Java-opdatering blokerer NemID

16. oktober 2013 kl. 09:2448
Java-opdatering blokerer NemID
Illustration: Jesper Stein Sandal.
Har du endnu ikke opdateret til den nyeste Java? Så er du heldig. Den fungerer nemlig ikke med NemID.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hvis du opdaterer din Java til den nyeste version, der blev tilgængelig i går, så virker dit NemID ikke. Det skriver dr.dk. Søren Winge, der er kommunikationschef i Nets DanID, bekræfter over for DR, at den nye Java-opdatering ikke spiller sammen med NemID, men han ved endnu ikke hvorfor.

»Det er svært at sige. Indtil videre arbejder vi selvfølgelig på at løse problemet så hurtigt som muligt. Og vi prøver og har hele natten forsøgt at løse dette her,« siger Søren Winge til dr.dk.

Søren Winge anbefaler alle, der ikke allerede har opdateret, til at undlade at opdatere til nyere Java-versioner end 7.40, og han fortæller, at der findes værktøjer til at nedgradere, hvis skaden allerede er sket.

NemID kommer, for dem der har opdateret, sandsynligvis til at være nede resten af dagen og måske endnu længere.

Artiklen fortsætter efter annoncen

»Jeg tvivler på, at det er noget vi kan nå at løse i løbet af dagen. Så det er nok noget, man bliver nødt til at væbne sig med tålmodighed i hvert fald til i morgen,« siger Søren Winge til DR.

Version2 følger sagens udvikling.

48 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
42
16. oktober 2013 kl. 21:53

Har et famililemedlem der oplevede at det var umuligt at anmelde fund af rotter telefonisk. De havde ganske vist et telefonnummer, men damen i den anden ende sagde at det var for at vænne borgerne til de nye løsninger.

43
16. oktober 2013 kl. 22:37

Har et famililemedlem der oplevede at det var umuligt at anmelde fund af rotter telefonisk. De havde ganske vist et telefonnummer, men damen i den anden ende sagde at det var for at vænne borgerne til de nye løsninger.

Hvis det virkelig er tilfældet, så står samfundet over for nogle meget, meget store problemer, for hvad bliver resultatet?

Og hvad bliver det næste, man skal logge på med "NemID" hvis man skal kontakte 112 i forbindelse med en ulykke?

38
16. oktober 2013 kl. 18:39

Ha, god pointe. Men man skal vel bare foretage en vurdering, om man stoler på kilden, ligesom man gør hver eneste gang, at man klikker på et link.

40
16. oktober 2013 kl. 19:06

Ha, god pointe. Men man skal vel bare foretage en vurdering, om man stoler på kilden, ligesom man gør hver eneste gang, at man klikker på et link.

Det er ikke helt sammenligneligt. Jeg forventer at min browser beskytter mig mod installation af malware når jeg klikker på et link (passende sandboxing), og jeg er villig til at klikke på stort set hvad som helst.

Når jeg installerer software kan jeg ikke have samme forventning. Her er "all bets off" da det foregår med root rettigheder. Du har selvfølgelig ret i at man altid skal stole på kilden, men hvad skulle få mig til at stole på et tilfældigt Dropbox eller Wordpress blog link?

33
16. oktober 2013 kl. 14:54

Søren Winge anbefaler alle, der ikke allerede har opdateret, til at undlade at opdatere til nyere Java-versioner end 7.40, og han fortæller, at der findes værktøjer til at nedgradere, hvis skaden allerede er sket.

Jeg tror Søren blander NetBeans versionen sammen med JRE'en. Seneste JRE version hedder 1.7.0 update 45, i daglig tale Java 7 update 45.

31
16. oktober 2013 kl. 13:40

Jeg har forgæves ledt efter Java version 40 til mac, men kan ikke finde den. Nogen der kan hjælpe?

39
16. oktober 2013 kl. 19:04

Mark Kjær, længer oppe bliver der linket til en side på Nordea, hvor man kan hente Java 7 update 40, også til Mac!

http://nordea.dk/nordeatest

30
16. oktober 2013 kl. 13:29

Hørte lige i nyhederne at der var bøvl igen igen.

Så er det da godt man stadigvæk kan bruge nemid med en opdateret OpenJDK på Ubuntu.

29
16. oktober 2013 kl. 13:24

Nu har danske Bank heldigvis aktiveret deres backup-løsning, så man kan logge ind uden nemID. Det var vist det eneste, jeg havde brug for at logge ind på i dag, så jeg fortsætter med den opdaterede Java... :)

28
16. oktober 2013 kl. 12:30

Når vi har med et udviklingshus af Nets' størrelse, der arbejder på så kritiske systemer som NemID, så er det simpelthen for ringe, at man ikke tester bedre.

Det er vist endnu mere kritisk at den software de har lavet tilsyneladende ikke er skrevet på en måde som er sikker i dens arkitektur... for hvis den var det ville det her jo slet ikke være et problem? Det ser jo ud til at man lavet usikker kode som kun virkede på grund af en usikkerhed i Java... Det burde da ikke forekomme i en sikkerhedskritisk applikation....

