– Dette er pinlig for Vipps

[Bjørn A. Johansen]

'passordninja AS' - totalt ukjent firma uten noe form for nettside eller annen bevis på eksistens annet enn at det finnes i brreg?

 

Per Thorsheim er av det kaliberet hvor man leier inn firmaet han jobber for fordi man vil leie inn han helt spesifikt. Hvilket firma det er, er irrelevant. Tror ikke han trenger en nettside eller noe annet bevis enn Brreg på at den juridiske enheten han benytter eksisterer.

[-Night-]

Mer pinlig for dem at de har nå byttet ut med et som var gyldig fra Thu, 17 Nov 2016 00:00:00 UTC

Det batyr at de har vært klar over svakheten og ikke agert på det

Endret 1. mars 2017 av -Night-

[daffyd]

Jeg er som vanlig "late to the party".

 

Kan informere om at et svakt sertifikat ikke åpner opp for innbrudd på den måten man ofte tenker på om man sier innbrudd. Det som et svakt sertifikat åpner for er "man-in-the-middle" angrep. Og altså misbruk av f.eks. deg som klient.

 

For å kunne utføre et "man-in-the-middle-angrep" så må angriper klare å komme mellom offer og VIPPS server. Noe som heller ikke er trivielt, men det er noe som blant annet store internasjonale aktører kanskje kan få til. Og selvsagt når du er ute på farten og surfer på f.eks. StarBucks sitt WiFi og lignende.

 

Jeg er litt enig med VIPPS her - dette er ikke noen krise - enda. Men bra at de tar affære og bytter likevel. De burde jo selvsagt byttet i fjor - da det var ganske mye støy rundt at Chrome nektet å godkjenne sha1 sertifikater og begynte å flagge dem som dårlige. Her kunne VIPPS skjule seg bak det faktum at de har en egen klient som ikke eksponerer den informasjonen til sluttbruker.

 

Så bra at noen gidder å sjekke hva som faktisk er sertifikatet bak. Er temmelig sikker på at VIPPS hadde fortsatt å bruke et SHA1-sertifikat helt til sertifikatet utløp om det ikke hadde blitt støy rundt det nå :-/