Da NemID fik kaffen galt i halsen

Sidste uges nedbrud i NemID efter en opdatering af Java førte til hård kritik af Nets, der står bag løsningen.

Siden NemID brød ned efter den seneste opdatering til Java-platformen, har der blandt andet på Version2 kørt en heftig debat om teknologien bag den danske login-løsning til banker og offentlige myndigheder.

Her er det blandt andet kommet frem, at Nets – selskabet bag DanID, som står bag NemID – havde haft adgang til en beta-udgave af opdateringen Java 7 update 45, som altså sendte NemID-appletten til tælling.

»Det er problemer af en karakter, vi ikke har set før, hvor der er opstået nogle funktionelle udfordringer. Vi får typisk en beta-version af opdateringerne fra Oracle, så vi kan teste den. Hvad der er sket her, ved vi ikke endnu. Det kan være en fejl hos os, hvor vi ikke har fået testet godt nok. Så før vi ved, hvad der er sket, vil vi ikke sende ansvaret videre til andre,« sagde Søren Winge, pressechef hos Nets, til Version2. Han fortsatte:

»Vi overvejer, hvilken anbefaling vi skal give, for vi anbefaler normalt altid brugerne at opdatere til den nyeste version, og det er der også mange, der allerede har gjort. Hvis man ikke har opgraderet endnu, skal man vente, det er klart, men vi overvejer lige nu, om vi skal anbefale, at man nedgraderer. Det kommer an på, hvor lang tid det vil tage at finde en løsning,« sagde Søren Winge.

Anbefalingen om at vente med at opdatere mødte dog en del kritik, da opdateringen lukkede et halvt hundrede sikkerhedshuller i Java.

It-sikkerhedsfirmaet Esec skrev for eksempel i et blogindlæg, at man bør opdatere, uanset hvad Nets siger. Opdateringen lukker nemlig 51 sikkerhedshuller, hvoraf mange er alvorlige.

‘For – uhyre forbavsende – anbefaler vores digitale identifikationsselskab over for det offentlige, NemID, på deres webforside, at man ikke opdaterer. Fordi NemID-softwaren har problemer med den nye Java-version. Mon NemID yder assistance, hvis man bliver inficeret med angreb mod en af de mange sårbarheder, man så er eksponeret over for?’ spurgte sikkerhedsfirmaet.

Bloggere i blækhuset

Flere af Version2’s it-kyndige bloggere for også i blækhuset. I en opremsning af, hvad han mener, der er galt med den nuværende NemID-løsning, skrev Henrik Kramshøj fra Solido Networks under overskriften: ‘Den græske tragedie NemID status’:

‘Der er en høj grad af symptombehandling, og det er, som om tavlen blot viskes ren efter hver hændelse, selvom vi står med lignende problemer igen om 3 mdr. Jeg mener, det er omkring 10 tilfælde inden for det sidste år, at der har været problemer relateret til samspillet mellem Java og NemID, enten skulle man opgradere eller netop ikke opgradere.’

Og software-udvikler og blogger Poul-Henning Kamp har givet sit besyv med under overskriften: ‘Keep it simple NemID’. Han vurderer, at kompleksiteten i NemID i sig selv giver problemer, som ikke ville være der, hvis løsningen lænede sig op ad gængse og afprøvede standarder.

‘Den uendelige føljeton om NemID’s problemer er ved at blive et lærebogseksempel i, hvorfor ‘Keep It Simple’ er sådan et vigtigt princip. Forestil jer, at NemID havde været implementeret som en helt simpel HTML-formular via en HTTPS-session,’ skriver han og fortsætter:

‘De ekstra lag af kompleksitet, Java, det ekstra lag af kryptering, roden og raven rundt på den lokale maskine med programmer maskeret som billeder – intet af det tilfører nogen form for egentlig sikkerhed.’

NemID var oppe at køre igen fredag 18. oktober om aftenen. Debatten om nedbruddet kører dog stadig.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Deleted User

Sagen afslører at alle disse udbydere opfatter sig selv som konger: Man skal være i synkronisme med deres versioner af hvad som helst. Indbyrdes kan de ikke blive enige om synkronisme og fx nemId skubber ansvaret mellem en masse organisatoriske enheder, så ingen har ansvar.

