- Du er nødt til å deaktivere Java

[Misantropen]

Fikk vurus på en maskin engang som jeg kjørte reinstall på og åpnet internett exporter til startsiden , men hadde ikke tid til å jobbe mer og sånn sto siden åpen i noen dager.

 

Kom tilbake så hadde jeg virus uten å ha brukt maskinen <3

Snakker vi Win XP uten noen service pack? Det OS'et var jo i prinsippet selvinfiserende. Fikk virus selv da jeg koblet meg på med en nyinstallert XP maskin for å hente ned de SP jeg trengte.

[War]

Det er noen år siden, men ja selve OSet var uoppdatert og sårbart.

Det var uansett en tenkevekker at man kan få virus bare av å sette kabelen i veggen.

[Dr.Geek]

Om noen tapper kontoen din så dekker jo bankene tapet. Sålenge bankene fortsetter å bruke BankID betyr det at analytikerne og systemansvarlige alle er enige om at risikoen for at noen faktisk lykkes med å stjele dine penger er forsvinnende liten. Var risikoen moderat til stor for at bankene så for seg store tap i helgen ville de stengt ned nettbank til ny Java fix var tilgjengelig.

 

Konklusjon: Massehysteri very much sir.

 

Tja, dette er ikke helt korrekt. Bankene dekker bare tapet hvis brukern kan bevise at han ikke handlet uansvarlig - at PCen hadde Antivirus + Firewall når det ble brukt til online-banking.

 

Forsvinnende liten??? 36 million er vel mye penger?!

http://www.networkworld.com/news/2012/120512-eurograbber-264747.html

 

Om risikoen er liten eller stor avhenger vel veldig fra bruker til bruker, PC til PC. Hvis du har malware på PCen din er risikoen med engang veldig stor.

[sinnaelgen]

men er det garantert at Java 7.x virker på alle pcer med W7 og firefox

siste gang det var mye trøbbel med Java bla man anbefalt , linket til V7 fra diverse seriøse steder.

 

Jeg installerte v7.x men den nektet å funger så jeg måtte bruke versjon 6.x i stedet .

 

spørsmåletjeg aldri har fått svar på er hvorfor viker ikke V7 m/ oppdateringer på alle Windows 7 pcer ?

 

Er det v7 eller v6 som er oppgradert ?

[efikkan]

Massehysteri much? Har brukt nettbank og andre betalngsløsninger som bruker java siste døgnet og har fremdeles penger på konto....:-)

Ja det er snakk om massehysteri. Men problemene med hull i Java Runtime Environment er ikke primært at folk skal misbruke banktjenester, men at folk skal infisere og misbruke andres maskiner generelt ved å legge inn keyloggers, virus og lignende. Det mest attraktive vil være å få tak i e-post-kontoen til brukere (gjennom keylogging), siden denne kan brukes til å nullstille passord på det meste som brukeren abonnerer på. Det er også mye lettere å gjennomføre og komme unna med enn å angripe kunder av f.eks. Fokus Bank. Å angripe spesifikke banktjenester krever langt mer innsats.

 

BankID brukes for å identifisere brukeren og bruke denne informasjonen for å utføre juridisk bindende signering av avtaler mellom deg og banken, eksempelvis overføring av penger, opprettelse av nye kontoer etc.

HTTPS brukes i tillegg for å sikre forbindelsen ettersom BankID hverken kan, eller skal gjøre dette.

Det er ingenting i veien for å implementere BankID direkte via HTTPS/SSL. BankID er navnet på hele løsningen. Hensikten ved å implementere det med en Java-applet er som sagt å påtvinge et nivå av sikkerhet, men utviklerne har glemt at de introduserer et ekstra ledd i kjeden som kan ha sårbarheter.

 

Det beste hadde selvsagt vært om BankID kunne gjøre som alle andre og tillatte innlogging i et vanlig HTML-form med SSL. Det er sikkert nok for alt annet så hvorfor det ikke skulle være sikkert nok for banken er det bare BankID som vet. Jeg har forstått det har med manglende SSL-capabilities i gamle versjoner av Internet Explorer, men saken er jo nå at det er mange flere som sitter med enheter som ikke fungerer med Java enn det er som sitter med gamle Internet Explorer-versjoner. Internet Explorer kan for øvrig oppgraderes av brukeren, men å installere Java på telefonen din går (heldigvis) ikke an.

En del banker hadde dette før fellesløsningen BankID, og det var minst like sikkert. IE er primærgrunnen til at dette er valgt løst gjennom en Java-applet, som sagt for å tvinge på kryptering o.l.

