Officiel sikkerhedsadvarsel: Slå Java fra – og brug særlig browser til NemID

Det var DK-CERT godt nok længe om at anbefale. Jeg har længe haft Java slået fra i min Firefox netop pga. ovennævnte sikkerhedsbrist samt andre sikkerhedsproblemer med Java.

Hvorfor skriver Version2 og DK-CERT ikke CVE-nummeret? Er der tale om CVE-2012-4681? "Oracle Java 7 Update 6, and possibly other versions" Er IcedTea så ramt eller vides det ikke?

I gamle dage virkede Ubuntu+Firefox+IcedTea+NemID ikke, men sidst jeg prøvede virkede Ubuntu+Firefox+IcedTea+NemID. Hvem bruger så Oracle Java?

Kan man ikke bare deaktivere java i sin browser og så aktivere det hver gang man skal bruge nemid?

"Sikkerhedshullet findes umiddelbart kun i Java 7 og ikke i den mere udbredte Java 6"

På OSx får man som default Java6 op til og med Mountain Lion 10.8 - det er kun de der har hentet OSx fra Oracles eget site der kan have fået Oracles JDK 7.

Derfor er procentdelen af OSx brugere der kører JDK7 efter min overbevisning ganske lille - så advarslen skal nok tages med et gran salt, og man bør lige tjekke hvilken version Java man har inden man panikker.

Anbefaler slemId stadig at man intet foretager sig?

Magelighed længe leve.. jeg nøjes med at bruge NoScript - det sorterer ret meget skidt og kanel fra, så længe jeg bruger min sunde fornuft og et godt AV program i tandem. NoScript er bare desværre ikke ligefrem noget der er let anvendeligt eller ikke-generende for den jævne bruger. Men for mig virker det og jeg slipper samtidig for unødigt bøvl når jeg skal bruge SlemID.

I stigende grad checker jeg også saldoer på telefonen i stedet - og da jeg ikke kan huske hvornår jeg sidst har fået en fysisk regning, så er det ikke ligefrem fordi jeg drukner i behov for at tilgå webbanken i tide og utide.

Nu ville jeg jo lige deaktivere java i min Chrome browser, men ser til min overraskelse at jeg kører version 6.0.330.3. Så har jeg vel ikke berørt at dette sikkerhedshul?

Edit: Ja, så læste jeg lige hele artiklen - jeg er ikke berørt :-)

Jeg har haft god erfaring med den nye about:config setting "plugins.click_to_play" i Firefox 14 og nyere:

https://msujaws.wordpress.com/2012/04/11/opting-in-to-plugins-in-firefox/https://msujaws.wordpress.com/2012/04/20/site-specific-permissions-for-firefox-opt-in-plugins/

Den virker ikke perfekt med Java. Der dukker nemlig ikke et click-to-active link op for NemId. Man er nødt til manuelt aktivere addons for sider der skal køre Java (Højre-klikker på siden og vælger "View Page Info" -> "Permissions")

Men det stopper alt automatisk kørsel af Flash, Java, Silverlight for alle almindelige sider, og det fungerer faktisk rigtig godt. Flash og Silverlight indhold viser nemlig korrekt "Click here to activate".

Jeg har længe talt for at der må være stof til et par afhandlinger i adfærdspsykologi og tilstødende områder af psykologien. Det kunne så dels munde ud i en solid base af UI-viden på området og dels en folkelig introduktion til emnet (på passende niveau, så folk gider læse den). Ja, en del af det her er kendt i branchen, men det savner et bredere publikum. Der tror jeg at psykologer kan hjælpe os.

Chrome har native support for at deaktivere javascript, plugins, etc som standard og så vidt jeg husker findes der et plugin (ironisk) til Firefox, der tilbyder nogenlunde det samme.

Løsningen er ikke at bruge to browsere. Det er ikke engang et workaround.

Det som browsere mangler er et UI, som (næsten) almindelige mennesker har en chance for at forstå, der gør det muligt at whiteliste sites der af den ene eller anden grund har brug for javascript eller plugins.

Min Chrome er indstillet til forbyde javascript og plugins, således jeg skal godkende hvert site første gang jeg besøger det. Nogle gange skal jeg kigge i HTML kilden for at finde ud af hvilke hosts jeg skal whiteliste - et åbenlyst eksempel på hvor UI'et kunne forbedres. Samtidigt savner jeg også en knap der hedder, "Tillad i X dage/timer" for efterhånden har jeg omkring 100 whitelistede javascript sites, men de fleste bruger jeg ikke ofte/mere.

Min whitelisting betyder også, at tåbelige nyhedssites der kræver javascript blot for at vise mig tekst og billeder ikke er velkomne.

Det virker tydeligvis ikke blot at sandboxe og source reviewe vores browsere -- så må vi prøve noget nyt.

Gaah, forkert artikel!

Flytter lige min kommentar..

Da man jo desværre er dybt afhængig af de skide DanID appletter, har jeg smidt en lille plugin sammen til Chrome der filtrerer alt andet applet/object DOM fra med mindre det er DanID's bootstrapper der peges på.

Skulle andre ønske at benytte den, kan man bare klikke på følgende link og installere:https://dl.dropbox.com/u/4451927/AllowDanIDApplet.crx

Er man (som man bør være) mistroisk og vil lave review på koden først, hent denne zip ned, udpak og load via Chrome's developer mode:https://dl.dropbox.com/u/4451927/AllowDanIDApplet.zip

Her er en guide til hvordan man slår java fra i IE: https://www.kb.cert.org/vuls/id/636312 . En kommentar fra reddit:

Every other browser: three clicks to disable java.
IE: edit registry, add some kill bits, edit registry, initialize java so you can shut it off, then actually shut it off.
Good f'n job, Microsoft.

Det bliver da spændende at se dem, der har modded kritiske indlæg overfor NemID ned (og især DanIDs valg af obligatorisk Java og priviligerede applets til hele befolkningen) melde sig ved navn og forsvarre den her.