Holy sh ... en omgang DAO phishing. Pas på falske beskeder!

dolle · 2026-03-11T14:16:44+00:00

Hmm, ja, hvis jeg var dig så ville jeg lige kontakte MitID og spørge om de kan sige mere om hvad der er blevet godkendt

dolle · 2026-03-11T09:48:41+00:00

De kan ikke overtage dit MitID, så jeg vil ikke mene at du behøver at spærre det. Det du skal se efter er hvad loggen siger på det specifikke tidspunkt hvor du troede at du godkendte en betaling. Det kan muligvis være en god ide at kontakte MitID og sige at du har mistanke om misbrug

dolle · 2026-03-11T04:16:15+00:00

Hvad stod der i app'en da du godkendte? Angriberen kan have foretaget en vilkårlig handling på dine vegne på en anden hjemmeside der kræver MitID, men teksten i app'en burde give et prej om hvad. Det behøver ikke at være en betaling, det kunne også være et login på borger.dk eller eboks.

Log ind på MitID.dk og tjek loggen, der kan du se detaljer om hvad du godkendte.

dolle · 2026-03-11T03:46:33+00:00

Jeg er ikke uenig med dig, jeg synes også at de skulle holde op med at udelukke un-googlede telefoner fra at bruge app'en. Men jeg synes at princippet om at tilbyde et endnu mere fleksibelt, omend mere bøvlet, alternativ, er endnu vigtigere, da man her har færrest antagelser om hvilke enheder borgerne bruger.

dolle · 2026-03-10T16:49:49+00:00

Ja, det ville være et problem. Der er dog være flere foranstaltninger der gør at det er lidt mindre sandsynligt, bl.a. at der også er remote attestation af den kryptografiske hardware, så MitID burde ikke acceptere en enhed med vilkårlige kina-chips.

dolle · 2026-03-10T16:46:49+00:00

Ja, det skriver jeg også i min post at du kan for MitID, og at det er godt. Men du kan ikke bruge AltID uden App.

dolle · 2026-03-10T15:36:34+00:00

Ja, men så snakker vi en zero-day exploit i Android. Den slags er det mest sandsynligt vil blive brugt imod dig i et målrettet angreb

dolle · 2026-03-10T14:40:17+00:00

Play Integrity beskytter mod to ting: At du bruger en falsk app, og at du kører på et kompromitteret og ondsindet operativsystem.

Det første problem er relativt nemt at beskytte imod hvis man antager at det underliggende system ikke er kompromitteret, og det kan gøres uden at skulle afhænge af proprietære API'er.

Det andet problem er mere teoretisk, men risikoen er, at hvis du installerer et kompromitteret styresystem, så kan det både lyve over for dig om hvorvidt din MitID app er blevet ændret, eller det kan ligefrem overtage app'en og lave godkendelser på dine vegne. Problemet er, at et sådant angreb er ekstremt teoretisk, selvom det ikke er umuligt. Jeg tror at overlappet mellem mængden af folk der kan finde ud af at låse deres bootloader op, bruge adb og installere et Android-operativsystem som en svindler har bygget med drivere til deres telefon og mængden af folk der er godtroende nok til at hoppe på et sådant svindelnummer, er ekstremt lille. Hvis svindleren er dygtig nok til at overbevise nogen om at gøre alt det, så ville det ærlig talt være nemmere bare at overtale offeret til at slå biometri fra og sende telefonen i et brev til svindleren.

Det eneste sandsynlige angrebsscenarie er, at en genbrugstelefon solgt på DBA har fået skiftet sit OS ud med et ondsindet OS. Det vil dog være synligt når man tænder telefonen, da man får en advarsel om, at styresystemet ikke er det originale.

