Nets DanID afviser: Studerende må ikke se kildekoden til NemID
I to tilfælde har datalogistuderende fra Københavns Universitet ansøgt om at få lov til at se kildekoden til NemID's Java-applet, men begge gange har NemID-firmaet Nets DanID afvist.
Nets DanID begrunder i begge tilfælde afvisningen med, at de studerendes begrundelse for at se koden ikke anses som væsentlig nok.
»Jeg ser det bare som en måde at affeje os på. Jeg ser det ikke som en seriøs afvisning af os, men mere som en afvisning af generel karakter,« skriver den ene af de to studerende, Mathias Svensson, i et e-mailsvar til Version2.
Nets DanID har ved to lejligheder oplyst, at selskabet er villig til at lade uafhængige parter se på kildekoden under kontrollerede forhold.
Version2 spurgte i august 2010 DanID, om det var muligt at få kildekoden at se, og Version2 gentog spørgsmålet i november 2011. Her oplyste Nets DanID, at selskabet fortsat var villigt til at vise koden frem, hvis selskabet modtog seriøse henvendelser.
Både Mathias Svensson, som læser datalogi på Datalogisk Institut ved Københavns Universitet på tredje år, og Johan Brinch, som blev færdig som kandidat i april fra samme sted, ansøgte med den begrundelse, at de ønskede at se koden efter for at identificere mulige sikkerhedshuller.
Johan Brinch uddybede desuden sin motivation med et ønske om at få syn for, hvilken kode der køres på borgernes pc'er.
Nets DanID vurderede ifølge afslaget ikke, at de to henvendelser var tilstrækkelig væsentlige ud fra de begrundelser, som de to havde givet for ansøgningen.
I 2010 var Nets DanID imidlertid villige til at lade IT Politisk Forening se på kildekoden, men det tilbud afviste foreningen blandt andet ud fra den betragtning, at der ikke ville være nogen garanti for, at der efterfølgende ikke ville blive ændret i appletten.
Pressechef i Nets DanID, Søren Winge, bekræfter over for Version2, at de to ansøgninger er blevet afvist, men havde ved redaktionens slutning ikke uddybet begrundelsen for afvisningen.
De skriftlige afslag lød til Mathias Svensson fra en sikkerhedskonsulent hos Nets:
Vi takker for din interesse for NemID.
Vi kan imidlertid ikke efterkomme dit ønske om at reviewe NemID appletkoden, da vi ikke anser din begrundelse som væsentlig nok til at Nets DanID kan afsætte de resourcerr, som er nødvendige fra vores side.
Til orientering bliver koden reviewet jævnligt af eksterne parter, der udelukkende har til opgave, at finde eventuelle sårbarheder.
Og det næsten enslydende svar samme dag til Johan Brinch fra Nets DanID's servicedesk:
Vi har haft din sag oppe og vende hos vores sikkerhedseksperter, som har givet følgende svar:
Vi takker for din interesse for NemID. Vi kan imidlertid ikke efterkomme dit ønske om at reviewe NemID appletkoden, da vi ikke anser din begrundelse som væsentlig nok til at Nets DanID kan afsætte de resurser, som er nødvendige fra vores side.
Til orientering bliver koden reviewet jævnligt af eksterne parter, der udelukkende har til opgave, at finde eventuelle sårbarheder.
Med en ekstra tilføjelse et par linjer længere nede:
Vi beklager, men det kan desværre ikke lade sig gøre
Kommentarer (18)
Det lyder i mine ører som om, DanID forsøger at score nogle billige point ved at tilbyde koden til gennemgang.. Men man skal opfylde en lang række krav og ikke stille garantier om, at det er den korrekte kode, man får tilbudt..
Det svarer lidt til, at jeg stiller NemID koden tilrådighed til gennemlæsning. Her er den :
using System;
namespace NemID
{
class Program
{
static void Main(string[] args)
{
Console.WriteLine("Hello World");
}
}
}Disclaimer : Jeg garanterer dog ikke, at det er den kode, som installeres og køres på borgernes maskiner.
