Hvorfor Java..?

[Jakob77]

Hej Anders Jenbo,

Mange tak for din henvendelse vedrørende de tre sikkerhedsproblemer på dr.dk. Vi sætter pris på at blive gjort opmærksom på ting, som vi kan gøre bedre.

Vi kan oplyse at vi har patchet SSL serverne, så de nu er sikret mod CVE-2014-0224.

Ligeledes vil de eksterne statistikscripts blive fjernet fra sider med formularer, der har til formål at modtage personlig data som CPR Nummer. Dette vil ske næste gang de web applikationer, der hoster disse forms, bliver deployet.

Angående http ressourcer, der inkluderes på sider, der loades med https, så er vi allerede bekendte med dette problem og vi arbejder løbende med at få de forskellige sider rettet til.

De bedste hilsner

Synes du, at det svar fra DR er tillidsvækkende..?

Jeg kan ikke engang se, at de forholder sig til, om formularen kan bruges til at verificere eller stampe andre personers CPR numre med.
Og jeg forstår stadig heller ikke, at registerloven og anden lovgivning tillader, at DR's EDB folk har adgang til et CPR-register, som de tilmed tydeligt ikke forstår at administrere ansvarligt.

Er det for hårdt bedømt..?



Angående det andet, så er det ikke for at provokere, men jeg tror ikke, at almindelige brugere sondrer så skarpt imellem den ene eller den anden slags java eller andre programtyper, som anvendes til dialog på internettet.
Men når de møder en showstopper, så vil de lede efter en syndebuk, og der mener jeg, at java har været et taknemmeligt offer, blandt andet på grund af et let genkendeligt navn.
Men måske har javafolket omsider fundet løsningen ved så vidt muligt kun en enkelt gang at bede brugerne om at sige ja til installation, og derefter kan administratorer i det skjulte installere ligeså meget og ofte de har lyst til, uden brugeren nogensinde igen skal se navnet java.
Det er f.eks. min oplevelse på den sidste computer, jeg har installeret med Xubuntu, at den efter en uge fik problemer med netbank login, men der blev kun spurgt om tilladelse til installation af danID. Det gik galt, og det endte ligefrem med, at Xubuntu bootede om uden varsel.
Ups... så er det pludselig danID, der nu bliver syndebuk for den almindelige bruger, men hvem ved, om det i virkeligheden kan være noget underliggende java, som har lavet missæren. Det var det såmænd nok, man kender vel sine lus på travet...

[AJenbo]

Synes du, at det svar fra DR er tillidsvækkende..?

Det ser da helt klart ud til at de tog det seriøst. 1. punkt har de taget hånd om med det samme, 2. er på vej og 3. er de i gang med at finde en løsning på.

Jeg kan ikke engang se, at de forholder sig til, om formularen kan bruges til at verificere eller stampe andre personers CPR numre med.

Jeg forstår stadig ikke hvad det er du mener når du skrive "stampe"? Men der var ikke andet end de 3 oven nævnte punkter så jeg kan heller ikke se at der skulle være noget de ikke forholder sig til, selv om jeg ikke kan forstår dig.

Og jeg forstår stadig heller ikke, at registerloven og anden lovgivning tillader, at DR's EDB folk har adgang til et CPR-register, som de tilmed tydeligt ikke forstår at administrere ansvarligt.

De har ikke på nogen måde gjort noget fra registeret tilgængeligt for omverdenen. Hvis ikke en statsejet virksomhed skulle have adgang, hvem så? Hvis du er overasket bør du nok læse loven, bar sådan lidt.

Resten af dit indlæg kan jeg ikke rigtig tage seriøst det roder rundt og forsøger at placere ansvaret det helt forkert sted.

[Jakob77]

@AJenbo

Jeg forstår stadig ikke hvad det er du mener når du skrive "stampe"? Men der var ikke andet end de 3 oven nævnte punkter så jeg kan heller ikke se at der skulle være noget de ikke forholder sig til, selv om jeg ikke kan forstår dig.

Nej, det er nok rigtigt, og det er urimeligt at bebrejde DR, at du ikke har forstået mig endnu.

