MitID og Netbank
Hej.
Jeg har lige fået MitID. Det virker fint på Borger.dk og e-Boks, men jeg får fejl meldinger når jeg prøver at logge på https://www.al-bank.dk/privat/netbank
Bruger jeg Firefox, så siger banken at jeg har ikke tilladt JavaScript. Bruger jeg Gnome Web, skriver banken at service er ikke tilgængelig i øjeblikket, prøv senere. Men banken tager fejl. Jeg har tilladt JavaScript i Firefox, og i uBlock Origin. Og jeg har prøvet med uBlock Origin slukket. Lige meget hjælper det. Og husk, min MitID virker på Borger.dk og e-Boks.
Jeg tog kontakt til banken og fik en smøre tilbage om at jeg skulle kontakte deres teknisk support. Det viste sig at være BEC i Roskilde. Og fra BEC fik jeg det simpel svar, at BEC ikke understøtter Linux. Basta. Mange tak for det. Undskyld ulejligheden.
Men husk, MitID virker fint på Borger.dk og e-Boks, og derfor må det være noget specifikt hos Bankernes EDB Central i Roskilde.
Jeg kan selvfølgelig lån min kones Windows maskine, men jeg er ikke Linux bruger for ingenting. Er der nogen forslag til hvad jeg kan gøre for at få MitID til at virke på netbank og Linux?
På forhånd tak
- Log in to post comments
Kommentarer13
Har du prøvet me browseren
Har du prøvet me browseren Opera. Det virker i min netbank med Sydbank
Det virker
Tak for det. Opera virker.
Men det er noget af en gåde at Firefox virker alle steder undtagen netbanken
Rettelse kl. 1437 ... Men jeg har slettet Opera igen. Det ser for mig ude som om Opera beskytter ikke vores privatliv i samme grad som Firefox.
Firefox med indskærpet indstillinger i about:config er nok det mest sikker og privat browser af alle ... undtaget Tor
Bare lige til oplysning, så
Bare lige til oplysning, så fungerer Mit-ID fint sammen med Firefox på den netbank, som er knyttet til Jyskebank. Jeg var også lige inde og teste, så al-bank.dk, og der så det også ud til at virke. Jeg blev naturligvis afvist til sidst (fordi jeg ingen konto har), men der var ikke noget brok i forhold til javascript...
skærpet sikkerhed
Takker. Nu tror jeg at problemet skyldes at jeg har skærpet Firefox sikkerheds indstillinger i about:config.
Jeg har lavet en hele række justeringer i about:config, f.eks. privacy.trackingprotection.fingerprinting.enabled ... og privacy.firstparty.isolate er begge slået til, hvorimod de er lukket som standard. Jeg har en stribe andre sikkerheds og privatlivs indskærpninger også. Men det forklarer ikke hvorfor netbanken siger at JavaScript er ikke slået til når JavaScript ER slået til. Det passer bare ikke hvad de skriver.
Men jeg har andre betænkeligheder. For nogle måneder siden skiftede jeg Telenor ude med YouSee. Telenor måtte forsvinde fordi jeg kunne se i UFW log at jeg var udsat for regelmæssig port scanning. Min Linux firewall blokeret det, men Telenords router firewall lod det passere til vores hjemmenetværk. Det kunne jeg ikke tillade. Jeg spurgte Telenor om opdatering af routeren's firmware, og om det var muligt at få bedre kontrol over routerens firewall. Telenor var slet ikke behjælpelig, og derfor skiftede jeg til YouSee. Alt imens brugte jeg whois i terminalen, og kunne jeg se at UFW havde blokeret bl.a. Bankernes EDB Central i flere portscanning episoder. Da jeg meldte det til BEC, afviste de kategorisk at de laver port scanning. Jeg kom aldrig tættere på en forklaring, men det glæder mig at melde, at YouSees router giver mig bedre kontrol over router firewall, og siden jeg fik YouSee har jeg ikke oplevet andre port scanning episoder.
