Gå til innhold

– Dette er pinlig for Vipps

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Kikert

Kikert

Skrevet
Skrevet

"Vipps-brukere kan være trygge på at bruken av denne standarden ikke har medført noen innbrudd eller at data har kommet på avveie, sier informasjonsdirektør Even Westerveld i DNB til digi.no."

 

At de ikke har hatt innbrudd til nå tilsier ikke at det er greit. Hvis jeg har døren min ulåst så betyr ikke det at det er lurt eller trygt selv om ingen har gått inn og tatt alt jeg eier.

 

Argumentet om at det koster mye å bryte seg inn henger heller ikke på greip da det er en banktjeneste der det er mye mer enn kostnaden tilgjengelig hvis man får tilgang. Bryte seg inn på Gunnar's PC og bryte seg inn hos banken er to veldig forskjellige ting.

  • Liker 5
Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet

Hadde dette vært noen oppskrift side så ja da hadde jeg vært enig i at det er lavrisiko, men siden dette er en banktjenestene så er jo uenig.

 

Dette feller seg inn i linjen av at dnb tar snarveier når det kommer på sikkerhet.

 

Ja, er litt skeptisk til vipps fra før, igomed at de ikke tillater det på root pga "sikkerhet", jeg blir litt i tvil når jeg ser bedrifter baserer seg på "snill klient" for sikkerhet.

 

AtW

  • Liker 2
Lenke til kommentar
digimator

digimator

Skrevet
Skrevet

Hvis jeg har døren min ulåst så betyr ikke det at det er lurt eller trygt selv om ingen har gått inn og tatt alt jeg eier.

 

 

Det er jo ikkje snakk om at døra er ulåst. Det er snakk om at døra har ein litt dårlig nøkkel. Ein nøkkeltype som stort sett alle brukte intil for få år siden.

 

Greit at det er pinlig for DnB, men ingen grunn til å dramatisera.

  • Liker 1
Lenke til kommentar
Kikert

Kikert

Skrevet
Skrevet

Var bare et eksempel, kanskje dårlig. Det er kanskje ingen grunn til å dramatisere, men det er heller ingen grunn til å "ufarliggjøre" det. DNB har mer enn nok penger og ressurser til å gå over til sikrere kryptering og det er uakseptabelt at et så viktig system ikke blir tatt mer alvorlig enn "det har ikke skjedd noe foreløpig".

  • Liker 1
Lenke til kommentar
tHz

tHz

Skrevet
Skrevet

 

Det er jo ikkje snakk om at døra er ulåst. Det er snakk om at døra har ein litt dårlig nøkkel. Ein nøkkeltype som stort sett alle brukte intil for få år siden.

 

Greit at det er pinlig for DnB, men ingen grunn til å dramatisera.

 

 

Man har egentlig vist om at SHA1 var svak helt siden 2004. 

  • Liker 2
Lenke til kommentar
aaaight

aaaight

Skrevet
Skrevet

 

Hadde dette vært noen oppskrift side så ja da hadde jeg vært enig i at det er lavrisiko, men siden dette er en banktjenestene så er jo uenig.

 

Dette feller seg inn i linjen av at dnb tar snarveier når det kommer på sikkerhet.

 

Ja, er litt skeptisk til vipps fra før, igomed at de ikke tillater det på root pga "sikkerhet", jeg blir litt i tvil når jeg ser bedrifter baserer seg på "snill klient" for sikkerhet.

 

AtW

Det var uansett lett å unngå den sperren med Xposed.

Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

 

 

Hadde dette vært noen oppskrift side så ja da hadde jeg vært enig i at det er lavrisiko, men siden dette er en banktjenestene så er jo uenig.

 

Dette feller seg inn i linjen av at dnb tar snarveier når det kommer på sikkerhet.

 

Ja, er litt skeptisk til vipps fra før, igomed at de ikke tillater det på root pga "sikkerhet", jeg blir litt i tvil når jeg ser bedrifter baserer seg på "snill klient" for sikkerhet.

 

AtW

Det var uansett lett å unngå den sperren med Xposed.

 

Det er sant, men det er vell ikke poeng? det eneste de oppnår med en slik sperre er at folk vil søke etter omveier. 

Lenke til kommentar
Gjest Slettet-jDflNq

Gjest Slettet-jDflNq

Skrevet
Skrevet

 

 

 

Hadde dette vært noen oppskrift side så ja da hadde jeg vært enig i at det er lavrisiko, men siden dette er en banktjenestene så er jo uenig.

