Höghus Höghus skrev:
Det tror jag väl ändå inte, tror du? Att ta in extern säkerhetsgranskning är kutym, iaf inom myndighetsvärlden.
Har det något direkt med öppen källkod eller inte att göra?

Höghus Höghus skrev:
Och Bankid lär ju vilja behålla sitt tillstånd (=tjäna pengar), så de måste på ett övertygande sätt visa att de inte utsätter användare för risker eller kränker integriteten.
Då måste väl ett bra sätt att uppnå detta vara att offentliggöra källkoden.
 
  • Gilla
Dilato och 1 till
  • Laddar…
Fairlane
Den är inte öppen.
Jag gillar öppen källkod, men det är naivt att tro att någon granskar koden bara för att det går. Klart några gör det, men det har funnits rejäla säkerhetshål i öppen källkod som legat där i flera år.
Det är lite kul att läsa alla som säger att de vill köra öppen källkod för då kan de verifiera saker själva, men de har inte verifierat en enda sak på 10 år.

Heartbleed-buggen fanns i 2 år i källkoden. Den drabbade alla som använde sig av OpenSSL och det är det väldigt många som gör. Den ligger till grund för en stor del av den SSL/TLS trafik som körs i allt ifrån webbservrar/webbläsare, till routrar etc.
 
  • Gilla
Festlund och 5 till
  • Laddar…
Fairlane Fairlane skrev:
Klart några gör det, men det har funnits rejäla säkerhetshål i öppen källkod som legat där i flera år.
Tänker du till skillnad mot exempelvis Microsofts slutna och helt buggfria kod? 😉😱
 
  • Haha
Dilato
  • Laddar…
P
Fairlane Fairlane skrev:
Du är lurad och får betala i onödan. Kardanförgasarsnöret byter man bara varannan service och kontrollerar skicket varannan. 😉
Nästan rätt. Om det är gjort av kevlartitan så är det underhållsfritt.
 
  • Gilla
Dilato och 1 till
  • Laddar…
Fairlane
Alfredo Alfredo skrev:
Tänker du till skillnad mot exempelvis Microsofts slutna och helt buggfria kod? 😉😱
Absolut inte. Buggar kan alltid finnas, men det finns många gånger en övertro på att om något är öppen källkod så är det säkert.

Jag vet ett stort företag (runt 50' anställda) som gång på gång hamnade på listor som spamsajter så de blev blockerade från att skicka mail. Orsaken var några gamla Linux-servar som blev hackade, men man vägrade ta till sig det för "Linux är säkert, det är bara Windows som blir hackat"..
 
  • Gilla
klaskarlsson
  • Laddar…
MathiasS MathiasS skrev:
Men verkligheten är att vi andra får hjälpa de äldre som inte kan, att betala räkningar och flytta pengar mellan konton. Konstigare än så är det inte. Banken kan ju också hjälpa till med dessa saker över telefon, om du bara kan identifiera dig (vilket är rimligt).


Men vägrar man identifiera sig "online" får man väl bara finna sig i att livet blir besvärligt. Det är inte rimligt att folk ska flytta pengar mellan konton och betala dina räkningar manuellt idag. Betala kontant om du vill men vad i hela friden ska du på bankkontoret att göra? Att du har ett visakort är ju blasfemi, men kanske inte helt orimligt.
Jag är helt med dig jobbigt bara när gubben drar sig för bank id.
Har lugnat han lite att han kan ha det på plattan hemma och inte i mobilen.
 
P
Fairlane Fairlane skrev:
Jag gillar öppen källkod, men det är naivt att tro att någon granskar koden bara för att det går.
Öppen källkod gör inte intern och extern granskning (beställd av tillverkaren) onödig, men den försämrar heller inte säkerheten. Snarare höjs potentialen för ökad säkerhet.
 
Fairlane
P pmd skrev:
Öppen källkod gör inte intern och extern granskning (beställd av tillverkaren) onödig, men den försämrar heller inte säkerheten. Snarare höjs potentialen för ökad säkerhet.
Potentialen höjs absolut. Om det sen slår igen i verkligheten är jag inte lika övertygad om.
 
P
Alfredo Alfredo skrev:
Någon som vet vad de menar med detta? På vilket sätt skulle skyddet förbättras?
Finansiell ID-Teknik BID AB motiverar det på webbsidan som Högus länkade till i inlägg #3 301.
https://www.bankid.com/privat/tank-pa-sakerheten/platstjanster
"[] säkerställa att din gamla och nya enhet befinner sig på samma plats".
 
P
J J-banan skrev:
[] det var bara boka bank tid. Tidigaste tiden banken hade var 2 dagar senare på bankkontor 10 mil bort
Banker borde kunna skicka ett nytt bankid med REK, tycker jag. 😉
 
J J-banan skrev:
Går det ens klara sig utan BankID?
Jag gjorde förut en återställning på min mobil, då försvann BankID. Allt behöver BankID nu för att logga in så kom inte in på blocket eller nåt! Jag fick leta rätt på min bankdosa och kunde iaf komma in på banken för att aktivera BankID men dessvärre hade passet precis gått ut så det var bara boka bank tid. Tidigaste tiden banken hade var 2 dagar senare på bankkontor 10 mil bort
Detta är oacceptabelt.
 
P pmd skrev:
säkerställa att din gamla och nya enhet befinner sig på samma plats
Ja "när du skaffar nytt eller flyttar ditt BankID från en enhet till en annan via bankens app.". Jag undrade över "Du behöver inte ha platstjänster påslaget när du använder BankID, men det ger dig bättre skydd mot exempelvis telefonbedrägerier.".
 
A A-Man_08 skrev:
Detta är oacceptabelt.
Varför då? Om man blir av med sin legitimation är det väl inte så konstigt att det kan vara lite strul med att skaffa en ny. Med ett pass eller ett nationellt identitetskort hade väl strulet minskat rejält?
 
  • Gilla
Dilato och 3 till
  • Laddar…
Alfredo Alfredo skrev:
Har det något direkt med öppen källkod eller inte att göra?


Då måste väl ett bra sätt att uppnå detta vara att offentliggöra källkoden.
Bankid levererar en produkt där tillsynsmyndigheten kräver övertygande försäkran om att den fungerar som tänkt. Det oavsett hur den är konstruerad.

Varför skulle Bankid ge bort sin IP (Intellectual Property) till eventuella konkurrenter?

Att OpenSource-communityn skulle ta fram en helhets-lösning för detta känns mycket avlägset.

/Höghus
 
Vi vill skicka notiser för ämnen du bevakar och händelser som berör dig.