---

Hejsa

Jeg sidder og brygger på en single sign on løsning (til web-steder).

Udgangspunktet er, at det dels er besværligt at skulle logge på de
forskellige sites, og dels er det principielt et sikkerhedsproblem, hvis
brugerne anvender samme kodeord på flere sites.

Løsningen skal på sigt kunne integreres med et andet login-system, og
derfor skal vi have fuld kontrol over valideringen.

Det skal også være nemt for nye sites at koble sig på løsningen.

Jeg er nået frem til følgende model:

1. User requests page from site
2. Site redirects user to single sign on server (SSO), and includes
redirect URL (RDU).
3. If user has not logged into SSO, SSO performs login.
4. When logged in to SSO, SSO sets or renews session cookie and creates
a ticket bound to the given RDU.
5. SSO redirects user to RDU with ticket as parameter.
6. Site requests validation of ticket/RDU combination at SSO
7. SSO returns SSO-ID (on succes) or an error message

Hvis kommunikationen med SSO-serveren sikres med SSL, mener jeg det
skulle give en rimelig sikkerhed mod opsnapning af kodeord og/eller
spoofing af server-adressen.

Det vil stadig være muligt at spoofe de enkelte sites, hvis de ikke
kører SSL, men det er det på den anden side også i dag. (Til gengæld vil
man kun kunne opsnappe en midlertidig ticket til ét site - ikke deres
komplette brugernavn/password).

Og nu er det så, jeg er interesseret i alle de
kommentarer/problemer/svagheder, I kan finde på i forhold til modellen!

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

Hej Jonathan,

On Mar 14, 2:28 pm, Jonathan Stein <jst...@image.dk> wrote:
> Hejsa
>
> Jeg sidder og brygger på en single sign on løsning (til web-steder).
>
> Udgangspunktet er, at det dels er besværligt at skulle logge på de
> forskellige sites, og dels er det principielt et sikkerhedsproblem, hvis
> brugerne anvender samme kodeord på flere sites.
>
> Løsningen skal på sigt kunne integreres med et andet login-system, og
> derfor skal vi have fuld kontrol over valideringen.
>
> Det skal også være nemt for nye sites at koble sig på løsningen.

Prøv engang at se på SAML modellen (http://en.wikipedia.org/wiki/SAML)
som beskriver hvordan din problemstilling kan løses på en
standardiseret måde. Kig specielt på SAML 1.1 Browser/POST Profile
afsnittet. Med SAML har du også mulighed for senere at udvide med
signering og kryptering, hvis du skulle få de behov. SAML modellen er
lidt stor, men hvis du benytter fx Java eller .Net er det indbygget.

/Kim

---

tiede wrote:

> Prøv engang at se på SAML modellen (http://en.wikipedia.org/wiki/SAML)
> som beskriver hvordan din problemstilling kan løses på en
> standardiseret måde. Kig specielt på SAML 1.1 Browser/POST Profile
> afsnittet. Med SAML har du også mulighed for senere at udvide med
> signering og kryptering, hvis du skulle få de behov. SAML modellen er
> lidt stor, men hvis du benytter fx Java eller .Net er det indbygget.

Tak for tippet. Det ser interessant ud, men bliver nok for komplekst til
denne løsning.

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

Jonathan Stein wrote:
> Det skal også være nemt for nye sites at koble sig på løsningen.
>
> Jeg er nået frem til følgende model:
>
> 1. User requests page from site
> 2. Site redirects user to single sign on server (SSO), and includes
> redirect URL (RDU).

Jeg kan ikke lide hvor let det er for et rogue site at redirecte
brugeren til noget der ligner hans normale login-side og derefter
opsnappe hans credentials. OpenID har samme problem.

Er det noget I har tænkt over og fundet acceptabelt?

---

Alex Holst wrote:

>> Det skal også være nemt for nye sites at koble sig på løsningen.
>>
>> Jeg er nået frem til følgende model:
>>
>> 1. User requests page from site
>> 2. Site redirects user to single sign on server (SSO), and includes
>> redirect URL (RDU).
>
> Jeg kan ikke lide hvor let det er for et rogue site at redirecte
> brugeren til noget der ligner hans normale login-side og derefter
> opsnappe hans credentials. OpenID har samme problem.
>
> Er det noget I har tænkt over og fundet acceptabelt?

Jeg har overvejet problemet, men ikke fundet den gyldne løsning, så det
er accepteret i mangel af bedre. - Men jeg er meget interesseret i gode
idéer.

Det er jo et generelt problem, hvis man kan få brugeren til at følge et
link, og da siderne i forvejen linker til hinanden, eksisterer problemet
til en vis grad allerede.

(Og det skal være muligt at logge ind uden at have en nøglefil,
hardwaretoken eller tilsvarende med sig).

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

Jonathan Stein wrote:
> Jeg har overvejet problemet, men ikke fundet den gyldne løsning, så det
> er accepteret i mangel af bedre. - Men jeg er meget interesseret i gode
> idéer.
>
> Det er jo et generelt problem, hvis man kan få brugeren til at følge et
> link, og da siderne i forvejen linker til hinanden, eksisterer problemet
> til en vis grad allerede.

(beklager de lange svartider; fokus er pt. andetsteds)

Du kan ikke styre hvad brugerne gør, men du kan til dels tvinge nogle
gode vaner ned over hovedet på dem.

Jeg ville forbyde at linke fra de forskellige systemer til Auth
Providers loginside og i stedet bede brugeren "logge ind i Auth Provider
som normalt". Så skulle de manuelt åbne en ny browser og taste
URL/loade fra favorites.

Jeg ville håndhæve det ved at checke referrers så brugerne bliver vant
til, at alle troværdige sites aktivt undgår features som kan misbruges
til at opsnappe brugerens adgangskode.

---

Alex Holst wrote:

> (beklager de lange svartider; fokus er pt. andetsteds)

Helt ok - tak for dine indspark alligevel.

> Jeg ville forbyde at linke fra de forskellige systemer til Auth
> Providers loginside og i stedet bede brugeren "logge ind i Auth Provider
> som normalt". Så skulle de manuelt åbne en ny browser og taste
> URL/loade fra favorites.

Jeg har tænkt over det, men nogle brugere vil kun logge ind meget
sjældent (det er spejdere, der skal kunne logge ind på korpsets centrale
sider, gruppernes lokale sider m.v.).
Derfor tror jeg, at mange vil glemme den rigtige procedure fra gang til
gang og alligevel lade sig lokke til at følge et "ondt" link.

Hvis noget opdragelsesmæssigt skal lykkes, tror jeg det er vigtigere at
lære brugerne at kigge efter "hængelås" og den rigtige adresse i
adresselinjen. (Det vil jo også være effektivt mod andre angreb).

