Klara sig utan Bank-ID

Du har försökt få det till att jag tvivlar på att Librem 5 kommer ha programvarustöd när det du först svarade på bokstavligen handlade om att det krävs resurser för att utveckla en efterföljare och därför inte är något givet koncept. Diskussionen efter det handlar om att dina förväntningar kanske är lite skeva, inte om att jag kritiserar Librem 5.

Det är i.o.f.s. mer än drm de patchat i 4.18 och 4.19.

Jag har inte påstått att telefonen skulle släppas utan programvarustöd, det får den oavsett om den kan köra ren mainline eller inte. Att den sen inte kommer ha hårdvaruaccelerad video (innan någon utvecklat öppna drivare för VPU:n) och sådant är sånt man får ta.

Du kan köra OpenMoko i en VM också.

Det finns många användare av iMX8, stödet i mainline kommer förbättras. Sen kan man inte köra mainline när det väl börjar fungera tillräckligt väl och tro att du inte kan drabbas av regressioner när ny kernel kommer.

Ubuntu Touch innehåller givetvis massor patchar för drivrutiner och för den specifika plattformen (enheten) också. Krävs lite mer för att det ska vara enkelt utan att disten är utvecklad med specifikt stöd för enheten, utan att plattformen finns att välja i en installer. Den meningen syftade inte på att enkelt köra något specifikt utvecklat för att fungera på enheten.

Det är orimligt eftersom jag bokstavligen aldrig sagt det. Har haft Linux-intresse sedan 90-talet och är läskunnig, har sett många olika prylar få stöd av öppna drivrutiner. Så nej jag skulle inte tro att det aldrig kan bli en del av Linux, stödet finns redan i egna träd i stort sett, även om jag inte hade följt Librem 5 så är jag ju medveten om att NXPs SoCs används i enkortsdatorer både av communityt och industri tillsammans med Linux och jag är medveten om att andra SoCs har fått stöd av mainline.

Det är få användare/integratörer av BankID som kräver GPS. Kräver de inte GPS eller ens QR-kod så kan du givetvis använda BankID utan detta.

Är det krav på GPS kommer bedragare köra på en androidemulator där man kan ange godycklig GPS-postition. Så Hjälper inte. F.Ö så lär du inte få nån bra gps-position inomhus.

Inte säkert appen fungerar på Android-emulator så enklare att fixa i telefonen. Som sagt godtycklig GPS-position sticker ut vid granskning, så det blir i.a.f. lättare att skilja ut där folk blir lurade och godkänner själv mot att någon bedragare lyckats beställa Mobilt BankID i deras namn och använder det. Sen finns det ju bedragare som inte bryr sig att de lämnar GPS-spår efter sig, men även där lär det gå att skilja ut.

Använder någon förfalskade ID-handlingar eller ID-handlingar som de skaffat genom urkundsförfalskning till att börja med är det inte alltid det finns spår att gå efter, som skiljer ut brottsoffrets handlingar och bedragarens. När brottsoffret bestrider allt bedragaren gjort kan det vara bra att åtminstone ha något att gå efter.

Hur som, använder du inte BankID själv så har du i princip ingen möjlighet att få reda på att en bedragare har beställt och aktiverat BankID (mobilt eller på fil) i ditt namn. Att de kan beställa e-leg bygger ju på att de kan fixa id-handlingar, och det är ett av de största hoten mot lösningen, långt mer så än att Finansiell ID-Teknik BID AB inte har en öppen plattform där vi inte kan granska deras implementering.

Har bedragaren dina förfalskade id-handlingar så vet han ju var du bor, så anger givetvis dessa koordinater, så lär inte sticka ut särskilt mycket.

Hur många bank-id jag har utkvitterade kan jag ju kolla i banken under hantera tjänster -> hantera mobilt bankid. Så finns det nåt där jag inte känner igen så är det ju varning på det. Även kort till koddosa listas, så inte bara mobilt.

