NemID om manglende fejlmeddelelser: Vi kan ikke gøre det bedre

Nedbruddene for NemID har ført til kritik af fejlmeddelelserne, som enten ikke er der, eller kan skabe forvirring. Men det kan ikke gøres bedre, mener DanID.

Da NemID brød ned søndag den 31. oktober, gav det ballade for netbankbrugere, der var logget ind og forsøgte at bruge NemID til at godkende en transaktion.

En Version2-læser, der til dagligt arbejder som webudvikler, fik således spærret sin NemID-konto, fordi han forsøgte at logge på for mange gange. Der var ingen fejlmeddelelser om nedbruddet i den situation, fortæller han, og den løsning forstår han slet ikke.

»Det er sgu' pinligt, at et system kan være lavet så ringe. Danske Bank kan ikke videregive en fejlmelding eller advarsel om, at der er noget galt. DanID spærrer NemID'er, mens at deres system er nede. Det er mig ubegribeligt, at ting kan være lavet så dårligt,« lyder kritikken.

Men ifølge DanID's kommunikationschef Jette Knudsen er det ikke muligt for DanID at få fejlmeddelelser lagt ind i netbank-applikationerne.

»Vi kan ikke lave en fejlmeddelelse, der popper op i situationen. Det er der rigtig mange gode tekniske grunde til. Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu og giver bankerne besked, og de plejer at være hurtige til at skrive en fejlmeddelelse,« siger hun.

Der vil dog altid være en forsinkelse fra fejlen er opstået, til driftsfolkene hos DanID har opdaget fejlen og sendt besked ud til bankerne, som så derefter selv skal have lagt besked ind.

»Forventningen er, at man får beskeden i samme sekund, men det vil vi aldrig kunne gøre. Der er dette forløb, hvor vi giver bankerne besked, og den proces prøver vi at gøre kortere hele tiden,« siger Jette Knudsen.

Fejlmeddelelser gør livet lettere for hackere

En anden kritik af DanID's fejlmeddelelser kommer fra it-bloggeren Dorte Toft. Med NemID ramt af flere nedbrud på kort tid, samt bøvl med en Java-opdatering, er brugerne efterhånden så vant til fejl, at det bliver nemmere for hackere at manipulere folk gennem falsk fejlmeddelelser, lyder argumentet.

Og Jette Knudsen er helt enig i kritikken.

»Dorte Toft har jo ret. Men når vi har en unormal situation, har vi en forpligtelse til at fortælle om situationen, som den er,« siger kommunikationschefen.

Som eksempel bruger Dorte Toft situationen med Java-opdateringen, hvor DanID bad brugerne om at genstarte browseren for at løse problemet. Men når det bliver normalt med den slags fejlmeddelelser, kan it-kriminelle nemmere lokke knap så it-kyndige brugere til andre handlinger, som kan hjælpe hackerne, lyder argumentet fra Dorte Toft.

For DanID er det en afvejning mellem at give præcis besked, og at forsimple situationerne for ikke at forvirre nogen.

»Det er et dilemma, vi står i. Alternativet er kun at bruge helt generelle fejlmeddelelser, som at 'der er driftsproblemer med NemID i øjeblikket', men det er ikke specielt godt i situationen eller særligt handlingsorienteret,« siger Jette Knudsen.

NemID har været ramt af timelange nedbrud den 21. oktober, 31. oktober og 5. november samt en række mindre driftsproblemer derudover. Siden juni har DanID måtte betale bod til IT- og Telestyrelsen hver måned for ikke at leve op til kravene i kontrakten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Jorsal

Det kan simpelthen ikke passe, hvis systemet er lavet sådan, at der i de API-kald der går mellem DanID og netbankerne ikke er lavet en fejlkode.

Det skulle være noget af det første man tænker på, når man skal beskrive grænsefladen mellem de 2 systemer - og ikke mindst ved et kritisk system.

Hvis der ikke er mulighed for at sende fejlkode mellem de 2 systemer, så er det simpelthen tegn på inkompetance fra udviklerne - og så vil jeg håbe hele projektet bliver droppet snarest, da det godt kunne være et tegn på, at resten af systemet slet ikke er gennemtænkt.

Hvor er jeg glad for, at jeg lige har åbnet en konto her i Raiffeisenkasse i østrig. Det kræver ikke fast bopæl her. Jeg spurgte om netbank, fik koderne udleveret i banken 2 dage senere - og det virker bare. Og en udlandsoverførsel til f.eks. DK koster kun 17 cent, så det er næsten værd at flytte hele sin bankforretning ud af landet, hvis NemID bliver ved som de er startet.

