Sikkerhedsfirma: Oracle kunne have lukket kritisk hul i oktober 2012

Sådan som jeg kan læse det, så er hullet jo fortsat ikke lukket, man har blot lavet lappe løsning med at hæve sikkerhedsniveauet som standard for at køre, men selve exploit virker fortsat. Det er jo lidt kritisk, særligt når bankerne skriver, at hullet nu er rettet, selvom det jo ikke passer.

Vi der havde en ECMA-script baseret løsning med Jyske Bank før NemID-monsteret dukkede op, vil godt tilbage til den løsning. Den havde flere fordele.

1. ECMA-script-fortolkeren i de forskellige browsere er forskellig. Det betyder at der skal testes lidt mere fra leverandørens side, men hvis det viser sig at en browser har et problem, så kan slutbrugeren vælge at skifte broser. Det kan man ikke med Java, der er kun er een JRE der virker med NemID, og det er den sidste nye fra Oracle.

2. ECMA-script kan ikke scanne brugerens harddisk for filer, sådan som NemID kan og gør. Helt præcist hvad NemID leder efter på borgernes harddisk er ikke helt kendt, men NemID har muligheden for at gennemse alle borgerens filer på hans egen harddisk <1>.

3. ECMA-script har færre muligheder for bagdøre, og er på den måde mere tillidsskabende for borgerne, end Java er.

4. ECMA-script kan ikke åbne en IP-forbindelse til en anden server, end den server den kommer fra. Det kan Java og det introducere et nyt problem.

Skattevæsnet har både NemID-login og deres egen "Tast-selv" login-metode. Jeg har hørt fra flere, at når valgmuligehden er der, så er det Tast-selv metoden der bruges. Nu må det snart gå op for politikerne: NemID er en dårlig idé. Få det nu stoppet det skidt, så vi kan få et ordentligt digitaliseret samfund, sådan som de fleste af os gerne vil, vi vil bare ikke have NemID og den Java der følger med. Oracle, en stor amerikansk virksomhed, som er kendt for at være særedeles træge med softwareopdateringer, er ikke en virksomhed vi har tillid til.

ECMA-script? Ja, det er fint. Det vil vi gerne have. Sæt igang med det samme.

Og OpenJDK.

Joo, det er nu efterhånden ret godt kendt. Den genererer en unik checksum (ud fra filer og netkort adresser og andet godt fra havet), som kan bruges til at identificere den maskine, som et givet login er sket fra...og nej, det kan man ikke fra JavaScript.

Enlighten me please?
JavaScript kan ikke oprette rene TCP (eller UDP) forbindelser, men der findes da bestemt tricks, såsom JSONP, som gør, at man kan forbinde og kommunikere cross domain.

Jeg vil så også gerne have en JavaScript baseret løsning.

Vi snakker om java 7 update 11 der blev udgivet her i søndags.
Det er Windows brugere der er i risikozonen.

Less than 24 hours after Oracle fixed a Java 0day, miscreants were selling another Java 0day in Java 7 Update 11

http://krebsonsecurity.com/2013/01/new-java-exploit-fetches-5000-per-buyer/
via
https://twitter.com/briankrebs/status/291549903782543362

Javascript kan oprette forbindelse til servere som det ikke er evalueret fra på følgende måder:
* Inject html med css/billede/javacript tags i dokumentet, hvilket vil medføre HTTP GET requests, også til andre servere.
* Inject en iframe med extern src atribut --> HTTP GET request
* Submit en form med en action på en fremmed server --> HTTP POST request

Og der er sikkert en masse andre teknikker jeg har glemt fordi de har mindre værdig i daglig udviklingsbrug.

Det er sandt at man ikke kan tilgå infromationerne fra andre domæner på en særlig brugbar måde. Poster jeg en form til et andet domæne i en iframe o html dokumentet, så kan jeg ikke læse svaret på grund af cross origin beskyttelse. Tilsvarende med XmlHTTPRequests (ajax) på andre domæner. Med mindre CORS tillader det.

Men forbindelser, dem kan man lave mange af.