---

Kan man kryptere en forbindelse på www uden https eller lignende?

Jeg har været ude for at købe en lille bitte tv-pakke på tilbud hos
Boxer TV, og allerede fra starten af bestillingen vil det rare firma
sikre sig at jeg er betalingduelig, hvortil de forlanger mit cpr-
nummer på en så vidt jeg kan se ukrypteret side (http://).

Den hopper jeg selvfølgelig ikke på og forsøger med en tilfældig dato
og fire tilfældige cifre. Bingo - boxertv.dk konstaterer straks at det
her nummer ikke kan være mit, så der foregår altså en validering.

De siger ikke noget om kryptering her, men et andet sted, hvor man kan
købe ting og sager beroliger de med at al information er sikret med
128 bit kryptering. Men kan det gøres uden https eller lignende, eller
er der noget muggent med ham her Robert?
--
Niels P Sønderskov

---

Den 13 Sep 2011 17:22:09 GMT skrev Niels P Sønderskov:
> Kan man kryptere en forbindelse på www uden https eller lignende?
>
> Jeg har været ude for at købe en lille bitte tv-pakke på tilbud hos
> Boxer TV, og allerede fra starten af bestillingen vil det rare firma
> sikre sig at jeg er betalingduelig, hvortil de forlanger mit cpr-
> nummer på en så vidt jeg kan se ukrypteret side (http://).
>
> Den hopper jeg selvfølgelig ikke på og forsøger med en tilfældig dato
> og fire tilfældige cifre. Bingo - boxertv.dk konstaterer straks at det
> her nummer ikke kan være mit, så der foregår altså en validering.
>
> De siger ikke noget om kryptering her, men et andet sted, hvor man kan
> købe ting og sager beroliger de med at al information er sikret med
> 128 bit kryptering. Men kan det gøres uden https eller lignende, eller
> er der noget muggent med ham her Robert?

Kryptering af HTTP er HTTPS.

Det er muligt at lave det så siden kører HTTP, men data sendes over
HTTPS, altså så det for brugeren ser ud til at man ikke kører HTTPS.
Men at siden kører HTTPS er DIN sikkerhed for at forbindelsen er
krypteret.

Det giver så også lige det problem at det - hvis der er HTTPS gemt
inde bag ved - er svært for dig at finde ud af hvem det pågældende
certifikat er udstedt til.

Ikke at sikkerheden i HTTPS er særlig stort (man hører gang på gang at
CA'erne sælger certifikater til de forkerte), men på den anden side
hvorfor skulle man forsøge at skjule krypteringen, medmindre man netop
har noget at skjule?

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

---

Kent Friis <nospam@nospam.invalid> wrote:

> Den 13 Sep 2011 17:22:09 GMT skrev Niels P Sønderskov:
>> Kan man kryptere en forbindelse på www uden https eller lignende?
>>
>> Jeg har været ude for at købe en lille bitte tv-pakke på tilbud hos
>> Boxer TV, og allerede fra starten af bestillingen vil det rare firma
>> sikre sig at jeg er betalingduelig, hvortil de forlanger mit cpr-
>> nummer på en så vidt jeg kan se ukrypteret side (http://).
>>
>> Den hopper jeg selvfølgelig ikke på og forsøger med en tilfældig dato
>> og fire tilfældige cifre. Bingo - boxertv.dk konstaterer straks at det
>> her nummer ikke kan være mit, så der foregår altså en validering.
>>
>> De siger ikke noget om kryptering her, men et andet sted, hvor man kan
>> købe ting og sager beroliger de med at al information er sikret med
>> 128 bit kryptering. Men kan det gøres uden https eller lignende, eller
>> er der noget muggent med ham her Robert?
>
> Kryptering af HTTP er HTTPS.
>
> Det er muligt at lave det så siden kører HTTP, men data sendes over
> HTTPS, altså så det for brugeren ser ud til at man ikke kører HTTPS.
> Men at siden kører HTTPS er DIN sikkerhed for at forbindelsen er
> krypteret.
>
> Det giver så også lige det problem at det - hvis der er HTTPS gemt
> inde bag ved - er svært for dig at finde ud af hvem det pågældende
> certifikat er udstedt til.
>
> Ikke at sikkerheden i HTTPS er særlig stort (man hører gang på gang at
> CA'erne sælger certifikater til de forkerte), men på den anden side
> hvorfor skulle man forsøge at skjule krypteringen, medmindre man netop
> har noget at skjule?

