Nets om Java-problemer: Vi har måske ikke testet godt nok

Mon ikke det er økonomer som har magten der, selv om det burde være programører..

Årsagen til at Nets denne gang ikke har fået testet den nye java (fejlen er så åbenlys, at selv den mindste test ville have afsløret den) er, at de har ligget underdrejet pga nemid til digital postkasse til erhverv og supportarbejde i den forbindelse.

./. Politikerne på Borgen mener åbenbart stadig at det er fornuftigt, at lade Nets stå for vitale dele af Danmarks IT-infrastruktur.

./. Alle de normalt fornuftige og forstandige debattører på V2 og Ing.dk bruger stadig skønne men spildte kræfter i forsøget på at råbe gevalt overfor Nets' himmelråbende inkompetence.

./. Resten af os danskere tror at vi er så kloge, at et system som NemId der er betalt med voldsomt mange skattekroner da ikke kan være så dårligt som eksperterne siger - tsk tsk monstro vi kun har set toppen af isbjerget?

Mvh. Lars plbrake.dk

.....kan ansvarlige personer der kræver at digital kommunikation rulles hen over hovederne på almindelige mennesker. Man bruger uforståelige termer. Opfordrer folk til ikke at følge god praksis. Hvor stor en del af Denmarks befolkning forstår "Nets overvejer nu, om man skal anbefale danskerne, der har opdateret Java, at skrue tiden tilbage til den tidligere version". Hvem almindelige brugere forstår at "nedgradere" sin PC ???? Det er uforståeligt og en katastrofe, at EEEET enkelt system kan nedlægge hele den danske kommunikation med banker og offentlige myndigheder. Hvor er forstandigheden i dette digitale cirkus?

http://www.nemid.nu/java"Du kan følge fejlrettelsen på https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/ "

https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/"Tidspunkt Status 16. okt. 19:06 Problemer med seneste java opdatering Der meldes om problemer med login med NemID efter opdatering til java 7 opdatering 45. Se yderligere info på 15. okt. 23:08 Problemer med seneste java opdatering Der meldes om problemer med login med NemID efter opdatering til java 7 opdatering 45, vi anbefaler derfor at man ikke opgraderer til højere end java 7 version 40. Se yderligere info på http://www.nemid.nu/java "

Sådan laver man en ubrydelig ring :-) Uden at fortælle noget.... Nu har vi kæmpet med virus, orme og trojanere. Det nye sort er åbenbart mider.

.... men der kommer en rigtig god løsning i morgen!

Opdater din computer

Det er vigtigt, at din computer hele tiden er opdateret. Sårbarheder i dit styresystem (fx Windows XP) og programmer (fx Adobe Reader eller QuickTime) udnyttes ofte af de it-kriminelle. De fungerer som en ulåst bagdør til din computer, hvor uvedkommende kan få uhindret adgang. De løbende opdateringer sørger for, at sårbarhederne fjernes.

Anvend derfor altid opdaterede versioner af dit styresystem, din webbrowser og dit e-mailprogram. Slå automatisk opdatering til, hvor det er muligt, så glemmer du det ikke.

Særligt i forhold til NemID er det desuden vigtigt, at du anvender den seneste version af programmet Java.

...Skriver Nemid på deres side.

Lad være med at følge Nemid's anbefalinger om opdateringer, men anvend usikre programmer som Java der er fulde af sårbarheder. Det er godt, at Nets ikke er sat til, at passe på adgang til kritiske systemer..

Kunne jeg bare kunne sige her at det er problemfrit i Ubuntu, nå men en form for aha-oplevelse er der forhåbentlig for nogle.

Er der nogen der har tal på hvor mange gange man her fra v2's forum har advaret mod brugen af Java på NemID. Det har selvfølgelig også været et hedt emne i andre fora. Men lyttet bliver der ikke.

2 dage uden NemID. Uha. Jeg synes NemID i det store hele har fungeret glimrende - og gjort mit liv lettere. Man får et noget andet indtryk når man lytter med herinde. Nuvel der er plads til forbedringer - og mon ikke også de finder vej.

Gætter på at det her er problemet: http://stackoverflow.com/questions/19393826/java-applet-manifest-allow-all-caller-allowable-codebase

Det er tilsyneladende ikke muligt at være kompatibel med både Java 7u21-7u40 og Java 7u45 på én gang.

