Daily Archives: November 20, 2014

Det er nu kun et spørgsmål om dage, før det ikke længere er nødvendigt at have Java installeret på sin pc for at kunne logge på offentlige hjemmesider, som kræver login med NemID. Digitaliseringsstyrelsen oplyser nemlig, at den fælles offentlige login-løsning NemLogin skifter til Javascript-versionen af NemID inden udgangen af november.

Danskerne har hidtil været nødt til at have Java installeret på deres pc, fordi NemID krævede, at browseren kunne afvikle en Java-applet.

I juli blev en ny udgave baseret på Javascript lanceret, som bankerne i dag har taget til sig. Javascript kræver ikke noget Java-plugin, men kan afvikles af stort set alle browsere – heriblandt mobilbrowsere og browsere på tablets, hvilket var et væsentligt argument for at udvikle den nye udgave.

Mens bankerne har været skiftet siden sensommeren, så kræver offentlige hjemmesider som eksempelvis Skat og Sundhed.dk stadig den Java-baserede version.

Men det skal altså være slut med udgangen af november, hvor NemLogin bliver opdateret til den Javascript-baserede version.

Dermed slipper danskerne også for at være nødt til at have Java installeret udelukkende for at anvende offentlige hjemmesider. Det er væsentligt, fordi sikkerhedshuller i Javas browserplugin de seneste år har toppet listen over sikkerhedstrusler, som udnyttes til at sprede malware.

Brugere, som benytter Medarbejdersignatur eller logger på med en nøglefil eller en anden løsning i stedet for nøglekort, skal fortsat benytte Java.

Når skiftet til Javascript på NemLogin kommer nu, så skyldes det behovet for tilpasning.

»Det har krævet en større tilpasning på NemLogin, som er sammensat af flere komponenter. Så vores vurdering har været, at vi meget nødig ville ændre på infrastrukturen, som blandt andet understøtter Digital Post lige op til 1. november,« forklarer kontorchef Morten Mejer-Warnich fra Digitaliseringsstyrelsens center for systemforvaltning og sikkerhed til Version2.

Derfor skulle Digital Post først lanceres den 1. november uden at blande en ændring af NemLogin ind i processen.

»Det var et bevidst valg. Det ville også have været fint at have det hele på plads inden, men så havde det været nødvendigt at have det i meget god tid for ikke at lægge en meget væsentlig risiko på lanceringen. Der var en kørende løsning, og behovet var ikke stort, at vi ville løbe risikoen,« forklarer Morten Mejer-Warnich.

Opdateret 14:20 med kommentar fra Digitaliseringsstyrelsen og uddybning af, at Medarbejdersignatur fortsat kræver Java.

Organisationen Amnesty International vil nu give en håndsrækning til personer, som kan være genstand for overvågning fra deres regeringer. Det sker i form af et værktøj, som kan spore og fjerne kendte spionprogrammer, oplyser Amnesty International i en pressemeddelelse.

Programmet Detekt er udviklet af en tysk sikkerhedsekspert, Claudio Guarnieri, og lanceres i et samarbejde mellem Amnesty International, Electronic Frontier Foundation og Privacy International.

Målgruppen er journalister, systemkritikere og oppositionspolitikere i lande, hvor regeringen vil holde øje med dem ved at installere et spionprogram.

Der har været flere eksempler på spionprogrammer, som er udviklet til regeringer, og er blevet anvendt til overvågning af systemkritikere. Programmerne udvikles i visse tilfælde i vestlige lande, men sælges til lande, der krænker menneskerettigheder ifølge Amnesty International.

Detekt-softwaren stilles gratis til rådighed og er også frigivet som open source.

Et område i digital forvaltning som nu begynder at gøre ondt, er organisationens mulighed for at styre deres medarbejderes rettigheder på de enkelte forvaltningsløsninger.

Danmark har i dag nået et højt udviklingsstadie indenfor digital forvaltning, og har undervejs brudt mange nye grænser.

