Ups, NemID! Ekspert anbefaler dig at slette Java fra din browser

Den anerkendte sikkerhedsekspert Mikko Hyppönen fra F-Secure råder brugere til at slette Java, der er teknologien under NemID.

Fortsatte problemer med sikkerheden ved Java får nu den finske sikkerhedsekspert Mikko Hyppönen til at råde brugerne til at fjerne teknologien helt fra deres browsere.

»Har du brug for Java i din browser? Seriøst, har du? Hvis ikke, så fjern det,« lyder den kontante melding fra Mikko Hyppönen i et nyt blogindlæg.

Dermed sender Mikko Hyppönen, der til daglig er chefforsker i antivirusfirmaet F-Secure med over 20 års erfaring med it-sikkerhed, en bredside af sted mod den softwareteknologi, der er fundamentet under NemID.

Herhjemme bruges Java blandt andet af NemID, der benyttes af flere end tre millioner danskere til at logge på netbank og offentlige hjemmesider som Skat.

Java er en fællesbetegnelse for et programmeringssprog og et afviklingsmiljø, der blandt andet kan installeres i webbrowsere. Det er sidstnævnte, der gør NemID-appletten i stand til at køre i brugerens browser via et plugin.

Hackernes favorit

Java har i mange år været et yndet mål blandt hackere, ikke mindst fordi teknologien er så udbredt, og brugerne samtidig er dårlige til at holde softwaren opdateret.

Ifølge sikkerhedseksperten demonstrerer nye sårbarheder som den såkaldte Java Rhino, hvor galt det står til i Java-land.

»Faren ved Java bliver godt illustreret med den seneste Java Rhino-sårbarhed. Hvis du kører Java, men ikke den seneste version, er du sårbar. Så enten bliver du nødt til hele tiden at tjekke, at du har den seneste Java-version - eller skille dig af med Java,« skriver Mikko Hyppönen.

Problemet er langt fra teoretisk, påpeger han.

Med programmet Blackhole, der er udviklet af it-kriminelle, viser sikkerhedseksperten, at Java Rhino-sårbarheden er flere hestehoveder foran andre teknologier som PDF og Flash, der normalt også betragtes som sårbare.

Java Rhino udgør omkring 83 procent af de sårbarheder, der bliver udnyttet af hackere til at kapre sagesløse brugeres pc'er, mens PDF på andenpladsen ligger og roder rundt nede omkring 12 procent.

Brug særskilt browser til NemID

Mikko Hyppönen vurderer, at de fleste brugere har Java installeret i browseren, selvom de ikke har brug for den. Den type brugere kan med sindsro afinstallere Java.

Er man alligevel tvangsindlagt til at bruge Java, anbefaler sikkerhedseksperten, at det sker i en særskilt browser, som kun bruges til det ene formål.

Er du for eksempel glad for Internet Explorer til hverdag, så hold Java væk fra den og benyt i stedet Firefox eller Chrome, når du for eksempel skal logge på netbank med NemID.

»Har du brug for Java til en specifik web-applikation? For eksempel en netbank eller en intranet-app? Så lad Java ligge på dit system, men fjern Java-plugin'et fra den browser, du bruger til hverdag. Og brug så en anden browser udelukkende til det formål,« skriver Mikko Hyppönen.

Svenskerne droppede Java som teknologi til deres version af NemID, BankID, for et par år siden. Problemerne med sikkerheden var en af de tungtvejende årsager.

Også det danske it-sikkerhedsfirma Secunia har tidligere kritiseret i Version2's spalter, at NemID er baseret på Java.

Mikko Hyppönen anbefaler Google-browseren Chrome, fordi den tilbyder et mere sikkert sandboxing-miljø, der forholdsvis effektivt spærer sårbare programmer inde i deres eget, lukkede miljø. Han påpeger, at mange Java-sårbarheder derfor ikke kan udnyttes i Chrome.

Læs også: Chrome spærrer nu Flash inde i sandkasse

Version2 afventer en kommentar fra Nets DanID, der står bag NemID.

Det er ikke lykkedes at indhente en uddybende kommentar fra Mikko Hyppönen.