Deense tegenhanger DigiD adviseert onveilige Java-versie
De Deense tegenhanger van DigiD heeft gebruikers een onveilige Java-versie geadviseerd nadat de laatste versie die deze week uitkwam voor problemen zorgde. Oracle patchte deze week via Java 7 Update 45 in totaal 51 beveiligingslekken, waarvan er 50 via het internet zijn te misbruiken.
Deense gebruikers van NemID die Java 7 Update 45 hadden geïnstalleerd konden het systeem niet meer gebruiken. NemID is een Deens digitaal handtekeningsysteem vergelijkbaar met het in Nederland gebruikte DigiD. Het is ontstaan uit een samenwerkingsverband tussen de Deense overheid en de banken. Sinds de lancering van het systeem op 1 juli 2010 wordt het door meer dan 4 miljoen Denen gebruikt bij toegang tot diensten in de publieke en particuliere sector, waaronder belastingzaken en internetbankieren.
NemID gebruikt twee-factor authenticatie, wat wordt geregeld via een gebruikersnaam en wachtwoord in combinatie met een persoonlijke sleutelkaart met daarop codes die ingetoetst moeten worden. Om het systeem te gebruiken is echter Java vereist. De Oracle-update die afgelopen dinsdag verscheen zorgde ervoor dat gebruikers niet meer konden inloggen.
Daarop kregen gebruikers het advies om Java 7 Update 45 niet te installeren en het onveilige Java 7 Update 40 te gebruiken. Vrijdag 18 oktober waren de problemen met het systeem opgelost en werden ook gebruikers met Java 7 Update 45 ondersteund.
JavaScript
Inmiddels is besloten dat de volgende versie van het systeem, dat volgend jaar april verschijnt, JavaScript in plaats van Java zal gebruiken. Volgens de ontwikkelaars niet vanwege de regelmatig ontdekte beveiligingsproblemen in Java, maar om het systeem ook op tablets en smartphones te laten werken.
Merk op dat het volstrekt logisch is dat als je toch ervanuitgaat dat iedereen altijd alleen maar zijn van overheidswege toegekende identificatie mag gebruiken dat het dan volstrekt logisch is dat banken (en als we toch bezig zijn, verzekeraars, medische instellingen, telefoonbedrijven, en nog zo een hele rits meer, want waarom ook niet TLS voor je abbelement?) "meedoen" met zo'n systeem. Dat dit dan dus ook problemen kan opleveren, al was het maar de "techniese probleemjes", daar hadden ze nog even niet bij stilgestaan.
Wellicht interessant te kijken of er ook nog over privacy nagedacht is in dit systeem, want nu kan de overheid de facto precies zien waar & wanneer jij probeert te telebankieren. Wat denk je, gezien de "upgrade" naar javascript, en de vele cross-site scriptingproblemen waar we onderhand mee bekend zijn?
Mwoah, dat is nou ook weer overdreven. De JVM als platform is volgens mij totaal niet beter of slechter dan enig, vergelijkbaar, ander systeem. Maar ja, het is inderdaad een feit dat de plugin en frontend technologie zwaar onder vuur ligt....
Overigens, vergis je niet: die JavaScript oplossing gaat op zijn geheel eigen manier ook weer legio problemen met zich meebrengen. Software is lek omdat het bestaat en dat geldt niet alleen voor in Java geschreven software.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
