Enda flere hull i Java - hva nå BankID?

[admin]

Det er ikke mer enn en to uker siden et alvorlig sikkerhetshull i Java ble oppdaget som førte til at Apple blokkerte eldre versjoner av Java i Safari. Oracle var raske på labben og fikk ut en oppdatering få dager etter, men nå viser det seg at også denne versjonen av Java inneholder alvorlige sikkerhetshull.

Hvor lenge skal bankene med BankID skyve sikkerhetsansvaret over på forbrukere?

Her i Norge trenger vi egentlig ikke å bruke Java til stort annet enn BankID og Norsk Tipping. Sistnevnte klarer vi oss helt fint uten, men BankID er det derimot litt vanskeligere med. BankID er nemlig innlogging- og autentiseringssystemet som norske banker har gått sammen om på tvers av bankene og det offentlige Norge. Ideen er god, men gjennomføringen er det verre med.

BankID er en løsning som er bygget på Java og krever dermed at du har Java installert på din datamaskin for å kunne benytte BankID. Problemet er ikke bare at Java har mange sikkerhetsutfordringer, men også at mobile plattformer som iOS, Windows Phone og Android ikke støtter Java i nettleseren.

Ikke bare har BankID valgt en teknisk løsning som tilhører 90-tallet, de har valgt en løsning som ikke har noen fremtid i vår mobile dataverden og som har like mange hull som en sveitserost.

Ansvarsfraskrivelse?

I tillegg til en teknisk løsning med mange sikkerhetsutfordringer, så virker det ikke til at BankID faktisk tar over seg hva dette betyr for sluttbrukeren. Problemet er vel kanskje at det er bankene som er BankID sine kunder og ikke oss forbrukere?

Nettbanken din er sikker og trygg. BankID og bankene har i sum mange lag av sikkerhet som gjør at de kriminelle ikke lykkes med å komme til pengene våre

sier Odd Erling Håberget, leder i BankID Norge, i en pressemelding.

Nettbanken og pengene våre er ifølge BankID fortsatt sikre. Det er fint å vite, men det tar vi også som en selvfølgelighet. Det er ikke dette som er problemstillingen.

BankID «påtvinger» alle nordmenn, som ønsker å ha tilgang til en nettbank, å installere Java. En programvare, som gjennom en rekke beviselig angrep, gjør våre datamaskiner uttrygge og del av internasjonale kriminelle nettverk. Disse kriminelle nettverkene benytter våre personlige datamaskiner til alt fra SPAM-utsendelser og DDOS-angrep på nettsider til identitetstyveri og phishing.

Skal vi ha tilgang til vår nettbank må vi altså installere programvare som gjør våre maskiner utsatt for alvorlige angrep. At pengene i nettbanken garanteres og er «sikre» er ingen trøst når Macen min deltar i et DDOS-angrep mot utskyldige nettsteder eller identiteten min blir stjålet. Hva skal jeg gjøre da BankID?

Vi følger nøye med på utviklingen. Slik vi vurderer det nå, mener vi man kan bruke Java i oppdatert versjon med stor grad av trygghet

uttalte Odd Erling Håberget, leder i BankID Norge noen dager etter forrige alvorlig sikkerhetshull i Java ble oppdaget.

Dessverre for oss forbrukere er dette ikke sant. Allerede to dager etter Oracle slapp en fiks for Java, var det funnet flere nye alvorlige sikkerhetshull i programvaren. Disse hullene er ikke like alvorlige som hullet Oracle tettet og krever brukerinteraksjon, men dette har ikke stoppet ondsinnede fra å angripe tidligere.

Fjorårets største trussel på OS X, Flashback, spredde seg gjennom hull i Java. Java er blitt favoritten for alle nettkriminelle og i disse miljøene koster det ikke mer enn $5000 for å få tilgang til foreløpig ukjente og ikke rettede hull i Java.

