingerne der sker via PBS.

> Snuden

--
Med Venlig Hilsen: Henrik Bøgh || http://lagengymnastik.dk/

"I kill before. I kill again"
-- Shaun Toub as store clerk in 'Bad Boys'

---

> Personligt mener jeg - efter at have genopfrisket
> http://www.datatilsynet.dk/lovgivning/personoplysninger/afsnit4.asp#afsnit4 -
> at der sker overtrædelse af §41 stk. 3 i Lov om behandling af
> personoplysninger.

Se det kunne jo bruges. Tak for det.!

> Der er formodentlig også andre §§ der er overtrådet, ligesom det _måske_
> er en
> overtrædelse af PBS's fastsatte regler
> (
> http://www.pbs.dk/pbs/site/pbs_dk/dk/content/om_pbs/nyheder/nyhed_000124.html )
> .
> Måske fordi jeg ikke lige helt kan se om BetalingsService-tilmeldingen
> også
> foregår via PBS, eller om det kun er selve betalingerne der sker via PBS.

Dette har så intet med PBS tilmelding at gøre, mere Dankort betaling.
Og den håntere DIBS for Hostmaster, så den er der ingen tvivl om.

---
Jan Kristensen