Kan du ikke vente, til det bliver den 1. juli, hvor Digitaliseringsstyrelsen har bebudet at NemID baseret på JavaScript i stedet for Java, bliver frigivet? Så har du chancen for at smugkig på en demo af en foreløbig NemID JS-løsning på hjemmesiden PortalProtect.
Det er firmaet Asseco Denmark A/S, der står bag PortalProtect, der på produktes hjemmeside beskrives som en sikkerhedsinfrastruktur til blandt andet portaler. Hjemmesiden oplister både DanID (ejet af Nets, som står bag NemID), Nykredit og Patent- og Varemærkestyrelsen blandt sine kunder. En af de login-løsninger, som PortalProtect understøtter, er NemID, og herunder altså en demo af NemID JS. Og koden bag den demo, kommer fra Nets, forklarer adm. direktør i Asseco Denmark A/S Torben Falholt.
»Javascript-delen er noget, som udelukkende laves af Nets, vi henter deres kode og eksekverer den i vores løsning (authentication og authorization). Den hentes i en form, som ikke umiddelbart er læsbar eller meningsfuld – men altså eksekverbar,« oplyser han i en mail til Version2.
Han fortæller endvidere:
»Vi forsøger ud fra den dokumentation som de (Nets, red.) udgiver at være på forkant med PortalProtect, så vi meget meget hurtigt kan få vores kunder til at anvende de nye funktioner – når de engang måtte blive lagt i produktion.«
Det er også den samme NemID JS demoside, datalog og internetaktivist Christian Panton har kigget på, da han med egne ord var ved at få kaffen galt i halsen på grund af brugen af obfuskering i test-versionen af NemID JS. Obfuskering vil sige, at koden er gjort bevidst kompliceret – eksempelvis for at forhindre kriminelle i at finde og udnytte sikkerhedshuller i softwaren.
Læs også: Bagmand til JavaScript-klon kritiserer officiel demo af NemID uden Java: 1 megabyte obfuskeret kode
En oplevelse, der har fået Christian Panton til at iværksætte et de-obfuscator projekt på webhosting-tjenesten for softwareprojekter GitHub. De-obfuscatoren er et stykke software, der har til formål at reducere kompleksiteten i NemID JS. Christian Panton fortæller, at de dele af NemID JS-koden, han har analyseret med de-obfuscatoren, har resultereret i en reduktion af kodestørrelsen på ca. 33 pct.
Løsningen kan ses her. Af PortalProtect-siden fremgår det dog, at der kræves et brugernavn og en adgangskode, der skal være oprettet i DanID’s testsystem, hvis det skal være muligt at logge ind med løsningen.
Version2 har stillet en stribe spørgsmål til Digitaliseringsstyrelsen og Nets, som blandt andet går på brugen af obfuskering i NemID JavaScript. Digitaliseringsstyrelsen henviser til Nets. Og Nets ønsker ikke at kommentere løsningen med henvisning til, at den endnu ikke er endeligt frigivet.
Fakta
NemID JavaScript er betegnelsen for den kommende udgave af NemID, som fungerer uden Java-platformen. Flere har kritiseret, at NemID i den nuværende form er afhængig af Java. Kritikken har blandt andet gået på, at sikkerhedshuller i Java i sig selv kan gøre en computer usikker, og desuden virker Java og dermed NemID typisk ikke på mobiltelefoner og tablets. Med til historien om NemID og Java hører opdateringen fra Oracle, der står bag Java, som sidste år bevirkede at NemID i tre døgn ikke fungerede hos de brugere, der havde fulgt gængs sikkerhedspraksis og opdateret til den seneste Java. Senere kom det frem, at Nets ikke havde testet om NemID ville virke med den nye opdatering fra Oracle.
Digitaliseringsstyrelsen forventer, at NemID JS, trods problemer i forbindelse med en planlagt pilottest, som planlagt bliver lanceret 1. juli.
Leave a Reply