Siden 1999, hvor den manglende digitale signatur blev anset for den største barriere for digital forvaltning, har der været en rivende udvikling, kulminerende med at staten disse år begynder at vifte med stokken i form af pligter, frem for kun at lokke med guleroden i form af 24 timers selvbetjent offentligt slaraffenland.

I takt med at forvaltningsløsningerne bliver mere finkornede og omfattende, er der behov for, at organisationerne kan integrere forvaltningsløsningernes rettighedsstyring i deres egne interne arbejdsgange og værktøjer til administration af brugerrettigheder. Mange organisationer har i dag 10 – 15 forskellige forvaltningsløsninger, som deres medarbejdere skal anvende med forskellige roller og rettigheder. Så det er efterhånden en stor byrde for organisationernes IT afdelinger at vedligeholde rettigheder på de enkelte tjenester. Og rigtig slemt er det forøvrigt, når de udpegede rettighedsadministratorer får nyt arbejde. Har alle tjenesterne husket at håndtere dette pænt, eller risikerer vi, at administratorerne i praksis blot arver hinandens identiteter og rettigheder, da det er et uoverskueligt bøvl at starte forfra?

Allerede med den første generation af digital signatur i 2004 var der fra flere sider overraskelse over, at rettighedsstyringsproblematikken ikke var løst med signaturen. For dog at komme i gang på området, tillod man den gang tjenesteudbyderne at kontrollere, om en given bruger var udpeget som digital signatur administrator hos TDC, og så kunne man tillade disse brugere at administrere rettigheder lokalt på den enkelte tjeneste.

Dette fjernede en uoverkommelig stor administrativ byrde med at få udpeget administratorer fra hver enkelt organisation til hver enkelt tjeneste. Men det skabte også en unaturlig sammenblanding af det at være udpeget af en organisationens ledelse til at administrere medarbejdersignatur, til også at være administrator af hvilke medarbejdere der for eksempel må indberette punktafgift hos Skat.

Jeg ser i dag to primære løsningskandidater til en centraliseret rettighedsstyring, nemlig Nets rettighedsstyring og NemLog-in rettighedsstyring.

Frem til i dag baserer Nets rettighedsstyring sig stadig på digital signatur / NemID administrator rollen. En medarbejder der skal kunne administrere forhold omkring patienterstatninger i en Region er for eksempel også nødt til at være administratorer af medarbejdersignatur i Regionen.

I modsætning hertil arbejder NemLog-in rettighedsstyring med en selvstændig administrator, som skal udpeges af den enkelte organisation. Til gengæld er NemLog-in rettighedsstyring indtil videre kun tilgængelig for offentlige tjenesteudbydere, og altså lukket land for private tjenesteudbydere.

Fælles for de to kandidater er, at de ikke er understøttet af ret mange tjenesteudbydere, og at udbredelsen går meget langsomt. Endvidere findes der ikke programmatiske grænseflader til nogen af dem, og dermed har organisationerne ikke mulighed for at integrere dem til deres egne brugerrettighedsløsninger. Det er jo en katastrofe!

Inden de centrale løsninger vinder udbredelse, skal vi væk fra, at hver enkelt tjenesteudbyder planlægger med, at det vel ikke gør noget, at netop deres brugere lige skal styre lidt rettigheder inde i deres univers. Men dette forudsætter jo, at der er et godt og nemt alternativ, og der er vi ikke i dag.

Resultatet er, at organisationerne ingen muligheder har for at automatisere de tunge og fejlbehæftede manuelle arbejdsgange, som de er underlagt fra de enkelte tjenesteudbydere. Og det ser kun ud til at blive værre i fremtiden, i takt med at der bliver mere og mere funktionalitet tilgængelig online på tjenesterne.

Man kan minde sig selv om, hvorfor udvikling tager tid, ved at kigge lidt på årstallene i denne redegørelse fra Digitaliseringsstyrelsen, som altså starter i 2007.

Så kort er vi altså nået på rettighedsstyrings området i Danmark 11 år efter den første digitale signatur.

