Officiel sikkerhedsadvarsel: Slå Java fra – og brug særlig browser til NemID

DK-CERT anbefaler danskerne at slå Java fra og kun have en særskilt browser med Java til NemID, indtil Oracle frigiver en sikkerhedsopdatering til Java.

Danskerne bør slå Java fra i deres sædvanlige browser og kun bruge Java i en særskilt browser, hvis de har brug for eksempelvis at logge på med NemID. Det er den officielle anbefaling fra sikkerhedsorganisationen DK-CERT, som står for at rådgive om it-sikkerhed på Forskningsnettet.

Anbefalingen kommer efter afsløringen af et nyt sikkerhedshul i Java, som de fleste danskere er afhængige af, fordi NemID kræver en Java-applet for at logge på.

Læs også: DanID’s anbefaling til Java-truede NemID-danskere: Gør som I plejer

Sikkerhedshullet er endnu ikke lukket, og derfor anbefaler DK-CERT i sit seneste nyhedsbrev, at brugerne slår Java fra, indtil der udsendt en fejlrettelse fra Oracle, som står for opdateringen af Java-teknologien.

DK-CERT anbefaler, at man har to browsere, eksempelvis Firefox og Internet Explorer, hvor man i sin foretrukne browser slår Java fra. Det er en sikkerhedsforanstaltning, som flere sikkerhedseksperter anbefaler, fordi sårbarheder i Java kan udnyttes til at omgå sikkerheden og installere malware på brugerens pc.

Man kan således slå Java fra i Firefox og så skifte til Internet Explorer, når man skal logge på eksempelvis sin netbank med NemID.

Sikkerhedshullet findes umiddelbart kun i Java 7 og ikke i den mere udbredte Java 6, men til gengæld kan sikkerhedshullet udnyttes på både Windows, Mac OS X og Linux.

Herunder kan du se DK-CERT's anvisning til at slå Java fra i forskellige browsere:

Anvisning

Java slås fra på følgende måde i de mest udbredte browsere:

Internet Explorer: Menuen Funktioner, vælg Administrer tilføjelsesprogrammer. Vælg Deaktiver ud for Java(tm) Plug-In SSV Helper og Java(tm) Plug-In 2 SSV Helper.

Chrome: Indtast adressen chrome://plugins i adresselinjen. Vælg Deaktiver under afsnittet Java

Firefox: Menuen Funktioner, vælg Tilføjelser og fanebladet Plugins. Vælg Deaktiver ud for Java(TM) Platform SE 7 U6 10.6.2.24.

Opera: Indtast adressen about:config i adresselinjen. Fold sektionen Java ud. Fjern fluebenet ud for Enabled.

Safari: Åbn menuen Safari, vælg Preferences. Vælg fanebladet Security. Fjern fluebenet ud for Enable Java.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (35)

Hans Schou

I gamle dage, var det med Jyskebank sådan at hvis der var et problem med fx JavaScript (ECMA-script), så ville det kun være brugerne af fx Firefox der var ramt af problemet. Når der er mange forskellige browsere, platforme etc, så bliver det alt andet lige færre borgere der bliver ramt når der kommer et problem, og så er det ikke hele samfundet der bryder sammen.

Der er omkostningsfuldt at supportere flere platforme, men når en platform bryder sammen, så er skaden mindre.

Konklusion: Drop NemID.

Jens Schumacher

For at være fair, så har man jo altså ikke ret, blot fordi der er en enkelt svipser.. Er jo ikke fordi, at man heller ikke har set javascript exploits tidligere .. (krammer min chrome videre der i forvejen ikke ukritisk bare kører java )...


Hvad for en fisk?
Det er da fint med javascript exploits men hvornår hjar der sidst været en af slagsen som ramte samtlige browsere på samtlige styresystemer?
Hele problemet med java bindingen er jo at jeg ikke bare kan skifte til en browser/os som ikke er påvirket.

Casper Bang

Da man jo desværre er dybt afhængig af de skide DanID appletter, har jeg smidt en lille plugin sammen til Chrome der filtrerer alt andet applet/object DOM fra med mindre det er DanID's bootstrapper der peges på.

Skulle andre ønske at benytte den, kan man bare klikke på følgende link og installere:
https://dl.dropbox.com/u/4451927/AllowDanIDApplet.crx

Er man (som man bør være) mistroisk og vil lave review på koden først, hent denne zip ned, udpak og load via Chrome's developer mode:
https://dl.dropbox.com/u/4451927/AllowDanIDApplet.zip

Peter Mogensen

Jeg bemærker at der er 2 down-votes på mit oprindelige indlæg, men kun en, der står frem ved navn og forsvarrer situationen ... Hvad skal man mene om det?

