- Vi må fikse Java

[Nilsen]

Oracle skal legge om løpet etter alle sikkerhetshullene.

 

– Vi må fikse Java

 

[EvenAug]

Dette var på tide, Oracle! Nå gjenstår det bare å se om de fortsetter å patche hull etter hull eller faktisk setter seg ned og jobber fra scratch.

 

I Oracles/Javas forsvar skal det sies at java er veldig utbredt og dermed konstant i søkelyset til angripere. Til tross for det syns jeg det har kommet litt for mange sikkerhetshull det siste året, noe som svekker tillitten til java på nett.

[Gjest Slettet-Pqy3rC]

Planer og markedsprat er artige saker, særlig bot og bedring taler etter skjennepreken. Ofte er det imidlertid langt til målet når støyen har lagt seg.

 

Bankene her til lands bør imidlertid snart få seg en teknologisk smekk på lanken.

Endret 28. januar 2013 av Slettet-Pqy3rC

[JohndoeMAKT]

Løsningen er å fortsett det alle har jobbet hardt med de siste par årene: Bli kvitt plugins i nettlesere. Alle avhengig av Flash har de siste par fem årene jobber med å bli kvitt denne avhengigheten, men det ser ikke ut som om nok avhengig av Java har gjort det samme. Det å ha Java plugin i nettleseren bør være noe reservert for under 1% av mennesker, de som bruker de for å kjøre større digre applikasjoner i jobbsammenheng bak et par brannmurer.

[Torbjørn]

Løsningen er å fortsett det alle har jobbet hardt med de siste par årene: Bli kvitt plugins i nettlesere. Alle avhengig av Flash har de siste par fem årene jobber med å bli kvitt denne avhengigheten, men det ser ikke ut som om nok avhengig av Java har gjort det samme. Det å ha Java plugin i nettleseren bør være noe reservert for under 1% av mennesker, de som bruker de for å kjøre større digre applikasjoner i jobbsammenheng bak et par brannmurer.

 

Finns det noe alternativ til java (eller en annen plugin) for det som trengs av funksjonalitet for å få til sikkerheten som praktiseres på bank-login nå?

 

å spille av litt video og musikk høres langt enklere ut og bare det har de nå brukt flere år på å få godt nok.

[flightbob]

De trenger da ikke å fikse det enda, har vært en koselig tid for oss som utnytter disse feilene

[JohndoeMAKT]

Finns det noe alternativ til java (eller en annen plugin) for det som trengs av funksjonalitet for å få til sikkerheten som praktiseres på bank-login nå?

Kan BankID erstattes uten Java 100%? Nei, det fordi BankID kan gjøre veldig mye rart.

Kan BankID erstattes for 99% av oppgavene den brukes til? Ja, to-faktor toveis autentisering (logge inn i nettbank) kan gjøres med 1995-teknologi. Min bank lar meg logge inn i nettbanken med slik 1995-teknologi.

[Torbjørn]

Du kan tydeligvis dette og sikkert også mange andre fine teknologiske årstall.

 

Men er SMS sikkert nok? Telefoner stjeles (potensielt uten pinkodesperre på skjermen), telefonnummer selges, nummerregistere må vedlikeholdes.

 

Probelemer har du med epost også, epostkontoer hakkes, smtp/pop traikk kan sniffes, epost-registre må vedlikeholdes.

 

Ingen av disse tilårskomne teknologiene kan vel garantere samme sikkerhet som bankID brikken idag, nemlig en pin-beskyttet toveis autentisering hvor brukerinformasjonen ikke er like flyktig som et mobilnummer eller en epostadresse.

[JohndoeMAKT]

Ingen av disse tilårskomne teknologiene kan vel garantere samme sikkerhet som bankID brikken idag, nemlig en pin-beskyttet toveis autentisering hvor brukerinformasjonen ikke er like flyktig som et mobilnummer eller en epostadresse.

Ingenting av det du nevner gjør det samme som hva BankID benyttes til for innlogging i nettbank. "Pin-beskyttet toveis autentisering hvor brukerinformasjon ikke er like flyktig som et mobilnummer eller en epostadresse" kan som sagt løses med 1995-teknologi, samme som du logger deg inne med hos Google og Facebook.

 

Det som BankID gjør som er avansert som ikke lett kan erstattes av annet er å laste inn brukerdefinerte asynkrone krypteringssertifikater samt kryptografisk signering og verifisering av disse på klientsiden. Og det er veldig fint og et veldig kraftig verktøy, men antallet mennesker som bruker BankID til det tror jeg telles i promiller.

 

I min bank trykker jeg alltid "Pålogging med BankID fra annen bank / Pålogging uten BankID" med transport med TLS-kryptering med sertifikat godkjent gjennom min nettlesers "chain of trust" og Verisign hvor jeg logger inn med et egendefinert passord og en RSA-kodegenerator. Jeg har ikke benyttet meg av BankID til nettbankbruk på mange år.

[leafmaybe]

Selv om sjansene er gode for at Java fortsetter å flyte og ikke synker riktig enda, vet noen av oss bere:

 

1. Oracle HotSpot - Java som er installert på de fleste maskiner, og som brukes til bl.a. nettbank, inneholder 250000 linjer C++ kode.

 

2. C++ regnes som en av de MEST VANSKELIGE språk å mestre, grunnet dets språkets omfang og størrelse.

 

3. Det vil være opp til 20 feil per 1000 linjer C++ kode. Dette er industry average estimate. Microsoft anslår f.e. at de har 0.5 feil per 1000 linjer C++ kode i deres utgitte (released) produkt. Slike optimistisk tall vil likevel hinte på opp til 125 feil i Java. Det er nok med bare en feil for at hackere som vet hva de gjør tenker ut en metode for å utnytte den.

 

4. Deler av Java koden er assembler - praktisk talt maskinkode. Dette ble sikkert gjort for å gjøre Java raskere, men er neppe en faktor som gjør den sikrere.

 

5. En av de kanskje mest viktige faktorer som taler I MOT Java-sjefens uttalelser - Java utvikler seg RASKERE enn den blir patchet - altså mer kode blir skrevet inn i Java enn det blir fikset. Dette er helt normalt for kommersiell programvare - samme prinsipp som moderne økonomi - programvaren må vokse for å fortsette å leve. Den voksende delene introduserer egne feil.