Hvad mener I?

PS: Java er på ingen måde perfekt, og bør naturligvis hele tiden forbedres og holdes opdateret til den sidste nye version.

27
16. oktober 2013 kl. 12:24

Kære journalist

"Java-opdatering blokerer NemID" -> "Sikkerhedshul i NemID umuliggør login"

Kan vi ikke ændre headeren på denne artikel så det ikke ser ud som om det er Javas skyld at det ikke virker?

26
16. oktober 2013 kl. 11:51

Altså, når man bruger NemID forpligter man sig vel til at holde sin java opdateret fordi ellers overtræder man reglerne for brug af NemID.

Kunne være fedt hvis hackere aktivt udnyttede nogle af hullerne i 7.40 til at hacke sig vej og stjæle en MASSE penge fra bankerne.

Så kunne de måske endelig lære at man ikke bygger sin sikkerhedsløsning på sådan noget skrammel som Java.

Kunne alle disse problemer da så bare blive starten på enden for SkodID og vi så kunne få noget ordentligt så er det ikke helt spildt.

25
16. oktober 2013 kl. 11:29

Nu har Nets jo mere eller mindre indrømmet, at det nok er dem der har sovet i timen, så måske JAVA kritikerne, har været lidt for hurtige på aftrækkeren, som sædvanligt.

Når vi har med et udviklingshus af Nets' størrelse, der arbejder på så kritiske systemer som NemID, så er det simpelthen for ringe, at man ikke tester bedre. Desuden er de, eller burde være det, helt sikkert tilmeldt de udviklingsudgivelser af Java, som som giver dem mulighed for at teste og tilrette deres løsning til kommende versioner, hvilket gør den manglende test endnu mere kritisk.

Så,

Java - go go go, keep improving Nets - DET ER EN OMMER!!!

24
16. oktober 2013 kl. 11:27

I Chrome, Chromium eller Firefox

22
16. oktober 2013 kl. 11:08

Mon der er noget i nets kontrakt med staten, der giver dem en ordentlig bod i forbindelse med en sådan svipser? I givet fald gerne noget de kan mærke :-)

Og har de forsikringen i orden til at erstatte skader sket som følge af den nedgradering, de anbefaler?

20
16. oktober 2013 kl. 11:01

Inat fik jeg følgende fejl:

"This application will be blocked in a future Java security update because the JAR file manifest does not contain the Permissions attribute. Please contact the Publisher for more information"

Et eller andet kunne tyde på at 'future' var med det samme.

21
16. oktober 2013 kl. 11:05

Ja, enten det, eller også kaster det en eller anden exception, som ikke bliver håndteret på en ønsket måde. Begge må hører unde mit bud på hvad der er galt. Men jeg har ingen indsigt, så det er hvad det er: Gæt.

19
16. oktober 2013 kl. 10:40

Min Firefox blokere min login side til netbanken, da mit Java ikke er opdateret. Hvis jeg fjerner blokeringen for siden, bliver jeg henvist til en Java 7 Version 45 opdatering.

Den eneste måde jeg (umiddelbart) kan få login boksen frem er ved at opdatere, men så virker det ikke, eller hva'?! Det er lidt op af bakke... Heldigvis er det ikke strengt nødvendigt for mig at bruge NemID i dag, men kan forestille mig andre er i samme situation.

18
16. oktober 2013 kl. 10:34

Eller hvordan fungerer det i den verden ? Hvis der er det, hvilket jeg mener Nets virkelig, virkelig bør have - så ligger ansvaret for miseren jo udelukkende hos Nets, der ikke har testet nok.

17
16. oktober 2013 kl. 10:30

Manden fra SlemId tåger. Hvad så hvis min netbank hacket som følge af kendte sikkerheds huller i java 7 update 40??? Som jeg læser deres regler om brug af SlemId er jeg forpligtet til at instalere sikkerheds opdateringer. Jeg kan vel ikke bare set bort fra de regler jeg sagde ja til da jeg fik oprettet SlemId bare fordi en eller anden kommunikations gut pludselig opfordre alle danskere til ikke at sikkerheds opdatere deres pc? Tæller det her som nedetid for SlemId? For systemet er vel nede for alle som følger reglerne for brug af SlemId...

https://www.nemid.nu/dk-da/om_nemid/regler/regler_for_nemid/3.3 Sikkerhed ved brug "du bruger NemID på en computer, hvor operativsystem, internetbrowser og øvrige programmer løbende bliver opdateret med de seneste sikkerhedsopdateringer."

15
16. oktober 2013 kl. 10:11

Så er det gode spørgsmål jo om jeg så bare kan holde DanID ansvarlig hvis der sker indbrud i min PC pga. et sikkerhedshul jeg bevidst har undgået at patche pga. at jeg er nødt til at kunne logge på NemID?