Det är inte bara din bank som ger ut BankID. Du kan givetvis klicka dig vidare till bankid.com och se alla utgivna och av vem, men någon som inte använder BankID kommer ju aldrig göra det och kommer ju inte få någon notis heller.

Det är för övrigt QR-koden som ska ge lite extra säkerhet, kräver din bank QR-kod kan ingen bedragare ringa och lura dig att logga in och utföra ärenden. Avancerade MitB eller MITM-attacker är fortfarande möjliga dock. Fördelen med Mobilt BankID är ju dock just att du signerar vad du utför för ärenden, enklare attacker klarar nog inte av att maskera/vilseleda där. De enklare attackerna kan ju däremot rikta in sig på de som använder koddosa exklusivt, då brukar bara summan behöva stämma för att det ska se rätt ut, problemet där är nog mer att de måste få in konton att föra över pengarna till.

@Petterk: Måste erkänna att jag faktiskt aldrig kollat men kan man verkligen se alla utgivna BankID på BankID.com? Det är bankerna som ger ut BankID, Finansiell ID Teknik är teknikleverantör (om än ägd av bankerna).

Ja, men det är banken som måste länka vidare dig till bankid.com då det inte är någon tjänst de erbjuder direkt mot konsument. Du får logga in på din internetbank klicka dig fram. Du bör kunna se giltiga BankIDs och tidigare ogiltiga, och vem de getts ut av. Är nog tänkt att du ska kunna spärra BankID som andra än din bank gett ut också.

Ja, men det är för att banken till skillnad mot BankID.com kan identifera dig genom att du är kund i banken redan. Sen sker det tekniska i en gemensam miljö. Tittar du på ditt BankID:t så lär det ha din bank som utgivare, inte Finansiell ID Teknik. Att du ser alla dina BankID på BankID.com har nog mer att göra med att du förmodligen bara har BankID för dig själv installerade. Med det sagt har jag dock aldrig kollat så det är mer ett teoretiskt antagande.

Installerade? De vet givetvis vilka banker som gett ut BankID och visar det i sin tjänst, jag har inte personligen BankID från flera banker, om du har får du ta dig vidare till bankid.com genom någon av dina banker och kolla hur de hanterar det. Förmodligen kan du spärra BankID som getts ut av en annan bank än den du använder för att visa sidan, du kan garanterat se BankID utgivet av andra banker än den du använde för att komma till visa/spärra-sidan.

Jag har inte sett någon sådan funktion hos BankID.com men så har jag heller inte letat, länka gärna till den.Har heller inte sett att man kan spärra BankID på BankID.com utan bara testa dom.

Du måste som sagt ta dig dit via banken och kommer då skickas vidare till visa/spärra-sidan.

Verkar vara https://cu.bankid.com/list-and-revoke-v1/?ref=* du skickas till via https://cu.bankid.com/cu/list-start?ref=*

Bara ta sig dit i internetbanken via hantera Mobilt BankID eller dylikt. Bankerna påstår att du kan spärra oavsett utgivare, tjänsten är inte bara för Mobilt BankID.

Vi talar nog om olika saker ser jag. Du beskrev det som det var hemsidan bankid.com som åsyftades, men av det du nu skriver antar jag att du menar API/tjänsteanrop/autentiserade forwarderingar till BankIDs system. Jag åsyftade hur som helst www.bankid.com, dvs vad kan kan göra på deras hemsida.

Har specifikt sagt via banken hela tiden, eftersom det var vad @SAFA åsyftade. Ville göra det tydligt att man kan se alla BankID utgivna för personnumret, men att de som inte har BankID ändå knappast går in under "Hantera Mobilt BankID" i sin internetbank och kollar. Har du Mobilt BankID får du istället en notis när nytt BankID skapas.

