Sikkerhedseksperter: Digitaliseringsstyrelsen bør opfordre folk til at fjerne Java igen

2. december 2014 kl. 06:2931
Når Java ikke længere er en forudsætning for NemID, bør Digitaliseringsstyrelsen opfordre borgerne til at fjerne produktet, da det udgør et sikkerhedsproblem, mener flere eksperter. Det har styrelsen dog ingen planer om.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Selvom bankerne og den store offentlige log in-portal - NemLog-In - har skiftet til den nye JavaScript-baserede NemID-løsning, sidder hobevis af danskere stadig tilbage med en Java-installation, der kan udgøre en sikkerhedsrisiko. Derfor bør Digitaliseringsstyrelsen opfordre borgerne til at afinstallere Java igen, lyder det fra flere eksperter.

Kasper Lindgaard, Head of Research hos it-sikkerhedsfirmaet Secunia vurderer, at langt de fleste Java-installationer hos private i Danmark kun har haft som formål at kunne køre NemID - hvilket også har været gældende for hans egen Java-installation.

Og han peger på, at når alle instanser af den Java-baserede NemID, som en person eller virksomhed benytter sig af, er skiftet til den Javascript-baserede NemID, skal man afinstallere Java for derved at lukke for en af de store angrebsvinkler, som hackere benytter sig af.

»Faktum er, der er rigtig mange sårbarheder i Java. Og mange mennesker har haft Java af en eneste årsag. Så det ville helt sikkert klæde dem (Digitaliseringsstyrelsen, red.) at sige, at folk burde afinstallere det. Men hvis de gør det, så er det jo også en indrømmelse af, at Java måske ikke sikkerhedsmæssigt er den bedste løsning.«

Artiklen fortsætter efter annoncen

Secunia står blandt andet bag produktet Personal Software Inspector, der hjælper brugere med at holde deres programmer opdaterede. Og Kasper Lindgaard fortæller, at der alene i 2014 er registreret 119 sårbarheder i Java.

Og selvom folk måtte have opdateret programmet til seneste udgave, kan det stadig indeholde sårbarheder, som Oracle, der står bag Java, ikke er bekendt med, påpeger han.

»Der er masser af folk derude, der finder sårbarheder, som ikke nødvendigvis rapporterer dem til Oracle, men i stedet vælger at udnytte dem eller sælge dem.«

Når Java er et populært mål for it-kriminelle, hænger det ifølge Kasper Lindgaard blandt andet sammen med, at produktet udgør en ensartet angrebsflade, der kan bruges til at kompromittere klientmaskinen, uanset om Java-installationen kører på det ene eller det andet styresystem.

It-sikkerhedsekspert og partner i CSIS Peter Kruse mener også, at Digitaliseringsstyrelsen burde opfordre danskerne til at fjerne Java igen, nu hvor programmet ikke længere er en forudsætning for at tilgå en lang række digitale tjenester under det offentlige via NemLogin-portalen.

»Jeg kan kun spille bolden videre og sige, at det ville være fint, hvis de (Digitaliseringsstyrelsen, red.) gjorde det. Det ville være et godt træk. Der er noget oprydningsarbejde, der ligger forude, hvor man godt kunne komme ud med nogle råd,« siger han.

Der kan naturligvis også være andre programmer end NemID, eksempelvis spil, der forudsætter Java, forklarer Peter Kruse. Men er borgerne i tvivl om, hvorvidt de faktisk anvender Java til andet end NemID, vil det i udgangspunktet være en god idé at fjerne produktet og så eventuelt installere det igen, hvis det alligevel skulle være nødvendigt.

»Der er ingen grund til at have noget software installeret, som man ikke bruger i det daglige alligevel,« siger Peter Kruse, som desuden understreger, at selvom Java ikke længere er installeret, er det naturligvis vigtigt at holde øvrige tredjepartsprogrammer som Flash opdateret.

Flere steder, blandt andet på den fællesoffentlige login-portal NemLogin, er NemID skiftet til at køre på JavaScript i stedet for Java. Men først fra udgangen af 2014 er det officielt helt slut med NemID på Java.

Borgerne skal dog ikke forvente opfordringer fra Digitaliseringsstyrelsen, når det kommer til at skille sig af med deres Java-installationer.

»Generelt er det ikke Digitaliseringsstyrelsens rolle at oplyse, hvilke programmer brugerne bør installere eller afinstallere,« oplyser kontorchef i Digitaliseringsstyrelsen Cecile Christensen i en mail sendt via styrelsens pressemedarbejder.

