Nets om Java-problemer: Vi har måske ikke testet godt nok

Med at logge på netbank eller logge ind på nemid.nu med nyeste Java.

Det er godt nok i Chrome, men den kører også nyeste Java nu, efter opdatering af Chrome.

»For - uhyre forbavsende anbefaler vores digitale identifikationsselskab overfor det offentlige, NemID, på deres webforside, at man ikke opdaterer. Fordi NemID-softwaren har problemer med den nye Java-version. Mon NemID yder assistance, hvis man bliver inficeret med angreb mod en af de mange sårbarheder, man så er eksponeret overfor?« spørger sikkerhedsfirmaet.

Det har manden jo helt ret i.

Det understreger med al ønskelig tydelighed et af de helt centrale problemer med tvangs digitaliseringen.

DanId påtvinger alle et bestemt it mæssigt adfærdsmønster, som er til fordel for DanId her og nu, men til ulempe for alle andre.

Det er så overladt til alle andre at finde alternative måder at gardere sig på.

Masser af problemer :) Både Chrome og IE med nyeste Java kan ikke vise nemid-vinduet. Sjovt nok virker NemID med nøglefil og digital signatur på virk.dk stadigvæk.

Men det blev selvfølgelig til en downgrade til 7u40

I løbet af de næste to dage vil java selv begynde at plage brugerne om at opdatere. Der er desuden en række kritiske opdateringer i denne pakke som man (efter min mening) SKAL have så hurtigt som muligt.

Der er en række ændringer i den nye version i forhold til signering af applets. Disse skal forhindre adgang fra uautoriserede kilder.

Her er et link til Release notes på dev-kittet til 7u45 - http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html

Og her er den bid jeg tror kan være relevant:

JavaScript to Java calls will be allowed without any security dialog prompt only if: JAR is signed by a trusted CA, has the Caller-Allowable-Codebase manifest entry and JavaScript runs on the domain that matches it. JAR is unsigned and JavaScript calls happens from the same domain as the JAR location.

The JavaScript to Java (LiveConnect) security dialog prompt is shown once per Applet classLoader instance.

Bare et gæt. Hvad tror I?

Jeg har programmeret Java siden version 1.02 (yeah, right, AWT!). Men at basere sin offentlige infrastruktur på noget så volatile som Java er forrykt. In my not so humble opinion. Java er fint nok til middle tier og back end, men front end????? (Inden for skakspillet betyder flere spørgsmålstegn: blunder!)

JavaScript to Java calls will be allowed without any security dialog prompt only if: JAR is signed by a trusted CA, has the Caller-Allowable-Codebase manifest entry and JavaScript runs on the domain that matches it. JAR is unsigned and JavaScript calls happens from the same domain as the JAR location.

Ovenstående burde blot betyde, at der vises en dialogboks. Mon ikke fejlen skyldes "JavaScript-> Java (LiveConnect) call fails silently if JavaScript/HTML and unsigned JAR/class files comes from different codebase host."

Og at det ikke er blevet opdaget i deres testmiljø fordi det hele kører på samme host?

I Chrome, Chromium eller Firefox

Og hvis man læser brugernes kommentarer under den anden historie her - http://www.version2.dk/artikel/java-opdatering-blokerer-nemid-54468

Så rapporterer brugeren "Claus Bruun" at hans i nat gav fejlen: "This application will be blocked in a future Java security update because the JAR file manifest does not contain the Permissions attribute. Please contact the Publisher for more information"

Det stemmer overens med denne passage fra release notes her - http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html

"If the portion of the codebase that specifies the protocol, host, and port, are not the same for the unsigned JAR file (or class files) as for the JavaScript or HTML, the code will fail without a mixed code dialog warning."

nets/danID har tidligere anvendt unsigned applets. Gør de stadig det, så kan man forestille sig at der opstår fejl som ikke giver nogle warnings.

Så hvis de havde læst op, så ville de have vidst at man ville lukke det hul i denne uge. Det er derfor skuffende at nemID/nets ikke udfordres mere af journalisterne så det ikke bliver så nemt som at sige "bare lad være med at opdatere, der sker nok ik' noget." Det er også lidt at pisse på os andre der prøver at få folk til at opdatere software som en vane.

