Gå til innhold

Du må vente enda lenger på Java-fri nettbank

AfterGlow

Anbefalte innlegg

efikkan

efikkan

Skrevet
Skrevet (endret)

Noen informasjon om hva de går over til? Ren HTML løsning?

Alt de trenger på frontend er egentlig noen enkle HTML-skjema, men det ryktes at de har laget en stor kompleks implementasjon i JavaScript.

 

hva er problemet med javascript da. sånn jeg ser det kan nesten alle nettlesere utføre javascript riktig.

Problemet med JavaScript er sikkerheten. Ikke bare kan nettlesere tolke komplisert JavaScript feil, script kan også manipuleres og settes inn. Egentlig bør ingen sensitiv data håndteres av JavaScript. Og det verste av alt er om noen velger å implementere kryptering i JavaScript fremfor nettleseren, som gir et enormt stort vedlikeholdsoppdrag for tjenestetilbyder ved stadig å ha f.eks. oppdatert SSL-implementasjon som fungerer plettfritt på alle nettleserversjoner. Det er ekstremt mye enklere å sørge for at nettlesere er oppdatert enn at hver tjenestetilbyder (som ikke nødvendigvis forstår kryptografi) skal holde styr på dette.

 

I tillegg har vi faren for at JavaScriptet skal ha onde hensikter og lekke informasjon til tjenestetilbyder. Dette er kanskje ikke det mest sannsynlige for BankID, men er derimot en stor bekymring for f.eks. e-post, fildeling og chatting. Ett eksempel på at dette skjer er Mega, hvor krypteringsnøkkel tydeligvis har kommet seg tjenestetilbyders hender. Det blir vanskelig for oss å stole på en tjeneste når de uten forvarsel kan endre scriptet. Det er faktisk nok at de gjør det én gang per kunde, for alt de trenger er nøkkelen. Det er praktisk talt umulig for oss brukere å sikre oss mot dette, mens det er derimot fullt mulig å sjekke om f.eks. implementasjoner i nettlesere virker trygge.

 

Et annet argument mot bruk av JavaScript i BankID er det enkle faktum at det ikke tilbyr noe ekstra nødvendig funksjonalitet, og bidrar bare til mer kompleksitet og flere rom for feil. En implementasjon bør alltid være så enkel som mulig, og unngå all fancy funksjonalitet som ikke bidrar til mer sikkerhet. Grunnen til at frontend kan være så enkel er at ingenting av autentiseringen skal skje på klientsiden. Alt klienten skal gjøre er å overføre en kode sikkert fra bruker til server. Derfor er ikke noe kompleks JavaScript nødvendig. Hvis det viser seg at BankID 2.0 har noe som helst autentisering på klientsiden så vil dette bli misbrukt. Det "eneste" potensielle problemet en ren HTML-implementasjon ikke løser er om en tjenestetilbyder velger å kjøre BankID i en iframe og gjør ting sårbart for manipulasjon utenfra. Akkurat dette problemet kunne den gamle løsningen være beskyttet mot (altså manipulasjon/utlesing via JavaScript ved korrekt implementasjon av applet).

 

Men de overnevnte problemene kunne vært løst dersom nettleserne fikk én enkel funksjon: en separert lagring av sensitiv data og skjema som ikke kan manipuleres eller leses ukryptert fra DOM. Jeg tenker altså på en hypotetisk standard fra W3C for håndtering av kryptografi i nettlesere. Med ytterligere sandboxing av JavaScript og restriksjoner på rettigheter skulle det kunne bli helt trygt å kjøre JavaScript på alle slike tjenester. Før eller senere vil folk se behovet for en slik løsning, spesielt etter hvert som ondsinnede brukere innser det enorme potensialet for å "injecte" script for å stjele data i ulike tjenester.

Endret av efikkan
  • Liker 1
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
G

G

Skrevet
Skrevet (endret)

Kunne de ikke heller ha laget mest mulig av løsningen sin i skyen, som BankID da kunne hatt full kontroll med, også heller laget noe autentisering som var enkelt og tryggt. Altså hvorfor skal det i det hele tatt scriptes på brukerens PC, når det like gjerne kunne vært skrevet i C++ eller noe liknende, som også er god gammal skuring. Dessuten vet jeg såpass at Java (ikke forvirret med Javascript), er et veldig nært opp til språket C - uten disse objektorienterte ++ tilnærmingene. Men, jeg kan likevel ikke programmere, så det. Jeg har bare snappet til meg noe kunnskap, som jeg sikkert ikke får så mye bruk for å kunne. Annet enn å diskutere med.

 

Jo takk for irettesettelsene, men det ser nå for et utrent øye ut som om efikkan har greie på noe. Så jeg føler meg ikke helt skadeskutt da.

 

Det må jo være en grunn til at man har fått tjenester ala noscript likevel da. Gir meg selv 10 poeng for den siste kommentaren :ohmy:

Endret av G
Lenke til kommentar
Judaz

Judaz

Skrevet
Skrevet

Dessuten vet jeg såpass at Java (ikke forvirret med Javascript), er et veldig nært opp til språket C - uten disse objektorienterte ++ tilnærmingene.