Borgere kan dog af egen drift opsøge hjemmesiden nemid.nu for at få hjælp til at fjerne Java.

»I det konkrete tilfælde med Java har vi dog en vejledning på www.nemid.nu, hvor man kan følge en simpel guide til afinstallation af Java. Oracle har udviklet et brugervenligt værktøj til denne proces, som er beskrevet i guiden på www.nemid.nu. Derudover har vi vejledninger til afinstallation af Java til de brugere, der anvender Mac eller Linux,« står der i mailen.

31 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
31
3. december 2014 kl. 00:03

Til alle os der supporterer familie mv., så vil jeg lige nævne at TeamViewer er gratis at anvende til privat brug, og det er lykkedes mig at lære de fleste i familien at åbne den og give adgangskoden over tlf., så jeg kan rydde op hjemmefra.

Undskyld til alle der mener det var irrelevant i denne tråd, men det har været en stor hjælp for mig hver gang jeg skulle ind og fjerne Ask for syttende gang.

26
2. december 2014 kl. 11:28

Indtil JS-versionen er 112% udrullet, ville det klæde Digitaliseringsstyrelsen særdeles meget at få Oracle til at udbyde en dansksproget og sponsorfri Java-pakke til befolkningen!

Det kan i min optik ikke være rimeligt, at borgerne i et land skal forventes at være "internationalt sprogkyndige" for at kunne installere en krævet komponent i forbindelse med den obligatoriske digitale kommunikationen med landets egne offentlige instanser!

Alle de fikse "silent install"-løsninger (Ninite, Heimdal etc) minimerer problemstillingen i et vist omfang, men det ændrer ikke på, at der vel bør være mulighed for 100% dansksproget software hele vejen igennem forløbet, når man skal kommunikere med kommune, stat, bank og lign.!

OS, browser, NemID og websider fås alt sammen på dansk i dag - hvor svært kan det dog være at få en oversat version af Java? Jeg er ganske overbevist om, at Oracle gerne leverer en sådan mod en passende erkendtlighed. ;-)

22
2. december 2014 kl. 10:49

Er det ikke kun Java i browseren der er usikker og som bør undgås?

23
2. december 2014 kl. 10:56

Jo

18
2. december 2014 kl. 10:17

Jeg tror der er mange herinde, som - ligesom mig - forestår support på en del pc'ere i den nærmere familie, og som er grundigt trætte af igen igen at skulle afinstallere AskToolbar. Bemærk at der i den seneste version af java nu er mulighed for at slå den semi-automatiske installation fra:

  • Åben java control center (Configure Java)
  • På fanebladet Advanced scroller du helt ned i bunden
  • Marker checkbox "Suppress sponsor offers when installing or updating Java" Kom i en af de seneste opdateringer, i hvert fald fra 7.71.
13
2. december 2014 kl. 09:42

Netop ad bekvemmeligheder har jeg valgt at eboks kun kører fra mobil og tablet. Faktisk måtte jeg installere Java da jeg skulle ind på skat, kort tid inden de ændrede det.

10
2. december 2014 kl. 09:00

Når nu en uopdateret Java er farlig, bør folk så ikke også afinstallere deres OS, det er jo også en tydelig sikkerhedsrisiko. Både ukendte og kendte exploits udsætter folk for fare, det må vi hellere sende et landsdækkende varsel ud om, det er lige til BT's forside.

8
2. december 2014 kl. 08:44

Er det mig der er langsomtopfattende, men er java ikke fortsat nødvendig hos eboks.dk? Hvor meget af min digitale post havner, f.eks breve fra arbejdsgiver, forsikringsselskaber, banker oa - som IKKE er synlige når jeg logger ind via borger.dk?

12
2. december 2014 kl. 09:29

Du er ikke gal på den - hos mig kræver e-boks også fortsat Java installeret. Hos SKAT og andre kører det, som det skal, uden Java.

3
2. december 2014 kl. 07:53

En tilfældig statslig styrelse, sekunderet af et par (selvbestaltede) It-sikkerhedseksperter, skal sku' da ikke bestemme hvilke programmer danskerne skal installere på deres PC'er mm. Der findes tonsvis af andet software, der er mindst lige så farligt som Java, ude i cyberspace. Software som en f.eks. ikke opdateret browser slæber ind på en PC. Stop den evige nedsabling af Java, den opdatere iøvrigt sig selv.