Tak Kent. Hvordan kan man eventuelt undersøge om en http-side skulle være
krypteret?
--
Niels P Sønderskov

---

Den 13 Sep 2011 20:27:45 GMT skrev Niels P Sønderskov:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den 13 Sep 2011 17:22:09 GMT skrev Niels P Sønderskov:
>>> Kan man kryptere en forbindelse på www uden https eller lignende?
>>>
>>> Jeg har været ude for at købe en lille bitte tv-pakke på tilbud hos
>>> Boxer TV, og allerede fra starten af bestillingen vil det rare firma
>>> sikre sig at jeg er betalingduelig, hvortil de forlanger mit cpr-
>>> nummer på en så vidt jeg kan se ukrypteret side (http://).
>>>
>>> Den hopper jeg selvfølgelig ikke på og forsøger med en tilfældig dato
>>> og fire tilfældige cifre. Bingo - boxertv.dk konstaterer straks at det
>>> her nummer ikke kan være mit, så der foregår altså en validering.
>>>
>>> De siger ikke noget om kryptering her, men et andet sted, hvor man kan
>>> købe ting og sager beroliger de med at al information er sikret med
>>> 128 bit kryptering. Men kan det gøres uden https eller lignende, eller
>>> er der noget muggent med ham her Robert?
>>
>> Kryptering af HTTP er HTTPS.
>>
>> Det er muligt at lave det så siden kører HTTP, men data sendes over
>> HTTPS, altså så det for brugeren ser ud til at man ikke kører HTTPS.
>> Men at siden kører HTTPS er DIN sikkerhed for at forbindelsen er
>> krypteret.
>>
>> Det giver så også lige det problem at det - hvis der er HTTPS gemt
>> inde bag ved - er svært for dig at finde ud af hvem det pågældende
>> certifikat er udstedt til.
>>
>> Ikke at sikkerheden i HTTPS er særlig stort (man hører gang på gang at
>> CA'erne sælger certifikater til de forkerte), men på den anden side
>> hvorfor skulle man forsøge at skjule krypteringen, medmindre man netop
>> har noget at skjule?
>
> Tak Kent. Hvordan kan man eventuelt undersøge om en http-side skulle være
> krypteret?

"View source", kig efter <form> tags.

Her er fx en fra et velkendt website:
<form method="POST" action="https://www.facebook.com/login.php...

Hvilken forskel gør det iøvrigt om forbindelsen er krypteret? Du ved
jo ikke hvor du er ved at sende dine oplysninger hen.

Eller sagt på en anden måde, hvad hjælper det at din forbindelse
til Rumænien måtte være krypteret, så TDC ikke kan lytte med?

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

---

Niels P Sønderskov wrote:

> Jeg har været ude for at købe en lille bitte tv-pakke på tilbud hos
> Boxer TV, og allerede fra starten af bestillingen vil det rare firma
> sikre sig at jeg er betalingduelig, hvortil de forlanger mit cpr- nummer
> på en så vidt jeg kan se ukrypteret side (http://).

Du kan selv skrive https://www.boxertv.dk, og så foregår det via en
krypteret forbindelse.

Det er godt nok hjernedødt (og ulovligt) at Boxer ikke kan finde ud af at
bruge https i alle tilfælde, eventuelt ved at lave et generelt http til
https re-direct som mange gør.

--
Jesper Lund

---

Den 13-09-2011 23:30, Jesper Lund skrev:
> Det er godt nok hjernedødt (og ulovligt) at Boxer ikke kan finde ud af at
> bruge https i alle tilfælde, eventuelt ved at lave et generelt http til
> https re-direct som mange gør.

Og nå de ikke er bedre, har de sikkert heller ikke mere check på
personnummeret end modulus11.

find et af de steder på nettet som kan generere er rigtigt personnummer
og prøv med det

//finn

---

Cykelsmeden wrote:
> Og nå de ikke er bedre, har de sikkert heller ikke mere check på
> personnummeret end modulus11.

