Endnu en udsættelse: NemID virker tidligst lørdag

Nets har netop meldt ud, at man igen må udskyde deadline for en løsning på den fejl, der er skyld i, at NemID ikke virker med den nyeste Java-version. Nu lyder meldingen, at det temmelig sikkert bliver tidligt lørdag.
20

Det kaotiske forløb omkring Javas kvartalsvise opdatering, som satte NemID ud af spillet, er stadig ikke slut. Nets pressechef, Søren Winge, har her til morgen erkendt i en mail til Version2, at problemerne med NemID ikke vil være løst før tidligt lørdag.

I en mail sendt til Version2 fredag morgen beklager Søren Winge, at fejlen endnu ikke er blevet rettet, men forklarer, at det hænger sammen med, at man mangler at fjerne den sidste ‘knast’, som vil blive udbedret i løbet af i dag fredag.

»Vi har i nat arbejdet med at løse de sidste udeståender, men mangler en sidste ting, før vi er helt i mål. Derfor har vi besluttet at afvente opdatering, indtil den sidste knast er fjernet i løbet af i dag - hvilket er vores stærke forventning, at den bliver,« skriver han og fortsætter:

»Det er naturligvis stærkt beklageligt, at vi ikke kommer på plads inden for de to døgn, som vi havde stillet omverdenen i udsigt. Vi har dog besluttet ikke at opdatere med en løsning, der ville løse det aktuelle problem, men risikere at udløse et nyt,« skriver Søren Winge til Version2.

NemID har ikke virket siden onsdag, for de brugere, som har valgt at opdatere til den seneste patch af Java 7, update 45, som lapper 51 sikkerhedshuller fra den tidligere version, heraf mange alvorlige.

Læs også: Nets om Java-problemer: Vi har måske ikke testet godt nok

Han gentager Nets officielle opfordring til ikke at opdatere til den nyeste version og eventuelt nedgradere til den næstnyeste via nemid.nu.

Søren Winge nedtoner i sin mail problemet og fastholder, at der er tale om en lille del af NemID-brugere, der har oplevet problemet på egen krop, men erkender, at det kan mærkes på trafikken.

»Vi kan se, at der er et fald i den normale trafik med NemID, men langt hovedparten af brugerne anvender NemID som de plejer. Men naturligvis rammer denne tekniske udfordring vi i øjeblikket oplever en del brugere,« skriver Søren Winge i sin mail til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Helle Eriksen

Nu kan man så på dr.dk læse at eSec anbefaler at man opdaterer og iørigt på dr.dk læse om forargelsen over at Nets anbefaler ikke at opdatere. Den nye opdatering skulle lukke 58 kendte huller i Java.

Men hvad har det af betydning for en almindelig fornuftig brug af nemId i et par dage eller fire? Ingen!!! Men et eller andet skal de jo tale og skrive om i et forsøg på at promovere deres egen nødvendighed og ansvarlighed.

  • 1
  • 16
Søren Jensen

Det ser ud til at den forventede klardato i øjeblikket bliver flyttet med en dag om dagen. Det er sædvanligvis et tegn på at man reelt ikke aner hvornår det bliver.

Det er da bedre at man får testet end at man smider en opdatering ud som skaber flere problemer.

Selvfølgelig burde de have testet bedre, men når nu skaden er sket er det da om at begrænse den og det kan man da kun gøre ved grundig tests.

  • 2
  • 0
Kristian Sørensen

For år tilbage skrev jeg en del Java Applets.

Bevares der er da en del man skal vide og holde rede på, men det er et rimeligt lille og velafgrænset miljø, så det er overkommeligt at opnå god indsigt i.

Dengang for mange år siden var der desuden en del forskelle og deciderede fejl i de java implementeringer der lå i de browsere som var i brug ude i virksomhederne og hos private. Dem var man nødt til at kende til og kode udenom, for at ens applet kunne virke hos alle brugerne. Men så var det heller ikke sværere.

Det undrer mig hvad det er der er galt med NemId appletten, som gør at den ophører med at virke bare fordi der kommer en række fejlrettelser til java.

Har NemId benyttet sig af fejl og mangler i implementeringerne?

Har NemId undladt at lave grundig kode review og derved ikke opdaget at de uforvarende er kommet til at forlede sig på ikke dokumenterede egenskaber?