21
2. december 2014 kl. 10:29

Men når man ikke har noget at bruge det til så er det lidt dumt at have installeret. Personligt har jeg ikke haft det skrammel installeret på min primære computer i et par år nu. Jeg har en gammel maskine der kun blev brugt til alt det skrammel der krævede flash og/eller java. Den kan jeg nu heldigvis undvære da jeg ikke har noget at bruge Java til mere. Hver gang jeg har haft brug for den har jeg skulle spilde tid på at opdatere Java først.

11
2. december 2014 kl. 09:15

OK, semi. Hvis du ikke bliver gjort opmærksom på at der en opdatering klar, så er det ens egen skyld.

15
2. december 2014 kl. 10:05

OK, semi. Hvis du ikke bliver gjort opmærksom på at der en opdatering klar, så er det ens egen skyld.

Godt, så er vi enig. Nærmest alle andre kan finde ud af at auto-opdatere men ikke Java. Man kunne godt mistænke det for at være et bevist valg så flere folk installerer Ask Toolbar.

Som mange andre hjælper jeg jævnligt diverse familiemedlemmer med deres PC'ere. Java er det eneste program jeg har set der har problemer med at opdatere hvis den bliver kørt fra en almindelig brugerkonto på Windows. Den beder korrekt nok om administrator brugernavn og password men derefter fejler den. Jeg har som løsning valgt at installere "Heimdal Free" agenten på maskinerne, den sørger for automatisk at holde Java og diverse andre plugins opdateret.

14
2. december 2014 kl. 10:03

Hvis man knapt selv kan opdatere Java, får man nok også installeret Ask toolbar, fordi man ikke orker at læse en dialogboks på mere end 2 linjer. Det har Oracle gjort med fuldt overlæg, og det er ren manipulation med brugeren.

Når man så installerer Ask Toolbar, holder visse hjemmesider op med at virke i Chrome, fordi layoutet bliver formatteret forkert. Så skal man bruge tid på at fjerne Ask Toolbar, og det skal man hver gang brugeren har opdateret sin Java uden at læse dialogboksen. Det er den slags småpisseri, der gør det nødvendigt at lave ekstra support på maskiner med Java.

Det kan man ikke forvente at lægmand, der knapt aner hvad Java er, kan finde ud af sammenhængen i.

30
2. december 2014 kl. 14:57

Det oser jo bare rigtig rigtigt rigtigt meget af skod produkt når man bundler ens eget produkt med crapware.

Jeg husker stadig RealPlayer som fik lagt sig selv i graven ved at bundle deres player med endeløse mængder af crapware.

Det kan du så godt gøre grin med at det er så nemt at sige nej, men der er bare folk der ikke har styr på tingene. Så tak fra os der skal supportere familie og bekendtes PCere(gratis) og bruge halve og hele aftener på at rydde op fordi almindelige mennesker ikke kan vurdere at de som installationsprogammer fortæller dem at det er en god ide de installerer, rent faktisk IKKE er en god ide.

5
2. december 2014 kl. 07:59

Nu står der faktisk "opfordrer" og ikke tvinger. Men forstår jeg dig ret så er jeg nu enig i at det er forbrugeren selv der skal tage beslutningen. Det skal de dog nok have lidt hjælp til, både hvorfor/hvorfor ikke samt hvordan.

2
2. december 2014 kl. 07:50

De bruger det stadig til elektronisk underskrift på eboks. Bare en service der er langsom ødelægger det for alle.

27
2. december 2014 kl. 11:59

Bruge Borger.dk

28
2. december 2014 kl. 12:57

@Svend Lyngsø: Fedt at man kan komme på e-boks uden Java browserplugin via Borger.dk, det havde jeg ikke bemærket.

Men ikke så fedt at e-boks ikke bare er skiftet til Java-script versionen af NemId sammen med resten af det offentlige login.

1
2. december 2014 kl. 07:00

Jeg har programmeret Java siden 1.02, og det har aldrig fungeret ordentligt client-side, og det har altid været bøvlet. Fint miljø til servere. Fjernet fra mine client maskiner.

4
2. december 2014 kl. 07:55

Derudover har vi vejledninger til afinstallation af Java til de brugere, der anvender Mac eller Linux

Findes der nogen der kører Linux som har brug for sådan en vejledning? :-)