Sikkerhedseksperter: Digitaliseringsstyrelsen bør opfordre folk til at fjerne Java igen

Når Java ikke længere er en forudsætning for NemID, bør Digitaliseringsstyrelsen opfordre borgerne til at fjerne produktet, da det udgør et sikkerhedsproblem, mener flere eksperter. Det har styrelsen dog ingen planer om.

Selvom bankerne og den store offentlige log in-portal - NemLog-In - har skiftet til den nye JavaScript-baserede NemID-løsning, sidder hobevis af danskere stadig tilbage med en Java-installation, der kan udgøre en sikkerhedsrisiko. Derfor bør Digitaliseringsstyrelsen opfordre borgerne til at afinstallere Java igen, lyder det fra flere eksperter.

Kasper Lindgaard, Head of Research hos it-sikkerhedsfirmaet Secunia vurderer, at langt de fleste Java-installationer hos private i Danmark kun har haft som formål at kunne køre NemID - hvilket også har været gældende for hans egen Java-installation.

Og han peger på, at når alle instanser af den Java-baserede NemID, som en person eller virksomhed benytter sig af, er skiftet til den Javascript-baserede NemID, skal man afinstallere Java for derved at lukke for en af de store angrebsvinkler, som hackere benytter sig af.

Læs også: Java-plugin er den største it-sikkerhedstrussel mod danskerne

»Faktum er, der er rigtig mange sårbarheder i Java. Og mange mennesker har haft Java af en eneste årsag. Så det ville helt sikkert klæde dem (Digitaliseringsstyrelsen, red.) at sige, at folk burde afinstallere det. Men hvis de gør det, så er det jo også en indrømmelse af, at Java måske ikke sikkerhedsmæssigt er den bedste løsning.«

Secunia står blandt andet bag produktet Personal Software Inspector, der hjælper brugere med at holde deres programmer opdaterede. Og Kasper Lindgaard fortæller, at der alene i 2014 er registreret 119 sårbarheder i Java.

Og selvom folk måtte have opdateret programmet til seneste udgave, kan det stadig indeholde sårbarheder, som Oracle, der står bag Java, ikke er bekendt med, påpeger han.

»Der er masser af folk derude, der finder sårbarheder, som ikke nødvendigvis rapporterer dem til Oracle, men i stedet vælger at udnytte dem eller sælge dem.«

Når Java er et populært mål for it-kriminelle, hænger det ifølge Kasper Lindgaard blandt andet sammen med, at produktet udgør en ensartet angrebsflade, der kan bruges til at kompromittere klientmaskinen, uanset om Java-installationen kører på det ene eller det andet styresystem.

It-sikkerhedsekspert og partner i CSIS Peter Kruse mener også, at Digitaliseringsstyrelsen burde opfordre danskerne til at fjerne Java igen, nu hvor programmet ikke længere er en forudsætning for at tilgå en lang række digitale tjenester under det offentlige via NemLogin-portalen.

»Jeg kan kun spille bolden videre og sige, at det ville være fint, hvis de (Digitaliseringsstyrelsen, red.) gjorde det. Det ville være et godt træk. Der er noget oprydningsarbejde, der ligger forude, hvor man godt kunne komme ud med nogle råd,« siger han.

Læs også: Nu kan du logge på Skat og andre offentlige hjemmesider uden Java

Der kan naturligvis også være andre programmer end NemID, eksempelvis spil, der forudsætter Java, forklarer Peter Kruse. Men er borgerne i tvivl om, hvorvidt de faktisk anvender Java til andet end NemID, vil det i udgangspunktet være en god idé at fjerne produktet og så eventuelt installere det igen, hvis det alligevel skulle være nødvendigt.

»Der er ingen grund til at have noget software installeret, som man ikke bruger i det daglige alligevel,« siger Peter Kruse, som desuden understreger, at selvom Java ikke længere er installeret, er det naturligvis vigtigt at holde øvrige tredjepartsprogrammer som Flash opdateret.

Flere steder, blandt andet på den fællesoffentlige login-portal NemLogin, er NemID skiftet til at køre på JavaScript i stedet for Java. Men først fra udgangen af 2014 er det officielt helt slut med NemID på Java.

Borgerne skal dog ikke forvente opfordringer fra Digitaliseringsstyrelsen, når det kommer til at skille sig af med deres Java-installationer.

»Generelt er det ikke Digitaliseringsstyrelsens rolle at oplyse, hvilke programmer brugerne bør installere eller afinstallere,« oplyser kontorchef i Digitaliseringsstyrelsen Cecile Christensen i en mail sendt via styrelsens pressemedarbejder.

Borgere kan dog af egen drift opsøge hjemmesiden nemid.nu for at få hjælp til at fjerne Java.

»I det konkrete tilfælde med Java har vi dog en vejledning på www.nemid.nu, hvor man kan følge en simpel guide til afinstallation af Java. Oracle har udviklet et brugervenligt værktøj til denne proces, som er beskrevet i guiden på www.nemid.nu. Derudover har vi vejledninger til afinstallation af Java til de brugere, der anvender Mac eller Linux,« står der i mailen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Carsten Andersen

En tilfældig statslig styrelse, sekunderet af et par (selvbestaltede) It-sikkerhedseksperter, skal sku' da ikke bestemme hvilke programmer danskerne skal installere på deres PC'er mm. Der findes tonsvis af andet software, der er mindst lige så farligt som Java, ude i cyberspace. Software som en f.eks. ikke opdateret browser slæber ind på en PC. Stop den evige nedsabling af Java, den opdatere iøvrigt sig selv.

  • 10
  • 17
Michael Friis

Nu står der faktisk "opfordrer" og ikke tvinger. Men forstår jeg dig ret så er jeg nu enig i at det er forbrugeren selv der skal tage beslutningen. Det skal de dog nok have lidt hjælp til, både hvorfor/hvorfor ikke samt hvordan.

  • 8
  • 0
Morten Hansen

Når nu en uopdateret Java er farlig, bør folk så ikke også afinstallere deres OS, det er jo også en tydelig sikkerhedsrisiko. Både ukendte og kendte exploits udsætter folk for fare, det må vi hellere sende et landsdækkende varsel ud om, det er lige til BT's forside.

  • 3
  • 9
Annika Pedersen

Netop ad bekvemmeligheder har jeg valgt at eboks kun kører fra mobil og tablet.
Faktisk måtte jeg installere Java da jeg skulle ind på skat, kort tid inden de ændrede det.

  • 1
  • 0
Henrik Mikael Kristensen

Hvis man knapt selv kan opdatere Java, får man nok også installeret Ask toolbar, fordi man ikke orker at læse en dialogboks på mere end 2 linjer. Det har Oracle gjort med fuldt overlæg, og det er ren manipulation med brugeren.

Når man så installerer Ask Toolbar, holder visse hjemmesider op med at virke i Chrome, fordi layoutet bliver formatteret forkert. Så skal man bruge tid på at fjerne Ask Toolbar, og det skal man hver gang brugeren har opdateret sin Java uden at læse dialogboksen. Det er den slags småpisseri, der gør det nødvendigt at lave ekstra support på maskiner med Java.

Det kan man ikke forvente at lægmand, der knapt aner hvad Java er, kan finde ud af sammenhængen i.

  • 8
  • 0
Jørgen Ramskov

OK, semi. Hvis du ikke bliver gjort opmærksom på at der en opdatering klar, så er det ens egen skyld.


Godt, så er vi enig. Nærmest alle andre kan finde ud af at auto-opdatere men ikke Java. Man kunne godt mistænke det for at være et bevist valg så flere folk installerer Ask Toolbar.

Som mange andre hjælper jeg jævnligt diverse familiemedlemmer med deres PC'ere. Java er det eneste program jeg har set der har problemer med at opdatere hvis den bliver kørt fra en almindelig brugerkonto på Windows. Den beder korrekt nok om administrator brugernavn og password men derefter fejler den. Jeg har som løsning valgt at installere "Heimdal Free" agenten på maskinerne, den sørger for automatisk at holde Java og diverse andre plugins opdateret.