Det bruger det forhåbentlig ikke til check, da det er afskaffet og der
derfor ikke er nogen garanti for, at nye personnumre opfylder det.

--
Per H. Nielsen <phn@dkscan.dkx>
My Danish Scanner Pages: http://www.dkscan.dk
To reply to this change .dkx to .dk in my address.

---

Den 14-09-2011 10:27, Per H. Nielsen skrev:
> Cykelsmeden wrote:
>> > Og nå de ikke er bedre, har de sikkert heller ikke mere check på
>> > personnummeret end modulus11.
> Det bruger det forhåbentlig ikke til check, da det er afskaffet og der
> derfor ikke er nogen garanti for, at nye personnumre opfylder det.

Det er vi da for så vidt enige om, men hvis de ikke formår at lave en
httpsside til indtastning af cprnummer, kan man forvente hvadsomhelst,
og der er mange gratis-script-pakker derude til at validere cprnumre.

iøvrigt kan jeg ikke forestille mig at cprnumre ikke stadig har en eller
anden form for checksum.

//finn

---

Cykelsmeden wrote:
> iøvrigt kan jeg ikke forestille mig at cprnumre ikke stadig har en
> eller anden form for checksum.

Det har de i den forstand, at man først tildeler cprnumre,
der opfylder modulus-11. Løber man tør for cprnumre for en
dato begynder man at tildele numre uden modulus-11.
Et generelt modulus-11 check kan derfor ikke bruges til at
afvise et cprnummer.

Der ligger yderligere noget information i tildelingen
af løbenummeret.

Detaljerne om tildeling af cprnumre kan ses på:
http://cpr.dk/cpr_artikler/Files/Fil1/4225.pdf

--
Per H. Nielsen <phn@dkscan.dkx>
My Danish Scanner Pages: http://www.dkscan.dk
To reply to this change .dkx to .dk in my address.

---

Den 14-09-2011 12:28, Per H. Nielsen skrev:
> Det har de i den forstand, at man først tildeler cprnumre,
> der opfylder modulus-11. Løber man tør for cprnumre for en
> dato begynder man at tildele numre uden modulus-11.
> Et generelt modulus-11 check kan derfor ikke bruges til at
> afvise et cprnummer.
>
> Der ligger yderligere noget information i tildelingen
> af løbenummeret.
>
> Detaljerne om tildeling af cprnumre kan ses på:
> http://cpr.dk/cpr_artikler/Files/Fil1/4225.pdf

Ok, der er stadig omend svage regler for numre uden kontrolciffer, så
numrene kan valideres.
Men det forhindrer ikke at Boxer kan køre med en forældet
valideringskode, og kan gøre det nogle år endnu. der er næppe mange
8årige som vil lave aftale med Boxer

//finn

---

Den Wed, 14 Sep 2011 12:28:29 +0200 skrev Per H. Nielsen:
> Cykelsmeden wrote:
>> iøvrigt kan jeg ikke forestille mig at cprnumre ikke stadig har en
>> eller anden form for checksum.
>
> Det har de i den forstand, at man først tildeler cprnumre,
> der opfylder modulus-11. Løber man tør for cprnumre for en
> dato begynder man at tildele numre uden modulus-11.

Det er reelt det samme som "det har de ikke".

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

---

Cykelsmeden wrote:

> iøvrigt kan jeg ikke forestille mig at cprnumre ikke stadig har en eller
> anden form for checksum.

Uanset om de har eller ikke har, er det fløjtende ligegyldigt - ALT bliver
valideret serverside (til sidst).

Checksum har _aldrig_ været en validering, og bliver det heller _aldrig_.

Diverse checksummer blev indført som en slags prævalidering for at undgå
indtastningsfejl.

Tænk tilbage på nærmest 'kasseapparater', hvor man stort set ikke havde
computerkraft i terminalerne.

På samme måde som ordblinde findes der også talblinde, samt 'læsefejl', og
det var disse fejl man kunne fange medens kunden stod på posthuset eller
lign.

