ID og hengelåser gjemmes bort i nettleseren. Kjempenes dominans skaper bekymring [Ekstra]

[Gjest Marius B. Jørgenrud]

ID og hengelåser gjemmes bort i nettleseren. Kjempenes dominans skaper bekymring [Ekstra]

[Anders Jensen]

På ett eller annet tidspunkt må antagelig nettlesere og operativsystemer lovreguleres. Det er kritisk infrastruktur og det er store personvern utfordringer på slike plattform komponenter.

I dag er imidlertid teknologi stacken så rotete, og dels lukket, at det kan være vanskelig å se hvordan dette kan gjøres i praksis. En god strategi vil være å åpne opp samt forenkle, slik at regulering blir mer overkommelig. Strengt tatt behøver vi bare en sikker sandkasse til å kjøre applikasjoner. Så da er oppgaven å standardisere formatet på sandkasse og applikasjon. Til eksempel WASI+Webassembly. Det er iallefall en start.

Endret 17. september 2020 av Anders Jensen

[[email protected]]

https://www.troyhunt.com/extended-validation-certificates-are-really-really-dead/

[Yaricks]

Tja... De eneste sikkerhetsekspertene som er for DV og EV sertifikater, er stort sett de som er ansatt i ett selskap som selger DV/EV sertifikater eller tjener penger på dem. Hvis dette var ett så stort problem som disse leverandørene påstår, skulle du tro at flere white- og greyhat eksploits skulle være tilgjengelig. Faktum er at det er svært få av dem. Les artikkelen til Troy Hunt linket over, den gir en svært god oppsummering av situasjonen. 

[qualbeen]

Enig @Yaricks! Videre er det ingen sluttbruker som vet forskjell på ene eller andre typen sertifikat, uansett. 

Nettleseren kunne vært så tydelig de bare ville. Folk flest bryr seg ikke. De klikker bare videre, helt uavhengig av type sertifikat.

Derfor liker jeg at Chrome (og sikkert mange andre?) i stedet ønsker å varsle deg de få gangene du er på http://. Selv legitime nettsider, uten rasjonelt behov for SSL kan riktignok trigge advarsel. Men jeg tror det er løsningen: gjør https de-facto standard, slik at de som velger noe annet kan flagges. 

At https alene ikke er noen garanti mot sikkerhetshull antar jeg de fleste forstår. Men det er bedre enn ingen kryptering.

[Ivar Nesje]

Ingen brukere ser forskjell på EV og vanlige sertifikater, så naturligvis er det lite omfang av svindlere som gidder skaffe EV sertifikater.
 

Sitat

Hvis du kommuniserer med en person på nettet, så kan vedkommende bruke en Facebook-profil til å autentisere seg mot tjenesten, eller du kan bruke BankID. Det er ganske opplagt hvilket alternativ du bør velge hvis du skal vite hvem du snakker med.

Dette er med respekt å melde reinspikka løgn. Hvis jeg ser en facebook pålogging, er jeg antakelig allerede pålogget og hvis det kommer spørsmål om passord, så vet jeg det er fake. Hvis jeg er på en ny maskin bruker jeg lastpass til å fylle ut passordet lastpass sjekker at det er https og at facebook.com er stavet riktig. Med BankID må jeg bare folde hendene og håpe at jeg ikke er på en svindelside som tar opp 1.5 mill i forbrukslån i mitt navn.

[Jan Vidar Krey]

Det må også legges til i denne debatten at det har vært en hel del useriøse aktører i CA-bransjen, som har utstedt sertifikater til hva som helst. Jeg ønsker ikke å implisere Buypass her, men det er en viktig årsak.

Google (og andre) har hatt en målrettet strategi mot useriøse CAer i lang tid og krever derfor systemer for gjennomsiktighet og etterprøvbarhet. De har selv vært et mål for enkelte aktører som tidligere har utstedt sertifikater for f.eks. GMail og andre Google-tjenester fra f.eks. enkelte lands myndigheter som ønsker innsyn i hva egne innbygere foretar seg på disse tjenestene. Google Chrome benytter seg derfor av sertifikat-pinning på flere tjenester på grunn av dette. Både Google, Mozilla og Microsoft har alle stengt ute enkelte CA-er som ikke klarer å etterleve kravene.

CAB-forum er nok mindre relevant i dag, enn for 15 år siden.

Ja, BankID gir en mer robust identitets-bekreftelse enn en Facebook-konto, men jeg synes ikke dette er spesielt relevant i denne saken. Dette virker som et stråmannsargument som bygger opp om hvorfor det er bedre å kjøpe et "dyrt" EV sertifikat fra Buypas istedet for å velge et gratis DV-sertifikat fra Let's Encrypt.

Jeg synes forøvrig at det er et interessant spørsmål - hvorfor skal man i det hele tatt kjøpe et dyrt EV-sertifikat?

 

[-Night-]

21 hours ago, Jan Vidar Krey said:

Det må også legges til i denne debatten at det har vært en hel del useriøse aktører i CA-bransjen, som har utstedt sertifikater til hva som helst. Jeg ønsker ikke å implisere Buypass her, men det er en viktig årsak.

Google (og andre) har hatt en målrettet strategi mot useriøse CAer i lang tid og krever derfor systemer for gjennomsiktighet og etterprøvbarhet. De har selv vært et mål for enkelte aktører som tidligere har utstedt sertifikater for f.eks. GMail og andre Google-tjenester fra f.eks. enkelte lands myndigheter som ønsker innsyn i hva egne innbygere foretar seg på disse tjenestene. Google Chrome benytter seg derfor av sertifikat-pinning på flere tjenester på grunn av dette. Både Google, Mozilla og Microsoft har alle stengt ute enkelte CA-er som ikke klarer å etterleve kravene.

CAB-forum er nok mindre relevant i dag, enn for 15 år siden.

Ja, BankID gir en mer robust identitets-bekreftelse enn en Facebook-konto, men jeg synes ikke dette er spesielt relevant i denne saken. Dette virker som et stråmannsargument som bygger opp om hvorfor det er bedre å kjøpe et "dyrt" EV sertifikat fra Buypas istedet for å velge et gratis DV-sertifikat fra Let's Encrypt.

Jeg synes forøvrig at det er et interessant spørsmål - hvorfor skal man i det hele tatt kjøpe et dyrt EV-sertifikat?

 

Enig der, Acme løsninger gir også automatisering som gjør livet lettere for alle 

[mac72]

Med dagens situasjon med maks levetid på 13 måneder taper alle leverandører som ikke kan tilby automatisering av fornyelser. Det er det som egentlig er grunnen til at de store taper terreng. Hjelper ikke å sutre i media når man ikke kan tilby det folk faktisk trenger.