Det burde DanID selvfølgelig have opdaget i god tid og fundet en løsning på inden den blev frigivet, men mig bekendt har der ikke været en Early Access release af 7u45 (jeg abonnerer på dem og kan ikke se, at jeg har fået én siden 7u40).

... dem, der tror, at det hele kommer til at fungere upåklageligt, når Javascriptversionen sættes i gang.

Man bør også kritisere andre sites som f.eks. Danske Bank for at kræve NemId som login. De kunne vel sagtens vælge en anden adgangsmetode. Lige nu anbefaler Danske Bank faktisk at man undlader at opdatere sin Java:

"Vi anbefaler at du venter med at opdatere Java igen, indtil problemet bliver endeligt løst."

Uni-C's system til elevadministration på samtlige erhvervsskoler, Easy-A, kræver i øvrigt også en gammel Java-version for at kunne køre. Ikke engang den nuværende kan den køre på.

Kære Nets - det har i måske nok ret i!!!

Kære(host host) NemID

Jeg informere jer hermed, helt uden at kræve betaling, om det problem i tilsyneladende slås med:

I Dialogen: "Do you want to run this application?" står der:

This application [Det er altså NemID's application der er tale om] will be blocked in a future security update because the JAR file manifest does not contain the Permissions attribute. Please contact the publisher for more information.

I yderligere info står der:

Missing Application-Name: manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742Missing Permissions manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742Missing Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742. . Missing Application-Library-Allowable-Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742Missing Application-Name: manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677Missing Permissions manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677Missing Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677

Men måske var det bedre at applikationen KUNNE køre i en sandbox uden privilegier... Det ville måske også løse dette problem ..og måske øge brugerens sikkerhed ..og måske gøre det nemmere for NemID at undgå sådan nogen fadæser.

:-) (host host)

Det er lykkes net at lægge sig selv bedre ned, ind et DOS kunne.

Hvem skal betale og straffes for det, de er jo ikke nede, man kan bare ikke bruge dem. Så net kommer ikke til at betale for deres manglende rettidig omhu. Hvis ikke de selv intern skiller sig af med de ansvarlige.

Men alle de 2, der kan programmere ved dem, er nok sat på den nye løsning de arbejder på, og dem gamle version er overladt til sig selv :-)

Kort svar: Fordi DanID og dem der valgt, denne løsning til digital identifikation af borger samt tvangsdigitalisering, har Hoved op i R*ven.

I Chrome, Chromium eller Firefox

Jeg har programmeret Java siden version 1.02 (yeah, right, AWT!). Men at basere sin offentlige infrastruktur på noget så volatile som Java er forrykt. In my not so humble opinion. Java er fint nok til middle tier og back end, men front end????? (Inden for skakspillet betyder flere spørgsmålstegn: blunder!)

I løbet af de næste to dage vil java selv begynde at plage brugerne om at opdatere. Der er desuden en række kritiske opdateringer i denne pakke som man (efter min mening) SKAL have så hurtigt som muligt.

Der er en række ændringer i den nye version i forhold til signering af applets. Disse skal forhindre adgang fra uautoriserede kilder.

Her er et link til Release notes på dev-kittet til 7u45 - http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html

Og her er den bid jeg tror kan være relevant:

JavaScript to Java calls will be allowed without any security dialog prompt only if: JAR is signed by a trusted CA, has the Caller-Allowable-Codebase manifest entry and JavaScript runs on the domain that matches it. JAR is unsigned and JavaScript calls happens from the same domain as the JAR location.

The JavaScript to Java (LiveConnect) security dialog prompt is shown once per Applet classLoader instance.

Bare et gæt. Hvad tror I?

»For - uhyre forbavsende anbefaler vores digitale identifikationsselskab overfor det offentlige, NemID, på deres webforside, at man ikke opdaterer. Fordi NemID-softwaren har problemer med den nye Java-version. Mon NemID yder assistance, hvis man bliver inficeret med angreb mod en af de mange sårbarheder, man så er eksponeret overfor?« spørger sikkerhedsfirmaet.

Det har manden jo helt ret i.

Det understreger med al ønskelig tydelighed et af de helt centrale problemer med tvangs digitaliseringen.

DanId påtvinger alle et bestemt it mæssigt adfærdsmønster, som er til fordel for DanId her og nu, men til ulempe for alle andre.

Det er så overladt til alle andre at finde alternative måder at gardere sig på.

Med at logge på netbank eller logge ind på nemid.nu med nyeste Java.

Det er godt nok i Chrome, men den kører også nyeste Java nu, efter opdatering af Chrome.