Nets forklarer manglende Java-test: Vurderede ikke, det var nødvendigt

November 12, 2013 by admin · Leave a comment

Forklaringen på, at Nets DanID blev ramt af Java-problemer, da Java 7 update 45 kom på gaden den 15. oktober, var simpel: NemID var ikke blevet testet med den nye opdatering.

Læs også: Årsagen til NemID-kaos: Nets testede ikke Java-opdatering

Det har Nets forklaret i en redegørelse til Digitaliseringsstyrelsen – men hvorfor valgte Nets ikke at teste mod nye Java-opdateringer?

»Historisk set har Java-opdateringerne altid været bagudkompatible, så det har ikke været noget, vi har vurderet var nødvendigt at teste. Men det er klart, at det er en praksis, vi nu ændrer, da det øjensynligt ikke længere er sådan,« siger Søren Winge, pressechef for Nets DanID, til Version2.

Datalogen Christian Panton har ved at analysere NemID-appletten fundet tegn på, at der bliver brugt et internt API via reflections, hvilket ikke er meningen fra Oracles side. Alt tyder derfor på, at NemID fik problemer med den nye opdatering, fordi Oracle tilføjede ekstra sikkerhed, der skulle beskytte det interne API mod brug fra andre end Java selv.

Læs også: Nets brugte 3 døgn på at tilføje 2 linjer kode til NemID

Men Nets ønsker ikke at be- eller afkræfte den forklaring, eller på anden måde fortælle om, hvad der gik galt.

»Vi ønsker – først og fremmest af sikkerhedsmæssige årsager – ikke at kommentere konkret på, hvordan vi koder NemID løsningen og heller ikke hvilken kode, der var årsag til problemerne mellem Java 7_45 og NemID,« skriver Søren Winge til Version2 og uddyber mundtligt:

»Vi synes ikke, at der er nogen grund til at diskutere i detaljer, hvad vi laver i Java,« siger han.

Da problemerne opstod i midt-oktober, lød Søren Winges foreløbige bud på en forklaring, at der ikke var blevet testet godt nok. Han sagde dengang til Version2: ’Vi får typisk en beta-version af opdateringerne fra Oracle, så vi kan teste den.’

Læs også: Nets om Java-problemer: Vi har måske ikke testet godt nok

Men der var altså slet ingen test, og den udtalelse var en fejl, baseret på en misforståelse mellem nye versioner af Java og nye opdateringer af Java.

»Det var forkert, for jeg havde simpelthen misforstået. Det var en forkert tilbagemelding fra min side. Vi har adgang til pre-releases af nye versioner af Java, men ikke, når der kommer nye opdateringer af Java,« siger pressechefen.

Indtil nu har Nets faktisk slet ikke haft adgang til opdateringerne før alle andre.

»Vi har ikke tidligere fået adgang til de kvartalvise opdateringer, så af den grund kunne vi ikke teste. Men det var heller ikke noget, vi har haft en procedure for,« siger Søren Winge.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>