Se evt. DR og Tv's dækning. De lader nemID få ALT spaltepladsen og udfordrer ikke de tåbelige råd. De forfølger heller ikke sagen når der reelt er noget at spørge om: "hvor længe vil ministeren lade ét og kun ét firma stå for denne kritiske del af IT-samfundets infrastruktur?"

Kort svar: Fordi DanID og dem der valgt, denne løsning til digital identifikation af borger samt tvangsdigitalisering, har Hoved op i R*ven.

Det er lykkes net at lægge sig selv bedre ned, ind et DOS kunne.

Hvem skal betale og straffes for det, de er jo ikke nede, man kan bare ikke bruge dem. Så net kommer ikke til at betale for deres manglende rettidig omhu. Hvis ikke de selv intern skiller sig af med de ansvarlige.

Men alle de 2, der kan programmere ved dem, er nok sat på den nye løsning de arbejder på, og dem gamle version er overladt til sig selv :-)

Kære(host host) NemID

Jeg informere jer hermed, helt uden at kræve betaling, om det problem i tilsyneladende slås med:

I Dialogen: "Do you want to run this application?" står der:

This application **[Det er altså NemID's application der er tale om] will be blocked in a future security update because the JAR file manifest does not contain the Permissions attribute. Please contact the publisher for more information.**

I yderligere info står der:

Missing Application-Name: manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742 Missing Permissions manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742 Missing Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742 . . Missing Application-Library-Allowable-Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742 Missing Application-Name: manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677 Missing Permissions manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677 Missing Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677

Men måske var det bedre at applikationen KUNNE køre i en sandbox uden privilegier... Det ville måske også løse dette problem ..og måske øge brugerens sikkerhed ..og måske gøre det nemmere for NemID at undgå sådan nogen fadæser.

:-) (host host)

Og hvis man læser brugernes kommentarer under den anden historie her - http://www.version2.dk/artikel/java-opdatering-blokerer-nemid-54468

Så rapporterer brugeren "Claus Bruun" at hans i nat gav fejlen: "This application will be blocked in a future Java security update because the JAR file manifest does not contain the Permissions attribute. Please contact the Publisher for more information"

Det stemmer overens med denne passage fra release notes her - http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html

"If the portion of the codebase that specifies the protocol, host, and port, are not the same for the unsigned JAR file (or class files) as for the JavaScript or HTML, the code will fail without a mixed code dialog warning."

nets/danID har tidligere anvendt unsigned applets. Gør de stadig det, så kan man forestille sig at der opstår fejl som ikke giver nogle warnings.

Så hvis de havde læst op, så ville de have vidst at man ville lukke det hul i denne uge. Det er derfor skuffende at nemID/nets ikke udfordres mere af journalisterne så det ikke bliver så nemt som at sige "bare lad være med at opdatere, der sker nok ik' noget." Det er også lidt at pisse på os andre der prøver at få folk til at opdatere software som en vane.

Se evt. DR og Tv's dækning. De lader nemID få ALT spaltepladsen og udfordrer ikke de tåbelige råd. De forfølger heller ikke sagen når der reelt er noget at spørge om: "hvor længe vil ministeren lade ét og kun ét firma stå for denne kritiske del af IT-samfundets infrastruktur?"

Det er dælme godt nok en pinlig omgang, ja :/

Kære Nets - det har i måske nok ret i!!!

Man bør også kritisere andre sites som f.eks. Danske Bank for at kræve NemId som login. De kunne vel sagtens vælge en anden adgangsmetode. Lige nu anbefaler Danske Bank faktisk at man undlader at opdatere sin Java:

"Vi anbefaler at du venter med at opdatere Java igen, indtil problemet bliver endeligt løst."

Uni-C's system til elevadministration på samtlige erhvervsskoler, Easy-A, kræver i øvrigt også en gammel Java-version for at kunne køre. Ikke engang den nuværende kan den køre på.

... dem, der tror, at det hele kommer til at fungere upåklageligt, når Javascriptversionen sættes i gang.

Gætter på at det her er problemet: http://stackoverflow.com/questions/19393826/java-applet-manifest-allow-a...

Det er tilsyneladende ikke muligt at være kompatibel med både Java 7u21-7u40 og Java 7u45 på én gang.

Det burde DanID selvfølgelig have opdaget i god tid og fundet en løsning på inden den blev frigivet, men mig bekendt har der ikke været en Early Access release af 7u45 (jeg abonnerer på dem og kan ikke se, at jeg har fået én siden 7u40).

