It-kriminelle kaster sig over NemID-teknologien Java

Langt de fleste almindelige brugere bør overveje, om de overhovedet bruger Java, siger Peter Kruse.<<

Hmm. Jeg tvivler på at almindelige brugere ved nok om det til at kunne handle derefter. Jeg er ikke IT uddannet, og ved det i hvert fald ikke.

Både Thomas Kristensen og Peter Kruse anbefaler, at private brugere fjerner de gamle versioner af JRE og installerer den nyeste.<<

Igen: Hmm. For hvordan gør almindelige mennesker det? For os er Java 'et eller andet program som bare ligger på computeren og sørger for at andre programmer kan køre, eller-noget-i-den-retning'. Skal vi af-installere Java inden vi finder nyeste version at downloade på nettet?

Ja ja, jeg ved det godt: Dette er et forum for IT-eksperter som ved alt dette. Men hvis der nu er alvorlige sikkerhedsbrister i NemID, så burde vi IT-ukyndige få nogle (nemme) guidelines fx af selskabet bag NemID i forbindelse med at vi tilslutter os NemID, og videre fremover når vi bruger det. Eller automatiske opdateringer, hvor vi bare skal klikke OK, når vi blir spurgt 'are you sure osv...'

Selv hvis man godt ved hvad Java er, og sørger for at holde den opdateret, kan man stadig få problemer. Pt. har jeg det problem, at der lige er kommet en ny Java opdatering ud, som lukker en del sikkerhedshuller, men da jeg kører OS X, så har jeg ingen mulighed for at opdatere før Apple får taget sig sammen til at opdatere softwaren.

Til gengæld foregår det automatisk, når de gør, men Java er ikke ligefrem højt prioriteret hos Apple, så det er ikke til at sige hvornår.

Jeg har slået Java fra indtil videre, og så bliver jeg nødt til at slå det eksplicit til, når jeg skal bruge NemID. Jeg har endnu ikke set en fornuftig grund til, at NemID bruger Java. SSL burde kunne håndtere sikkerheden og mht. log-filer på brugernes computere, så opfatter jeg det som mere vigtigt at sørge for at lukke for mulige angrebsvektorer.

Hvor ville jeg ønske, at NemID skulle retfærdiggøre deres teknologi-valg overfor en uafhængig ekspertgruppe.

Jeg kan kun give dig ret. De fleste ved ikke en bønne om hvad en JRE er. Man kan altid sige at det er en god ide at fjerne java og så kan man også fjerne .net, flash, IE8, firefox og crome. Nå, nu man er igang så hiv bare netstikket ud, så er der en chance for at man ikke bliver hacket ??? Eller måske man skulle gøre ligesom inderne. Lave sit eget OS og software der til, så er der vel ingen der kan hacke det ??? :-)

Kære Version2.

jeg ville ønske at i producerede mere lødige overskrifter end denne.

Jeg bliver helt i tvivl når jeg læser overskriften, om jeg skal lykønske Oracle med salget af Java til Nemid.

Det nærmer sig edBT overskrifter i jagten på kioskbaskeren at lave sådanne sammenkoblinger.

Med venlige hilsner Jens Jakob

Det er nok et problem der er fælles for de fleste ikke Windows platforme og ja Solaris/Oracles Unbreakable Linux.

Ja, jeg vil med det samme tilslutte mig en mere lødig omgang med overskrifter.

I England har man The Daily Express, som gerne har prinsesse Diana-overskrifter om mandagen, efter en kedelig weekend. Det kan altid sælge nogle aviser.

Skal Version2 til at være Danmarks udgave af dette, bare med NemID? ;-)

Det er nok et problem der er fælles for de fleste ikke Windows platforme og ja Solaris/Oracles Unbreakable Linux.

Både ja og nej. Hvis man benytter en package manager, skal man naturligvis vente til den opdateres, hvilket typisk sker ret hurtigt, men man har altid muligheden for at hente opdateringen direkte fra Oracle.

Problemet er her, at Oracle ikke vedligeholder JVM'en til Apple. Det gør de selv. Det resulterede i, at Java 6 først kom til OS X et år efter, at den kom ud til Windows og Linux.

men man har altid muligheden for at hente opdateringen direkte fra Oracle.

En generel betragtning

Ja, x86-32/AMD64 er vel understøttet direkte af SUN/Oracle til Windows, Linux og Solaris og det dækker det meste af skrivebordsmarkedet, men så har vi diverse Armel-håndsæt (Ved ikke helt med Android, juryen voterer stadig om det kan kaldes Java - men de deler nogle af de samme skavanker).

Ved ikke om OpenJDK/OpenJRE er indbefattet af dette (Ved godt at Open grenen ikke har det godt med SlemID, men det er den fremtidige udviklergren, der medleveres mange frie systemer som standard, selv på openSUSE skal man insistere på SUN-grenen).

Og så er vi nok mange der lige har det bedst med at centrale patches lige kommer en tur igennem maskineriet og kommer igennem de officielle repo kanaler - nogle gange er de lidt for hurtige på aftrækkeren hos Oracle/SUN.

Men du har helt ret i at der ikke er nogen rimelig begrundelse for at DanID har valgt Java til deres løsning (Jeg har Jyske Bank og det var lidt at et skal i ansigtet da NemID brevet ankom) og slet ikke en signeret applet.

»Langt de fleste almindelige brugere bør overveje, om de overhovedet bruger Java,« siger Peter Kruse.

Hvorfor bør langt de fleste almindelige brugere overveje det? Svaret for langt de fleste almindelige brugere er at de bruger netbank og dermed faktisk bruger java. Det står tilmed i artiklen.