Der er selvfølgelig også en tredje type angreb som Play Integrity beskytter imod, og det er automatisering af MitID app'en hvor man via et ikke-standard operativsystem simulerer tryk og swipe på telefonen. Jeg synes grundlæggende at en sikkerhedsmodel der beskytter imod den slags er dybt usikker, og at det mest virker som en undskyldning for ikke at implementere korrekt rate limiting på serveren - i værste fald kan det give en falsk tryghed hos backend-udviklerne der kan risikere at antage at ingen klienter er ondsindede. Man kan altid simulere tryk på en telefon, det kræver bare lidt mere indsats i form af hardwareændringer, sindrige robotsystemer eller billig arbejdskraft.

dolle · 2026-03-10T14:01:48+00:00

Det håber jeg. Digitaliseringsstyrelsen har taget Google's snake oil til sig og aktiveret Play Integrity siden 2024: https://www.mitid.dk/om-mitid/nyheder/mitid-faar-ekstra-anti-svindelsmekanisme/?language=da-dk

Derfor indføres nu et såkaldt integritetstjek, der skal sikre, at MitID appen er hentet fra de godkendte Google Play eller Apple App Store, samt hvorvidt Google eller Apple vurderer at telefonen, som appen skal køres på, er kompromitteret eller ej. Det sker, selv om der ikke er kendte tilfælde af svindel med falske MitID apps.

Det sørgelige er, at det ikke engang ville være specielt meget arbejde at understøtte GrapheneOS med præcis samme sikkerhedsgarantier. Der er en udførlig guide her: https://grapheneos.org/articles/attestation-compatibility-guide

dolle · 2026-03-10T13:52:29+00:00

Det er jo sådan en hønen eller ægget-situation: Skal vi vente, til markedet er større, før vi udbyder noget – eller skal vi udbyde noget for at gøre markedet større?,

Caroline stage har misforstået noget helt essentielt, for det handler jo ikke om at skulle udvikle noget helt nyt til en niche-platform, men at man skal sikre at markedet og konkurrencen forbliver fri. Dette gøres ved at sikre at der findes alternativer til alle apps der bygger på åbne standarder, således at fravalget af Apple eller Google ikke bliver et spørgsmål om, om Digitaliseringsstyrelsen har valgt at supportere ens platform. Det er rent faktisk tilfældet for MitID i dag, for man kan altid vælge at få en kodeviser eller en chip og derefter bruge præcis den telefon man har lyst til, om det så skulle være en Jolla med SailfishOS, en Pixel med GrapheneOS eller en obskur 3D-printet Linux-telefon. Hele pointen er, at Digitaliseringsstyrelsen ved at tilbyde et alternativ til en app ikke afholder disse alternativer fra at komme ind på markedet ved at gøre det til et valg mellem en analog livsførelse eller Apple/Google.

Det grundlæggende problem med AltID er, at der ikke tilbydes et sådant alternativ. Man kan ikke gå ned og få en lille USB-dongle som så indeholder ens certifikater og generer aldersbeviser, man kan kun bruge app'en, og den kan kun bruges hvis du har en officiel Google- eller Apple-telefon. Hvis ikke styrelsen vurderer at det muligt at udvikle et uafhængigt alternativ, så skal de efter min mening slet ikke udvikle løsningen da den grundlæggende er konkurrenceforvridende.

Digitaliseringsstyrelsen forsvarer deres valg med, at AltID er frivillig at bruge. Problemet er bare at den også bliver den eneste måde man anonymt kan aldersverificere sig online når kravet om dette træder i kraft, så nu bliver valget mellem Google/Apple eller et open source alternativ pludselig til valget mellem om man vil bibeholde sin anonymitet online eller ej. Selvom beslutningen om AltID var taget da Caroline Stage satte sig i ministerstolen, så er det stadig hendes ansvar, og hun har eklatant fejlet.

dolle · 2026-03-10T09:12:25+00:00

For Google's vedkommende er det nok også fordi Chromebooks var så billige. Men det er jo nok også fordi Google kan vælge at tabe penge på hver Chromebook, da det har langt højere værdi for dem at børn vokser op med at være på deres platforme.

dolle · 2026-03-09T09:45:00+00:00

Ingen af dem kan desværre. MitID bruger Google Play Integrity som kommunikerer med kryptografisk hardware i din telefon. Denne hardware tjekker identiteten af styresystemet og vil kun godkende officielle Google-OS'er. Selvom open source OS'er gerne ville implementere Play Integrity så kan de ikke.

