Teardrop Skrevet 13. januar 2013 Del Skrevet 13. januar 2013 Hei, Det har vært skrev en del om sikkerheten i JVM i det siste, men det jeg egentlig har lurt på lenge før det er hvorfor BankID i det hele tatt bruker JAVA, hadde det ikke holdt med en vanlig TLS/SSL kobling? Har ikke så god greie på dette, som om noen kunne forklart litt omkring det så hadde det vært fint. Lenke til kommentar
Dr.Geek Skrevet 13. januar 2013 Del Skrevet 13. januar 2013 (endret) Hei, Det har vært skrev en del om sikkerheten i JVM i det siste, men det jeg egentlig har lurt på lenge før det er hvorfor BankID i det hele tatt bruker JAVA, hadde det ikke holdt med en vanlig TLS/SSL kobling? Har ikke så god greie på dette, som om noen kunne forklart litt omkring det så hadde det vært fint. Hai, Java har ikke noe med sikkerhet å gjøre. Dette er en programvare som din bank bruker til å tilby deg nettbank. Her kan du lese litt om hva java egentlig er: https://no.wikipedia...gsspr%C3%A5k%29 Noen banker bruker Java (eks. nordea) andre ikke. TLS er en sikker forbindelse (krypterte forbindelser) https://no.wikipedia..._Layer_Security i Browsern ser du dette gjennom en https forbindelse. Men også disse forbindelsene er ikke sikker, da moderne Online-Banking-Malware bruker såkalte Man-in-the-middle teknikk til å spionere og evtl. forandre transaksjoner: https://en.wikipedia...e-middle_attack Endret 13. januar 2013 av TheGenius Lenke til kommentar
Terrasque Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 Hei, Det har vært skrev en del om sikkerheten i JVM i det siste, men det jeg egentlig har lurt på lenge før det er hvorfor BankID i det hele tatt bruker JAVA, hadde det ikke holdt med en vanlig TLS/SSL kobling? Har lurt på det samme, faktisk.. Ser ikke noen fordel med Java applet over vanlig HTML + TLS. Etterspør også om noen faktisk har en fornuftig forklaring på dette valget. Mistenker det er noen lugubre egne protokoller inn i bildet her, istedet for solide standarder, Men spesielt siden det er så mange problemet med JVM'en i det siste, så begynner jeg virkelig å lure på om det er verdt det.. Lenke til kommentar
GeirGrusom Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 Har lurt på det samme, faktisk.. Ser ikke noen fordel med Java applet over vanlig HTML + TLS. Etterspør også om noen faktisk har en fornuftig forklaring på dette valget. Mistenker det er noen lugubre egne protokoller inn i bildet her, istedet for solide standarder, Men spesielt siden det er så mange problemet med JVM'en i det siste, så begynner jeg virkelig å lure på om det er verdt det.. Har virkelig nettlesere en bedre sikkerhetsstatistikk enn det Java har? Dessuten ser det ikke ut til at noen vet hva BankID faktisk er til. Den brukes ikke for å sikre nettforbindelsen din. 1 Lenke til kommentar
Faller Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 Jeg anbefaler å lese svaret til GeirGrusom i en annen tråd fra forumet: https://www.diskusjon.no/index.php?showtopic=1484080&view=findpost&p=20122552 God forklaring, og nyttig informasjon. Mvh Faller Lenke til kommentar
efikkan Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 Har virkelig nettlesere en bedre sikkerhetsstatistikk enn det Java har? Dessuten ser det ikke ut til at noen vet hva BankID faktisk er til. Den brukes ikke for å sikre nettforbindelsen din. BankID er navnet på løsningen, ikke selve Java-appleten som mange tror. Java-applet er trolig valgt siden eldre nettlesere (IE) mangler støtte for sikrere SSL. BankID kunne fungert like fint uten applet, HTTPS/SSL i nyeste versjon er minst like sikkert. Lenke til kommentar
GeirGrusom Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 BankID er navnet på løsningen, ikke selve Java-appleten som mange tror. Java-applet er trolig valgt siden eldre nettlesere (IE) mangler støtte for sikrere SSL. BankID kunne fungert like fint uten applet, HTTPS/SSL i nyeste versjon er minst like sikkert. BankID bruker HTTPS for å sikre forbindelsen allerede. BankID utfører key/value pair overføringer fra BankID Server (brukerstedet) til BankID Applett (klient og kjernesaken) over HTTPS. BankID er en identifisering- og signeringstjeneste, ikke en krypteringstjeneste. Lenke til kommentar
