Det er ikke mer enn en to uker siden et alvorlig sikkerhetshull i Java ble oppdaget som førte til at Apple blokkerte eldre versjoner av Java i Safari. Oracle var raske på labben og fikk ut en oppdatering få dager etter, men nå viser det seg at også denne versjonen av Java inneholder alvorlige sikkerhetshull.
Hvor lenge skal bankene med BankID skyve sikkerhetsansvaret over på forbrukere?
Her i Norge trenger vi egentlig ikke å bruke Java til stort annet enn BankID og Norsk Tipping. Sistnevnte klarer vi oss helt fint uten, men BankID er det derimot litt vanskeligere med. BankID er nemlig innlogging- og autentiseringssystemet som norske banker har gått sammen om på tvers av bankene og det offentlige Norge. Ideen er god, men gjennomføringen er det verre med.
BankID er en løsning som er bygget på Java og krever dermed at du har Java installert på din datamaskin for å kunne benytte BankID. Problemet er ikke bare at Java har mange sikkerhetsutfordringer, men også at mobile plattformer som iOS, Windows Phone og Android ikke støtter Java i nettleseren.
Ikke bare har BankID valgt en teknisk løsning som tilhører 90-tallet, de har valgt en løsning som ikke har noen fremtid i vår mobile dataverden og som har like mange hull som en sveitserost.
Ansvarsfraskrivelse?
I tillegg til en teknisk løsning med mange sikkerhetsutfordringer, så virker det ikke til at BankID faktisk tar over seg hva dette betyr for sluttbrukeren. Problemet er vel kanskje at det er bankene som er BankID sine kunder og ikke oss forbrukere?
Nettbanken din er sikker og trygg. BankID og bankene har i sum mange lag av sikkerhet som gjør at de kriminelle ikke lykkes med å komme til pengene våre
sier Odd Erling Håberget, leder i BankID Norge, i en pressemelding.
Nettbanken og pengene våre er ifølge BankID fortsatt sikre. Det er fint å vite, men det tar vi også som en selvfølgelighet. Det er ikke dette som er problemstillingen.
BankID «påtvinger» alle nordmenn, som ønsker å ha tilgang til en nettbank, å installere Java. En programvare, som gjennom en rekke beviselig angrep, gjør våre datamaskiner uttrygge og del av internasjonale kriminelle nettverk. Disse kriminelle nettverkene benytter våre personlige datamaskiner til alt fra SPAM-utsendelser og DDOS-angrep på nettsider til identitetstyveri og phishing.
Skal vi ha tilgang til vår nettbank må vi altså installere programvare som gjør våre maskiner utsatt for alvorlige angrep. At pengene i nettbanken garanteres og er «sikre» er ingen trøst når Macen min deltar i et DDOS-angrep mot utskyldige nettsteder eller identiteten min blir stjålet. Hva skal jeg gjøre da BankID?
Vi følger nøye med på utviklingen. Slik vi vurderer det nå, mener vi man kan bruke Java i oppdatert versjon med stor grad av trygghet
uttalte Odd Erling Håberget, leder i BankID Norge noen dager etter forrige alvorlig sikkerhetshull i Java ble oppdaget.
Dessverre for oss forbrukere er dette ikke sant. Allerede to dager etter Oracle slapp en fiks for Java, var det funnet flere nye alvorlige sikkerhetshull i programvaren. Disse hullene er ikke like alvorlige som hullet Oracle tettet og krever brukerinteraksjon, men dette har ikke stoppet ondsinnede fra å angripe tidligere.
Fjorårets største trussel på OS X, Flashback, spredde seg gjennom hull i Java. Java er blitt favoritten for alle nettkriminelle og i disse miljøene koster det ikke mer enn $5000 for å få tilgang til foreløpig ukjente og ikke rettede hull i Java.
