Den finske it-sikkerhedsekspert Mikko Hyppönen anbefaler danskerne at holde Java og NemID langt væk fra den browser, man bruger til hverdag.
I stedet bør man installere en browser ved siden af, som alene bruges til at logge på netbanken eller gå på Skat.dk med NemID.
Det skriver Mikko Hyppönen, der er chefforsker ved antivirusfirmaet F-Secure, i en e-mail til Version2.
Bruger du for eksempel Internet Explorer til hverdag, så installer Firefox ved siden af og brug den til dine NemID-opgaver alene:
»Hvis du har brug for Java til for eksempel NemID, så kan du selvfølgelig ikke slette det. Men afinstaller plugin'et (Java, red.) fra din browser og brug udelukkende en sekundær browser med plugin'et installeret til at tilgå de hjemmesider, der har brug for det,« skriver Mikko Hyppönen i en e-mail til Version2.
Han kritiserede før jul Java-teknologien for at være sårbar over for hackere, når den bruges som et plugin i brugerens browser.
Derfor anbefalede han generelt, at man afinstallerer Java-plugin'et fra sin browser, hvis ikke man har brug for Java.
Nets DanID, der står bag NemID, har efterfølgende afvist over for Version2, at sårbarhederne i Java-plugin'et lige nu udgør et potentielt problem for sikkerheden omkring NemID.
Nets DanID følger dog trusselsbilledet tæt.
Problemet er ikke nødvendigvis i sig selv Java-applikationer som NemID, understreger Mikko Hyppönen over for Version2.
Det er der i mod, at hackerne står i kø for at sende ondsindede Java-exploits i retning af intetanende brugere, der besøger hjemmesider uden at have opdateret deres Java-plugins.
Han nævner et aktuelt eksempel, hvor menneskerettighedsorganisationen Amnestys britiske hjemmeside lillejuleaften blev hacket og fik lagt en iframe - et HTML-element - op med et link til en brasiliansk server, der hoster exploit-kode til en af de aktuelle sårbarheder, Java Rhino.
Java Rhino er en af de sårbarheder, der i stor stil er blevet misbrugt af hackere til at kapre brugeres pc'er.
»For at mindske risikoen for at blive ramt af den slags angreb bør man fjerne Java-plugin'et fra sin browser. Eller køre Chrome, der har bedre sandboxing (beskyttet miljø, red.) til Java. Eller sørge for at holde Java helt up to date,« forklarer Mikko Hyppönen til Version2.
Han understreger, at hans kritik kun retter sig mod Java-appletter på web.
»Java-applikationer på din pc eller på servere er en helt anden historie,« skriver Mikko Hyppönen.