Målt i forhold til Odysseus rejse er vi, set fra organisationernes side, ikke nået længere end til Kyklopens mørke hule. Og her har vi endnu ikke fundet på det med fårene, så vi kan komme ud i solen og selv bestemme rejsens gang igen.

Jeg ved ikke helt hvad Kyklopen, der holder os tilbage, er? Men jeg hører gerne mere eller mindre fortænkte analogier, ligesom det kunne være godt at høre læsernes bud på standarder, initiativer og løsninger der kunne lede os lidt hastigere i den rigtige retning imod Itaka og den lykkelige slutning i Penelopes hus.

Blot fem personer modtog en sms, som tilsyneladende kom fra Politikens sms-tjeneste, om, at statsministeren havde udskrevet valg. Det førte til, at nyheden om valgudskrivelsen begyndte at sprede sig til sociale medier. Men der var tale om misbrug, og det fører nu til en politianmeldelse, skriver Politiken.

Politiken benytter firmaet Coolsms til at udsende sms-beskeder, og det var en anden kunde hos Coolsms, som fik mulighed for at udsende en sms via tjenesten, så den så ud til at være afsendt fra Politiken.

Dette misbrug er gået ud over Politikens troværdighed, lyder det fra JP/Politikens Hus, som altså har politianmeldt indehaveren af den Coolsms-konto, som blev benyttet til misbruget.

»Der er sket en stor skade, fordi det at skabe tvivl om, hvorvidt man kan stole på, at afsenderen af sms’er er dem, som de giver sig ud for at være, svækker troværdigheden af vores og andres sms’er. Der kan være situationer, hvor det er meget vigtigt, at modtageren kan stole på, at den, der ser ud til at være afsender, også er afsenderen,« siger chefredaktør Bo Lidegaard fra Politiken til avisen.

Den amerikanske efterretningstjeneste NSA får fortsat lov til at søge næsten uhindret i store mængder metadata om amerikanske telefonopkald, efter et lovforslag er faldet til jorden i senatet. Det skriver New York Times.

Forslaget nåede ikke op på de nødvendige 60 stemmer, som var nødvendige for at få taget sagen op, og nu må det vente, indtil de nye medlemmer af senatet, som blev valgt ind ved midtvejsvalget, har indtaget deres pladser.

NSA har i kølvandet på terrorangrebene den 11. september 2011 fået udvidede beføjelser til at søge i metadata om, hvilke telefonnumre der er forbundet med hinanden. Forslaget ville have pålagt NSA at skulle gennem en mere åben proces for at nå ud i andet led fra en terrormistænkts telefon.

Blandt andet ville indsamlingen af dataene blive lagt hos teleselskaberne frem for at blive udleveret til NSA.

NSA’s brug af aflytning er kommet i søgelyset efter den dokumentation, som Edward Snowden offentliggjorde i 2013. Det er værd at bemærke, at forslagene om at begrænse NSA’s muligheder kun drejer sig om overvågning af amerikanske statsborgere. En stor del af NSA’s omfattende overvågning er rettet mod udenlandske statsborgere.

At en webside er mobilvenlig kan komme til at slå igennem på Googles søge-ranking.

Om få uger går Google igang med at mærke mobilvenlige websites, oplyste selskabet tirsdag. Det skriver Computerworld.com

»Mærkningen er første skridt i at hjælpe mobilbrugere til en bedre oplevelse på nettet, « skriver Ryoichi Imaizumi og Doantam Phan fra Google Mobile Search.

I en rapport udgivet sidste år, fandt udgiveren comScore at mere end en tredjedel af den tid, der blev brugt på nettet, blev brugt fra en smartphone eller en tablet. Et tal, der forventes at stige, i takt med at smartphones bliver endnu mere udbredte.

Til hjælp for hjemmesider, der gerne vil opnå den nye mærkning, har Google lavet en hjemmeside, der kan teste om et site vil blive anset for at være mobilvenligt og ydermere lavet en guide, der kan hjælpe til, når man laver sådanne sites.

