Officiel sikkerhedsadvarsel: Slå Java fra – og brug særlig browser til NemID

Det bliver da spændende at se dem, der har modded kritiske indlæg overfor NemID ned (og især DanIDs valg af obligatorisk Java og priviligerede applets til hele befolkningen) melde sig ved navn og forsvarre den her.

I gamle dage, var det med Jyskebank sådan at hvis der var et problem med fx JavaScript (ECMA-script), så ville det kun være brugerne af fx Firefox der var ramt af problemet. Når der er mange forskellige browsere, platforme etc, så bliver det alt andet lige færre borgere der bliver ramt når der kommer et problem, og så er det ikke hele samfundet der bryder sammen.

Der er omkostningsfuldt at supportere flere platforme, men når en platform bryder sammen, så er skaden mindre.

Konklusion: Drop NemID.

For at være fair, så har man jo altså ikke ret, blot fordi der er en enkelt svipser.. Er jo ikke fordi, at man heller ikke har set javascript exploits tidligere .. (krammer min chrome videre der i forvejen ikke ukritisk bare kører java )...

Men du har ikke flyttet dine Java-aktiviteter over i en VM, så du kan undgå at få afviklet uønskede filer på din computer?

Hvad for en fisk?
Det er da fint med javascript exploits men hvornår hjar der sidst været en af slagsen som ramte samtlige browsere på samtlige styresystemer?
Hele problemet med java bindingen er jo at jeg ikke bare kan skifte til en browser/os som ikke er påvirket.

Her er en guide til hvordan man slår java fra i IE: http://www.kb.cert.org/vuls/id/636312 . En kommentar fra reddit:

Every other browser: three clicks to disable java. IE: edit registry, add some kill bits, edit registry, initialize java so you can shut it off, then actually shut it off. Good f'n job, Microsoft.

Da man jo desværre er dybt afhængig af de skide DanID appletter, har jeg smidt en lille plugin sammen til Chrome der filtrerer alt andet applet/object DOM fra med mindre det er DanID's bootstrapper der peges på.

Skulle andre ønske at benytte den, kan man bare klikke på følgende link og installere:
https://dl.dropbox.com/u/4451927/AllowDanIDApplet.crx

Er man (som man bør være) mistroisk og vil lave review på koden først, hent denne zip ned, udpak og load via Chrome's developer mode:
https://dl.dropbox.com/u/4451927/AllowDanIDApplet.zip

Gaah, forkert artikel!

Flytter lige min kommentar..

Jeg bemærker at der er 2 down-votes på mit oprindelige indlæg, men kun en, der står frem ved navn og forsvarrer situationen ... Hvad skal man mene om det?

I øvrigt et noget sørgeligt forsvar, da det fuldstændig ser bort fra at DanID presser en mono-kultur af priviligeret kode ned over befolkningen. JavaScript implementationer er hverken en mono-kultur eller priviligeret kode.

Chrome har native support for at deaktivere javascript, plugins, etc som standard og så vidt jeg husker findes der et plugin (ironisk) til Firefox, der tilbyder nogenlunde det samme.

Løsningen er ikke at bruge to browsere. Det er ikke engang et workaround.

Det som browsere mangler er et UI, som (næsten) almindelige mennesker har en chance for at forstå, der gør det muligt at whiteliste sites der af den ene eller anden grund har brug for javascript eller plugins.

Min Chrome er indstillet til forbyde javascript og plugins, således jeg skal godkende hvert site første gang jeg besøger det. Nogle gange skal jeg kigge i HTML kilden for at finde ud af hvilke hosts jeg skal whiteliste - et åbenlyst eksempel på hvor UI'et kunne forbedres. Samtidigt savner jeg også en knap der hedder, "Tillad i X dage/timer" for efterhånden har jeg omkring 100 whitelistede javascript sites, men de fleste bruger jeg ikke ofte/mere.

Min whitelisting betyder også, at tåbelige nyhedssites der kræver javascript blot for at vise mig tekst og billeder ikke er velkomne.

