Da Java 7 update 45 blev rullet ud tirsdag den 15. oktober af Oracle, fik mange danske NemID-brugere pludseligt problemer. NemID fungerede nemlig ikke med den nye opdatering, der lukkede 51 sikkerhedshuller.
Det kom tilsyneladende helt bag på Nets DanID, som driver NemID, og forklaringen står nu at læse i en redegørelse, som firmaet har sendt til Digitaliseringsstyrelsen om problemerne.
Nets testede nemlig aldrig de nye Java-opdateringer, før de blev rullet ud bredt. Det fremgår af Digitaliseringsstyrelsens resumé af redegørelsen.
»Nets DanID oplyser endvidere, at det hidtil ikke har været Nets DanIDs praksis at teste nye opdateringer af Java, da opdateringerne hidtil har været bagudkompatible,« skriver styrelsen.
Til gengæld tester Nets NemID op mod nye versioner af Java, samt med nye versioner af de mest gængse browsere og styresystemer.
Belært af erfaringerne fra oktober, hvor det i tre døgn ikke var muligt at bruge NemID med den nyeste version af Java, får har Nets nu ændret procedure: Fremover vil Nets deltage i Oracles Java pre-release-program, så NemID også bliver testet med alle Java-opdateringerne på forhånd.
Selvom Nets beklager forløbet, er Digitaliseringsstyrelsen ikke tilfreds med leverandøren.
»Digitaliseringsstyrelsen tager redegørelsen til efterretning. Styrelsen finder dog ikke den hidtidige praksis tilfredsstillende, men bemærker, at Nets DanID igangsætter nye tiltag og vil optimere de generelle testprocedurer,« skriver styrelsen.
Selvom løsningen i sig selv ikke tog så lang tid at skrive – en analyse af NemID-appletten har for eksempel vist, at der kun blev tilføjet to linjers kode – er der mange sikkerhedskrav til NemID, og derfor tog det tre døgn at få en ny NemID-applet rullet ud.
»Årsagen hertil var, at opdateringen af Java afstedkom flere problemer, som skulle løses, samt at en opdatering af NemID altid skal afprøves i flere testmiljøer, før den lægges ud til brugerne, og det tager tid,« fremgår det af Digitaliseringsstyrelsens resumé.
Leave a Reply