Sådan bliver NemID brygget på Javascript til web og mobil

Opdateret: Det notorisk forsinkede NemID-projekt vil efter planen ramme en milepæl i andet kvartal i 2014, hvor løsningen vil være Javascript-baseret. Digitaliseringsstyrelsen forsøger at forhindre flere forsinkelser.

I andet kvartal i 2014 forventer Nets DanID at være klar med NemID i en ny Javascript-udgave. Den skal gøre det muligt at bruge NemID på eksempelvis mobile enheder som tablets og smartphones, der ikke understøtter Java, som den nuværende løsning bygger på.

»På sigt vil Javascript-klienten afløse Java-klienten helt, for så vidt angår nøglekortsløsningen (NemID-papkortet, red.). Der er i øjeblikket ikke planer om at udfase Java for NemID på hardware (privat nøgle, red.) og medarbejdersignaturer, der anvender en anden Java-applet,« skriver Charlotte Jacoby, souschef i Digitaliseringsstyrelsen, i en mail til Version2.

Modsat Java kan Javascript ikke tilgå hardware som eksempelvis en USB-nøgle, og derfor vil de personer, der bruger NemID på hardware skulle fortsætte med Java-appletten.

Læs også: Digitaliseringsstyrelsen giver ’go’ til NemID på mobile enheder

Det nye NemID vil ligne det gamle for det utrænede øje. Det vil have samme brugerinterface, funktionalitet og sikkerhedsniveau som den eksisterende Java-klient, lyder svaret fra Digitaliseringsstyrelsen.

Den nye løsning vil understøtte det, Digitaliseringsstyrelsen kalder 'alle gængse browsere', og den vil virke på tværs af 'gængse platforme'. Men den største forskel for brugerne er, at Javascript-klienten ikke kræver installation af særlig software hos brugeren - det er altså ikke nødvendigt at installere Java, der af mange sikkerhedseksperter vurderes som en af de mest sårbare applikationer, man overhovedet kan installere på sin computer.

Læs også: Ekspert til danskerne: Brug kun NemID i en særskilt browser

Men der er også et lille trick i ærmet, lyder det fra Digitaliseringsstyrelsen.

»Den nye klient giver samtidig mulighed for, at tjenesteudbydere kan udvikle såvel webbaserede som appbaserede tjenester, der kan anvende NemID,« siger Charlotte Jacoby.

Det betyder, at klienten kan integreres både på eksempelvis borger.dk eller i en specialudviklet app til en mobiltelefon. Der er forskel på NemID til brug med det offentlige og det private - som eksempelvis forskellen mellem NemID på borger.dk og danskebank.dk. Men der er også forskel på den loginboks, du ser på danskebank.dk, der er en rigtig implementering af NemID Java-appletten, og så den loginboks, du finder i Danske Banks smartphoneapp, der verificerer mod en Java-applet på en server.

Derfor findes der i dag en lang række smartphone-apps fra banker, hvor du kan bruge NemID, men hvor du - rent teknisk - ikke bruger NemID-appletten, men i stedet logger dig ind via en tredjepartstjeneste - i dette tilfælde via banken.

Det forsinkede NemID

NemID-projektet har gang på gang været ramt af forsinkelser, og stort set alle dele af projektet har været forsinkede. Netop derfor kan det synes naturligt at sætte spørgsmålstegn ved, om Nets DanID nu også er klar med NemID på Javascript i andet kvartal 2014.

I 2011 tog det offentlige konsekvensen af de utallige kuldsejlede offentlige it-projekter, og oprettede Statens IT-projektråd, der skal sikre en bedre kontrol med projekterne og dermed være med til at forhindre, at projekterne løber løbsk eller helt bliver skrottet. Rådet kigger på it-projekter med et budget på over 10 millioner kroner - præcis som NemID-projektet, der samlet har kostet i omegnen af en milliard kroner.

Ifølge Digitaliseringsstyrelsen har Statens IT-projektråd vurderet NemID til JavaScript som en 'normal risiko'. Ved denne klassificering modtager institutionen, altså Digitaliseringsstyrelsen, en række anbefalinger fra IT-projektrådet, som det forventes, institutionen imødekommer.

Hvad har I gjort for at sikre, at der ikke igen sker tidsoverskridelser, og at NemID Javascript rent faktisk leveres i andet kvartal 2014?

»Der er i forprojektet lavet et grundigt arbejde med at definere og estimere projektet. Digitaliseringsstyrelsen har deltaget i dette arbejde og har således været med til at kvalificere projektplanen, og der vil desuden blive fulgt tæt op på projektets fremdrift,« skriver Charlotte Jacoby.

Da Digitaliseringsstyrelsen begyndte arbejdet med et alternativ til den nuværende NemID-Java-applet, blev der sat otte millioner kroner af til opgaven. Men en analyse af de forskellige muligheder, og et prisoverslag for dem, afslørede, at det ikke var nok. Prisen ville ende på mellem 15 og 30 millioner kroner. Derfor kunne styrelsen ikke leve op til den først udmeldte deadline om NemID på mobile enheder inden udgangen af 2012.