BankID har lansert BankID for iOS, en egen applikasjon som gir deg mulighet for BankID på iPhone uten bruk av Java, men foreløpig er det et fåtall av banker som har implementert støtte for BankID-applikasjonen. Noen banker, som Skandiabanken og DNB, tilbyr også alternative innloggingsmetoder som ikke inkluderer BankID. BankID uttaler også at de har startet «et prosjekt» for å se på alternativer til Java. Det burde dere ha sett på for lenge, lenge siden.

Ønsker du en sikker Mac er det fortsatt anbefalt å holde Java avslått i din hovednettleser og ha en ekstra nettleser med Java for nettbank.

[Chiang Mai 1963]

"Ønsker du en sikker Mac er det fortsatt anbefalt å holde Java avslått i din hovednettleser og ha en ekstra nettleser med Java for nettbank."
Det er vel ikke så enkelt! Den siste tiden er det kun Safari som virker med nettbanken, og om jeg skal følge dette rådet, så kan jeg ikke bruke Safari som hovednettleser. Selv foretrekker jeg altså Safari, som akkurat nå er eneste browser som virker med min nettbank.

[HEFJELLS]

I min bank er det heldigvis mulighet for å logge inn uten bankID. Den sammme muligheten kan også brukes på nettbrett. Eneste ulempe er at man må bruke kodebrikken men det er ikke noe problem. Så vekk med Java.

[TorsteinO]

@Chiang Mai 1963:

Hvis du prøver å bruke firefox, er problemet da at det ikke er mulig å trykke på "ok"-knappen selv etter å ha lagt inn engangskoden? I såfall er løsningen enkel - bare trykk en gang på cmd (fungerer også med alt og ctrl), så blir plutselig knappen aktiv

[Stereo Mac]

Kan man ikke gjøre som google, blizzard og andre som lar deg bruke en app som genererer en kode på telefonen for så å logge seg inn på de respektive tjenestene.

Forstår ikke hva som gjør java spesielt egnet til innlogging når det viser seg at det faktisk gjør maskinen mer usikker... Noen som kan forklare meg det?

An apple a day keeps the doctor away

[freddie92]

kan noen forklare hvorfor det i det hele tatt brukes java?

[bohdi]

Tullingar. Sparebanken Sogn og Fjordane that is. Når ein skal logge inn (dersom ein velgjer å logge seg inn i Javaopplegget) - kjem ein etter å ha skrive inn 1 påloggingsinformasjon til eit bilete der ein kan sjekke om ein har siste versjon av Java (puh. jammen hadde eg ikkje det), men også ein link til "last ned" siste versjon av Java:

http://www.java.com/en/download/inc/win ... ade_ie.jsp

Hahaha - her er det vel relativt tydeleg kva banken oppfattar er det som folk som brukar EDB har.

Eg klarar knapt å ta banknæringa seriøst. Dei velgjer ei løysning som legg opp til at det er meeeeengder av maskiner der ute som ikkje eingong k l a r a r å holde seg oppdatert, om dei så vil.

Og - eg er evig klar over at alle andre løysninger også har problem med seg, men Java framstår for meg som eit produkt som har gått ut på dato. Dei burde skrote opplegget og gå over til noko som ikkje har så store utfordringar for brukarar å forholde seg til.

2- faktor autentisering ved bruk av mobil kan vere eitt alternativ - er det ikkje det Scandiabanken brukar saman med kodebrikke?

[timmytid]

Det er forsåvidt sant at det er avdekket sikkerhetshuller i Java og det er ikke bra. Dette er noe Oracle må fikse; forhåpentligvis på en hurtig og skikkelig måte slik at feilen rettes uten at nye hull introduseres.

Dersom man velger noe annet enn Java så blir det fort til at man må velge egne løsninger for Mac, Linux, Solaris, Windows etc og da blir det fort uoversiktlig.
Forhåpentligvis kan man på sikt migrere til en løsning som ikke krever installasjon på klienten utover nettleser, men når jeg ser hvor mye "enterprise" programvare som ikke lar deg føre timer i noe annet enn Internet Explorer versjon X så er jeg skeptisk.

