Søg

Skip to top of page
Skift til HTTPS for at undgå aflytning. Installer CAcerts certifikat først. Det tager 1 minut.
brug TOR her

Navigation

Skip to top of page

Upcoming events

  • No upcoming events available
Add to iCalendar
mere

Events

« May 2012 »
ManTirOnsTorFreLørSøn
123456
78910111213
14151617181920
21222324252627
28293031
Skip to top of page

Netbank fortæller ikke borgerne at de giver adgang til deres harddisk

in

De fleste netbanker bruger BEC (Bankernes Edb Central). BEC's netbanker er skrevet i programmeringssproget java. Man bruger de såkaldte Java-appletter. Det er programmer der ligger på BEC's server, men køres på borgerens egen computer når hun går ind på sin netbank. En javaapplet der kører på borgerens egen computer, har normalt ikke adgang til borgerens computer og kan ikke læse borgerens filer. Ellers ville det være meget, meget nemt at gå ind på borgernes computere.

Signerede Java-appletter

Men BEC's net skal kunne læse en nøglefil som skal ligge på borgerens computer. For at komme ind på sin netbank skal borgeren både give adgang til nøglefilen og taste sit password. Men en en java-applet kan jo ikke komme ind på borgerens computer og læse nøglefilen. Det kan netbank kun få lov til hvis de bruger en såkaldt signeret java-applet. Ideen er at borgeren skal kunne kontrollere om det nu også er borgerens bank der får lov at gå ind på computeren. Derfor er java-appletten underskrevet af BEC. Borgeren kan så kontrollere om det vitterlig er BEC der får lov at gå ind på hendes computer. Derfor er det at der første gang man bruger sin netbank popper et vindue op der fortæller at det faktisk er en BEC der har underskrevet java-appletten. Dette ses på billedet.

Hvis borgeren trykker på "Run" har hun givet BEC tilladelse til at køre java-appletten (signonApplet) på hendes computer så den læse nøglefilen. Men hun har ved samme lejlighed gjort det muligt for BEC - og måske også banken - at gøre alt hvad brugeren selv kan gøre på sin computer: læse filer, oprette filer og køre programmer.

Borgerne får intet at vide

Får man det at vide at BEC kan gå ind på ens computer? Det står ikke i popup-vinduet, men hvis man trykke på "More information" nederst i højre højre hjørne dukker der et nyt vindue op:

I det nye vindue står der at java-appletten vil blive kørt uden de normale sikkerhedsrestriktioner, og at BEC hævder at det er sikkert. Der står IKKE at borgeren giver BEC - og evt. også banken - lov til at gøre alt hvad brugeren selv kan gøre på sin computer. Uden normale sikkerhedsrestriktioner kan betyde alt muligt. Det kan borgeren ikke vide. Det er kun fagfolk der ved dette. Men selv om borgeren vidste det, må borgeren vælge mellem at ikke at bruge netbank eller tillade at banken får tilladelse til næsten alt.

Det er selvfølgelig et uacceptabelt valg. Men det er ikke BEC eller bankernes skyld at signerede Java-appletter giver lov til alt hvad brugeren har lov til. Den beslutning er taget af Sun Microsystems (som nu er overtaget af Oracle). Men BEC og bankerne er dog ikke ganske uden skyld. Dels har de besluttet at bruge Java-appletter i stedet for alternative løsninger. Dels har de ikke fortalt borgerne at borgerne giver BEC adgang til alt.

NemID

Bankerne vil i løbet af efteråret tvinge netbankbrugerne over på NemID. Når det er sket, går staten over til at bruge NemID. Det er klart at NemID ikke nødvendigvis giver bankerne, staten og andre institutioner adgang til borgernes data. Problemet med NemID er at der også bruges en signeret Java-applet der giver adgang til borgernes computere. Men da NemID har adgang til borgernes data og til at afvikle programmer på borgernes computere, kan de til enhver tid vælge at give bankerne, staten og andre institutioner adgang til (udvalgte) borgeres computere. Kort sagt, NemID vil gennemtvinge adgang til borgernes computere. Hvordan det vil blive brugt, er op til fremtiden at vise.