"Nets om Java-problemer: Vi har måske ikke testet godt nok"

Kære Nets - det har i måske nok ret i!!!

Jeg vil måske gå så langt som til at udelade ordet "måske".

2 dage uden NemID. Uha. Jeg synes NemID i det store hele har fungeret glimrende - og gjort mit liv lettere. Man får et noget andet indtryk når man lytter med herinde. Nuvel der er plads til forbedringer - og mon ikke også de finder vej.

... dem, der tror, at det hele kommer til at fungere upåklageligt,

Da jeg sidste havde netbank med javascript hos jyskebank, der virkede det upåklageligt med alle mulige forskellige browsere, undtagen den tekstbaserede "links2". Hvis ikke JavaScript/NemID kommer til at virke hos jyskebank, så ville det være meget underligt, nu da de har haft det til at virke før.

Men når DanID er blandet ind i opgaven, og med den track-record de har indtil nu, så tror jeg ikke på at det virker 2014-q2.

Jeg har ingen tekniske problemer med NemID, for jeg har ikke NemID.

Er der nogen der har tal på hvor mange gange man her fra v2's forum har advaret mod brugen af Java på NemID. Det har selvfølgelig også været et hedt emne i andre fora. Men lyttet bliver der ikke.

@Hans. Du har ikke NemID, skriver du. Hvordan "overlever" du så med kommunikation til det offentlige mv.?

@Hans. Du har ikke NemID, skriver du. Hvordan "overlever" du så med kommunikation til det offentlige mv.?

Da jeg meldte mine børn ud af institutionerne de gik i, mødte jeg op personligt på pladsanvisning. Jeg skulle egentlig have brugt NemID, men der var ingen problemer i møde op selv. Eksemplarisk betjening i øvrigt.

Men OK, jeg er en snydepels: Min hustru har NemID, og hun ordner det hele. Det er lidt spøjst at få sin løn ind på en konto, og så ikke selv have NemID-adgang til den.

Men OK, jeg er en snydepels: Min hustru har NemID, og hun ordner det hele. Det er lidt spøjst at få sin løn ind på en konto, og så ikke selv have NemID-adgang til den.

Jeg er gået skridtet videre: min løn går ind på konens konto.

@Hans. Du har ikke NemID, skriver du. Hvordan "overlever" du så med kommunikation til det offentlige mv.?

Jeg har heller ikke NemID og har aldrig haft det. Kuverten med kodekort osv er makuleret og det har aldrig været aktiveret.

Jeg lever fint uden NemID, alle regningerne bliver alligevel betalt over netbank og jeg bor i umiddelbar nærhed af min bank så de bruger nok en rulle bonpapir ekstra årligt, når jeg trækker kontoudtog.

Jeg har ikke haft nogen synderlig kontakt med det offentlige, udover da jeg for et par år siden skulle melde min datter i folkeskolen, men det gik nemt og smertefrit via en skriflig formular.

Tror faktisk at de fleste ville kunne klare sig fint uden.

Jeg har indtil for nyligt haft adgang til E-boks'en via eposthuset hvor man kan logge ind med user/pass og så vælge "Gå til min e-boks", denne løsning har dog været nede i et par måneder og når jeg spørger PostDanmark så får jeg svar i øst og vest.

Jeg har modtaget svar fra dem, ligefra "Det kommer til at virke igen lige straks" til "Det kommer aldrig til at virke den vej mere".

Hele PostDanmark farcen er næsten en separat artikel værdig, som sædvanligt får man det indtryk at den ene hånd ikke ved hvad den anden gør.

Kunne jeg bare kunne sige her at det er problemfrit i Ubuntu, nå men en form for aha-oplevelse er der forhåbentlig for nogle.

Kunne jeg bare kunne sige her at det er problemfrit i Ubuntu, nå men en form for aha-oplevelse er der forhåbentlig for nogle.

Også med Oracle Java update 45?

Men måske var det bedre at applikationen KUNNE køre i en sandbox uden privilegier... Det ville måske også løse dette problem ..og måske øge brugerens sikkerhed ..og måske gøre det nemmere for NemID at undgå sådan nogen fadæser.

NemID/DanID påstår jo at de har brug for at smugle ukendt native kode ind hos os, for at lave unikt fingerprint og logging. De må nu sidde tilbage og spørge sig selv, om det var dét værd - amatøragtigt skrøbeligt design!