Prøv at få styr på tingene/forretningsgangene.

--
Med venlig hilsen
Stig Johansen

---

Den 15-09-2011 12:57, Stig Johansen skrev:
> Cykelsmeden wrote:
>
>> > iøvrigt kan jeg ikke forestille mig at cprnumre ikke stadig har en eller
>> > anden form for checksum.
> Uanset om de har eller ikke har, er det fløjtende ligegyldigt - ALT bliver
> valideret serverside (til sidst).

hvis firmaet har brug for det!
>
> Checksum har_aldrig_ været en validering, og bliver det heller_aldrig_.

næ, har jeg påstået det?
Men mange bruger checksum beregninger til netop at kontrollere
indtastning. De "nye" numre som ikke passer med moduluscheck, kan stadig
kontrolleres, da det sidste ciffer er beregnet matematisk.

//finn

---

Jesper Lund wrote:

> Det er godt nok hjernedødt (og ulovligt) at Boxer ikke kan finde ud af at
> bruge https i alle tilfælde

Jeg tror du skal læse lidt (rigeligt) op på hvad der er lovligt og
hjernedødt.

Sikkerhed er ALDRIG 100% sikkerhed, men en risikovurdering.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:

> Jeg tror du skal læse lidt (rigeligt) op på hvad der er lovligt og
> hjernedødt.

Ulovligt: spørg Datatilsynet om du må modtage CPR numre over en ikke-
krypteret forbindelse. Jeg er ret sikker på at de vil svare nej, med
henvisning til persondataloven.

Hjernedødt var min subjektive vurdering som står for egen regning.

--
Jesper Lund

---

Jesper Lund wrote:

> Ulovligt: spørg Datatilsynet om du må modtage CPR numre over en ikke-
> krypteret forbindelse. Jeg er ret sikker på at de vil svare nej, med
> henvisning til persondataloven.

Behøver jeg ikke, da jeg selv var med til at 'aflive' CPR numre som
_personhenførbare_ data pga. ny lovgivning.

[1] 'Aflive' betyder i denne forbindelse 'afinstallering' af særlige krav i
alle statens systemer i samarbejde med Rigsrevisionen (=mange hundrede
server).

Men hvis du ved mere end Økonomistyrelsen+Rigsrevisionen+Datatilsynet, så
hører jeg gerne nærmere.

--
Med venlig hilsen
Stig Johansen

---

Den Thu, 15 Sep 2011 12:51:23 +0200 skrev Stig Johansen:
> Jesper Lund wrote:
>
>> Ulovligt: spørg Datatilsynet om du må modtage CPR numre over en ikke-
>> krypteret forbindelse. Jeg er ret sikker på at de vil svare nej, med
>> henvisning til persondataloven.
>
> Behøver jeg ikke, da jeg selv var med til at 'aflive' CPR numre som
> _personhenførbare_ data pga. ny lovgivning.
>
> [1] 'Aflive' betyder i denne forbindelse 'afinstallering' af særlige krav i
> alle statens systemer i samarbejde med Rigsrevisionen (=mange hundrede
> server).

Og på dansk?

Mener du at man har fjernet krav om cpr-numre, fordi man ikke har lov
til at registrere personhenførbare oplysninger, eller at man har
fjernet kravet om at datatilsynet skal give tilladelse til at gemme
personhenførbare oplysninger (hvoraf cpr-nummer er den eneste
100% personhenførbare).

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

---

Kent Friis <nospam@nospam.invalid> wrote:

> Den 13 Sep 2011 20:27:45 GMT skrev Niels P Sønderskov:

>> Tak Kent. Hvordan kan man eventuelt undersøge om en http-side skulle være
>> krypteret?
>
> "View source", kig efter <form> tags.
>
> Her er fx en fra et velkendt website:
> <form method="POST" action="https://www.facebook.com/login.php...
>
> Hvilken forskel gør det iøvrigt om forbindelsen er krypteret? Du ved
> jo ikke hvor du er ved at sende dine oplysninger hen.
>
> Eller sagt på en anden måde, hvad hjælper det at din forbindelse
> til Rumænien måtte være krypteret, så TDC ikke kan lytte med?

