IT

Ingen grunn til å ha Java i nettleseren

Sikkerhetsekspert mener bankene bør kutte avhengigheten av Java.

 Bort me'n: Java i nettleseren kommer til å være et sikkerhetshull i fremtiden også, mener ekspert. Bankene bør klare seg uten
Bort me'n: Java i nettleseren kommer til å være et sikkerhetshull i fremtiden også, mener ekspert. Bankene bør klare seg uten Bilde: orv
15. jan. 2013 - 10:45

Førsteamanuensis ved Institutt for matematiske fag ved NTNU og ekspert på sikkerhet og sårbarhet, Kristian Gjøsteen, ser ingen grunn til å ha Java i nettleseren.

Større angrepsflate

Oracle har lappet sammen det store sikkerhetshullet for denne gangen, men ser man på Javas historie vil dette skje igjen. For ti år siden så det ut som om Java skulle få en veldig stor rolle i nettleserne. Slik har det ikke gått.

I dag er det stort sett bankene i Norge som tvinger folk til å bruke Java i nettleserne. Det burde de slutte med.

– Alle bankene har en eller annen løsning som fungerer uten Java. Ellers hadde man ikke kommet inn på nettbanken med et nettbrett. Derfor trenger man ikke ha Java installert i nettleseren og utsette PC-en for risiko. Jeg fjernet Java for mange år siden. Det samme gjelder også Flash. Begge tilleggsprogrammene øker mengden kode som eksponeres på nettet, og jo mer kode, jo større angrepsflate. Den bør være så liten som mulig, sier Gjøsteen.

Les også: Nettskurker tappet 30000 bankkontoer

Liten fare for bankran

Sikkerhetshullet i Java betød ikke at man ble ranet i nettbanken. Problemet var at det åpnet en kanal inn i PC-en for dem som ville legge igjen skadelig programvare.

Slik skadevare kan brukes til finansiell svindel senere, men den største faren ligger i at PC-en kan brukes til utsendelse av Spam og bli brukt i DDoS-angrep.

– På sikt kan slik skadevare også benyttes til å stjele helseopplysningen som folk i større grad kommer til å ha på PC-en i årene fremover.

Gjøsteen mener bankene burde utvikle systemet rundt BankID til å bli helt Java-fritt. Det ville gjøre hverdagen for kunden deres sikrere.

– Det pussige er at de fleste kjølhalte Skandiabanken i 2004 for bruken av sertifikater og sikkerhetsproblemene rundt det. Og det hadde de rett i. Nå er det er det faktisk Skandiabanken som klarer seg uten Java og som ikke utsetter kundene for risiko, sier han.

Les også:

– Alle med Android-telefon trenger sikkerhetsprogramvare

Snart kan du se saldo direkte på bankkortet

Slik er dataskurkenes nye metode  

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.