---

Jeg lod, grundet manglende fokus, min digitale signatur udløbe, så jeg
har bestilt en ny. I dag gik jeg fra en Windows maskine så ind på linket
som jeg fik tilsendt i email og næsten med det samme får jeg følgende
besked fra et Java program:

"Du har ikke de nødvendige rettigheder på pc'en til at installere TDC
Digital Signatur programmet.Du skal have administrator-rettigheder på
pc'en for at kunne installere programmet."

Shock. Lad os lige underminere grundprincippet i Least Privilege på
vegne af hele Danmark.

Jeg mindes bestemt ikke, at jeg havde administratoradgang da jeg i
tidernes morgen fik hentet mit første certifikat. En supporter sagde, at
systemet altid har krævet admin rettigheder og at signaturen slet ikke
"fungerer" uden. Der kom et utilfreds "Nå" da jeg sagde "Jamen, det er
jo bare et certifikat?"

Han mumlede dog også noget om, at hvis man havde en Mac, så blev der
hverken brugt ActiveX eller Java.

Nogen ide om, hvordan man får fat i sit certifikat hvis man ikke vil
logge ind som administrator i Windows?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst <a@mongers.org> wrote:

>Jeg lod, grundet manglende fokus, min digitale signatur udløbe, så jeg
>har bestilt en ny. I dag gik jeg fra en Windows maskine så ind på linket
>som jeg fik tilsendt i email og næsten med det samme får jeg følgende
>besked fra et Java program:
>
>"Du har ikke de nødvendige rettigheder på pc'en til at installere TDC
>Digital Signatur programmet.Du skal have administrator-rettigheder på
>pc'en for at kunne installere programmet."

TDC's CSP program er blevet opdateret. Er det mon det, den forsøger at
installere?

>Nogen ide om, hvordan man får fat i sit certifikat hvis man ikke vil
>logge ind som administrator i Windows?

Vi kører TDC's CSP i et citrixmiljø hvor brugerne i høj grad er
begrænsede til systemopsætninger - og det fungerer fin-fin, sålænge at
CSP komponenten er installeret.

Det er godt nok en "enterprise" version af certifikaterne og jeg er
ikke 101% på at der ikke er blevet ændret nogen ved seneste CSP
opdatering. Omend jeg dog tror jeg havde hørt det, hvis der var.

PS: Og ellers kan du måske hente den med OpenCert - selvom det nok
ikke nytter så meget hvis man vil bruge den i f.eks. Internet
Exploder, idet den er bundet til en proprietær CSP istedet for
Windows' indbyggede.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Alex Holst skrev:

> Digital Signatur programmet.Du skal have administrator-rettigheder på
> pc'en for at kunne installere programmet."

> Shock.

Jeg synes at frygten for administratorrettigheder er vildt
overdrevet. De der som dig vil undgå det, kunne såmænd køre med
fulde rettigheder uden de store problemer. De der ikke skænker
det en tanke, kører *altid* med fulde adminrettigheder. Windows
er for besværligt til almindeligt brug uden.

Det kan man så godt jamre over, men sådan ser verden altså ud.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

Bertel Lund Hansen wrote:
> Jeg synes at frygten for administratorrettigheder er vildt
> overdrevet. De der som dig vil undgå det, kunne såmænd køre med
> fulde rettigheder uden de store problemer.

Puha. Jeg ved næsten ikke hvor jeg skal starte med at forklare hvor
forkert det er .. men jeg skal da gerne prøve. Gæt hvad det her er:

IE, Opera, Firefox
Office / OpenOffice
Adobe Reader
Java
Flash
WinAmp
Skype
QuickTime, RealPlayer, VLC, Windows Media Player
WinZip, WinRar, 7-Zip

Det er ca. angrebsfladen på en Windows PC der er sat op så den ikke
lytter på unødvendige porte. Se lige på listen igen. Alle programmerne
modtager regelmæssigt data fra internettet og nogle af dem udfører endda
remote kode som en del af deres design (javascript i browsers, flash,
adobe reader, etc).

Den mindste binary+DLLs på den liste er, så vidt jeg ved, 4 megabyte i
størrelse. Jeg ved ikke med dig, men jeg kunne ikke producere en 4
megabyte executable der er fejlfri. Man /kunne/ måske designe sig ud af
problemet, men det er der ikke nogen der gør endnu.

Derfor er det kun et spørgsmål om tid før ét af de programmer er skyld
i, at der bliver udført kode på min PC der ikke er i min bedste
interesse. Når det sker vil jeg gerne have, at koden ikke umiddelbart
har adgang til at totalt kompromitere mit OS (og jeg så gerne, at mit
certifikat lå beskyttet i TPM chippen i min laptop) så jeg ikke har tabt
totalt.