I øvrigt et noget sørgeligt forsvar, da det fuldstændig ser bort fra at DanID presser en mono-kultur af priviligeret kode ned over befolkningen. JavaScript implementationer er hverken en mono-kultur eller priviligeret kode.

Alex Holst

Chrome har native support for at deaktivere javascript, plugins, etc som standard og så vidt jeg husker findes der et plugin (ironisk) til Firefox, der tilbyder nogenlunde det samme.

Løsningen er ikke at bruge to browsere. Det er ikke engang et workaround.

Det som browsere mangler er et UI, som (næsten) almindelige mennesker har en chance for at forstå, der gør det muligt at whiteliste sites der af den ene eller anden grund har brug for javascript eller plugins.

Min Chrome er indstillet til forbyde javascript og plugins, således jeg skal godkende hvert site første gang jeg besøger det. Nogle gange skal jeg kigge i HTML kilden for at finde ud af hvilke hosts jeg skal whiteliste - et åbenlyst eksempel på hvor UI'et kunne forbedres. Samtidigt savner jeg også en knap der hedder, "Tillad i X dage/timer" for efterhånden har jeg omkring 100 whitelistede javascript sites, men de fleste bruger jeg ikke ofte/mere.

Min whitelisting betyder også, at tåbelige nyhedssites der kræver javascript blot for at vise mig tekst og billeder ikke er velkomne.

Det virker tydeligvis ikke blot at sandboxe og source reviewe vores browsere -- så må vi prøve noget nyt.

Casper Bang

Chrome har native support for at deaktivere javascript, plugins, etc som standard og så vidt jeg husker findes der et plugin (ironisk) til Firefox, der tilbyder nogenlunde det samme.


Er der nogen browsere hvor man IKKE kan slå det fra?! Problemet her er jo bare at det er alt-eller-intet.

Det virker tydeligvis ikke blot at sandboxe og source reviewe vores browsere -- så må vi prøve noget nyt.


Browsernes sikkerhedsmodel er som sådan god nok. Det er Java's sandkasse i princippet også. Faktum er bare, at software er en kompleks størrelse og vi vil aldrig kunne undgå fejl. NemID problematikken er så bare ekstra kompleks, pga. det specielle (lukkede) teknologimix, JNI og bootstrapping.

Hvis man bevæger sig over i at skulle whiteliste, så sker der bare dét, at folk pr. automatik begynder at sige "Ja" og "Tillad" på diverse popups og så er vi jo lige vidt - så dén tror jeg ikke på. Google har forsøgt sig sådan på Android, og jeg tvivler stærkt på alm. mennesker går listen af permissions igennem før de siger "Ok" - jeg gør det nemlig heller ikke altid! :)

Lars Skovlund

Jeg har længe talt for at der må være stof til et par afhandlinger i adfærdspsykologi og tilstødende områder af psykologien. Det kunne så dels munde ud i en solid base af UI-viden på området og dels en folkelig introduktion til emnet (på passende niveau, så folk gider læse den).
Ja, en del af det her er kendt i branchen, men det savner et bredere publikum. Der tror jeg at psykologer kan hjælpe os.

Hans Schou

Jeg bemærker at der er 2 down-votes på mit oprindelige indlæg, men kun en, der står frem ved navn og forsvarrer situationen ... Hvad skal man mene om det?


Helt enig: Jeg sad også og ledte efter nogle kvalificerede modsvar. Svaret er nok bare at de er givet af nogle DanID-ansatte, og det skal man så ikke tænke videre over. Alternativt skulle du selv ændre holdning bare ved at nogle anonyme giver dig thumbs-down - gør du det?

Sic!

Rolf Kristensen

Jeg har haft god erfaring med den nye about:config setting "plugins.click_to_play" i Firefox 14 og nyere:

http://msujaws.wordpress.com/2012/04/11/opting-in-to-plugins-in-firefox/
http://msujaws.wordpress.com/2012/04/20/site-specific-permissions-for-fi...

Den virker ikke perfekt med Java. Der dukker nemlig ikke et click-to-active link op for NemId. Man er nødt til manuelt aktivere addons for sider der skal køre Java (Højre-klikker på siden og vælger "View Page Info" -> "Permissions")

Men det stopper alt automatisk kørsel af Flash, Java, Silverlight for alle almindelige sider, og det fungerer faktisk rigtig godt. Flash og Silverlight indhold viser nemlig korrekt "Click here to activate".