God pointe.

Så edBT overskriften kunne ligeså vel - og endnu mere skrækvækkende være:

"It-kriminelle kaster sig over NetBank-teknologien Java"

:-)

hvor mange problemer har der ikke været / er der ikke med internet explorer? Skal almindeligt brugere så også afinstallere den? Nej, vel? Al sikkerhed skal jo afbalanceres med brugervenlighed - hvis der er meningen nogen skal bruge den.

Bruger i øvrigt både windows, mac og linux - og jo, jeg er glad for java og NemID - det virker nemlig alle de steder. Ville gerne ha' den på Android også.

Jeg har faktisk ikke fundet ud af hvilken JRE der er fejl i. Er det kun den fra SUN/Oracle eller er det JRockit, OpenJRE, den til Apple, den på android eller den der er i min blueray afspiller hjemme under fjernsynet (som dog heldigvis ikke er på internettet :-) ). Jeg går ud fra at det ikke er en fejl i specifikationen, men implementerings fejl i forhold til denne.

Med hensyn til overskrifter burde man satse mere bredt. "IT kriminelle går efter PC'er som bruges på internettet.", så har man vel næsten ramt alt og denne overskrift er frit genbrugelig :-)

Artiklens teaser får det til at lyde som om NemID medfører et sikkerhedsproblem for slutbrugeren. Det er da det værste ævl! NemID har faktisk intet med dette sikkerhedsproblem at gøre, da det netop IKKE er NemID som gør det umuligt for brugerne at afinstallere de ældre hullede JRE versioner (hvilket i øvrigt kun er relevant for sådan cirka 0% af slutbrugerne).

Artiklens teaser får det til at lyde som om NemID medfører et sikkerhedsproblem for slutbrugeren. Det er da det værste ævl!

Bortset fra at det var NemIDs eget valg at bruge Java, som bortset fra sikkerhedsproblemer også var et dårligt valg ifbm. understøttelse af smartphones.

Bortset fra at det var NemIDs eget valg at bruge Java, som bortset fra sikkerhedsproblemer også var et dårligt valg ifbm. understøttelse af smartphones.

Understøttelse til smartphone er java faktisk det bedste valg, da det både kan understøttes på android og windows mobile. Om det understøttes i nogle af de browsere der er på nogen smartphone er en anden sag. Men det gør .net sikkert heller ikke. Måske flash gør, men flash har mindst lige så mange sikkerheds problemer som de andre platforme og er langt fra sikkert.

Java er helt klart det bedste valg, hvis man vil have en kode platform der er tilgængelig på så mange hardware platforme så muligt, hvilket også gælder smartphones så vidt jeg kan se.

Anyway Java is 1000 times better than ActiveX... som det var i den gamle DanskeBank homebanking!! Så jeg siger JA TAK Java!

Understøttelse til smartphone er java faktisk det bedste valg

Tror nu at HTML tilsat lidt SSL og JavaScript er mere udbredt og bedre understøttet. Det ville efter min mening være et bedre valg.

Java er helt klart det bedste valg, hvis man vil have en kode platform der er tilgængelig på så mange hardware platforme så muligt, hvilket også gælder smartphones så vidt jeg kan se.

"The iPhone will not support Java applications of any kind. Steve Jobs has been quoted as saying "Java's not worth building in. Nobody uses Java anymore. It's this big heavyweight ball and chain." - http://www.iphonefaq.org/archives/9731

Er der nogen der ved, om det er muligt at indstille Java til fuldautomatiske opdateringer uden brugerindblanding?

Jeg kan få Java til at tjekke for opdateringer, men selve installationen skal foretages manuelt, og det magter/gider mange slutbrugere ikke.

Det er absolut bedre - men som sædvanligt her i landet går man kun halvvejs.

På trods af at nogle banker allerede benyttede en brugbar og gennemtestet løsning (Som nu enten allerede har eller skal til at skrotte denne til fordel for en signeret Java applet).

"The iPhone will not support Java applications of any kind. Steve Jobs has been quoted as saying "Java's not worth building in. Nobody uses Java anymore. It's this big heavyweight ball and chain."

Det har Steve Jobs selvfølgelig ret i, ligesom han hakker på adroid, windows o.s.v. eller nærmere sagt så siger har i store træk lignene ting om alt andet en Apple produkter, og da Steve Jobs er alvidende har han selvfølgelig ret :-)

Jeg håber ikke, at jeg gav udtryk for, at jeg var enig med Steve Jobs, for det er jeg bestemt ikke. Jeg programmerer Java til dagligt, og trenden ser nu ud til at være, at flere og flere bruger JVM'en...omend ikke med Java, men så med alle mulige andre sprog, som genererer JVM maskinkode.

Min pointe var bare, at Java ikke nødvendigvis er det rigtige valg, hvis man vil ramme flest mulige platforme, for iPhone har valgt ikke at understøtte Java.

Godt ord igen :-)

Det er rigtigt at java ikke nødvendigvis er "sproget". JVM'en er som du siger også i sving med andre sprog. Hele VM tankegangen er også det .net baserer sig på, dog på MS .nets egen selvfølgelig.

At Apple har fravalgt JVM(Java), .NET, Flash o.s.v. siger jo mere om Apple end om sprogene/platformene.

Apple får jo mærkværdigvis Microsoft til at se ud som et open source firma, når man ser på hvor proprietært Apple er og hvor lukket den verden er. Meget interessant når man tænker på at MAC OS fra version 10 er en unix, BSD så vidt jeg husker :-)