Tidligere har Digitaliseringsstyrelsen nævnt udgangen af 2013 eller første kvartal af 2014 som mulige deadlines for NemID uden Java. Dengang var meldingen, at det i høj grad afhang af muligheden for at videreudvikle NemID på Javascript under den eksisterende kontrakt, da en opgave i udbud typisk tager mindst et halvt år ekstra. Løsningen kom ikke i udbud, men alligevel er deadline altså skubbet til andet kvartal 2014.

Læs også: NemID uden Java nærmer sig

Ifølge Digitaliseringsstyrelsen finansieres projektet i fællesskab med bankerne, der betaler halvdelen af udgifterne til projektet, der samlet koster 47 millioner kroner. Det offentlige skal samlet betale 23,6 millioner kroner for udviklingen. Heraf er fordelingen 40, 40 og 20 procent for henholdsvis staten, kommunerne og regionerne.

Normalt skal større projekter i udbud som følge af EU-udbudsreglerne, men det er ikke sket i tilfældet med NemID til Javascript. Digitaliseringsstyrelsen oplyser, at den nye klient udvikles som en videreudvikling under den eksisterende kontrakt, da den skal sikre fortsat bred understøttelse af NemID på gængse platforme i kontraktens løbetid. Så selv om Java-appletten i store træk skiftes ud med Javascript-løsningen, er udviklingen altså inden for samme kontrakt.

Opdateret kl. 11.20: Tidligere fremgik det både at løsningen ville være klar i andet kvartal 2014 samt i andet halvår 2014. Det er nu rettet - løsningen forventes klar i andet kvartal 2014.

Kommentarer (16)

Michael Kristensen

... for at skrive en simpel Java klient om til Javascript! Kunne enormt godt tænke mig at vide hvor mange programmører som har været beskæftiget med den opgave og i hvor lang tid. Der kan da maks være tale om ét mandeårs programmering. De resterende 46,5 millioner må være gået til (dårlig?) ledelse.

Palle Due Larsen

Nu skal løsningen jo ikke bare udvikles, den skal også testes. Det tror jeg bliver omfattende. 47 mio. lyder af meget i mine ører, men ½ mio. er jo helt latterligt. Nogle gange bliver man lidt træt af læse de her "hvor svært kan det være"-kommentarer.

Morten Hattesen

Det nye NemID vil ligne det gamle for det utrænede øje. Det vil have samme brugerinterface

<sarcasm>
Gad vide, om det også bliver muligt at have en blinkende markør i et indtastningsfelt, uden at feltet har fokus, som den nuværende Java Applet implementering. Den bliver vist lidt svær at implementere i JavaScript, med mindre man vælger en animeret GIF til at simulere markøren.
</sarcasm>

Cazper Kjeldsen

Meget enig med Palle Due at man ikke kan lave noget for ½ mio eller et mandeår som Michael Kristensen antyder. Hvis man til dagligt arbejder med professionel softwareudvikling og test så ved man hvor lidt man når, når et produkt skal dække over så mange platforme, samtidig med at der er sikkerhed involveret. Måske de 47 mio. er fordelt således: Udvikling, 10 mand i 2 år 10 mio, Test 8 mio, Projektledelse/kontrakthåndtering 4 mio., Teknikere 3 mio. server setups, testmiljøer mv. 5 mio, fortjeneste/risiko 15 mio.

Michael Kristensen

Ok, måske er 1/2 million lidt i underkanten (der var en sjat sarkasme i den påstand - sorry). Der skal selvfølgelig også testes o.lign. Men infrastruktur, brugerinterface m.m. er tæt på uændret, så der er vel mere eller mindre blot tale om at portere kode fra en platform til en anden. Jeg er ikke specialist i hverken Java eller Javascript, så måske forstår jeg bare ikke omfanget af en sådan opgave.

Hans Schou

Når man har smidt en milliard efter systemet, hvor stor forskel gør det så, om man bruger 8 eller 27 millioner på en js-version?


Helt enig. I samme artikel bør man ikke blande millioner og milliarder sammen. Enten eller.

Så når man bruger 1000 milloner på et dårligt system, og så bruger 5% (altså 50 millioner) ekstra på at gøre det brugbart, så er det forsvindende lidt.

Jeg syntes 1000 millioner er alt for mange penge for NemID. Og 500 millioner for POLSAG. Og så 500 millioner til at undersøge VVM i forbindelse med Femernforbindelsen (når man taler miljø, kan man aldrig bruge for mange penge, syntes mantraet at være).

Finn Christensen

Derudover er det sjovt, at man syntes, at det burde kunne ordnes for 8 millioner. 27 millioner var for meget; næ, så hellere vente et år og ordne det for 47 millioner.

Prissedlen øges lige med 600%.. ja mon ikke hovedparten (80%) af pengene bruges til at indføje noget andet snask "nu vi alligevel er i gang" end selve arbejdet med JavaScript erstatning af Java-applet.