Det virker tydeligvis ikke blot at sandboxe og source reviewe vores browsere -- så må vi prøve noget nyt.

Er der nogen browsere hvor man IKKE kan slå det fra?! Problemet her er jo bare at det er alt-eller-intet.

Browsernes sikkerhedsmodel er som sådan god nok. Det er Java's sandkasse i princippet også. Faktum er bare, at software er en kompleks størrelse og vi vil aldrig kunne undgå fejl. NemID problematikken er så bare ekstra kompleks, pga. det specielle (lukkede) teknologimix, JNI og bootstrapping.

Hvis man bevæger sig over i at skulle whiteliste, så sker der bare dét, at folk pr. automatik begynder at sige "Ja" og "Tillad" på diverse popups og så er vi jo lige vidt - så dén tror jeg ikke på. Google har forsøgt sig sådan på Android, og jeg tvivler stærkt på alm. mennesker går listen af permissions igennem før de siger "Ok" - jeg gør det nemlig heller ikke altid! :)

Jeg har længe talt for at der må være stof til et par afhandlinger i adfærdspsykologi og tilstødende områder af psykologien. Det kunne så dels munde ud i en solid base af UI-viden på området og dels en folkelig introduktion til emnet (på passende niveau, så folk gider læse den).
Ja, en del af det her er kendt i branchen, men det savner et bredere publikum. Der tror jeg at psykologer kan hjælpe os.

Overhovedet ikke, og det bliver den heller aldrig:

https://code.google.com/p/browsersec/wiki/Main

Helt enig: Jeg sad også og ledte efter nogle kvalificerede modsvar. Svaret er nok bare at de er givet af nogle DanID-ansatte, og det skal man så ikke tænke videre over. Alternativt skulle du selv ændre holdning bare ved at nogle anonyme giver dig thumbs-down - gør du det?

Sic!

Jeg har haft god erfaring med den nye about:config setting "plugins.click_to_play" i Firefox 14 og nyere:

http://msujaws.wordpress.com/2012/04/11/opting-in-to-plugins-in-firefox/
http://msujaws.wordpress.com/2012/04/20/site-specific-permissions-for-fi...

Den virker ikke perfekt med Java. Der dukker nemlig ikke et click-to-active link op for NemId. Man er nødt til manuelt aktivere addons for sider der skal køre Java (Højre-klikker på siden og vælger "View Page Info" -> "Permissions")

Men det stopper alt automatisk kørsel af Flash, Java, Silverlight for alle almindelige sider, og det fungerer faktisk rigtig godt. Flash og Silverlight indhold viser nemlig korrekt "Click here to activate".

Det er sjældent der er fejl i selve browseren der fører til overtagelse af computeren. Omvendt forholder det sig med native plugins, hvor man er afh. af sekundære sikkerheds- og opdateringspolitikker.

I tilfældet her, Java, har Oracle jo haft 4 md.* til at lukke hullerne - det ville man bestemt ikke se i Firefox og især ikke Chrome.

• http://www.security-explorations.com/en/SE-2012-01-press.html

Jeg har ikke deltaget i den seneste debat om NemID/Java, så det er ikke mig, men jeg vil til enhver tid stå frem og forsvare thumbs-down til hvineri over point-systemet, med mindre det eksplicit er emnet for debatten.

Jeg giver point for indlægenes debatmæssige kvalitet, og der er altså mange af de NemID-kritiske indlæg der er ret triste at læse i den henseende. Og indlæg der bare piver over at man har fået thumbs-down bibringer ikke debatten noget interessant.

(Og så giver jeg mig selv straks en thumbs-down for at være fuldstændig off-topic)

Hvis du anså det for hvineri over thumbs down, så har du misforstå det. Jeg pointere blot ironien i at jeg havde forudset det.
Personligt kunne jeg ikke være mere ligeglad med point-systemet. Det er meget begrænset hvad folk bliver klogere af at se de tal.

