Jeg har for nylig, mere eller mindre mod min vilje, taget NemID i brug.
Nu opdager jeg at der i mit homedir ligger en fil ved navn “danid.log”,
som skabes hver gang jeg logger ind på www.nemid.nu.
Jeg har ikke givet hverken NemID eller DanID lov til at lave filer på
min pc, så derfor skrev jeg til NemID/DanID support for at få at vide
hvad filen indeholder og hvad jeg skal gøre for at slippe for at den
bli'r lavet. DanID siger at de ikke kender noget til den fil.
Efter ét login på www.nemid.nu består filen af 55 linjer, nummereret
fra 0 til 55, som hver er af formen:
{linjennummer} . {base64(blop1)} . {base64(blop2)}
Hvis man dekoder blop1 får man noget binært snask på 256 bytes, mens
blop2 er på 128 bytes.
Man kan godt logge ind på NemID selvom filen trunkeres til 0 bytes og
sættes til at være skrivebeskyttet.
Nogen her som kan bekræfte ovenstående og/eller ved noget mere?
På forhånd tak.
Mvh,
--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/
Jeg har for nylig, mere eller mindre mod min vilje, taget NemID i brug.
Nu opdager jeg at der i mit homedir ligger en fil ved navn “danid.log”,
som skabes hver gang jeg logger ind på www.nemid.nu.
Jeg har ikke givet hverken NemID eller DanID lov til at lave filer på
min pc, så derfor skrev jeg til NemID/DanID support for at få at vide
hvad filen indeholder og hvad jeg skal gøre for at slippe for at den
bli'r lavet. DanID siger at de ikke kender noget til den fil.
Efter ét login på www.nemid.nu består filen af 56 linjer, nummereret
I så fald må deres software vel være inficeret med et eller andet.
Hvad med at bede dem fjerne deres software som download, indtil de
har styr på hvad det er, det går jo ikke at de går og spreder noget
der potentielt kan være en keylogger, i og med at det åbenbart ikke
er noget de mener skal være der.
De vil nok ikke følge en sådan opfordring, men måske det kunne få dem
til at tage problemet lidt mere alvorligt.
Ellers prøv at sende filen ind til diverse antivirus-firmaer, hvis den
ender i deres signatur-filer, begynder de nok at tage tingene lidt
mere alvorligt.
Mvh
Kent
--
"The Brothers are History"
>> DanID siger at de ikke kender noget til den fil.
>
> I så fald må deres software vel være inficeret med et eller andet.
En anden mulighed er en inkompetent supportmedarbejder.
Jo, men hvis vedkommende får at vide at hvis ikke det er deres software
der gør det, er de igang med at inficere hele DK med noget skidt,
bliver den nok sendt videre til nogen der ved hvad de har med at gøre.
Mvh.
Jan
"Klaus Alexander Seistrup" <kl...@seistrup.dk> wrote in message
news:slrni5tgh4...@zdani.szn.dk...
> Jeg har tilsvarende logfil, som vokser for hvert NemID log in.
> Ser den dog ikke som en trussel - endnu i det mindste.
Jeg ser den såmænd heller ikke som en trussel, men jeg synes det er
uforskammet at NemID/DanID laver en fil på min pc uden mit samtykke.
Ganske vist tilføjes der til filen, den overskrives ikke, men hvis
jeg havde haft fx et Word-dokument — eller en anden binær fil — ved
navn “danid.log”, var denne fil ødelagt.
Og så kan jeg ikke lade være med at tænke: Hvis NemID/DanID har den
frækhed at oprette en fil på min pc uden at spørge mig om det er i
orden, hvad har de så ellers lagt på min pc som jeg ikke har opdaget
endnu? Og nøjes de med at skrive, eller læser de osse?
Der har vist været nisser i deres sikkerhedshalløj!
Mvh.
Jan
Jeg forstår godt hvorfor de gør det.
Jeg forstår så bare ikke deres argument for NemID, at man kan koble til
sin konto fra overalt. Jeg anvender mange maskiner rundt om, hvor jeg
ikke får lov at skrive på systemdisken.
finn
> Jeg forstår så bare ikke deres argument for NemID, at man kan koble
> til sin konto fra overalt. Jeg anvender mange maskiner rundt om,
> hvor jeg ikke får lov at skrive på systemdisken.