M.v.h.

Jonathan

--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/

---

Den Fri, 13 Apr 2007 18:40:54 +0200 skrev Jonathan Stein:
>
> Derfor tror jeg, at mange vil glemme den rigtige procedure fra gang til
> gang og alligevel lade sig lokke til at følge et "ondt" link.
>
> Hvis noget opdragelsesmæssigt skal lykkes, tror jeg det er vigtigere at
> lære brugerne at kigge efter "hængelås" og den rigtige adresse i
> adresselinjen. (Det vil jo også være effektivt mod andre angreb).

Problemet med den taktik er at med nutidens "angrebs-venlige"
webbrowsere, kan både adresselinjen og hængelåsen nemt fakes når man
har lokket brugeren til at følge et ondt link.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den 13-04-07 19.26 skrev Kent Friis følgende:

> Problemet med den taktik er at med nutidens "angrebs-venlige"
> webbrowsere

Hvilke er det? Jeg vil da blive overrasket, hvis det er muligt i IE7,
Firefox eller Opera.

> kan både adresselinjen og hængelåsen nemt fakes når man
> har lokket brugeren til at følge et ondt link.

Har du et eksempel på en side, der kan gøre det i en eller flere af de
ovennævnte browsere?

--
Mvh. Kim Ludvigsen
Lær ti-fingersystemet med det gratis program SES Type.
http://kimludvigsen.dk

---

Den Fri, 13 Apr 2007 20:11:34 +0200 skrev Kim Ludvigsen:
> Den 13-04-07 19.26 skrev Kent Friis følgende:
>
>> Problemet med den taktik er at med nutidens "angrebs-venlige"
>> webbrowsere
>
> Hvilke er det? Jeg vil da blive overrasket, hvis det er muligt i IE7,
> Firefox eller Opera.
>
>> kan både adresselinjen og hængelåsen nemt fakes når man
>> har lokket brugeren til at følge et ondt link.
>
> Har du et eksempel på en side, der kan gøre det i en eller flere af de
> ovennævnte browsere?

Nej, men jeg har før bandet over sider der fjerner adresselinjen
og toolbar'en. Og når det er gjort, skal der ikke meget kreativitet
til at smide en <input> og en hængelås.gif ind i stedet for.

Firefox har mulighed for at begrænse hvad en side kan fjerne, men
sidst jeg checkede var default-indstillingen at den godt kan. Hvad IE7
gør på det område ved jeg ikke, den er stadig ikke udbredt nok til at man
på arbejdet (eneste sted jeg er i nærheden af en Windows-maskine) er
parat til at ændre "vi supporterer kun IE6"-politikken til "kun IE7".

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den 13-04-07 20.32 skrev Kent Friis følgende:
> Den Fri, 13 Apr 2007 20:11:34 +0200 skrev Kim Ludvigsen:

>> Har du et eksempel på en side, der kan gøre det i en eller flere af de
>> ovennævnte browsere?
>
> Nej, men jeg har før bandet over sider der fjerner adresselinjen
> og toolbar'en. Og når det er gjort, skal der ikke meget kreativitet
> til at smide en <input> og en hængelås.gif ind i stedet for.

De nye browsere viser altid adressen. Og gætværk er ikke så interessant,
det er mere interessant, hvad der er praktisk muligt. Det er lidt synd,
hvis Jonathan Stein, vælger/fravælger en løsning ud fra gætterier.

--
Mvh. Kim Ludvigsen
Lav flotte fotoalbum til hjemmesiden med JAlbum.
http://kimludvigsen.dk

---

Den Fri, 13 Apr 2007 21:12:09 +0200 skrev Kim Ludvigsen:
> Den 13-04-07 20.32 skrev Kent Friis følgende:
>> Den Fri, 13 Apr 2007 20:11:34 +0200 skrev Kim Ludvigsen:
>
>>> Har du et eksempel på en side, der kan gøre det i en eller flere af de
>>> ovennævnte browsere?
>>
>> Nej, men jeg har før bandet over sider der fjerner adresselinjen
>> og toolbar'en. Og når det er gjort, skal der ikke meget kreativitet
>> til at smide en <input> og en hængelås.gif ind i stedet for.
>
> De nye browsere viser altid adressen. Og gætværk er ikke så interessant,
> det er mere interessant, hvad der er praktisk muligt. Det er lidt synd,
> hvis Jonathan Stein, vælger/fravælger en løsning ud fra gætterier.

Hvem gætter her?

At mine informationer er en smule forældede gør dem da ikke til
gætterier. (Jeg har lige checket med Firefox på en ny userid, og det ser
ud til du har ret hvad den angår. Noget tilsvarende er vist ikke
muligt med IE7).

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den 13-04-07 21.34 skrev Kent Friis følgende:
> Den Fri, 13 Apr 2007 21:12:09 +0200 skrev Kim Ludvigsen:
>
>> De nye browsere viser altid adressen. Og gætværk er ikke så interessant,
>> det er mere interessant, hvad der er praktisk muligt. Det er lidt synd,
>> hvis Jonathan Stein, vælger/fravælger en løsning ud fra gætterier.
>
> Hvem gætter her?

Du gætter med hensyn til hængelåsen.

> At mine informationer er en smule forældede gør dem da ikke til
> gætterier.

Det med den altid synlige adresselinje er noget forholdsvist nyt. Så der
er det forståeligt, at du ikke var opdateret. Men hvis det var muligt at
lave fusk med hængelåsen, er jeg sikker på, at det ville blive betragtet
som et alvorligt sikkerhedsproblem i samtlige browsere - også i de gamle
versioner.

--
Mvh. Kim Ludvigsen
Gratis backup med Ceren Backup.
http://kimludvigsen.dk

---

Den Fri, 13 Apr 2007 21:59:24 +0200 skrev Kim Ludvigsen:
> Den 13-04-07 21.34 skrev Kent Friis følgende:
>> Den Fri, 13 Apr 2007 21:12:09 +0200 skrev Kim Ludvigsen:
>>
>>> De nye browsere viser altid adressen. Og gætværk er ikke så interessant,
>>> det er mere interessant, hvad der er praktisk muligt. Det er lidt synd,
>>> hvis Jonathan Stein, vælger/fravælger en løsning ud fra gætterier.
>>
>> Hvem gætter her?
>
> Du gætter med hensyn til hængelåsen.

Nej jeg gør ikke, jeg har set sider der har fjernet status-bar'en, og
jeg ved at man kan lave en gif af en hængelås (Alt+PrtScr er en ret
effektiv hjælp).

