amn

amn

Medlem
  • Registrerad 2004-06-25
  • Senast aktiv 2018-06-04
  • Antal inlägg 26

Foruminlägg

De senaste inläggen amn har skrivit i forumet.

  • Medlem
  • 2018-05-30 19:20
Ursprungligen av Ideaman02:

Vilken telefontillverkar som helst kan göra en smsapp som stödjer RCS.

Vilken telefontillverkare som helst kan göra en smsapp som stödjer exempelvis Signal Protocol (vilket även fungerar oberoende av mobiloperatör, till skillnad från RCS).

  • Medlem
  • 2018-05-30 19:14
Ursprungligen av Zeugma:

Att lagra platsinformation (kortvarigt medan det är aktuellt för inloggning*) ses alltså som en utökad säkerhetsåtgärd. Vilket är vad det är.

*Att Finansiell ID-teknik skulle långtidslagra detta, för att följa konsumenternas rörelsemönster och sedan sälja informationen, är något jag inte kan uttala mig om. Det hör till konspirationsteorisfären.

Återigen, det generella undantaget i deras policy gäller ju bara för att uppfylla ställda säkerhetskrav, inte gå utöver dem med utökade säkerhetsåtgärder. Att då lagra personrelaterad information relaterat till signeringsuppdrag som är inte är felaktiga och inte kan misstänkas vara resultatet av en attack mot underskriftstjänsten eller begärande e-tjänst, finns det som jag förstår det inget generellt stöd för, oavsett hur "kortvarigt" det lagras.

Hur länge menar du är "kortvarigt"? Jag syftar enbart på hur data lagras enligt deras policy, alltså normalt i sin helhet endast tre månader. När det handlar att lagra exakt platsinformation för miljontals svenskar så ser jag ett kvartal som långtidslagring.

Vad jag diskuterar är om de får lagra exakt platsinformation överhuvudtaget enligt policy, inte vad de gör med sådan information utanför policy. Vet inte varför du börja snacka om "konspirationsteorisfären".

  • Medlem
  • 2018-05-30 16:41
Ursprungligen av BlackSmp:

Jo, men så vitt som jag vet så finns det inget krav på att en oberoende underskrifttjänst måste vara certifierad av dem, det är frivilligt och myndigheten kan inte förbjuda någon tjänst.

Jag kan ha fel men tror inte det.

Dock verkar bankerna, och därigenom BankID, vara med i projektet. Enligt Wikipedia:

Citat:

E-legitimationsnämnden är en svensk myndighet under Näringsdepartementet som startades 1 januari 2011 för att införa det system för e-legitimation som kommer att benämnas Svensk e-legitimation.

Ett krav från vissa svenska banker för att vara med i projektet var att Skatteverket förhindrar Sveriges universitetsdatanätverk (SUNET) att få tillgång till Skatteverkets tjänst "Mina meddelanden" för säker myndighets-e-post, som bankerna tolkar som en konkurrerande verksamhet. Därmed tvingas universiteten att återgå till att skicka brev istället för att använda helt elektronisk hantering av studenters ansökningar, från december 2015.

Jag gillar detta citat ur Wikipedias källa:

Citat:

Den fria marknaden är bra på mycket. Men marknadskrafter ska inte tillåtas skapa ett monopol för att kontrollera våra elektroniska identiteter och våra möjligheter att kommunicera och ta del av offentliga tjänster på nätet. Infrastrukturen för verifiering av våra identiteter med e-legitimationer bör vara ett statligt ansvar. Ingen skulle drömma om att låta Swedbank, SEB och Nordea utfärda våra pass eller bestämma vad som får stoppas i vårt brevinkast. Varför ska de då ges förtroendet att utfärda våra digitala id-handlingar, särskilt eftersom de inte verkar kunna hålla fingrarna i styr?

  • Medlem
  • 2018-05-30 14:33
Ursprungligen av ibeardtech:

Förstår inte varför så många tycker de är så viktigt med imessenger? Har folk inte gratis sms eller Facebook messenger? ?

De bryr sig om sin integritet, och vill inte kunna bli avlyssnade.

  • Medlem
  • 2018-05-30 14:23
Ursprungligen av Zeugma:

Nyss fick jag svar:

”Jag tog med din fråga till dem som ansvarar för säkerhetsgranskningen. Enligt dem så hindrar regelverket inte att en utfärdare implementerar säkerhetsåtgärder som går utöver de krav som uppställs för den aktuella tillitsnivån.”

Grönt ljus, alltså, för platsbestämning.

Tack för rapporten.

