Nu kan du logge på Skat og andre offentlige hjemmesider uden Java

Illustration: REDPIXEL.PL/Bigstock
Den offentlige fælles login-tjeneste, Nemlogin, er nu skiftet til Javascript-versionen af NemID, så man fra sin browser kan logge på Skat, borger.dk og andre offentlige sider uden Java.

Nu er det officielt ikke længere nødvendigt at bruge Java for at logge på offentlige hjemmesider, som bruger Nemlogin. Tjenesten er torsdag eftermiddag blevet opdateret, så den nu bruger Javascript i stedet for Java.

Det betyder, at der ikke længere skal køre en Java-applet, når man vil logge på eksempelvis skat.dk, borger.dk, sundhed.dk eller andre offentlige hjemmesider med NemID.

Digitaliseringsstyrelsen lancerede i juli en Javascript-baseret udgave af NemID, som blev udviklet for at understøtte smartphones og tablets, som typisk ikke giver mulighed for at køre Java-applets.

Bankerne tog hurtigt Javascript-versionen til sig på almindelige desktop-versioner af netbankerne, og nu følger de offentlige hjemmesider altså trop.

Skiftet betyder ikke umiddelbart noget for den enkelte bruger, da Javascript-udgaven fungerer ligesom den tidligere applet-baserede version. Men det betyder dog, at man nu kan tilgå de offentlige hjemmesider uden at have et Java-plugin installeret til sin browser.

Brugen af en Java-applet er blevet kritiseret, fordi en række sikkerhedshuller i Java-plugin'et er blevet udnyttet til at sprede malware. Da de offentlige digitale selvbetjeningsløsninger kræver NemID og dermed Java, har danskerne således været nødt til at anvende Java-plugin'et, selvom sikkerhedseksperter flere gange har rådet brugere til at afinstallere det på grund af sikkerhedsrisikoen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
David Rechnagel Udsen

Det virker stadig dumt at man skal logge ind på borger.dk for at læse digital post. Især når NoScript bliver pænt sur over det XSS-hack de laver mellem borger.dk og eboks.dk. Eboks.dk bruger stadig Java.

Jeg snød før og brugte borger.dk med en user-agent-switcher (så den troede jeg var en iPhone), så kunne jeg læse digital post på min hjemmedatamat uden Java. Det er sgu' service de leverer.

Thomas Larsen

Hurra for den høje sikkerhed på e-boks. De højtlønnede og stærkt kompetente sikkerhedseksperter hos e-boks har fortsat valgt at RC4 og TripleDES med et skodgammelt SHA1-certifikat skal være den eneste tilladte algoritme til kryptering af data ved login via nemadgang.dk og så betyder det åbenbart mindre at begge algoritmer er mere end tredive år gamle og at de endda stærkt frarådes af Microsoft og Bruce Schneier som stærkt forældede og en enorm sikkerhedsrisiko.

Jeg gætter på at de højtlønnede tekniske eksperter hos e-boks har fået kvalificeret rådgivning fra Forsvarets Center for Cybersikkerhed som har forvisset dem om at RC4 er et ganske tilstrækkeligt sikkerhedsniveau at kryptere borgernes private oplysninger med og det har slet ikke noget at gøre med at det skal være så let som muligt for GCHQ/NSA/FE at bryde krypteringen når borgerne/terroristerne logger ind på offentlige selvbetjeningsløsninger.

Hurra for sikkerhedsniveauet hos e-boks!

http://www.zdnet.com/microsoft-pushes-crypto-standards-forward-7000023162/

https://www.schneier.com/blog/archives/2013/03/new_rc4_attack.html

Mogens Hansen

Skiftet betyder ikke umiddelbart noget for den enkelte bruger, da Javascript-udgaven fungerer ligesom den tidligere applet-baserede version. Men det betyder dog, at man nu kan tilgå de offentlige hjemmesider uden at have et Java-plugin installeret til sin browser.