  • 0
  • 0
Steen Guttknecht

Yes, det er i hvert fald amatør-agtigt, at fejlmeddelelser ikke kan vises på normal vis. Pinlig software på et kritisk område. Og mer' pinligt, at systemet ikke kan håndtere hvem der er tilmeldt. Og det er øjesynligt tilfældet, for ellers fik man vel ikke (ca en gang om ugen) en email fra DanID, med meddelelsen:

Kære XXXXX XXX

Vi har registreret, at din Digitale Signatur udløber 18/11-2010.

Digital Signatur er den 1. juli 2010 afløst af NemID, hvorfor du ikke kan forny din Digitale Signatur. Vi kan i stedet tilbyde dig NemID - ....
Har du allerede fået NemID via din bank eller bestilt NemID på nemid.nu, kan du se bort fra denne mail...
Venlig hilsen
DanID A/S

..... selv om man siden introen af NemID har benyttet denne.

  • 0
  • 0
Jon Loldrup

»Det er et dilemma, vi står i. Alternativet er kun at bruge helt generelle fejlmeddelelser, som at ’der er driftsproblemer med NemID i øjeblikket’, men det er ikke specielt godt i situationen eller særligt handlingsorienteret,« siger Jette Knudsen.

hmm. en generisk fejlmeddelelse er da meget bedre end ingen fejlmeddelelse?

  • 0
  • 0
Gert Galster

DanID’s kommunikationschef Jette Knudsen citeres for: "... Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu ..."

Det er ikke bare lemfældig omgang med sandheden - det er ganske enkelt urigtigt.

Og på den automatiske telefonsvarer skal man heller ikke forvente, at de indrømmer deres fejl.

  • 0
  • 0
Henrik Pedersen

»Vi kan ikke lave en fejlmeddelelse, der popper op i situationen. Det er der rigtig mange gode tekniske grunde til. Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu og giver bankerne besked, og de plejer at være hurtige til at skrive en fejlmeddelelse,« siger hun.

Giv mig bare en, bare EN god grund, som ikke starter med: "Vores sikrede servere bag en firewall."

Nu grænser jeg sgu til at fælde en lille tåre her, på hele Danmarks vegne. Jeg sad lige og lavede min matematik aflevering foran TV'et for et kvarter siden, og der måtte jeg se på ikke bare en, men 2(!), NemID reklamer på bare det ene kvarter.

Den almene dansker bliver jo fodret med propaganda, mens systemet der skal forestille at være "åååh så godt" fejler omkring 3 - 4 gange om ugen.

... Konklusion:
... Jeg så gerne nogle hoveder der rullede, og et stik der blev trukket!

  • 0
  • 0
Søren Andersen

...ja, en gang(P)BS..

Jeg kan simpelthen ikke få ind i mit hovede hvordan bankerne fik svunget den her løsning.

Reelt set har vi allesammen betalt (gennem skatten) for at bankerne kan realisere et monopol på netbanks login tjenester og de får så lige de offentlige systemer med som en bonus...
Hvor mange software devs og token producenter røg der lige i svinget dér? Jeg kan ikke forstå konceptet i at en hel branche skal statssikres det her monopol.

At systemet så også rent teknisk og designmæssigt er til grin kommer bare oveni hatten.

Specielt en af de sidste nedbrud hvor deres ene login server failer så 50% af trafikken går i hegnet... det er simpelthen mangel på basale IT infrastruktur færdigheder at den slags kan ske. Hvad skete der med helt alm. automatisk failover?

Man bliver nødt til at spørge sig selv hvem der i realiteten har fordel af dette system, for sådan som jeg ser det, er det ikke forbrugerne. De bliver shafted mens PBS sidder og tæller deres penge. Man bliver helt konspirationsteoretisk anlagt...Det grænser (eller burde) til inhabilitet.

Hvor mange penge har det nu kostet at realisere den hypotese at borgerne ikke kan holde styr på 2 forskellige passwords og et par nøgler?

Jeg er klar over at der ikke er de store nye åbenbaringer i denne post, jeg skulle nok bare have luft.

Personligt har jeg ikke turdet aktivere min NemID endnu. Jeg venter til min bank sætter mig kniven for struben og tvinger mig. Det kommer nok snart. Så håber jeg at de værste børnesygdomme, på hvad der, meget generøst, kan kaldes et beta-fase produkt, er blevet kureret.