-
18 -
3
"det tilbud afviste foreningen blandt andet ud fra den betragtning, at der ikke ville være nogen garanti for, at der efterfølgende ville blive ændret i appletten."
Næh, afvisningen skyldtes da vist at der ikke var nogen garanti for, at der efterfølgende IKKE ville blive ændret i appletten.
-
11
-
0
Jeg har mødt begge studerende, og jeg tror det er en god idé at de ikke får mere kildetekst at se lige foreløbigt. De kunne godt bruge at komme lidt udenfor.
De skulle have oversat med -Os så den binære fil blev mindre og hurtigere at læse fra lageret! Ikke sandt, Johan?
-
8
-
14
...er der mon mulighed for at de to kan se kildekoden ved at melde sig ind i IT-politisk forening, og så lade dem få adgang ad den vej?
-
1
-
1
Hvad med at decompile Java koden ??
Ja, den er obfuscated, men sad og legede lidt med det en aften, og deres deobfuscator ligger i de jar-filer man henter.
Kunne godt se det som et uni-semester projekt at lave en generisk decompiler til deres obfuscator.
-
5
-
0
Hvad med at decompile Java koden ?? Ja, den er obfuscated, men sad og legede lidt med det en aften, og deres deobfuscator ligger i de jar-filer man henter. Kunne godt se det som et uni-semester projekt at lave en generisk decompiler til deres obfuscator.
Jeg har faktisk en ganske detaljeret opskrift liggende fra nogle andre studerende, men vi forsøger i første omgang at få DanID til at stå ved løftet om en uafhængig gennemgang af koden.
-
9
-
0
Hvis alle og enhver uden videre havde adgang til kildekoden, ville sikkerheden naturligvis være mindre, der kan jo altid findes huller hist og pist.
Det er heller ikke bare lige til at decompilere, sådan noget var meget nemmere for 20 år siden, ikke umuligt men heller ikke nemt.
-
1
-
35
Et alternativ ville nok være at man vil omskrive nuærende appletkode om til et stykke software som ikke behøver tredjeparts software såsom: Javs, Flash, Net framework etc.. Nemid er genialt, men det burde IKKE foregå fra en browser og slet ikke benytte sig af Java!
-
1
-
3
Jeg væmmes...
Så du ønsker ikke hullerne fundet hurtigt, men i stedet at de ligger gemt til en dag hvor hele Danmark stoler blindt på systemet fordi det har "virket fint" så længe?
(Dog tvivler jeg på den dag kommer...)
Desuden, hvis sikkerheden kan kompromiteres ved at kende kildekoden til appletten så har vi altså nogle seriøse problemer...
-
19
-
0
@JV
Haha.. Du har en potentielt stor karriere i politik foran dig. Jeg tror ihvertfald ikke du dumper på øverstegrænsen for IT-indsigt.
@Version2
Kan i ikke prøve at få DanID til at definere hvad "Væsentlig" betyder?
-
11
-
0
JohnV: jeg ved ikke om det var en joke eller hvad men det håber jeg.
Hvis kilde koden til NemID var åben og lagt frem så havde man fundet langt de fleste fejl inden udgivelsen og mange folk ville prøve at scorre rep på at finde fejl, som det er nu er det en meget lille gruppe af folk der har adgang til kildekoden,jeg tror ikke det hjælper mig som borger.
Hvis True Crypt kan være sikkert trods åben kildekode kan alt open source vel være sikkert, det er så kun et spørgsmål om udviklers evner og tid.
Alle kan tage fejl, også mig!
Ovenstående er et udtryk for min personlige mening.
-
4
-
0
Nets og DanIds afvisning viser med al tydelighed, at de ikke har fattet en meter!
Fordi man tilfældigvis er studerende indenfor datalogi, er man IKKE dermed analfabet - men derimod sandsynligvis en af de aktuelt bedste i DK indenfor kode.
Vi har i opfinderkonsortiet PL Brake hentet flere potentielle "kode stjerner" fra datalogistudierne - så kære Nets/DaniD prøv lige at være på forkant, selvom det er svært for jer!
Mvh Lars plbrake.dk
-
1
-
3
Tilføj kommentar
