Efter sikkerhedshul: Ekspert beder dig fjerne Java fra computeren

Sluk din computer og hæng dig selv. Så er du HELT sikker!

Det er skræmmende at Oracle desværre er så lidt intereseret i at tage tingene i opløbet. Der var næppe mange brugere på Version2 der frivilligt ville køre med JRE, hvis det ikke lige var for NemID.

Det eneste reelle problem her er NemID. For den brede befolkning har Java Applets reelt udspillet sin rolle og der er ingen grund til at de skal kunne afvikle dem i browseren - hvis det altså ikke liiige var for NemID! Så lad os nu få NemID flyttet over på en standardiseret løsning, der også vil virke fra tablets etc. så vi kan lade Java Applets dø den død det fortjener.

Eller brug en anden browser, der spørger før den kører plugins på en side. Så kan man trykke "Kør" på nemid-login, når man faktisk ved man skal bruge det, og slippe for applets i alle andre sammenhænge.

Selv uden sikkerhedproblemerne er det en rarere browser på den måde.

Her ville det være interessant at se en kommentar fra den ansvarlige minister, ville det ikke?

Så jeg kan godt fortsætte med at bruge min Java 8 beta eller hvad...?

Problemet er ikke, at Java er usikker - det må de selv rode med. Problemet er, at alle danskere, der vil have et bare nogenlunde velfungerende digitalt liv er tvunget til at have Java installeret pga. NemID. Vi har med andre ord ikke muligheden for at vælge fra.

Det viser med al tydelighed, hvor farligt det er, at udvikle en løsning, der er afhængig af en enkelt tredjeparts firmas luner i stedet for at bruge åbne standarder.

Jeg kører ganske frivilligt JRE - det ville være lidt svært at spille Minecraft og rode med Java og Scala ellers. Men jeg har ikke Java plugin i min browser.

(Jojo, jeg bruger NemID, men det' i en VM specifikt til dét formål).

Skal ikke kunne sige hvor mange der benytter den slags, men kender da et par stykker der også er afhængig at java plugin i browseren, fordi de spiller mange spil på diverse hjemmesider som udbyder flash og java browser spil.

Der er spilsites som stadig anvender Java Applets, men hvis du skulle lave et spilsite idag ville du så basere det på Java Applets? Nej vel?

Så det er kun et spørgsmål om tid før også disse sites må indse at Java Applets er en døende teknologi. Ikke mindst fordi tablets vinder frem som de gør i den brede befolkning og Java Applets ikke er understøttet på alle de mest populære af dem.

Du tager fejl.
Fejlen i Java gør, at man kan komme ud af sandkassen og udføre priviligeret kode UDEN AT APPLETTEN ER SIGNERET og dermed UDEN AT DU SKAL ACCEPTERE DEN FØRST!

Altså, det er en usigneret applet men med en signeret applets privilegier, og enhver hjemmeside som (med vilje eller via en fejl) tillader brugere at indsætte applet tags kan bruges som angrebsvektor for denne fejl.

Lad os bare antage at NemID Java appletten vil fungere med OpenJDK og ikke blot Oracle's proprietære Java fortolker (det er der delte erfaringer med).

Men det gør ikke NemID åben. Hvor er source koden til NemID appletten? I øvrigt er NemID ikke kun Java. Appletten er primært en bootloader som downloader native code forklædt som GIF filer (kreativt, men på ingen måde åbent) og afvikler den.

Måske er det "sikkert nok" med NemID, men det er ikke noget som jeg selv har en mulighed for at vurdere.

Hr Java Blogger - du skal registrere dig med rigtigt navn, det er betingelserne.

Uanset hvad du mener og skriver har jeg valgt at anmelde dig til version2

Du forstår ikke begrebet "drive-by", gør du?

- som så formentlig ikke vil virke grundet en eller anden lille ting, som ikke er testet.

NemID og andre løsninger er ofte kodet med hovedet oppe i et bestemt sted og KUN testet på FÅ platforme.

I ALLE de år vi har haft netbanker der begyndte at bruge Java til ting har der være inkompatabilitet, ofte fordi man liiiige brugte en extension som kun var på Microsoft Windows. eller fordi man ignorerede stinavne skulle være med \ (backslash på Windows) vs / (forward slash Unix) - selvom sproget burde kunne håndtere det, hvis koderen gad.

