GeirGrusom Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 (endret) Kan noen forklare meg hvordan nettbank er usikkert fordi det bruker java? Er det ikke slik at det er appleten som er utrygg, ikke selve java på maskinen din? m.a.o det er kun utrygt hvis noen skriver en applet som utnytter seg av sikkerhetshullet.? Nettbanken har vel ikke kodet en applet som utnytter seg av et sikkerhetshull. Det er vel JVM som har en bug som gjør at "noen kan skrive en applet som får tilgang utenfor sandboxen". Det gjør ikke nettbanken noe mer utrygg enn før. Det har ikke noe med nettbanken å gjøre. Grunnen til at det blir nevnt, er at nettbank er den eneste grunnen for 99% av nettbrukere til å ha Java skrudd på i nettleseren. Det at java er skrudd på utgjør en trussel for brukeren fordi Java i seg selv har flere sikkerhetshull som gjør at vilkårlig kode kan omgå sandkassemiljøet til Java og få tilgang til komponenter i PC-en din som ligger utenfor den sikre sonen. BankID er en komponent som er ganske vanlig brukt for å digitalt signere juridisk bindende dokumenter og sikker autentisering over internett. Denne benytter seg av en Java applet i mange tilfeller som genererer en autentiseringssignatur, eventuelt en såkalt SDO (Signed Data Object) som er et XML dokument som benyttes blant annet av BankAxess som igjen er en betalingsløsning over nett. Problemet er ikke med BankID, men med Java. Edit: som den andre elgen nevnte, finnes BankID for mobil på Android og iPhone som benytter seg av en app. Denne er ikke utsatt for Java problematikken, men det er litt irrelevant ettersom denne løsningen er utviklet fordi Java ikke fungerer på disse telefonene. Endret 4. september 2012 av GeirGrusom 1 Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 Java på -> nettbank -> Java av. Lenke til kommentar
zulo Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 Kan noen forklare meg hvordan nettbank er usikkert fordi det bruker java? Er det ikke slik at det er appleten som er utrygg, ikke selve java på maskinen din? m.a.o det er kun utrygt hvis noen skriver en applet som utnytter seg av sikkerhetshullet.? Nettbanken har vel ikke kodet en applet som utnytter seg av et sikkerhetshull. Det er vel JVM som har en bug som gjør at "noen kan skrive en applet som får tilgang utenfor sandboxen". Det gjør ikke nettbanken noe mer utrygg enn før. Det har ikke noe med nettbanken å gjøre. Grunnen til at det blir nevnt, er at nettbank er den eneste grunnen for 99% av nettbrukere til å ha Java skrudd på i nettleseren. Det at java er skrudd på utgjør en trussel for brukeren fordi Java i seg selv har flere sikkerhetshull som gjør at vilkårlig kode kan omgå sandkassemiljøet til Java og få tilgang til komponenter i PC-en din som ligger utenfor den sikre sonen. BankID er en komponent som er ganske vanlig brukt for å digitalt signere juridisk bindende dokumenter og sikker autentisering over internett. Denne benytter seg av en Java applet i mange tilfeller som genererer en autentiseringssignatur, eventuelt en såkalt SDO (Signed Data Object) som er et XML dokument som benyttes blant annet av BankAxess som igjen er en betalingsløsning over nett. Problemet er ikke med BankID, men med Java. Edit: som den andre elgen nevnte, finnes BankID for mobil på Android og iPhone som benytter seg av en app. Denne er ikke utsatt for Java problematikken, men det er litt irrelevant ettersom denne løsningen er utviklet fordi Java ikke fungerer på disse telefonene. Men bankid komponenten benytter seg ikke av noe sikkerhetshull og vil ikke infiltrere pcn. Eller mener du at en trojaner på pcn kan infiltrere sandboxen til java når bankid komponenten kjører og dermed gjøre nettbanken usikker? Lenke til kommentar
Malvado Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 (endret) Zulo : Det ser ut som dette allerede har skjedd , http://www.idg.no/co...ticle196968.ece Så ja, med litt triksing så kan mange bli lurt... Edit : Legg merke til at her unngår man kanskje sandboxen ved å sørge for at trojaneren overlapper knappen som brukes i nettleseren, men det er mulig at bankid også er infisert her. Endret 4. september 2012 av Malvado Lenke til kommentar
