Problemet med nyhederne er, at de er oftest er skrevet at uvidende journalister, der hellere vil lave CHOK-overskrifter fremfor faktisk at undersøge sagerne. Historierne giver nemlig oftest et helt forkert billede af NemID, hvilket vil gøre læserne utrykke ved løsningen.

Jeg har som eksempel læst inde på ekstrabladet.dk, at NemID er hacket (nu har de dog ændret overskriften til “NemID - nu med enorm sikkerhedsbrist”). ekstrabladet.dk har i denne artikel angivet, at NemID-systemet har en alvorlig sikkerhedsbrist. Men hvis man har blot lidt teknisk kendskab til internet-browsere og samtidig kender lidt til NemIDs løsning, så ville man vide, at det ikke er NemID, der skaber denne sikkerhedsbrist, men at det i stedet er nemid.dk. Domænenavnet nemid.dk er ikke ejet af NemID/DanID, men af en konkurrende virksomhed til DanID. Når man med sit NemID loggede på nemid.dk så ville man ikke kunne logge ud af sitet igen. Man skulle i stedet lukke ens internet-browser helt ned for at sessionen på nemid.dk blev glemt. Dette er naturligvis en sikkerhedsbrist, men det er ikke en sikkerhedsbrist i NemID. Det er i stedet en sikkerhedsbrist på sitet nemid.dk, der blot anvender NemID til at identificere brugeren, der logger på. Problemet med denne sikkerhedsbrist er, at sidder man på et bibliotek eller en anden offentlig tilgængelig computer og glemmer at lukke internet-browseren, ja, så åbner man op for at den næste person, der kommer til computeren kan arbejde med ens session.

Derudover er der et hav af artikler på ekstrabladet.dk (prøv blot at søg på “nemid” derinde), der er kritiske overfor NemID-systemet. Mange af artiklerne er desuden baseret på Nationen!s medlemmer, hvilket gør, at man får alle mulige kritiske kommentarer med omkring systemet. Disse kommentarer kommer endda fra personer, der oftest absolut intet kendskab har til systemet bag NemID og heller ikke har den helt store IT-forståelse.

Man kan nemt læse kommentarer fra medlemmer af Nationen!, hvor de beskriver at det er usikkert, bl.a. fordi man nu ikke har sin egen nøglefil (som kendt fra Netbank blot måneder tilbage), og at man derved ved simpel afluring af en andens indtastning af brugernavn og adgangskode samt tyveri af personens nøglekort, vil kunne logge på det digitale Danmark og forårsage skade på denne persons bekostning. Man kan ligeledes læse kommentarer om, at NemID slet ikke er et nemt system for bl.a. ældre.

For at komme alle disse kommentarer til livs (ja, jeg ved godt, at jeg er optimistisk) vil jeg nu i stedet komme med nogle klare fakta.

Først og fremmest kigger vi på den gamle løsning – dvs. Digital Signatur og logon til netbank (tager Danske Bank som eksempel).

Jeg havde Digital Signatur før, hvilket først og fremmest påkrævede en speciel installation på ens computer. Derudover skulle ens digitale signatur være installeret. Når man skulle logge på med digital signatur, var det blot at vælge hvilken signatur, man ville anvende, hvorefter man angav sin adgangskode og wupti – så var man logget på. Det brugeren ikke ser er, at ens underskrift-fil (dvs. ens digitale signatur) samt ens brugernavn og adgangskode blev tilsendt en server når man loggede på. Men for brugeren virker det enkelt og hurtigt.

Med hensyn til netbank så skulle man også her have noget software installeret inden det kunne bruges. Derudover skulle man have registreret sit brugernavn hos banken og efterfølgende skabe sig en nøglefil. Nøglefilen skulle medsendes HVER GANG man loggede på netbank, hvor man ligeledes ved logon skulle angive sin adgangskode. Det var også enkelt – og hurtigt, hvis man var snild til at finde sin nøglefil.

Men er det sikkert? Lad os sige at en ondsindet hjemmeside, som man ved et uheld på et tidspunkt var kommet ind på, havde – uden man kendte til det – installeret et lille program, der loggede ens brugernavn, adgangskode og nøglefil ved login til ens netbank og til sidst sendte det via internettet til den ondsidende person, der i sin tid udviklede det lille program. Er det så sikkert længere? Nej! Hvorfor? Fordi nu har en anden både ens brugernavn, adgangskode og ens nøglefil. Nøglefilen skulle ellers være personlig – men da den bruges og sendes med hver gang man logger på, så kan den opsnappes og udnyttes.

NemID er løsningen på ovenstående scenarie. Det kræver godt nok, at der installeres Java, men der er ingen nøglefil. I stedet er der en angivelse af en tilfældig talværdi afhængigt af ens nøglekort. Når først en talværdi er anvendt, så kan den ikke anvendes igen. Man sender dermed sit brugernavn, sin adgangskode og en talværdi afsted. Skulle disse oplysninger blive opsnappet af et lille program på ens computer, så kan “hackeren”, der har skabt programmet ikke bruge det til noget. Disse login-oplysninger kan nemlig kun bruges én gang pga. den tilfældige talværdi fra ens nøglekort. Det er smart!

Det åbner så naturligvis op for, at hvis man er sløset med sit brugernavn, sin adgangskode og sit nøglekort, så kan en anden misbruge det. Det kræver dog, at denne person har haft fysisk fat i nøglekortet – enten kopieret det eller stjålet det. Det er klart, at det vil give en sikkerhedsbrist i systemet. Omvendt hvis man var lige så sjusket med sit brugernavn, sin adgangskode og sit nøglekort til sin netbank, jamen så kunne en anden også nemt misbruge det. Det kræver naturligvis, at man passer på sine hemmelige oplysninger og ikke lader det ligge tilrådighed for alle andre.

Mest af alt irriterer det mig virkelig, at artikler som dem man pt. kan læse på de danske nyhedssites, er af så ringe vidensmæssig kvalitet. Det irritere mig specielt fordi det skræmmer mange fra systemet og skaber en negativ holdning omkring NemID, som ikke er berettiget. Fy skamme, online aviser!

I just installed Windows Server 2003 on a private test-server.

After the installation I wanted to install Windows Live Messenger 2009, however it’s not possible according to the installer.

It seems that Windows Live Messenger cannot be installed on Windows Server 2003 and 2008.
I have found some posts online saying that it can’t even be installed on Windows XP 64 bit. However I have not checked if that is correct.

I searched the internet and found a solution for the problem and it worked for me.
I have made a step-by-step guide below on how I did:

1. First download Windows Live Messenger from http://download.live.com/?sku=messenger

2. Then download Resource Hacker.
You can find the official site here (contains info and download-link).
I have however added an extra download-link here to the current version (as of 5h November 2009).

3. Open the Windows Live Messenger installer-file in Resource Hacker.

4. Open the resource tree and goto “CONFIG” > “CONFIG0″ > “0″.

5. In the line to your right find the XML-tag <os productType=”workstation” />.

6. Replace “workstation” with “server” and recompile the script by clicking the “Compile Script”-button in Resource Hacker.

7. Save the modified file in Resource Hacker (that is done through the “File”-menu).

8. Now you are ready to install – simply run the saved file and the installer should not give any error now.

I hope this step-by-step guide helped you.
I now have Windows Live Messenger 2009 installed on my Windows Server 2003 enviroment – and that was my mission.