Fra afmagtens korridorer:
S. Andersen

  • 0
  • 0
Jens Jönsson

»Vi kan ikke lave en fejlmeddelelse, der popper op i situationen. Det er der rigtig mange gode tekniske grunde til. Når vi har driftsproblemer, skriver vi det på vores egen side nemid.nu og giver bankerne besked, og de plejer at være hurtige til at skrive en fejlmeddelelse,« siger hun.

Var det en hvilken som helst anden IT virksomhed, der hostede noget og ikke kunne melde korrekt ud om fejl, var kunderne skredet for længst.
Men sådan er det jo desværre når der er monopol på noget.

  • 0
  • 0
Jesper Mørch

Hvis den side blev lavet af de samme programmører som har lavet resten af systemet, så ville den statiske fejlside nok ikke passere validering ;)

Jo da, den skulle bare skrives i Java og afvikles lokalt fra din egen computer. Helst som en signeret applet ;o)

  • 0
  • 0
Henrik Pedersen

Haha you made my day! :)

For sjov tjekkede jeg lige deres side med validator.w3.org... Forsiden og de FØRSTE undersider er faktisk valide ! (kom lidt som et shock)

Men hvis man graver lidt dybere, så:

http://validator.w3.org/check?uri=https://www.nemid.nu/support/vejlednin...

Det afspejler nok egentlig deres generelle attitude: Hold forretnings facaden ren og skindende, men grav lidt dybere og du drukner i fejl.

Jeg må dog indrømme, at jeg havde haft lettere ved at acceptere valideringsejl på deres hjemmeside, hvis bare selve produktet nu også virkede!...

  • 0
  • 0
Carsten Nielsen

Jeg undrer mig meget over, hvorfor vore kære videnskabsminister Charlotte Sahl-Madsen, som jo er ansvarlig for indførselen af NemID, ikke tager aktion, og stopper udbredelsen af dette meget fejlramte og usikre system, indtil at systemet kører tilfredstillende. Det kan simpelthen ikke passe, at man laver et system, som ikke engang kan give brugerne en fejlmelding under login, hvis der er problemer, og at brugernes login så ikke unødigt spærres.
Jeg går med tanker om, at skrive en klage til ministeren, men om der komme noget ud af det, kan jeg godt være meget i tvivl om.

  • 0
  • 0
Palle Kaastrup

Jeg synes vi alle sammen skal skrive vores mening om NemID og sende til Udvalget for Videnskab og Teknologi. De kan kontaktes her:

http://www.ft.dk/Folketinget/udvalg_delegationer_kommissioner/Udvalg/Udv...

Jeg tror ikke politikerne læser med her på Version2 (selv om de måske burde - set i lyset af deres "kompetance-område" - men hvis vi er nok som sender vores meming til dem må de da lytte. Før eller siden.

  • 0
  • 0
Jesper Udby

Den der standard applet downloades fra https://applet.danid.dk/.

Det vil være en nobrainer at få denne applet til, som noget af det første, at kalde tilbage til fx https://applet.danid.dk/status og derved få en eventuel "aktuel" status, som så kunne vises i login-billedet...

Den slags kan lave med ganske få linier kode; hvis man altså vil, gider osv...

  • 0
  • 0
Poul Pedersen

Problemet er nok at de ikke ved hvornår de er nede, og så vil sådan en side bare sige "ok, fine" hele tiden alligevel.

For lur mig om de ikke vil definere det som "oppe" når bare en af deres servere ikke er nede.
Det er jo et firma med sort bælte i BS vi har gang i her. (ellers ville de da ikke blive ved med at kalde det for en digital signatur, når det nu teknisk set ikke er)

  • 0
  • 0
Jesper Mørch

Det er jo et firma med sort bælte i BS vi har gang i her. (ellers ville de da ikke blive ved med at kalde det for en digital signatur, når det nu teknisk set ikke er)

Ah, hvis man begynder at henvise til krav om at private nøgler skal opbevares privat for at det kan være en digital signatur, skifter pBS hest og siger pludselig at det ikke længere er en digital signatur...
Det er kun når de skal sælge idéen for politikere og forbrugere at det er en digital signatur...

  • Jeg er ikke sikker på om de kun har sort bælte i den disciplin :o)
  • 0
  • 0
Log ind eller Opret konto for at kommentere