Har NemId misbrugt en eller anden sikkerhedsbrist som nu er fjernet?

Det ville hjælpe hvis NemId lagde kildekoden ud på nettet, så vi kan lave et review i fuld offentlighed. Hvis der så også kommer en åben kontrol med at pågældende kildekode så også er den de sætter i drift, så vil vor tryghed ved systemet kunne øges en del.

  • 2
  • 0
Jesper Lund

Det undrer mig hvad det er der er galt med NemId appletten, som gør at den ophører med at virke bare fordi der kommer en række fejlrettelser til java.

Det er jo svært at sige fordi specifikationer af NemID og sourcekoden ikke er tilgængelig, men vi ved at NemID appletten laver nogle ret aggressive ting der minder om trojanere, for eksempel download og eksekvering af binær kode som skjules godt i GIF filer (dermed ikke sagt at NemID appletten er en trojaner, blot at den i realiteten opfører sig som en sådan).

Måske laver NemID appletten ting inden/uden for Java VM sandbox, som Oracle ikke længere synes er smarte i opdatering 45?

Og måske er det noget helt andet... Uanset hvad er det, så vidt jeg husker, ikke første gang at en Java opdatering har lagt NemID ned.

  • 3
  • 0
Niels Dybdahl

Det er vel bare to-tre linier som skal tilføjes manifestfilen. Det burde ikke tage mere end nogle minutter.
Men de har måske ikke et testmiljø som kan simulere de utallige domænenavne som manifestfilen skal sige god for. Og det kan jo godt tage noget tid at stille sådan et testmiljø på benene.

  • 0
  • 0
Niels Dybdahl

Det undrer mig hvad det er der er galt med NemId appletten, som gør at den ophører med at virke bare fordi der kommer en række fejlrettelser til java.

hvis du slår "java console" til via java control panel, så bliver der skrevet en smøre om hvorfor Java ikke vil køre appletten. Der er kommet krav om at der skal stå en linie i Manifest filen om appletten skal køre i sandbox eller have alle rettigheder og der skal stå en linie om hvilke domæner der må køre appletten. Dvs de burde tilføje linierne:

Permissions: All-permissions
Codebase: *

Jeg har godt nok læst et sted at nogen havde problemer med wildcards for Codebase, og hvis Nemid også har det, så kan jeg godt forstå at det tager tid.

  • 1
  • 0
Albert Nielsen

Men hvad har det af betydning for en almindelig fornuftig brug af nemId i et par dage eller fire?

Øh?

Hvad med folk, som fx skal betale regninger på en bestemt dato, og som skal betale strafrenter o.l. hvis de ikke gør det?
Folk som har brug for at foretage en pengeoverførsel fra en anden konto for at undgå overtræk?
osv. osv.
Tænker du aldrig på andre end dig selv?

  • 1
  • 3
Christoffer Kjeldgaard

Jeg vil nu holde fast i, at hvis man skal have lavet en overførsel, ringer man til sin bank i åbningstiden.

Derudover, er det lige meget hvilken platform man vælger at afvikle nemID på. Jeg forstår valget af JAVA som at der er nogle rettighedsmæssige ønsker, der ikke kan implementeres i ret mange andre plugins - f. eks. vil et javascript aldrig få admin rettigheder på en maskine.

NemID burde være drevet som opensource, og upstream changes burde vedtages af en kommission nedsat af staten.

  • 0
  • 0
Ebbe Hansen

nemid - som er det mest sårbare, jeg bruger java til - fungerer fint med ældre java-versioner. Senest påpeget af nets talsmand i forbindelse med '45-problemerne.
Jeg mener bare, at når det vigtigste, mange bruger java til, ikke forlanger opdatering før anvendelse, hvordan får vi så nogensinde brugerne til at tage opdateringer alvorligt?

  • 0
  • 0
Log ind eller Opret konto for at kommentere

Nets: Vi har haft udfald i produktionen af nøglekort

1
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Gratis webinar: Kom godt i gang med en enterprise-ready cloud-platform
Whitepaper
Whitepaper
Tjekliste: De 10 vigtigste overvejelser om colocation
Webinar
Webinar
Gratis Version2 webinar: Undgå GDPR-bøder med sårbarhedshåndtering
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder
IT Company Rank
maximize minimize