Sådan bliver NemID brygget på Javascript til web og mobil

16 kommentarer.  Hop til debatten
Sådan bliver NemID brygget på Javascript til web og mobil
Illustration: DanID.
Opdateret: Det notorisk forsinkede NemID-projekt vil efter planen ramme en milepæl i andet kvartal i 2014, hvor løsningen vil være Javascript-baseret. Digitaliseringsstyrelsen forsøger at forhindre flere forsinkelser.
person
27. juni 2013 kl. 06:29
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I andet kvartal i 2014 forventer Nets DanID at være klar med NemID i en ny Javascript-udgave. Den skal gøre det muligt at bruge NemID på eksempelvis mobile enheder som tablets og smartphones, der ikke understøtter Java, som den nuværende løsning bygger på.

»På sigt vil Javascript-klienten afløse Java-klienten helt, for så vidt angår nøglekortsløsningen (NemID-papkortet, red.). Der er i øjeblikket ikke planer om at udfase Java for NemID på hardware (privat nøgle, red.) og medarbejdersignaturer, der anvender en anden Java-applet,« skriver Charlotte Jacoby, souschef i Digitaliseringsstyrelsen, i en mail til Version2.

Modsat Java kan Javascript ikke tilgå hardware som eksempelvis en USB-nøgle, og derfor vil de personer, der bruger NemID på hardware skulle fortsætte med Java-appletten.

Det nye NemID vil ligne det gamle for det utrænede øje. Det vil have samme brugerinterface, funktionalitet og sikkerhedsniveau som den eksisterende Java-klient, lyder svaret fra Digitaliseringsstyrelsen.

Artiklen fortsætter efter annoncen

Den nye løsning vil understøtte det, Digitaliseringsstyrelsen kalder 'alle gængse browsere', og den vil virke på tværs af 'gængse platforme'. Men den største forskel for brugerne er, at Javascript-klienten ikke kræver installation af særlig software hos brugeren - det er altså ikke nødvendigt at installere Java, der af mange sikkerhedseksperter vurderes som en af de mest sårbare applikationer, man overhovedet kan installere på sin computer.

Men der er også et lille trick i ærmet, lyder det fra Digitaliseringsstyrelsen.

»Den nye klient giver samtidig mulighed for, at tjenesteudbydere kan udvikle såvel webbaserede som appbaserede tjenester, der kan anvende NemID,« siger Charlotte Jacoby.

Det betyder, at klienten kan integreres både på eksempelvis borger.dk eller i en specialudviklet app til en mobiltelefon. Der er forskel på NemID til brug med det offentlige og det private - som eksempelvis forskellen mellem NemID på borger.dk og danskebank.dk. Men der er også forskel på den loginboks, du ser på danskebank.dk, der er en rigtig implementering af NemID Java-appletten, og så den loginboks, du finder i Danske Banks smartphoneapp, der verificerer mod en Java-applet på en server.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Derfor findes der i dag en lang række smartphone-apps fra banker, hvor du kan bruge NemID, men hvor du - rent teknisk - ikke bruger NemID-appletten, men i stedet logger dig ind via en tredjepartstjeneste - i dette tilfælde via banken.

Det forsinkede NemID

NemID-projektet har gang på gang været ramt af forsinkelser, og stort set alle dele af projektet har været forsinkede. Netop derfor kan det synes naturligt at sætte spørgsmålstegn ved, om Nets DanID nu også er klar med NemID på Javascript i andet kvartal 2014.

I 2011 tog det offentlige konsekvensen af de utallige kuldsejlede offentlige it-projekter, og oprettede Statens IT-projektråd, der skal sikre en bedre kontrol med projekterne og dermed være med til at forhindre, at projekterne løber løbsk eller helt bliver skrottet. Rådet kigger på it-projekter med et budget på over 10 millioner kroner - præcis som NemID-projektet, der samlet har kostet i omegnen af en milliard kroner.

Ifølge Digitaliseringsstyrelsen har Statens IT-projektråd vurderet NemID til JavaScript som en 'normal risiko'. Ved denne klassificering modtager institutionen, altså Digitaliseringsstyrelsen, en række anbefalinger fra IT-projektrådet, som det forventes, institutionen imødekommer.

Hvad har I gjort for at sikre, at der ikke igen sker tidsoverskridelser, og at NemID Javascript rent faktisk leveres i andet kvartal 2014?