Nå, jeg ved godt der her lyder som et "conspiracy theory", men jeg har mine betænkeligheder. Folk omkring mig taster rask væk på deres computere og smartphones uden at skænke det en tanke hvem der måtte gøre brug af deres kommunikationer. Og faktum er at DK har budt USA velkommen til at snage i vores samtaler. Mon ikke mine sikkerheds og privatlivs stramninger i Firefox har fået MitID til at svigte på netbanken? Og hvorfor skulle de det? Er det fordi nogen i bankvæsenet vil vide mere om min maskine end Borger.dk eller e-Boks?
Rettelse kl. 1437 ...
#2: Rettelse kl. 1437 ... Men jeg har slettet Opera igen. Det ser for mig ude som om Opera beskytter ikke vores privatliv i samme grad som Firefox.
Du kan også sikre Opera
https://www.opera.com/secure-private-browser
Restore Privacy
#5:
Selvfølgelig skal vi ikke tro alt hvad vi læser, men disse Restore Privacy folk syntes at have god omdomme. De er hele tiden ude efter Google, og har ikke ret meget til overs for Opera
https://restoreprivacy.com/browser/secure/
Chromium virker
Tak til Frugal og ejvindh. Det var godt at konstatere noget virker!
Som ses ovenfor, MitID virker på Linux med Firefox og Opera. Men jeg har ikke appetit for Opera, og slet ikke for Firefox hvis jeg skal slække af på mine sikkerheds og privatlivs indstillinger. Derfor har jeg kigget efter en sikker og privat browser jeg kunne anvende alene til netbank.
Jeg konstatere at MitID virker også i Chromium snap fra Ubuntu. Jeg har holdt mig væk fra alt der har med Google at gøre, men nu kan jeg se at Chromium er udviklet af Canonical (altså, Ubuntus skabere).
Jeg konkluderer at MitID virker ikke med netbanking i Firefox når man har indskærpet privatlivs indstillinger. Bankens påstand om at JavaSscipt ikke er til er ikke korrekt. Og jeg syntes banken burde forklare hvad de har gang i.
Sådan lidt teknisk tror jeg
Sådan lidt teknisk tror jeg godt, jeg kan se for mig, at nogle af dine sikkerhedsindstillinger kan blokere for noget af det javascript, som er en uundværlig del af MitId, og at det derfor fra udviklernes perspektiv kan se ud som om, du har blokeret for javascript -- selvom du konkret så kun har blokeret _bestemte_ former for javascript...
Jeg mener nu nok, at Google også er med-udviklere af Chromium. Men ja, så længe det er opensource, hvilket Chromium jo er, så kan man jo principielt kigge i koden, og derfor vil det nemmere blive opdaget, hvis de indbygger alt for meget overvågning. Så mon ikke de holder den værste del af den slags tiltag i den lukkede kode, som hører deres egen browser til.
first party isolate
Sådan lidt teknisk tror jeg godt, jeg kan se for mig, at nogle af dine sikkerhedsindstillinger kan blokere for noget af det javascript, som er en uundværlig del af MitId, og at det derfor fra udviklernes perspektiv kan se ud som om, du har blokeret for javascript -- selvom du konkret så kun har blokeret _bestemte_ former for javascript...
Ja. En af mine indskærpninger i about:config er first party isolate. Det har slået mig at Arbejdernes Landsbank nok ikke behandler mine MitID data selv ... mon ikke de bare formidler dem videre til gad vide hvor. Hvis det er tilfældet vil Firefox nok ikke samarbejde med netbanken fordi mine data gives videre.
Det sjov er, at jeg har aldrig bøvl med first party isolate. Alle de websider jeg besøger virker fint og uden problem, og uden at mine data formidles videre til for mig ukendte personer. Men jeg kan godt forestille mig at MitID har lange tråde og vores data spredes meget længere end nogen forestiller sig. Og i bakspejlet, savner jeg en grundig forklaring hvorfor i det hele taget staten har sådan et samarbejde med bankerne, samt hvordan det virker i praksis. Er der ingen der interesserer sig? Hvad er meningen at staten skal samarbejde på denne måde med virksomheder som banker? Uanset hvor uskyldig det måtte være, nogle vil kalde det korporatisme, nogle vil endda sige fascistisk. Vi kan bare kigge til udlandet for at se hvordan andre håndterer disse sikkerheds og privatlivs spørgsmål med gode resultater, uden at stat og finansindustrien skal være forlovet.