>> At mine informationer er en smule forældede gør dem da ikke til
>> gætterier.
>
> Det med den altid synlige adresselinje er noget forholdsvist nyt. Så der
> er det forståeligt, at du ikke var opdateret. Men hvis det var muligt at
> lave fusk med hængelåsen, er jeg sikker på, at det ville blive betragtet
> som et alvorligt sikkerhedsproblem i samtlige browsere - også i de gamle
> versioner.

window.open('http://www.example.com/','MyWindow','toolbar=yes,location=yes,
directories=yes,status=yes,menubar=yes,scrollbars=yes,resizable=yes,
width=600,height=400,left=100');

Hvad er "status=yes" beregnet til, hvis ikke det er til at bestemme om
der skal være en statusbar eller ej?

Iøvrigt er hængelåsen ubrugelig sålænge man ikke kan se location, da
den så blot indikerer "ja, det er verificeret at du er på en side".

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den 13-04-07 22.17 skrev Kent Friis følgende:
> Den Fri, 13 Apr 2007 21:59:24 +0200 skrev Kim Ludvigsen:
>
>> Du gætter med hensyn til hængelåsen.
>
> Nej jeg gør ikke, jeg har set sider der har fjernet status-bar'en, og
> jeg ved at man kan lave en gif af en hængelås (Alt+PrtScr er en ret
> effektiv hjælp).

En ting er at fjerne statuslinjen, en anden at sætte en hængelås ind på
den. I de nyere browsere er hængelåsen for øvrigt placeret i
adressefeltet - i hvert fald i Firefox og IE7, jeg ved ikke med Opera.

> Iøvrigt er hængelåsen ubrugelig sålænge man ikke kan se location, da
> den så blot indikerer "ja, det er verificeret at du er på en side".

Og det er en af grundene til, at de nyere browsere altid viser adressen.

--
Mvh. Kim Ludvigsen
Læs om nyhedsgrupperne, hvordan de opstod, hvordan de bruges, og læs
også et interview med en af superbrugerne.
http://kimludvigsen.dk

---

Den Fri, 13 Apr 2007 22:41:24 +0200 skrev Kim Ludvigsen:
> Den 13-04-07 22.17 skrev Kent Friis følgende:
>> Den Fri, 13 Apr 2007 21:59:24 +0200 skrev Kim Ludvigsen:
>>
>>> Du gætter med hensyn til hængelåsen.
>>
>> Nej jeg gør ikke, jeg har set sider der har fjernet status-bar'en, og
>> jeg ved at man kan lave en gif af en hængelås (Alt+PrtScr er en ret
>> effektiv hjælp).
>
> En ting er at fjerne statuslinjen, en anden at sætte en hængelås ind på
> den.

Jeg har ikke snakket om "på den". Jeg har hele tiden snakket om at
fjerne den, og sætte en gif ind *i stedet for* den (men det var måske
ikke tydeligt nok?)

> I de nyere browsere er hængelåsen for øvrigt placeret i
> adressefeltet - i hvert fald i Firefox og IE7, jeg ved ikke med Opera.

Nu du siger det... Det havde jeg ikke lagt mærke til. Men så er
vi jo tilbage ved adresselinjen.

>> Iøvrigt er hængelåsen ubrugelig sålænge man ikke kan se location, da
>> den så blot indikerer "ja, det er verificeret at du er på en side".
>
> Og det er en af grundene til, at de nyere browsere altid viser adressen.

Og en glædelig overraskelse... Men sg* også på tide de fik noget gjort
ved det, hvornår blev den "bug" indført, Netscape 2 eller deromkring?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den 13-04-07 23.05 skrev Kent Friis følgende:
> Den Fri, 13 Apr 2007 22:41:24 +0200 skrev Kim Ludvigsen:
>
>> En ting er at fjerne statuslinjen, en anden at sætte en hængelås ind på
>> den.
>
> Jeg har ikke snakket om "på den". Jeg har hele tiden snakket om at
> fjerne den, og sætte en gif ind *i stedet for* den (men det var måske
> ikke tydeligt nok?)

Ok, så du mener fjerne statuslinjen og så lave en falsk statuslinje med
en hængelås nederst på siden? Så kan jeg bedre følge dig. Men det
fungerer som nævnt anderledes i de nye versioner.

>> Og det er en af grundene til, at de nyere browsere altid viser adressen.
>
> Og en glædelig overraskelse... Men sg* også på tide de fik noget gjort
> ved det, hvornår blev den "bug" indført, Netscape 2 eller deromkring?

Det er i hvert fald meget længe siden, så det skal nok passe.

--
Mvh. Kim Ludvigsen
Har du fortalt din far og mor om Ludvigs Hjørne?
http://kimludvigsen.dk

---

Den Fri, 13 Apr 2007 23:18:10 +0200 skrev Kim Ludvigsen:
> Den 13-04-07 23.05 skrev Kent Friis følgende:
>> Den Fri, 13 Apr 2007 22:41:24 +0200 skrev Kim Ludvigsen:
>>
>>> En ting er at fjerne statuslinjen, en anden at sætte en hængelås ind på
>>> den.
>>
>> Jeg har ikke snakket om "på den". Jeg har hele tiden snakket om at
>> fjerne den, og sætte en gif ind *i stedet for* den (men det var måske
>> ikke tydeligt nok?)
>
> Ok, så du mener fjerne statuslinjen og så lave en falsk statuslinje med
> en hængelås nederst på siden? Så kan jeg bedre følge dig. Men det
> fungerer som nævnt anderledes i de nye versioner.

Så skal man til at lave et falsk browservindue. Det mindsker nok hvor
mange der hopper på den, men der må jo være nogen der gør, siden der
stadig findes reklamer der ser ud som et XP-vindue.

(som iøvrigt ser komplet malplacerede ud når man ikke kører med
standard grimme blå theme).

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den Fri, 13 Apr 2007 22:41:24 +0200 skrev Kim Ludvigsen:
> Den 13-04-07 22.17 skrev Kent Friis følgende:
>
>> Iøvrigt er hængelåsen ubrugelig sålænge man ikke kan se location, da
>> den så blot indikerer "ja, det er verificeret at du er på en side".
>
> Og det er en af grundene til, at de nyere browsere altid viser adressen.

Hvor "Nyere"? Jeg bruger Firefox 2.0.0.1, og nu var jeg lige inde på
http://www.shg.dk/ og deres vare-detalje popup viser IKKE url'en.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den 14-04-07 21.10 skrev Kent Friis følgende:
> Den Fri, 13 Apr 2007 22:41:24 +0200 skrev Kim Ludvigsen:

>> Og det er en af grundene til, at de nyere browsere altid viser adressen.
>
> Hvor "Nyere"? Jeg bruger Firefox 2.0.0.1, og nu var jeg lige inde på
> http://www.shg.dk/ og deres vare-detalje popup viser IKKE url'en.

