NemID fungerer stadig med open-source Java

Det er stadig muligt at gå i netbanken med en open source-udgave af Java. Den er dog kun en lille smule mere sikker end Oracles næstnyeste Java, vurderer ekspert.

Nedbruddet, der for øjeblikket forhindrer NemID i at køre på den seneste Java-platform fra Oracle, Java 7 update 45, berører tilsyneladende ikke brugere på styresystemet Ubuntu med open-source implementeringen af Java-platformen.

Læs også: Endnu en udsættelse: NemID virker tidligst lørdag

IcedTea-implementeringen af Java, som via et plugin gør det muligt at køre Applets under Chrome og Firefox i styresystemet Ubuntu, kan trods de seneste udfordringer med NemID stadig give adgang til netbanken, pokersitet og ikke mindst borger.dk

Det digitale Danmark har siden onsdag morgen ligget på den anden ende, efter en opdatering til Java-platformen fra Oracle har betydet, at NemID ikke længere fungerer. Men anvender man i stedet open source-implementeringen af Java, IcedTea, der bygger på OpenJDK, så er det stadig muligt at anvende NemID.

Version2 har testet med IcedTea-web version 1.3.2 på Ubuntu 13.04.

Chefsikkerhedskonsulent ved Fortconsult, Thomas Wong, peger på, at open source-implementeringen af Java-platformen ikke nødvendigvis i sig selv er mere sikker end den næstseneste udgave af Oracles Java-miljø, som NemID-leverandøren Nets anbefaler at nedgradere til. Den næstnyeste Java-udgave fra Oracle, update 40, rummer 51 sikkerhedshuller, heraf nogle alvorlige, som blev rettet med den nye opdatering.

Open source-projektet og Oracles Java har nemlig en stor del af kodebasen til fælles, forklarer Thomas Wong. Og eftersom IcedTea i Version2's test ikke er nyere end den seneste opdatering til Java fra Oracle, der blev rullet ud i starten af denne uge, så vil IcedTea på Ubuntu 13.04 formentlig også indeholde nogle af de samme sårbarheder, vurderer Thomas Wong.

Alligevel vil en Ubuntu-Java-bruger dog nok være lidt mere sikker med en ikke helt ny IcedTea, i forhold til en Windows-bruger med den næstnyeste - og altså dermed ikke patchede - udgave af Oracles Java-platform på Windows.

»En given sårbarhed, der bliver udnyttet, i den nedgraderede udgave (af Java, red.) vil sandsynligvis være målrettet Windows til at starte med. Så det betyder, at man vil være en lille smule mere sikker på Ubuntu-udgaven.«

Læs også: Nets om Java-problemer: Vi har måske ikke testet godt nok

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Af bankernes erstatningaftale for tab ?

Hvilken aftale? Hvis du er forbruger, er ansvaret for misbrug reguleret af lov om betalingstjenester. Der skal relativt meget uagtsomhed til for at du som forbruger får et ansvar for andres misbrug (udover eventuel lovreguleret selvrisiko, som hvis pin kode anvendes på betalingskort), og bankerne kan ikke bare ændre dette ved at skrive nogle vilkår om at du skal checke for Java opdateringer hvert kvarter. Så vidt jeg husker står der ikke noget om Oracle Java, så hvis du bruger seneste OpenJDK, overholder du den aftale som næppe kan håndhæves fuldt ud..

  • 6
  • 0
Keld Simonsen

Er det openJDK de taler om?

Og er det den seneste udgave af OpenJDK vs den seneste udgave af Oracle Java, der sammenlignes? Den seneste udgave af OpenJDK skulle virke, den seneste udgave af Oracle Java virker ikke. Man må formode at de to versioner er patchet op til at have fjernet cirka de samme huller, da de deler ret meget kode.

Så nyeste OpenJDK må vel være en del sikrere end næstnyeste Oracle Java, hvor de cirka 50 huller ikke er lukket.

Hvis man er interesseret i sikkerhed bør man vel iøvrigt bruge open source, idet der er indbygget bagdøre i meget kommercielt software, incl. Microsoft og Apple. Hvor mange bagdøre, der er i de kommercielle programmer véd vi af gode grunde ikke.

  • 1
  • 2
Lars Bengtsson

Ja, det er kombinationen af IcedTea og OpenJDK der menes i artiklen.

Man må formode at de to versioner er patchet op til at have fjernet cirka de samme huller, da de deler ret meget kode.

