Deense tegenhanger DigiD adviseert onveilige Java-versie
De Deense tegenhanger van DigiD heeft gebruikers een onveilige Java-versie geadviseerd nadat de laatste versie die deze week uitkwam voor problemen zorgde. Oracle patchte deze week via Java 7 Update 45 in totaal 51 beveiligingslekken, waarvan er 50 via het internet zijn te misbruiken.
Deense gebruikers van NemID die Java 7 Update 45 hadden geïnstalleerd konden het systeem niet meer gebruiken. NemID is een Deens digitaal handtekeningsysteem vergelijkbaar met het in Nederland gebruikte DigiD. Het is ontstaan uit een samenwerkingsverband tussen de Deense overheid en de banken. Sinds de lancering van het systeem op 1 juli 2010 wordt het door meer dan 4 miljoen Denen gebruikt bij toegang tot diensten in de publieke en particuliere sector, waaronder belastingzaken en internetbankieren.
NemID gebruikt twee-factor authenticatie, wat wordt geregeld via een gebruikersnaam en wachtwoord in combinatie met een persoonlijke sleutelkaart met daarop codes die ingetoetst moeten worden. Om het systeem te gebruiken is echter Java vereist. De Oracle-update die afgelopen dinsdag verscheen zorgde ervoor dat gebruikers niet meer konden inloggen.
Daarop kregen gebruikers het advies om Java 7 Update 45 niet te installeren en het onveilige Java 7 Update 40 te gebruiken. Vrijdag 18 oktober waren de problemen met het systeem opgelost en werden ook gebruikers met Java 7 Update 45 ondersteund.
JavaScript
Inmiddels is besloten dat de volgende versie van het systeem, dat volgend jaar april verschijnt, JavaScript in plaats van Java zal gebruiken. Volgens de ontwikkelaars niet vanwege de regelmatig ontdekte beveiligingsproblemen in Java, maar om het systeem ook op tablets en smartphones te laten werken.
Merk op dat het volstrekt logisch is dat als je toch ervanuitgaat dat iedereen altijd alleen maar zijn van overheidswege toegekende identificatie mag gebruiken dat het dan volstrekt logisch is dat banken (en als we toch bezig zijn, verzekeraars, medische instellingen, telefoonbedrijven, en nog zo een hele rits meer, want waarom ook niet TLS voor je abbelement?) "meedoen" met zo'n systeem. Dat dit dan dus ook problemen kan opleveren, al was het maar de "techniese probleemjes", daar hadden ze nog even niet bij stilgestaan.
Wellicht interessant te kijken of er ook nog over privacy nagedacht is in dit systeem, want nu kan de overheid de facto precies zien waar & wanneer jij probeert te telebankieren. Wat denk je, gezien de "upgrade" naar javascript, en de vele cross-site scriptingproblemen waar we onderhand mee bekend zijn?
Mwoah, dat is nou ook weer overdreven. De JVM als platform is volgens mij totaal niet beter of slechter dan enig, vergelijkbaar, ander systeem. Maar ja, het is inderdaad een feit dat de plugin en frontend technologie zwaar onder vuur ligt....
Overigens, vergis je niet: die JavaScript oplossing gaat op zijn geheel eigen manier ook weer legio problemen met zich meebrengen. Software is lek omdat het bestaat en dat geldt niet alleen voor in Java geschreven software.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.