---

Hej,
for nylig havde jeg hentet FireFox1.5 og skulle lave nogle betalinger
med kort. Ved 3. betaling lagde jeg mærke til at der var streg over
hængelåsen i hjørnet. Da jeg klikkede på den fik jeg et info-vindue
op hvor der stod at forbindelsen var delvist krypteret, og at andre
muligvis kunne se trafikken.

Værre var, at mit kort-nummer stod klar til at vælge med musen
allerede da jeg havde tastet første ciffer. Jeg ved ikke om det er
almindeligt, men jeg synes ikke det bør ligge på harddisken. Et eller
andet sted må være der være sket det at indtastningshuskeren (?)
ikke er slået fra selvom forbindelsen skulle være sikker.

Da jeg slettede private oplysninger (menuen Funktioner) var nummeret
ikke tilgængeligt mere, men mange almindelige ting den plejer at huske
var så også forsvundet.

Alle betalinger blev gennemført.

Er det almindeligt, og har I oplevet noget lignende? Der var ikke noget
svar i browser-gruppen, så jeg prøver her.

---

nejtilspam@sol.dk writes:

>for nylig havde jeg hentet FireFox1.5 og skulle lave nogle betalinger
>med kort. Ved 3. betaling lagde jeg mærke til at der var streg over
>hængelåsen i hjørnet. Da jeg klikkede på den fik jeg et info-vindue
>op hvor der stod at forbindelsen var delvist krypteret, og at andre
>muligvis kunne se trafikken.

Sikkert bare ikke-kritiske frames og/eller billeder, der ikke bliver
krypteret. Det er jo ikke farligt.

>Værre var, at mit kort-nummer stod klar til at vælge med musen
>allerede da jeg havde tastet første ciffer. Jeg ved ikke om det er
>almindeligt, men jeg synes ikke det bør ligge på harddisken. Et eller
>andet sted må være der være sket det at indtastningshuskeren (?)
>ikke er slået fra selvom forbindelsen skulle være sikker.

Hvad er problemet i det? For det første er kreditkortnummeret ikke
ligefrem top-hemmelig information. For det andet er du beskyttet af
"lov om visse betalingsmidler", hvis nogen misbruger dit kort uden
pinkode. Og for det tredie er der næppe offentlig adgang til din pc,
som vel i øvrigt kræver et login?

Hvis du stadig er bekymret, kan du sætte et Master Password på din
Firefox. Jeg ved ikke, hvor sikker den er, men i betragtning af at
kortdata ikke ligefrem truer landets sikkerhed, er det formentlig
rigeligt sikkert uanset hvad.

Mvh.
   Klaus.

---

Den 07-12-05 13.57 skrev nejtilspam@sol.dk følgende:

> Værre var, at mit kort-nummer stod klar til at vælge med musen

Som Klaus skriver, er det normalt ikke et problem.

> Da jeg slettede private oplysninger (menuen Funktioner) var nummeret
> ikke tilgængeligt mere, men mange almindelige ting den plejer at huske
> var så også forsvundet.

Du kan vælge, hvilke oplysninger der skal slettes, tjek:
http://kimludvigsen.dk/programmer-internet-firefox-trin-installation.html#fjerndata

--
Mvh. Kim Ludvigsen
Net Snippets kan gemme hele hjemmesider eller udklip fra dem i et
søgbart arkiv på din egen computer.
http://kimludvigsen.dk

---

nejtilspam@sol.dk wrote:
> Værre var, at mit kort-nummer stod klar til at vælge med musen
> allerede da jeg havde tastet første ciffer. Jeg ved ikke om det er
> almindeligt, men jeg synes ikke det bør ligge på harddisken. Et eller
> andet sted må være der være sket det at indtastningshuskeren (?)
> ikke er slået fra selvom forbindelsen skulle være sikker.

Jeg mener det i lige så høj grad afhænger af den webside du benytter -
firefox kan jo ikke vide om det er dit postnr eller dit kortnummer du
indtaster...Den husker blot alt det den kan "få lov" til.

--
Mail mig på uffe <snabelA> skelmose <prik> dk

---

Hej alle,
tak for hjælpen. Jeg tænkte at kreditkortnummeret var nok til at
skabe problemer, og jeg er ikke tilfreds med at forlade mig på loven -
hvis pengene først er forsvundet til udlandet kan det være meget
besværligt at få dem igen, og det tager tid før/hvis banken vil
erstatte det. Så langt ud må det ikke komme.
Jeg tænkte også at hvis kort.nr var gemt, kunne det 3-cifrede tal
også være gemt, og så stod porten til helvede åben, især med det
seneste Explorer-sikkerhedshul (risikoværdi 11 på en skala fra 1-10
;-> ).

