Javascript-version af NemID til mobilen er klar til pilottest

20. maj 2014 kl. 16:0915
Javascript-version af NemID til mobilen er klar til pilottest
Illustration: Nets.
De første tjenester på Borger.dk vil kunne tilgås helt uden Java-applet fra onsdag den 28. maj, hvor Digitaliseringsstyrelsen tager hul på pilottest af ny løsning.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En af de væsentligste begrænsninger ved den fællesoffentlige login-løsning NemID er nu ved at forsvinde. Den nye Javascript-baserede version er nemlig klar til test, og dermed kan mobilbrugere også få adgang til tjenester, der kræver NemID. Det skriver Computerworld.

Digitaliseringsstyrelsen forventer at åbne for pilottest af den nye løsning onsdag den 28. maj, hvor de første tjenester på Borger.dk vil åbne for Javascript-baseret adgang. Den nuværende NemID-løsning kræver, at brugeren kan køre en Java-applet, og det er ikke alle, der kan det i dag.

»Mange af de nye mobile platforme understøtter ikke Java, og derfor ser det lige nu ud til, at Javascript er den fremadrettede løsning,« siger Cecile Christensen fra Digitaliseringsstyrelsen til Computerworld.

Det er ikke alle tjenester på Borger.dk, som bliver klar i pilotfasen. Digitaliseringsstyrelsen vil offentliggøre en liste på Nemid.nu med de kompatible tjenester. Officielt går den nye løsning i luften den 1. juli, men der vil formentlig være tjenester, som ikke bliver klar før i løbet af sommeren.

Artiklen fortsætter efter annoncen

Den nye Javascript-baserede løsning har kostet 47 millioner kroner at udvikle, som er betalt ligeligt af bankerne og det offentlige. Løsningen er udviklet af Nets DanID, som også står bag den nuværende løsning.

Digitaliseringsstyrelsen forventer, at den Java-baserede løsning bliver udfaset til fordel for enten Javascript eller en anden teknologi, når den nuværende NemID-løsning skal udskiftes i 2017.

Ud over ikke at være understøttet af tablets og smartphones er Java-applet-teknologien også blevet genstand for hackere, som udnytter sikkerhedshuller i den underliggende teknologi til at inficere brugernes pc'er med malware gennem browser-plugins. Der har også været problemer med opdateringer af Java, som Nets DanID ikke havde testet, så NemID-brugerne måtte vente nogle dage med at opdatere og sikre sig mod huller i Java.

15 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
21. maj 2014 kl. 21:26

En tidsplan på et IT-projekt, der rent faktisk bliver overholdt? Jeg vil se det før jeg tror det!

13
21. maj 2014 kl. 14:34

Det er nemt nok at kritisere Nets, men uanset om monopolet brydes, vil løsningen jo reflektere kravstillers ønsker.

Måske er løsningen for ambitiøs? Men det er vel pengeinstitutterne og det offentlige Danmark der bestemmer hvad NemID skal kunne?

8
21. maj 2014 kl. 09:18

"Digitaliseringsstyrelsen forventer, at den Java-baserede løsning bliver udfaset til fordel for enten Javascript eller en anden teknologi, når den nuværende NemID-løsning skal udskiftes i 2017."

Skal det forståes således at de vil køre med 2 forskellige løsninger indtil da? Hvorfor skifter de ikke til javascript løsningen på alle platforme?

9
21. maj 2014 kl. 10:01

Ja, hvad skete der lige der? Kan være jeg ikke har hørt ordentligt efter, men indtil denne udmelding synes jeg Javascript løsningen blev omtalt som det der skulle fjerne afhængigheden af Java af flere årsager, hvor mobil adgang kun var en af dem. Nu ser det ud til at vi skal trækkes med Java et godt stykke tid frem over. Jeg er skuffet :-(

Jeg håber at de enkelte firmaer der bruger Nemid kan og vil skifte til Javascript selv om de ikke bliver tvunget til det.