Prøv at kigge på titellinjen.

--
Mvh. Kim Ludvigsen
Sådan skræddersyr du startmenuen.
http://kimludvigsen.dk

---

Den Sat, 14 Apr 2007 21:21:11 +0200 skrev Kim Ludvigsen:
> Den 14-04-07 21.10 skrev Kent Friis følgende:
>> Den Fri, 13 Apr 2007 22:41:24 +0200 skrev Kim Ludvigsen:
>
>>> Og det er en af grundene til, at de nyere browsere altid viser adressen.
>>
>> Hvor "Nyere"? Jeg bruger Firefox 2.0.0.1, og nu var jeg lige inde på
>> http://www.shg.dk/ og deres vare-detalje popup viser IKKE url'en.
>
> Prøv at kigge på titellinjen.

Den havde jeg ikke lige set. Hvilket er et argument for at det ikke er
godt nok, for når jeg ikke har, så har mange andre heller ikke.

Vi er jo vant til at URL'en står i location-feltet, og sålænge der er
et location-felt, står den ikke i titel-linjen, så vi får aldrig
indarbejdet en vane med at kigge derop. Når vi så kommer ind på
et phishing-site, der skjuler location-feltet, og laver sin egen
lookalike (gif, evt. med <input> felt), der viser det rigtige, så
er der ingen der kan forvente at folk kigger i titel-linjen.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den 14-04-07 21.51 skrev Kent Friis følgende:
> Den Sat, 14 Apr 2007 21:21:11 +0200 skrev Kim Ludvigsen:
>>
>> Prøv at kigge på titellinjen.
>
> Den havde jeg ikke lige set. Hvilket er et argument for at det ikke er
> godt nok, for når jeg ikke har, så har mange andre heller ikke.

Jeg mener også at have set det virke på en anden måde, hvor adressen
stod på en linje under titellinjen, men måske jeg blander det sammen med
IE7s måde, hvor adressen netop vises i et gråt felt under titellinjen,
hvis adressefeltet er slået fra. Vi kan i hvert fald hurtigt blive enige
om, at det er en bedre måde end at bruge titellinjen.

--
Mvh. Kim Ludvigsen
Læs om nyhedsgrupperne, hvordan de opstod, hvordan de bruges, og læs
også et interview med en af superbrugerne.
http://kimludvigsen.dk

---

Den Sat, 14 Apr 2007 22:07:10 +0200 skrev Kim Ludvigsen:
> Den 14-04-07 21.51 skrev Kent Friis følgende:
>> Den Sat, 14 Apr 2007 21:21:11 +0200 skrev Kim Ludvigsen:
>>>
>>> Prøv at kigge på titellinjen.
>>
>> Den havde jeg ikke lige set. Hvilket er et argument for at det ikke er
>> godt nok, for når jeg ikke har, så har mange andre heller ikke.
>
> Jeg mener også at have set det virke på en anden måde, hvor adressen
> stod på en linje under titellinjen, men måske jeg blander det sammen med
> IE7s måde, hvor adressen netop vises i et gråt felt under titellinjen,
> hvis adressefeltet er slået fra. Vi kan i hvert fald hurtigt blive enige
> om, at det er en bedre måde end at bruge titellinjen.

Jeg mener at vise den på en anden måde end brugeren er vant til er
uhensigtsmæssigt. Når brugeren ser URL'en i adressefeltet på 90% af
de sites han besøger, kan man ikke forvente at han ved at han skal
kigge et andet sted når han er på et phishing-site.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>Jeg mener at vise den på en anden måde end brugeren er vant til er
>uhensigtsmæssigt. Når brugeren ser URL'en i adressefeltet på 90% af
>de sites han besøger, kan man ikke forvente at han ved at han skal
>kigge et andet sted når han er på et phishing-site.

IE7 gør præcis det, du gerne vil ha'.

Den har netop en adresselinje - komplet med favicon.ico - det rette
sted, selvom websitet har bedt om at få skjult adresselinjen. Man
kan dog ikke skrive noget i dette adressefelt, så det er "grået ud".

Mvh.
   Klaus.

---

Den Sat, 14 Apr 2007 21:07:03 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Jeg mener at vise den på en anden måde end brugeren er vant til er
>>uhensigtsmæssigt. Når brugeren ser URL'en i adressefeltet på 90% af
>>de sites han besøger, kan man ikke forvente at han ved at han skal
>>kigge et andet sted når han er på et phishing-site.
>
> IE7 gør præcis det, du gerne vil ha'.
>
> Den har netop en adresselinje - komplet med favicon.ico - det rette
> sted, selvom websitet har bedt om at få skjult adresselinjen. Man
> kan dog ikke skrive noget i dette adressefelt, så det er "grået ud".

Det giver da ingen mening. Først at vise den alligevel, så designet
bliver ødelagt (de sider der skjuler den (udover phsishing sites),
gør det netop aht. designet), og derefter gøre den ubrugelig, så den
er til ulempe for både bruger og webdesigner.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>Det giver da ingen mening. Først at vise den alligevel, så designet
>bliver ødelagt (de sider der skjuler den (udover phsishing sites),
>gør det netop aht. designet), og derefter gøre den ubrugelig, så den
>er til ulempe for både bruger og webdesigner.

Hvad er vigtigst? Design eller sikkerhed?

Det har i øvrigt aldrig været hensigten med HTML, at designeren
skulle kunne "bestemme" noget om præsentationen for brugeren. I
bund og grund er de enkelte tags *forslag*. De fleste browsere
tillader, at man slår i hvert fald en delmængde af dem til og
fra.

Mvh.
   Klaus.

---

Den Sat, 14 Apr 2007 21:44:49 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Det giver da ingen mening. Først at vise den alligevel, så designet
>>bliver ødelagt (de sider der skjuler den (udover phsishing sites),
>>gør det netop aht. designet), og derefter gøre den ubrugelig, så den
>>er til ulempe for både bruger og webdesigner.
>
> Hvad er vigtigst? Design eller sikkerhed?

Hvad er den sikkerhedsmæssige fordel i at når man er kommet ind på
et phishing-site, kan man ikke skrive en anden URL, og forlade sitet?

> Det har i øvrigt aldrig været hensigten med HTML, at designeren
> skulle kunne "bestemme" noget om præsentationen for brugeren. I
> bund og grund er de enkelte tags *forslag*.

Men forklar lige webdesignerne det...

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>> Hvad er vigtigst? Design eller sikkerhed?

>Hvad er den sikkerhedsmæssige fordel i at når man er kommet ind på
>et phishing-site, kan man ikke skrive en anden URL, og forlade sitet?

