XML Sweden

	Start	English	Företaget	Utbildning	W3C	Översättningar		Tjänster	XBRL
						XML 1.0	XML 1.1

Title: XML Sweden

XML Sweden är ett konsultföretag som har specialiserat sig på dataformatet XML med tillhörande standarder, exempelvis XBRL. Vi har också en unik kompetens avseende de verktyg som har utvecklats och är under utveckling i de nämnda standarderna och kan därmed ge kvalificerade råd och utbildning för introduktion till den nya standarden.

Bland våra kunder finner man Arbetsmarknadsstyrelsen, AstraZeneca, Bankgirocentralen, Ekonomistyrningsverket, Försvarets Materielverk, H & M Hennes och Mauritz AB, Stockholms stad, Stråhlfors, Telia Mobile, Volvo IT m.fl.

XML

Företaget

Överblick

Affärsområden

Utbildning

Överblick

What is this website about?

Fel att använda protokollet SAML 2.0 i e-legitimationer

2012-02-28: Det senaste förslaget till e-leg grundar sig på SAML 2.0-protokollet (Security Assertion Markup Language). Protokollet används av referensgivarna (bankerna, Telia m.fl.) som standard för att dessa ska kunna skicka referenser/kvitton på att den som använder sig av en tjänst är den hon/han utger sig för att vara. Utan referensen/kvittot får användaren inte nyttja tjänsten.

XML Sweden har granskat hur en referens/ett kvitto ser ut och fastnat för följande avsnitt i kvittot:

...

<saml:Audience>https://sp.example.com/SAML2</saml:Audience>

...

(Exemplet är hämtat från Wikipedia)

Vad som står här är att banken/Telia m.fl. ska lämna uppgift om webb-adressen till "sp", dvs service provider eller tjänsteleverantören. Om man går in i schemat för SAML 2.0 finner man att detta är en obligatorisk uppgift i en referens/ett kvitto.

Varför är detta så anmärkningsvärt? Jo, det innebär att banken/Telia har koll på vilka tjänster som användaren nyttjar. Så om användaren har sökt en dagisplats kan banken/Telia sälja denna information till t.ex. ett blöjföretag och användaren kan få reklam i olika former från blöjföretaget. Eller ska banken känna till vilka bidrag en användare har sökt? Det är en stor strid på nätet att få bli referensgivare. Google, Microsoft och Yahoo arbetar t.ex. på det internationella planet, bankerna och Telia i Sverige. Dessa referensgivare är framtidens "storebröder" som vet vilka tjänster DU använder.

Om man jämför med den analoga världen så har t.ex. Trafikverket inte någon aning om att en person visar sitt körkort i Systembolagets butiker för att styrka sin ålder. Kopplingen mellan referensgivare och tjänsteleverantör försvårar även skalbarhet på tjänsteleverantörssidan. (Ska referensen även få gälla för federerade tjänsteleverantörer?)

Det finns emellertid standarder där kontakten mellan referensgivare och tjänsteleverantörer går via en tredjepart (trusted third party, TTP), en Notarius Publicus, Handelskammaren eller liknande. Jämfört med en sådan standard inhämtar referensgivarna i E-leg (bankerna, Telia m.fl.) onödiga uppgifter om vilka tjänsteleverantörer en användare anlitar. Detta strider mot den personliga integriteten och mot 9 § f i Personuppgiftslagen (inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen). E-leg måste därför av integritetsskäl frångå att tillämpa SAML 2.0! Eller ska regeln om samtycke från användaren användas? Om användaren inte godkänner att referensgivaren har uppgift om vilken tjänst användaren anlitar, kommer referensgivaren inte att styrka användarens identitet och därmed kan tjänsten inte nyttjas av användaren. En sådan lösning anser XML Sweden faller på sin egen orimlighet!

XML Sweden undrar om Datainspektionen, som utövar tillsyn över tillämpningen av Personuppgiftslagen, tycker att det är OK att hantera personuppgifter på detta sätt. Datainspektionen sitter ju med i E-legitimationsnämnden och bör ha ett stort inflytande i frågan och har i detta fall chansen att agera redan innan SAML börjar tillämpas.

Det går heller inte att hänvisa till att SAML 2.0 är en etablerad standard, som använts i flera piloter i Europa. I hela EU-området gäller motsvarande regler som i PUL genom det s.k. Dataskyddsdirektivet, Artikel 6: 1(c). Dataskyddsdirektivet är visserligen under ändring, men Artikel 4(c) i det nya förslaget innebär inte någon substansiell ändring vad gäller regeln om att inte få samla in mer än för ändamålet nödvändiga personuppgifter.

Därför uppmanar XML Sweden Datainspektionen att stoppa tillämpningen av SAML 2.0 i e-legitimationer!

Ny upplaga av XML 1.0

2009-01-07: W3C har publicerat en länk till XML Swedens översättning av Extensible Markup Language (XML) 1.0 (Femte upplagan) och därmed givit den en officiell status. Här finns även en länk till översättningen av Extensible Markup Language (XML) 1.1 (Andra upplagan). Sverige är hittills det enda land som har översättningar av båda de aktuella upplagorna av Extensible Markup Language.

2008-12-05: W3C (World Wide Web Consortium) gav den 26 november 2008 ut en ny upplaga av XML 1.0, Extensible Markup Language (XML) 1.0 (Femte upplagan). XML Sweden har idag som första organisation i världen översatt den nya specifikationen. Länk till översättningen finns i vänsterkolumnen.

Den femte upplagan lättar på restriktionerna för element- och attributnamn och möjliggör därigenom för slutanvändare att i XML 1.0 dra den väsentliga nyttan av det som hittills bara funnits i XML 1.1. Restriktionerna för element- och attributnamn ändras så att alla Unicode-tecken tillåts utom vissa som särskilt förbjuds. Tidigare upplagor av specifikationen har tillåtit en begränsad uppsättning tecken. Genom detta förfarande möjliggörs att nya tecken i kommande versioner av Unicode kommer att kunna användas i element-, attributnamn och id-attributvärden utan ändringar i XML-specifikationen.