Java-baseret NemID trues af plugin-skrotning - styrelse leder efter alternativ

4. februar 2016 kl. 07:5312
Java-baseret NemID trues af plugin-skrotning - styrelse leder efter alternativ
Illustration: Privatfoto.
Medarbejdersignatur med nøglefil anvender stadig Java browser-plugin, som Oracle nu er ved at udfase.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Oracle har besluttet at begynde udfasningen af det browser-plugin til Java, som i den første udgave af både Digital Signatur og NemID var nødvendigt for at bruge signaturerne. Mens de fleste almindelige bruger af NemID nu kan benytte en Javascript-baseret version, så er der stadig brugere af medarbejdersignatur-versionen, som er afhængige af Java-pluginet.

»Vi er fuldt opmærksomme på udviklingen omkring browser-plugins til Java. Og vi er i gang med at undersøge de fremadrettede muligheder. Vi har endnu ikke nogen konkrete tidsplaner. Det er dog vigtigt at sige, at der stadig er medarbejderløsninger, som kan anvendes uden brug af Java. For eksempel NemID medarbejdersignatur med nøglekort eller signaturcentralløsningen (LSS),« skriver konstitueret kontorchef Charlotte Jacoby fra Digitaliseringsstyrelsen i et e-mailsvar til Version2.

Problemet kan specifikt opstå for den variant af NemID medarbejdersignatur, som er afhængig af en nøglefil, der ligger lokalt på pc'en. Den minder således om den første udgave af Digital Signatur og bygger på en Java-applet, som kræver et browser-plugin.

Den gode nyhed for nøglefilsbrugerne og Digitaliseringsstyrelsen er, at udfasningen først sker i Java 9. Oracle er stadig i færd med at betateste udviklerversionen JDK 9, og der bliver tale om en større omorganisering af Java-platformen gennem det projekt, der kaldes Jigsaw.

Artiklen fortsætter efter annoncen

I december kom Oracle med den for Java-udviklerne triste udmelding, at JDK 9 ville blive udskudt i yderligere seks måneder. Dermed kommer der en færdig testversion af JDK 9 den 25. maj i år, men den officielle lancering bliver først den 23. marts 2017.

Dertil kommer, at browser-pluginet kun bliver markeret som forældet i udviklerversionen. Det bliver først fjernet fra de to udgaver, almindelige brugere vil benytte, i JRE og SE 9, som udkommer på et endnu senere tidspunkt. Desuden vil Java 8 fortsat være supporteret i en vis periode efter lanceringen af Java 9.

Med alle disse forbehold på plads, så vil den nøglefilsbaserede NemID på et tidspunkt miste muligheden for at få et opdateret plugin. Det kan være problematisk, fordi dette plugin i forvejen er udskældt for at udgøre en sikkerhedsrisiko.

»Vi følger udviklingen og kigger på mulighederne for at udvikle en Java-uafhængig løsning til medarbejdersignatur med nøglefil,« skriver Charlotte Jacoby.

Digitaliseringsstyrelsen påpeger ligeledes, at der findes eksempelvis medarbejdersignatur med nøglekort, som fungerer uden Java-plugin.

Senere vil alle de nuværende NemID-versioner dog skulle erstattes af en helt ny udgave af NemID. Arbejdet på den nye udgave er lige nu i analysefasen og forberedelsen af et udbud. Planen er lige nu, at den nye udgave af NemID kan afløse den eksisterende i november 2018.

Emner
12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
Bjarke Alling
5. februar 2016 kl. 12:23

Nu er det jo altid sjovt at gøre sig morsom på andres bekostning. Men der også dele i både sygehussektoren og den offentlige forvaltning der brugere nyere browsere. Hertil kommer så hele den private sektor med advokater, revisorer, banker, forsikring osv. Eksempelvis upload og digital underskrift på regnskaber hos Erhvervsstyrelsen og skøder, pantebreve mv. på den Digitale Tinglysning. Hos alle disse har de sågar opdaget at Windows 10 er bedre end Windows 95 & XP.

  • more_vert
    • insert_linkKopier link
10
Michael Aggerholm
5. februar 2016 kl. 10:19

Jamen Bjarke, som jeg skrev så benyttes der på sygehuse ofte meget gamle browserversioner (ie6). Problemet er vel kun aktuelt der hvor man benytter meget nye browsere?