Umiddelbart vil jeg mene, det er klogt at lukke browseren, når
man har haft med "ondsindede" websites at gøre. Med Javascript
og andre indlejrede småprogrammer ved man aldrig helt, hvad der
måtte ryge tilbage til et site, mens en session er aktiv.

>> Det har i øvrigt aldrig været hensigten med HTML, at designeren
>> skulle kunne "bestemme" noget om præsentationen for brugeren. I
>> bund og grund er de enkelte tags *forslag*.

>Men forklar lige webdesignerne det...

Indeed.

Mvh.
   Klaus.

---

Kim Ludvigsen <usenet@kimludvigsen.dk> posting:

>Jeg mener også at have set det virke på en anden måde, hvor adressen
>stod på en linje under titellinjen, men måske jeg blander det sammen med

Det gør det i IE 7 og Opera
(siden-hvornår-kan-jeg-ikke-huske-men-mindst-siden-8-et-eller-andet):
http://cbh.softwolves.dk/temp/oad.gif

--
What is life, except excuse for death,
or death, but an escape from life. -Ukendt

Fly Opera - http://opera.softwolves.dk

---

Kim Ludvigsen <usenet@kimludvigsen.dk> posting:

>En ting er at fjerne statuslinjen, en anden at sætte en hængelås ind på
>den. I de nyere browsere er hængelåsen for øvrigt placeret i

Om der er en hængelås eller ej betyder ikke det store for
hovedparten af brugerne. Det skal forstås på den måde, at jo, de
tjekker den, men de forstår den ikke.

16 personer. 12 ser på låsen, mens kun 2 af dem rent faktisk
tjekker, at certifikatet er troværdigt, og heraf er der 0 af dem,
der finder ud af, at det faktisk ikke er det (selv-underskrevet), --
<http://portal.acm.org/citation.cfm?id=1089508.1089532&coll=&dl=ACM&type=series&idx=1089508&part=Proceedings&WantType=Proceedings&title=ACM%20International%20Conference%20Proceeding%20Series&CFID=15151515&CFTOKEN=6184618>


22 personer. De vises et selv-underskrevet certifikat. 15 accepterer
det uden at læse advarselsdialogen.
<http://portal.acm.org/citation.cfm?id=1089508.1089532&coll=&dl=ACM&type=series&idx=1089508&part=Proceedings&WantType=Proceedings&title=ACM%20International%20Conference%20Proceeding%20Series&CFID=15151515&CFTOKEN=6184618>

--
What is life, except excuse for death,
or death, but an escape from life. -Ukendt

Fly Opera - http://opera.softwolves.dk

---

Christian Bohr-Halling <nospam@cbh.softwolves.dk> posting:

>22 personer. De vises et selv-underskrevet certifikat. 15 accepterer
>det uden at læse advarselsdialogen.
><http://portal.acm.org/citation.cfm?id=1089508.1089532&coll=&dl=ACM&type=series&idx=1089508&part=Proceedings&WantType=Proceedings&title=ACM%20International%20Conference%20Proceeding%20Series&CFID=15151515&CFTOKEN=6184618>

http://portal.acm.org/citation.cfm?id=1124772.1124861

--
What is life, except excuse for death,
or death, but an escape from life. -Ukendt

Fly Opera - http://opera.softwolves.dk

---

Den Sun, 15 Apr 2007 21:53:32 +0200 skrev Christian Bohr-Halling:
> Kim Ludvigsen <usenet@kimludvigsen.dk> posting:
>
>>En ting er at fjerne statuslinjen, en anden at sætte en hængelås ind på
>>den. I de nyere browsere er hængelåsen for øvrigt placeret i
>
> Om der er en hængelås eller ej betyder ikke det store for
> hovedparten af brugerne. Det skal forstås på den måde, at jo, de
> tjekker den, men de forstår den ikke.
>
> 16 personer. 12 ser på låsen, mens kun 2 af dem rent faktisk
> tjekker, at certifikatet er troværdigt, og heraf er der 0 af dem,
> der finder ud af, at det faktisk ikke er det (selv-underskrevet),

Definer "troværdigt".

Er det troværdigt, hvis det er underskrevet af en utroværdig part? Fx.
et firma der har bevist at de er villige til nærmest hvadsomhelst bare
for at tjene lidt småpenge?

(Behøver jeg at sige "SiteFinder"?)

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> posting:

>> 16 personer. 12 ser på låsen, mens kun 2 af dem rent faktisk
>> tjekker, at certifikatet er troværdigt, og heraf er der 0 af dem,
>> der finder ud af, at det faktisk ikke er det (selv-underskrevet),
>
>Definer "troværdigt".

Det er så et andet element, men netop.

>Er det troværdigt, hvis det er underskrevet af en utroværdig part? Fx.

Nej, og derfor skal man også have et vist forbehold overfor, alt er
fint, bare der er en "hængelås".

--
What is life, except excuse for death,
or death, but an escape from life. -Ukendt

Fly Opera - http://opera.softwolves.dk

---

Den Mon, 16 Apr 2007 22:43:17 +0200 skrev Christian Bohr-Halling:
> Kent Friis <nospam@nospam.invalid> posting:
>
>>> 16 personer. 12 ser på låsen, mens kun 2 af dem rent faktisk
>>> tjekker, at certifikatet er troværdigt, og heraf er der 0 af dem,
>>> der finder ud af, at det faktisk ikke er det (selv-underskrevet),
>>
>>Definer "troværdigt".
>
> Det er så et andet element, men netop.
>
>>Er det troværdigt, hvis det er underskrevet af en utroværdig part? Fx.
>
> Nej, og derfor skal man også have et vist forbehold overfor, alt er
> fint, bare der er en "hængelås".

Enig så vidt, hængelåsen beviser ikke andet end at det kun er
modtageren der kan læse ens kortnummer, ikke at det er den korrekte
modtager (det ved man jo kun selv).

Jeg kan bare ikke se hvordan man skulle "tjekke at certifikatet er
troværdigt", når langt de fleste - også troværdige webshops - bruger
certifikater der er underskrevet af enten firmaet bag SiteFinder,
eller et tilfældigt amerikansk firma man aldrig har hørt om, eller
til nød tele-selskabet med øgenavnet Tele-Fjummark. Når udstederen
ikke kan bruges, hvordan ser man så ud fra certifikatet om det er
troværdigt?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>Når udstederen ikke kan bruges, hvordan ser man så ud fra
>certifikatet om det er troværdigt?

Det er ikke nødvendigvis så sort-og-hvidt. Det er et spørgsmål om
"troværdigt nok".

