Nu är autoinloggningen igång, men...

[Robban]

Det lider ju av exakt samma svaghet som det gamla systemet gjorde. Lösenordet lagras i klartext i en kaka på användarens hårddisk. Jani -- jag trodde vi var överens om att detta inte var någon lyckad metod? Så skrev du i.a.f. i ett tidigare inlägg. Nu äventyrar ni säkerheten på alla avdelningar, helt i onödan. Och de enda anledningarna jag kan se är okunskap samt oförmågan att lyssna på vad deltagarna har att säga.

 

Har man inte kunskaperna är det väldigt oproffsigt att ignorera kritiken, köra ändå och låtsas som att problemet inte finns. Har man inte kunskaperna så skaffar man sig dem, eller hyr in dem utifrån. Nu lämpar ni ju över ansvaret för säkerheten på användarna när ansvaret egentligen ligger hos er och ingen annanstans. Varför?

[Robban]

> Lösenordet lagras i klartext i en kaka på användarens hårddisk.

 

Alltså -- inte det lösenord man skriver in vid inloggningen (även om också det ligger kvar sedan den förra autoinloggningsfunktionen, om man inte tar bort det manuellt -- en funktion som automatiskt gör att denna kaka går ut vore ju önskvärd). Men om den kaka som lagras gäller för alla IDGs tjänster som påstås på //eforum.idg.se/showinfo.asp så är ju det som lagras i kakan ingenting annat än ett alias till det "verkliga" lösenordet, och det är precis lika illa.

[Jani Andersson]

> Lösenordet lagras i klartext

Du måste tittat på en gammal cookie...

 

Här ignorerar vi ingen kritik utan försöker lösa problemen innan- och när de dyker upp.

 

Och nu är vi återigen i diskussionen om att du känner dig förbisedd, dvs att eforum inte skulle lyssna på användarna. Det är något jag gör i just detta nu. Lyssnar av dina synpunkter.

 

mvh

Jani Andersson

eforum.idg.se

[Jani Andersson]

Nu förstår jag faktiskt inte hur du menar. Påängen med cookien är ju att den på sätt och vis är ett alias för ditt lösenord.

 

Stänger du av funktionen så gäller inte cookien.

 

mvh

Jani Andersson

[Robban]

> Nu förstår jag faktiskt inte hur du menar. Påängen med cookien är

> ju att den på sätt och vis är ett alias för ditt lösenord.

 

Jo, på sätt och vis. Men poängen med mitt förslag var att kakan bara skulle gälla för eForum, och inte tillåta inloggning på övriga avdelningar. När man läser vad du skrivit på informationssidan jag länkade till får man helt klart intrycket att man, efter att ha autoinloggat på eForum, utan vidare kan ta sig vidare till andra avdelningar utan att logga in igen. I så fall är detta definitivt inte bra (ingen egentlig skillnad mot att lagra lösenordet som förut), och dessutom helt onödigt (och det är detta jag menar med att ni vältrar över ansvaret för säkerheten på användarna).

 

Om det inte är så bör du nog ändra informationssidan så att det klart framgår. För nu får man definitivt intrycket av att autoinloggningen gäller hela IDG.

[Robban]

> Du måste tittat på en gammal cookie...

 

Jo upptäckte det när jag postat det första inlägget. Men det gör ju i.o.f.s. inte saken bättre. Det är ju ert ansvar att ta bort användarens gamla kakor som innehåller lösenord. Användaren skall inte behöva göra detta manuellt.

 

Sakfrågan kvarstår dock när det gäller säkerheten i det nya systemet (läs mitt andra svar).

[Jani Andersson]

Inloggningen gäller för alla tjänster som bygger på inloggning. Funktionen med auto-inloggningn kommer därför att implementeras på även de tjänsterna.

 

Påängen med auto-inloggningen är ju att du inte ska behöva skriva in ditt lösenord - och påängen med vårt inloggningssystem är att du bara ska behöva logga in en gång. Så om du är inne i eforum och känner för att chatta med mig ska du inte behöva dunka in ditt lösenord en gång till.

 

Det är riskerna och fördelarna med auto-inloggningen. Och som det framgår av info-texten så väljer man själv om man vill använda det eller inte.

 

>Jo, på sätt och vis. Men poängen med mitt

>förslag var att kakan bara skulle gälla för

>eForum, och inte tillåta inloggning på övriga

>avdelningar

 

Jo, men nu är det tyvärr så att kommer du in via

eForum kommer du in på allt. Inget vi direkt kan styra över. Det var bland annat därför som auto-inloggningen ströks från början.

 

 

mvh

Jani Andersson

idg.se

[Robban]

>Jo, men nu är det tyvärr så att kommer du in via

eForum kommer du in på allt.

>Inget vi direkt kan styra över.