4
21. maj 2014 kl. 01:14

Det kan godt være det bare er mig, som ikke kender til sikkerhedsaspekterne i det, men hvorfor er det lige at der overhovedet skal al den scripting til? Når krypteringsnøglerne i forvejen ligger i et centraliseret system skulle man synes at det meste kunne ordnes server-side?

Før NemID havde Jyske Bank et nøglekort system som lignede NemID til forveksling, deres netbank på det tidspunkt benyttede hverken Java eller en fancy JavaScript applikation, men det var, simpelt sagt, blot formular-felter med flertrins-login (Man indtastede vidst først sit CPR nummer, og en kode, trykkede på Send, og så refreshede siden og bad om en kode fra ens nøglekort, såvidt jeg husker) via SSL. Er der andre end mig som husker det?

12
21. maj 2014 kl. 12:06

Før NemID havde Jyske Bank et nøglekort system som lignede NemID til forveksling [...] Er der andre end mig som husker det?

Ja! Jeg har nævnt det her et par gange -- det virkede endda ganske glimrende på min lille Palm Treo som absolut ikke kunne andet end at rendere html. I mine øjne er alt hvad DanId har lavet sikkerhedsmæssigt uforsvarligt (client-side code = hello aim-bots) arkitekteret, kriminelt elendigt skruet sammen, og himmelråbende dyrt.

Jeg er meget spændt på, hvem der melder sig når deres monopol udløber og borger logon kommer i udbud.

10
21. maj 2014 kl. 10:18

Husk på, at der er forskel på et banklogin med NemID og et OCES-login til offentlige websider med NemID. Det er faktisk to forskellige systemer, selvom fronten er den samme.

OCES-versionen skal kunne meget mere og leve op til flere sikkerhedskrav. Selvom det måske ikke er en 'ægte' digital signatur, skal OCES-NemID kunne bruges på cirka samme måde. Man kan derfor ikke bare sammenligne Jyske Banks login med nøglekort med NemID til offentlige websider.

vh. Jesper, Version2

7
21. maj 2014 kl. 08:30

det er sjovt som kortet er godt eller ondt afhænger af hvilken NemID artikel der dukker op på Version2. Det er lidt som når man i tv-serier om Afrikas dyr enten følger løven der jagter maden til sine små søde unger eller Zebraungen der bliver jagtet af onde løver.

6
21. maj 2014 kl. 08:24

hvorfor er det lige at der overhovedet skal al den scripting til

Fordi den løsning man har valgt, istedet for at vælge en dedikeret "NemID" login side, er en IFRAME som kommunikerer via postMessage med den side den er indlejret i. Den side hvor framen ligger i, kan så specificere en masse options, som så skal parses af noget script i IFRAME'en.

Sikkerhedsmæssigt havde jeg foretrækket at benytte et redirect eller POST til https://login.nemid.nu/. Det havde været nemmere at verificere at man ikke blev phishet.

Christian

5
21. maj 2014 kl. 08:16

Godt spørgsmål. Samme spørgsmål kunne man stille om Java versionen. Men hey, hvis det var en simpel form kunne man jo ikke kræve 23 millioner for det, og gud ved hvad det kostede for Java versionen.

1
20. maj 2014 kl. 20:55

Der er godt nok nogen, der tager sig betalt for deres arb'

Nåjah det er jo nets, så mon ikke vi ser det kompromitteret i løbet af de første timer.... Så nets bagefter kan score kassen en gang til på at lave arbejdet færdigt.

3
20. maj 2014 kl. 22:59

Det foregår jo på den subtile måde at Nets (der jo er ejet af bankerne) sætter prisen til 47 millioner (baseret ud fra 2200 kr. i timen til "projektarkitekter", "systemintegratorer", "project managers", "senior konsulenter" og bla, bla, bla), hvor efter bankerne (som jo selv ejer Nets) nok så flot "betaler halvdelen" - altså et rent nulsumsspil.

Og resultatet, ja Nets får nok så dygtigt malket samfundet for 23,5 millioner.

Fremtiden tegner lys og sikker i Danmark.

2
20. maj 2014 kl. 22:58

Gad vide, hvad Christian Pantons løsning kostede?