Javascript-version af NemID til mobilen er klar til pilottest

De første tjenester på Borger.dk vil kunne tilgås helt uden Java-applet fra onsdag den 28. maj, hvor Digitaliseringsstyrelsen tager hul på pilottest af ny løsning.

En af de væsentligste begrænsninger ved den fællesoffentlige login-løsning NemID er nu ved at forsvinde. Den nye Javascript-baserede version er nemlig klar til test, og dermed kan mobilbrugere også få adgang til tjenester, der kræver NemID. Det skriver Computerworld.

Digitaliseringsstyrelsen forventer at åbne for pilottest af den nye løsning onsdag den 28. maj, hvor de første tjenester på Borger.dk vil åbne for Javascript-baseret adgang. Den nuværende NemID-løsning kræver, at brugeren kan køre en Java-applet, og det er ikke alle, der kan det i dag.

»Mange af de nye mobile platforme understøtter ikke Java, og derfor ser det lige nu ud til, at Javascript er den fremadrettede løsning,« siger Cecile Christensen fra Digitaliseringsstyrelsen til Computerworld.

Det er ikke alle tjenester på Borger.dk, som bliver klar i pilotfasen. Digitaliseringsstyrelsen vil offentliggøre en liste på Nemid.nu med de kompatible tjenester. Officielt går den nye løsning i luften den 1. juli, men der vil formentlig være tjenester, som ikke bliver klar før i løbet af sommeren.

Den nye Javascript-baserede løsning har kostet 47 millioner kroner at udvikle, som er betalt ligeligt af bankerne og det offentlige. Løsningen er udviklet af Nets DanID, som også står bag den nuværende løsning.

Digitaliseringsstyrelsen forventer, at den Java-baserede løsning bliver udfaset til fordel for enten Javascript eller en anden teknologi, når den nuværende NemID-løsning skal udskiftes i 2017.

Læs også: Arbejdet med NemID’s afløser er i gang: »Vi har travlt«

Ud over ikke at være understøttet af tablets og smartphones er Java-applet-teknologien også blevet genstand for hackere, som udnytter sikkerhedshuller i den underliggende teknologi til at inficere brugernes pc'er med malware gennem browser-plugins. Der har også været problemer med opdateringer af Java, som Nets DanID ikke havde testet, så NemID-brugerne måtte vente nogle dage med at opdatere og sikre sig mod huller i Java.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ebbe Hansen

Der er godt nok nogen, der tager sig betalt for deres arb'

Nåjah det er jo nets, så mon ikke vi ser det kompromitteret i løbet af de første timer.... Så nets bagefter kan score kassen en gang til på at lave arbejdet færdigt.

  • 9
  • 7
Christian Nobel

Det foregår jo på den subtile måde at Nets (der jo er ejet af bankerne) sætter prisen til 47 millioner (baseret ud fra 2200 kr. i timen til "projektarkitekter", "systemintegratorer", "project managers", "senior konsulenter" og bla, bla, bla), hvor efter bankerne (som jo selv ejer Nets) nok så flot "betaler halvdelen" - altså et rent nulsumsspil.

Og resultatet, ja Nets får nok så dygtigt malket samfundet for 23,5 millioner.

Fremtiden tegner lys og sikker i Danmark.

  • 20
  • 2
Troels Just

Det kan godt være det bare er mig, som ikke kender til sikkerhedsaspekterne i det, men hvorfor er det lige at der overhovedet skal al den scripting til? Når krypteringsnøglerne i forvejen ligger i et centraliseret system skulle man synes at det meste kunne ordnes server-side?

Før NemID havde Jyske Bank et nøglekort system som lignede NemID til forveksling, deres netbank på det tidspunkt benyttede hverken Java eller en fancy JavaScript applikation, men det var, simpelt sagt, blot formular-felter med flertrins-login (Man indtastede vidst først sit CPR nummer, og en kode, trykkede på Send, og så refreshede siden og bad om en kode fra ens nøglekort, såvidt jeg husker) via SSL. Er der andre end mig som husker det?

  • 13
  • 2
Christian Panton

hvorfor er det lige at der overhovedet skal al den scripting til

Fordi den løsning man har valgt, istedet for at vælge en dedikeret "NemID" login side, er en IFRAME som kommunikerer via postMessage med den side den er indlejret i. Den side hvor framen ligger i, kan så specificere en masse options, som så skal parses af noget script i IFRAME'en.

Sikkerhedsmæssigt havde jeg foretrækket at benytte et redirect eller POST til https://login.nemid.nu/. Det havde været nemmere at verificere at man ikke blev phishet.

Christian

  • 23
  • 0
Jakub Nielsen

det er sjovt som kortet er godt eller ondt afhænger af hvilken NemID artikel der dukker op på Version2. Det er lidt som når man i tv-serier om Afrikas dyr enten følger løven der jagter maden til sine små søde unger eller Zebraungen der bliver jagtet af onde løver.

  • 3
  • 4
Jørgen Ramskov

"Digitaliseringsstyrelsen forventer, at den Java-baserede løsning bliver udfaset til fordel for enten Javascript eller en anden teknologi, når den nuværende NemID-løsning skal udskiftes i 2017."

Skal det forståes således at de vil køre med 2 forskellige løsninger indtil da? Hvorfor skifter de ikke til javascript løsningen på alle platforme?

  • 1
  • 0
Nikolaj Bech

Ja, hvad skete der lige der? Kan være jeg ikke har hørt ordentligt efter, men indtil denne udmelding synes jeg Javascript løsningen blev omtalt som det der skulle fjerne afhængigheden af Java af flere årsager, hvor mobil adgang kun var en af dem. Nu ser det ud til at vi skal trækkes med Java et godt stykke tid frem over. Jeg er skuffet :-(

Jeg håber at de enkelte firmaer der bruger Nemid kan og vil skifte til Javascript selv om de ikke bliver tvunget til det.

  • 4
  • 0
Jesper Kildebogaard

Husk på, at der er forskel på et banklogin med NemID og et OCES-login til offentlige websider med NemID. Det er faktisk to forskellige systemer, selvom fronten er den samme.

OCES-versionen skal kunne meget mere og leve op til flere sikkerhedskrav. Selvom det måske ikke er en 'ægte' digital signatur, skal OCES-NemID kunne bruges på cirka samme måde. Man kan derfor ikke bare sammenligne Jyske Banks login med nøglekort med NemID til offentlige websider.

vh. Jesper, Version2

  • 9
  • 0
Jan Gundtofte-Bruun

Før NemID havde Jyske Bank et nøglekort system som lignede NemID til forveksling [...] Er der andre end mig som husker det?


Ja! Jeg har nævnt det her et par gange -- det virkede endda ganske glimrende på min lille Palm Treo som absolut ikke kunne andet end at rendere html. I mine øjne er alt hvad DanId har lavet sikkerhedsmæssigt uforsvarligt (client-side code = hello aim-bots) arkitekteret, kriminelt elendigt skruet sammen, og himmelråbende dyrt.

Jeg er meget spændt på, hvem der melder sig når deres monopol udløber og borger logon kommer i udbud.

  • 3
  • 0
Log ind eller Opret konto for at kommentere