Jeg savner en betalingsmulighed for beløb i mellemstørrelsen, hvor
der ikke er mulighed for fx kredit, og med en beløbsgrænse på fx
2000kr. Så kunne man klare langt de fleste køb uden større risiko.
Sikkerheden skulle være det samme som nu. Det er måske lidt meget med
3-4 forskellige betalingssystemer; eWire/PayPal/Dankort/begrænset mv.,
men så er der en rimelig spredning af risiko og pengeflow.

Jeg ved ikke hvilken side jeg var på da nummeret blev gemt, så jeg
kan desværre ikke kontakte dem. Men jeg skrev til den side jeg var på
da jeg opdagede det, for der var kort.nr jo også tilgængeligt som
drop-down indtastningshusker.

Jeg har hørt at det er godt at nøjes med en almindelig brugerkonto
med begrænsede beføjelser i det daglige, og så kun en gang imellem
skifte til administrator-rettigheder hvis man absolut skal lave
ændringer.

---

nejtilspam@sol.dk wrote:
> tak for hjælpen. Jeg tænkte at kreditkortnummeret var nok til at
> skabe problemer, og jeg er ikke tilfreds med at forlade mig på loven -
> hvis pengene først er forsvundet til udlandet kan det være meget
> besværligt at få dem igen, og det tager tid før/hvis banken vil
> erstatte det.

Du tager fejl.

   http://sikkerhed-faq.dk/brugere#kreditkort

> Jeg ved ikke hvilken side jeg var på da nummeret blev gemt, så jeg
> kan desværre ikke kontakte dem. Men jeg skrev til den side jeg var på
> da jeg opdagede det, for der var kort.nr jo også tilgængeligt som
> drop-down indtastningshusker.

Mon ikke det er din browser der står for den drop-down menu. Slå det
fra, hvis du mener det er et problem.

> Jeg har hørt at det er godt at nøjes med en almindelig brugerkonto
> med begrænsede beføjelser i det daglige, og så kun en gang imellem
> skifte til administrator-rettigheder hvis man absolut skal lave
> ændringer.

Det er korrekt.

   http://sikkerhed-faq.dk/brugere

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

nejtilspam@sol.dk wrote:
>..............
>
> Jeg savner en betalingsmulighed for beløb i mellemstørrelsen, hvor
> der ikke er mulighed for fx kredit, og med en beløbsgrænse på fx
> 2000kr. Så kunne man klare langt de fleste køb uden større risiko.
> Sikkerheden skulle være det samme som nu. Det er måske lidt meget med
> 3-4 forskellige betalingssystemer; eWire/PayPal/Dankort/begrænset mv.,
> men så er der en rimelig spredning af risiko og pengeflow.
>

Kontakt din bank, og bed dem om at oprette en 'Elektron' konto til dig.
Dertil kan du overfører de beløb, som du anviser betaling til. Der kan
ikke hæves mere end der står på kontoen, så ingen 'kredit' her og
bøvl og ballade ifm. evt. misbrug er (næsten) udelukket.

En god og praktisk ting, når man vil lege med sine penge på nettet.

Venlig hilsen
Finn


--
Lærdom er en streng herre og mest historisk,
men erkendelse er visdommens juvel )

---

Tak for et godt link.
Tingene bliver altid mere besværlige udenfor landets (og EUs)
grænser, og selvom det er banken der står med håret i postkassen er
det stadig en situation jeg ikke vil ud i. En virtuel "skummel
restaurant-tjener" der stjæler mine penge ønsker jeg ikke at opleve
selvom jeg skulle få pengene igen. Nixen. Jeg har oplevet situationer
i den almindelige virkelighed hvor der ikke engang var uærlighed men
blot rod, og det var rigeligt til at jeg ikke vil ud i noget lignende
igen.

Problemet er netop browserens håndtering af drop-down-menu. Den skal
normalt være slået til for bekvemmelighedens skyld, og slået fra på
"sikre" sider, og det plejer at gå automatisk. Det gjorde det ikke i
dette tilfælde, og det kunne tyde på et generelt problem som det er
værd at undersøge.
Indtil videre må jeg enten slå det helt fra, eller slå det til og
fra efter behov. Det var ikke lige meningen.

---

nejtilspam@sol.dk wrote:
> Tingene bliver altid mere besværlige udenfor landets (og EUs)
> grænser,

Nej. Du er beskyttet af Dansk lov uanset om det er foretaget
uberettigede træk på dit kort fra Danmark eller fra udlandet. Du skal
blot skrive under i din bank, hvorefter pengene føres tilbage til din konto.

