Nu dropper Danske Bank NemID med Java: 'Supporten har redet os som en mare'

Lidt senere end planlagt ruller Danske Bank nu det nye NemID uden Java ud til alle netbank-kunder. Banken har selv obfuskeret Javascript-koden oven i obfuskeringen fra Nets.

Fra tirsdag den 12. august behøver kunder i Danske Bank ikke længere at spekulere på, om de har den rigtige Java-version installeret, når de går i netbanken. Her ruller banken nemlig den nye NemID JavaScript bredt ud til alle kunder.

Læs også: Så kom NemID til mobile enheder - men Java-løsningen lever videre

Udrulningen skulle egentlig have fundet sted i løbet af juli måned, som Danske Bank tidligere har oplyst til Version2, men banken valgte at klappe hesten og nøjedes i stedet med kun at give de ansatte i koncernen adgang via NemID JS, mens eksterne kunder fortsat måtte bruge Java.

Læs også: Nedtælling for Java: Banker skifter til Java-fri NemID i løbet af sommeren

Thomas Frandsen, udviklingschef i Danske Bank, fortæller, at den oprindelige plan med at rulle NemID JS ud i løbet af juli udsprang af, at Windows XP-brugere i forbindelse med en ny opdatering fra Java-platforms-leverandøren Oracle ikke længere så ud til at ville kunne bruge NemID Java. Og da banken har en del kunder, der anvender Windows XP, ville disse ikke længere kunne komme i netbanken.

I første omgang ville banken aflæse, hvilket styresystem brugerne anvender, og specifikt sende XP-brugere til NemID JS. Men kort inden det blev sat i værk, viste det sig, at Java-opdateringen fra Oracle godt ville kunne installeres af Windows XP-brugere, som dermed fortsat ville kunne anvende NemID Java - vel at mærke på en opdateret og dermed i udgangspunktet mere sikker Java-platform.

Men en ting er Java-platformen, noget andet er styresystemet. Windows XP er som bekendt ikke længere supporteret af Microsoft og må derfor også formodes at indeholde stadig flere åbne sikkerhedshuller. Men Thomas Frandsen frygter ikke umiddelbart, at bankkunder med Windows XP vil virke som en magnet på it-kriminelle, der vil have fingrene i kundernes konti hos Danske Bank.

Han peger på, at Danske Bank har lagt nogle ekstra sikkerhedslag ind i forhold til NemID.

Læs også: Borgere må fortsat trækkes med Java trods lancering af ny Javascript-NemID

»Vi har selv tilføjet nogle ekstra sikkerhedsmæssige forbedringer, som vi også kører på vores andre bankløsninger (i andre lande, red.), som højner niveauet lidt ekstra i forhold til, hvad NemID giver ud af boksen,« siger Thomas Frandsen, som ikke ønsker at gå i eksplicitte detaljer om den del.

Han kan dog fortælle, at den ekstra sikkerhed blandt andet handler om yderligere obfuskering af koden ud over den, der allerede kommer med NemID JS. Obfuskering vil sige, at koden bevidst er gjort svært gennemskuelig for at camouflere, hvad der sker i softwaren.

Læs også: NemID-pilfinger kritiserer test af NemID uden Java: 1 megabyte obfuskeret kode

Men hvorfor er standard NemID JS ikke godt nok?

»I og med at vi har denne tilgang i vores sikkerhedsløsninger i de øvrige lande i Danske Bank, kan vi lige så godt også bruge det her. Det vil ikke gøre noget ved kundeoplevelsen, det vil kun øge sikkerhedsniveauet.«

Udviklingschefen forventer, at Danske Bank melder officielt ud til kunderne enten i dag, torsdag, eller i morgen, fredag, at det fra på tirsdag ikke længere er nødvendigt at have Java installeret. Og i den forbindelse ser han i øvrigt frem til noget mindre support, hvad lige den del angår.