Men hvis du forstår, hvad jeg mener, når jeg skriver "verificere", så er der ikke langt til "stampe".

Jeg ved, hvor du bor, og jeg har set din fødselsdag og dit navn i avisen, og jeg ved, at du er en mand.

Jeg udfylder formularen til DR og gætter på dit personnummer.
Mit spørgsmål til DR kan være, om jeg kan regne med, at personnummeret er korrekt, når min formular ikke bliver afvist.
Går spørgsmålet igennem, så har jeg stampet dit personnummer.
Det kan også være, at du vil kalde det for "hacket" eller "cracket". "Stampet" var bare et ord, som faldt mig ind, fordi jeg var i tvivl om hvilket af de andre, der var mest passende.
Selvom det måske er fatalt for personnummersikkerheden, så er jeg ikke engang sikker på, at det er ulovligt at stampe info., hvis DR sådan næsten stiller registeret offentligt til skue.
Håber det hjælper på forståelsen.
Det er selvfølgelig ikke at bebrejde Java eller andre programsprog, hvis en DR EDB chef vælger at programmere og benytte en formular, som blotlægger danskernes CPR-numre. Det er nærmere noget med lovgivningen for, hvordan man må håndtere personlige data, og det er jo politisk.

[AJenbo]

Jeg tror det er urimeligt at klage over at DR ikke besvare noget som jeg ikke har skrevet til dem. Det er også urimeligt at forvente at jeg holder mig enig i din holdning, eller at jeg taler din sag. Har du noget du gerne vil sige til DR så gør det selv. For at være helt ærlig så er jeg ved at blive lidt træt af din måde a kommunikere. Du har også igen totalt afsporet et emne, den eneste røde tråd er nu at du ikke ved hvad Java er.

I følge Den Danske Ordbog betyder "stampe" følgende: "være i en situation eller en tilstand hvor der ikke sker nogen udvikling; stagnere". Så du skriver altså at du kan få mit personnummer til at gå i stå... Hvis ikke det er den definition du bruger, så vær venlig at definere ordet i stedet for at komme med en anekdote.

"Hacket" og "cracket" virker heller ikke i din sætning, "hacke" betyder: "at bygge noget groft", og "cracke" er at skaffe sig adgang til et system. Mange bruger dog ordet "hacke" hvor de burde have brugt "cracke". Måske er ordet du leder efter "verificeret": "påvise rigtigheden eller sandheden af noget".

Hvis du er i tvivl om loven så læs den: https://cpr.dk/lovgivning/

Hvis du læser https://cpr.dk/cpr-systemet/opbygning-af-cpr-nummeret/ vil du kunne se at det er muligt at verificere yderligere uden nødvendigvis at skulle lave et opslag blandt ægte CPR-nummere. I øvrigt er jeg sandsynligvis ikke den eneste man født den dag og vi har ikke fastlagt om DR blokere dig hvis du flere gange forsøger at udfylde formularen med forskellige teknisk gyldige postnumre inden for kort tid.

[Jakob77]

@AJenbo

Det er da heller ikke helt fri, at jeg ind imellem er lidt træt af din måde at kommunikere på.
Det er som om, at du kun vil acceptere, at man kan se på en computer og den tilhørende software og danne sig en mening, hvis man ser tingene med dine tekniske briller.
Men der findes faktisk også andre måder at anskue tingene på.

Trådens overskrift må du forstå bredt.
Hvorfor Java, er ikke kun et spørgsmål om, hvorfor Java skal bruges, og hvordan det teknisk virker.
Det kan også være et spørgsmål om, hvorfor Java evt. er blevet upopulær retmæssigt og evt. uretfærdigt, og det sidste har jeg forsøgt at uddybe.

Angående DR, så har jeg vist aldrig bedt dig om at skrive til dem, men jeg synes, at det er godt, at du har gjort det.
Jeg har selv for længst skrevet til dem og givet dem links til debatten.
Hvis du endnu ikke forstår, hvad jeg mener med "stampe", men vil hænge dig i, at der mangler en ordbogsdefinition, så må du efter mit umiddelbare skøn enten være meget vrangvillig, eller også må jeg gå i tænkeboks for at finde en mere pædagogisk forklaring. Lad mig gerne vide hvad.

