Kijken hoe lang dat goed gaat.

Javascript is in aanvang niet zo onveilig als Java. Java en Javascript worden nog steeds met elkaar verward, wat ervoor zorgt dat vele mensen Java installeren terwijl ze dat helemaal niet nodig hebben. Java = onveilig. Javascript = minder risicovol.

Krakatau leg nou eens in gewone-mensentaal uit waarom de executie van lokaal (client-side) JavaScript zoveel gevaarlijker is dan server-side executie van Java.

We mogen toch aannemen dat de Deense overheidsservers goed beschemd zijn en dat hun disks beveiligd zijn tegen hacks van Java object code en JavaScript source code. Zo niet dan houdt alles op. Voordeel van lokaal uitgevoerd JavaScript is dat wachtwoorden niet het net op gaan, nadeel is dat een man-in-the-middle (mitm) onderweg de JavaScript source code zou kunnen modificeren. Maar hoe groot is die kans bij SSL/TLS transport? Zou de mitm niet ook een wachtwoord onderweg naar een Java programma (dat draait op de server) kunnen onderscheppen?

Ik zou het zeer waarderen als ik een goed te begrijpen antwoord kreeg op deze vragen die me al langer bezig houden.

Het oorspronkelijke artikel beschrijft client-side executie van Java, niet server-side executie. Dat lijkt me helemaal onveilig, iedereen weet toch dat Java op de PC en MAC vol gaten zit en ongeveer elke maand geupdated moet worden? En dat de gemiddelde Deen dat niet doet? Dan is JavaScript toch veiliger?

Krakatau gooit met algemeenheden maar gaat niet specifiek in op het probleem.
Het is in dit geval best mogelijk dat men een veilige server heeft en dat de Javascript goed geschreven is
en dat er geen injectie van kwaadaardige scripts kan plaatsvinden.
Dan moet je niet gaan gooien met "het is onveilig want er zijn mensen die slechte programma's schrijven".

Het niet meer nodig hebben van Java is een verbetering want dit kan voor Denen betekenen dat ze Java van hun
computer af kunnen gooien terwijl dit daarvoor niet praktisch was. En het is ook nog eens handig dat ze kunnen
inloggen op devices die geen Java plugin aanbieden.

Goede zaak.

Hai Krakatau,

Ik meen dat je die vraag de afgelopen maanden in verschillende variaties hebt gesteld in gedachtewisselingen in diverse threads betreffende Java. Ik heb niet al die threads volkomen tot in detail gelezen, maar er wel veel van gezien. Het volgende herinner ik me niet als antwoord op die vraag, daarom wil ik het nu aangeven:

Het is mooi dat er al geruime tijd geen bekende kwetsbaarheden meer in de actuele Java versies meer zitten. Dat is beslist winst vergeleken met enige tijd geleden.
Een serieus probleem is echter dat nogal wat gebruikers Java beroerd updaten en daardoor lang met kwetsbare verouderde Java versies en daardoor met kwetsbare systemen zitten. Dat is wellicht gedeeltelijk Oracle aan te rekenen en gedeeltelijk de gebruikers aan te rekenen. Ik weet niet hoe het (auto)update mechanisme van Java momenteel functioneert, dat was in het verleden nog onvolkomen, het had tot gevolg dat Java-updates bij de niet alerte gebruiker laat of zelfs niet geïnstalleerd werden. De verantwoordelijkheid voor gebrekkig updaten van Java werd (wordt?) daarbij mijns inziens gedeeld door Oracle en de gebruiker.
Hoeveel verantwoordelijkheid voor correct updaten precies bij Oracle ligt en hoeveel bij de gebruiker, dat is niet zo heel relevant. Het belangrijkste is het feit dat veel gebruikers een beroerde update-dicipline hebben en dat daardoor Java-installaties nogal eens niet actueel en daarmee kwetsbaar zijn. Dat is een realiteit om rekening mee te houden.
Vanwege dat feit vind ik het winst wanneer een gebruiker Java kan missen. Een programma dat niet op het systeem aanwezig is kan geen kwetsbaarheden veroorzaken door een beroerd update-regime.
Uiteraard geldt dat niet slechts voor Java, maar in principe voor álle software.