 

Jo, det är ju det jag hela tiden påpekar. Ni kan visst styra över det (och det bör ni göra, i stället för att lämpa över säkerhetsansvaret på användarna). Det går att ha autoinloggning på eForum utan att samtidigt minska säkerheten på övriga avdelningar. Om man sedan går vidare till någon annan avdelning från att ha varit autoinloggad i eForum får man naturligtvis ange sitt lösenord en gång, precis som när autoinloggningen var borta helt och hållet. När man sedan väl angett sitt lösenord en gång kan man röra helt sig fritt mellan de olika avdelningarna. Men så länge man bara är autoinloggad på eForum utan att ha angett sitt lösenord är det bara inom eForums väggar man kan röra sig fritt.

 

Som det är nu kan man inte välja att ha autoinloggning till eForum påslagen utan att samtidigt äventyra säkerheten när det gäller övriga avdelningar. Autoinloggningsfunktionen är ju bara vettig när det gäller funktioner som eForum, dit man kanske kommer tillbaka 10 - 20 gånger varje dag. Att ha samma autoinloggning t.ex. när det gäller aktiehandel är knappast nödvändigt (hur många gånger handlar man aktier på en dag), och är rent bedrövligt ur säkerhetssynpunkt.

[Robban]

Det är detta jag menar med att ni inte lyssnar, Jani. Visst -- du är inne och svarar på inlägg, men det är inte samma sak som att ni lyssnar. När man börjar komma ner till kärnfrågan så blir det tyst uppenbarligen.

 

Vad är ditt svar på mitt föregående inlägg?

[Jani Andersson]

Mitt svar på inlägg om auto-inloggning är att det är upp till dig som användare att välja om du vill ha auto-inloggning eller inte.

 

Du känner till riskerna och du känner till fördelarna. Sedan är det upp till dig att avgöra om bekvämligheten är värt riskerna. För de som sitter med en dator hemma är det väl helt klart värt att ha auto-inloggningen aktiverad, men finns det möjlighet/risk att någon annan obehörig kan komma åt den skulle ju jag inte använda funktionen.

 

Som jag tidgare skrivit har skrivit är vårt servermiljö uppbyd på en lösning som innebär att när man väl är inloggad så är man det tills man loggas ur. Detta oavsett hur du loggat på. Lösningen på tickets mm har vi redan haft på tapeten och kommit fram till att den inte håller i vår miljö. Tanken är mycket god, men som miljön ser ut idag är det tyvärr inte så enkelt.

 

Jag vill dock påpeka att ingen dörr är stängd och hur det praktiskt kommer att fungera med auto-inloggning på idg.se kommer vi att se när vi få upp fler tjänster som bygger på inloggningsförfarandet.

 

 

mvh

Jani Andersson

idg.se

[Robban]

Låter fortfarande som om ni, helt i onödan, skjuter över säkerhetsansvaret på användarna. Tro mig -- det kommer inte att hålla.

 

>Jag vill dock påpeka att ingen dörr är stängd och hur det praktiskt kommer

>att fungera med auto-inloggning på idg.se kommer vi att se när vi få upp

>fler tjänster som bygger på inloggningsförfarandet.

 

Hör av dig när ni bestämt er. Jag har bara intresse av eForum, och jag vill inte veta av att någon skickar mail eller handlar aktier i mitt namn bara för att ni har bristande säkerhetsrutiner.

[Robban]

... säger man upp sitt medlemsskap förresten?

[Jani Andersson]

Jag tror att du och jag inte har samma definition av ordet lyssna Robban.

 

SAOL kör med den här varianten:

LYSSNA försöka höra; uppmärksamt höra på; skänka uppmärksamhet åt.

 

Och det väl ungefär så jag också ser på att lyssna. Dvs jag tar del av vad du säger och jag respekterar din åsikt - men jag behöver inte dela den.

 

mvh

Jani Andersson

idg.se

[Jani Andersson]

Man skriver helt sonika till mig och berättar det.

 

Man kan skriva till eforum@idg.se eller jani@idg.se. Man kan ringa också. 08- 453 63 15

 

mvh

Jani Andersson

idg.se

[Robban]

> Jag tror att du och jag inte har samma definition av ordet

> lyssna Robban.

 

Tror jag inte.

 

[...]

> Och det väl ungefär så jag också ser på att lyssna. Dvs jag tar del

> av vad du säger och jag respekterar din åsikt - men jag behöver inte dela

> den.

 

Vet inte riktigt vad du syftar på nu? Dela vilken åsikt? Att det går att göra autoinloggningen säker? Det är ingen åsikt utan fakta. Det har gjorts förut så det är definitivt inte omöjligt. Att du sedan inte delar åsikten att man BÖR göra det har jag redan förstått. Men det är inte det som är sakfrågan.