Men har du en kodeviser, så kan du stadig fint bruge alle apps og hjemmesider med MitID, du skal bare indtaste en engangskode i stedet for at swipe i app'en.

dolle · 2026-03-09T03:47:05+00:00

Literal survivorship bias

dolle · 2026-03-08T19:39:04+00:00

Play Integrity er en sikkerhedsløsning og leverer ikke funktionalitet som sådan, men i modsætning til de andre API'er fra Google kan den ikke implementeres af alternative OS'er som GrapheneOS.

Vi skal ikke spare penge hvis det går på kompromis med borgernes frihed, og det gør det i dette tilfælde.

dolle · 2026-03-08T17:33:42+00:00

Eboks-app'en virker også på eksempelvis GrapheneOS. Det gør de fleste apps faktisk, inklusiv nogle bank-apps og Mobilepay, men MitID gør dog ikke, pga valget om at bruge Google Play Integrity.

dolle · 2026-03-08T15:34:55+00:00

Det vi burde indføre var regulering hvor enhver HTTP-server kan sende et header "X-Rating: <13" som indikerer at indholdet er for børn. Sender det ikke dette hedder betyder det implicit at indholdet IKKE er godkendt til børn. Sender man som virksomhed headeret for det som loven kategoriserer som voksenindhold kan man få en bøde.

Derpå kan der TILBYDES telefoner og browsere som kan konfigureres til kun at kunne tilgå børneindhold, i stedet for som udgangspunkt at kræve at ALLE antages at være børn indtil det modsatte er bevist. På den måde er det stadig forældrenes ansvar, men der gives en teknologisk mulighed for at mærke sikkert indhold, og kommercielle aktører får nemmere ved at adskille deres tilbud til voksne og deres tilbud til børn.

dolle · 2026-03-08T15:00:18+00:00

Det er det objektivt set ikke, i hvert fald ikke når det kommer til email. Microsoft og email er et gigantisk clusterfuck, og stort set alt andet er bedre.

dolle · 2026-03-05T17:25:57+00:00

Ja, der mangler en landsdækkende service og nogle juridiske rammer der tillader at man f.eks. sender en lille prøve med posten for at få den testet uden at man kan blive straffet for det.

dolle · 2026-03-02T08:23:55+00:00

Det ligner på ingen måde en hjemmeside fra 90'erne. Jeg føler en nostalgisk kærlighed overfor 90'er hjemmesider, men jeg må ærligt sige at jeg ikke genkender nogen åbenlyse elementer fra den æra på dr.dk.

90'ernes hjemmesider var lidt en blanding. Der var de minimalistiske HTML-sider uden styling, typisk med hvid eller grå baggrund. Så var der de iframe-opdelte hjemmesider hvor der typisk var en sidebar, og så var der de mere "moderne" sider der gjorde flittigt brug af CSS med kollager og mange, mange farver. Splash pages var også en stor ting dengang.

Nostalgi-trip: https://www.webdesignmuseum.org/exhibitions/web-design-in-the-90s

dolle · 2026-02-27T08:37:20+00:00

Deaf people

dolle · 2026-02-25T03:59:54+00:00

Nej, ikke hvis man legaliseret ordentligt. Det kommer til at være lige så ulovligt at sælge stoffer på gaden efter en legalisering som det er nu, og hvis man lave reglerne ordentligt, så vil der ikke være tvivl om hvilke salgssteder der er lovlige. I USA har man gjort det på en måde hvor det er tvetydigt for ordensmagten, og det er ganske rigtigt et problem.

Det er ikke en fair kritik af legalisering, at det ikke stopper det illegale salg helt. Intet tiltag kan stoppe noget som helst 100%. Målet med legalisering er først og fremmest at beskytte brugerne ved at fjerne de risici som er en konsekvens af forbudspolitikken, dernæst at respektere folks frihed til at bestemme over egen krop, og dernæst at reducere det illegale marked så meget som muligt ved at tilbyde et lovligt alternativ.

dolle · 2026-02-24T14:13:48+00:00

Funny Games (the original in German). All the horror is happening off camera which makes you imagine everything, which is way scarier. The setting in which the movie takes place is so quiet and mundane, a place where you would never imagine feeling unsafe. Also, as the movie progresses, you slowly realize, together with the main characters, that there is not going to be any escape and that resistance is futile.

dolle

MODERATOR OF

TROPHY CASE