Som den uofficielle PC supporter blandt venner og familie betyder det nu en del - tænk på alle de gange, jeg slipper for at skulle pille den åndssvage Ask-toolbar af deres browsere når jeg kommer på besøg...

martin nyhjem

Dejligt de endelig er kommet med. Det burde dog efter min mening være gået hurtigere, men bedre sent end aldrig..
Nu kan jeg så afinstallere den java jeg smed på IGÅR..!.. for at tilgå borger.dk.. :)

Peter Lind Damkjær

Når man læser V2-artikler, der omhandler anvendelse af Java i browsersammenhæng (se også artikel fra 18/11 2014 "Java-plugin er den største it-sikkerhedstrussel mod danskerne"), kunne man få det indtryk at det danske samfund er specielt sårbar og dårligere stillet end resten af verden pga. den hidtidig brug af Java i NemID. Jeg mener, at virkeligheden er lidt mere nuanceret.

Det er vist almindelig kendt at langt hovedparten af de sårbarheder, der udnyttes, er ældgamle og allerede patchet i nyeste versioner. Derfor er det stadig god latin, at holde software inkl. Java opdateret. Og her er empirien øjensynligt i Danmarks favør:

De sidste 3 år har Danmark i "Kaspersky Security Bulletin" ligget nummer 1 landet med lavest risiko for infektion (find det selv via Google og gå til bunden af rapporterne).

Oversigten af lande i Secunias landerapport http://secunia.com/resources/countryreports/ for Q3 2014 bekræfter dette. Danmark har den største andel af Java-plugin installationer, men har samtidig markant størst patching-grad af samme. Det sender os igen i top med samlet 16,74 procent upatched maskiner (i forhold til Java) med Holland som nærmeste forfølger (21,09%).

Jeg siger ikke, at procenterne for DK i ovenstående ikke burde være bedre. Jeg mener til gengæld, at antydningen af, at det danske samfund er specielt sårbare i forhold til resten af verden pga. af vores høje anvendelse af Java-plugin afkræftes af tallene fra Kaspersky og Secunia.

Jeg lytter gerne, hvis andre har tal, der viser noget andet.

Måske skyldes vores relativt høje grad af patching, at man på tværs af offentlige og private organisationer har udbredt et enslydende budskab om vigtigheden af opdatering????

Dette er ikke en salgstale for Java-plugin, men et forsøg på at nuancere debatten og samtidig påstå, at vi i Danmark skal forsætte og måske endda forstærke hovedbudskabet "Hold dine programmer opdateret". Dette råd gælder stadig, når Java-plugins er engang udfaset og malware flyttet til andre jagtmarker.

God vind til CSIS' Heimdal og Secunia PSI ;-)

David Rechnagel Udsen

De sidste 3 år har Danmark i "Kaspersky Security Bulletin" ligget nummer 1 landet med lavest risiko for infektion (find det selv via Google og gå til bunden af rapporterne).

Er du sikker?

Moderate Risk
A total of 118 countries in the range of 21-40.99%:
Australia (38.9%), the USA (38.1%), Canada (36.5%), Italy (39.6%), France (38.1%), Spain (36.7%), the UK (36.7%), the Netherlands (27.3%), Finland (23.6%), Denmark (21.8%); Poland (37.6%), Romania (33.2%), Bulgaria (24.1%), Brazil (34.6%), Mexico (29.5%), Argentina (25%), China (32.2%), Japan (25.3%).

http://report.kaspersky.com/.

Virker ikke som det »nummer 1 landet med lavest risiko for infektion«.

Peter Lind Damkjær

Java er bare irriterende at vedligeholde og, som de fleste nok har oplevet hos de knap så "IT" kyndige, så ender folk på ask.com og får hvad der allermest ligner "malware" ind på computeren.

Det vil jeg ikke anfægte.

Jeg opponerer blot mod, at der tegnes et billede af, at vi skulle være særligt sikkerhedsmæssigt udsat som dansk samfund, når tal viser noget andet.

Kim Jensen

Jeg opponerer blot mod, at der tegnes et billede af, at vi skulle være særligt sikkerhedsmæssigt udsat som dansk samfund, når tal viser noget andet.

Såsom at eksperter anslår at ca. 30-50.000 computere i DK er zoombie computere (jeg mener at huske at DK-Cert har sat tallet til ca. 1/2 million): http://sikkerhed.tdc.dk/publish.php?id=13162 !!!

Her på V2 har tallet tidligere været sat til 100.000: http://www.version2.dk/artikel/di-udryd-100000-danske-zombier-med-dns-sp... !!!

Peter Lind Damkjær

Er du sikker?