»Ja, det gør vi i hvert fald. Det er jo noget, der har redet os som en mare. Vi forventer, at support relateret til Java vil falde drastisk,« siger han.

Danske Bank vil fortsat tilbyde en app-løsning til mobile enheder, som dog i princippet - når NemID JS bliver rullet ud - også vil kunne tilgå netbanken via en browser.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jacob Pind

sandligt godt man kan Obfuskere ting to gang for dobelt så meget sikkerhed, desvære er skaden med nemid sket, man har opdraged folk til at der kan komme en popop fra operativet systemet på
diverse sider som man skal tillade for ting sker.

Så alle muligheder for at folk ender med at køre kode som de ikke skulle , er i dag en indgroed vane ved dem.

Sikkerheden ved nemid kan ligge på et meget lille sted, alt hvad der kræves for at underløbe det er, folks dns server settings er ændre til en angriben har kontrol over, for at gøre det endnu letter for os selv, smider vi selvf lige en ny CA ind i browserne, så vore egen certs for alle bankerne anses som troværdige.
Så kan de scanne deres computer med antivirus og malmare løsning ligeså meget de vil, uden af finde noget, men de er stadigvæk udsat for man in the middle relaying .

Johan Holst Nielsen

Det der bekymrer mig mest, er at det som bruger bliver umuligt, at vide om et NemID JavaScript er gyldigt eller ej. Hvis de forskellige sites, benytter hver deres version med deres egen obfuskering. På den måde bliver det også nem for "Bad Guys" at lave deres eget NemID-lignende JavaScript - uden man på en nem måde kan tjekke om JavaScriptet er valid (f.eks. via en MD5 checksum).

Brian Hansen

Hvis ikke der allerede er det, så burde der sættes en tidlig skæringsdato for tvunget skift til JavaScript løsningen. Sydbank har f.eks. Meldt ud at de først forventer at være klar med JavaScript i MAJ 2015(!!!) Så lang tid tager det ikke at ændre lidt indlejret kode, men det er tydeligvis ikke en prioritet. Så hellere lade deres kunder kløjes i Java i knap et år endnu...

Michael Diaz

Er der en klog IT-mand der kan forklare mig hvorfor man overhovedet obfuskerer noget som helst? Forstår jeg det rigtigt, at alt koden er tilgængelig, det handler kun om tid før nogen konverterer den til læsebar kode, ikke?

Hvorfor gider nogen overhovedet bruge tid på at obfuskere koden? Hvad er ideen i det? Enhver kan vel sige sig selv at det på et eller andet tidspunkt vil blive gjort af "internettet".

Obfuskering kan da ikke seriøst af nogen som helst bruges som sikkerhed? Der må da ligge noget "rigtig" sikkerhed et andet sted?

Jeg forstår ikke meningen.

Martin Kristiansen

Obfuskering kan da ikke seriøst af nogen som helst bruges som sikkerhed? Der må da ligge noget "rigtig" sikkerhed et andet sted?

Obfuskering er ikke sikkerhed.

Jeg ville også godt vide noget om hvordan JS klienten sikres. Så vidt jeg kan se er det meget sårbart overfor man-in-the-middle attacks med cache poisoning af JS filer. - Ikke noget stort problem for stationære computere, men potentielt et stort problem for mobile enheder.

Max Nielsen

Angiveligt fortsætter sydbank med Java, men hvorfor skal Danske Bank obfuskere dobbelt?
Er det bare en magnet for kunderne vil jo gerne være sikre?
Dobbelt obfuskering, jamen tager det så ikke dobbelt så lang tid at logge ind?
Hvis ikke det tager dobbelt tid, hvorfor så ikke lave triple/quad obfuskering med det samme?

Allan Jensen

Obfuskering er ikke sikkerhed.

Jeg ville også godt vide noget om hvordan JS klienten sikres. Så vidt jeg kan se er det meget sårbart overfor man-in-the-middle attacks med cache poisoning af JS filer. - Ikke noget stort problem for stationære computere, men potentielt et stort problem for mobile enheder.