»Der er i forprojektet lavet et grundigt arbejde med at definere og estimere projektet. Digitaliseringsstyrelsen har deltaget i dette arbejde og har således været med til at kvalificere projektplanen, og der vil desuden blive fulgt tæt op på projektets fremdrift,« skriver Charlotte Jacoby.

Da Digitaliseringsstyrelsen begyndte arbejdet med et alternativ til den nuværende NemID-Java-applet, blev der sat otte millioner kroner af til opgaven. Men en analyse af de forskellige muligheder, og et prisoverslag for dem, afslørede, at det ikke var nok. Prisen ville ende på mellem 15 og 30 millioner kroner. Derfor kunne styrelsen ikke leve op til den først udmeldte deadline om NemID på mobile enheder inden udgangen af 2012.

Tidligere har Digitaliseringsstyrelsen nævnt udgangen af 2013 eller første kvartal af 2014 som mulige deadlines for NemID uden Java. Dengang var meldingen, at det i høj grad afhang af muligheden for at videreudvikle NemID på Javascript under den eksisterende kontrakt, da en opgave i udbud typisk tager mindst et halvt år ekstra. Løsningen kom ikke i udbud, men alligevel er deadline altså skubbet til andet kvartal 2014.

Ifølge Digitaliseringsstyrelsen finansieres projektet i fællesskab med bankerne, der betaler halvdelen af udgifterne til projektet, der samlet koster 47 millioner kroner. Det offentlige skal samlet betale 23,6 millioner kroner for udviklingen. Heraf er fordelingen 40, 40 og 20 procent for henholdsvis staten, kommunerne og regionerne.

Normalt skal større projekter i udbud som følge af EU-udbudsreglerne, men det er ikke sket i tilfældet med NemID til Javascript. Digitaliseringsstyrelsen oplyser, at den nye klient udvikles som en videreudvikling under den eksisterende kontrakt, da den skal sikre fortsat bred understøttelse af NemID på gængse platforme i kontraktens løbetid. Så selv om Java-appletten i store træk skiftes ud med Javascript-løsningen, er udviklingen altså inden for samme kontrakt.

Opdateret kl. 11.20: Tidligere fremgik det både at løsningen ville være klar i andet kvartal 2014 samt i andet halvår 2014. Det er nu rettet - løsningen forventes klar i andet kvartal 2014.

16 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
16
Svend Bjerrum Jensen
30. juni 2013 kl. 16:18

Det undrer mig, hvordan man sikrer sig mod at en (måske hacket) hjemmeside logger brugernes nemid-password. Den forhadte java-applet er i det mindste signeret af Nets DanID, så man ved, at det kun er dem, man giver sit password. Er der nogen mulighed for at sikre sig mod et javascript, uden at skulle nærlæse kildekoden hver gang? Et af de store problemer med nemid er i mine øjne, at de bryder med regel nr. 1 for digital signatur, der siger, at du aldrig må indtaste dit password på en hjemmeside. Det problem løses ikke ved at skifte programmeringssprog.

  • more_vert
    • insert_linkKopier link
15
Nils Bøjden
30. juni 2013 kl. 13:50

Jeg håber så at staten har en klausul der hedder at de har fuldstændig og ubetinget ret til al kode der udvikles i projektet.

Ellers sylter de vores fællesskab ind i endnu en monopolstruktur vi har problemer med at komme ud af.

Og prøv at spørge kommunerne om hvad det betyder for priserne og forsyningssikkerhed hvis man forhandler med et monopol, eller ikke har råderet over software. (Der var noget med en leverandør der lukkede for kommunernes pas håndtering da leverandøren mente at kommunerne ikke havde ret til at bruge en software komponent)

  • more_vert
    • insert_linkKopier link
10
Lars Skovlund
27. juni 2013 kl. 23:35

Modsat Java kan Javascript ikke tilgå hardware som eksempelvis en USB-nøgle, og derfor vil de personer, der bruger NemID på hardware skulle fortsætte med Java-appletten.

Der har nu været røster fremme om at få PKCS#11-support i Javascript: https://developer.mozilla.org/en/docs/JavaScript_cryptoSå mon ikke det kommer, sandsynligvis mere før end siden?

