ADVARSEL: Canonical fjerner Oracle Sun Java

[Jønse]

Nedenstående er fra side 85 i Ubuntu Linux af Keir Thomas. Om det besvarer spørgsmålet om NemID fyldestgørende vil jeg overlade til andre at bedømme. Jeg bruger selv gæstekontoen i forbindelse med NemID, det ser i min optik ud til at være sikkert.




Guest Session: This launches a new guest session of the desktop. It is ideal for employees who are
temporarily using a company’s PC, for example, or for friends who visit and want to check their e-
mail or Facebook without leaving any trace on your PC. Any files downloaded on a guest account are
deleted when the user logs out.

[lath]

Så vidt jeg har forstået giver man NemID samme rettigheder til ens pc, som man selv har, når man accepterer at køre deres javastads. Jeg har derfor valgt at bruge netbank fra en dedikeret bruger i Ubuntu. Browseren har jeg sat til at rydde op i cookies osv. når jeg lukker den, jeg har ikke givet generel tilladelse til appletten og netbankbrugeren bliver ikke brugt til andet. Hvis Danid - eller Pet eller andre, der har tvunget sig adgang til deres applet (bemærk i denne forbindelse at PET faktisk benytter sig af trojanere på folks pc'er), prøver at snige en trojaner ind med appletten, forventer jeg at de ikke vil have det store held med det, da min bank-bruger ikke har rettigheder til at installere noget på pc'en. Men måske er jeg for optimistisk?

næ det skulle virke fint, hvis bruger ikke har administrative rettigheder, og at du lukker af for at andre brugere kan kan kigge i din normale brugerprofils filer (det er standard at kunne kigge i andre brugeres filer på Ubuntu).
!: Brug ikke chmod kommando for så virker X-windows ikke længere, altså: Ingen grafisk brugergrænseflade hvis du sætter other bits på dine filer til 0.

som sagt er det vist nok sudo dpkg-reconfigure og så svare rigtigt på mange spørgsmål der fjerner rettighed for at andre brugere i dit system kan kigge i dine filer (incl læse indholdet af mapper).

Måske er det eneste sikre at køre nemid-javaen på en virtuel maskine, appletten kører jo hver gang den kører.

En virtuel maskine er nok lidt overkill, og heller ikke sikker, men den isolerer rigtigt nok bedre end bare en brugerkonto med næsten ingen rettigheder.
Jeg skifter snart til PC-BSD, og der har de noget der hedder "Warden Inmate" - der faktisk er en PC-BSD virtuel maskine på kun 12 MB inde i en PC-BSD. En Firefox+JRE Inmate i en Warden sætter så de 2 programmer ind i samme fængselscelle.

Fantastisk effektivt, og koster meget lidt CPU saft og RAM: http://wiki.pcbsd.org/index.php/Warden%E2%84%A2
Der findes dog ikke en Inmate med Firefox og JRE men jeg kunne jo lave sådan en PBI (en PBI er en alt-i-et installationsfil for PC-BSD, inkluderet i filen er alle afhængigheder).

Til gengæld er der ikke så meget at komme efter, da jeg ikke bruger login'et til andet.

Sandt nok.

Og man-in-the-middle-angreb skal jeg under alle omstændigheder passe på.

NemIDs design er notorisk usikker på MiM angreb. Det blev set i angrebet mod Nordea.

/Lars