Budgettet har UDELUKKENDE været til DEN mest populære platform, så hurtig leverance, med så lille indsats. DERFOR virker Java ikke generelt for NemID altid.

Det er kun fordi Mac og Linux er vokset og har taget en ikke negligerbar andel af markedet at vi idag overhovedet kan bruge netbank og nemid på Mac+Linux.

Når dernæst Java med købet af Sun er endt hos det mest destruktive og kommercielle selskab Oracle er så skadeligt for Javamiljøet at alle løber skrigende bort inkl. hovedmanden James Gosling, 'father of Java,' som forlod Oracle i 2010.

Jeg bruger selv Java og elsker designet med applets og en virtuel maskine, men i praksis HAR Java haft for mange alvorlige remote exploitable sårbarheder, og derfor er jeg selv på vej væk ...

Java bør ikke bruges til applets længere, men det er stadig en fantastisk platform til server og desktop brug.
Andre end NemID bruger Java. På www.komogvind.dk f.eks. hvor jeg arbejder har vi ca. 50 Java baserede spil. De bliver ikke reimplementeret på en weekend så de får lov at blive liggende, men vi er holdt op med at implementere nye spil i Java. Andre gør det samme, så Java er stadig i brug derude på nettet.

Der er ingen ansvarlige ministre ...

Jeg har tillid til Java (både som sprog og platform), men ikke Oracle. På grund af Oracles hårde kontrol med Java, er vi derhenne hvor jeg egentlig ønsker Java derhen hvor peberet gror. Oracle - EPIC FAIL.

Det er der vist delte meninger om.

"The Apache Software Foundation concludes that that JCP (Java Community Process) is not an open specification process - that Java specifications are PROPRIETARY technology that must be licensed directly from the spec lead under whatever terms the spec lead chooses; that the commercial concerns of a single entity, ORACLE, will continue to seriously interfere with and bias the transparent governance of the ecosystem;"

https://blogs.apache.org/foundation/entry/the_asf_resigns_from_the

Et rigtigt godt forslag. Jeg har ikke selv NemID og Java-problemet, men har ansvaret for nogle familiemedlemmers EDB-ve-og-vel. Hvis du selv skal råde nogen, så gør man sådan med Chrome:

• Klik ind på URL chrome://settings/content
• Scroll ned til "Plug-ins" (da:Plugins)
• Vælg radio-knap "Click to play" (da:Klik for at afspille)
• Der kan være åbnet for nogle web-sider altid starter Java. Fjern dem under "Manage exceptions" (da:Administrer undtagelser)
• Afprøv blokering hos Skattevæsnet. Chrome viser en besked lige under URL-adresse og klik Run (da:Kør), eller Run always (da:Kør altid)

Har du andre browsere installeret, der kan bruge Java, så de-aktiver Java i deres settings, og brug kun Chrome til NemID.

Har du selv prøvet dit forslag.
Hvis ja, hjalp det?
Hvis nej, så prøv igen
;-)

@Java Blokker
Det er utroligt at man stadig skal læse kommentarer om at Android og MS bliver sikkerhedsopdateret hver måned.
Det er præventive sikkerheds opdateringer, forbedringer i det hele taget.

Microsoft blev før i tiden kritiseret for ikke at gøre nok for sikkerheden, derfor begyndte de på de månedlige opdateringer den anden tirsdag i hver måned.
Opdateringerne er for det meste bygget på forbedringer, driver opdateringer og rettelser af enkelte fejl, noget som i et hvert eneste program styresystem såvel som Office pakke og andre programmer.
Det er kun minimalt hvad der er af sikkerheds rettelser.
Microsoft og Android(Google) gennemgår konstant deres software for sikkerhedsrisici og der kommer hele tiden nye og mere luskede værkøjer til, derfor finder man også nye sikkerhedshuller, blandt de største sikkerhedshuller er netop Java, og det er ikke fordi advarslerne om Java har manglet.
Hvis Google og Microsoft skulle undlade at udgive deres månedlige opdateringer for at tilfredsstille, folk med argumenter som dit,
"at når der kommer opdateringer, rettelser hver måned er det noget lo.t"
Det fortæller måske mere om dig som afsender end dem du sigter efter.