  • 9
  • 0
Torsten Hagemann

Jeg tror der er mange herinde, som - ligesom mig - forestår support på en del pc'ere i den nærmere familie, og som er grundigt trætte af igen igen at skulle afinstallere AskToolbar. Bemærk at der i den seneste version af java nu er mulighed for at slå den semi-automatiske installation fra:
- Åben java control center (Configure Java)
- På fanebladet Advanced scroller du helt ned i bunden
- Marker checkbox "Suppress sponsor offers when installing or updating Java"
Kom i en af de seneste opdateringer, i hvert fald fra 7.71.

  • 14
  • 0
Erik Jensen

Men når man ikke har noget at bruge det til så er det lidt dumt at have installeret.
Personligt har jeg ikke haft det skrammel installeret på min primære computer i et par år nu. Jeg har en gammel maskine der kun blev brugt til alt det skrammel der krævede flash og/eller java. Den kan jeg nu heldigvis undvære da jeg ikke har noget at bruge Java til mere.
Hver gang jeg har haft brug for den har jeg skulle spilde tid på at opdatere Java først.

  • 2
  • 0
Kim Andersen

Én gang for alle. Så er den ged barberet.
https://www.java.com/en/download/faq/disable_offers.xml

Carsten, jeg tror det der mangler i diskussionen er, at du fortæller hvad IT-professionelle kan gøre. Det de fleste argumenterer for er, at Oracle ikke er særligt brugervenlige. Det ville ikke koste dem meget, men give meget goodwill, hvis brugerne blev spurgte om de gerne vil have tilbuddet om Ask Toolbar i fremtiden...
Grundlæggende er java klienten ikke på niveau med andre software platforme. Microsoft kan godt være stride, men vi får ikke ekstra toolbars, IE som default browser eller kræver særlige handlinger fra brugerne, hver gang .NET skal opdateres.

  • 4
  • 0
Kenneth Dornhoff

Indtil JS-versionen er 112% udrullet, ville det klæde Digitaliseringsstyrelsen særdeles meget at få Oracle til at udbyde en dansksproget og sponsorfri Java-pakke til befolkningen!

Det kan i min optik ikke være rimeligt, at borgerne i et land skal forventes at være "internationalt sprogkyndige" for at kunne installere en krævet komponent i forbindelse med den obligatoriske digitale kommunikationen med landets egne offentlige instanser!

Alle de fikse "silent install"-løsninger (Ninite, Heimdal etc) minimerer problemstillingen i et vist omfang, men det ændrer ikke på, at der vel bør være mulighed for 100% dansksproget software hele vejen igennem forløbet, når man skal kommunikere med kommune, stat, bank og lign.!

OS, browser, NemID og websider fås alt sammen på dansk i dag - hvor svært kan det dog være at få en oversat version af Java? Jeg er ganske overbevist om, at Oracle gerne leverer en sådan mod en passende erkendtlighed. ;-)

  • 2
  • 1
Thomas Vedel

@Svend Lyngsø: Fedt at man kan komme på e-boks uden Java browserplugin via Borger.dk, det havde jeg ikke bemærket.

Men ikke så fedt at e-boks ikke bare er skiftet til Java-script versionen af NemId sammen med resten af det offentlige login.

  • 1
  • 0
Erik Jensen

Det oser jo bare rigtig rigtigt rigtigt meget af skod produkt når man bundler ens eget produkt med crapware.

Jeg husker stadig RealPlayer som fik lagt sig selv i graven ved at bundle deres player med endeløse mængder af crapware.

Det kan du så godt gøre grin med at det er så nemt at sige nej, men der er bare folk der ikke har styr på tingene.
Så tak fra os der skal supportere familie og bekendtes PCere(gratis) og bruge halve og hele aftener på at rydde op fordi almindelige mennesker ikke kan vurdere at de som installationsprogammer fortæller dem at det er en god ide de installerer, rent faktisk IKKE er en god ide.

  • 4
  • 0
Torsten Hagemann

Til alle os der supporterer familie mv., så vil jeg lige nævne at TeamViewer er gratis at anvende til privat brug, og det er lykkedes mig at lære de fleste i familien at åbne den og give adgangskoden over tlf., så jeg kan rydde op hjemmefra.

Undskyld til alle der mener det var irrelevant i denne tråd, men det har været en stor hjælp for mig hver gang jeg skulle ind og fjerne Ask for syttende gang.

  • 4
  • 0
Log ind eller Opret konto for at kommentere