PS: Hvad sker der for Version2's servere, jeg synes jeg er begyndt at få flere og flere: Error 503 Service Unavailable Service Unavailable Guru Meditation: XID: 132133841234 Varnish cache server

Jeg kan godt få det til at virke, Læg mærke til JEG her, men som jeg skrev så giver det tit problemer.

Opdater din computer

Det er vigtigt, at din computer hele tiden er opdateret. Sårbarheder i dit styresystem (fx Windows XP) og programmer (fx Adobe Reader eller QuickTime) udnyttes ofte af de it-kriminelle. De fungerer som en ulåst bagdør til din computer, hvor uvedkommende kan få uhindret adgang. De løbende opdateringer sørger for, at sårbarhederne fjernes.

Anvend derfor altid opdaterede versioner af dit styresystem, din webbrowser og dit e-mailprogram. Slå automatisk opdatering til, hvor det er muligt, så glemmer du det ikke.

Særligt i forhold til NemID er det desuden vigtigt, at du anvender den seneste version af programmet Java.

...Skriver Nemid på deres side.

Lad være med at følge Nemid's anbefalinger om opdateringer, men anvend usikre programmer som Java der er fulde af sårbarheder. Det er godt, at Nets ikke er sat til, at passe på adgang til kritiske systemer..

.... men der kommer en rigtig god løsning i morgen!

http://www.nemid.nu/java "Du kan følge fejlrettelsen på https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/ "

https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/ "Tidspunkt Status 16. okt. 19:06 Problemer med seneste java opdatering Der meldes om problemer med login med NemID efter opdatering til java 7 opdatering 45. Se yderligere info på 15. okt. 23:08 Problemer med seneste java opdatering Der meldes om problemer med login med NemID efter opdatering til java 7 opdatering 45, vi anbefaler derfor at man ikke opgraderer til højere end java 7 version 40. Se yderligere info på http://www.nemid.nu/java "

Sådan laver man en ubrydelig ring :-) Uden at fortælle noget.... Nu har vi kæmpet med virus, orme og trojanere. Det nye sort er åbenbart mider.

.....kan ansvarlige personer der kræver at digital kommunikation rulles hen over hovederne på almindelige mennesker. Man bruger uforståelige termer. Opfordrer folk til ikke at følge god praksis. Hvor stor en del af Denmarks befolkning forstår "Nets overvejer nu, om man skal anbefale danskerne, der har opdateret Java, at skrue tiden tilbage til den tidligere version". Hvem almindelige brugere forstår at "nedgradere" sin PC ???? Det er uforståeligt og en katastrofe, at EEEET enkelt system kan nedlægge hele den danske kommunikation med banker og offentlige myndigheder. Hvor er forstandigheden i dette digitale cirkus?

PS: Hvad sker der for Version2's servere, jeg synes jeg er begyndt at få flere og flere: Error 503 Service Unavailable Service Unavailable Guru Meditation: XID: 132133841234 Varnish cache server

Dem har eg også haft - sidste gang var vist i fredags.

Løsning: Nuke din browser cache, jeg nukede også alle session cookies. Bagefter virkede det knas-frit igen.

Jeg bruger en Firefox tilføjelse der hedder "Clear Browsing Data" til hurtigt og effektive at nuke forskellige browser data.

Fordi DanID og dem der valgt, denne løsning til digital identifikation af borger samt tvangsdigitalisering, har Hoved op i R*ven.

Har hvad oppe i R*ven?

Du mener vel: Har R*ven oppe i Rven? for når man tager i betragtning, hvad det kan koste ikke at have adgang til netbank med valutakøb/salg, værdipapirer, bankoverførsler på bestemt dato, osv. har jeg vanskeligt ved at se, hvor et hoved skulle komme i spil.

Hvem erstatter tab?

Også med Oracle Java update 45?

I ubuntu bruger vi en Javaklon, icedtea.

./. Politikerne på Borgen mener åbenbart stadig at det er fornuftigt, at lade Nets stå for vitale dele af Danmarks IT-infrastruktur.

./. Alle de normalt fornuftige og forstandige debattører på V2 og Ing.dk bruger stadig skønne men spildte kræfter i forsøget på at råbe gevalt overfor Nets' himmelråbende inkompetence.