DanID's applet kan sagtens fungere uden at kunne skrive til danid.log.
Man kan prøve enten at oprette en skrivebeskyttet fil eller en mappe
ved samme navn — ingen problemer med at logge ind.
Jeg fik oprettet en ticket hos DanID d. 9/8 vedr. den forpulede logfil,
hvornår kan man tillade sig at rykke efter svar?
På maskiner hvor man ikke har lov til at skrive på systemdisken, har
man typisk heller ikke mulighed for at installere ting.
min pointe!
NemID skulle angiveligt kunne bruges fra hvorsomhelst. Det kan så ikke
være tilfældet.
finn
> NemID skulle angiveligt kunne bruges fra hvorsomhelst.
> Det kan så ikke være tilfældet.
NemID kan ikke bruges hvis der ikke er java installeret (i sin fulde
version), hvilket udelukker størstedelen — hvis ikke alle — mobiler,
men ellers kører det vel “overalt”?
Mange internetcafeer (jeg bruger dem kun i udlandet) har spærring mod
installering af objekter.
finn
Det er ikke længe siden der var en der postede et problem med nemid
ovre i d.e.s.u. En anden kunne så fortælle hvilken Java-version der
skulle være installeret.
Så er det ikke længere "kun" dem der ikke har Java installeret, der ikke
kan bruge det.
Folk der ikke bare kan installere (eller op/nedgradere) software, er
ikke begrænset til mobiltelefoner, men også mange arbejds-PC'er,
herunder de bærbare som folk betaler skat af muligheden for at tage
med hjem.
Iøvrigt ikke uden grund. Vi havde problemer med nogen SAP-ting der
krævede en bestemt version af Java (jeg tror det var Java 1.4.2,
ikke helt ny). Hvad kører den stakkels medarbejder så, når han skal
bruge en version til sit arbejde, og en anden version til nemid?
> Hvad kører den stakkels medarbejder så, når han skal bruge en version
> til sit arbejde, og en anden version til nemid?
Sandsynligvis vmware.
Mvh.
--
"How different? It seems like you are just biased in Adam Sjøgren
favour of your own style. In fact, you are nothing as...@koldfront.dk
but not a serious fellow."
Han har to versioner af Java installeret, og mulighed for at skifte
mellem dem. Det skulle være muligt at gøre det nemt, via Java
kontrolpanelet.
Det kræver dog at IT afdelingen installerer det, eller medarbejderen
selv kan installere det...
- Chano Andersen
Hvilken del af "må ikke installere programmer" er det du mener giver
mulighed for at installere vmware?
Lige så "nemt" som at trykke på num-lock når hans password ikke virker?
> Det kræver dog at IT afdelingen installerer det, eller medarbejderen
> selv kan installere det...
Når først han har fået godkendt en change-request med ord som "privat
brug" og "risiko for konflikt med SAP"... Yeah right.
> Den Wed, 25 Aug 2010 22:25:22 +0200 skrev Adam Sjøgren:
>> On 25 Aug 2010 20:18:48 GMT, Kent wrote:
>>> Hvad kører den stakkels medarbejder så, når han skal bruge en version
>>> til sit arbejde, og en anden version til nemid?
>> Sandsynligvis vmware.
> Hvilken del af "må ikke installere programmer" er det du mener giver
> mulighed for at installere vmware?
Jeg antager at det er situationen hvor en medarbejder har fået en
arbejdscomputer med hjem, som også kan bruges privat, da det ikke giver
mening at det er en del af ens arbejde at logge ind med sit NemID-login.
Den oplagte løsning er at flytte arbejdssystemet til en virtuel maskine
på hjemmecomputeren, som så kan startes når man har brug for at arbejde,
og når man ikke har brug for det, kører man det underliggende, private
system.
Medarbejderen har derved ikke installeret nogen programmer på
arbejdscomputeren (forbudt), alene virtualiseret arbejdscomputeren på
den udleverede hardware og separeret privat fra arbejde.
Derfor var mit svar på hvad medarbejderen kører: vmware.
Mvh.