 

Jeg snakket om en app som genererte engangskoder, for å slippe å bruke kodebrikke. Og behovet er der nettopp fordi utrulling av BankID for mobil går altfor altfor sakte siden det er både avhengig av operatørene og bankene. Appen må gjerne kunne gjøre selve innloggingen også, fordi Java ikke fungerer på telefoner eller tablets.

Jeg er skeptisk til "apps", siden mye av poenget med generering av koder er at dette ikke skal være mulig å forutse for en eventuell angriper. En "App" er lett å kopiere, slik som f.eks. Blizzards innloggings-App som du kan kopiere så mye du bare vil.

 

To-faktor-autentisering har blitt svært populært den siste tiden som "løsning" på sikkerhetsproblematikken. Men det de fleste ikke forstår er at dette er kun ment som et supplement for å heve sikkerheten, og at hver sikkerhetsbarrière må være individuelt sikker. Et klart eksempel på at en dårlig løsning er Blizzards Battle.NET, som har utrygg lagring av passord (som stadig blir utnyttet, selv jeg har opplevd det), som har forsøkt å løse problemet med å lappe på med en usikker token.

 

Ingenting.

BankID en elektronisk legitimasjon for sikker identifisering og signering på nett.

MinID er en personlig, elektronisk ID som gir tilgang til offentlige tjenester på nettet.

MinID er utviklet av Difi, som har ansvaret for å etablere en felles infrastruktur for bruk av elektronisk ID i offentlig sektor og BankID en elektronisk legitimasjon for sikker identifisering og signering på nett.

Banknæringen ønsker å invitere Difi til et samarbeid for å slippe å ha to+ løsninger.

Jeg har ingen tiltro til Difi eller andre offentlige organer når det gjelder elektronisk sikkerhet, siden disse generelt er blottet for innsikt i fagfeltet. Det er ikke mange dager siden Difi beviste dette sist. Jeg fikk også se raltitetene da jeg for noen år siden driftet systemer i forsvaret, hvor både rutiner og teknisk personell hadde et skremmende lavt nivå.

[War]

Skrev oppgave om dette , de jeg snakka med visste knapt hvor de jobba.

[TigerJack]

Har den siste oppdateringen tettet sikkerhetshullet?

[nebrewfoz]

Har den siste oppdateringen tettet sikkerhetshullet?

Det er fortsatt huller i JRE 7 update 11, for å si det sånn.

(Om de nå er gamle eller nye.)

[sinnaelgen]

jeg må gjenta spørmålet .

siden jeg tidligere ikke har fått Java 7 til virke og må bruke Java6 .

hvordan er statusen spesifikt for Java 6

[nebrewfoz]

Jeg kjenner ikke 'security status' på Java 6, men i følge Oracle vil de slutte å oppdatere den i Februar 2013 - siste versjon er Java 6 update 38: http://www.java.com/en/download/manual_v6.jsp - så det er kanskje like greit å starte overgangen til Java 7 nå.

 

Jeg vet ikke hva slags problemer du har hatt med Java 7, men det kan jo hende at de er fikset med den aller siste update'n.

[sinnaelgen]

Jeg kjenner ikke 'security status' på Java 6, men i følge Oracle vil de slutte å oppdatere den i Februar 2013 - siste versjon er Java 6 update 38: http://www.java.com/...d/manual_v6.jsp - så det er kanskje like greit å starte overgangen til Java 7 nå.

 

Jeg vet ikke hva slags problemer du har hatt med Java 7, men det kan jo hende at de er fikset med den aller siste update'n.

 

hva som er galt med JAVA 7 for min del vet jeg ikke , men jeg kan fortelle hvordan den oppføre seg hitil med de utgaven jeg har brukt.

Det enste man får opp når man bruker et programm som krever java er at man får beskjed om at den ikke virker

Dette har skjedd med både min stasjonære og søsteren min sin laptopp

 

sånn set så stoler jeg ikke på et den viker helt heller

[guttorm]

Husk å fjerne de gamle versjonene som tidligere ikke ble avinstalert automatisk ved oppdatering.

[sinnaelgen]

og da holder det å gjøre det fra kontrollpanelet ?

[guttorm]

Det vet jeg ikke, men de sier så på hjemmesiden, så jeg brukte den metoden. Jeg lette litt etter hvor Java ligger på disken, men fant det ikke og la ikke mer krefter i det.

 

Sikkert noen som kan svare om vanlig av-installering er godt nok.