---

Hej i gruppen,

Vores arbejdsgiver har lavet en hjemmeside hvor medarbejderne kan logge på
med brugernavn og adgangskode for den enkelte medarbejder, og på denne måde
få adgang til vagtplaner, ferielister, telefonlister og lign. Dette er jo af
praktiske grunde meget smart.

Arbejdsgiveren har nu i også oprettet et punkt hvor man kan se sin
bruttoløn, ansættelsesdato, fulde navn, dispositionsdato og lign. Problemet
er blot efter min mening - at måden man skal se dette på ikke kræver en
adgangskode, men blot at man taster sit loginnavn, samt de sidste fire cifre
i sit cpr. nr. Altså f.eks www.domain.dk/brugernavn_sidstecifre.

Er det overhovedet tilladt at ligge data som disse ud på nettet, og hvis det
er, skal det ikke beskyttes mere end ovenstående ??

Er der nogen der har et kvalificeret svar ?

På forhånd tak !

---

Pondus wrote:
> Er det overhovedet tilladt at ligge data som disse ud på nettet, og hvis det
> er, skal det ikke beskyttes mere end ovenstående ??
>
> Er der nogen der har et kvalificeret svar ?

Jeg vil gætte på nej, men for et korrekt svar så spørg datatilsynet:
http://www.datatilsynet.dk/

---

Pondus wrote:
-snip-

> Arbejdsgiveren har nu i også oprettet et punkt hvor man kan se sin
> bruttoløn, ansættelsesdato, fulde navn, dispositionsdato og lign. Problemet
> er blot efter min mening - at måden man skal se dette på ikke kræver en
> adgangskode, men blot at man taster sit loginnavn, samt de sidste fire cifre
> i sit cpr. nr. Altså f.eks www.domain.dk/brugernavn_sidstecifre.

Så virker de sidste 4 cifre jo også som adgangskode.

> Er det overhovedet tilladt at ligge data som disse ud på nettet, og hvis det
> er, skal det ikke beskyttes mere end ovenstående ??

De logger sikkert hacker-forsøg, dvs. når forkerte koder indtastes og
måske blokerer de også efter f.eks. 3 forkerte indtastninger. Jeg kan
ikke rigtigt se problemet. Hvor mange andre end dig kender de sidste 4
cifre, bortset fra personalafdelingen? Mit bud: ingen.


Med venlig hilsen / Best regards
Martin Jørgensen

--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk

---

Martin Jørgensen <unoder.spam@spam.jay.net> writes:

>> Arbejdsgiveren har nu i også oprettet et punkt hvor man kan se sin
>> bruttoløn, ansættelsesdato, fulde navn, dispositionsdato og
>> lign. Problemet er blot efter min mening - at måden man skal se
>> dette på ikke kræver en adgangskode, men blot at man taster sit
>> loginnavn, samt de sidste fire cifre i sit cpr. nr. Altså f.eks
>> www.domain.dk/brugernavn_sidstecifre.
>
> Så virker de sidste 4 cifre jo også som adgangskode.

Nej, ikke mere end ens efternavn ville gøre det.

> De logger sikkert hacker-forsøg, dvs. når forkerte koder indtastes og
> måske blokerer de også efter f.eks. 3 forkerte indtastninger. Jeg kan
> ikke rigtigt se problemet. Hvor mange andre end dig kender de sidste 4
> cifre, bortset fra personalafdelingen? Mit bud: ingen.

Jeg kan ikke betragte noget der står på forsiden af et kort der ofte
bliver brugt til identifikation som hemmeligt.

--
Peter Makholm | Det sae banken osse: Hvis du overhovet vil have noen
peter@makholm.net | glæde af din fremtid ska du ikke vente til i morgen.
http://hacking.dk | -- Divus, 2004-10-26

---

Peter Makholm wrote:
> Martin Jørgensen <unoder.spam@spam.jay.net> writes:
-snip-

> Jeg kan ikke betragte noget der står på forsiden af et kort der ofte
> bliver brugt til identifikation som hemmeligt.

Hvilket kort er det? Det må iøvrigt forhåbentligt være sådan at man i
tilfælde af mistanke om misbrug kan få en ny adgangskode, hvis man
retter henvendelse til de ansvarlige.


Med venlig hilsen / Best regards
Martin Jørgensen

--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk

---

on 24-09-2005, Martin Jørgensen supposed :
>> Jeg kan ikke betragte noget der står på forsiden af et kort der ofte
>> bliver brugt til identifikation som hemmeligt.

> Hvilket kort er det?

Sygesikringsbeviset formentlig.

--
Henrik Stidsen - http://henrikstidsen.dk/

---

Henrik Stidsen wrote:
> on 24-09-2005, Martin Jørgensen supposed :
>
>>> Jeg kan ikke betragte noget der står på forsiden af et kort der ofte
>>> bliver brugt til identifikation som hemmeligt.
>
>
>> Hvilket kort er det?
>
>
> Sygesikringsbeviset formentlig.

Ahva? Bliver sygesikringsbeviset ofte brugt som identifikation i dagens
virksomheder? Det har jeg sgu' godtnok aldrig hørt om før og jeg tvivler
på at du mener det seriøst...