Adam
--
"I'm sure there are people out there who has Adam Sjøgren
reiserfs working on their machines, and has never as...@koldfront.dk
seen any problems. You can find similar opinions on
Windows 95."
finn
"Kan bruges privat" er ikke det samme som "har lov til at installere
programmer på".
> Den oplagte løsning er at flytte arbejdssystemet til en virtuel maskine
> på hjemmecomputeren, som så kan startes når man har brug for at arbejde,
> og når man ikke har brug for det, kører man det underliggende, private
> system.
>
> Medarbejderen har derved ikke installeret nogen programmer på
> arbejdscomputeren (forbudt), alene virtualiseret arbejdscomputeren på
> den udleverede hardware og separeret privat fra arbejde.
Det forekommer mig at du lever i en tid hvor man havde en PC på arbejdet,
og en firma-PC derhjemme. Nutildags udstyres folk typisk med en bærbar,
hvis de skal kunne arbejde hjemmefra.
>> Jeg antager at det er situationen hvor en medarbejder har fået en
>> arbejdscomputer med hjem, som også kan bruges privat, da det ikke giver
>> mening at det er en del af ens arbejde at logge ind med sit NemID-login.
> "Kan bruges privat" er ikke det samme som "har lov til at installere
> programmer på".
Hvilket heller ikke var hvad jeg skrev, så det er svært at se hvad
relevans den konstatering har.
[...]
> Det forekommer mig at du lever i en tid hvor man havde en PC på arbejdet,
> og en firma-PC derhjemme. Nutildags udstyres folk typisk med en bærbar,
> hvis de skal kunne arbejde hjemmefra.
Det forekommer mig at du lever i et parallelt univers hvor folk
accepterer alene at have en firma-computer de ikke må installere
programmer på, til privat brug.
Mvh.
--
"Who ees thees Kählveen?" Adam Sjøgren
as...@koldfront.dk
En firma-PC hjemme er også skattepligtig - og den private PC, får man
sjældent lov til at koble op på firmaets netværk.
Det kan vi nørder naturligvis ikke nøjes med, men det må være normalt
i andre befolkningsgrupper, siden der er nogen der alvorligt kan mene
det er et frynsegode at kunne tage den bærbare med hjem når man skal
Det ville fa*me være surt at skulle overnatte på kontoret når man har
vagt.
For den slags brugere er det at benytte nemid, sikkert også temmeligt
svært... I øvrigt er jeg selv blevet fanget af den fejl nogle gange, det
kan tage lang tid, når lamperne er diskrete, og man ikke kan se hva' man
skriver. ;)
> Når først han har fået godkendt en change-request med ord som "privat
> brug" og "risiko for konflikt med SAP"... Yeah right.
Sagde jeg det var nemt? :P
I øvrigt kan man jo bare bruge IE til SAP ting, og en anden browser, og
anden java version, til nemid.
Mig bekendt vil det også blive et reelt problem for virksomhederne, når
erhvervsudgaven af nemid, går over til en lignende løsning som den
private... Men der har SAP forhåbentligt fået opgraderet deres software. :P
- Chano Andersen
Det er kun de nyeste dele af SAP der kræver Java 1.4, så det er vist
meget optimistisk.
Noget nyt?
Jeg har faktisk sendt dem lignende spørgsmål, og har 9/8 fået at vide,
at sagen var sendt videre i systemet... Den er nok svær at svare på,
eller blevet væk...
Har netop rykket dem, nu må det være på tide.
>> Jeg fik oprettet en ticket hos DanID d. 9/8 vedr. den forpulede
>> logfil, hvornår kan man tillade sig at rykke efter svar?
>
> Noget nyt?
Nej, men det står på min TODO-liste at rykke efter svar.
Jeg fik min NemID i går og sendte også en mail hvor jeg spurgte til det.
Man kan jo håbe de for øjnene op for at der er et problem, når de
modtager besked efter besked med samme beklagelse.
>> Noget nyt?
>
> Nej, men det står på min TODO-liste at rykke efter svar.
Det gjorde jeg så i går, og har i dag fået følgende ikke-svar på
rykkeren:
»Jeg kan ikke skrive hvornår der er en løsning på dette,
men jeg har rykket for sagen og indberettet at du har
skrevet ind.