Jeg ville sådanset hellere se folk stå frem og forsvarre situationen om NemID her i forhold til at kritikken netop også har gået på at DanID påtvang befolkningen en mono-kultur af priviligeret kode i deres browsere.

Tak for det hint - jeg har haft lige netop det problem. Dejligt at der er en OK løsning på problemet!

Nu ville jeg jo lige deaktivere java i min Chrome browser, men ser til min overraskelse at jeg kører version 6.0.330.3. Så har jeg vel ikke berørt at dette sikkerhedshul?

Edit: Ja, så læste jeg lige hele artiklen - jeg er ikke berørt :-)

Magelighed længe leve.. jeg nøjes med at bruge NoScript - det sorterer ret meget skidt og kanel fra, så længe jeg bruger min sunde fornuft og et godt AV program i tandem.
NoScript er bare desværre ikke ligefrem noget der er let anvendeligt eller ikke-generende for den jævne bruger. Men for mig virker det og jeg slipper samtidig for unødigt bøvl når jeg skal bruge SlemID.

I stigende grad checker jeg også saldoer på telefonen i stedet - og da jeg ikke kan huske hvornår jeg sidst har fået en fysisk regning, så er det ikke ligefrem fordi jeg drukner i behov for at tilgå webbanken i tide og utide.

Anbefaler slemId stadig at man intet foretager sig?

Deres historik taget i betragtning forekommer dette som værende det mest sandsynlige.

Cool, du bør lige tilføje:
"manifest_version": 2,
i manifest.json, så er den mere compliant med nyere versioner af Chrome.

"Sikkerhedshullet findes umiddelbart kun i Java 7 og ikke i den mere udbredte Java 6"

På OSx får man som default Java6 op til og med Mountain Lion 10.8 - det er kun de der har hentet OSx fra Oracles eget site der kan have fået Oracles JDK 7.

Derfor er procentdelen af OSx brugere der kører JDK7 efter min overbevisning ganske lille - så advarslen skal nok tages med et gran salt, og man bør lige tjekke hvilken version Java man har inden man panikker.

Tak for tippet, hermed gjort... jeg kan se at Chrome plugins nu ikke kan loades direkte fra lokal fil men skal igennem web store.

Kan man ikke bare deaktivere java i sin browser og så aktivere det hver gang man skal bruge nemid?

Min version af Java 7 på mac'en understøtter ikke applets, så nemID skal køre med version 6.

Jeg står da også gerne frem. De fleste folk der kommenterer på nemID indlæg er af kvalitet som "nuf said...", "...kommunisme, ... Stasi, ... Imod grundloven, ...." eller andre one-liners som efterlader indtrykket af at personen er en sort-hvid type person, som går grassat over at det ikke lige er et system efter hans hoved. Sjældent får man indtrykket af, at personen faktisk har tænkt at systemet er en kompromis som afspejler en masse faktorer som f.eks. at brugeren er en ikke-IT kyndig person - og på baggrund af det, påpeger hvordan noget kunne have været gjort bedre. NemID er på mange måder skidt lavet, men det hjælper ikke meget at sige det ca. samme hver gang Version2 finder en mulighed for at komme med en relation til nemID i en artikel om noget helt andet. At kalde det slemID svarer til at kalde Microsoft for M$ - ikke videre intelligent.

Nu mindes jeg aldrig at jeg har kaldt det "slemID". Jeg mindes heller ikke at jeg har sagt "ca. det samme" hver gang Version2 har bragt en historie. Faktisk har jeg flere gange gjort opmærksom på at V2s historier ikke sagde noget som helst om noget vigtigt. F.eks. alle historierne om børnesygdommene med nedetid. De har jo på ingen måde addresseret kritiken eller forholdt sig til hvad der var kontroversielt ved NemID, men blot virket som om man troede at enhver NemID historie per automatik var interessant for debatten og så ville man nok hellere skrive om noget, der ikke krævede for meget tankevirksomhed.

Den her historie rammer til gengæld lige i hjertet af den del af kritikken, der handler om brugen af Java.
Og i og med at det også talrige gange har været pointeret at Java var unødvendig og især at der ingen brugbar undskyldning var for at det skulle køre priviligeret, så kan jeg ikke rigtig se at nogen skulle mangle forslag til hvordan det kunne være gjort bedre. Det skulle simpelthen bare ikke være gjort. DanID har ingen undskyldning for at tilgå brugeres filsystem og Jyske Bank har i årevis haft en netbank, der fungerede fint uden Java.
Jeg mangler stadig at se et eneste design-krav, der er i brugerens interesse, der kunne retfærdiggøre den løsning der er nu.

Faktisk har jeg meget svært ved at se hvad det er du siger skulle være et "kompromis". Hvad er det præcis der er så nødvendig, som kræver Java, så man er nød til at lave et "kompromis" ? Og hvordan tog Jyske Banks gamle netbank ikke hensyn til ikke-IT-kyndige?

Mener du det tager bedre hensyn til ikke-IT-kyndige at man nu skal bruge 2 browsere, slå Java fra, og princielt burde køre det i en virtuel maskine, hvis man ikke vil give DanID afgang til sit filsystem?

Jeg tror at du misser min pointe. Jeg vurderer mange indlæg som auto-genereret ramblings, ikke nødvendigvis dit. NemID er baseret på Java, hvilket var et valg baseret på en vurdering af platformssupport samt at det man ville ikke performede godt nok med Javascript. Jyske Bank lavede deres med Javascript, men hvis du ikke sammenligner hvad der er implementeret så giver det ikke meget mening. Set udefra kan du sammenligne med Jyske Bank, men kender du alle deltaljerne? Jyske Bank havde også papirkortet, hvilket for nemID ikke var en sællert. At politikerne ikke læser version2 og kan se at et platformsvalg for det har sikkerhedsproblemer - er OK. Jeg synes, at der er større problemer i Danmark de skal fokusere på

Hvorfor skriver Version2 og DK-CERT ikke CVE-nummeret? Er der tale om CVE-2012-4681? "Oracle Java 7 Update 6, and possibly other versions" Er IcedTea så ramt eller vides det ikke?

I gamle dage virkede Ubuntu+Firefox+IcedTea+NemID ikke, men sidst jeg prøvede virkede Ubuntu+Firefox+IcedTea+NemID. Hvem bruger så Oracle Java?

Jeg er ked af at ødelægge din dag men Java bruges til meget mere end bare NemID og der er rigtigt mange af det "meget mere" som ikke virker optimalt med OpenJDK & IcedTea, det er alt fra Java checken ikke virker og dermed sarter tingene ikke til at ting kører væsentligt langsommere. Selv den af dig nævnte NemID kører hutigere på en Oracle Java end på OpenJDK + IcedTea.

@Mads Vanggaard

Det var ikke de auto-genererede ramblings jeg tænkte på da jeg skrev mit første indlæg.

Din øvrige argumentation hænger på spørgsmålet: "...men kender du alle deltaljerne?"

Nej. Det gør jeg ikke. Men det er sådan en slags argument ala at prøve at bevise ikke-eksistensen af noget. Du vil altid kunne sige at der kan jo være et eller andet argument et eller andet sted og vi kan ikke bevise at det ikke er der.
Sådan en overvejelse er IMHO ret uinteressant. Det giver os ingen grund til at tro det eksisterer. (om det så er "gud" eller "det gode argument for Java i NemID").

Jeg har som sagt ikke set noget designkrav, der retfærdiggør at påtvinge hele befolkningen en monokultur af priviligeret kode. Du er velkommen til at foreslå noget konkret, men at DanID gerne vil logge til din hardiske og checke serienumre på din hardware er for mig IKKE et godt argument.

Det var DK-CERT godt nok længe om at anbefale. Jeg har længe haft Java slået fra i min Firefox netop pga. ovennævnte sikkerhedsbrist samt andre sikkerhedsproblemer med Java.