./. Resten af os danskere tror at vi er så kloge, at et system som NemId der er betalt med voldsomt mange skattekroner da ikke kan være så dårligt som eksperterne siger - tsk tsk monstro vi kun har set toppen af isbjerget?

Mvh. Lars plbrake.dk

Vi har måske ikke testet godt nok .... men der kommer en rigtig god løsning i morgen!

Hvis man læser artiklens overskrift må det da være:

.... men der kommer MÅSKE en MÅSKE rigtig god løsning MÅSKE i morgen!

På den anden side:

Artiklens overskrift er: "Nets om Java-problemer: Vi har måske ikke testet godt nok"

...Men nede i teksten står der:

Det kan være en fejl hos os, hvor vi ikke har fået testet godt nok. [altså ikke noget måske]

Hvad har Nets egentligt sagt, eller ikke sagt?

Ubuntu Kunne jeg bare kunne sige her at det er problemfrit i Ubuntu, nå men en form for aha-oplevelse er der forhåbentlig for nogle.

Aha-oplevelse, joo ... men betyder det mon at den version af java (sikkert icedtea) du benytter har de samme sikkerhedsproblemer som den gamle version af Oracles Java havde...

HC, der selv bruger linux - dog ikke Ubuntu - rigtigt mange steder...

Årsagen til at Nets denne gang ikke har fået testet den nye java (fejlen er så åbenlys, at selv den mindste test ville have afsløret den) er, at de har ligget underdrejet pga nemid til digital postkasse til erhverv og supportarbejde i den forbindelse.

Artiklens overskrift er: "Nets om Java-problemer: Vi har måske ikke testet godt nok"

...Men nede i teksten står der:

Det kan være en fejl hos os, hvor vi ikke har fået testet godt nok. [altså ikke noget måske]

Hvad har Nets egentligt sagt, eller ikke sagt?

Hej Hans-Christian,

Nets har sagt det, de bliver citeret for i artiklen. Nemlig (med lidt anden ordstilling) at fejlen kan være, at der ikke er blevet testet godt nok. Det er i mine øjne det samme som 'måske'.

vh.

Jesper, Version2

Kunne jeg bare kunne sige her at det er problemfrit i Ubuntu, nå men en form for aha-oplevelse er der forhåbentlig for nogle.

Det kører smertefrit med LMDE (og OpenJDK).

I ubuntu bruger vi en Javaklon, icedtea.

1. Det gør alle Linux-distro'er som udgangspunkt.
2. Det er ikke en klon. Det er en GPL-implementation af OpenJDK's web-plugin. OpenJDK er i øvrigt referenceimplementationen af Java SE 7.

Det virker også på Arch linux med OpenJDK 7u40 2.4.2-1, som er den nyeste release og der er vist ikke planer om en 7u45, men derimod 7u60.

Så vi har ikke de kritiske rettelser med, så som altid med java i browseren må man hellere minimere brugen af det.

Er der nogen der har prøvet med Oracles 7u45 på linux?

OpenJDK er i øvrigt referenceimplementationen af Java SE 7.

Jeg bemærkede på openjdks mailingliste at der var en fyr fra Oracle som mergede Critical Patch Update (CPU) i repo'et. Det virker som om nogle ting mere eller mindre ukritisk kommer fra Oracle til OpenJDK. Men vi kan jo bare læse koden, det er der sandsynligvis nogen der gør.

"supportarbejde i den forbindelse" Du får 10 point for humor.

Så vi har ikke de kritiske rettelser med, så som altid med java i browseren må man hellere minimere brugen af det.

Da IcedTea ikke deler kodebase med Oracles Java plugin, er det jo ikke sikkert, at de samme kritiske sikkerhedshuller findes i IcedTea.

Da IcedTea ikke deler kodebase med Oracles Java plugin, er det jo ikke sikkert, at de samme kritiske sikkerhedshuller findes i IcedTea.

Nja. IcedTea består af browser plugin og java web start. Selve kørslen af java kode foregår stadigvæk på OpenJDK JVM som stort set er identisk med Oracles JVM, må man formode.

Min vurdering er at den sikkerhedskritiske del ligger i JVM'en og ikke i selve browser pluginet, da det er JVM'en som fortolker og udsættes fra det kode der kommer udefra.

Men jeg er ikke ekspert på området.

Mon ikke det er økonomer som har magten der, selv om det burde være programører..