Bare for å pirke litt mer er Java syntaktisk mest likt C# av "C-dialektene" og er svært så objektorientert i sin natur. Java er etter min mening langt bedre egnet til mellomvare enn både C og C++ er.

Lenke til kommentar
efikkan

efikkan

Skrevet
Skrevet

nettbank appene til diverse banker bruker alerede ingen java. kan ikke se hvorfor nettsidene ikke skal falle tilbake til "app" løsninga når en nettleser ikke klarer å lasta java. der trur jeg de kun bruker "skjema" også.

Riktig, så lenge all autentiseringen skjer på server-siden er det ingen problem å lage mange ulike frontend-løsninger, for et hvert behov.

 

hvis jeg har forstått det riktig så må man ha 2 deler her

den delen som lar deg taste inn IDen og så sende den krypter til serveren . og så serveren som skal godkjenne innloggingen.

 

Hvordan skal man få det til sikkert nokk uten at man har noe installert på pcen ?

Det eneste du trenger å ha innstallert på PCen er en nyere nettleser med støtte for SSL/TLS. Da kan alt krypteres og sendes trygt til serveren.

 

Grunnen til at BankID i sin tid tok i bruk Java Applets var at gammel IE ikke støttet sikker nok kryptering, og at de dermed kunne "tvinge" brukerne til å bruk en bedre kryptering. Det ironiske er at det er enklere å overtale folk til å innstallere ett (ubrukelig) nettleser-tillegg enn å få folk til å oppgradere nettleserne sine :hmm:

  • Liker 1
Lenke til kommentar
Horrorbyte

Horrorbyte

Skrevet
Skrevet (endret)

Det eneste du trenger å ha innstallert på PCen er en nyere nettleser med støtte for SSL/TLS. Da kan alt krypteres og sendes trygt til serveren.

«Kan» er ordet. Det er veldig enkelt for en aktiv angriper å gjøre et MITM-angrep. Hvor mange sjekker at det faktisk står https og ikke http? Og hvor mange er det som lar være å klikke seg videre hvis de får spørsmål om de vil godta et ugyldig sertifikat? PKI-en til X.509 er dessuten et mareritt.

 

Endret av Horrorbyte
Lenke til kommentar
efikkan

efikkan

Skrevet
Skrevet

 

Det eneste du trenger å ha innstallert på PCen er en nyere nettleser med støtte for SSL/TLS. Da kan alt krypteres og sendes trygt til serveren.

«Kan» er ordet. Det er veldig enkelt for en aktiv angriper å gjøre et MITM-angrep. Hvor mange sjekker at det faktisk står https og ikke http? Og hvor mange er det som lar være å klikke seg videre hvis de får spørsmål om de vil godta et ugyldig sertifikat? PKI-en til X.509 er dessuten et mareritt.

 

Gammel IE + Java Applet har et langt større problem med MITM. Da kan angriperen bare servere en side uten SSL med en falsk self-signed Applet, og da hjelper det fint lite at BankIDs offisiele applet skulle ha aldri så sikker SSL.

 

Men som du er inne på, folk flest vet ikke hva https er en gang.

  • Liker 1
Lenke til kommentar
Lycantrophe

Lycantrophe

Skrevet
Skrevet

Kunne de ikke heller ha laget mest mulig av løsningen sin i skyen, som BankID da kunne hatt full kontroll med, også heller laget noe autentisering som var enkelt og tryggt. Altså hvorfor skal det i det hele tatt scriptes på brukerens PC, når det like gjerne kunne vært skrevet i C++ eller noe liknende, som også er god gammal skuring. Dessuten vet jeg såpass at Java (ikke forvirret med Javascript), er et veldig nært opp til språket C - uten disse objektorienterte ++ tilnærmingene. Men, jeg kan likevel ikke programmere, så det. Jeg har bare snappet til meg noe kunnskap, som jeg sikkert ikke får så mye bruk for å kunne. Annet enn å diskutere med.

 

Jo takk for irettesettelsene, men det ser nå for et utrent øye ut som om efikkan har greie på noe. Så jeg føler meg ikke helt skadeskutt da.

 

Det må jo være en grunn til at man har fått tjenester ala noscript likevel da. Gir meg selv 10 poeng for den siste kommentaren :ohmy:

Denne posten er det morsomste jeg har lest på noen uker. Kudos!
Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

 

Dessuten vet jeg såpass at Java (ikke forvirret med Javascript), er et veldig nært opp til språket C - uten disse objektorienterte ++ tilnærmingene.

Bare for å pirke litt mer er Java syntaktisk mest likt C# av "C-dialektene" og er svært så objektorientert i sin natur. Java er etter min mening langt bedre egnet til mellomvare enn både C og C++ er.

 

Jeg hørte det i fra en som tok IT-utdannelse. Han måtte altså lese C, ikke C++ og C#. Altså måtte han lese C-språk for å få en bedre forståelse for hvordan Java er bygget opp. Om det er rent nødvendig vet jeg ikke så mye mere om. Men det var innlæringstilnærmingen på hans studium. Ergo har Java også store likheter med det "eldgamle" C-språket.

