Førsteamanuensis ved Institutt for matematiske fag ved NTNU og ekspert på sikkerhet og sårbarhet, Kristian Gjøsteen, ser ingen grunn til å ha Java i nettleseren.
Større angrepsflate
Oracle har lappet sammen det store sikkerhetshullet for denne gangen, men ser man på Javas historie vil dette skje igjen. For ti år siden så det ut som om Java skulle få en veldig stor rolle i nettleserne. Slik har det ikke gått.
I dag er det stort sett bankene i Norge som tvinger folk til å bruke Java i nettleserne. Det burde de slutte med.
– Alle bankene har en eller annen løsning som fungerer uten Java. Ellers hadde man ikke kommet inn på nettbanken med et nettbrett. Derfor trenger man ikke ha Java installert i nettleseren og utsette PC-en for risiko. Jeg fjernet Java for mange år siden. Det samme gjelder også Flash. Begge tilleggsprogrammene øker mengden kode som eksponeres på nettet, og jo mer kode, jo større angrepsflate. Den bør være så liten som mulig, sier Gjøsteen.
Les også: Nettskurker tappet 30000 bankkontoer
Liten fare for bankran
Sikkerhetshullet i Java betød ikke at man ble ranet i nettbanken. Problemet var at det åpnet en kanal inn i PC-en for dem som ville legge igjen skadelig programvare.
Slik skadevare kan brukes til finansiell svindel senere, men den største faren ligger i at PC-en kan brukes til utsendelse av Spam og bli brukt i DDoS-angrep.
– På sikt kan slik skadevare også benyttes til å stjele helseopplysningen som folk i større grad kommer til å ha på PC-en i årene fremover.
Gjøsteen mener bankene burde utvikle systemet rundt BankID til å bli helt Java-fritt. Det ville gjøre hverdagen for kunden deres sikrere.
– Det pussige er at de fleste kjølhalte Skandiabanken i 2004 for bruken av sertifikater og sikkerhetsproblemene rundt det. Og det hadde de rett i. Nå er det er det faktisk Skandiabanken som klarer seg uten Java og som ikke utsetter kundene for risiko, sier han.
Les også:
– Alle med Android-telefon trenger sikkerhetsprogramvare