  • more_vert
    • insert_linkKopier link
8
Andreas Malmkjær-Mørch
27. juni 2013 kl. 13:31

Når man har smidt en milliard efter systemet, hvor stor forskel gør det så, om man bruger 8 eller 27 millioner på en js-version?

  • more_vert
    • insert_linkKopier link
11
Hans Schou
27. juni 2013 kl. 23:41

Når man har smidt en milliard efter systemet, hvor stor forskel gør det så, om man bruger 8 eller 27 millioner på en js-version?

Helt enig. I samme artikel bør man ikke blande millioner og milliarder sammen. Enten eller.

Så når man bruger 1000 milloner på et dårligt system, og så bruger 5% (altså 50 millioner) ekstra på at gøre det brugbart, så er det forsvindende lidt.

Jeg syntes 1000 millioner er alt for mange penge for NemID. Og 500 millioner for POLSAG. Og så 500 millioner til at undersøge VVM i forbindelse med Femernforbindelsen (når man taler miljø, kan man aldrig bruge for mange penge, syntes mantraet at være).

  • more_vert
    • insert_linkKopier link
12
Andreas Malmkjær-Mørch
29. juni 2013 kl. 01:01

Derudover er det sjovt, at man syntes, at det burde kunne ordnes for 8 millioner. 27 millioner var for meget; næ, så hellere vente et år og ordne det for 47 millioner.

  • more_vert
    • insert_linkKopier link
13
Finn Christensen
29. juni 2013 kl. 17:59

Derudover er det sjovt, at man syntes, at det burde kunne ordnes for 8 millioner. 27 millioner var for meget; næ, så hellere vente et år og ordne det for 47 millioner.

Prissedlen øges lige med 600%.. ja mon ikke hovedparten (80%) af pengene bruges til at indføje noget andet snask "nu vi alligevel er i gang" end selve arbejdet med JavaScript erstatning af Java-applet.

»Den nye klient giver samtidig mulighed for, at tjenesteudbydere kan udvikle såvel webbaserede som appbaserede tjenester, der kan anvende NemID,« siger Charlotte Jacoby.

'Tjenesteudbyder' (Bankerne) vil jo meget gerne have alt over gebyrtrykkeriet. Og staten er ikke uvillig, da det for embedsvældet jo også er en skjult borgerkontrol :/

Så jo, det løber skam hurtigt op, når nu begge parter vil have deres røde alarmer, undringslister samt andet snask fedtet ind.

Konsekvenserne af gebyrtrykkeriet ser vi bl.a. da M. Vestager melder ud, at hun snarest vil lukke for teleselskabernes tåbelige CPR-check - de kan i stedet bruge NemID. De klagede højlydt over, at udover etableringsomk., så skal de nu også løbende betale pt. 1 kr. for hver eneste kontrol :) http://www.b.dk/tech/vestager-lukker-cpr-hul

Data ifm. undringslister kan jo eksporteres direkte til basen hos Udbetaling Danmark, som jo allerede har startet autospy op.. http://www.b.dk/nationalt/udbetaling-danmark-holder-oeje-med-dig-1

Og lige nu hvor gevinsten skal stryges, og hele Nets-butikken ønskes solgt for fantasilliarder, så er der intet der kan øge prisen, som en fremkommelig lovgivning og med et blåt stempel fra regeringen tilladelsen til at trykke flere mio. helt egne kr. dagligt.

Da vores regering i sin tid solgte/privatiserede Datacentralen (nu CSC) samt også TDC, da var de gode mia. ned i den tomme statskasse mere væsentlig end de valgte løsninger. Konsekvenserne for borgerne samt infrastrukturen har været højlydt beklaget selv fra politisk hold lige siden.

Kære regering - gentag nu ikke historien igen igen med NemID/Nets - se evt. Nemesis http://da.wikipedia.org/wiki/Nemesis

  • more_vert
    • insert_linkKopier link
7
Morten Winther
27. juni 2013 kl. 13:00

Egne toge, eget rejsekort og nu egen login-løsning? Kan man ikke kigge syd for Kruså og finde noget der er lavet og virker?