På grund af vi har haft meget travlt, er der ikke blevet
fundet en løsning på problemet endnu. Vi beklager meget
og håber snarest muligt at løse problemet.«
Mumle-mumle, sludder for en sladder … Ok, jeg må vist i første omgang
stille mig tilfreds med at der angiveligt er rykket for et svar.
Så var jeg da lidt mere heldig...
Jeg fik et telefonopkald fra DanID/NemID, hvor de forklarede at det er
en fil de kan bruge i forbindelse med fejlfinding, hvor man kan sende
den til dem, hvis de spørger til den.
Hvad den indeholder kunne damen ikke svare på, så jeg bad hende bede
nogen der kunne, om at kontakte mig med et svar. Dette har jeg per. mail
fået en bekræftelse på vil ske.
Hun forklarede også at deres teknikkere åbenbart har så travlt, at de
ikke lige kan finde et par minutter til at skrive et mere udførligt svar
til kundeservice...
- Chano Andersen
> Hun forklarede også at deres teknikkere åbenbart har så travlt,
> at de ikke lige kan finde et par minutter til at skrive et mere
> udførligt svar til kundeservice...
Jeg har spurgt om (1) hvad filen indeholder og (2) om de har været
frække nok til at skrive tiol andre filer jeg endnu ikke har opdaget.
Hvor svært kan det være at svare på?
Og så sku' jeg nok osse ha' spurgt om hvordan man slår den “feature”
fra — det er umanérligt frimodigt at antage at man blot kan have
råderet over et givet filnavn på en fremmed computer.
Enig. Og så er det møgirriterende at se den i sin $HOME... Om ikke andet
må man da gøre det muligt at vælge hvor filen skal gemmes.
finn
>> Enig. Og så er det møgirriterende at se den i sin $HOME...
>> Om ikke andet må man da gøre det muligt at vælge hvor filen
>> skal gemmes.
>
> klart: i $temp$
Appleten burde først og fremmest spørge om man overhovedet er
interesseret i at få skrevet en logfil (som man vel at mærke ikke
selv har direkte glæde af, idet indholdet er krypteret og formatet
lukket), og dernæst under hvilket navn og i hvilken mappe man i så
fald ønsker at gemme filen.
Angiveligt er filen kun til glæde for DanID support, så det mest
rimelige ville vel være at DanID selv gemte snasket på deres egen
server, fremfor at lave rod på kundens computer uden at spørge.
måske i en ideel verden.
Jeg har endnu ikke set software gøre dette. Men netop i roden af
systemdrevet er noget uprofessionelt snavs!
finn
Jeg har tidligere i dag brugt skrivebordet¹ som sammenligning, da jeg
tror din placering ville genere langt de færreste Windows-brugere.
Jeg bruger dwm som WM og har intet skrivebord som sådan, men jeg laver
tit en "cd d [TAB]" fra min $HOME og ender med tre muligheder:
downloads, documents og danid.log. Det er skideirriterende at skulle se
på danid.log hver eneste gang jeg laver dét trick.
> Måske ~/.danid/danid.log havde været pænere for *nix folket, hvis der
> endelig skal være en logfil.
Enig. *Hvis*, som du siger, der skal være en logfil.
1) Vel C:\Documents and Settings\brugernavn\Skrivebord
Tja.. det er jo netop derfor de har valgt en signeret applet. Så
behøver de ikke spørge.
Jo de har mange undskyldninger hvorfor de skal bruge en applet, men
jeg garanterer at det er en af grundene. At lave en applet hvor
fejlfinding er bundet til en lokal log fil... ha!.. håber ikke de er
SÅ inkompetente! Pladder.
Det er jo smart at de har tilgang til hele den aktuelle brugers filer
mens appletten kører.. i hvert fald for PET m.fl.
At det hele kunne være løst via SSL er en anden sag. SÅ træt af denne
bagdørs løsning de har tvunget ned i halsen på folk. Big brother er i
DEN grad kommet.. sørgeligt tilbageskridt både i brugervenlighed,
sikkerhed og tillid til det offentlige.
ØV!!
SSL giver vel ingen garanti for hvem brugeren er, kun at kommunikationen
er krypteret.
//finn
>
> SSL giver vel ingen garanti for hvem brugeren er, kun at kommunikationen er krypteret.