> En virtuel "skummel
> restaurant-tjener" der stjæler mine penge ønsker jeg ikke at opleve
> selvom jeg skulle få pengene igen. Nixen. Jeg har oplevet situationer
> i den almindelige virkelighed hvor der ikke engang var uærlighed men
> blot rod, og det var rigeligt til at jeg ikke vil ud i noget lignende
> igen.

Så skal du levere dit kort tilbage til banken, for du har ikke meget
kontrol over hvad der sker når du først har afleveret dine
kortoplysninger i en betalingssituation. Der har været utallige tilfælde
hvor websites er blevet brudt ind i og alle kunders kreditkort stjålet
og misbrugt. Jeg har hørt om at kasseassistenter der benyttede Palm
Pilots tilsluttet en card reader til at stjæle kunders kortinfo.

Hvad er det for noget rod du henviser til, og havde det noget med træk
på dit kreditkort at gøre?

> Problemet er netop browserens håndtering af drop-down-menu. Den skal
> normalt være slået til for bekvemmelighedens skyld, og slået fra på
> "sikre" sider, og det plejer at gå automatisk. Det gjorde det ikke i
> dette tilfælde, og det kunne tyde på et generelt problem som det er
> værd at undersøge.
> Indtil videre må jeg enten slå det helt fra, eller slå det til og
> fra efter behov. Det var ikke lige meningen.

Jeg ser intet i Firefoxs dokumentation der peger på, at 'Save
information I enter in forms and the Search Bar' bliver de-aktiveret på
https sider. Jeg kan se at den pågældende funktionalit er slået fra i
default installationen.

Du kan overveje at sætte kryds i 'Clear private data when Firefox closes'.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Hvad er forskellen på at få stjålet kortnummer og kontrolcifre via
spyware, og at udlevere kortnummer til Julemanden når han ringer i
telefonen og siger "Du har vundet en rejse til Caribien" ? Er det at
så har man selv givet adgang til kontoen?

Det er en nogenlunde klar forskel, jeg bekymrer mig over
gråzonetilfældene, hvor et firma trækker et mellemstort beløb uden
mit vidende og sender mig ragelse for at kunne påstå at jeg selv har
bestilt det. Det er ikke sket, men risikoen er der, og hvad gør banken
så? De står jo med en tilsyneladende korrekt, omend meget dårlig,
handel.

Det rod jeg oplevede havde ikke direkte noget med kreditkort at gøre,
blot en manglende tilbageførsel efter fortrudt køb. Jeg havde varen i
hånden i 5 minutter i forretningen efter betaling, fortrød, og fik et
tilgodebevis. Det ville jeg have udbetalt nogle uger senere, hvorefter
der gik lang tid før jeg fik pengene.

Jeg mener at en browser ikke må gemme kortnumre som default, og at den
skal skelne mellem formularer og kortnumre udfra den aktuelle
forbindelses sikkerhed : når forbindelsen er sikker, må der ikke
gemmes formular-data. Det mener du tilsyneladende at FF heller ikke
gør som default, og at den er sat til det af nogen. Det er
interessant, for jeg mener ikke jeg har aktiveret det, og der er ikke
andre der har haft fysisk adgang til det.

MS IE laver denne skelnen automatisk, såvidt jeg ved, og det bør FF
også gøre. Det er muligt at den faktisk også gør det, og at den
betalingsforbindelse jeg har brugt kun er delvist sikker, som beskrevet
ovenfor ("streg over hængelås"), og derfor mener FF måske at det er
okay at gemme formulardata. Der er i så fald en uoverensstemmelse i
vurdering af sikkerhed mellem FF og betalingsstedet.

Indtil videre må jeg selv skifte sikkerhedsniveau, eller lade FF
slette private data, men det er ikke lige den brugervenlighed jeg er
vant til, og som jeg havde forventet af FF.
Efter det nylige sikkerhedshul i IE, som der vist endnu ikke er patch
til, går jeg ikke tilbage til IE.

---

nejtilspam@sol.dk wrote:
> Hvad er forskellen på at få stjålet kortnummer og kontrolcifre via
> spyware, og at udlevere kortnummer til Julemanden når han ringer i
> telefonen og siger "Du har vundet en rejse til Caribien" ? Er det at
> så har man selv givet adgang til kontoen?

Beder julemanden ikke også om din PIN kode?