Hvis du læser https://cpr.dk/cpr-systemet/opbygning-af-cpr-nummeret/ vil du kunne se at det er muligt at verificere yderligere uden nødvendigvis at skulle lave et opslag blandt ægte CPR-nummere. I øvrigt er jeg sandsynligvis ikke den eneste man født den dag og vi har ikke fastlagt om DR blokere dig hvis du flere gange forsøger at udfylde formularen med forskellige teknisk gyldige postnumre inden for kort tid.

Nå, men så forstår du det måske alligevel godt, og så ved jeg nok ikke, hvad du brokker dig over.
Jeg vil ikke for alvor undersøge muligheden for at afsløre andres personnumre via formularen, fordi jeg er i tvivl om lovligheden af at gøre det.
Jeg har heller ikke de optimale værktøjer til opgaven.
Men jeg synes, at det er galt nok, hvis formularen kan bruges til at verificere et personnummer, og det mener jeg, at den kan, fordi jeg selv blev afvist, da jeg tastede et forkert.

[AJenbo]

Trådens overskrift må du forstå bredt.

Så jeg skal mere tage det som "Java, og andre ting jeg ikke kan lide på internettet"? Det her med DR har jo 0 med Java at gøre.

Angående DR, så har jeg vist aldrig bedt dig om at skrive til dem, men jeg synes, at det er godt, at du har gjort det.

Du skrev eller at de i deres svar til mig ikke forholde sig til nogle af de spørgsmål som du havende. Det tager jeg så samtidig som en kritik af mig for ikke at have stillet dine spørgsmål.

Hvis du endnu ikke forstår, hvad jeg mener med "stampe", men vil hænge dig i, at der mangler en ordbogsdefinition, så må du efter mit umiddelbare skøn enten være meget vrangvillig, eller også må jeg gå i tænkeboks for at finde en mere pædagogisk forklaring. Lad mig gerne vide hvad.

Det er ikke afgørende for mig om du bruger ordet ud fra den officielle ordbogs definition, det vil blot betyde at du ikke skriver korrekt dansk, men hvis du ønsker at kommunikere på den måde bliver du nød til at indvie os andre i dine definitioner af ordne.

Men jeg synes, at det er galt nok, hvis formularen kan bruges til at verificere et personnummer, og det mener jeg, at den kan, fordi jeg selv blev afvist, da jeg tastede et forkert.

Jeg har flere gange prøvet at forklare dig at der er et matematisk formel til at udregne om et personnummer er gyldigt eller ej. Jeg har tilmed givet dig et link til hvor det er beskrevet, og forsøgt at forklare dig hvorfor man kan regne ud at dit gæt på et personnummer tydeligt vis ikke var ægte, helt uden at slå det op i registeret. Alligevel fortsætter du med at klantre DR for noget du slet ikke har belæg for.

[Jakob77]

@AJenbo

Jeg troede egentlig, at du også havde linket til tråden i en af dine mails, men hvis det forholder sig, som jeg tror, så undrer det mig under alle omstændigheder, at der ikke er en selvkritisk DR sikkerhedsklokke, som har ringet, da der kom kritik fra dig angående formularen. Dette såmænd uanset hvilke spørgsmål du har stillet.
Der er i mine øjne stadig ingen god grund til, at DR beder om et CPR nummer. Det udgør blot en unødig sikkerhedsrisiko for de borgere, som de skal servicere.

Jeg har flere gange prøvet at forklare dig at der er et matematisk formel til at udregne om et personnummer er gyldigt eller ej. Jeg har tilmed givet dig et link til hvor det er beskrevet, og forsøgt at forklare dig hvorfor man kan regne ud at dit gæt på et personnummer tydeligt vis ikke var ægte, helt uden at slå det op i registeret. Alligevel fortsætter du med at klantre DR for noget du slet ikke har belæg for.

Du ved jo ikke, hvilket nummer jeg tastede oprindeligt, og jeg har under alle omstændigheder ret til ikke at bryde mig om systemet og fatte mistillid.
Ved du sikkert, at de benytter en helt legal formel til formålet og ikke verificerer efter et register..?