Casper Bang

Overhovedet ikke, og det bliver den heller aldrig:

Det er sjældent der er fejl i selve browseren der fører til overtagelse af computeren. Omvendt forholder det sig med native plugins, hvor man er afh. af sekundære sikkerheds- og opdateringspolitikker.

I tilfældet her, Java, har Oracle jo haft 4 md.* til at lukke hullerne - det ville man bestemt ikke se i Firefox og især ikke Chrome.

Peter Makholm Blogger

Jeg bemærker at der er 2 down-votes på mit oprindelige indlæg, men kun en, der står frem ved navn og forsvarrer situationen ... Hvad skal man mene om det?

Jeg har ikke deltaget i den seneste debat om NemID/Java, så det er ikke mig, men jeg vil til enhver tid stå frem og forsvare thumbs-down til hvineri over point-systemet, med mindre det eksplicit er emnet for debatten.

Jeg giver point for indlægenes debatmæssige kvalitet, og der er altså mange af de NemID-kritiske indlæg der er ret triste at læse i den henseende. Og indlæg der bare piver over at man har fået thumbs-down bibringer ikke debatten noget interessant.

(Og så giver jeg mig selv straks en thumbs-down for at være fuldstændig off-topic)

Peter Mogensen

Hvis du anså det for hvineri over thumbs down, så har du misforstå det. Jeg pointere blot ironien i at jeg havde forudset det.
Personligt kunne jeg ikke være mere ligeglad med point-systemet. Det er meget begrænset hvad folk bliver klogere af at se de tal.

Jeg ville sådanset hellere se folk stå frem og forsvarre situationen om NemID her i forhold til at kritikken netop også har gået på at DanID påtvang befolkningen en mono-kultur af priviligeret kode i deres browsere.

Thomas Stadel

Nu ville jeg jo lige deaktivere java i min Chrome browser, men ser til min overraskelse at jeg kører version 6.0.330.3. Så har jeg vel ikke berørt at dette sikkerhedshul?

Edit: Ja, så læste jeg lige hele artiklen - jeg er ikke berørt :-)

Bjørn Froberg

Magelighed længe leve.. jeg nøjes med at bruge NoScript - det sorterer ret meget skidt og kanel fra, så længe jeg bruger min sunde fornuft og et godt AV program i tandem.
NoScript er bare desværre ikke ligefrem noget der er let anvendeligt eller ikke-generende for den jævne bruger. Men for mig virker det og jeg slipper samtidig for unødigt bøvl når jeg skal bruge SlemID.

I stigende grad checker jeg også saldoer på telefonen i stedet - og da jeg ikke kan huske hvornår jeg sidst har fået en fysisk regning, så er det ikke ligefrem fordi jeg drukner i behov for at tilgå webbanken i tide og utide.

Flemming Jønsson

"Sikkerhedshullet findes umiddelbart kun i Java 7 og ikke i den mere udbredte Java 6"

På OSx får man som default Java6 op til og med Mountain Lion 10.8 - det er kun de der har hentet OSx fra Oracles eget site der kan have fået Oracles JDK 7.

Derfor er procentdelen af OSx brugere der kører JDK7 efter min overbevisning ganske lille - så advarslen skal nok tages med et gran salt, og man bør lige tjekke hvilken version Java man har inden man panikker.

Mads Vanggaard

Jeg står da også gerne frem. De fleste folk der kommenterer på nemID indlæg er af kvalitet som "nuf said...", "...kommunisme, ... Stasi, ... Imod grundloven, ...." eller andre one-liners som efterlader indtrykket af at personen er en sort-hvid type person, som går grassat over at det ikke lige er et system efter hans hoved. Sjældent får man indtrykket af, at personen faktisk har tænkt at systemet er en kompromis som afspejler en masse faktorer som f.eks. at brugeren er en ikke-IT kyndig person - og på baggrund af det, påpeger hvordan noget kunne have været gjort bedre. NemID er på mange måder skidt lavet, men det hjælper ikke meget at sige det ca. samme hver gang Version2 finder en mulighed for at komme med en relation til nemID i en artikel om noget helt andet. At kalde det slemID svarer til at kalde Microsoft for M$ - ikke videre intelligent.

Peter Mogensen

Nu mindes jeg aldrig at jeg har kaldt det "slemID". Jeg mindes heller ikke at jeg har sagt "ca. det samme" hver gang Version2 har bragt en historie. Faktisk har jeg flere gange gjort opmærksom på at V2s historier ikke sagde noget som helst om noget vigtigt. F.eks. alle historierne om børnesygdommene med nedetid. De har jo på ingen måde addresseret kritiken eller forholdt sig til hvad der var kontroversielt ved NemID, men blot virket som om man troede at enhver NemID historie per automatik var interessant for debatten og så ville man nok hellere skrive om noget, der ikke krævede for meget tankevirksomhed.