Jeg har ikke tænkte mig at bruge Chromium til andet end netbank. På denne måde kan jeg fortsæt sikkert med min indskærpet Firefox, og alligevel logge på netbank engang imellem. Det vil vise sig hvor hvidt jeg kan brug MitID til lidt nethandel med Firefox, ellers må jeg lade være.
om first party isolate ...
Jeg er pragmatisk m.h.t. computere, og dermed ingen specialist. Men her står at med first party isolate aktiv, får folk problemer med at anvende Facebook eller Google konti til at åbne andre ting.
https://www.ctrl.blog/entry/firefox-fpi.html
Nå, men som jeg siger, jeg er pragmatisk. Jeg kan ikke anvende høje privatlivs indstillinger og MitID samtidig. Sagt på anden måde. MitID er ikke privatlivs venlig. Når nu ingen tilsyneladende har protesteret over MitIDs udvikling og indførsel gør det mig betænkelig. Det er som om vi har fået det trukket ned om ørene. Værs'go! Fait accomplis!
Du har helt ret i, at det er
Du har helt ret i, at det er ikke Arbejdernes Landsbank selv, der håndterer dit MitID-login. Det ville først for alvor blive et kæmpe sikkerhedsproblem, hvis der lå kode lokalt ude hos de enkelte sites, som den lokale webmaster så selv kunne "tilpasse" og "forbedre på" efter forgodt befindende. Jeg siger ikke at den nuværende arkitektur er uden problemer, men det andet ville være en fuldstændig spagetti-situation, hvor alle danskere i løbet af en uges tid ville risikere at have fået afluret alle deres mest private forhold. Derfor, ja, er det nødvendigt med eksekvering af javascript fra eksterne sites, hvis man vil bruge MitID.
Jeg kender ikke de indstillinger, som du piller i, men hvis du har slået eksekvering af ekstern javascript fra, burde du dog også have haft problemer på borger.dk og eboks. Men hvis din bekymring handler specifikt om sociale medier og google, så tænker jeg måske at en bedre løsning kunne være at blokere mere specifikt for disse -- fx gennem dit ublock-plugin.
Når nu ingen
#10: Når nu ingen tilsyneladende har protesteret over MitIDs udvikling og indførsel gør det mig betænkelig
MitID er også mindre sikker end NemID. Problemet med MitID er at der kun er et brugernavn, intet kodeord. Og brugernavnet er ikke skjult med stjerner. Så hvis en medarbejder på kontoret kigger dig over skulderen kan vedkommende jo yderst let aflure brugernavnet. Og hvis du så derefter går ud og henter kaffe og personen også kender eller gætter telefonens kode, er der jo reelt frit spil.
Det er helt skørt at man fjerner det ekstra sikkerhedslag som adgangskoden giver.
Problemet med MitID er
#12: Problemet med MitID er at der kun er et brugernavn, intet kodeord.
Det gælder vist kun app'en, som jeg har fravalgt.
Når jeg skal bruge MitID for at komme i netbanken (og der var ingen vej udenom, hvis jeg fortsat ville bruge netbank), skal jeg indtaste brugernavn, adgangskode og en engangskode fra en kodeviser. Det svarer til proceduren ved NemID, men om det ene er mere eller mindre sikkert end det andet, kan jeg ikke lige gennemskue.
NemID har notorisk nogle svagheder og har været omgået, hacked eller snydt. Om MitID også har har svagheder og kan omgås (eller brugeren kan snydes), har vi nok ikke haft det længe nok til at vide endnu.
Jeg vil ikke have det (skidt) på min telefon, hvor jeg også får tilsendt SMS-koder fra banken ved køb på nettet.
Hvor meget to-faktor er der lige ved at have det hele på en enhed?
Beklager, hvis jeg lige fik hidset mig lidt op og skrevet for langt.