Lycantrophe Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 Tsk tsk. Det er vel ca. ingen på linux som bruker Oracles JVM. Lenke til kommentar
alfal Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 Dette har ikke noe med windows å gjøre. Oracle jre kjører på alle plattformer inkludert linux. BankID mobil er to forskjellige systermer. Men den nye for android og iPhone bruker ikke java, men benytter du deg av et annet mobilos som fortsatt støtter java så kan det hende BankID mobil fortsatt benytter Java. BankID benytter seg av et kryptografibibliotek som heter BouncyCastle. Aner ikke hbor godt slikt er støttet av Javascript. Jeg kan heller formulere det slik "det er ikke noe vits å redde bladene på et tre med råtten stamme da fjerner du heller hele driten og så planter du heller et nytt som tåler mer" Jepp i linux har vi java men linux og windows er to forskjellige ting og vi har flere valg når det gjelder java. Så til dette med kryptering jeg skal prøve å forklare det på en enkel måte,viss du vil ha et program som er kryptert til og jobbe for deg så trenger du egentlig å bare se på krypteringen som et nytt dataspråk som du trenger og lære deg for og så sende krypterte commandoer.. Og for og forklare dette på en litt enklere måte viss du har et program som er programmert på et språk som vi kaller Norsk (bare et eksempel) og så vil vi kamuflere programmet med en kryptering som vi kaller Engelsk og for at programmet som er på Norsk skal ta imot commandoer på Engelsk så må det ha en oversetter, så viss programmet har en bakdør som styres av en commando som heter "bak-dør åpne opp"(eksempel) da blir den krypterte commandoen "back-door open up"så viss du har lyst til at et kryptert program skal jobbe for deg slik at du kan bruke som en bakvei så kan du bare bruke krypteringen til å gjøre dette for deg.. Men bare for og si ,det dette er et eksempel på en veldig simpel kryptering,vanligvis har du en labyrint med dører og veldig avanserte krypteringer.. Men synes du det er kjedelig med Sudoku og testene på mensa.no så er kanskje et kryptering system en passe utfordring. Lenke til kommentar
Matsemann Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 ----------- Java og JVM fungerer ypperlig til sitt bruk. Det har bare ingenting i en nettleser å gjøre. Lenke til kommentar
GeirGrusom Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 Dette har ikke noe med windows å gjøre. Oracle jre kjører på alle plattformer inkludert linux. BankID mobil er to forskjellige systermer. Men den nye for android og iPhone bruker ikke java, men benytter du deg av et annet mobilos som fortsatt støtter java så kan det hende BankID mobil fortsatt benytter Java. BankID benytter seg av et kryptografibibliotek som heter BouncyCastle. Aner ikke hbor godt slikt er støttet av Javascript. Jeg kan heller formulere det slik "det er ikke noe vits å redde bladene på et tre med råtten stamme da fjerner du heller hele driten og så planter du heller et nytt som tåler mer" Jepp i linux har vi java men linux og windows er to forskjellige ting og vi har flere valg når det gjelder java. Så til dette med kryptering jeg skal prøve å forklare det på en enkel måte,viss du vil ha et program som er kryptert til og jobbe for deg så trenger du egentlig å bare se på krypteringen som et nytt dataspråk som du trenger og lære deg for og så sende krypterte commandoer.. Og for og forklare dette på en litt enklere måte viss du har et program som er programmert på et språk som vi kaller Norsk (bare et eksempel) og så vil vi kamuflere programmet med en kryptering som vi kaller Engelsk og for at programmet som er på Norsk skal ta imot commandoer på Engelsk så må det ha en oversetter, så viss programmet har en bakdør som styres av en commando som heter "bak-dør åpne opp"(eksempel) da