Nu dropper Danske Bank NemID med Java: 'Supporten har redet os som en mare'

7. august 2014 kl. 06:2926
Lidt senere end planlagt ruller Danske Bank nu det nye NemID uden Java ud til alle netbank-kunder. Banken har selv obfuskeret Javascript-koden oven i obfuskeringen fra Nets.
Artiklen er ældre end 30 dage

Fra tirsdag den 12. august behøver kunder i Danske Bank ikke længere at spekulere på, om de har den rigtige Java-version installeret, når de går i netbanken. Her ruller banken nemlig den nye NemID JavaScript bredt ud til alle kunder.

Udrulningen skulle egentlig have fundet sted i løbet af juli måned, som Danske Bank tidligere har oplyst til Version2, men banken valgte at klappe hesten og nøjedes i stedet med kun at give de ansatte i koncernen adgang via NemID JS, mens eksterne kunder fortsat måtte bruge Java.

Thomas Frandsen, udviklingschef i Danske Bank, fortæller, at den oprindelige plan med at rulle NemID JS ud i løbet af juli udsprang af, at Windows XP-brugere i forbindelse med en ny opdatering fra Java-platforms-leverandøren Oracle ikke længere så ud til at ville kunne bruge NemID Java. Og da banken har en del kunder, der anvender Windows XP, ville disse ikke længere kunne komme i netbanken.

I første omgang ville banken aflæse, hvilket styresystem brugerne anvender, og specifikt sende XP-brugere til NemID JS. Men kort inden det blev sat i værk, viste det sig, at Java-opdateringen fra Oracle godt ville kunne installeres af Windows XP-brugere, som dermed fortsat ville kunne anvende NemID Java - vel at mærke på en opdateret og dermed i udgangspunktet mere sikker Java-platform.

Artiklen fortsætter efter annoncen

Men en ting er Java-platformen, noget andet er styresystemet. Windows XP er som bekendt ikke længere supporteret af Microsoft og må derfor også formodes at indeholde stadig flere åbne sikkerhedshuller. Men Thomas Frandsen frygter ikke umiddelbart, at bankkunder med Windows XP vil virke som en magnet på it-kriminelle, der vil have fingrene i kundernes konti hos Danske Bank.

Han peger på, at Danske Bank har lagt nogle ekstra sikkerhedslag ind i forhold til NemID.

»Vi har selv tilføjet nogle ekstra sikkerhedsmæssige forbedringer, som vi også kører på vores andre bankløsninger (i andre lande, red.), som højner niveauet lidt ekstra i forhold til, hvad NemID giver ud af boksen,« siger Thomas Frandsen, som ikke ønsker at gå i eksplicitte detaljer om den del.

Han kan dog fortælle, at den ekstra sikkerhed blandt andet handler om yderligere obfuskering af koden ud over den, der allerede kommer med NemID JS. Obfuskering vil sige, at koden bevidst er gjort svært gennemskuelig for at camouflere, hvad der sker i softwaren.

Artiklen fortsætter efter annoncen

Men hvorfor er standard NemID JS ikke godt nok?

»I og med at vi har denne tilgang i vores sikkerhedsløsninger i de øvrige lande i Danske Bank, kan vi lige så godt også bruge det her. Det vil ikke gøre noget ved kundeoplevelsen, det vil kun øge sikkerhedsniveauet.«

Udviklingschefen forventer, at Danske Bank melder officielt ud til kunderne enten i dag, torsdag, eller i morgen, fredag, at det fra på tirsdag ikke længere er nødvendigt at have Java installeret. Og i den forbindelse ser han i øvrigt frem til noget mindre support, hvad lige den del angår.

»Ja, det gør vi i hvert fald. Det er jo noget, der har redet os som en mare. Vi forventer, at support relateret til Java vil falde drastisk,« siger han.

Artiklen fortsætter efter annoncen

Danske Bank vil fortsat tilbyde en app-løsning til mobile enheder, som dog i princippet - når NemID JS bliver rullet ud - også vil kunne tilgå netbanken via en browser.

26 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
23
8. august 2014 kl. 10:36

hurra, så kan det være jeg endelig snart kan logge på netbank uden at køre en virtuel OSX. Jeg nægter at installere Java på min primære maskine. Jeg har i øvrigt lagt mærke til at kommer flere opdateringer til Java end gange jeg bruger det. :)

14
7. august 2014 kl. 14:09

Angiveligt fortsætter sydbank med Java, men hvorfor skal Danske Bank obfuskere dobbelt? Er det bare en magnet for kunderne vil jo gerne være sikre? Dobbelt obfuskering, jamen tager det så ikke dobbelt så lang tid at logge ind? Hvis ikke det tager dobbelt tid, hvorfor så ikke lave triple/quad obfuskering med det samme?