 

 

Google Chrome vil slutte å støtte Java fra neste år.. XP

Det gleder meg å høre. Smart valg.

Endret av G
Lenke til kommentar
G

G

Skrevet
Skrevet

 

Det eneste du trenger å ha innstallert på PCen er en nyere nettleser med støtte for SSL/TLS. Da kan alt krypteres og sendes trygt til serveren.

«Kan» er ordet. Det er veldig enkelt for en aktiv angriper å gjøre et MITM-angrep. Hvor mange sjekker at det faktisk står https og ikke http? Og hvor mange er det som lar være å klikke seg videre hvis de får spørsmål om de vil godta et ugyldig sertifikat? PKI-en til X.509 er dessuten et mareritt.[/size]

 

Finnes det ikke Anti-malware løsninger for å blokkere slike MITM-angrep?

Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

 

Kunne de ikke heller ha laget mest mulig av løsningen sin i skyen, som BankID da kunne hatt full kontroll med, også heller laget noe autentisering som var enkelt og tryggt. Altså hvorfor skal det i det hele tatt scriptes på brukerens PC, når det like gjerne kunne vært skrevet i C++ eller noe liknende, som også er god gammal skuring. Dessuten vet jeg såpass at Java (ikke forvirret med Javascript), er et veldig nært opp til språket C - uten disse objektorienterte ++ tilnærmingene. Men, jeg kan likevel ikke programmere, så det. Jeg har bare snappet til meg noe kunnskap, som jeg sikkert ikke får så mye bruk for å kunne. Annet enn å diskutere med.

 

Jo takk for irettesettelsene, men det ser nå for et utrent øye ut som om efikkan har greie på noe. Så jeg føler meg ikke helt skadeskutt da.

 

Det må jo være en grunn til at man har fått tjenester ala noscript likevel da. Gir meg selv 10 poeng for den siste kommentaren :ohmy:

Denne posten er det morsomste jeg har lest på noen uker. Kudos!

 

Er det fordi jeg tok noen logiske snarveier i forhold til script, når man diskuterer Java og ikke Javascript. BankID 2.0 er basert på Javascript, altså en noe ullen løsning.

 

Det blir lite BankID 2.0-bruk med noscript. Men, "informasjonen" var ment å skulle belyse at javascript "er utryggt". Det er jo en grunn til at uhumskheter innstalleres når man besøker websider. Nå er jo banker lite sannsynlig å servere deg uhumskheter da, men la oss si de begynner med reklame på siden sin, og har en dårlig administrator i banken som ikke skiller hva som er smart og ikke smart å foreta seg på en hjemmeside. Potensiellt sett kan et reklamebanner som er tillatt å scripte kunne gjøre ondsinnede ting.

 

Man skal heller ikke se helt vekk i fra at det en dag dukker opp online småbanker som lar seg friste til å kjøre reklame fra tredjeparter. Men inntil så skjer, så kan det vel tenkes at man har fått BankID 3.0 på bena.

Endret av G
Lenke til kommentar
Horrorbyte

Horrorbyte

Skrevet
Skrevet (endret)

 

 

Det eneste du trenger å ha innstallert på PCen er en nyere nettleser med støtte for SSL/TLS. Da kan alt krypteres og sendes trygt til serveren.


«Kan» er ordet. Det er veldig enkelt for en aktiv angriper å gjøre et MITM-angrep. Hvor mange sjekker at det faktisk står https og ikke http? Og hvor mange er det som lar være å klikke seg videre hvis de får spørsmål om de vil godta et ugyldig sertifikat? PKI-en til X.509 er dessuten et mareritt.[/size]

 


Finnes det ikke Anti-malware løsninger for å blokkere slike MITM-angrep?

 

Nei, men det finnes noe som heter digital kompetanse som kan være ganske effektivt... Problemet er at jeg har møtt folk som har flere års høyere utdannelse innen IT som ikke forstår hvorfor det ikke er så smart å godta ukjente sertifikat sånn uten videre. Så lenge det står https så sendes det jo kryptert, og da må det vel være sikkert? :wallbash:

 

Endret av Horrorbyte
Lenke til kommentar
Horrorbyte

Horrorbyte

Skrevet
Skrevet (endret)

 

Gammel IE + Java Applet har et langt større problem med MITM. Da kan angriperen bare servere en side uten SSL med en falsk self-signed Applet, og da hjelper det fint lite at BankIDs offisiele applet skulle ha aldri så sikker SSL.

Det er det samme problemet, bare at man slipper popup-bokser angående sertifikatet. For øvrig tror jeg ikke-godkjente sertifikater er blokkert som standard i Java, så man eventuelt må inn og endre innstillingene for å tillate individuelle unntak. Med den nye løsningen er det så enkelt som å strippe https, og så får brukeren en side over http uten noen advarsler eller behov for å endre innstillinger.

 

Endret av Horrorbyte
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...