blir den krypterte commandoen "back-door open up"så viss du har lyst til at et kryptert program skal jobbe for deg slik at du kan bruke som en bakvei så kan du bare bruke krypteringen til å gjøre dette for deg.. Men bare for og si ,det dette er et eksempel på en veldig simpel kryptering,vanligvis har du en labyrint med dører og veldig avanserte krypteringer.. Men synes du det er kjedelig med Sudoku og testene på mensa.no så er kanskje et kryptering system en passe utfordring. Hva har dette med BankID eller Java å gjøre? BankID krypterer ingenting, det produserer en eller flere underskrifter for autentisering eller signering av dokumenter. Det er ikke BankID som er problemet, alle kan trygt fortsette å bruke det. Det er Java som er saken her, ikke BankID. Lenke til kommentar
alfal Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 (endret) Dette har ikke noe med windows å gjøre. Oracle jre kjører på alle plattformer inkludert linux. BankID mobil er to forskjellige systermer. Men den nye for android og iPhone bruker ikke java, men benytter du deg av et annet mobilos som fortsatt støtter java så kan det hende BankID mobil fortsatt benytter Java. BankID benytter seg av et kryptografibibliotek som heter BouncyCastle. Aner ikke hbor godt slikt er støttet av Javascript. Jeg kan heller formulere det slik "det er ikke noe vits å redde bladene på et tre med råtten stamme da fjerner du heller hele driten og så planter du heller et nytt som tåler mer" Jepp i linux har vi java men linux og windows er to forskjellige ting og vi har flere valg når det gjelder java. Så til dette med kryptering jeg skal prøve å forklare det på en enkel måte,viss du vil ha et program som er kryptert til og jobbe for deg så trenger du egentlig å bare se på krypteringen som et nytt dataspråk som du trenger og lære deg for og så sende krypterte commandoer.. Og for og forklare dette på en litt enklere måte viss du har et program som er programmert på et språk som vi kaller Norsk (bare et eksempel) og så vil vi kamuflere programmet med en kryptering som vi kaller Engelsk og for at programmet som er på Norsk skal ta imot commandoer på Engelsk så må det ha en oversetter, så viss programmet har en bakdør som styres av en commando som heter "bak-dør åpne opp"(eksempel) da blir den krypterte commandoen "back-door open up"så viss du har lyst til at et kryptert program skal jobbe for deg slik at du kan bruke som en bakvei så kan du bare bruke krypteringen til å gjøre dette for deg.. Men bare for og si ,det dette er et eksempel på en veldig simpel kryptering,vanligvis har du en labyrint med dører og veldig avanserte krypteringer.. Men synes du det er kjedelig med Sudoku og testene på mensa.no så er kanskje et kryptering system en passe utfordring. Hva har dette med BankID eller Java å gjøre? BankID krypterer ingenting, det produserer en eller flere underskrifter for autentisering eller signering av dokumenter. Det er ikke BankID som er problemet, alle kan trygt fortsette å bruke det. Det er Java som er saken her, ikke BankID. Jepp jeg var vel litt for rask og lese gjennom posten,det var Java sin kryptering jeg tenkte på.. http://www.developer...-The-Basics.htm http://www.bouncycastle.org/ Endret 4. september 2012 av alfal Lenke til kommentar
Kaymeerah Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 (endret) Det er jo ikke kun nettbankene som bruker java, finnes faktisk mange spill som er skrevet i java som feks Minecraft , en del programmer osv. Sikkerhetsproblemet vil jo derfor påvirke i stor grad også dem i mer eller mindre grad og inntil java oppdateres så sitter de der med et problem. Joda, det skjønner jeg også. Derimot det jeg prøver å si er at den største Java-relaterte trusselen er browser plugins, og jo mindre som benytter seg av Java browser plugins, jo bedre. Dette gjelder spesielt noe slikt som nettbanken, der problemet er mer enn sikkerhet (de andre problemene er kaving med IcedTea under *nix, sikkerhetsproblemet er Oracle JVM og muligens den åpne løsningen som GeirGrusom tidligere nevnte). Endret 4. september 2012 av Kaymeerah Lenke til kommentar