Til langt de fleste anvendelser er VeriSign og venner troværdige
nok. De hører ikke til blandt verdens kløgtigste firmaer, men de
har en historik inden for certifikater, der ikke er helt gal.

At jeg ikke er særlig glad for, at de har root-serverne, er en
anden problemstilling, der ikke nødvendigvis hænger sammen med
deres certifikat-håndtering.

Hvis man ikke er tilfreds med Verisign, har man nok også forbudt
bærbare pc'er, og it-afdelingen har nok også bodyguards 24x7 på
hele familien, så ingen kan finde på at kidnappe den og afpresse
adgang til data.

Ahja, og man installerer aldrig opdateringer til Windows eller
andre programmer, der helt eller delvist er signeret af VeriSign.

Ellers er det da lidt fjollet. Efter min mening

Mvh.
   Klaus.

---

Den Mon, 16 Apr 2007 21:15:49 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Når udstederen ikke kan bruges, hvordan ser man så ud fra
>>certifikatet om det er troværdigt?
>
> Det er ikke nødvendigvis så sort-og-hvidt. Det er et spørgsmål om
> "troværdigt nok".
>
> Til langt de fleste anvendelser er VeriSign og venner troværdige
> nok. De hører ikke til blandt verdens kløgtigste firmaer, men de
> har en historik inden for certifikater, der ikke er helt gal.

Du mener hvis vi ser bort fra dengang de udstedte Microsoft-certifikater
til nogen der intet havde med Microsoft at gøre?

> At jeg ikke er særlig glad for, at de har root-serverne, er en
> anden problemstilling, der ikke nødvendigvis hænger sammen med
> deres certifikat-håndtering.

De forskellige afdelinger i et firma er ikke så uafhængige. Alle
firmaer har en top-ledelse der i sidste ende bestemmer hvad der er
acceptabelt og hvad der ikke er. Hvis topledelsen hos Verisign havde
haft en moral der var bare i nærheden af god nok til at håndtere
certifikater, var dem der fandt på SiteFinder blevet fyret
øjeblikkeligt da det blev sat i drift.

> Hvis man ikke er tilfreds med Verisign, har man nok også forbudt
> bærbare pc'er, og it-afdelingen har nok også bodyguards 24x7 på
> hele familien, så ingen kan finde på at kidnappe den og afpresse
> adgang til data.

Øhm, nej. Bare fordi man ikke er tilfreds med nogen der allerede har
*bevist* at de er utroværdige, betyder det ikke nødvendigvis at man
ikke stoler på folk generelt.

> Ahja, og man installerer aldrig opdateringer til Windows eller
> andre programmer, der helt eller delvist er signeret af VeriSign.

Vrøvl. At programmerne tilfældigvis er signeret af Verisign gør da
ikke Microsoft utroværdige. Det er stadig lige så troværdigt som at
downloade programmer der slet ikke er signeret.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>Du mener hvis vi ser bort fra dengang de udstedte Microsoft-certifikater
>til nogen der intet havde med Microsoft at gøre?

Jep, det er præcis dét, jeg mener med "sikkert nok". Der har været
tåleligt få sager - igen i forhold til hvad der forsøges beskyttet.

>> At jeg ikke er særlig glad for, at de har root-serverne, er en
>> anden problemstilling, der ikke nødvendigvis hænger sammen med
>> deres certifikat-håndtering.

>De forskellige afdelinger i et firma er ikke så uafhængige. Alle
>firmaer har en top-ledelse der i sidste ende bestemmer hvad der er
>acceptabelt og hvad der ikke er.

Det gælder kun relativt små firmaer. Mange firmaer - selv danske
jeg har arbejdet for - uddelegerer opgaver. Det kan være, at en
dårlig beslutning bagefter får konsekvenser for de ansvarlige.

Se f.eks. Arlas sag med Hirtshals og Metro. Mon det var Arlas
administrerende direktør, der personligt havde godkendt den
marketings-strategi?

>Øhm, nej. Bare fordi man ikke er tilfreds med nogen der allerede har
>*bevist* at de er utroværdige, betyder det ikke nødvendigvis at man
>ikke stoler på folk generelt.

Præcis. At en marketing-fætter i VeriSign er utroværdig, betyder
ikke nødvendigvis, at hele firmaet er det.

Hvis vi overfører den på open source betyder det vel, at enhver
programmør med den mindste kriminelle fortid ødelægger hele det
produkt, han har skrevet kode til. Kriminelle er jo utroværdige.
Gad vide om der findes troværdige open source-produkter, hvis
man tager de briller på?

>Vrøvl. At programmerne tilfældigvis er signeret af Verisign gør da
>ikke Microsoft utroværdige.

Præcis. Men hvem siger, at Microsoft har skrevet det pågældende?

VeriSign gør ikke, siger du. VeriSign styrer både certifikatet og
DNS, så microsoft.com stoler du lige så lidt på som certifikatet.
Du kan heller ikke få en sikker mail fra Microsoft med en IP på
deres update-server (hvilken fælles trust vil du bruge?). Faktisk
er du nødt til at flyve til Seattle, så du personligt kan få dine
updates overrakt. Men kender du personligt nogen, du kan stole på,
som kan overrække dem?

Mvh.
   Klaus.

---

Den Mon, 16 Apr 2007 21:59:54 +0000 (UTC) skrev Klaus Ellegaard:
>
> VeriSign gør ikke, siger du. VeriSign styrer både certifikatet og
> DNS, så microsoft.com stoler du lige så lidt på som certifikatet.
> Du kan heller ikke få en sikker mail fra Microsoft med en IP på
> deres update-server (hvilken fælles trust vil du bruge?). Faktisk
> er du nødt til at flyve til Seattle, så du personligt kan få dine
> updates overrakt. Men kender du personligt nogen, du kan stole på,
> som kan overrække dem?

Er det sådan du mener Hr. og Fru Danmark skal se på certifikatet om
det er troværdigt?

For det synes jeg stadig ikke jeg har fået et brugbart svar på. En
webside er rimeligvis til at vurdere, men et certifikat er ikke
andet end noget fancy matematik, der står intet på der kan bruges
til at vurdere troværdighed.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>Er det sådan du mener Hr. og Fru Danmark skal se på certifikatet om
>det er troværdigt?

Jep. "Troværdigt nok" er nøgleordene.

Netop hr. og fru Danmark får omfattende beskyttelse af lovgivningen,
hvis det skulle vise sig, at certifikatet ikke tilhører den, det var
forventet.

Det er lidt værre med adgang til oplysninger. Jeg kender et stort
firma, der benytter eget rodcertifikat. Præcis hvorfor ved jeg ikke,
men det løser i hvert fald trust-problemet. Forudsat at tilføjelsen
til brugerens pc sker på en måde, der er "troværdig nok".

