Læs også: Java er en bombe under din sikkerhed.
Nets, der står bag NemID, afviser, at der er sikkerhedsproblemer i krydsfeltet mellem Java og NemID, selv om virksomheden erkender, at antallet af angreb mod Java er massivt stigende.
"Vi mener, at vi har ramt den rigtige balance mellem brugervenlighed og sikkerhed med den nuværende løsning," fortæller Ulrik Marschal, som er kommunikationskonsulent i Nets.
Han afviser desuden påstanden om, at NemID skubber et sikkerhedsproblem ud til brugeren ved at stille krav om, at der installeres et Java-plugin i browseren.
"Det er rigtigt, at der er sikkerhedsproblemer med Java, men hvis softwaren er opdateret, er sikkerhedsrisikoen meget lille, og vi har endnu ikke set tegn på, at det er en forkert løsning, vi har valgt," siger Ulrik Marschal.
"Men vi har - sammen med myndigheder og banker - en uddannelsesfunktion i forhold til brugerne for at få dem til at opdatere softwaren," erkender han.
Svaret er opdatering
Valget af Java-platformen begrunder Nets blandt andet med følgende:
"Vi anvender Java i NemID, da der er en del funktionaliteter, som bedst løses med denne teknologi. Eksempelvis er der en række kryptografiske protokoller, som sikrer end-to-end-sikkerhed fra appletten og helt ind i det såkaldte Hardware Security Module (HSM) hos Nets DanID," fortæller Ulrik Marschal.
Trods uenighed om ansvar og sikkerhedsproblemstillinger lyder løsningen på højere sikkerhed i den eksisterende Java-løsning samstemmende: Opdatering.
Mange af de sårbarheder, der udnyttes i Java, er nemlig gammelkendte problemer, som kan afhjælpes ved at opdatere til den nyeste version.
Traditionelt har det været besværligt at opdatere Java, ikke mindst fordi de tidligere versioner har været dårligt bygget fra starten.
Ældre versioner af Java er eksempelvis ikke blevet slettet fra harddisken, når en ny version er blevet installeret, hvilket betyder, at angribere stadig har kunnet bruge svaghederne i den gamle version på trods af opdateringen.
Samtidig er det også en relativt ny funktion i programmet, at det automatisk søger efter nye versioner.
"Et af de helt store problemer er, at folk køber en ny computer i Bilka eller Elgiganten med en gammel version af Java installeret, og ikke får opdateret til den nyeste version efterfølgende," fortæller sikkerhedsekspert Peter Kruse fra CSIS.
Tingene er dog blevet bedre, siger de sikkerhedseksperter, som Computerworld har talt med, men det kræver stadig, at man opdaterer til de nye versioner.
Ifølge Oracle, der varetager udviklingen, kører 1,1 milliard desktop-maskiner Java.
Læs også: Java er en bombe under din sikkerhed.