  • more_vert
    • insert_linkKopier link
9
Bjarke Alling
4. februar 2016 kl. 20:31

Ja. Det er et kæmpeproblem. Stort set alt landets sygehuspersonale og 10.000 vis af stats- og kommunalemedarbejdere er dagligt afhængige i at de kan tilgå mange hundrede nationale IT systemer med deres NemID Medarbejdersignatur og den nuværende Opensign MOCES Java applet. Denne applet er iøvrig opensource og koden findes her: http://www.openoces.org/opensign/index.html

  • more_vert
    • insert_linkKopier link
8
Christian Nobel
4. februar 2016 kl. 19:32

Hvis borgerne kunne snakke sikkert sammen med hinanden direkte via NemID, så ville DanIDs pengemaskine ikke hænge sammen.

Systemet er jo slet ikke designet til at borgerne er i centrum, og det er da en helt kættersk tanke at borgene indbyrdes skulle kunne tale sikkert sammen - og hvis de endelig skulle være så formastelige, så må vi hellere få igangsat noget logning.

Det eneste det drejer sig om er at statsmagten kan kommunikere med pøblen på en måde der giver sikkerhed for at ansvaret kan tørres af på borgerne, og bankerne har en metode til at fraskrive sig deres ansvar.

  • more_vert
    • insert_linkKopier link
7
Kenneth Mejnert
4. februar 2016 kl. 19:14

Jeg er bange for, at der er ikke er mange der tænker på os 10-12 stykker, som har købt NemID på hardware.... desværre.

  • more_vert
    • insert_linkKopier link
6
Andreas Bach Aaen
4. februar 2016 kl. 14:44

Hvad så med den mest oversete NemID mulighed overhovedet. NemID på hardware. Den eneste løsning hvor nøglegenereringen ikke sker central på en statskontrolleret "sikker" server? Denne løsning er også afhængig af Java.

Det er givet vis også den eneste løsning der fuldt ud lever på til lovgivningen på området. De øvrige løsninger kan kun ses som advancerede login løsninger. Jeg har vikeligt svært ved at se, at man kan anse det for sikkert at hele landets private nøgler ligger på een og samme server. Med adgang til denne kan man udgive sig for at være hvemsomhelst. Utroligt sårbart design.

Med udfasningen af Java i browsere frygter jeg at den eneste rest der er tilbage af det oprindelig sikre design nemlig NemID på hardware vil udgå.

Problemet er at et mere sikkert og distribueret system ikke er i DanIDs interesse, da de tjener penge på hver centraliserede transaktion. Hvis borgerne kunne snakke sikkert sammen med hinanden direkte via NemID, så ville DanIDs pengemaskine ikke hænge sammen.

  • more_vert
    • insert_linkKopier link
5
Michael Aggerholm
4. februar 2016 kl. 14:20

Så vidt jeg kan læse så handler det her om medarbejdercertifikater. Så for hr. og fru Jensen betyder det ikke så meget.

Rigtig mange virksomheder, som benytter denne type løsninger, kører i forvejen på nogle meget gamle browserversioner, fordi det kræver deres forskellige øvrige web applikationer og infrastruktur. Udgiften ved at opgradere alt dette er mindre end udgiften til Microsoft for forlænget support (hvor uhyrlig høj den så måtte være), så det vælger man i stedet for. Sådan har det været i samtlige de offentlige virksomheder jeg har haft den fornøjelse at udføre konsulentarbejde for.

Så ja det er et problem men nok ikke helt så akut endda.

  • more_vert
    • insert_linkKopier link
4
Mads Bendixen
4. februar 2016 kl. 11:48

Angående IE 11 og Windows 10:https://technet.microsoft.com/en-us/library/mt156988(v=vs.85).aspx

Selvom Win10 ikke er nævnt i tabellen, så skriver de også i mit oprindelige link: "After January 12, 2016, only the most recent version of Internet Explorer available for a supported operating system will receive technical support and security updates."

  • more_vert
    • insert_linkKopier link
3
Dennis Skovborg Jørgensen
4. februar 2016 kl. 11:17

IE11 findes i Windows 10.

Ah, det var jeg ikke opmærksom på. Windows 10 er ikke nævnt i tabellen på den side du linker til?

Windows 8.1s support på ny hardware ryger også næste år.

  • more_vert
    • insert_linkKopier link
1
Dennis Skovborg Jørgensen
4. februar 2016 kl. 10:34

Selvfølgelig fint at Java 8/9 nok kommer til at have et plugin i mange år endnu, men kommer der til at være noget at køre det på?

Chrome og Edge kan ikke, Firefox stopper i år. IE11 kan, men Windows 7 er ikke supporteret på Skylake (og nyere) efter midten af næste år.

Så Safari, muligvis Firefox ESR og ellers IE11 på hardware der pludseligt ikke kan købes længere?

  • more_vert
    • insert_linkKopier link