12
7. august 2014 kl. 12:52

Obfuskering kan da ikke seriøst af nogen som helst bruges som sikkerhed? Der må da ligge noget "rigtig" sikkerhed et andet sted?

Obfuskering er ikke sikkerhed.

Jeg ville også godt vide noget om hvordan JS klienten sikres. Så vidt jeg kan se er det meget sårbart overfor man-in-the-middle attacks med cache poisoning af JS filer. - Ikke noget stort problem for stationære computere, men potentielt et stort problem for mobile enheder.

19
7. august 2014 kl. 16:02

Obfuskering er ikke sikkerhed.</p>
<p>Jeg ville også godt vide noget om hvordan JS klienten sikres. Så vidt jeg kan se er det meget sårbart overfor man-in-the-middle attacks med cache poisoning af JS filer. - Ikke noget stort problem for stationære computere, men potentielt et stort problem for mobile enheder.

Nej selvfølgelig ikke. Men ved du hvad Java er? og hvis du gør så forklar mig venligst forskellen i sikkerhed på Java kode der kører i klients browser or JavaScript kode der kører i klientens browser.

Den eneste grund til Java opfattes som mere sikkert er fordi det er mere besværligt. Rent praktisk og teorestisk er JavaScript og Java sikkerhedsmæssigt identisk.

10
7. august 2014 kl. 12:33

Er der en klog IT-mand der kan forklare mig hvorfor man overhovedet obfuskerer noget som helst? Forstår jeg det rigtigt, at alt koden er tilgængelig, det handler kun om tid før nogen konverterer den til læsebar kode, ikke?

Hvorfor gider nogen overhovedet bruge tid på at obfuskere koden? Hvad er ideen i det? Enhver kan vel sige sig selv at det på et eller andet tidspunkt vil blive gjort af "internettet".

Obfuskering kan da ikke seriøst af nogen som helst bruges som sikkerhed? Der må da ligge noget "rigtig" sikkerhed et andet sted?

Jeg forstår ikke meningen.

26
14. august 2014 kl. 17:07

Jeg arbejder hverken for DDB eller for NETS så følgende er en velkvalificeret formodning om hvorfor de obfuskere login koden.

I en man-in-the-middle angreb ville hackerens software prøve at imitere NEMid's JS login opførsel (måske den har en extra kryptering/verificering mha en hemmelig nøgle) og data output. Det skal hackeren kode sin software til. Når JS login koden nu er obfuskeret, bliver det næsten umuligt at automatisere processen og hackeren skal de-obfuskere koden MANUELT. Man kan sagtens de-obfuskere koden, det tager bare noget tid og i den tid har "the good guys" obfuskeret koden igen med en ny algoritme og ændret deres hemmelige nøgle (hvis sådan én findes i deres kode).

Det er et gæt :)

22
7. august 2014 kl. 23:03

Er der en klog IT-mand der kan forklare mig hvorfor man overhovedet obfuskerer noget som helst? Forstår jeg det rigtigt, at alt koden er tilgængelig, det handler kun om tid før nogen konverterer den til læsebar kode, ikke?</p>
<p>Hvorfor gider nogen overhovedet bruge tid på at obfuskere koden? Hvad er ideen i det? Enhver kan vel sige sig selv at det på et eller andet tidspunkt vil blive gjort af "internettet".</p>
<p>Obfuskering kan da ikke seriøst af nogen som helst bruges som sikkerhed? Der må da ligge noget "rigtig" sikkerhed et andet sted?</p>
<p>Jeg forstår ikke meningen.</p>
<p>

Hej Michael Diaz

Tænk på at der sidder mange mennesker omkring bordet, de fleste har ikke den store praktiske indsigt i tekniske detaljer og vil gerne beholde deres job hvis noget går galt. De bliver nødt til at satse på det umiddelbare bedste, og her er obfuskering bedre end ingen obfuskering. Det er lidt ligesom når der skal vælges hardware og software, der findes mange bedre og billigere ting derude, men der satses på de sikre og anerkendte mærker.

Bare lige for at gøre det helt tydeligt... Javascript obfuskering er naturligvis ikke sikkert og gør kun koden mindre læsbar for nysgerrige sjæle. Har du en klar agenda med at læse NemId-JS-koden så er det kun et lille bump på vejen med obfuskeret javascript.

24
8. august 2014 kl. 10:42

Javascript obfuskering er naturligvis ikke sikkert og gør kun koden mindre læsbar for nysgerrige sjæle.