BankID har lansert BankID for iOS, en egen applikasjon som gir deg mulighet for BankID på iPhone uten bruk av Java, men foreløpig er det et fåtall av banker som har implementert støtte for BankID-applikasjonen. Noen banker, som Skandiabanken og DNB, tilbyr også alternative innloggingsmetoder som ikke inkluderer BankID. BankID uttaler også at de har startet «et prosjekt» for å se på alternativer til Java. Det burde dere ha sett på for lenge, lenge siden.
Ønsker du en sikker Mac er det fortsatt anbefalt å holde Java avslått i din hovednettleser og ha en ekstra nettleser med Java for nettbank.
Chiang Mai 1963 man, 21/01/2013 - 16:38
"Ønsker du en sikker Mac er det fortsatt anbefalt å holde Java avslått i din hovednettleser og ha en ekstra nettleser med Java for nettbank."
Det er vel ikke så enkelt! Den siste tiden er det kun Safari som virker med nettbanken, og om jeg skal følge dette rådet, så kan jeg ikke bruke Safari som hovednettleser. Selv foretrekker jeg altså Safari, som akkurat nå er eneste browser som virker med min nettbank.
HEFJELLS man, 21/01/2013 - 17:07
I min bank er det heldigvis mulighet for å logge inn uten bankID. Den sammme muligheten kan også brukes på nettbrett. Eneste ulempe er at man må bruke kodebrikken men det er ikke noe problem. Så vekk med Java.
TorsteinO man, 21/01/2013 - 17:17
@Chiang Mai 1963:
Hvis du prøver å bruke firefox, er problemet da at det ikke er mulig å trykke på "ok"-knappen selv etter å ha lagt inn engangskoden? I såfall er løsningen enkel - bare trykk en gang på cmd (fungerer også med alt og ctrl), så blir plutselig knappen aktiv :)
Stereo Mac man, 21/01/2013 - 18:27
Kan man ikke gjøre som google, blizzard og andre som lar deg bruke en app som genererer en kode på telefonen for så å logge seg inn på de respektive tjenestene.
Forstår ikke hva som gjør java spesielt egnet til innlogging når det viser seg at det faktisk gjør maskinen mer usikker... Noen som kan forklare meg det?
An apple a day keeps the doctor away
freddie92 man, 21/01/2013 - 20:01
kan noen forklare hvorfor det i det hele tatt brukes java?
bohdi man, 21/01/2013 - 20:06
Tullingar. Sparebanken Sogn og Fjordane that is. Når ein skal logge inn (dersom ein velgjer å logge seg inn i Javaopplegget) - kjem ein etter å ha skrive inn 1 påloggingsinformasjon til eit bilete der ein kan sjekke om ein har siste versjon av Java (puh. jammen hadde eg ikkje det), men også ein link til "last ned" siste versjon av Java:
http://www.java.com/en/download/inc/windows_upgrade_ie.jsp
Hahaha - her er det vel relativt tydeleg kva banken oppfattar er det som folk som brukar EDB har.
Eg klarar knapt å ta banknæringa seriøst. Dei velgjer ei løysning som legg opp til at det er meeeeengder av maskiner der ute som ikkje eingong k l a r a r å holde seg oppdatert, om dei så vil.
Og - eg er evig klar over at alle andre løysninger også har problem med seg, men Java framstår for meg som eit produkt som har gått ut på dato. Dei burde skrote opplegget og gå over til noko som ikkje har så store utfordringar for brukarar å forholde seg til.
2- faktor autentisering ved bruk av mobil kan vere eitt alternativ - er det ikkje det Scandiabanken brukar saman med kodebrikke?
timmytid man, 21/01/2013 - 20:09
Det er forsåvidt sant at det er avdekket sikkerhetshuller i Java og det er ikke bra. Dette er noe Oracle må fikse; forhåpentligvis på en hurtig og skikkelig måte slik at feilen rettes uten at nye hull introduseres.
Dersom man velger noe annet enn Java så blir det fort til at man må velge egne løsninger for Mac, Linux, Solaris, Windows etc og da blir det fort uoversiktlig.