Jag förstår dock inte hur deras uttalande svarar på frågan om det är OK enligt deras policy att lagra exakt platsinformation för samtliga signeringsuppdrag. Det generella undantaget i deras policy gäller ju bara för att uppfylla ställda säkerhetskrav, inte gå utöver dem.

Vad de säger (baserat på ditt citat ovan), är att det är OK att implementerar säkerhetsåtgärder, inte att det är OK att lagra platsinformation.

Deras policy som jag syftar på, som du citerade tidigare i denna tråd:

Citat:

Lagring av personrelaterad information skall begränsas till lagring av certifikat enligt 2.1.1 samt information relaterat till signeringsuppdrag som är felaktiga eller kan misstänkas vara resultatet av en attack mot underskriftstjänsten eller begärande e-tjänst.

Om incidenten är föremål för polisutredning får informationen lagras så länge som krävs för att stödja utredningen och eventuell efterföljande process i domstol. I annat fall får informationen i sin helhet endast lagras i tre (3) månader, varefter den måste raderas eller avpersonifieras så att alla användarrelaterad information raderas.

Generellt undantag för ovanstående policy är information om måste sparas i enlighet med svensk lag samt information som måste sparas för att kunna uppfylla ställda säkerhetskrav i enlighet med regelverket för Svensk e-legitimation.

  • Medlem
  • 2018-05-30 00:05
Ursprungligen av Erik.dv:

Å andra sidan får Apple gärna fixa iMessages innan de släpper den till fler OS än iOS / macOS. Out of order meddelanden har plågat alla jag känner senaste 6-12 månaderna.

Syftar du på felet som fixades idag, i och med iOS 11.4?:

Citat:

Åtgärdar ett problem i Meddelanden som kunde göra att vissa meddelanden visades i fel ordning.

  • Medlem
  • 2018-05-29 23:56
Ursprungligen av Mackan1984:

Mitt påstående sa budget-androider så är snarare ”start making cheap phones then”.
Tänkte att barnen skulle ju kunna ha iMessage på sina billiga android-mobiler istället för att ärva iPhones från föräldrarna t ex.

Med tanke på Apples försprång i prestanda jämfört med budget-androider, och hur extremt länge du kan uppgradera till senaste versionen av operativsystemet (med säkerhetsfixar etc.) jämfört med budget-androider, vad är egentligen fördelen med en budget-android framför en ärvd iPhone (om vi talar om föräldrar som sköter om sin telefon, och byter någorlunda ofta)? Ärligt intresserad. Bara för att något är nytt, behöver det ju inte betyda att det är bättre än något äldre.

  • Medlem
  • 2018-05-29 20:27
Ursprungligen av Ideaman02:

[...] RCS. Funkar riktigt bra faktiskt. Används automatiskt med vem som helst som har det. Man ser om det kommer fram och när det är läst. Bilder och videor i hög upplösning. Vad jag vet så finns det inga riktiga begränsningar, det finns dock massor av kommande funktioner som verkar häftiga. Titta här tillexempel: https://www.youtube.com/watch?v=tJ4As3B2ft4

Annars så funkar det bra, betalar inget extra.

Låter som iMessage, Signal, eller liknande, förutom att det inte är avlyssningssäkert/krypterat och ger operatörerna fortsatt kontroll över meddelandetjänster.

Ursprungligen av Ideaman02:

Det kan användas av alla. Så borde det vara. Standarder, inte företags appar. Samsung har ju en egen sms-app med RCS också. Den funkar den med. Så ska det vara.

Vänligen förklara hur Googles "Chat", Samsungs "sms-app" inte är "företags appar"?

Signal, är öppen källkod, gratis, tillgängligt för alla, och använder ett öppet protokoll (Signal Protocol, vilket även WhatsApp påstår sig göra). Det vill säga standarder, och kan användas av alla. Uppfyller det dina krav på hur det ska vara?

  • Medlem
  • 2018-05-29 19:55
Ursprungligen av Json_81:

Är det inte bättre att Apple stödjer de där nya smsen vad de nu heter.
Eller har de för mycket begränsningar?

Om du syftar på RCS skräpet; absolut inte. Låt mig citera John Gruber om varför:

Citat:

It is unconscionable for Google to back a new protocol that isn’t end-to-end encrypted. End-to-end encryption is table stakes for any new communication platform today. Apple should ignore this — if it’s not secure it should be a non-starter.

Ur denna 99-artikel:

Ursprungligen av Redaktionen:

Att Apple inte förlitar sig på datainsamling för att gå med vinst blir även här en klar fördel jämfört med konkurrensen. Att en konversation i Imessage därtill är krypterad och inte kan läsas av Apple är ytterligare en viktig konkurrensfördel.

  • Medlem
  • 2018-05-29 16:45
Ursprungligen av Zeugma:

Jag ringde nyss E-legitimationsnämnden för att fråga om det är okej med regelverket att kräva platsinformation för att man ska kunna använda mobilt bank id. Juristen jag talade med, och som själv hade sett detta igår, skulle undersöka saken och återkomma, dock inte de närmaste dagarna. Hellre rätt än snabbt, bra så!

Har du hört något tillbaka?

  • Medlem
  • 2018-05-17 14:03
Ursprungligen av GustafMA:

Men sakta i backarna. Gäller inte allt detta mobilt bank-ID? Riktigt bank-ID med dosa och kort påverkas väl inte alls?

Hittills. Även macOS har Location Services. Som jag förstått det, så utgår de från exempelvis uppbyggda databaser över placeringen av Wi-Fi-nätverk. Om någon anslutit en telefon (med GPS eller liknande) till nätverket, så är positioneringen skrämmande exakt (med hjälp av enbart accesspunktens MAC-adress). Se denna ZDNet-artikel för fördjupning.

  • Medlem
  • 2018-05-16 12:56
Ursprungligen av Redaktionen:

Malin berättar att ID-bedrägerier på internet har ökat de senaste åren, och det är något som även Bank ID-tjänsten kan drabbas av, även om problemet inte kan sägas vara utbrett.

Problemet kan alltså inte sägas vara utbrett. Hur kan det så sägas vara proportionerligt att lagra exakt platsinformation för miljontals användare i ett lamt försök med en lättförfalskad teknisk lösning mot social engineering?

Denna typ av bedrägerier stoppas väl ändock effektivast genom utbildning av användarna? De har ju möjligheten att utbilda sina användare via deras egen app, utan någon större ansträngning eller kostnad för dem. Att de inte börjat i den änden tyder ju på att de är ute efter användarnas platsinformation, och inte efter att skydda dem på riktigt.

  • Medlem
  • 2018-05-16 12:27
Ursprungligen av Redaktionen:

Angående att insamlandet av platsinformation kan komma att bli obligatoriskt för att använda appen säger Malin att något beslut ännu inte är taget i frågan men att det handlar om att göra en samlad bedömning av säkerheten för tjänsten. Där ska krav från banker och myndigheter tas i åtanke, och självklart användarnas behov.

Detta påstående står i direkt strid med vad "Finansiell ID-Teknik BID AB" skrev som svar i Google Play den 3 maj 2018: "På sikt kommer det blir ett krav för att kunna använda BankID."

Någon ljuger uppenbarligen. Inte alls förtroendeingivande. Särskilt inte med tanke på vilka känsliga uppgifter som företaget har tillgång till.

Ursprungligen av Redaktionen:

Hon understryker också att platsinformationen enbart används när användaren hämtar ut ett Bank ID samt loggar in och skriver under med det.

Det vill säga alltid, varje gång du använder appen till något? Vilket missledande svar.

  • Medlem
  • 2018-05-16 12:16
Ursprungligen av Laserturken:

Hur kommer detta påverka om man använder VPN?

Eftersom de begär tillgång till platsinformation från operativsystemet (det vill säga information även från exempelvis GPS och GLONASS), så skyddas du inte av VPN. Det blir alltså inga problem för dem att lagra din exakta platsinformation på deras servrar (om du godkänner det i Android/iOS/macOS det vill säga).

  • Medlem
  • 2018-05-15 15:48
Ursprungligen av Zeugma:

Nej, givetvis är det inte nödvändigt. Det tror jag ingen anser. Det är bara ett försök att motverka bedrägerier. Stig-Arne, 85, ska inte via telefon med framgång förmås att signera sitt bank id. Oklart dock hur effektivt det är, som du indikerar. Buset hittar oftast en ny väg.

Är det tänkt som ett skydd mot social engineering? Nämen gud så dumt.

Att lagra exakt platsinformation för miljontals svenskar (som naturligtvis blir ett läckert mål för hackers), det finner jag inte vara proportionerligt till det lilla möjliga teoretiska skydd det medför mot social engineering. Som du säger buset hittar oftast en ny väg, och den finns ju redan utstakad i och med enkel spoofing.

edit: Förresten. Om tanken är att identifiera bedragare genom platsinformationen, så är det ju bara för bedragarna att befinna sig på allmän plats utan kameraövervakning. Ingen spoofing nödvändig. Detta verkar inte genomtänkt överhuvudtaget.

Senast redigerat 2018-05-15 16:12