Bankerna har ofta hänvisningar även till BankIDs hemsida så att man klickat dit via internetbanken behöver inte betyda något speciellt rent tekniskt. Hur det sen fungerar i praktiken för respektive användare beror nog på vad man valt att göra för implementation hos sin respektive utgivare, även om det väl börjar bli mer och mer standardiserat vilket är bra.

Mobilt BankID är som tidigare diskuterats främst en marknadsföringsterm, kör man webbläsaren och BankID på en dator är skillnaden mot att köra webbläsaren och BankID på t.ex. en telefon minimal. Initialt var det nog rätt att ha det namnet men numera innebär det attt folk ibland helt i onödan väljer den långa vägen för att autentisera sig via "Mobilt BankID" även när dom kör webbläsaren på samma enhet som dom har sitt BankID på. Dvs, trots att dom de facto kör BankID på samma enhet, så väljer dom Mobilt BankID, matar in sitt personnummer och sen manuellt startar upp sin BankID app, när dom bara kunde välja BankID på samma enhet och få det automatiserat.

Om du surfar in på internetbanken med mobilen och loggar in med "Mobilt BankID" så är det väl ändå upp till banken att känna av att du kör Mobilt BankID på samma enhet och skicka vidare dig till BankID-appen. Det gör min bank och min bank använder en inköpt lösning för att hantera inloggningen via BankID, egentligen finns redan QR-kod-stöd där, men det används inte än av min bank och det är ju betydelselöst så länge man loggar in på samma enhet. Skulle du övertyga t.ex. Handelsbanken om att din telefon är en dator, välja Mobilt BankID och försöka logga in skulle du aldrig komma in, de kräver ju QR-kod om token inte skickas med i länken som öppnar BankID-appen

Just bankerna är lite speciella då dom inte alltid har utttalat stöd för BankId på denna enhet och då dom dessutom sällan följer de rekommendationer kring BanID som gäller för alla andra T.ex. kräver dom personnummer även för QR kods inloggning, trots att dokumentationen säger att så inte ska ske. Dom brukar även sällan ha alternativet "Inloggning med BankID på denna enhet" utan då snarare något som bygger på sina egna kortläsare/kort (som i sin tur kan använda BankID).

Att kunna känna av serverside vad kunden har är inte det lättaste, tveksam om det ens går. Däremot kan det vara så att din BankID app ligger och pollar och då känner av att det finns en autentiseringsbegäran för ett BankID som finns installerat på din enhet. Vilket kan vara ett jäkla besvär om man håller på och testar och verkligen vill köra BankID på annan enhet men att den lokala BankID klient man har installerad ligger och snor "sessionen" och pangar upp ett modalt fönster rakt över utvecklingsmiljön/debuggern

Rimligen fungerar det likadant att visa/spärra BankID oavsett bank. Jag har inte undersökt mer än ett par banker däremot. Alla banker kallar det inte "Hantera Mobilt BankID" heller, det var säkert skillnad någon gång i tiden, men sedan flera år är det ju samma sak. Rubriken på tjänsten på bankid.com är bara Hantera BankID givetvis. Sen kallar ju vissa banker det "Hantera Mobilt BankID" eftersom det bara är Mobilt BankID de själva ger ut.

Nej, dom ger ut BankID och dom fungerar på samma sätt oavsett miljö. Dvs det är inga andra BankIDn bara för att det råkar vara på mobilen (nästan sant iaf). Dessutom ger de flesta banker ut BankID på kort förutom de man själv kan skaffa via Internetbanken (iaf gjorde dom det senaste jag kollade men det var ett tag sen). I grunden handlar det ju om att via PIN kod eller liknande låsa upp sitt BankID så det kan tas emot på andra sidan (autentisering), vad sen applikationen gör med certifkatet är inget som BankID lägger sig i (auktorisering). Själva upplåsningsförfarandet är dock olika mellan olika miljöer (kod, fingeravtryck osv).