Forhåpentligvis kan man på sikt migrere til en løsning som ikke krever installasjon på klienten utover nettleser, men når jeg ser hvor mye "enterprise" programvare som ikke lar deg føre timer i noe annet enn Internet Explorer versjon X så er jeg skeptisk.
Imidlertid skulle jeg ønsket meg litt mer finkornet kontroll over Java. Om man kunne sperret den ned til kun å snakke mot BBS og et par andre utvalgte steder så kunne jeg godt låst resten ned rimelig hardt.
Dessverre er folk flest altfor slappe med å installere OS- og programvare patcher. Alt som innebærer omstart er noe man skyver foran seg.. Så intil videre så er fordelen med Java at media kan få én ting å skrive om fremfor å faktisk måtte sette seg inn ting ;)
Maccrell man, 21/01/2013 - 22:32
Administrator skriver følgende : Her i Norge trenger vi egentlig ikke å bruke Java til stort annet enn BankID og Norsk Tipping.
Dette er ikke riktig.
Java brukes av mange millioner for å kunne spille svært populære nettbaserte spill.
Java brukes til mye mer enn nettbanker. Java har eksistert i mange år med hull.
Snart kommer nok en ny oppdatering.
admin man, 21/01/2013 - 22:33
@maccrell
Jo, dette er absolutt riktig. Du trenger ikke å spille nettbaserte spill. Du trenger derimot å bruke banken din ;)
Maccrell tir, 22/01/2013 - 08:01
Du trenger ikke nettbank for å bruke banken din. Du kan bruke kontofonen og den er mer oppdatert enn nettbanken. Dvs. at du kan oppleve å få forskjellig saldo om du sjekker kontoen med begge deler samtidig. Dette fordi at beløp inn og ut av kontoen registreres raskere på kontoen via kontofonen. Norsk-Tipping trenger du absolutt ikke. Da er det bedre å sette inn 100kr. pr. uke i banken så får du en garantert gevinst på 5200.- på et år + renter.
Skal du spille på nettet med spill som krever Java har du ingen annen mulighet enn Java.
Vi har alle forskjellige behov og det som er til glede for noen er en pest for andre.
TorsteinO tir, 22/01/2013 - 09:56
Hei makrell, du TRENGER ikke å skrive på denne siden heller vettu, ingen tvinger deg.
Dorkfish tir, 22/01/2013 - 10:13
Skulle tro han bare MÅ være uenig med alle når det gjelder ALT. Det går igjen i nesten hver eneste tråd han skriver i.
Mac Lovin tir, 22/01/2013 - 10:41
Fatter ikke hva bankid driver med? Bank id i Java systemet har vært avleggs i flere år. Og jeg forstår heller ikke hva Netcom driver med som har lovet mobil innlogging av bank id igjennom hele 2012 uten å klare å gjennomføre noe som helst. Av alt jeg gjør på nett om dagen så er bank id det eneste som er problematisk og det har det vært i 4-5 år siden jeg startet å bruke Mac. Kanskje Mac var en minoritets gruppe da, men det er det ikke i dag. Og heller ikke nettbasert i telefoner. Når jeg leser at bankid ser på nye løsninger blir jeg frustrert og føler kanskje bankene har gjort seg avhengig av helt helt inkompetent og tregt selskap. De burde begynt å se etter nye løsninger for flere år siden. Heldigvis har Dnb laget et system hvor man kan logge inn utenom bankid, men det er fortsatt problemer når man handler på nettsider som bruker bankid.
Hele bank id systemet er i dag en fiasko som burde sidestilles med altinn sine tragiske serverløsninger og ruter sine påkostede billettsystener som aldri fungerer som de skal, til tross for enorme investeringer.
petrus764 tir, 22/01/2013 - 11:23
Av alt jeg gjør på nett om dagen så er bank id det eneste som er problematisk og det har det vært i 4-5 år siden jeg startet å bruke Mac. Kanskje Mac var en minoritets gruppe da, men det er det ikke i dag.