sinnaelgen Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 (endret) Jeg forstår det ikke . det jo påstått at en åpen løsning er de som gir best sikkerhet for da kan man se feilene. jeg spurte nettbanken hvorfor de brukte JAVA . svaret var at det var ikke noe de bestemte, det var det Norges bank som gjorde Endret 4. september 2012 av den andre elgen Lenke til kommentar
geir__hk Skrevet 4. september 2012 Rapporter Del Skrevet 4. september 2012 Bumpetibump. Er det ingen her som vet om sikkerhetshullene i java gjelder Linux i like stor grad som Windows? Lenke til kommentar
xibriz Skrevet 5. september 2012 Rapporter Del Skrevet 5. september 2012 Bumpetibump. Er det ingen her som vet om sikkerhetshullene i java gjelder Linux i like stor grad som Windows? Tja.. kommer sikkert ann på hvordan koden er laget. Hvis jeg hadde lagd en applet som kom seg på maskinen til noen hadde den kun hadd 2 oppgaver: 1. Sjekke plattform 2. Laste ned onsinnet kode til den plattformen 1 Lenke til kommentar
Lycantrophe Skrevet 5. september 2012 Rapporter Del Skrevet 5. september 2012 Er det ingen her som vet om sikkerhetshullene i java gjelder Linux i like stor grad som Windows? Uten at jeg har fått bekreftet noe mistenker jeg at problemet er i Oracle JVM. Isåfall gjelder for alle som bruker Oracle JVM på linux også. De fleste på linux bruker forøvrig openJRE, så jeg tipper det er 0 problem. Enda færre bruker Oracle JVM etter lisensendringene. Lenke til kommentar
GeirGrusom Skrevet 5. september 2012 Rapporter Del Skrevet 5. september 2012 Er det ingen her som vet om sikkerhetshullene i java gjelder Linux i like stor grad som Windows?Uten at jeg har fått bekreftet noe mistenker jeg at problemet er i Oracle JVM. Isåfall gjelder for alle som bruker Oracle JVM på linux også. Det er også vanskelig å si om problemet angår OpenJDK eller ikke også, ettersom Oracle JRE og OpenJDK har ganske tette bånd. Samtidig kommer det an på om problemet er designmessig feil, eller en programmeringsfeil. Lenke til kommentar
Lycantrophe Skrevet 5. september 2012 Rapporter Del Skrevet 5. september 2012 Yes, og det er derfor jeg sier "uten å ha en skikkelig bekreftelse". Jeg har utelukkende sett omtale om Oracles JVM, men det betyr ikke at det er den eneste. Er det design av JVMen det gjelder vil antagelig oJDK være rammet og. Lenke til kommentar
Gjest Gjest slettet-ld9eg7s96q Skrevet 5. september 2012 Rapporter Del Skrevet 5. september 2012 Dette burde vel være en varsellampe om at man ikke burde satse på Java i fremtiden. Forsåvidt også en klar indikator på at man burde fase ut javabaserte løsninger som kjører på nettbanker o.l. snarest mulig. Lenke til kommentar
Ruarcs Skrevet 5. september 2012 Rapporter Del Skrevet 5. september 2012 Kansje java utviklerne burde hyre inn Adam Gowdia, kan virke som om de trenger det... Lenke til kommentar
Gjest Gjest slettet-ld9eg7s96q Skrevet 5. september 2012 Rapporter Del Skrevet 5. september 2012 Du mener vel at Oracle burde hyre inn Adam Gowdia, en Java utvikler er en som utvikler i java, ikke nødvendigvis utviklet Java i seg selv. Dessuten ser det ikke ut som Oracle er så veldig hyppen på å patche Java i utgangspunktet. Gowdia hadde jo allerede varslet selskapet om bristene i April .... Lenke til kommentar
zulo Skrevet 28. november 2012 Rapporter Del Skrevet 28. november 2012 Ser ingen forklaring på hvorfor dette er usikkert for nettbank. Kan noen som skjønner det gi oss et eksempel på hvordan dette sikkerhetshullet kan utnyttes til å bryte sikkerheten til nettbank? Skriv gjerne ned fra A til Å hvordan dette skulle kunne gjennomføres. 0=eventuelt hva kreves på forhånd hos brukeren A=brukeren går inn på nettbankens internettside for å logge inn .... ..... Å=sikkerheten har blitt brutt og noen har fått tilgang til nettbanken, og utført xxx ?? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå