Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Java (Oracle) en EiD een veilig idee ?  (gelezen 1363 keer)

Offline Joris Donders

  • Lid
  • Steunpunt: Ja
Java (Oracle) en EiD een veilig idee ?
« Gepost op: 2014/05/07, 13:43:05 »
Ik had net de configuratie gemaakt voor iemand als steunpunt; de EiD werkend krijgen op een Ubuntu 14.04 LTS.
De test op de EiD-site was een succes (wat nog niet alles wil zeggen !) en na een inlog op Tax On Web kon mijn aanvrager perfect de fiscale dossiers bekijken. Hier geen enkel probleem of wat dan ook.
Echter, de goede man had ook een mogelijkheid om met de EiD in te loggen bij zijn ziekenfonds klik hier om de site te bekijken.

Je zou dan verwachten dat dit, mogelijk, nog makkelijker zou gaan dan bij de belastingen, maar integendeel is waar: je poogt in te loggen en plots word je simpelweg doorverwezen naar de site van Oracle; Java voor Linux. Blijkbaar heb je een runtime nodig om de EiD daar werkend te krijgen. De site had wel direct gezien dat een Linuxsysteem poogde in te loggen, want de doorverwijzing was echt voor Java-Linux.

Persoonlijk was ik verbolgen: hoe halen ze nu in het hoofd om Oracle op te dringen aan een EiD-Linuxgebruiker ?
En spelen ze dan niet met de veiligheid van diegene die met een veilige Linux de informatie probeert te benaderen ? (Java is een makkelijk exploiteerbaar product in mijn kennis en weten)

Er is geen ontkomen aan: je MOET een Java hebben wil je gewoon inloggen middels de EiD op die site.
De site van de overheid laat je simpel wat middleware installeren + een add-on voor Firefox en klaar is kees = je kan je ding doen.
Maar vooral het risico van Java op te dringen leek me toch echt een brug te ver bij die mensen van het ziekenfonds.

Wat denken jullie over dergelijke toestanden .?

PS je makkelijk zelf testen als je gewoon op de EiD-inlogknop rechts klikt = redirect naar Java

Kleine nota: de EiD is het Belgische identiteitskaartsysteem dat toelaat digitale handtekeningen te zetten in bv LO, en alsook gebruik te maken van de online overheidsdiensten.
« Laatst bewerkt op: 2014/05/07, 13:53:41 door Joris Donders »
Gubuntu 17.04 wegens verdwijnen Unity binnenkort

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Java (Oracle) en EiD een veilig idee ?
« Reactie #1 Gepost op: 2014/05/07, 13:54:42 »
In plaats van de Oracle versie van Java kan je proberen of de site werkt met OpenJDK door de icedtea-plugin te installeren uit het Ubuntu softwarecentrum. OpenJDK wordt door Ubuntu voorzien van (veiligheids)updates.  ;)
Java is een makkelijk exploiteerbaar product in mijn kennis en weten
Geen idee. Wat ik wel weet is dat Java op veel computers is geïnstalleerd waardoor er meer kans is dat een veiligheidslek kan worden uitgebuit voordat deze is gefixed.
« Laatst bewerkt op: 2014/05/07, 14:01:55 door testcees »

Offline Joris Donders

  • Lid
  • Steunpunt: Ja
Re: Java (Oracle) en EiD een veilig idee ?
« Reactie #2 Gepost op: 2014/05/07, 14:03:20 »
In plaats van de Oracle versie van Java kan je proberen of de site werkt met OpenJDK door de icedtea-plugin te installeren uit het Ubuntu softwarecentrum. OpenJDK wordt door Ubuntu voorzien van (veiligheids)updates.  ;)

Ja ok, maar inhoudelijk wil ik me vooral toespitsen op het feit dat dat ziekefonds a) die tip niet aangeeft en b) Oracle opdringt aan een Linuxgebruiker (die veelal niet bewust is van de restricties dat Oracle via de EULA meegeeft).
Bovendien denk ik dat veel gewone eindgebruikers niet eens in staat zijn om Oracle te installeren, en plausibel met een plugin om te gaan in Firefox.

Ik vind deze manier van handelen gewoon onbeschoft, en volstrekt overbodig (de overheidssites vereisen geen Java voor de EiD)
Gubuntu 17.04 wegens verdwijnen Unity binnenkort

Offline Vistaus

  • Webteam
    • vistaus
  • Steunpunt: Nee
Re: Java (Oracle) en EiD een veilig idee ?
« Reactie #3 Gepost op: 2014/05/07, 14:10:27 »
Java op de computer met jar-bestanden is op zich best veilig. Ook jar-bestanden kunnen wat aanrichten, maar dat kan net zo goed elk besmet uitvoerbaar bestand van het internet. Echter, Java-applets (of andere uitvoerbare dingen die misbruik zouden kunnen maken van je Java) in je webbrowser zijn een heel ander verhaal.

Best raar trouwens, want eID is op deze manier dan niet platform-onafhankelijk. Gebruik je een OS waar geen (of beperkt) Java voor beschikbaar is, dan ben je de sigaar...