Imidlertid skulle jeg ønsket meg litt mer finkornet kontroll over Java. Om man kunne sperret den ned til kun å snakke mot BBS og et par andre utvalgte steder så kunne jeg godt låst resten ned rimelig hardt.

Dessverre er folk flest altfor slappe med å installere OS- og programvare patcher. Alt som innebærer omstart er noe man skyver foran seg.. Så intil videre så er fordelen med Java at media kan få én ting å skrive om fremfor å faktisk måtte sette seg inn ting

[Maccrell]

Administrator skriver følgende : Her i Norge trenger vi egentlig ikke å bruke Java til stort annet enn BankID og Norsk Tipping.

Dette er ikke riktig.

Java brukes av mange millioner for å kunne spille svært populære nettbaserte spill.
Java brukes til mye mer enn nettbanker. Java har eksistert i mange år med hull.
Snart kommer nok en ny oppdatering.

[admin]

@maccrell

Jo, dette er absolutt riktig. Du trenger ikke å spille nettbaserte spill. Du trenger derimot å bruke banken din

[Maccrell]

Du trenger ikke nettbank for å bruke banken din. Du kan bruke kontofonen og den er mer oppdatert enn nettbanken. Dvs. at du kan oppleve å få forskjellig saldo om du sjekker kontoen med begge deler samtidig. Dette fordi at beløp inn og ut av kontoen registreres raskere på kontoen via kontofonen. Norsk-Tipping trenger du absolutt ikke. Da er det bedre å sette inn 100kr. pr. uke i banken så får du en garantert gevinst på 5200.- på et år + renter.
Skal du spille på nettet med spill som krever Java har du ingen annen mulighet enn Java.
Vi har alle forskjellige behov og det som er til glede for noen er en pest for andre.

[TorsteinO]

Hei makrell, du TRENGER ikke å skrive på denne siden heller vettu, ingen tvinger deg.

[Dorkfish Erfaren]

Skulle tro han bare MÅ være uenig med alle når det gjelder ALT. Det går igjen i nesten hver eneste tråd han skriver i.

[Mac Lovin]

Fatter ikke hva bankid driver med? Bank id i Java systemet har vært avleggs i flere år. Og jeg forstår heller ikke hva Netcom driver med som har lovet mobil innlogging av bank id igjennom hele 2012 uten å klare å gjennomføre noe som helst. Av alt jeg gjør på nett om dagen så er bank id det eneste som er problematisk og det har det vært i 4-5 år siden jeg startet å bruke Mac. Kanskje Mac var en minoritets gruppe da, men det er det ikke i dag. Og heller ikke nettbasert i telefoner. Når jeg leser at bankid ser på nye løsninger blir jeg frustrert og føler kanskje bankene har gjort seg avhengig av helt helt inkompetent og tregt selskap. De burde begynt å se etter nye løsninger for flere år siden. Heldigvis har Dnb laget et system hvor man kan logge inn utenom bankid, men det er fortsatt problemer når man handler på nettsider som bruker bankid.

Hele bank id systemet er i dag en fiasko som burde sidestilles med altinn sine tragiske serverløsninger og ruter sine påkostede billettsystener som aldri fungerer som de skal, til tross for enorme investeringer.

[petrus764]

Av alt jeg gjør på nett om dagen så er bank id det eneste som er problematisk og det har det vært i 4-5 år siden jeg startet å bruke Mac. Kanskje Mac var en minoritets gruppe da, men det er det ikke i dag.

Jeg har hatt Mac lenger enn deg og har egentlig aldri hatt noe reelt problem med det. Av min erfaring og utifra problemene som omhandler Java på forumet er det i stor grad brukerutfordringer.

OS X-brukere er så absolutt en minoritet, enten er man en minoritet ellers er man ikke det. Ser man på den totale operativsystem-statistikken de siste 6 mnd er Windows Vista så vidt større enn alle OSX-installasjoner til sammen.


http://gs.statcounter.com/#os-ww-monthl ... 201212-bar