Hvorfor ikke skrive om Java-maskinen i Java?

[Occi]

Ok, hovedpoenget ditt er altså at om du oppdaterer en applet over nett så får du de sikkerhetsproblemene som er forbundet med å oppdatere en applet over nett. Det poenget er ganske smalt, så det var vel derfor jeg ikke så det :o)

Det var da som bare da...

 

Hovedpoenget er uansett at det er veldig upraktisk. BankID kunne blitt gjort sikrere, men det er gjort noen endringer på et standard PKI-system for at det skal være litt mer praktisk.

[quantum]

Hva er så upraktisk med software som laster ned oppdateringer automatisk? For min del synes jeg det er veldig praktisk. Edit: Men du sikta kanskje til å distribuere bank-id på usb? Dét ville være upraktisk dersom det var den eneste oppdaterings, og distribusjonskanalen. Men det er det jo ikke.

Endret 1. februar 2013 av quantum

[Occi]

Hva er så upraktisk med software som laster ned oppdateringer automatisk? For min del synes jeg det er veldig praktisk.

Hvordan ser du for deg at det skulle blitt implementert? Et eget program for å oppdatere og evt. kjøre kode på minnepennen?

Brukerne er allerede lei av å oppdatere Java JRE. Enda et program du må holde styr på vil neppe bli godt tatt imot. Igjen; det er flere måter dette kunne blitt gjort tryggere på, det er ikke poenget. Det bør også være praktisk.

 

Bankene vil også ha mindre kontroll over miljøet dette kjøres på om alt er lokalt hos klienten. Feilsøking vil muligens bli vanskeligere om jeg har forstått implementasjonen rett.

 

Litt av grunnen til at BankID-appleten kjøres ekstern er vel også at den er en blackbox. Security through obscurity. Noe jeg ikke er spesielt fan av, men i dette tilfellet skader det ikke akkurat.

Vet ikke om det kanskje ville vært mulig å påvirke denne prosessen hvis den kjørte lokalt. Du kan jo få trojanere med drive-by-download som både har rootkits og annet snacks i Windows.

 

Foreslår også at du leser PDF-dokumentet jeg lenket til om du ikke har gjort det.

Dette virker å være en grei forklaring på hvordan det er satt opp.

[quantum]

Hvordan ser du for deg at det skulle blitt implementert? Et eget program for å oppdatere og evt. kjøre kode på minnepennen?

Kjenner du virkelig ikke til hvordan programvare vanligvis distribueres og holdes oppdatert i dag? Dette foregår stort sett helt smertefritt for brukeren, og er noe de fleste brukere er vant til. Hvorfor du tror de ville sette seg på bakbeina når det gjelder oppdateringer av en bank-id-app er litt vanskelig å forstå, særlig når de ikke har gjort det tidligere.

 

Det er sikkert noen ulemper med å flytte bank-id-appen ut av java-miljøet også, men det store problemet her at bank-id forutsetter java-plugin installert, og skal man bli kvitt det problemet må man nesten bli kvitt java-plugin'en. Eller vente på at Oracle klarer å komme opp med en pottetett versjon. Lykke til med det, men ikke hold pusten.

[Occi]

Kjenner du virkelig ikke til hvordan programvare vanligvis distribueres og holdes oppdatert i dag? Dette foregår stort sett helt smertefritt for brukeren, og er noe de fleste brukere er vant til.

Du må på en eller annen måte ha et ekstra program som oppdaterer denne enheten. Den kunne forsåvidt vært på minnepennen, men den ville kommet i tillegg til appleten (i.e. JRE), som er per dags dato hvordan du kan integrere Java i nettleseren din.

 

Jeg er ikke fan av bruken av Java-applet for innlogging i nettbanken. Jeg bare legger frem noen punkter for hvorfor kanskje bankene har valgt denne løsningen. En hører nemlig titt og ofte "jeg skjønner ikke hvorfor bankene bruker denne driten???" og lignende, men det er ikke helt idiotisk faktisk. Store ulempen er jo at du må ha en Java-plugin, som viser seg å være veldig usikker. Hadde ikke dette vært tilfellet hadde det vært en grei nok løsning om også appleten var mindre kranglete på andre operativsystemer enn Windows.

 

Setter litt spørsmålstegn ved hvorfor du er såpass aggressiv og for å "knuse" punktene mine. Jeg er ikke for dagens løsning, men det er også problemer med de alternative løsningene som i stor grad er lite diskutert utover "java suger".

[quantum]

Du må på en eller annen måte ha et ekstra program som oppdaterer denne enheten. blablabla ...

Software som oppdateres automatisk er så utbredt at prinsippet er kjent for de fleste i dag, også deg. Om det blir distribuert på nett, dvd eller usb-stick har veldig liten betydning. "Argumentene" dine fremstår dermed i et merkelig lys. Hvorfor du hele tiden forutsetter at dette skal kjøre som en java-applet, når alle er enige om at det er den teknologien som er problemet, blir også litt vanskelig å forstå.

 

Til slutt - for denne "diskusjonen" er nå slutt; Det er du som hele tiden har framsatt "motforestillinger" her, ikke jeg.

[Occi]

Software som oppdateres automatisk er så utbredt at prinsippet er kjent for de fleste i dag, også deg. Om det blir distribuert på nett, dvd eller usb-stick har veldig liten betydning.

Nei. Fordi balansen mellom sikkerhet og hvor praktisk løsningen er, er sentralt for BankID.

Om man skal vurdere slike løsninger opp mot hverandre er det naturlig å se på positive og negative sider ved begge løsningene.

 

"Argumentene" dine fremstår dermed i et merkelig lys. Hvorfor du hele tiden forutsetter at dette skal kjøre som en java-applet, når alle er enige om at det er den teknologien som er problemet, blir også litt vanskelig å forstå.

Per dags dato er vel java plugin (applet) eneste måten å kjøre Java i nettleseren, no?

Kunne jo selvsagt hatt et helt eget program, men vet ikke hvor populært det hadde blitt.

 

Til slutt - for denne "diskusjonen" er nå slutt; Det er du som hele tiden har framsatt "motforestillinger" her, ikke jeg.

Det må nå gå an å diskutere noe (for det er en diskusjon), og være uenige uten at man ender det slik, men ok.

[siDDis]

For å kompilere Java idag, så må du ha Java.

[blackbrrd]

ignore

Endret 5. februar 2013 av blackbrrd