Den seneste tids sikkerhedsproblemer med Java har fået de norske banker til at overveje at fjerne Java fra deres BankID. Ligesom i Danmark har bankerne i Norge indtil nu satset på Java til deres login-løsning. Men der er efterhånden så mange sårbarheder i Java, at eksperter advarer mod at bruge teknologien.
Den nye norske BankID 2.0 blev præsenteret på en konference onsdag eftermiddag. Ifølge digi.no er den nye løsning en webapplikation, der bygger på kendte standarder som HTML5, CSS3 og Javascript.
Det betyder samtidig, at der stilles en række krav til de maskiner, som løsningen skal køre på. Det fungerer kun med en nyere browser. Grænsen kommer til at gå ved Internet Explorer 8, som ikke bliver understøttet.
Men de gamle browsere har også generelt dårligere sikkerhed, og det anbefales under alle omstændigheder at opgradere til de nyeste browser-versioner.
Den nye løsning skal fungere, uden at det er nødvendigt at installere software på maskinen, og den skal være tilgængelig på alle platforme. Det gælder både pc'er, smartphones og tablets.
Det er altså ikke nødvendigt at installere en native-app under iOS, Android eller andre operativsystemer - det hele kører i browseren.
Det begrundes blandt andet med, at native-apps medfører større omkostninger til udvikling, integration og support. Desuden kommer de ikke til at fungere med fremtidens web-baserede operativsystemer.
Java-sikkerhed er tilfredstillende
I øjeblikket er BankID Norge ved at afslutte et forprojekt for BankID 2.0 uden Java, og den endelige beslutning om at gå videre med projektet skal træffes i juni 2013. Her skal bankerne tage stilling til, om de vil investere i teknologien. Det betyder også, at den nye løsning ikke bliver klar lige med det samme.
I denne præsentation understreger BankID Norge, at den reelle sikkerhed og ydelsen i klienten med den nuværende Java-løsning faktisk er tilfredstillende. Men der er problemer med brugeroplevelsen og den oplevede sikkerhed i klienten. Den store medieomtale af sikkerheds-risici har skabt uro hos brugerne.
Teknisk set har Java faktisk en række fordele - herunder at softwaren kører i en separat sandkasse, og der er adgang til hardware-information - mens dens nye løsning betyder, at der er stærkere afhængighed af sikkerheden i browseren.
Målet for BankID 2.0 webapplikationen er, at funktionaliteten skal være den samme som med den nuværende løsning, og de nødvendige ændringer i den grundlæggende infrastruktur skal begrænses til et minimum.
NemID skal frigøres fra Java
I Danmark er det stadig nødvendigt at have Java installeret på computeren for at kunne bruge NemID. I efteråret 2012 har Nets DanID afsluttet en undersøgelse af mulighederne for at frigøre NemID fra Java-teknologien.
Et farvel til Java vil betyde, at NemID også vil kunne anvendes på mobile platforme med samme sikkerhedsniveau som i dag. I dag er det ikke muligt at anvende NemID på mobile platforme, hvor Java ikke understøttes.
En analyse fra sidste forår viste, at det ikke var muligt at overføre det Java-baserede NemID som en separat log-in-løsning til mobile platforme med et sikkerhedsniveau svarende til den nuværende NemID-løsning på pc.
Der er nu igangsat et forprojekt, der skal afdække de forretningsmæssige og sikkerhedsmæssige konsekvenser samt specificere et efterfølgende projekt om at udvikle NemID-klienten i JavaScript i stedet for Java.
Forprojektet forventes afsluttet i denne måned, hvorefter de fællesoffentlige parter skal træffe beslutning om at sætte selve udviklingsprojektet i gang.
Ambitionen er at kunne tage den nye Javascript-baserede klient i brug i slutningen af 2013 eller i første kvartal af 2014. Herefter skal det være muligt for alle at logge på NemID uanset platform.