Men igen.. jeg ser ingen god grund til at bede om personnummer. Og du nævnte selv, at en hacker kunne læse mit personnummer, hvis jeg tastede det rigtigt. Så uanset, om jeg har ret eller ej i min formodning, så udgør formularen en sikkerhedsrisiko, fordi den forlanger CPR, og det synes jeg, at en ansvarlig DR EDB chef bør komme i tanke om af sig selv, når der rejses kritik af sådan en side.

Og det har da også noget med java at gøre, om ikke andet så for at få præciseret overfor sådan nogle tågehorn som mig, som tror det, at det ikke er tilfældet.
Jeg forstår stadig ikke helt, hvorfor der står java blandt sidens kilder, hvis den har nul med java at gøre.
Hvis det er helt udelukket, at java kan være java script, så må lath være meget forkert på den, når han forlanger en sondring, og det er han sjældent. Han er nærmere irriterende mere præcis og korrekt end jeg og nogensomhelst almindelig bruger nogensinde kommer i nærheden af.

[AJenbo]

Jeg troede egentlig, at du også havde linket til tråden i en af dine mails, men hvis det forholder sig, som jeg tror, så undrer det mig under alle omstændigheder, at der ikke er en selvkritisk DR sikkerhedsklokke, som har ringet, da der kom kritik fra dig angående formularen. Dette såmænd uanset hvilke spørgsmål du har stillet.

Det kan da også meget vel være at det er sket, men det får vi jo nok ikke den store indsigt i da det er en intern process.

Der er i mine øjne stadig ingen god grund til, at DR beder om et CPR nummer.

Det må du jo nok snakke med dem om.

Jeg har flere gange prøvet at forklare dig at der er et matematisk formel til at udregne om et personnummer er gyldigt eller ej. Jeg har tilmed givet dig et link til hvor det er beskrevet, og forsøgt at forklare dig hvorfor man kan regne ud at dit gæt på et personnummer tydeligt vis ikke var ægte, helt uden at slå det op i registeret. Alligevel fortsætter du med at klantre DR for noget du slet ikke har belæg for.

Du ved jo ikke, hvilket nummer jeg tastede oprindeligt, og jeg har under alle omstændigheder ret til ikke at bryde mig om systemet og fatte mistillid.

Jeg gik da ud far det var det du vise i det billed du viste os, hvorfor skulle du eller udfylde den. Men når du nu ikke ved hvordan man danner et gyldigt CPR ville det næsten forbavse mig hvis det er lykkedes dig tilfældigvis at skrive et gyldigt tidligere, det er der 2% chance for.

Ved du sikkert, at de benytter en helt legal formel til formålet og ikke verificerer efter et register..?

Nej, men jeg behøves heller ikke bevis a de ikke gør noget, det er mere dig der skal bevise at de gør det hvis du vil kræve en ændrig af dem, ellers er det bedste du kan gøre at holde dig mistænkelig over for dem.

... du nævnte selv, at en hacker kunne læse mit personnummer, hvis jeg tastede det rigtigt.

Dette sikkerhedshuld har DR så heldigvis lukket prompte efter jeg skrev til dem.

Og det har da også noget med java at gøre, om ikke andet så for at få præciseret overfor sådan nogle tågehorn som mig, som tror det, at det ikke er tilfældet.

Jeg tror du er den eneste der er af den overbevisning som ser denne tråd. Månelandingen hade heller ikke noget med Java at gøre hvis du skulle være i tvivl

Jeg forstår stadig ikke helt, hvorfor der står java blandt sidens kilder, hvis den har nul med java at gøre.

Det gør der heller ikke der står javascript.

Hvis det er helt udelukket, at java kan være java script, så må lath være meget forkert på den, når han forlanger en sondring, og det er han sjældent. Han er nærmere irriterende mere præcis og korrekt end jeg og nogensomhelst almindelig bruger nogensinde kommer i nærheden af.

Det har jeg nu ikke set Lath skriv noget stede og tror heller ikke han vil citeres for det. Javascript og Java har ikke mere at gøre med hin anden end Mads Albæk (fodbold spiller) og Mads Wissing Andersen (pokerspiller). Men hvis ikke du stoler på de kilder vi er kommet, egen research og mine 10 års erfaring med professionel Web udvikling skal jeg da lige prikke til ham så du kan få en kilde du stoler på.

[Jakob77]

@AJenbo

Jeg stoler ganske meget på dig, men jeg lapper ikke bare alt i mig, hvis det strider imod andre gode kilder eller noget andet, som jeg i forvejen regner for sikker viden.
Og med al respekt for dig og andre i tråden, så mener jeg nok stadig, at det er rimeligt at påstå, at to med samme fornavn har noget til fælles. De har indlysende et fornavn til fælles, og derfor kan de forveksles.
Og hvis de så tilmed begge er involveret i dialogen på internettet, så har de endnu en ting til fælles.
Jeg var ikke opmærksom på, at der var to java'er, da jeg startede tråden, og det tror jeg mange andre heller ikke er. Derfor, hvis man interesserer sig for Java's popularitet, må det selvfølgelig være nærliggende at overveje, om der kan være sket forveksling på den ene eller den anden java's bekostning.
Du ønsker at fremstille java webplugin som den store skurk i internetdialogen.
Det var egentlig også mit udgangspunkt, men med mere fordybelse bliver jeg kun mere i tvivl om, hvorvidt det overhovedet har særlig meget med navnet at gøre, og om det i virkeligheden ikke i de fleste tilfælde nærmere står og falder med programmørens evner, omend det ene kan være vanskelige end det andet. Det er i hvert fald for meget at give java webplugin skyld for alt det dårlige.

Og egentlig synes jeg stadig, at formularen fra DR er et godt eksempel på, hvordan en programmør nemt kan fejle sikkerheden grelt, uden det har noget med sproget at gøre, selvom ordet "Java" indgår i forbindelsen.
Med den erfaring, du har, så undrer det mig også meget, at jeg står så alene med at mene, at det er ganske uhørt at bede folk om deres personnummer for at ville give dem lov til at stille et licensspørgsmål.
Det burde i mine øjne være helt fundamentalt for sikkerheden på internettet, at man under ingen omstændigheder forlanger flere private oplysninger fra folk end absolut nødvendigt.

[lath]

Og det har da også noget med java at gøre, om ikke andet så for at få præciseret overfor sådan nogle tågehorn som mig, som tror det, at det ikke er tilfældet.

Jeg forstår stadig ikke helt, hvorfor der står java blandt sidens kilder, hvis den har nul med java at gøre.

Det er ikke java, det er javascript.

Hvis det er helt udelukket, at java kan være java script, så må lath være meget forkert på den, når han forlanger en sondring, og det er han sjældent. Han er nærmere irriterende mere præcis og korrekt end jeg og nogensomhelst almindelig bruger nogensinde kommer i nærheden af.

Jeg har aldrig nogensinde sagt at Java er Javascript, aldrig.

Her skriver Oracle om forskellen på Java og JavaScript:
http://www.java.com/en/download/faq/java_javascript.xml

How is JavaScript different from Java?

The JavaScript programming language, developed by Netscape, Inc., is not part of the Java platform.

JavaScript does not create applets or stand-alone applications.
In its most common form, JavaScript resides inside HTML documents, and can provide levels of interactivity to web pages that are not achievable with simple HTML.

Key differences between Java and JavaScript:

• Java is an OOP programming language while Java Script is an OOP scripting language.
• Java creates applications that run in a virtual machine or browser while JavaScript code is run on a browser only.
• Java code needs to be compiled while JavaScript code are all in text.
• They require different plug-ins.

FYI, @Jakob77, så er det Oracle der købte Sun Microsystems, og dermed også Java.
Linket herover er derfor en primærkilde.

/Lars

[AJenbo]

... jeg kun mere i tvivl om, hvorvidt det overhovedet har særlig meget med navnet at gøre, og om det i virkeligheden ikke i de fleste tilfælde nærmere står og falder med programmørens evner, omend det ene kan være vanskelige end det andet. Det er i hvert fald for meget at give java webplugin skyld for alt det dårlige.

Programørens evner har selvfølgelig meget at sige både for brugervenlighed og sikkerhed. Java har dog følgende bagdele i forhold til Javascript:
* Brugeren skal installere Java-plugin på sin maskine.
* Brugeren skal nu holde både browser og Java opdateret.
* En fejl kan let give en hacker adgang til hele brugerens maskine.
* Brugerfladen forgår i en kasse inden på siden og integrationen med resten af siden er der med begrænset.
* Det har en længere opstarts tid.

... så undrer det mig også meget, at jeg står så alene med at mene, at det er ganske uhørt at bede folk om deres personnummer for at ville give dem lov til at stille et licensspørgsmål.

Føst vil jeg lige på pege at det højest sandsynlig ikke er programøren der har besluttet at det er nødvendigt at skulle indgive personnummer, det er nok et krav der er stillet af dem der har udsted opgaven. Jeg kan godt give dig ret i at det virker overraskende, men de må jo mene det er nødvendigt for korrekt at kunne håndtere forespørgslen. Vil du undgå at skulle afgive dit CPR-nummer vil jeg forslå du vælger "dr.dk og mobil" i stedet for "Husstandslicens".

[Christian.Arvai]

Jeg har undervisning i Java og SQL lige pt, og hvis at vi skal holde os til hvad lærene siger, så er det meget dårlig stil, unødvendigt at benytte og registrere CPR, uanset hvilket sprog at man nu koder i. CPR giver godt nok en hurtig, nem og unik primærnøgle, men denne kan man også nemt lave, ved at tildele fortløbende numre til nye brugere, evt. kombineret med kontrol via NemID før at kontoen oprettes.

Men, igen er det i dette tilfælde nok et krav fra kunden (min egen vurdering).

[AJenbo]

Huskede han også at nævne at fortløbende numre kan være farlige pga. de er forudsigeligt

[Christian.Arvai]

Huskede han også at nævne at fortløbende numre kan være farlige pga. de er forudsigeligt

Nu er vi vist langt ude over, hvad der er nødvendig for at sende en sølle klage

Jo, det nævnte han, og man kunne i dette tilfælde så kombinere "fortløbende numre + brugernavn + brugerEmail" som primærnøgle.


PS: Nu er det jo godt nok jakob77, der også er opretter af emnet, som fik os lettere Offtopic med DR, men hvis at der skulle føles behov for at dele det op (java , dr), så send mig en PB om det (dette var så mest til jakob77).

[zob]

Java har dog følgende bagdele i forhold til Javascript:

Jeg ville nok ændre det til "Java har, i denne sammenhæng, følgende ulemper..." eller "Javas web plugin har følgende ulemper..." (det var ikke for at rette bagdel til ulempe, men nu jeg var igang..., ikke fordi det ikke bliver brugt, men jeg kan altså kun se én ting for mig når nogen omtaler en bagdel). Men jeg synes det var passende at sådan en generaliserende kommentar var mere præcis i forhold til hvad den generaliserer omkring. Hvis du siger "Javas web plugin", eller "Java, i denne sammenhæng", så er dit udsagn korrekt. (Til Jakob77, så var det i øvrigt de to begreber som lath syntes skulle holdes adskilt i trådens overskrift, hvis afstemningen skulle give mening.)
Det er muligvis at være lidt pernitten, men som du kan se på din egen sludder med Jakob77, så er det nok bedre at holde tingene adskilt. Jakob77 allerede begreberne 100% sammen.

@Jakob77
Prøv et kort øjeblik at forestille dig at to begreber ikke nødvendigvis har noget med hinanden at gøre bare fordi ordene ligner hinanden lidt. Det er faktisk det der er tilfældet her. Lidt ligesom der heller ikke nødvendigvis er nogen sammenhæng mellem:

Flemming og lemming
Pigeon(æble) og pigebarn
Mormon og mormor
Solopgang og solodanser
The white house, the white stripes og the white album

Bare gør dig fri at den tanke, så bliver det hele meget nemmere at holde styr på. Og så kan I holde jer til det som måske KAN debatteres, om det er fair eller ej at DR skal bruge ens personnummer når man skal kontakte dem. Det med ordet java ligner ordet javascript fører ingen steder hen, tro mig.