Tak for tippet, som ikke finder noget positivt på pågældende side. 'https'
optræder nederst i koden, men kun i forbindelse med Google Analytics tracking og
annoncering. Så min formodning om ingen kryptering er nok korrekt.

Med en rimelig overordnet fornemmelse for sikkerhed, der først og fremmest
indebærer brug af sund fornuft, afstår jeg altså også fra at bestille noget på
denne side, selv om det nok er et godt tilbud for mig. Boxer giver kun følgende
alternativ: "Dit CPR-nr. er ikke udfyldt korrekt. OBS! De sidste 4 cifre i dit
CPR-nr. skal udfyldes for at handle på Boxers webshop. Såfremt du ikke ønsker at
oplyse disse cifre, kan du i stedet besøge en af vores forhandlere og købe et
abonnement med 12 måneders forudbetaling."

Jeg har også skrevet til dem og bedt dem etablere den sikkerhed de påstår at
have under trussel om at gå til offentligheden med sagen. Det er ikke
ubetydeligt, at det selskab vi har valgt til at administrere jordbaseret
digitalt betalings-tv opfører sig så uanstændigt.

--
Niels P Sønderskov

---

Jesper Lund <usenet@jesperlund.com> wrote:

> Niels P Sønderskov wrote:
>
>> Jeg har været ude for at købe en lille bitte tv-pakke på tilbud hos
>> Boxer TV, og allerede fra starten af bestillingen vil det rare firma
>> sikre sig at jeg er betalingduelig, hvortil de forlanger mit cpr- nummer
>> på en så vidt jeg kan se ukrypteret side (http://).
>
> Du kan selv skrive https://www.boxertv.dk, og så foregår det via en
> krypteret forbindelse.

Tak, det ser ud til at virke.

> Det er godt nok hjernedødt (og ulovligt) at Boxer ikke kan finde ud af at
> bruge https i alle tilfælde, eventuelt ved at lave et generelt http til
> https re-direct som mange gør.

Enig.

--
Niels P Sønderskov

---

Stig Johansen wrote:

> Behøver jeg ikke, da jeg selv var med til at 'aflive' CPR numre som
> _personhenførbare_ data pga. ny lovgivning.
>
> [1] 'Aflive' betyder i denne forbindelse 'afinstallering' af særlige
> krav i alle statens systemer i samarbejde med Rigsrevisionen (=mange
> hundrede server).
>
> Men hvis du ved mere end Økonomistyrelsen+Rigsrevisionen+Datatilsynet,
> så hører jeg gerne nærmere.

Se her
<http://www.datatilsynet.dk/erhverv/internettet/krav-og-anbefalinger-ifm-
overfoersel-af-personoplysninger-via-internettet/>

--
Jesper Lund

---

Niels P Sønderskov <unkown@xnntp> wrote:

> Kan man kryptere en forbindelse på www uden https eller lignende?
>
> Jeg har været ude for at købe en lille bitte tv-pakke på tilbud hos
> Boxer TV, og allerede fra starten af bestillingen vil det rare firma
> sikre sig at jeg er betalingduelig, hvortil de forlanger mit cpr-
> nummer på en så vidt jeg kan se ukrypteret side (http://).
>
> Den hopper jeg selvfølgelig ikke på og forsøger med en tilfældig dato
> og fire tilfældige cifre. Bingo - boxertv.dk konstaterer straks at det
> her nummer ikke kan være mit, så der foregår altså en validering.
>
> De siger ikke noget om kryptering her, men et andet sted, hvor man kan
> købe ting og sager beroliger de med at al information er sikret med
> 128 bit kryptering. Men kan det gøres uden https eller lignende, eller
> er der noget muggent med ham her Robert?

For en ordens skyld: It & Telestyrelsen oplyste mig i første omgang om, at
Datatilsynet måske ville hjælpe i sådan en sag, og ganske rigtigt; efter
en rum tids venten blev jeg ringet op af dem efter at jeg havde klaget. De
ville gerne sende en klage til Boxer TV A/S, og nu har jeg så modtaget
besked om at fejlen i deres nye webshop er rettet og en undskyldning samt
tak.

--
Niels P Sønderskov