---

nejtilspam@sol.dk writes:

>Hvad er forskellen på at få stjålet kortnummer og kontrolcifre via
>spyware, og at udlevere kortnummer til Julemanden når han ringer i
>telefonen og siger "Du har vundet en rejse til Caribien" ? Er det at
>så har man selv givet adgang til kontoen?

Ja, i det første tilfælde er det ikke en transaktion, du har lavet.
I det andet tilfælde (det med julemanden) har du personligt bestilt
rejsen.

Det skal dog bemærkes, at hvis du ikke får rejsen leveret, så kan du
kræve, at banken fører pengene tilbage til din konto. Men hvis du
får leveret en elendig rejse til ekstrem overpris, skal du betale,
for så har du jo fået det bestilte.

>Det er en nogenlunde klar forskel, jeg bekymrer mig over
>græzonetilfældene, hvor et firma trækker et mellemstort beløb uden
>mit vidende og sender mig ragelse for at kunne påstå at jeg selv har
>bestilt det. Det er ikke sket, men risikoen er der, og hvad gør banken
>så?

Bevisbyrden for, at du har bestilt "ragelset", er bankens. Den
kan de så godt som aldrig løfte, og derfor får du pengene igen.

>Det rod jeg oplevede havde ikke direkte noget med kreditkort at gøre,
>blot en manglende tilbageførsel efter fortrudt køb.

Der er jo præcis den samme risiko forbundet med at handle i Brugsen
(ja, den er faktisk meget større), så faktisk bør du kun bruge kortet
online og for alt i verden undgå at bruge Dankort i fysiske butikker.

>Jeg mener at en browser ikke må gemme kortnumre som default, og at den
>skal skelne mellem formularer og kortnumre udfra den aktuelle
>forbindelses sikkerhed

Jeg mener faktisk, at det er 1000 gange værre, at browseren husker
mit login til tv2.dk, end at den husker mit dankortnummer. Risikoen
for misbrug, der kan "ramme mig", af mit TV2-login er meget større
(og følgerne meget værre) end ved misbrug af mit Dankort.

Så om noget vil jeg mene, at browseren kun skal gemme kortdata som
default

Mvh.
   Klaus.

---

nejtilspam@sol.dk wrote:
> Hvad er forskellen på at få stjålet kortnummer og kontrolcifre via
> spyware, og at udlevere kortnummer til Julemanden når han ringer i
> telefonen og siger "Du har vundet en rejse til Caribien" ? Er det at
> så har man selv givet adgang til kontoen?

Jeg synes det spørgsmål er tydeligt besvaret i linket jeg gav dig
tidligere, så jeg stopper her.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Det tror jeg ikke, han er vist amerikaner eller englænder. Men det kan
da være han spørger efter kontrolcifre, men han går nok efter de
internationale kreditkort. Jeg fik et opkald fra ham her forleden,
rigtigt hyggelig, men lidt svær at få i tale, det var som om han ikke
hørte hvad jeg sagde ;-> han ville bare have at jeg trykkede 9 på
telefonen. Nå, det går nok ud på at der sidder et call-center med en
telerobot og ringer, og når der så for hvert 1.000 opkald faktisk er
et håbefuldt fjols der trykker 9, så blinker en lampe og et menneske
løfter røret og forsøger at pumpe Tante Blåøje for et
kreditkortnummer. Vips, kontoen er lænset, og pengene er forsvundet
bag et røgslør så tæt at ikke engang Terminator kan finde vej
igennem.

---

nejtilspam@sol.dk wrote:
> Vips, kontoen er lænset, og pengene er forsvundet
> bag et røgslør så tæt at ikke engang Terminator kan finde vej
> igennem.

Kan du ikke prøve at læse dine betingelser for dit betalingskort
igennem, og vende tilbage til gruppen hvis du mener du har
problemmer?

---

KE> eg mener faktisk, at det er 1000 gange værre, at browseren husker
> mit login til tv2.dk, end at den husker mit dankortnummer. Risikoen
> for misbrug, der kan "ramme mig", af mit TV2-login er meget større
> (og følgerne meget værre) end ved misbrug af mit Dankort.

Wow, sker der frække ting på TV2 ?? ;->
Nej, tænker du på mønster-logging så de kan målrette reklamer
netop til dig (segmentering?). Jeg snakkede med en softwareudvikler hos
TDC som laver nogle af de ting, og som synes det var ret uhyggeligt
hvad man kunne sige om folk bare ved at vide om de brugte margarine
eller Kærgården osv, bare der var en vis mængde information (ikke
meget) og i den rigtige kombination.

Det skal lige siges at jeg har handlet trygt på nettet i årevis uden
problemer, men det vil jeg også gerne kunne blive ved med. Jeg havde
forventet højere sikkerhed i FF end IE, så det var forvirrende at
opleve noget der tilsyneladende var det modsatte.