Hvor sender jeg opkrævningen til?

10
16. oktober 2013 kl. 10:05

This application will be blocked in a future Java security update because the JAR file manifest does not contain the Permissions attribute. Please contact the Publisher for more information.

Det er tilsyneladende nets, der har sovet i timen.

Ovenstående tekst er fra tilladelsen til at køre applet.danid.dk omendskønt teksten ikke siger noget om her og nu.

9
16. oktober 2013 kl. 10:02

Brugbarhed over sikkerhed.

Det er i hvert fald hvad bankerne vælger, når de anbefaler ikke at opdatere Java.

Det her er jo fuldstændig forrykt; det er noget virkelig lort hvis folk bliver bange for at opdatere Java, af frygt for at NemID (nem? hvilken ironi lige pt.) stopper med at virke.

12
16. oktober 2013 kl. 10:07

Med eller uden ASK installer ?

... ;)

48
17. oktober 2013 kl. 03:22

Med al respekt for dit ønske om at hjælpe, synes jeg det er dårlig sikkerhedspraksis, at installere software fra tilfældige mirrors. Med mindre Oracle har publiceret checksums på de forskellige installers, så man kan verificere at der ikke pillet ved filen.

Det er jeg ikke bekendt med de har (ret mig gerne), så jeg ville personligt foretrække at downloade fra http://www.filehippo.com/download_jre_32/ (højre side), selvom det selvsagt ikke er nogen garanti :-)

Edit: Ser først nu at Jesper Lund allerede har ytret samme betænkelighed.

4
16. oktober 2013 kl. 09:47

Det har jeg jo så lige spildt en del tid på, inden jeg så denne artikel - nu har NemID lige fået banket ind i hovedet på os, at vi skal sørge for altid at holde vores Java opdateret, og nu skal man så til at nedgradere for at det virker. Det er ikke nemt at være "kunde" ved NemID.

5
16. oktober 2013 kl. 09:52

Næ... det er hvad der sker, desværre. Fx på mit arbejde havde vi også flere problemer med .NET 4.0 til 4.5, som er en "highly compatible update". Problemet kan være fejl introduceret af Oracle, eller kode der afhænger af en bestemt, men udokumenteret, opførsel af den specielle Java-version.

3
16. oktober 2013 kl. 09:46

Hvorledes så med folk der skal bruge NemID til f.eks. at tjekke jobforslag på jobnet? Hvis idag er deres sidste dag i 7 dags perioden og de teknisk er forhindret hvem er så ansvarlig? Kan det virkelig passe at vi som grund tanke skal gå udfra at systemet ikke virker og være permanent mistroisk overfor om det nu koster os penge eller ej? Der nævnes værktøjer til at nedgradere, må mit gæt være på Windows maskiner og IE, sikkert ingen hjælp når der tales om andre systemer eller browsere og hvorledes med hovedparten af brugerne som ingen teknisk indsigt har?

41
16. oktober 2013 kl. 21:38

Hvorledes så med folk der skal bruge NemID til f.eks. at tjekke jobforslag på jobnet?

Digitaliseringsstyrelsen om NemID-nedbrud: Du kan altid ringeNedetid og andre problemer for NemID, som onsdagens Java-bøvl, har generelt været så begrænset, at det ikke har givet problemer med digital selvbetjening, siger Digitaliseringsstyrelsen.

Og for der alligvel er ramt af det, er det bare ærgerligt. Det er deres eget problem. Både Margrethe Vestager og Trine Bramsen har sagt at NemID er fantastisk, og så er NemID det.

37
16. oktober 2013 kl. 18:18

Hvad jobnet angår må man godt gøre det 2 gange om ugen. Det gør jeg for undgå at glemme det.

jeg bruger også alm. brugernavn & kodeord til jobnet, fordi jeg ikke stoler på NemId.

2
16. oktober 2013 kl. 09:42

I følge brødteksten, så er det Java opdateringen der ikke virker pga. NemId, det er vel omvendt? :-)

1
16. oktober 2013 kl. 09:37

Meldingen med 7.45 er stadig Genstart Browser eller Afbryd. Igen dåglig eller ingen information på bankernes sider om "lad være at opdatere"

11
16. oktober 2013 kl. 10:05

Meldingen med 7.45 er stadig Genstart Browser eller Afbryd. Igen dåglig eller ingen information på bankernes sider om "lad være at opdatere"

og NemID skriver blot følgende under driftsstatus:

15. okt. 23:08
Problemer med seneste java opdatering
Der meldes om problemer med login med NemID efter opdatering til java 7 opdatering 45, vi anbefaler derfor at man ikke opgradere til højere end java 7 version 40

Absolut ingen information om, hvordan man nedgraderer fra ver. 45 til 40 og heller ingen information om at det overhovedet er muligt at nedgradere.

Det er simpelthen under al kritik, de skulle fyres på stedet.