AJenbo skrev:Centerchef, TU Interaktiv skrev:Hej Anders Jenbo,
Mange tak for din henvendelse vedrørende de tre sikkerhedsproblemer på dr.dk. Vi sætter pris på at blive gjort opmærksom på ting, som vi kan gøre bedre.
Vi kan oplyse at vi har patchet SSL serverne, så de nu er sikret mod CVE-2014-0224.
Ligeledes vil de eksterne statistikscripts blive fjernet fra sider med formularer, der har til formål at modtage personlig data som CPR Nummer. Dette vil ske næste gang de web applikationer, der hoster disse forms, bliver deployet.
Angående http ressourcer, der inkluderes på sider, der loades med https, så er vi allerede bekendte med dette problem og vi arbejder løbende med at få de forskellige sider rettet til.
De bedste hilsner
Synes du, at det svar fra DR er tillidsvækkende..?
Jeg kan ikke engang se, at de forholder sig til, om formularen kan bruges til at verificere eller stampe andre personers CPR numre med.
Og jeg forstår stadig heller ikke, at registerloven og anden lovgivning tillader, at DR's EDB folk har adgang til et CPR-register, som de tilmed tydeligt ikke forstår at administrere ansvarligt.
Er det for hårdt bedømt..?
Angående det andet, så er det ikke for at provokere, men jeg tror ikke, at almindelige brugere sondrer så skarpt imellem den ene eller den anden slags java eller andre programtyper, som anvendes til dialog på internettet.
Men når de møder en showstopper, så vil de lede efter en syndebuk, og der mener jeg, at java har været et taknemmeligt offer, blandt andet på grund af et let genkendeligt navn.
Men måske har javafolket omsider fundet løsningen ved så vidt muligt kun en enkelt gang at bede brugerne om at sige ja til installation, og derefter kan administratorer i det skjulte installere ligeså meget og ofte de har lyst til, uden brugeren nogensinde igen skal se navnet java.
Det er f.eks. min oplevelse på den sidste computer, jeg har installeret med Xubuntu, at den efter en uge fik problemer med netbank login, men der blev kun spurgt om tilladelse til installation af danID. Det gik galt, og det endte ligefrem med, at Xubuntu bootede om uden varsel.
Ups... så er det pludselig danID, der nu bliver syndebuk for den almindelige bruger, men hvem ved, om det i virkeligheden kan være noget underliggende java, som har lavet missæren. Det var det såmænd nok, man kender vel sine lus på travet...