Nu har jeg været inde og kigge i FFs skjulte gemmer, og der var kun en
gang volapyk at se, så det er ihvertfald ikke noget der er lige til at
aflæse uden at hacke.

KE> Så om noget vil jeg mene, at browseren kun skal gemme kortdata som
> default

Så er det også dejligt meget nemmere for Max Sælger at spore dig og
dine handlinger selvom du bruger dynIP osv. ;->

---

nejtilspam@sol.dk writes:

>> mit login til tv2.dk, end at den husker mit dankortnummer. Risikoen
>> for misbrug, der kan "ramme mig", af mit TV2-login er meget st=F8rre
>> (og f=F8lgerne meget v=E6rre) end ved misbrug af mit Dankort.

>Wow, sker der fr=E6kke ting p=E5 TV2 ?? ;->

Hvis nogen hæver 10.000 kroner på mit Dankort, får jeg pengene
retur med det samme og uden bøvl.

Hvis nogen skriver som mig i TV2s seerforum, at jeg ser en eller
anden fimset udsendelse, har jeg dét siddende på mig resten af
livet.

Det sidste er da væsentligt værre.

Mvh.
   Klaus.

---

Tja, der står også at bankerne ikke er særligt interesserede i at
have ansvaret for kundernes betalinger, så man kan komme i tvivl om
deres vilje til at udbetale pengene hvis de er håbløst forsvundet.
Det kan godt være loven siger een ting, men når lortet rammer fanen
(..) er der mange der dukker sig.

Det må også være rimeligt at brugeren gør hvad han kan for at
beskytte sig - BGBank taler om "din del af opgaven" ang. sikkerhed. Det
var bl.a det jeg forsøgte at få opklaret, selvom det ikke blev
skrevet direkte. Er der en nedre grænse for hvor naiv man må være
med sine penge? Og hvor går den?

Og ærligt talt, det er da rart at man kan læse noget på en
hjemmeside, men jeg tager det som det det er; et fingerpeg og ikke
andet. Jeg prøver at søge konkrete tilfælde hvor omstændighederne
er tydeliggjort. Hvis I kender nogle, skriv gerne.

---

Her er nogle tilfælde fra retspraksis :
http://www.themis.dk/synopsis/index.asp?hovedramme=/synopsis/docs/betalingskort.html

Hovedsageligt er kortbrugeres ansvar begrænset, men billedet er
mudret. I den virtuelle verden er det sværere at skelne, og
ovennævnte går kun til 2002.

Mit spørgsmål kan måske koges ned til, om det er "groft uforsvarlig
adfærd" at have sit kort-nr. og kontrolcifre liggende fremme, som jeg
opfattede at indtastningsgemmeren i FF gjorde. Jeg har (haft?) den
opfattelse, at det var omtrent det samme som at lade sin pinkode ligge
sammen med Dankortet.

Loven taler ikke om "pinkode" og "kontrolcifre", men om "hemmelige
kode" p11, stk.6 i
http://www.ks.dk/konkurrence/regler/love/betalingskortloven/historisk/-nr-414/

Hvis kort-nr., kontrolcifre og udløbsdato er nok til at gennemføre
betaling, er det så ikke at betragte som "hemmelige kode" ?

---

Den 09-12-05 03.05 skrev nejtilspam@sol.dk følgende:

> Jeg har (haft?) den
> opfattelse, at det var omtrent det samme som at lade sin pinkode ligge
> sammen med Dankortet.

Du burde efterhånden have indset, at spørgsmålstegnet efter "haft" skal
væk. Bemærk, at der ikke er én eneste i tråden, der har delt dit
synspunkt om det farlige i, at kortnummeret bliver husket.

> Loven taler ikke om "pinkode" og "kontrolcifre", men om "hemmelige
> kode" p11, stk.6 i

Ja, og eftersom du skal udlevere dit kortnummer, hver gang du handler på
nettet, er det ikke en hemmelig kode. Du skal derimod aldrig udlevere
din pin-kode, den er nemlig en hemmelig kode.

Hvis du stadig er nervøs, så følg nogle af de tidligere råd: Slet
personlige oplysninger efter brugen - det kan gøres automatisk, når du
lukker Firefox. Eller sæt adgangskode på Firefox og Windows.

--
Mvh. Kim Ludvigsen
Tema med alt hvad det er nødvendigt at vide om nyhedsgrupperne.
http://kimludvigsen.dk

---

OK, jeg takker alle for hjælpen.