 

Du har ju ett antal gånger talat om för frågeställare att det inte går att åstadkomma en säker autoinloggning (senast påstod du i ett par inlägg längre upp att det inte är någonting ni kan påverka), trots att jag upprepade gånger sagt motsatsen. Det är det JAG menar med att du inte lyssnar. Inlägget som jag väckte till liv här ovanför var ju ett inlägg du valde att inte ens svara på (innan jag postade en påminnelse). Varför?

 

Om det nu är så att ni inte vill / kan införa ett säkert system, så säg då det i stället för att hävda att det inte går. På så sätt kan ju de som bryr sig om säkerheten välja att inte vara medlemmar längre. Alltså -- kör med öppna kort i stället för att skjuta över säkerhetsfrågan på användarna med argumentet att det inte går att lösa på något annat sätt. För det gör det.

 

[Jani Andersson]

Ärligt talat missade jag inlägget du skrev - det var således därför jag inte svarade. Vidare kan man tyvärr inte heller räkna med att jag ska svara på alla inlägg här - att jag ska hålla reda på alla inlägg hela tiden - även om det är min ambition.

 

Vill man föräkra sig om att få svar från min sida är det nog säkrast att maila mig direkt och säga att det finns ett inlägg man vill ha ett officiellt svar på. Då kan jag ju omöjligen missa det. Om inte eposten krånglar förstås...

 

Nåväl. Jag har skrivit om detta i andra forum och vet att du tycker att det är busenkelt att fixa en sådan här grej. Jag säger att jag förstår att du säger att det är busenkelt att fixa och jag håller med dig vad gäller att det borde vara en ganska enkel match att fixa det. Men trots det vidhåller jag att i just detta fallet är det inte så. Och då hjälper det tyvärr inte just nu att vi gnatar om det.

 

Tills det är löst har den som håller i tjänsten (dvs vi) valt att låta individen avgöra på vilket sätt han vill använda tjänsten. I grundutförandet loggar man på en gång och kan fortsätta i systemet utan att logga på flera gången - innan man loggat ut.

 

Efter önskemål från "diskussionsgrupperna" valde vi att utvidga inloggningsfunktionen på eForum med ett system så att de (ni på eforum) bara skulle kunna kliva in och skriva. Detta kan alltså medföra att en annan person som kliver in i eforum då är inloggad som en annan och därmed kan "hoppa" över till en annan tjänst och skriva i denna andra personens namn.

 

Vill man som eForum-användare undvika detta har man idag två val. 1) Man litar inte på eForum alls och då säger man upp sitt medlemsskap. Eller 2) så använder man sig inte av auto-inloggningen och slipper riskerna.

 

 

Dagen det går att lösa fixar vi det. Vi har sedan länge titta på det där och arbetet i inloggningssystemet fortgår.

 

 

mvh

Jani Andersson

[Jani Andersson]

>Dela vilken åsikt? Att det går att göra

>autoinloggningen säker? Det är ingen åsikt utan

>fakta.

 

Fakta säger du. Vilket system tänker du på?

 

Tänk på att det ska motsvara vårt system för att vara ett giltigt argument och på det här stadiet tvivlar jag på att du känner till särskilt mycket om vårt system - förutom att du tycker att det är skit :-)

 

mvh

Jani Andersson

idg.se

 

[Robban]

> Tänk på att det ska motsvara vårt system för att vara ett giltigt

> argument och på det här stadiet tvivlar jag på att du känner till

> särskilt mycket om vårt system ...

 

Naturligtvis inte. Har inte heller sagt att jag vet i detalj hur tillvägagångssättet skulle vara hos just er (tvärtom skrev jag i ett tidigt inlägg att jag visste för lite om systemet för ett mer detaljerat tillvägagångssätt). Men det är ju inte svårt att inse att funktionen som sådan är fullt genomförbar. Kan naturligtvis kräva ändringar i systemet dock, har heller inte påstått något annat.

 

> ... förutom att du tycker att det är skit :-)

 

Om det är utformat så att onödiga säkerhetsrisker uppstår, ja -- naturligtvis. Vad skall man annars kalla det?

 

 

[Robban]

> Ärligt talat missade jag inlägget du skrev - det var således därför

> jag inte svarade.

 

Ok. Sånt händer.

 

> Vidare kan man tyvärr inte heller räkna med att jag ska svara på alla

> inlägg här - att jag ska hålla reda på alla inlägg hela tiden ...

 

Nä, men kanske de trådar du för tillfället är involverad i i.a.f. (det var ju ingen ny tråd för dig -- du borde t.o.m. ha erhållit ett e-mail om du har den funktionen påslagen)?

 

Men som sagt -- missa svar kan ju alla göra. Har jag full förståelse för.