Med venlig hilsen / Best regards
Martin Jørgensen

--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk

---

Martin Jørgensen <unoder.spam@spam.jay.net> writes:

> Henrik Stidsen wrote:
>> on 24-09-2005, Martin Jørgensen supposed :
>>
>>>> Jeg kan ikke betragte noget der står på forsiden af et kort der ofte
>>>> bliver brugt til identifikation som hemmeligt.
>>
>>> Hvilket kort er det?
>> Sygesikringsbeviset formentlig.
>
> Ahva? Bliver sygesikringsbeviset ofte brugt som identifikation i
> dagens virksomheder? Det har jeg sgu' godtnok aldrig hørt om før og
> jeg tvivler på at du mener det seriøst...

Jeg bruger da ofte sygesikringskortet til at identificerer mig på
biblioteket, hos lægen og generelt kan jeg finde på at bruge det når
folk skal skrive min adresse ind i et eller andet system.

--
Peter Makholm | Sit back and watch the messages. This is actually
peter@makholm.net | more important than one might think as there is a
http://hacking.dk | bug in GNU Mach whereby hitting a key during the
| boot process causes the kernel to panic
| -- GNU Hurd Installation Guide

---

> De logger sikkert hacker-forsøg, dvs. når forkerte koder indtastes og
> måske blokerer de også efter f.eks. 3 forkerte indtastninger. Jeg kan
> ikke rigtigt se problemet. Hvor mange andre end dig kender de sidste 4
> cifre, bortset fra personalafdelingen? Mit bud: ingen.
>
Google vil på et eller andet tidspunkt fange disse cpr nr og derefter vil
personernes økonomiske forhold være offentligt.

Carl

---

Carl L wrote:
>>De logger sikkert hacker-forsøg, dvs. når forkerte koder indtastes og
>>måske blokerer de også efter f.eks. 3 forkerte indtastninger. Jeg kan
>>ikke rigtigt se problemet. Hvor mange andre end dig kender de sidste 4
>>cifre, bortset fra personalafdelingen? Mit bud: ingen.
>>
>
> Google vil på et eller andet tidspunkt fange disse cpr nr og derefter vil
> personernes økonomiske forhold være offentligt.

Det tvivler jeg på. Google kan mig bekendt ikke læse adgangskoder, som
en anden hacker. Den kan læse det der står i html-filerne og der plejer
man ligesom pr. definition ikke at gemme adgangskoder, vel?


Med venlig hilsen / Best regards
Martin Jørgensen

--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk

---

Martin Jørgensen wrote:
> Det tvivler jeg på. Google kan mig bekendt ikke læse adgangskoder, som
> en anden hacker. Den kan læse det der står i html-filerne og der plejer
> man ligesom pr. definition ikke at gemme adgangskoder, vel?

Jvf. spørgers første indlæg er der tale om en URL i stil med
www.domain.dk/foo_0123, hvor foo er brugernavnet og 0123 er de sidste
fire cifre i ens CPR-nummer. Der kommer altså ingen passwordprompt eller
lign., så jo, der er udemærkede odds for at Google en dag falder over et
link og får det indekseret.

- David

---

David Mc Nally wrote:
> Martin Jørgensen wrote:
-snip-

> Jvf. spørgers første indlæg er der tale om en URL i stil med
> www.domain.dk/foo_0123, hvor foo er brugernavnet og 0123 er de sidste
> fire cifre i ens CPR-nummer. Der kommer altså ingen passwordprompt eller
> lign., så jo, der er udemærkede odds for at Google en dag falder over et
> link og får det indekseret.

Ok, tjah, i så fald er jeg ikke så teknisk inde i hvordan google
fungerer at jeg kan besvare det spørgsmål... Men jeg troede da stadigt
at man kunne undgå google caching hvis man vil?

Men så kan jeg da godt se at det ikke er særligt smart...


Med venlig hilsen / Best regards
Martin Jørgensen

--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk

---

On Mon, 26 Sep 2005 21:06:36 +0200, Martin Jørgensen
<unoder.spam@spam.jay.net> wrote:

>David Mc Nally wrote:
>> Martin Jørgensen wrote:
>-snip-
>
>> Jvf. spørgers første indlæg er der tale om en URL i stil med
>> www.domain.dk/foo_0123, hvor foo er brugernavnet og 0123 er de sidste
>> fire cifre i ens CPR-nummer. Der kommer altså ingen passwordprompt eller
>> lign., så jo, der er udemærkede odds for at Google en dag falder over et
>> link og får det indekseret.
>
>Ok, tjah, i så fald er jeg ikke så teknisk inde i hvordan google
>fungerer at jeg kan besvare det spørgsmål... Men jeg troede da stadigt
>at man kunne undgå google caching hvis man vil?

Det kan man også godt. Men hele ideen med at putte et password i
URL'en er helt ude i hampen. Et hvilkensomhelst punkt i
kommunikationen mellem bruger og web-server kan i givet fald opsnappe
alle de passwords "det" har lyst til. For ikke at tale om at alle med
adgang til PC'en kan aflæse password direkte i history i browseren.
--
Tommy
http://www.hadereklamer.dk
http://www.yndlingsreklamer.dk
http://www.e-thoughts.com
http://www.irritation.dk