  • 3
  • 2
#3 Deleted User

Jo de skubber ansvaret videre: når jeg som bruger har problemer har jeg oplevet at blive henvist / linket fra organisation til organisation: NemId NemAdgang Skat Bank og flere og nogle gange er også til e-Boks.

I et tilfælde henviste / linkede alle til en bestemt enhed og den dame jeg kom i kontakt med svarede ved fjerde henvendelse at "nu må du da forstå at det ikke er mig" Men hvad så???

  • 1
  • 1
#4 Kai Birger Nielsen

Enig i at de skubber rundt i stedet for at tage ansvaret. Fx var jeg inde på nykredits sider på et tidspunkt, hvor der var et link til "reglerne for nemid", men det var en forældet version af reglerne. Nykredits support henviste til NemId ("Det er jo deres regler") og NemId henviste til Nykredit ("Det ligger jo på deres webside"). Efter et par runder i managen gav jeg bare op og afskrev begge organisationer som ansvarsforflygtigende.

  • 6
  • 0
#5 Claus Futtrup

Der er ca. 50% risiko for at JAVA 7u45 slet ikke er blevet testet. Den er kikset ... og det er måske sket før (fordi det plejer jo at virke). Dernæst vil jeg dog mene, at for at kunne bruge noget som f.eks. JAVA til bank-drift, bør det kræve en grad af samarbejde med leverandøren (Oracle), som går langt ud over normalen ... det kan vi så konstatere at det gør det ikke her. Oracle sender en beta. Nets tester den (måske), og finder de nogen fejl, så justerer man i koden. Det synes jeg ikke er den rigtige made at angribe noget så vigtigt som login til vores betalings-system og vores nationale ID system.

  • 1
  • 0
#6 Deleted User

Helt enig, der er stor sandsynlighed for at den ikke er testet ( af en kvalificeret) Et andet aspekt er releasenotes: jeg kender ikke javas release policy men seriøse softwarehuse dokumenterer en release i releasenotes. Ved at reviwe releasenotes kan problemerne spottes på forhånd (igen hvis reviweren er kvalificeret)

  • 0
  • 0
#7 Deleted User

Nu står vi igen med problemet om hvordan vi skal være i synkronisme med NemID ? De er ikke meget informative, de burde meddele os hvilken version af (fx Java) vi skal bruge til en hver tid, så vi hverken kommer foran eller bagud. Men inden skulle de lige aftale med alle andre udbydere hvornår skæringerne skal ske.

  • 0
  • 0
#8 Maciej Szeliga

De er ikke meget informative, de burde meddele os hvilken version af (fx Java) vi skal bruge til en hver tid, så vi hverken kommer foran eller bagud.

De skal sgu' understøtte nyeste version, specielt når det er en sikkerhedsopdatering, Java sender folk til Java.com når det er kritisk opdatering. Det skal de fordi de som udviklere rent faktisk HAR adgang til nyeste Java release længe før den sendes ud og fordi de får at vide at den kommende opdatering bliver en kritisk opdatering.

  • 0
  • 0
#9 Rasmus Faber-Espensen

Her er det blandt andet kommet frem, at Nets – selskabet bag DanID, som står bag NemID – havde haft adgang til en beta-udgave af opdateringen Java 7 update 45, som altså sendte NemID-appletten til tælling.

Er det blevet bekræftet? Mig bekendt har der ikke været adgang til Java 7u45 gennem det normale early access program og jeg har ikke set nogen udtalelse fra DanID om, at de har haft adgang udover det.

Citatet fra Søren Winge, som det ser ud som om, at du prøver at bruge til at understøtte påstanden:

Vi får typisk en beta-version af opdateringerne fra Oracle, så vi kan teste den.

bekræfter jo ikke, at de har haft adgang til at teste 7u45.

  • 1
  • 0
Log ind eller Opret konto for at kommentere