>
Havde nemID været en rigtig digital signatur, havde det garanteret
identiteten af både bruger og modtager.
--
Hilsen/Regards
Michael Rasmussen
http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.
Der er så andre komplikationer ved brug af Digital Signatur, som man så
har forsøgt at omgå. Der er jo nok en årsag til at Digital Signering,
aldrig blev særligt udbredt, selvom det "er gratis".
finn
Jo, med et rigtigt certifikat hos brugeren, i stedet for et compromised
certifikat hos PBS.
Måske fordi at det er alt for besværligt at få til at virke med
gængse programmer?
At PBS opfinder deres helt egen løsning gør det ikke nemmere.
De skal ikke spamme min disk med nogen som helst filer uden at jeg er
blevet spurgt. Jeg håber virkelig at de snart følger op på den support
sag.
Indtil da kan *nix brugere gøre dette:
$ echo "* * * * * rm ~/danid.log" | crontab -
Dette installerer en cron entry der en gang i minuttet sletter
banditten..
> Indtil da kan *nix brugere gøre dette:
> $ echo "* * * * * rm ~/danid.log" | crontab -
... dog er den kommando en ret dårlig idé hvis man allerede har noget i
sin crontab.
Mvh.
Adam
--
"Few things are less comforting than a tiger who's up Adam Sjøgren
too late." as...@koldfront.dk
> De skal ikke spamme min disk med nogen som helst filer uden at jeg
> er blevet spurgt. Jeg håber virkelig at de snart følger op på den
> support sag.
Jeg fik svar 8. oktober, jeg beklager hvis jeg ikke har postet svaret
her endnu. Det lød i sin forudsigelige enkelthed:
“Det er således at der bliver generet en sådan fil på din maskine.
Den registrerer intet om din færden, men benyttes udelukkende til
diagnosticering af fejl, man kan som bruger ikke bruge disse
informationer til noget.
Det er ikke muligt at stoppe genereringen af denne logfil. Der
bliver ikke generet andre filer på din maskine ved brugen af
nemid.”
Bummelum…
> Indtil da kan *nix brugere gøre dette:
>
> $ echo "* * * * * rm ~/danid.log" | crontab -
>
> Dette installerer en cron entry der en gang i minuttet sletter
> banditten..
Det er der ingen grund til (med mindre det er for at slippe for at se
på noget der hedder danid.log i sit homedir), man kan enten lave en
tom, skrivebeskyttet fil ved navn danid.log, eller lave et dir med
samme navn.
Fx
$ rm -rf danid.log && touch $_ && chmod 0400 $_
eller
$ rm -rf danid.log && mkdir $_ && chmod 0500 $_
Træt af - og efterhånden nervøs over - at skulle "stole på" diverse
Java-appletter, har jeg lavet en bruger kun til Java-brug. Jeg kører så
denne kommando når jeg f.eks. skal i min netbank:
su -c firefox java
Gad vide hvad NemID-appletten siger til at der allerede ligger en
~/danid.log ejet af root ;-)
> Det er der ingen grund til (med mindre det er for at slippe for at se
> på noget der hedder danid.log i sit homedir), man kan enten lave en
> tom, skrivebeskyttet fil ved navn danid.log, eller lave et dir med
> samme navn.
>
> Fx
>
> $ rm -rf danid.log && touch $_ && chmod 0400 $_
>
> eller
>
> $ rm -rf danid.log && mkdir $_ && chmod 0500 $_
Har du prøvet det i praksis?
/Henning
Har du hint til en automatisk nulstilling ved hver opstart af
java-firefoxen?
/Henning
>> Fx
>>
>> $ rm -rf danid.log && touch $_ && chmod 0400 $_
>>
>> eller
>>
>> $ rm -rf danid.log && mkdir $_ && chmod 0500 $_
>
> Har du prøvet det i praksis?
Ja, naturligvis. I første tilfælde oprettes der en skrivebeskyttet fil
ved navn danid.log, i andet tilfælde er danid.log en mappe. I begge
tilfælde er DanID's crapplet ude af stand til at skrive til en fil ved
navn danid.log, men det hindrer ikke funktionaliteten (dvs. man kan
benytte NemID som før).
Det kommer an på hvad du mener med automatisk nulstilling. :)