Jeg har hatt Mac lenger enn deg og har egentlig aldri hatt noe reelt problem med det. Av min erfaring og utifra problemene som omhandler Java på forumet er det i stor grad brukerutfordringer.
OS X-brukere er så absolutt en minoritet, enten er man en minoritet ellers er man ikke det. Ser man på den totale operativsystem-statistikken de siste 6 mnd er Windows Vista så vidt større enn alle OSX-installasjoner til sammen.
http://gs.statcounter.com/#os-ww-monthly-201207-201212-bar
TorsteinO tir, 22/01/2013 - 11:37
Bankid har vel ett problem for tiden som jeg vet om:
Hvis du bruker firefox er det ikke mulig å trykke på "ok"-knappen etter å ha tastet inn koden, man må av en eller annen snodig grunn trykke på cmd først (fungerer også med alt og ctrl). Mulig det er enten firefox eller java som *egentlig* er ansvarlig, det vet jeg derimot ikke.
Mac Lovin tir, 22/01/2013 - 12:10
petrus764, vel jeg klarer å komme meg unna. Men jeg personlig velger Chrome framfor Safari, pga syncing over diverse maskine fra PC til mac på bokmerker osv. Veldig kjedelig hver gang jeg handler på nett, så glemmer jeg at BankID ikke støttes på Chrome Mac og så må jeg starte hele kjøpsprosessen på nytt. Ok, kanskje ikke et enormt problem, men fortsatt veldig irriterende....Og når alt annet funker på Chrome, hvorfor skal jeg som bruker måtte tipasse meg BankID sine begrensninger? Det er bare de som ikke får det til. alt annet funker.
En annen ting er at Bank ID er tregt på Mac. Tar lang tid ofte før kode utfyllingen og java programmet er lastet inn. Dette er helt annerledes på PC. Kanskje velerfarne brukere finner en vei unna, men ikke glem at Bank ID skal være brukervennlig for folk som også ikke har masse dataerfaring.
Jeg kjenner til flere som rett og slett ikke tror det funker pga alle disse begrensningene. En person med lite datakunnskap vet kasnkje ikke at når de ikke kommer inn på chrome, så må de bytte til Safari, osv...
T.B.Hansen tir, 22/01/2013 - 12:42
Når det gjelder brukerandeler, er nok Mac betydelig større på hjemmefronten, enn totalt — en stor del av verdens datamaskiner finnes på arbeidsplassene. Mac-brukere er fortsatt en minoritet, men ikke så liten at den ikke burde interessere de som utvikler sikre innloggingssystemer for privatpersoner.
Selv har jeg uansett deaktivert Java, og det ser ut til at det er fullt mulig å klare seg uten BankID. Både banken jeg bruker, offentlige etater og Norsk Tipping tilbyr Java-fri innlogging. Bøygen er enkelte nettbutikker — men bruker man kredittkort i stedet for vanlig bankkort, går det som regel der også.
ggt667 tir, 22/01/2013 - 17:03
Kanskje lage en Python-utgave av BankID?
Maccrell ons, 23/01/2013 - 12:41
Bank ID er en genial ting som også er svært sikker fordi koden du får fra boksen aldri er den samme. Kriminelle kan få tak i både personnummeret og din personlige kode ved å installere programvare som leser hva du taster, men fordi Bank ID koden alltid er forskjellig så kommer de ikke inn på kontoen din. Skal de klare det må de fysisk stjele Bank ID brikken og samtidig ha tilgang til den firesifrede koden til Bank ID brikken.
Derfor er pengene dine trygge selv om Java lekker om en sil og kriminelle finner disse hullene og angriper deg. De kriminelle kan gjøre som de vil og bare promiller av disse blir tatt. Det er roten til problemene.
Dere som logger inn i nettbanken uten bank ID, bruker dere kun personnummer og et fast personlig passord ?
T.B.Hansen ons, 23/01/2013 - 14:52
Banken min bruker kodebrikke, også på innlogging uten Bank ID.
Betsy2 tor, 24/01/2013 - 23:25
Jeg har nylig forsøkt å innstallere siste versjon av Java men har bare fått problemer med treg pc etter det, og Java fungerer ikke.. Er det noe jeg må gjøre på pc en før Java fungerer som den skal? Kan ikke bruke Bank ID (Forøvrig pleier jeg bare bruke den for å logge på der med med alternativ innlogging med kodebrikke. Prøvde å reg. meg på Digipost men Java funketikke der heller, men får. Når jeg trykker på listen over nedlastninger finner den ikke siden.Har også fått en melding som noe om at.. "it is corrupt"?? Jeg bruker Google Chrome. Internet Explorer har ikke fungert på lenge så den er jeg gått vekk fra.
Forrige gang jeg oppdaterte Java måtte jeg også ringe til banken og da mener jeg at fikk beskjed om å gå inn på nedlatsninger ? og trykke på noe der , og da funket det..
Min pc funket såå bra før jge oppdaretere denne siste versjonen.. Håper jeg har forklart meg godt nok:) er ingen datanerd..Er usigelig takknemlig for råd og tips:)
ruedi fre, 25/01/2013 - 15:03
Jeg ser at iCloud ikke virker uten Java Script.
Når det snakkes om sikkerhetshullet er det altid bare Java det skrives. Betyr det at Java Script ikke er berørt av sikkerhetsproblemet.
Hvis det var tilfellet ville man kunne slå av Java og bare bruke Java Script.
I OSX kan Java slås av separat mens Java Script er på. Men dette ser ikke ut til å være mulig i iOS.
Er det greit for sikkerheten å ha Java Script på når Java er slått av?
HenrikWL fre, 25/01/2013 - 15:08
JavaScript har overhodet ingenting med Java å gjøre og er ikke berørt av Java-problemer.
ggt667 søn, 27/01/2013 - 10:56
JavaScript har overhodet ingenting med Java å gjøre og er ikke berørt av Java-problemer.Det er nå greit, men det ene utelukker ikke det andre. Kan fint være javascript på toppen og java under i samme løsning.
nosey man, 28/01/2013 - 14:22
Etter hva jeg har forstått funker ikke java i chrome på Mac, men Firefox funker? Jeg bruker Safari som hovednettleser... (Safari er best!) :D
HenrikWL man, 28/01/2013 - 15:49
JavaScript har overhodet ingenting med Java å gjøre og er ikke berørt av Java-problemer.Det er nå greit, men det ene utelukker ikke det andre. Kan fint være javascript på toppen og java under i samme løsning.
Kun dersom browseren selv er skrevet i Java.
Det er forsvinnende få (om noen i det hele tatt - jeg kjenner ikke til noen) JavaScript-motorer som er skrevet i Java. JavaScript er et ECMA scriptspråk som har mer til felles med ActionScript (altså Flash) enn det har med Java. Det eneste JavaScript har til felles med Java er de 5 første bokstavene i navnet.
Staale man, 28/01/2013 - 16:47
Vi er vel alle enige om at Oracle Java har hatt for mange sikkerhetshull og vært for trege med oppdateringer til at det kan ansees som trygt. Samtidig er det ingen kompatibilitet med iOS, WP eller Android (bør være enkelt å porte dagens løsning til Android, men tviler på at det er ønskelig).
Likevel kan det være greit å ha litt forståelse for at det tar tid å skifte ut et system med 2,5 millioner brukere, der man forventer 0 nedetid og 100 % trygghet. BankID sier selv at de er på vei bort fra Java (https://www.bankid.no/Presse-og-nyheter/Nyhetsarkiv/2013/Java---oppdatering-fjernet-de-alvorligste-sarbarhetene/), og det bør vi berømme dem for.
nosey man, 28/01/2013 - 17:17
Det er da mye bedre å bruke apps for BankID/nettbank på mobilen enn rett i nettleseren, det er jo helt trygt :)