Gå til innhold

Sikkerheten i norske nettbanker slaktes

OHJohansen

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Leftie

Leftie

Skrevet
Skrevet

De "ønsker ikke å skade rennomé"? Hvis enkle fakta kan skade en banks rennomé, er det kanskje fordi bankens rennomé er bygd på falsk informasjon?

 

For meg er det absolutt relevant hva slags kompetanse min bank har når det gjelder IT-sikkerhet, så hvorfor skal ikke dette være åpen informasjon? "Security by obscurity is no security at all."

  • Liker 5
Lenke til kommentar
elf_man

elf_man

Skrevet
Skrevet

Ser for meg at Encripto har inngått avtaler med de enkelte bedrifter de kjørte tester mot dem, og tipper det var noen klausuler der som hindret dem i å "drite" ut noen ;)

Og om noen ønsker å overleve som bedrift så lønner det seg nok å følge spillereglene.

 

Ikke enig, de understreker at dette er 'offentlige data', så for meg fremstår dette noe de har testet på egenhånd. Igjen, står ikke nok i artikkelen til å konkludere med noe som helst :)

Lenke til kommentar
0stepop

0stepop

Skrevet
Skrevet

Da jeg fant en svakhet i BankID, fant jeg ingen direkte måte å kontakte BankID på. Heller ikke banken min kunne forklare hvordan man kom i kontakt med dem. Jeg måtte til slutt henvende meg til Datatilsynet. Datatilsynet tok min sak videre, og opplevde at de var de eneste som forstod og klarte å ta meg alvorlig.

 

Problemet ble fikset etter en uke, og all kommunikasjon foregikk med min kontakt i Datatilsynet som mellommann. Jeg regnet med at BankID var glade for oppdagelsen, men nei. De sendte et brev til meg en måned etterpå, hvor de skrev at det er fyfy å lete etter feil i tjenester deres, og at de ville sette opp et møte med meg i Oslo. Jeg takket nei, fordi datoen kolliderte med sommerferien min. Spurte dem om de kunne gi meg en ny dato senere, men hørte aldri noe mere fra dem.

 

En slik opplevelse motiverer ikke akkurat til å opplyse om feil. Litt takknemlig kunne de da ha vært.

  • Liker 5
Lenke til kommentar
DanteUseless

DanteUseless

Skrevet
Skrevet

Ser for meg at Encripto har inngått avtaler med de enkelte bedrifter de kjørte tester mot dem, og tipper det var noen klausuler der som hindret dem i å "drite" ut noen ;)

Og om noen ønsker å overleve som bedrift så lønner det seg nok å følge spillereglene.

 

Ikke enig, de understreker at dette er 'offentlige data', så for meg fremstår dette noe de har testet på egenhånd. Igjen, står ikke nok i artikkelen til å konkludere med noe som helst :)

 

Var litt kjapp å myse igjennom artikkelen, og ser nå at PDF'en i TU's artikkel ( http://www.tu.no/multimedia/archive/00181/2011_Sikkerhet_nors_181480a.pdf ) ikke heller sier så fryktelig mye rundt dette..

Men jeg står fortsatt fast på at det ville være lite smart for en bedrift å gå ut med slik info før det har gått "anstendig" med tid og gitt bankene mulighet til å tweake oppsettet sitt. De har nå skapt blest om rapporten sin og kanskje legger noen merke til dem :)

Lenke til kommentar
Xvani

Xvani

Skrevet
Skrevet

Om det er BEAST som er hovedproblemet er ikke dette et så stort hull som hw og kanskje Encripto skal ha det til.

 

Det skal veldig mye til for å få til dette.

 

BEAST-angrep er relativt nytt (Sept. 2011) og er allerede patchet av Java (som er typisk måte å kjøre scriptet på) og de fleste mest brukte nettlesere.

 

 

Orginalbloggen om BEAST:

http://vnhacker.blogspot.com/2011/09/beast.html

 

God forklaring og hvordan Opera håndtere problemet:

http://my.opera.com/securitygroup/blog/2011/09/28/the-beast-ssl-tls-issue

Lenke til kommentar
  • 1 år senere...

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...