»Den nye klient giver samtidig mulighed for, at tjenesteudbydere kan udvikle såvel webbaserede som appbaserede tjenester, der kan anvende NemID,« siger Charlotte Jacoby.

'Tjenesteudbyder' (Bankerne) vil jo meget gerne have alt over gebyrtrykkeriet. Og staten er ikke uvillig, da det for embedsvældet jo også er en skjult borgerkontrol :/

Så jo, det løber skam hurtigt op, når nu begge parter vil have deres røde alarmer, undringslister samt andet snask fedtet ind.

Konsekvenserne af gebyrtrykkeriet ser vi bl.a. da M. Vestager melder ud, at hun snarest vil lukke for teleselskabernes tåbelige CPR-check - de kan i stedet bruge NemID. De klagede højlydt over, at udover etableringsomk., så skal de nu også løbende betale pt. 1 kr. for hver eneste kontrol :) http://www.b.dk/tech/vestager-lukker-cpr-hul

Data ifm. undringslister kan jo eksporteres direkte til basen hos Udbetaling Danmark, som jo allerede har startet autospy op.. http://www.b.dk/nationalt/udbetaling-danmark-holder-oeje-med-dig-1

Og lige nu hvor gevinsten skal stryges, og hele Nets-butikken ønskes solgt for fantasilliarder, så er der intet der kan øge prisen, som en fremkommelig lovgivning og med et blåt stempel fra regeringen tilladelsen til at trykke flere mio. helt egne kr. dagligt.

Da vores regering i sin tid solgte/privatiserede Datacentralen (nu CSC) samt også TDC, da var de gode mia. ned i den tomme statskasse mere væsentlig end de valgte løsninger. Konsekvenserne for borgerne samt infrastrukturen har været højlydt beklaget selv fra politisk hold lige siden.

Kære regering - gentag nu ikke historien igen igen med NemID/Nets - se evt. Nemesis http://da.wikipedia.org/wiki/Nemesis

Christian Nobel

Nu skal løsningen jo ikke bare udvikles, den skal også testes. Det tror jeg bliver omfattende. 47 mio. lyder af meget i mine ører, men ½ mio. er jo helt latterligt. Nogle gange bliver man lidt træt af læse de her "hvor svært kan det være"-kommentarer.

Desværre er der jo en tendens inden for det offentlige at ting SKAL koste.

Hvis man har et forslag til en løsning der er afprøvet, bevisligt virker, og som kan løfte en given opgave til eksempelvis 1 million kr., så bliver man slet ikke taget alvorligt, for en sådan løsning skal da koste 10 (og dette er ikke fiktion, been there, done that, got the t-shirt), og så skal den da leveres af en af SKI vennerne (til gengæld så leverer de det forkerte, og det fungerer kummerligt).

I dette her tilfælde med de 47 millioner, hvem er det så der skal lave løsningen - jo det er et af bankerne ejet foretagende (som jo også skal give overskud), hvorfor man dybest set kan sætte prisen som man vil, for når nu bankerne "skal betale halvdelen", jamen så er der i virkeligheden bare tale om intern fakturering, hvorved bankerne får en "udgift" på 23,5 millioner, som efterfølgende meget snedigt indgår i skatteregnskabet.

Så summa summarum, hele gildet finansieres endnu engang af borgerne.

Nils Bøjden

Jeg håber så at staten har en klausul der hedder at de har fuldstændig og ubetinget ret til al kode der udvikles i projektet.

Ellers sylter de vores fællesskab ind i endnu en monopolstruktur vi har problemer med at komme ud af.

Og prøv at spørge kommunerne om hvad det betyder for priserne og forsyningssikkerhed hvis man forhandler med et monopol, eller ikke har råderet over software. (Der var noget med en leverandør der lukkede for kommunernes pas håndtering da leverandøren mente at kommunerne ikke havde ret til at bruge en software komponent)

Svend Bjerrum Jensen

Det undrer mig, hvordan man sikrer sig mod at en (måske hacket) hjemmeside logger brugernes nemid-password. Den forhadte java-applet er i det mindste signeret af Nets DanID, så man ved, at det kun er dem, man giver sit password. Er der nogen mulighed for at sikre sig mod et javascript, uden at skulle nærlæse kildekoden hver gang?
Et af de store problemer med nemid er i mine øjne, at de bryder med regel nr. 1 for digital signatur, der siger, at du aldrig må indtaste dit password på en hjemmeside. Det problem løses ikke ved at skifte programmeringssprog.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Digital kommunikation - klar tale på digitale kanaler

Hvornår: 2015-12-08 Hvor: Østjylland Pris: kr. 4990.00

Vanskelige samtaler

Hvornår: 2015-11-30 Hvor: Storkøbenhavn Pris: kr. 11400.00

Forvaltningsret

Hvornår: 2015-08-31 Hvor: Vestjylland Pris: kr. 8100.00

C# kursus grundlæggende

Hvornår: 2015-08-31 Hvor: Storkøbenhavn Pris: kr. 10200.00

Developing Windows Azure and Web Services [20487]

Hvornår: 2015-10-20 Hvor: Østjylland Pris: kr. 19500.00