Den nyeste release af OpenJDK er 7u40 og den har ikke fået de seneste sikkerhedsopdateringer, som Oracle Java 7u45 har. Der forøvrigt kaldes for Critical Patch Update og forkortes CPU ;). Men CPU er merged i OpenJDK repo'et, så man har mulighed for selv at builde det.

Min kilde er OpenJDK hjemmesiden og mailinglisten.

  • 2
  • 0
Michael Deichmann

Jeg undres! Jeg troede egentlig at hele ideen med Java var et i princippet fortolkende platformsuafhængigt miljø hvor samme source burde kunne afvikles på flere platforme (Unix, Windows, z/OS). Hvis man koder efter det bør en opdatering vel ikke få ens Javaprogram til at vælte?
Med mindre man har lavet noget snavs?

  • 9
  • 0
Kristian Sørensen
  • 4
  • 0
Jimmy Frydkær Dürr

Jeg véd godt, at Java 8 er beta-software. Den er sat til udgivelse engang i 2014, men har været fremme temmelig længe nu. Selv har jeg brugt den siden engang i juni/juli måned.

Af beta-software at være er Java 8 rigtig stabil. Men, som det altid er med beta-software, skal der nok være et hul eller to i den. Og at bruge den gør dig til Java-beta-tester. Jeg bruger den på Debian 7.2 og Debian Sid, og på Ubuntu Gnome 13.10. På disse tre systemer, hvor Java 8 er installeret via PPA, fungerer Java upåklageligt. Så har man mod på det kan man jo installerer den i stedet for at nedgradere sin Java 7.

  • 2
  • 0
Peter Stricker

På disse tre systemer, hvor Java 8 er installeret via PPA, fungerer Java upåklageligt.


Java 7 har sådan set også fungeret upåklageligt hele ugen. Det er NemID appletten, der ikke har fungeret, hvilket NETS også har "taget det fulde ansvar for".

Hvis du har kunnet konstatere at NemID virkede på Java 8, så skyldes det enten, at de seneste fejlrettelser til Java 7 u45 endnu ikke er implementeret i Java 8 b111, eller at din PPA peger på en ældre version.

  • 1
  • 0
XXX XXX

Hej version2.

Har i andre oplevet at IcedTea, OpenJDK og de 4 cifre man bliver bedt om at taste (nøglen fra NemID kortet) ikke vises korrekt?

På min står der:
"22.." eller lign. somom der er en Label-kontrol der har en anden standard width eller padding.

Jeg bruger forresten FreeBSD 9.1 - men har oplevet fejlen/problemet før på Linux.

  • 0
  • 0
Jesper Lund

Jeg bruger forresten FreeBSD 9.1 - men har oplevet fejlen/problemet før på Linux.

I teorien burde NemID slet ikke virke på FreeBSD. Java applet'en er først og fremmest en bootloader, der downloader og eksekverer native binær kode som er compilet til Windows, MacOS og Linux. Så hvis det virker på FreeBSD, må det være fordi FreeBSD kan eksekvere Linux binaries.

  • 1
  • 0
Peter Stricker

I teorien burde NemID slet ikke virke på FreeBSD. Java applet'en er først og fremmest en bootloader, der downloader og eksekverer native binær kode som er compilet til Windows, MacOS og Linux. Så hvis det virker på FreeBSD, må det være fordi FreeBSD kan eksekvere Linux binaries.


Jeg mener ikke at NETS har bekræftet andet end, at den binære kode benyttes til at skabe et unikt fingeraftryk af den computer, appletten afvikles på. Hvis det er dens eneste funktion, så er der også den mulighed, at appletten blot springer kaldet til den binære kode over såfremt appletten afvikles på et operativsystem, der ikke findes binær kode til.

Men muligheden for at FreeBSD kan eksekvere koden til et af de andre OS'er (MacOS er nok ligeså sandsynligt som Linux) er absolut til stede.

  • 4
  • 0
Sune Marcher

Jeg undres! Jeg troede egentlig at hele ideen med Java var et i princippet fortolkende platformsuafhængigt miljø hvor samme source burde kunne afvikles på flere platforme (Unix, Windows, z/OS).


Write once, debug everywhere.

Disclaimer: jeg arbejde med Java professionelt, og synes det er en relativt OK platform... men problemfri er den ikke. (Er der noget der er?)

NemID problemet lugter dog langt væk af NETS-inkompetence, ikke Java-bug.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize