Auktionssida använder Bank-ID på ett osäkert sätt?

Permalänk
Medlem

Auktionssida använder Bank-ID på ett osäkert sätt?

Jag har försökt googla runt lite på detta men inte blivit särskilt mycket klokare så jag vänder mig hit istället.

Det gäller ett företag som tillåter inloggning med Bank-ID (utöver alternativet användarnamn + lösenord), som jag tror cache:ar inloggningen utan automatisk utloggning, vilket känns helt galet med tanke på att man kan köra köp på sidan som är 'bindande' (det är en svensk auktionssida). Jag jämför med exempelvis internetbanken där man blir automatiskt utloggad efter 10-15 minuter eller så.

Avvikande upptäckter:
Jag somnade inloggad på sidan med webbläsaren öppen i telefonen, och var fortfarande inloggad när jag vaknade upp 6 timmar senare (refresh - och allt var som vanligt, inloggad användare).

Idag märkte jag även att jag - trots att jag stängt ner webbläsaren, haft datorn i sleep-mode och inte varit inloggad på sidan på två dagar, fortfarande var inloggad när jag besökte sidan igen.

Detta kan inte vara rimligt / i linje med Bank-ID:s "riktlinjer" / (lagligt?) / annat? Är jag ute och cyklar eller har företaget en apa som kodar?

Ytterliggare en fråga: De skriver att de har "bindande bud", men för att lägga ett bud får man inte in någon bekräftelse / annat när man lägger budet, man kan alltså råka "fat-fingra" en extra nolla utan problem, speciellt på telefonen. Hur är det, ur ett lagligt perspektiv, att kräva igenom vad de anger är "bindande bud" när sidan gör det så lätt att göra fel?

Permalänk
Medlem

Inte alls konstigt. Jag använder bank-id för att logga in som användare på play-tjänsten för "kabel-TV"-bolaget vår bostadsrättsförening har. När jag loggat in håller den mig, tack och lov, inloggad i nån vecka eller två. Hade varit sjukt irriterande att behöva logga in varje gång.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk
Medlem

GDPR, DIGG har riktlinjer men inget krav på detta.
PSD2 för typ banker har krav.

Dom stänga av kontot om det finner det lämpligt, inte så mycket mer än så.
Tradera avtalet gäller betalning för vara - om du inte får varan är du inte skyldig att betala för den så du kan tex ej hämta ut den.

Permalänk
Medlem

Jag vet inte om BankID har några speciella villkor om detta som det bryter mot, men annars känns det väl inte osäkrare än internet-siter i allmänhet? På Amazon loggar jag in en gång med lösenord och kan sedan handla hur mycket jag vill i månader framöver.

Vad som gäller om man råkar ge ett bud av misstag vet jag inte, men nedanstående (som förvisso kommer från ett helt annat sammanhang) låter rimligt och jag skulle gissa på att något sådant gäller här också. Råkar du skriva in en extra nolla så budet hamnar långt över marknadspris är det nog inte bindande.

[citat]Av de allmänna avtalsrättsliga reglerna framgår att den som har lämnat en viljeförklaring som till följd av en felskrivning eller annat misstag har fått annat innehåll än vad som var meningen är inte bunden till den viljeförklaringen om mottagaren insåg eller borde insett misstaget.[/citat]

https://www.upphandlingsmyndigheten.se/frageportalen/1810073/...

Permalänk
Medlem
Skrivet av Ghus:

Detta kan inte vara rimligt / i linje med Bank-ID:s "riktlinjer" / (lagligt?) / annat? Är jag ute och cyklar eller har företaget en apa som kodar?

Du kan logga in med bank-id på t.ex. Telia Play och fortsätta vara inloggad lång tid. Tror det är lite beroende på tjänst

Visa signatur

Stationär PC: Chassi: Phanteks Enthoo EVOLV ATX MB: MSI B550 Gaming Plus CPU: AMD Ryzen 7 5700X Kylning: Noctua NH-U12S GPU: MSI GeForce GTX 1060 Gaming X 6 GB RAM: Corsair Vengeance LPX Black 32GB 3600MHz NVMe: 2st Kingston A2000 SSD: Intel 520 180GB och Intel 530 240GB HDD: WD Green 1TB, Toshiba 640GB samt fler HDD PSU: Corsair RM750X. Mobila enheter Mina Androidenheter och Dell Latitude 5400. Citera om du vill ha ett garanterat svar från mig

Permalänk
Medlem

EU regleringarna GDPR och eIDAS eller myndigheterna IMY, PTS och Digg styr faktiskt inte hur länge sessionen får finnas efter att den är etablerad. BankID har såklart intresse av mycket korta sessioner och de tillåter inte "id-växling" i sina avtal med förlitande part (sidan som använder BankID). Så är man måste återkommande logga in med Bank-ID om man vill använda uppgifter från och tillförlitligheten av uppgifter som Bank-ID ger.