NemID virker igen: Opdatér Java nu!

21. oktober 2013 kl. 09:4113
NemID virker igen: Opdatér Java nu!
Illustration: Jesper Stein Sandal.
Det er tid til at opdatere browserens Java-plugin og lukke 51 alvorlige sikkerhedshuller. Nu virker NemID nemlig igen med den nyeste opdatering.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den fællesoffentlige login-løsning NemID fungerer nu med den nyeste udgave af Java-browserplugin'et, som blev frigivet i sidste uge. Efter tre dage med problemer kom systemet til at køre normalt fredag aften.

Den nyeste version af Java-plugin'et var ikke kompatibel med den Java-applet, som NemID-systemet er afhængig af at kunne køre på brugerens pc. Det betød, at brugere, som opdaterede til Java JRE 7 Update 45, ikke kunne logge på med NemID.

Det fik Nets DanID til at anbefale brugerne enten at undlade at opdatere deres Java-plugin eller afinstallere opdateringen og gå tilbage til den tidligere version.

Imidlertid betød det, at brugerne ville være sårbare over for 51 alvorlige sikkerhedshuller, som fandtes i den gamle version og blev rettet i den nye version.

Artiklen fortsætter efter annoncen

Selvom der ikke var nogen kendte, større angreb, som udnyttede de sikkerhedshuller, som blev lukket med den nye opdatering, så påpegede flere sikkerhedseksperter alligevel det uhensigtsmæssige i at sende modstridende signaler til brugerne.

Tidligere har budskabet så sent som i juni nemlig lydt, at brugerne skulle sørge for at holde deres Java-plugin opdateret, da det er én af de teknologier, som hyppigst udnyttes til at sprede malware.

Version2 har tidligere udførligt beskrevet, hvordan man opdaterer Java til den seneste og sikreste version. Har du, eller en du kender, brug for vejledningen, kan du finde linket til artiklen nedenfor.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
22. oktober 2013 kl. 07:53

Hjemme hos mig virker nem-ID ikke med win7 og java 7.45 Sidste version der virker for mig er 7.25 ??? Er der andre der oplever dette?

8
21. oktober 2013 kl. 15:50

Min firefox siger også, at Java 7 er usikker - jeg bruger heldigvis IE til netbank Firefox 24.0 - der er ingen opdateringer - mærkeligt

11
22. oktober 2013 kl. 11:09

Min firefox siger også, at Java 7 er usikker - jeg bruger heldigvis IE til netbank
Firefox 24.0 - der er ingen opdateringer - mærkeligt

Bare fordi IE ikke markerer Java som usikkert betyder det ikke at det er mere sikkert at bruge gennem IE.

4
21. oktober 2013 kl. 11:00

Lige en anbefaling.

Hvis man besøger ninite.com/java og kører installationsprogrammet, slipper man for at huske at fravælge ask-toolbar osv.

Ha' en god mandag...

7
21. oktober 2013 kl. 12:30

Ninite er rigtigt fint da den også finder ud af om den skal installere 32bit-Java eller både 32 og 64bit. Alternativt, kan man downloade installationspakker fra http://www.java.com/en/download/manual.jsp som også er frie for Ask-toolbar...

3
21. oktober 2013 kl. 10:53

min firefox siger at 7u45 er usikker ?!?!?

Hva' mon NemID siger til det ?

9
21. oktober 2013 kl. 19:32

Det lader til, at Mozilla har bestemt sig for, at Java har haft alt for mange unpatched 0-day exploits og derfor fremover bare vil blokere for Java pluginnet, uanset om der er et kendt aktivt benyttet exploit eller ej, og uanset om Oracle har en opdatering klar eller ej.

https://bugzilla.mozilla.org/show_bug.cgi?id=914690

12
22. oktober 2013 kl. 22:09

Det lader til, at Mozilla har bestemt sig for, at Java har haft alt for mange unpatched 0-day exploits og derfor fremover bare vil blokere for Java pluginnet, uanset om der er et kendt aktivt benyttet exploit eller ej, og uanset om Oracle har en opdatering klar eller ej.

Det som Mozilla har valgt at gøre med Java plugin, tilsyneladende som permanent ordning, er ret fornuftigt.

Som udgangspunkt er Java elementer blokeret på alle websites, men du kan tillade kørsel med click-to-play (klik på det røde stop symbol hvor Java appletten skulle være). Du kan lade Firefox huske dit valg for et website. På den måde kan du tillade Java på dine NemID sites, uden at åbne op for Java angreb på diverse suspekte websites som du besøger. Du får relativt meget sikkerhed uden det store besvær. Eneste ekstraarbejde er at whiteliste de sites hvor Java skal tillades.

2
21. oktober 2013 kl. 10:10

Som erhvervsdrivende er det vigtigt at være opmærksom på hvordan man er sikret i tilfælde af misbrug af NemID - Som udgangspunkt er en virksomheds indestående i en bank ikke dækket ved misbrug, og ved at følge NemID's "gode råd" om at bruge en forældet java, overtræder man dermed både betingelserne for brug af NemID, samt betingelserne i en eventuel netbankforsikring, da man skal have sin software opdateret.

Jeg spurgte NemID om hvor ansvaret lå i sådan et tilfælde, deres svar var:

"Det er altid de gældende brugerregler som man har godkendt ved oprettelsen af en NemID som er gældende. NemID fraskriver sig ethvert ansvar for eventuelle skader forbundet med netbank. Hvis din bank vælger at understøtte en gammel Java version til login via NemID er det bankens ansvar"

Så nu venter jeg på hvad banken svarer..

6
21. oktober 2013 kl. 11:41
5
21. oktober 2013 kl. 11:16

Interesant arbejde af Christian Panton. Jeg undrer mig over hvorfor de ikke benytter getResourceAsStream(..) som netop er beregnet til at hente resourcer ud af ens jar/war, og derfor må formodes at være testet bedre.