Wat betreft het inruilen van Java voor JavaScript, zoals genoemd in het nieuwsbericht en zoals besproken in deze thread - JavaScript functionaliteit is standaard aanwezig in browsers, en daarmee ook de kwetsbaarheden ervan. (Enkel gevorderde gebruikers weten de risico's van JavaScript te verminderen, bijvoorbeeld door middel van NoScript, of anderszins.) Java is mijns inziens ánders dan JavaScript, in de zin dat het een extra toevoeging is, met in geval van een slecht update-regime toegevoegde risico's.

Om die redenen vind ik de verandering van het Deense NemID-systeem toe te juichen.
Beslist niet omdat Java verderfelijk zou zijn of zoiets, maar omdat een deel van de doorsnee gebruikers niet goed bij machte blijkt te zijn om Java up to date en daarmee vrij van kwetsbaarheden te houden. En ja, ook JavaScript heeft kwetsbaarheden, maar die kwetsbaarheden zijn er toch al. Wanneer de doorsnee gebruiker de toegevoegde risico's van een slecht onderhouden Java-installatie kan vermijden, dan is dat winst.

Volgens mij is dat wat ook anderen meenden te zeggen, maar ik had het nog niet op deze manier geformuleerd gezien.

Is iemand het met mijn formulering niet eens, dan is dat uiteraard prima. Ik denk dat ik redelijk duidelijk heb kunnen neerzetten wat ik als knelpunt zie, de beroerde update-dicipline van een deel van de doorsnee gebruikers, en waarom ik het zo mogelijk vermijden van Java daarom als gunstig zie. Ik wil het daar graag bij laten. Het is niet mijn intentie om me in een aanhoudende discussie te begeven.

O, en P.S.
Het uitschakelen van de Java browser-plugin had ik in het bovenstaande niet betrokken, maar dat is daarin mijns inziens toch nauwelijks relevant.
Voor wie enig benul heeft is het uitschakelen van de Java browser-plugin een optie, maar de groep gebruikers waarop ik doelde in het bovenstaande deel van mijn betoog die heeft niet dat benul. Dat klinkt hard, maar zo is het nu eenmaal. De kundige gebruiker die red zich wel, daarover had ik het niet. Ik doelde op dat deel van de gebruikers dat zich niet red met uitschakelen van plugins en het up to date houden van software.

[
Ik heb die artikelen gelezen en ook de lezing van Crockford (https://www.youtube.com/watch?v=zKuFu19LgZA) beluisterd. Deze mensen hebben gelijk als ze zeggen dat browsers + HTML gevaarlijk zijn. (Het viel me trouwens op dat Crockford rond minuut 38 zegt dat JavaScript niet gevaarlijk is). Inderdaad maakt de mogelijkheid van scripting een browser gevaarlijk, maar wat wil je nou, alleen nog statische pagina's? Geen webwinkels, geen banken, geen online bookings, etc? We kunnen niet meer terug, JavaScript is here to stay

Javascript developer wordt de best betaalde it baan in 2015.

De encryptie verloopt toch 'gewoon' via browser-ingebouwde SSL/TLS-support? Lijkt me niet dat ze dat helemaal nabouwen in javascript. Waarschijnlijk is het javascript er alleen voor andere zaken, zoals invoer controleren, automatisch naar volgende invoerhokje springen, etc...

Ben ik nou gek, of werkt onze nederlandse Digid gewoon met java en javascript allebei uit?...
M.a.w.: waarom bannen die Denen java en javascript niet allebei uit?...

Via javascript kun je stiekem allerlei leuke dingen uitproberen,
zoals bijv. verbinding zoeken met jouw lokale IP-adres 0.0.0.0.