Nexus 7 tablet brugere oplever at tabletten kører langsomt, crasher, og holder i nogle tilfælde helt op med at virke, efter de er opdateret med den seneste opdatering af Lollipop, styresystemet til Android. Det skriver BBC.

Blandt de indrapporterede problemer, forlyder det at ‘Air’-opdaterede apps holder op med at virke og ikke kan geninstalleres.

Ifølge BBC har en lang række brugere, der som de første har taget opdateringen i brug, beklaget sig på Googles supportsider, og det ser ud til, at Nexus 7 brugere er værst ramt. Nexus 7 er GOogles egen tablet, hvor folk får tilbudt at opgradere styresystemet gennem ‘Air’, hvor opdateringen sker trådløst fra Google Play.

Det står ellers i skærende kontrast til de rosende ord, Lollipop fik med på vejen, da den blev præsenteret som det første styresystem, der fungerede på tværs af smarture, telefoner, tablets og computere og med en vellykket grad af brugervenlighed. Men nu viser der sig altså problemer med at opgradere.

»Nogle apps virker ikke og nogle crasher. Jeg ville ønske, jeg aldrig havde installeret opdateringen,« skriver Kristen Sawyer

En bruger ved navn StretchToo skriver:

»Chrome er dødt, ubrugeligt, Firefox virker næsten, keyboardet tager over et minut at loade og virker næsten , hvis du trykker præcist men dør, hvis du prøver at swipe.«

Tidligere på året var det Apple, der havde omfattende problemer med en opdatering af styresystemet og en ekspert i branchen råder ifølge BBC til, at man generelt venter et par dage med at hente den nyeste opdatering, hvis man vil undgå de værste problemer.

Bankdata, som leverer netbank til blandt andet Sydbank, har ændret i løsningen, så det ikke længere er nødvendigt at indtaste den sekscifrede engangskode fra NemID-nøglekortet, når kunderne logger ind. Kortet skal nu i stedet bruges ved eksempelvis første transaktion. Sydbank begrunder ændringen med et ønske om at lette login for de mange kunder, der blot er interesserede i at se kontooversigten.

Det er frivilligt, om bankerne vil anvende den nye løsning med login uden nøglekort, det har langt hovedparten af de 12 pengeinstitutter, som står bag Bankdata, dog valgt, oplyser Bankdata til Version2.

Selvom der dermed ikke længere er 2-faktor-autentifikation forbundet med login-løsningen, altså kombinationen af det fysiske nøglekort og brugernavn plus adgangskode, så er det sikkert nok, mener man hos Sydbank, der er medejer af Bankdata.

Områdedirektør for ‘Kunder’ i Sydbank Jess Olsen henviser blandt andet til, at Sydbanks mobilbankløsning i forvejen kunne tilgås uden brug af nøglekortet.

»Sydbank arbejder tæt sammen med de øvrige pengeinstitutter i landet på dette område, og flere af de andre banker har samme login, som vi har nu. Vi prioriterer sikkerhed meget højt, når vi udvikler og styrker vores NetBank, og vi mener fortsat, at vores NetBank er meget sikker, ligesom vores MobilBank er det,« oplyser områdedirektøren i en mail sendt via bankens kommunikationsafdeling.

Stadig nødvendigt med papkort

Selvom Bankdata og dermed også Sydbank nu har droppet indtastning af engangskoder fra NemID-nøglekortet i forbindelse med login, er det dog stadig nødvendigt at finde papkortet frem, eksempelvis når der skal flyttes penge fra en konto til en anden. Dog kun ved første transaktion. Tidligere har det – da nøglekortet var nødvendigt ved login – været nok at indtaste kodeordet til NemID ved en transaktion.

»Vi arbejder hele tiden på at styrke vores digitale selvbetjeningsløsninger, så de er tidssvarende og lever op til brugernes anvendelse af eksempelvis NetBank. Det gælder både brug, brugervenlighed og ikke mindst sikkerheden. Et ønske fra mange af vores brugere har gennem en længere periode været et mere smidigt login, hvor man ikke skal have sit nøglekort frem, som mange kender fra vores meget populære MobilBank, og derfor har vi udviklet en fælles løsning, der tilgodeser det,« fortæller Jess Olsen i mailen, som fortsætter:

»Vi kan se, at over 80 pct. af dem, som benytter NetBanken, kun kommer for at se oversigten over deres konti. Og alle dem vil vi gerne tilbyde en nem adgang – i stil med det, som de kender fra vores MobilBank.«

Som Version2 tidligere har kunnet fortælle, bliver der ikke skelet til, om brugeren benytter store eller små bogstaver i password-feltet til NemID. ‘KODEORD’ er altså det samme som ‘kodeord’. Det giver færre kombinationsmuligheder og gør det dermed i princippet lettere for uvedkommende at forsøge at gætte kodeordet. Og i udgangspunktet er CPR-nummeret også brugernavnet i NemID. Og som det flere gange har vist sig, er et CPR-nummer ikke nødvendigvis vanskeligt at opdrive for uvedkommende.

Ingen af delene får dog tilsyneladende Jess Olsen til at ligge søvnløs om natten:

»Det er klart, at NemID-nøglekortet er en væsentlig del af sikkerheden, og det er derfor, brugerne fortsat skal benytte det, hvis de eksempelvis skal sende penge eller foretage sig andet end at få et overblik over deres konti. Men helt overordnet er sikkerheden i vores NetBank bygget op omkring en lang række forskellige tiltag og foranstaltninger, der skal modvirke svindel, og nogle af disse er synlige for brugerne, mens andre er usynlige. Og i forbindelse med, at vi har udviklet en mere opdateret NetBank, har vi således også skærpet sikkerheden andre steder i denne.«

Hos konkurrerende leverandør af netbankløsninger Bankernes EDB Central (BEC) har man gennem længere tid kørt med en variation af den model, som nu også Bankdata og Sydbank er overgået til.

Som at gå i papircontaineren

Udviklingsdirektør i BEC Henrik Jensen fortæller, at netbank-kunderne her har mulighed for selv at vælge, om de vil indtaste brugernavn, adgangskode og engangskode fra nøglekort i forbindelse med login og så adgangskoden igen i forbindelse med eksempelvis en transaktion. Eller alternativt logge ind med brugernavn og adgangskode og så indtaste engangskoder fra nøglekortet, når transaktioner og lignende skal gennemføres.

Om løsningen med login uden brug af nøglekort siger Henrik Jensen fra BEC:

»Det er jo en kiggeadgang, man får, når man bare bruger et brugernavn og et password. Lidt som at gå i papircontaineren. Der er ikke lås på, men jeg smider stadig mine kontoudskrifter i den.«

Mener du, at nøglekortet øger sikkerheden ved login?

»Jo flere faktorer man bruger, også ved login, desto større vil sikkerheden altid være. Man skal bare være opmærksom på, at skal man foretage ting, der er økonomisk forpligtende, så skal man bruge nøglekortet,« siger Henrik Jensen.

Danske Bank: Vi fortsætter med nøglekort-login

Hos Danske Bank er der umiddelbart ingen planer om at ændre ved den nuværende model, hvor kunderne bruger nøglekort ved login mod så at kunne ‘nøjes’ med NemID-kodeordet i forbindelse med eksempelvis en transaktion.

»Vi har indtil videre valgt at fastholde modellen med at bruge nøglekort, når du via desktop går i netbanken.Til gengæld slipper du i de fleste situationer for nøglekort, når du gennemfører transaktioner,« oplyser chef for eBanking i Danske Bank, underdirektør Jeppe Buk i en mail sendt via bankens presseafdeling, som fortsætter:

»Vores kundeundersøgelser giver ikke anledning til lige nu at prioritere at ændre det. Vi kan nemlig se, at rigtig mange kunder bruger vores mobilbank som den hurtige adgang til et kontokig uden brug af nøglekort. Men vokser ønsket fra kunderne om samme model via desktop, kan det udmærket være, at vi genovervejer setuppet på et tidspunkt.«