Men det er nok bare mig.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst skrev:

>> Jeg synes at frygten for administratorrettigheder er vildt
>> overdrevet. De der som dig vil undgå det, kunne såmænd køre med
>> fulde rettigheder uden de store problemer.
>
> Puha. Jeg ved næsten ikke hvor jeg skal starte med at forklare hvor
> forkert det er .. men jeg skal da gerne prøve.

Der er ingen grund til at gå i detaljer. Jeg siger blot at dem
der er bekymrede, også er dem der ved hvordan de skal beskytte
sig - og at I er et lille fåtal inden for Windowsverdenen.

Så vidt jeg ved er det i Linuxverdenen ret udbredt at skille
admin og bruger, men Linux er heller ikke forkrøblet uden
adminrettigheder.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

On Fri, 19 May 2006 21:01:30 +0200, Bertel Lund Hansen wrote:

>
> Så vidt jeg ved er det i Linuxverdenen ret udbredt at skille admin og
> bruger, men Linux er heller ikke forkrøblet uden adminrettigheder.
Er årsagen til dette ikke, at man vil gemme alle programindstillinger i
en central database? I givet fald bør .NET vel med tiden gøre det
muligt at installere programmer som almindelig bruger i sit eget
hjemmekatalog i stil med *nix.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Den Fri, 19 May 2006 22:39:22 +0200 skrev Michael Rasmussen:
> On Fri, 19 May 2006 21:01:30 +0200, Bertel Lund Hansen wrote:
>
>>
>> Så vidt jeg ved er det i Linuxverdenen ret udbredt at skille admin og
>> bruger, men Linux er heller ikke forkrøblet uden adminrettigheder.
> Er årsagen til dette ikke, at man vil gemme alle programindstillinger i
> en central database? I givet fald bør .NET vel med tiden gøre det
> muligt at installere programmer som almindelig bruger i sit eget
> hjemmekatalog i stil med *nix.

Nej, årsagen er at dem der udvikler til Windows (incl. Microsofts
applikations-afdelinger) har været vant til at kunne gøre som
de har lyst til i Win9x, og det er det endnu ikke lykkedes at
vænne dem af med.

Det er jo nemmere at kræve administrator-rettigheder, end at lære
noget nyt...

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Michael Rasmussen wrote:
> Er årsagen til dette ikke, at man vil gemme alle programindstillinger i
> en central database?

Så vidt jeg kan se, har en bruger uden adminrettigheder stadig adgang
til at skrive i HKEY_CURRENT_USER, så de to ting burde ikke blokere for
hinanden.

Og så for lige at kommentere tråden generelt:
Under alle omstændigheder virker det altid inkompetent at markedsføre
sikkerhedsprodukter, der kræver, at den almindelige bruger kører med
administratorrettigheder.

--
Allan Olesen

---

On Sat, 20 May 2006 10:10:26 +0200, Allan Olesen wrote:

>
> Så vidt jeg kan se, har en bruger uden adminrettigheder stadig adgang til
> at skrive i HKEY_CURRENT_USER, så de to ting burde ikke blokere for
> hinanden.
Det er korrekt, men det jeg havde i tankerne var, at alle de
installationsprogrammer jeg har set, insisterer på at lave en global
installation. Med .NET burde der ikke mere være nogen undskyldning for
dette, da alle komponenter tilhørende en applikation skal placeres i
applikationsfolderen, og altså ikke skal adgang til globale steder i
filsystemet. Eneste undtagelse er selvfølgeligt drivere til enheder, men
det er der intet odiøst i.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Bertel Lund Hansen wrote:
> Der er ingen grund til at gå i detaljer. Jeg siger blot at dem
> der er bekymrede, også er dem der ved hvordan de skal beskytte
> sig - og at I er et lille fåtal inden for Windowsverdenen.
>
> Så vidt jeg ved er det i Linuxverdenen ret udbredt at skille
> admin og bruger, men Linux er heller ikke forkrøblet uden
> adminrettigheder.

Så vidt jeg ved er det ikke OS-specifikt at være uvidende. Jeg har
oplevet utallige UNIX installationer, inkl. et par professionelle, hvor
alle loggede ind som root det meste af tiden. "Det er jo lettere."

Mange kommercielle (revisions)værktøjer til UNIX bliver f.eks.
installeret SUID root.

I Windows er der en håndfuld ting man skal lave om for at kunne leve
behageligt som non-admin, blandt andet permissions på power settings,
date & time samt netkort. Jeg havde personligt håbet på, at det ville
blive default i service pack 2, men nej.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst wrote:
> Jeg mindes bestemt ikke, at jeg havde administratoradgang da jeg i
> tidernes morgen fik hentet mit første certifikat. En supporter sagde, at
> systemet altid har krævet admin rettigheder og at signaturen slet ikke
> "fungerer" uden. Der kom et utilfreds "Nå" da jeg sagde "Jamen, det er
> jo bare et certifikat?"
>

Som en anden også skriver skal man have admin. rettigheder for at
installerer en CSP i Win32. Da dette er helt generelt i dette OS har det
givetvis også været nødvendig første gang du fik digital signatur.

Læs evt. yderligere på "Digital signatur - Teknisk nyhedsbrev nr. 1:
http://erhverv.tdc.dk/artikel.php?id=63615&dogtag=tdc_e_digi_pa_pi_ny_ark#ol_e


Venlig hilsen

Peter Lind Damkjær
(Ansat i TDC, men skriver her som privatperson)

---

Peter Lind Damkjær wrote:

> Som en anden også skriver skal man have admin. rettigheder for at
> installerer en CSP i Win32. Da dette er helt generelt i dette OS har det
> givetvis også været nødvendig første gang du fik digital signatur.

Kunne man monstro lokke dig til at give et svar, der skelner mellem:

1. Installation af hjælpesoftware til certifikathåndtering.

2. Installation af brugerens certifikat.

3. Brug af brugerens certifikat.

Jeg vil forvente, at pkt. 1 kræver administratoradgang, mens pkt 2 og 3
SKAL kunne håndteres uden administratoradgang. Er det tilfældet?

--
Allan Olesen

---

Allan Olesen wrote:
> Kunne man monstro lokke dig til at give et svar, der skelner mellem:
>
> 1. Installation af hjælpesoftware til certifikathåndtering.
>
> 2. Installation af brugerens certifikat.
>
> 3. Brug af brugerens certifikat.
>
> Jeg vil forvente, at pkt. 1 kræver administratoradgang, mens pkt 2 og 3
> SKAL kunne håndteres uden administratoradgang. Er det tilfældet?
>

Du har fuldstændig ret!

1: Kræver admin rettigheder
2: Kræver ikke admin rettigheder
3: Kræver ikke admin rettigheder

/Peter

---

Peter Lind Damkjær wrote:
> Du har fuldstændig ret!
>
> 1: Kræver admin rettigheder
> 2: Kræver ikke admin rettigheder
> 3: Kræver ikke admin rettigheder

Fint nok. Så må næste spørgsmål blive:
Har I givet mulighed for, at man som bruger af en signatur holder de 3
handlinger adskilt?

Hermed menes:
Hvis en administrator har installeret værktøjerne under pkt. 1, vil en
bruger uden administratorrettigheder så efterfølgende kunne installere
og benytte sin signatur?

--
Allan Olesen

---

Allan Olesen wrote:
> Fint nok. Så må næste spørgsmål blive:
> Har I givet mulighed for, at man som bruger af en signatur holder de 3
> handlinger adskilt?
>
> Hermed menes:
> Hvis en administrator har installeret værktøjerne under pkt. 1, vil en
> bruger uden administratorrettigheder så efterfølgende kunne installere
> og benytte sin signatur?
>

Jeps!

/Peter

---

On Fri, 2006-05-19 at 18:57 +0200, Alex Holst wrote:
> Shock. Lad os lige underminere grundprincippet i Least Privilege på
> vegne af hele Danmark.

Bare roligt, du skal jo huske at køre antivirus/firewall programmer
på din maskine, se evt.

http://www.digitalsignatur.dk/visNyhed.asp?artikelID=961



Vi har de samme problemmer på job'et hvor brugerne selvfølgelig ikke
køre som administrator.


Det pisser mig mere af, at:

o hvor nemt der er at få en anden brugers digitale signatur. Vores
postbud, giver breve til folk der står foran min matrikel.

Faktisk fik jeg mine 3 breve, til ATP's netadgang (der selvfølgelig er
sendt i 3 forskellige breve netop for at forhindre opsnapning), mens jeg
stor og ventede på vejen foran mit hus.

o PIN koder sendes på et skykke plastik der er umuligt at destruere ved
håndkraft, og brænder man det af stinker der af plasik i hele huset.

o Skat, og andre, der under login skifter host til login.service.csc.dk

> Nogen ide om, hvordan man får fat i sit certifikat hvis man ikke vil
> logge ind som administrator i Windows?

Kan du ikke bare opføre dig som en "advanceret Mac bruger", også kaldet
standard Flex?

Se Punkt 10, http://www.digitalsignatur.dk/visArtikel.asp?artikelID=590

Sidst jeg roede med det, måtte vi fortælle "bestillings" systemmet at vi
var Mac brugere.

---

"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote:

>> Nogen ide om, hvordan man får fat i sit certifikat hvis man ikke vil
>> logge ind som administrator i Windows?
>
>Kan du ikke bare opføre dig som en "advanceret Mac bruger", også kaldet
>standard Flex?
>
>Se Punkt 10, http://www.digitalsignatur.dk/visArtikel.asp?artikelID=590
>
>Sidst jeg roede med det, måtte vi fortælle "bestillings" systemmet at vi
>var Mac brugere.

Hvis man bare vil hente certifikatet kan man bruge OpenCert. Linket
findes når man vælger Java når man trykker på linket i velkomstmailen.
Men jeg tror problemet for Alex var at han aldrig kom så langt. Der er
tilsyneladende ingen direkte links til den fra TDC's vejledninger -
hvilket jeg egentlig finder lidt underligt. Men til evt. interesserede
så er det her:

https://www.certifikat.dk/developer/kildekode/opencert/CertificateGetter.java
https://udstedelse.certifikat.tdc.dk/java/opencert.zip

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Sat, 2006-05-20 at 08:17 +0200, Lars Kim Lund wrote:
> >Sidst jeg roede med det, måtte vi fortælle "bestillings" systemmet at vi
> >var Mac brugere.
>
> Hvis man bare vil hente certifikatet kan man bruge OpenCert. Linket

Enig.

> findes når man vælger Java når man trykker på linket i velkomstmailen.
> Men jeg tror problemet for Alex var at han aldrig kom så langt. Der er
> tilsyneladende ingen direkte links til den fra TDC's vejledninger -
> hvilket jeg egentlig finder lidt underligt. Men til evt. interesserede
> så er det her:

Er problemmet ikke at han oprindeligt har bestilt et Standard
certifikat. Og det dengang ikke krævede administrator rettigheder, men
nu kræver det administrator rettigheder.

Som jeg ser det, skal han blot bestille et Standard Flex certifikat.

---

On Sun, 2006-05-21 at 11:53 +0200, Peter Lind Damkjær wrote:
> > Hvis en administrator har installeret værktøjerne under pkt. 1, vil en
> > bruger uden administratorrettigheder så efterfølgende kunne installere
> > og benytte sin signatur?
> Jeps!

Sidst jeg forsøgte virkede det for administratoren men ikke brugeren.

---

On Sun, 2006-05-21 at 23:33 +0200, Allan Olesen wrote:
> Jeg undrer mig også lidt. Hvad er det, der har fået Alex Holst til at
> fare i blækhuset, hvis tingene virkelig er så godt adskilt? Han plejer
> ikke at løbe med en halv vind.

Hvad skal punkt 1 bruges til?

En almindelig bruger vil se punkt 1 som en opfordring til at køre med
administrator rettigheder

---

On Sun, 2006-05-21 at 23:33 +0200, Allan Olesen wrote:
> > Sidst jeg forsøgte virkede det for administratoren men ikke brugeren.
> Jeg undrer mig også lidt. Hvad er det, der har fået Alex Holst til at
> fare i blækhuset, hvis tingene virkelig er så godt adskilt? Han plejer

Det virker ikke, for en bruger der ikke administrator, selvom
administratoren køre den første installation.

---

On Mon, 2006-05-22 at 06:18 +0200, Allan Olesen wrote:
> En almindelig bruger vil se installationen af MS Office, Doom 3 eller
> Winzip som en opfordring til at køre med administratorrettigheder.

Nej, han højreklikker blot på setup.exe og vælger "køre som
administrator" (kan ikke huske den præcise formulering), når vi snakker
om MS Office, Doom 3 eller Winzip.

> Hvis pkt. 1 er software, og der er en acceptabel forklaring på, hvorfor
> det er nødvendigt med ekstra software (den vil jeg da forresten også
> gerne høre), er det en sag for en administrator, medmindre man vil have
> software til at flyde tilfældigt rundt i brugernes egne biblioteker.

Som jeg husker det, kan brugeren ikke benytte det som blev installeret
af administratoren.

---

On Mon, 2006-05-22 at 20:40 +0200, Allan Olesen wrote:
> Er det anderledes med det software, vi diskuterer her i tråden?

Ja. Den software vi diskuterer bliver installeret fra Internet Explore.
Og er ikke et stykke selvstændigt software der kan hentes og
installeres.

Endvidere er installationen delt, dvs. brugeren beder om at få en
signatur, og bagefter modtager PIN kode og skal bygge en signatur.

Første del, kan brugeren køre igennem som en normal bruger, den sidste
del kræver brugeren har administrator rettigheder, eller er
administrator, dog med den tvist er der er lokale reference til
brugerens profil.

Således havde jeg som administrator ikke længere adgang til brugerens
data, og mit næste sted var at rette i den fil man hentede fra TDC.

Jeg opgav, og startede processen forfra, dog istedet med "Standard Flex"
som valgmulighed.

(Hæng mig ikke op i detailerne, da jeg ikke han kan huske det præsist).