Ja man kan vel endda sige at hvis Obfuskering bruges som sikkerhed så er det tåbeligt al den stund at de folk der er istand til at lave et hack til NemID, nok også er dem som er istand til at de-Obfuskere, alle vi andre som ikke kan læse js og ikke kan lave et hack, er det jo ligegodt for.

Det svarer vel lidt til at tage noget som kun låsesmede vil finde interessant og låse det ind bag en dør som kun kan opbrydes af en låsesmed.

Altså, de eneste man ønsker at ramme er dem som godt kan deobfuskere det.

18
7. august 2014 kl. 15:59

Ja, obfuskutionen har ikke noget direkte med sikkerhed at gøre. Det er typisk gjort for at beskytte udgiveren mod copyright brud. NemID er nemlig af gode grunde meget bange for at andre meget nemt kan lave klient kode der er meget bedre end deres.

8
7. august 2014 kl. 11:33

;-)

9
7. august 2014 kl. 11:33

Efter 12. kan jeg igen kører Debain / Chrome / Danske Bank. Nu kører jeg på Iceweasel, men er ikke så tryg ved Java. (Iceweasel er iøvrigt også en god browser)

7
7. august 2014 kl. 11:29

Hvis ikke der allerede er det, så burde der sættes en tidlig skæringsdato for tvunget skift til JavaScript løsningen. Sydbank har f.eks. Meldt ud at de først forventer at være klar med JavaScript i MAJ 2015(!!!) Så lang tid tager det ikke at ændre lidt indlejret kode, men det er tydeligvis ikke en prioritet. Så hellere lade deres kunder kløjes i Java i knap et år endnu...

13
7. august 2014 kl. 13:35

Jeg arbejder i Sydbank og kun sige med 100% sikkerhed at vi er klar med JavaScript inden maj 2015. Vi snakker nok om "inden for et par uger".

17
7. august 2014 kl. 15:09

Nets Danid meldte ud at de kun supporterer Java login til og med 31/12-2014 og jeg har ikke hørt dette har ændret sig.

Det er kun medarbejder udgaven der fortsætter på Java

15
7. august 2014 kl. 14:31

@Jakob Møller

Hvorfor spørger I ikke ind til hvorfor de gør som de gør? Er det bare email uden mulighed for opfølgende svar?

F.eks. Hvordan hjælper det jeres sikkerhed at obfuskere jeres kode?

Jeg antager, at de mener det oprigtigt.

5
7. august 2014 kl. 09:52

Banken har selv obfuskeret Javascript-koden, oven i obfuskeringen fra Nets.

Med lidt held er det så dobbelt ROT13.

Edit: Jeg burde vist have bemærket, at nogen var kommet mig i forkøbet.

4
7. august 2014 kl. 09:06

Det der bekymrer mig mest, er at det som bruger bliver umuligt, at vide om et NemID JavaScript er gyldigt eller ej. Hvis de forskellige sites, benytter hver deres version med deres egen obfuskering. På den måde bliver det også nem for "Bad Guys" at lave deres eget NemID-lignende JavaScript - uden man på en nem måde kan tjekke om JavaScriptet er valid (f.eks. via en MD5 checksum).

6
7. august 2014 kl. 11:00

Det gør det vel også nemmere for "Bad Guys", da de blot skal lave en compare mellem de forskellige versioner, for at få renset ud i den tilføjede obfuskeringskode.

3
7. august 2014 kl. 08:35

De skal bare kryptere koden med ROT13, så er sikkerheden hjemme. Nej endnu bedre: dobbelt kryptere med dobbelt ROT13, så er vi dobbelt så sikre

2
7. august 2014 kl. 07:54

sandligt godt man kan Obfuskere ting to gang for dobelt så meget sikkerhed, desvære er skaden med nemid sket, man har opdraged folk til at der kan komme en popop fra operativet systemet på diverse sider som man skal tillade for ting sker.

Så alle muligheder for at folk ender med at køre kode som de ikke skulle , er i dag en indgroed vane ved dem.

Sikkerheden ved nemid kan ligge på et meget lille sted, alt hvad der kræves for at underløbe det er, folks dns server settings er ændre til en angriben har kontrol over, for at gøre det endnu letter for os selv, smider vi selvf lige en ny CA ind i browserne, så vore egen certs for alle bankerne anses som troværdige. Så kan de scanne deres computer med antivirus og malmare løsning ligeså meget de vil, uden af finde noget, men de er stadigvæk udsat for man in the middle relaying .

11
7. august 2014 kl. 12:50

Er dette indlæg "obfuscated"?

1
7. august 2014 kl. 07:47

Danske bank mener at :

Obfuskation = Sikkerhed