efikkan Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 BankID er en identifisering- og signeringstjeneste, ikke en krypteringstjeneste. Jeg har aldri påstått noe annet. BankID bruker HTTPS for å sikre forbindelsen allerede. BankID utfører key/value pair overføringer fra BankID Server (brukerstedet) til BankID Applett (klient og kjernesaken) over HTTPS. BankID-appleten kan fint erstattes av en nettside med HTTPS. For eldre nettlesere vil Appleten gjennom JRE tilby nyere versjon av SSL. Lenke til kommentar
Faller Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 efikkan: hvordan vil du løse identifiserings- og signeringstjenesten da? Mvh Faller Lenke til kommentar
efikkan Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 efikkan: hvordan vil du løse identifiserings- og signeringstjenesten da? Mvh Faller Det er bare snakk om å kreve nettlesere med støtte for nyeste utgave av SSL. Signeringen trenger ikke å byttes ut, serversiden blir helt identisk. Lenke til kommentar
GeirGrusom Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 Det er bare snakk om å kreve nettlesere med støtte for nyeste utgave av SSL. Signeringen trenger ikke å byttes ut, serversiden blir helt identisk. Har du vurdert sikkerhetsproblematikk rundt en slik løsning? Lenke til kommentar
efikkan Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 Har du vurdert sikkerhetsproblematikk rundt en slik løsning? Med dagens løsning får brukeren servert en applet når de skal identifisere seg eller bekrefte en betaling, der nettsiden (forhåpentligvis) serveres i HTTPS og selve appleten i tillegg har sin implementasjon av SSL. For at dette skal være sikkert må altså både nettleserens implementasjon og JREs implementasjon være uten kjente svakheter. Selv om JREs implementasjon skulle være aldri så feilfri så hjelper det lite om ikke nettleseren også er det, siden brukeren da kan serveres med en falsk applet, eller at informasjon på nettsiden kan byttes ut for brukeren. Signeringsproblemet av applets(ikke av transaksjon) kan du lese om her. Dagens applet-løsning tilbyr heller ingen hevet sikkerhet sammenlignet med en oppdatert og sikker nettleser. Så med en alternativ løsning uten applet elimineres det ekstra leddet i kjeden, og det kritiske gjenværende punktet er nettleseren. Som dere bør vite så forutsetter HTTPS at brukeren(nettleseren) er trygg, og gir beskyttelse mot avlytting/endring av data under transport til målet. For brukere vil løsningen uten applet være lik bruksmessig, uten herket med å installere JRE og JRE som kan krasje under prosessen. Lenke til kommentar
Terrasque Skrevet 15. januar 2013 Del Skrevet 15. januar 2013 Har du vurdert sikkerhetsproblematikk rundt en slik løsning? Vel, siden resten av sesjonen foregår via vanlig HTML/HTTPS så tja... Er bare session creation som blir gjort med java applet'en. Uansett så syns jeg BankID burde levert flere klienter som bankene kunne valgt mellom. Kan hende de gjør det allerede for alt jeg vet. Har virkelig nettlesere en bedre sikkerhetsstatistikk enn det Java har? Nå skal jeg ikke uttale meg bastant her, men det er det inntrykket jeg får. Og for the record, hvis noe sikkerhets-logikk skjer på klient-maskinen er det per definisjon usikkert. En PC kan (foreløpig) ikke beskytte et minnesegment fra Admin-level programmer. Så, siden all logikk må skje på serveren for at det skal være sikkert, og browser + HTTPS allerede regnes som sikkert nok til å beskytte selve sesjonen... Så ser jeg egentlig ikke hvorfor java er blandet inn i bildet i det hele tatt. 1 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå