Peter Mogensen wrote:
> Christian E. Lysel wrote:
>
>>Hejsa
>>
>>Er der nogle der ved hvad Peter Kruse og Joakim ævler om?
>>
>>
http://www.computerworld.dk/debat/post/1533
>>
>>Og
http://ing.dk/article/20060106/IT/101060040
>>
>> ...Peter Kruse giver heller ikke meget for sikkerheden i Firefox' eget
>>password.
>>
>>»Der findes et lille værktøj, som kan bruges af enhver til at knække
>>kodeordet. Og hvis man kombinerer det med den digitale signatur, så har
>>man en farlig cocktail,« siger han. ...
>>
>>
>>Jeg gætter på der igen menes en keyboard sniffer
>
>
> Som jeg forstod det - også på CW-debatten - er der tale om et værktøj,
> der lavet et brute-force dictionary angreb på password filen til Firefox.
> Tjae...
> Men hvis det bliver udråbt som et stort problem ved den digitale
> signatur, så syntes jeg da godtnok TDC og VTU skulle tage sig sammen og
> erkende at sikkerheden bare ikke bliver bedre den brugernes evne til at
> forvalte deres nøgler og den software de anvender til det. Man har jo
> vidst fra starten at en løsning hvor nøglen gemmes af software på
> brugernes computere havde de her begrænsninger, så hvor bliver den
> smart-card baserede løsning af?
>
> Peter
Ifølge artiklen i den trykte udgave af Ingeniøren undskylder TDC sig med
at browsere som Mozilla varianterne, Opera og Safari ikke har en
standardiseret måde at tale med certifikaterne. Er det bare mig eller er
det en vandet undskyldning?
Det må man da have vidst inden man "implementerede" denne løsning.
Som jeg har forstået det så er certifikatet jo bare en identifikations
key, uden noget egentligt indlejret software, så rent teoretisk kan
enhver vel "bare" skrive deres egen browser som tilgår certifikatet uden
brug af master passwordet (altså lade være med at overholde en evt.
protokol standard)?
Hvis ikke det er tilfældet og der er noget indlejret software i
certifikatet så burde det software jo sørge for at passwordet indtastet
ved hver eneste adgang, der findes jo flere måder at gøre det på evt med
timestamps på sidste gang passwordet blev indtastet osv.
Antaget at det første er tilfældet så bør TDC og VTU nok finde ud af
skifte det ud...evt med smart-cards som det er blevet foreslået.