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Java (Oracle) en EiD een veilig idee ?
« Reactie #4 Gepost op: 2014/05/07, 14:16:09 »
maar inhoudelijk wil ik me vooral toespitsen op het feit dat dat ziekefonds a) die tip niet aangeeft en b) Oracle opdringt aan een Linuxgebruiker
Geeft je opmerkingen door aan het ziekenfonds, misschien doen ze er iets mee.
Bovendien denk ik dat veel gewone eindgebruikers niet eens in staat zijn om Oracle te installeren
Zelfs op Windows is dat niet eenvoudig, voor je het weet wordt er extra software (Free McAfee Security scan of Ask toolbar of weet ik wat) geïnstalleerd. Vandaar mijn tip over OpenJDK (icedtea-plugin).

Offline Joris Donders

  • Lid
  • Steunpunt: Ja
Re: Java (Oracle) en EiD een veilig idee ?
« Reactie #5 Gepost op: 2014/05/07, 14:21:39 »
Geeft je opmerkingen door aan het ziekenfonds, misschien doen ze er iets mee.

In die zin heb ik al een zéér uitgebreide mail gestuurd naar dat ziekenfonds (ook ivm OpenJDK en de plugin).
Ik hoop dat ze hem op zijn minst eens lezen en/ of doorgeven aan de juiste personen.

Ik ga nu eens testen, ben net thuis, met Open JDK en de plugin of het dan wel werkt.

EDIT: mijn vermoeden is juist: met OpenJDK en de plugin werkt het niet.
« Laatst bewerkt op: 2014/05/07, 14:31:23 door Joris Donders »
Gubuntu 17.04 wegens verdwijnen Unity binnenkort

Offline vrijevogel

  • Lid
  • Steunpunt: Nee
Re: Java (Oracle) en EiD een veilig idee ?
« Reactie #6 Gepost op: 2014/05/07, 19:59:36 »
Inderdaad, er wordt via java gewerkt:

eID Applet - Copyright (C) 2008-2013 FedICT.
Released under GNU LGPL version 3.0 license.
More info: http://code.google.com/p/eid-applet/
checking applet privileges...
security manager permission check for java 1.6...
checking web application trust...
running privileged code...
[libj2pcsc.so workaround] Workaround for developer-only libj2pcsc.so on GNU/Linux Platforms enabled..
[libj2pcsc.so workaround] pcsclite found. Adjusting sun.security.smartcardio.library to [/lib/x86_64-linux-gnu/libpcsclite.so.1]
eID browser applet version: 1.1.3
Java version: 1.7.0_51
Java vendor: Oracle Corporation
OS: Linux
OS version: 3.8.0-35-generic
OS arch: amd64
Web application URL: https://www.e-contract.be/eid-idp/authentication
Current time: Wed May 07 19:47:47 CEST 2014

Wat ik wel eigenaardig (en eigenlijk misleidend) vond, is dat er een eerst een melding verscheen dat je bepaalde ice-weasel-component dient
te activeren. Er wordt helemaal niet met ice-weasel gewerkt. Mijn ervaring met de eid-card is dat het op sommige websites naar behoren
werkt en op andere dan weer niet. Bepaalde ziekenfonds geven nu de mogelijkheid om je patienten-dossier in te zien (mits toegang van
je eid-card). Alhoewel een linux-installatie-script aangemaakt werkt, lukte de installatie niet. Ik kreeg van mijn ziekenfonds de laconieke
melding dat de applicatie enkel voor Windows werkt.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Java (Oracle) en EiD een veilig idee ?
« Reactie #7 Gepost op: 2014/05/07, 21:15:05 »
Kleine nota: de EiD is het Belgische identiteitskaartsysteem dat toelaat digitale handtekeningen te zetten in bv LO, en alsook gebruik te maken van de online overheidsdiensten.
Andere noot: In Nederland duurt dit nog jaren en wordt het al een 'dure mislukking' genoemd.
De overheid gaat voor 2018 alle Nederlanders voorzien van DigiD-smartcards met nfc-chips voor contactloze communicatie. De kaarten voor het eID-platform zullen voor zowel publieke als private diensten gebruikt kunnen worden.
Gaat nog wel XP ondersteunen?? Nou ja, wel de laatste LTS van Ubuntu:
At a minimum, the following operating systems must be supported: Windows: XP,
Vista, 7 and higher. Mac OS-X Lion, and higher Linux: (latest stable versions of)
Ubuntu and Suse
En mobiele apparaten met Android enz. niet? Kan niet waar zijn dat in 2018 iedereen nog een traditionele pc gebruikt, zeker niet voor "webshops".

Online Nero

  • Lid
  • Steunpunt: Ja
Re: Java (Oracle) en EiD een veilig idee ?
« Reactie #8 Gepost op: 2014/05/08, 21:58:47 »
Wat ik wel eigenaardig (en eigenlijk misleidend) vond, is dat er een eerst een melding verscheen dat je bepaalde ice-weasel-component dient
te activeren. Er wordt helemaal niet met ice-weasel gewerkt.
Ice-weasel is de Debian versie van Firefox.

Op de Vlaams & Neutrale ziekenfondsen werkt de eID met de OpenJDK plugin wel.