  • more_vert
    • insert_linkKopier link
5
Morten Hattesen
27. juni 2013 kl. 11:00

Det nye NemID vil ligne det gamle for det utrænede øje. Det vil have samme brugerinterface

Gad vide, om det også bliver muligt at have en blinkende markør i et indtastningsfelt, uden at feltet har fokus, som den nuværende Java Applet implementering. Den bliver vist lidt svær at implementere i JavaScript, med mindre man vælger en animeret GIF til at simulere markøren.
  • more_vert
    • insert_linkKopier link
1
Michael Kristensen
27. juni 2013 kl. 08:16

... for at skrive en simpel Java klient om til Javascript! Kunne enormt godt tænke mig at vide hvor mange programmører som har været beskæftiget med den opgave og i hvor lang tid. Der kan da maks være tale om ét mandeårs programmering. De resterende 46,5 millioner må være gået til (dårlig?) ledelse.

  • more_vert
    • insert_linkKopier link
4
Palle Due Larsen
27. juni 2013 kl. 10:51

Nu skal løsningen jo ikke bare udvikles, den skal også testes. Det tror jeg bliver omfattende. 47 mio. lyder af meget i mine ører, men ½ mio. er jo helt latterligt. Nogle gange bliver man lidt træt af læse de her "hvor svært kan det være"-kommentarer.

  • more_vert
    • insert_linkKopier link
14
Christian Nobel
30. juni 2013 kl. 13:22

Nu skal løsningen jo ikke bare udvikles, den skal også testes. Det tror jeg bliver omfattende. 47 mio. lyder af meget i mine ører, men ½ mio. er jo helt latterligt. Nogle gange bliver man lidt træt af læse de her "hvor svært kan det være"-kommentarer.

Desværre er der jo en tendens inden for det offentlige at ting SKAL koste.

Hvis man har et forslag til en løsning der er afprøvet, bevisligt virker, og som kan løfte en given opgave til eksempelvis 1 million kr., så bliver man slet ikke taget alvorligt, for en sådan løsning skal da koste 10 (og dette er ikke fiktion, been there, done that, got the t-shirt), og så skal den da leveres af en af SKI vennerne (til gengæld så leverer de det forkerte, og det fungerer kummerligt).

I dette her tilfælde med de 47 millioner, hvem er det så der skal lave løsningen - jo det er et af bankerne ejet foretagende (som jo også skal give overskud), hvorfor man dybest set kan sætte prisen som man vil, for når nu bankerne "skal betale halvdelen", jamen så er der i virkeligheden bare tale om intern fakturering, hvorved bankerne får en "udgift" på 23,5 millioner, som efterfølgende meget snedigt indgår i skatteregnskabet.

Så summa summarum, hele gildet finansieres endnu engang af borgerne.

  • more_vert
    • insert_linkKopier link
9
Michael Kristensen
27. juni 2013 kl. 23:09

Ok, måske er 1/2 million lidt i underkanten (der var en sjat sarkasme i den påstand - sorry). Der skal selvfølgelig også testes o.lign. Men infrastruktur, brugerinterface m.m. er tæt på uændret, så der er vel mere eller mindre blot tale om at portere kode fra en platform til en anden. Jeg er ikke specialist i hverken Java eller Javascript, så måske forstår jeg bare ikke omfanget af en sådan opgave.

  • more_vert
    • insert_linkKopier link
6
Casper Kjeldsen
27. juni 2013 kl. 12:34

Meget enig med Palle Due at man ikke kan lave noget for ½ mio eller et mandeår som Michael Kristensen antyder. Hvis man til dagligt arbejder med professionel softwareudvikling og test så ved man hvor lidt man når, når et produkt skal dække over så mange platforme, samtidig med at der er sikkerhed involveret. Måske de 47 mio. er fordelt således: Udvikling, 10 mand i 2 år 10 mio, Test 8 mio, Projektledelse/kontrakthåndtering 4 mio., Teknikere 3 mio. server setups, testmiljøer mv. 5 mio, fortjeneste/risiko 15 mio.

  • more_vert
    • insert_linkKopier link
3
Pelle Söderling
27. juni 2013 kl. 10:26

Deres problem er nok at det er ret problematisk at omskrive deres bagdør i java-løsningen til javascript, så det handler nok reelt bare om at trække den så længe som muligt :)

  • more_vert
    • insert_linkKopier link
2
Thomas Johansen
27. juni 2013 kl. 10:12

man kan måske ligge et par millioner til forundersøgelse, men ja 47 millioner for noget som skulle udvilket før java løsningen og ikke efter.

  • more_vert
    • insert_linkKopier link