Det er netop problemet med enhver form for trust: antag man lavede
en ultra-sikker certifikatudsteder, hvor certifikater altid tilhører
den, der står i certifikatet. Der er altså omfattende procedurer i
dén ende.

Hvordan sikrer man sig så, at der med 100% garanti aldrig vil være
en browser, der på grund af en ansats kriminalitet "pludselig" får
et andet rodcertifikat ind i stedet for (eller ved siden af) det,
der tilhører den ultrasikre udsteder?

Det er ikke en acceptabel løsning for familien Danmark, at man
skal foretage sig noget som helst aktivt for at få sikkerheden
højnet. Det skal bare virke. Og selv hvis man bad dem gøre noget
aktivt, så vil det også gå galt; se blot hvor gladeligt mange
udleverer deres netbank-nøgler og passwords.

Ergo: sikkerheden for familien Danmark bliver aldrig højere end
det, der leveres med deres standardløsning. Med en så "tvivlsom"
(set med teoretiske øjne) trust-model er selve certifikaternes
kvalitet udover det nuværende ikke så relevant.

Vi er tilbage i afdelingen for "troværdigt nok".

Mvh.
   Klaus.

---

Den Tue, 17 Apr 2007 06:15:50 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Er det sådan du mener Hr. og Fru Danmark skal se på certifikatet om
>>det er troværdigt?
>
> Jep.

En flybillet?

> "Troværdigt nok" er nøgleordene.

Jeg kan bare ikke se hvad certifikatet har med det at gøre.

> Netop hr. og fru Danmark får omfattende beskyttelse af lovgivningen,
> hvis det skulle vise sig, at certifikatet ikke tilhører den, det var
> forventet.

Hvor i lovgivningen finder du "certifikatet"?

> Ergo: sikkerheden for familien Danmark bliver aldrig højere end
> det, der leveres med deres standardløsning. Med en så "tvivlsom"
> (set med teoretiske øjne) trust-model er selve certifikaternes
> kvalitet udover det nuværende ikke så relevant.
>
> Vi er tilbage i afdelingen for "troværdigt nok".

Jeg kan stadig ikke se hvad det har med certifikatet at gøre. Et
website der ser troværdigt ud bliver ikke mere troværdigt af at et
mindre troværdigt firma siger god for dem.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>Hvor i lovgivningen finder du "certifikatet"?

Det gør jeg ikke. Men hr. og fru Danmark er beskyttet af bl.a.
"lov om visse betalingsmidler", så derfor er certifikatet ikke
mere relevant end PBS' retningslinjer. Som bekendt kræver de,
at der køres SSL i forbindelse med onlinebetaling.

Om det er lovfæstet eller ej, er sådan set uinteressant. Det
væsentlige er, at PBS som operatør af den del af lovgivningen
siger, at certifikatet er "troværdigt nok" til at udgøre en
del af forbrugerbeskyttelsen.

>> Vi er tilbage i afdelingen for "troværdigt nok".

>Jeg kan stadig ikke se hvad det har med certifikatet at gøre.

Øhm, det er noget af det mest basale inden for sikkerhed: tre
parter, der er enige, er bedre end to. Forudsat at parterne er
enige om, at alle er "troværdige nok" i forhold til det, der
skal udveksles.

>Et website der ser troværdigt ud bliver ikke mere troværdigt
>af at et mindre troværdigt firma siger god for dem.

Så er vi vist tilbage til at du slet ikke kan stole på noget,
der kommer ud af DNS. Det må være lidt trist, at du hele tiden
skal ringe til Berlingske og bede om deres IP-adresse?

Mvh.
   Klaus.

---

Den Tue, 17 Apr 2007 10:42:53 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Hvor i lovgivningen finder du "certifikatet"?
>
> Det gør jeg ikke. Men hr. og fru Danmark er beskyttet af bl.a.
> "lov om visse betalingsmidler", så derfor er certifikatet ikke
> mere relevant end PBS' retningslinjer. Som bekendt kræver de,
> at der køres SSL i forbindelse med onlinebetaling.
>
> Om det er lovfæstet eller ej, er sådan set uinteressant. Det
> væsentlige er, at PBS som operatør af den del af lovgivningen
> siger, at certifikatet er "troværdigt nok" til at udgøre en
> del af forbrugerbeskyttelsen.

Certifikatet er troværdigt nok til at oprette en krypteret forbindelse,
ja. Det har intet med Verisign at gøre.

Troværdigheden af betalingsmodtager ligger for PBS' vedkommende i
dennes merchant aftale.

>>> Vi er tilbage i afdelingen for "troværdigt nok".
>
>>Jeg kan stadig ikke se hvad det har med certifikatet at gøre.
>
> Øhm, det er noget af det mest basale inden for sikkerhed: tre
> parter, der er enige, er bedre end to. Forudsat at parterne er
> enige om, at alle er "troværdige nok" i forhold til det, der
> skal udveksles.

Og hvad hjælper det så at vi har et utroværdigt firma som tredjepart?

>>Et website der ser troværdigt ud bliver ikke mere troværdigt
>>af at et mindre troværdigt firma siger god for dem.
>
> Så er vi vist tilbage til at du slet ikke kan stole på noget,
> der kommer ud af DNS. Det må være lidt trist, at du hele tiden
> skal ringe til Berlingske og bede om deres IP-adresse?

Jeg kan sg* da ikke gøre for at Verisign også har snablen nede i DNS.
Der er ikke andre alternativer. Men ok, det er tydeligvis bare et
forsøg på at snakke udenom at du nævner det hver gang jeg spørger
hvordan man ser på certifikatet hvorvidt et site er troværdigt eller
ej. Et punkt hvor der *er* andre alternativer, nemlig at kigge på
sitet selv, om det ser troværdigt ud. Præcis ligesom man når man
downloader programmer kigger på om sitet ser troværdigt ud.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>> Øhm, det er noget af det mest basale inden for sikkerhed: tre
>> parter, der er enige, er bedre end to. Forudsat at parterne er
>> enige om, at alle er "troværdige nok" i forhold til det, der
>> skal udveksles.

>Og hvad hjælper det så at vi har et utroværdigt firma som tredjepart?

Nu er det vist kun dig og måske 5-10 andre her i verden, der har
et reelt problem med VeriSign i denne forbindelse. Ikke at det er
et helt i bund troværdigt foretagende, men det er "troværdigt nok"
for nu at gentage mig selv.

Jeg synes ikke, der i det hele taget er et problem at diskutere.

>> Så er vi vist tilbage til at du slet ikke kan stole på noget,
>> der kommer ud af DNS. Det må være lidt trist, at du hele tiden
>> skal ringe til Berlingske og bede om deres IP-adresse?