Den her historie rammer til gengæld lige i hjertet af den del af kritikken, der handler om brugen af Java.
Og i og med at det også talrige gange har været pointeret at Java var unødvendig og især at der ingen brugbar undskyldning var for at det skulle køre priviligeret, så kan jeg ikke rigtig se at nogen skulle mangle forslag til hvordan det kunne være gjort bedre. Det skulle simpelthen bare ikke være gjort. DanID har ingen undskyldning for at tilgå brugeres filsystem og Jyske Bank har i årevis haft en netbank, der fungerede fint uden Java.
Jeg mangler stadig at se et eneste design-krav, der er i brugerens interesse, der kunne retfærdiggøre den løsning der er nu.

Faktisk har jeg meget svært ved at se hvad det er du siger skulle være et "kompromis". Hvad er det præcis der er så nødvendig, som kræver Java, så man er nød til at lave et "kompromis" ? Og hvordan tog Jyske Banks gamle netbank ikke hensyn til ikke-IT-kyndige?

Mener du det tager bedre hensyn til ikke-IT-kyndige at man nu skal bruge 2 browsere, slå Java fra, og princielt burde køre det i en virtuel maskine, hvis man ikke vil give DanID afgang til sit filsystem?

Mads Vanggaard

Jeg tror at du misser min pointe. Jeg vurderer mange indlæg som auto-genereret ramblings, ikke nødvendigvis dit. NemID er baseret på Java, hvilket var et valg baseret på en vurdering af platformssupport samt at det man ville ikke performede godt nok med Javascript. Jyske Bank lavede deres med Javascript, men hvis du ikke sammenligner hvad der er implementeret så giver det ikke meget mening. Set udefra kan du sammenligne med Jyske Bank, men kender du alle deltaljerne? Jyske Bank havde også papirkortet, hvilket for nemID ikke var en sællert. At politikerne ikke læser version2 og kan se at et platformsvalg for det har sikkerhedsproblemer - er OK. Jeg synes, at der er større problemer i Danmark de skal fokusere på

Finn Aarup Nielsen

Hvorfor skriver Version2 og DK-CERT ikke CVE-nummeret? Er der tale om CVE-2012-4681? "Oracle Java 7 Update 6, and possibly other versions" Er IcedTea så ramt eller vides det ikke?

I gamle dage virkede Ubuntu+Firefox+IcedTea+NemID ikke, men sidst jeg prøvede virkede Ubuntu+Firefox+IcedTea+NemID. Hvem bruger så Oracle Java?

Maciej Szeliga

I gamle dage virkede Ubuntu+Firefox+IcedTea+NemID ikke, men sidst jeg prøvede virkede Ubuntu+Firefox+IcedTea+NemID. Hvem bruger så Oracle Java?


Jeg er ked af at ødelægge din dag men Java bruges til meget mere end bare NemID og der er rigtigt mange af det "meget mere" som ikke virker optimalt med OpenJDK & IcedTea, det er alt fra Java checken ikke virker og dermed sarter tingene ikke til at ting kører væsentligt langsommere. Selv den af dig nævnte NemID kører hutigere på en Oracle Java end på OpenJDK + IcedTea.

Peter Mogensen

@Mads Vanggaard

Det var ikke de auto-genererede ramblings jeg tænkte på da jeg skrev mit første indlæg.

Din øvrige argumentation hænger på spørgsmålet: "...men kender du alle deltaljerne?"

Nej. Det gør jeg ikke. Men det er sådan en slags argument ala at prøve at bevise ikke-eksistensen af noget. Du vil altid kunne sige at der kan jo være et eller andet argument et eller andet sted og vi kan ikke bevise at det ikke er der.
Sådan en overvejelse er IMHO ret uinteressant. Det giver os ingen grund til at tro det eksisterer. (om det så er "gud" eller "det gode argument for Java i NemID").

Jeg har som sagt ikke set noget designkrav, der retfærdiggør at påtvinge hele befolkningen en monokultur af priviligeret kode. Du er velkommen til at foreslå noget konkret, men at DanID gerne vil logge til din hardiske og checke serienumre på din hardware er for mig IKKE et godt argument.

Nelli Laurhardt

Det var DK-CERT godt nok længe om at anbefale. Jeg har længe haft Java slået fra i min Firefox netop pga. ovennævnte sikkerhedsbrist samt andre sikkerhedsproblemer med Java.

Log ind eller opret en konto for at skrive kommentarer