 

Dette feller seg inn i linjen av at dnb tar snarveier når det kommer på sikkerhet.

 

Ja, er litt skeptisk til vipps fra før, igomed at de ikke tillater det på root pga "sikkerhet", jeg blir litt i tvil når jeg ser bedrifter baserer seg på "snill klient" for sikkerhet.

 

AtW

Det var uansett lett å unngå den sperren med Xposed.

 

Det er sant, men det er vell ikke poeng? det eneste de oppnår med en slik sperre er at folk vil søke etter omveier. 

Men om en kunde da opplever at Vipps brukeren har blitt misbrukt så kan de skylde på kunden og slipper å få skylda selv. Om du skjuler root for å komme deg forbi en sperre så velger du selv å ta en risiko. Da kan ikke DNB/Vipps holdes ansvarlig.

  • Liker 1
Lenke til kommentar
srbz

srbz

Skrevet
Skrevet

Det syndes overalt. Dette er feks påloggningtjenesten til en større norsk (internasjonal) aktør.

 

tls 1.0 TLS_RSA_WITH_3DES_EDE_CBC_SHA

 

vakkert...

Ikke skyt meg, men er ikke RSA med 3DES regnet for å være relativt sikkert fremdeles?

 

Dog burde det være unødvendig når det finnes bedre alternativer. Én ting er hvor sikker en algoritme er i dag, en annen er hvor sikker den er om fem, ti, tjue år. Spesielt om vi snakker såpass sensitiv info at du ikke vil at en angriper i 2037 skal klare å brute force pakkene han sniffet av deg i 2017...

Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet

 

 

 

 

Hadde dette vært noen oppskrift side så ja da hadde jeg vært enig i at det er lavrisiko, men siden dette er en banktjenestene så er jo uenig.

 

Dette feller seg inn i linjen av at dnb tar snarveier når det kommer på sikkerhet.

 

Ja, er litt skeptisk til vipps fra før, igomed at de ikke tillater det på root pga "sikkerhet", jeg blir litt i tvil når jeg ser bedrifter baserer seg på "snill klient" for sikkerhet.

 

AtW

Det var uansett lett å unngå den sperren med Xposed.

 

Det er sant, men det er vell ikke poeng? det eneste de oppnår med en slik sperre er at folk vil søke etter omveier. 

Men om en kunde da opplever at Vipps brukeren har blitt misbrukt så kan de skylde på kunden og slipper å få skylda selv. Om du skjuler root for å komme deg forbi en sperre så velger du selv å ta en risiko. Da kan ikke DNB/Vipps holdes ansvarlig.

 

 

Joa, om man er mer opptatt av å ikke få skylda enn reell trygghet, så er jo det en grei metode.

 

AtW

  • Liker 2
Lenke til kommentar
tHz

tHz

Skrevet
Skrevet

Ikke skyt meg, men er ikke RSA med 3DES regnet for å være relativt sikkert fremdeles?

Dog burde det være unødvendig når det finnes bedre alternativer. Én ting er hvor sikker en algoritme er i dag, en annen er hvor sikker den er om fem, ti, tjue år. Spesielt om vi snakker såpass sensitiv info at du ikke vil at en angriper i 2037 skal klare å brute force pakkene han sniffet av deg i 2017...

 

RSA og 3DES har ikke så mye med hverandre å gjøre. Annet enn at man bruker RSA for å overføre den symmetriske nøkkelen til 3DES.

RSA er public key, mens 3DES er en symmetrisk.

 

3DES har ikke vært sikker på lenge. Bruk AES.

RSA lever fortsatt i beste velgående, så lenge du holder nøklene på eller over 2048 bits.

  • Liker 2
Lenke til kommentar
Bjørn A. Johansen

Bjørn A. Johansen

Skrevet
Skrevet

Mjo, det er nok litt pinlig, men spiller veldig liten rolle. Forbindelsen kan nesten like gjerne gå ukryptert. Du vil likevel ikke kunne benytte den til økonomisk vinning. Og om du så skulle ha klart det, måtte du uansett først ha utført en rekke ID-tyverier og funnet en usporbar måte å få pengene kjapt ut.

Det eneste dette kan benyttes til, er å lekke hvem som har overført penger til hvem – forutsatt at du har klart å sniffe pakkene. Du er ganske sær hvis du skal bruke noen millioner kr på det.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...