>Jeg kan sg* da ikke gøre for at Verisign også har snablen nede i DNS.

Du har lige erklæret, at firmaet VeriSign er utroværdigt. Hvordan
kan du så flytte noget over Internet, der har sikkerhedsmæssig
betydning? Hvem siger, at det rent faktisk er Firma X, der gemmer
sig bag www.firmax.com? Det er jo VeriSign, der står for den del.

Men hva', lad os kalde det EOD.

Mvh.
   Klaus.

---

Den Tue, 17 Apr 2007 12:50:17 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>> Så er vi vist tilbage til at du slet ikke kan stole på noget,
>>> der kommer ud af DNS. Det må være lidt trist, at du hele tiden
>>> skal ringe til Berlingske og bede om deres IP-adresse?
>
>>Jeg kan sg* da ikke gøre for at Verisign også har snablen nede i DNS.
>
> Du har lige erklæret, at firmaet VeriSign er utroværdigt.

Nej, det har de selv demonstreret.

> Hvordan
> kan du så flytte noget over Internet, der har sikkerhedsmæssig
> betydning? Hvem siger, at det rent faktisk er Firma X, der gemmer
> sig bag www.firmax.com? Det er jo VeriSign, der står for den del.

Man kan kun forsøge at vurdere det ud fra siden. Præcis som man gør
fx når man downloader et program. I og for sig er det fuldstændig
ligegyldigt om firmaet bag har det ene eller det andet navn, det er
indholdet det kommer an på.

Var det iøvrigt ikke også Verisign der forærede et "hot" domæne (jeg
tror det var sex.com) til en anden, fordi han sendte en fax og bad om
at få domænet overført til sig selv? Så jo, du har fuldstændig ret,
man kan ikke forvente at at et domæne stadig tilhører den retsmæssige
ejer selvom det gjorde igår, når Verisign er involveret.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Mon, 2007-04-16 at 21:59 +0000, Klaus Ellegaard wrote:
> Kent Friis <nospam@nospam.invalid> writes:
>
> >Du mener hvis vi ser bort fra dengang de udstedte Microsoft-certifikater
> >til nogen der intet havde med Microsoft at gøre?

Var det ikke et certifikat til at underskrive software certifikater?

> Jep, det er præcis dét, jeg mener med "sikkert nok". Der har været
> tåleligt få sager - igen i forhold til hvad der forsøges beskyttet.

Har du prøvet at få en certifikat underskriver til at underskrive et
certifikat?

De sidste mange certifikater jeg har fået underskrevet, krævede ikke jeg
havde noget tilhørelses forhold til selskabet, der skulle have
certifikatet underskrevet.

Det er i mine øjne trivielt at få et certifikat.

At en certifikat underskriver har ordenlige procedure, er ligegyldigt
hvis en anden ikke har.


Hver sin certifikat udbyder har sin metode, derfor er angrebsvinklen
forskellig (nogle meget nemmere end andre):

o Man skal udfylde ansøgningen "forkert"

o Ændring af modtagerens DNS opsætning

o Ændring af modtagerens Mail server.

o Ændring af modtagerens telefon system.

---

Jonathan Stein wrote:
> Jeg har tænkt over det, men nogle brugere vil kun logge ind meget
> sjældent (det er spejdere, der skal kunne logge ind på korpsets centrale
> sider, gruppernes lokale sider m.v.).
> Derfor tror jeg, at mange vil glemme den rigtige procedure fra gang til
> gang og alligevel lade sig lokke til at følge et "ondt" link.

Ah, målgruppen og systemets brug er en afgørende faktor i denne
situation, synes jeg.

Er der følsomme oplysninger i jeres systemer? Hvis ikke, kunne du måske
med fordel sigte efter at gøre systemet let at bruge (og dermed rimeligt
sikkert at bruge) fremfor at det skal være designet til at modstå
alverdens phishing angreb.

Vil det være en mulighed at droppe ideen om single sign-on og i stedet
blot synkronisere brugernavne og adgangskoder på tværs af de forskellige
systemer?

Jeg har netop skrevet følgende i udviklingsudgaven af OSS'en - måske du
kan bruge nogle af pointerne deri?



Hvordan håndteres adgangskoder i en webapplikation?

Alle adgangskoder bør opbevares krypterede i brugerdatabasen. Benyt et
lokalt seed på minimum 64-bit. Kryptèr eller hash adgangskoden plus
seed flere gange med kendte, peer-reviewed algoritmer. Derved gøres
det meget dyrt at forsøge brute-force angreb på databasen, hvis en
angriber skulle lykkedes at få fat i en kopi.

Når brugere ønsker at registere sig i en webapplikation, giv dem ikke
muligheden for at indtaste deres egen adgangskode. De færreste brugere
kan finde ud af at vælge en passende kode, og de som kan, vil
alligevel helst være fri. Send i stedet en tilfældig adgangskode på
15-40 tegn i email. Adgangskoden bør indeholde store bogstaver, små
bogstaver, tal og adskellige specialtegn: .!"@#£¤$%&/()={[]}?+-|*.

Brugeren skal derved copy & paste adgangskoden ind i sin webbrowser og
lade denne huske koden til næste gang. Således er koden ikke
umiddelbart tilgængeligt hvis brugeren lokkes ind på et falsk site.
Det betyder dog også, at brugeren skal printe og medbringe koden hvis
hun ønsker at logge ind i din applikation fra fremmede computere.

Hvis brugeren har mistet sin adgangskode, sendes enten en ny kode
eller et unikt link til brugerens oplyste email adresse. For at
forhindre uvedkommende i at udføre et denial-of-service angreb mod en
bruger, skal den gamle adgangskode fortsat virke indtil der er logget
ind med den nye og/eller kode-reset er blevet bekræftet via det
mailede link.

Undlad at gøre brug af de såkaldte security questions hvor brugeren
skal oplyse personlige data som enhver kan finde frem til (f.eks.
moderens pigenavn, navn på kæledyr, etc). Det er bare endnu en
adgangskode, dog med alle de dårlige egenskaber vi her forsøger at
undgå.

Selvom email typisk sendes i klar tekst, er det i de færreste
tilfælde at netværksaflytning er den primære bekymring.



--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On Sat, 2007-04-14 at 21:44 +0000, Klaus Ellegaard wrote:
> Det har i øvrigt aldrig været hensigten med HTML, at designeren
> skulle kunne "bestemme" noget om præsentationen for brugeren. I
> bund og grund er de enkelte tags *forslag*. De fleste browsere
> tillader, at man slår i hvert fald en delmængde af dem til og
> fra.

Enig, man har blot skulle beskrive strukturen af dokumentet.