Nej, på Android öppnas BankID-appen med en länk/URI som är bankid:///?autostarttoken=[T
OKEN]&redirect=[RETURNURL] och BankID-appen har registrerat bankid:// på enheten. Om jag avinstallerar BankID så händer väl ingenting bara. BankID har ju inget tillägg i webbläsaren oavsett plattform. Att se att det är en mobil enhet är enkelt, min bank kör samma lösning som används av två-tre andra banker.

#17844672

Lägg till att Forex äntligen börjat ge ut Mobilt BankID efter inlägget skrevs.

Det är Finansiell ID-Teknik BID AB som är betrodd part, och de som spärrar BankIDs i praktiken. Har inte anledning att tro att inte alla banker skickar dig vidare till cu.bankid.com.

Är inget unikt för Android, det är så man startar BankID klienten på samma enhet i normalfallet. Men om du t.ex. redan har BankID klienten startat kan det blir lite annorlunda beronde på konfiguration, miljö osv. Vet av erfarenhet att även om BankID borde fungera likadant överallt så gör det inte alltid det, t.ex. olika webbläsare sätter gärna sin egna personliga touch på det hela

BankID hade tidigare webbläsaretillägg men iaf i de senare versionerna har det försvunnit, och iom att BankID inte tillåter hur gamla installationer som helst så är det nog få som ahr det kvar idag.

I denna tråd verkar man blanda ihop vad BankID är (ett certifikat) med den miljöspecifika implementationen kring det (BankID programvaran). Den senare är av naturliga skäl klart mer specifik än den förstnämnda. Men i praktiken så ges det bara ut "BankID", dvs själva BankID:t har vad jag vet ingen aning om i vilken miljö det används.

På iOS så går länken till https://app.bankid.com/?autostarttoken=[TOKEN]&redirect=[RETU... och appen ligger och lyssnar.

Tilläggen försvann väl med BankID version 5, så det är många år sedan de gick att använda. BankID v5 kom hösten 2013, v4* slutade fungera någon gång under 2014. Så runt 5 år sedan.

De kan göra skillnad på olika BankID och olika metoder att använda dessa. Detta är dock helt irrelevant till att en bank som bara ger ut BankID via mobilappen helt enkelt kallar menyn i internetbanken Mobilt BankID och att du där hittar visa/spärra BankID.

Försök testa BankID på kort eller på fil på test.bankid.com som Mobilt BankID. Funkar inte, där det fungerar gör de däremot inte skillnad på vilket som används, men du kan såklart inte använda BankID på kort ihop med QR-kod.

Det beror som sagt mkt på den aktuella miljön, implentationen och konfigurationen. Många kör numera med helt hostade lösningar, som att t.ex. SKV använder CGIs webbportal, eller så kör man det i egen regi (främst om man vill ha mer kontroll på det hela. Om du bara visste hur många gånger jag själv svurit över att det inte fungerar likadant överallt trots att det i teorin borde göra det, och fått implementera "Om du kör X på Y, klicka här"

Att sen storbankerna själva inte följer sina egna riktlinjer, eller ens litade på sina egna BankID initialt, gör det inte lättare. Men det är ändå väldigt mycket bättre idag än för ett par år sen.

Vet inte vilka "de" är men det går så klart att styra under vilka förutsättningar man får använda BankID och hur, t.ex. kräva kod isf fingeravtryck. Det förändrar dock inte vad själva BankID:t i sig är.

Poängen var att ingen användare har använt tillägg i webbläsaren på cirka fem år. Att iOS-appen behöver ligga och lyssna är för att de inte tillåts registrera egen URI där (men det fungerar i Safari med bankid://), det får de på Android, macOS och Windows. Jag använder inte iOS, och därför är det enda sättet att BankID-appen startar automatiskt just bankid://-länken från appen eller webbsidan.

Precis, implementationen påverkas av miljön den ska fungera i, men det förändrar inte vad ett BankID är.