Næ! Jeg kiggede på "Local Threats" og havde ikke set "This data points to
threats that have penetrated a computer system through something other than the Internet, email, or network ports."

Shame on me!

Men det ændre stadig ikke ved min egentlige pointe. Det danske samfund er ikke specielt udsat som følge af stor udbredelse af Java-plugin.

Peter Lind Damkjær

Såsom at eksperter anslår at ca. 30-50.000 computere i DK er zoombie computere (jeg mener at huske at DK-Cert har sat tallet til ca. 1/2 million)

...

Her på V2 har tallet tidligere været sat til 100.000

Mit budskab er ikke, at IT-sikkerheden ikke for lav i DK. Faktisk mener jeg, at der er masser af plads til forbedring.

Jakob Damkjær

Ask har en aftale med java... så husk lige at google chrome har en aftale med adobe ang. flash...

hver gang man skal opdatere flash på en windows PC med internet explorer (som skal benyttes hvis man fx. benytter webreq.dk som fx alle der skal bestille labsvar i Danmark skal) så skal man vælge fra at man får downloaded google chrome og får installeret chrome toolbar i sin IE browser.

100% skod...

Desuden så er det kun på windows at java og ask dimsen er så horibel. På Mac OS X kan man opdatere direkte fra kontrolpanelet uden at skulle klikke in miliard gange som når man skal installere via java installeren. Samtidigt er det absurd at windows ikke snart kommer på banen med en funktionalitet i stil med Mac OS X hvor Apple går ind og blokere for at gamle usikre versioner af flash, java eller whatever kan køre overhovdet. En ret enkel ret smart måde at undgå gamle usikre plugin...

Jørgen Elgaard Larsen

Det er vist almindelig kendt at langt hovedparten af de sårbarheder, der udnyttes, er ældgamle og allerede patchet i nyeste versioner. Derfor er det stadig god latin, at holde software inkl. Java opdateret.


Det er endnu bedre latin helt at undgå at benytte software med en elendig track record.

Al software kan indeholde fejl, men der er altså forskel på, om der konstateres sikkerhedshuller hver uge eller hverandet tiår.

Java-pluginner har simpelthen så dårlig sikkerhedshistorik, at de ikke hører hjemme på moderne computere.

At basere et helt lands digitale infrastruktur på at tvinge alle til at bruge så usikker software er i bedste faldt dumt.

Om andre lande er bedre eller værre stillet er underordnet. Man bliver ikke rask af, at naboen er mere syg end en selv.

Jørgen Elgaard Larsen
Bestyrelsesmedlem
IT-Politisk Forening

Peter Lind Damkjær

Om andre lande er bedre eller værre stillet er underordnet. Man bliver ikke rask af, at naboen er mere syg end en selv.

Det er korrekt. Men min pointe var, at det er forkert, at antyde eller påstå, at vi er mere syge end naboen af en eller anden specifik årsag, hvis tallene viser, at naboen har flere sygedage.

Min anden implicitte pointe var, at vi ikke slipper for sårbarheder ved at skifte teknologi og at bedste forsvar er et højt patch-niveau.

Min mission er, at vi i fællesskab begynder at se på, hvordan vi kan højne den samlede IT-sikkerhed. Første step er, at vi ikke ukritisk lader os fange af myter.

PS: Check i øvrigt http://secunia.com/vulnerability-review/vulnerability_update_top50.html for statistik på sårbarheder i 2013.

Peter Hansen

Som den uofficielle PC supporter blandt venner og familie betyder det nu en del - tænk på alle de gange, jeg slipper for at skulle pille den åndssvage Ask-toolbar af deres browsere når jeg kommer på besøg...


Ret I registry én gang, så er det slut....
http://www.howtogeek.com/198240/avoid-javas-ask-toolbar-installations-wi...


Det er slet ikke nødvendigt at rode i registreringsdatabasen, det kan gøres med et simpelt flueben i "Configure Java" fra og med Java 7u65 og 8u11:

1) Åbn "Configure Java".
2) Klik på "Advanced" fanebladet.
3) Scroll ned i bunden og sæt flueben i "Suppress sponsor offers when installing or updating Java".
4) Klik "OK".

How do I install Java without third party sponsor offers? https://www.java.com/en/download/faq/disable_offers.xml

Log ind eller Opret konto for at kommentere