Nej selvfølgelig ikke. Men ved du hvad Java er? og hvis du gør så forklar mig venligst forskellen i sikkerhed på Java kode der kører i klients browser or JavaScript kode der kører i klientens browser.

Den eneste grund til Java opfattes som mere sikkert er fordi det er mere besværligt. Rent praktisk og teorestisk er JavaScript og Java sikkerhedsmæssigt identisk.

Martin Kristiansen

Nej selvfølgelig ikke. Men ved du hvad Java er? og hvis du gør så forklar mig venligst forskellen i sikkerhed på Java kode der kører i klients browser or JavaScript kode der kører i klientens browser.

I det mindste er klient-jarfilen signeret med et certifikat jeg kan undersøge validiteten af hvis jeg ønsker.

Hvordan kan jeg se om der er fusket med JS-filer ?

Janus Knudsen

Er der en klog IT-mand der kan forklare mig hvorfor man overhovedet obfuskerer noget som helst? Forstår jeg det rigtigt, at alt koden er tilgængelig, det handler kun om tid før nogen konverterer den til læsebar kode, ikke?

Hvorfor gider nogen overhovedet bruge tid på at obfuskere koden? Hvad er ideen i det? Enhver kan vel sige sig selv at det på et eller andet tidspunkt vil blive gjort af "internettet".

Obfuskering kan da ikke seriøst af nogen som helst bruges som sikkerhed? Der må da ligge noget "rigtig" sikkerhed et andet sted?

Jeg forstår ikke meningen.


Hej Michael Diaz

Tænk på at der sidder mange mennesker omkring bordet, de fleste har ikke den store praktiske indsigt i tekniske detaljer og vil gerne beholde deres job hvis noget går galt.
De bliver nødt til at satse på det umiddelbare bedste, og her er obfuskering bedre end ingen obfuskering. Det er lidt ligesom når der skal vælges hardware og software, der findes mange bedre og billigere ting derude, men der satses på de sikre og anerkendte mærker.

Bare lige for at gøre det helt tydeligt... Javascript obfuskering er naturligvis ikke sikkert og gør kun koden mindre læsbar for nysgerrige sjæle. Har du en klar agenda med at læse NemId-JS-koden så er det kun et lille bump på vejen med obfuskeret javascript.

Henrik Madsen

Javascript obfuskering er naturligvis ikke sikkert og gør kun koden mindre læsbar for nysgerrige sjæle.

Ja man kan vel endda sige at hvis Obfuskering bruges som sikkerhed så er det tåbeligt al den stund at de folk der er istand til at lave et hack til NemID, nok også er dem som er istand til at de-Obfuskere, alle vi andre som ikke kan læse js og ikke kan lave et hack, er det jo ligegodt for.

Det svarer vel lidt til at tage noget som kun låsesmede vil finde interessant og låse det ind bag en dør som kun kan opbrydes af en låsesmed.

Altså, de eneste man ønsker at ramme er dem som godt kan deobfuskere det.

Pantelis Stefadouros

Jeg arbejder hverken for DDB eller for NETS så følgende er en velkvalificeret formodning om hvorfor de obfuskere login koden.

I en man-in-the-middle angreb ville hackerens software prøve at imitere NEMid's JS login opførsel (måske den har en extra kryptering/verificering mha en hemmelig nøgle) og data output. Det skal hackeren kode sin software til. Når JS login koden nu er obfuskeret, bliver det næsten umuligt at automatisere processen og hackeren skal de-obfuskere koden MANUELT. Man kan sagtens de-obfuskere koden, det tager bare noget tid og i den tid har "the good guys" obfuskeret koden igen med en ny algoritme og ændret deres hemmelige nøgle (hvis sådan én findes i deres kode).

Det er et gæt :)

Log ind eller Opret konto for at kommentere