sslug-teknik team mailing list archive

Thread
Date
Jyske Netbank - en spændende uge...

To: sslug-teknik@xxxxxxxx
From: Johnny Ernst Nielsen <j.e.nielsen@xxxxxxxxx>
Date: Sat, 15 Dec 2001 17:34:06 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
God dag SSLUG-teknikere, :o)

Det har været en spændende uge med pingpong om Jyske Netbank via 
Konqueror.
Det blev hurtigt til en snak om generelle tekniske krav for at kunne 
bruge Java over SSL, som en del banker kræver.

Rigtigt mange tak til den horde af mennesker på listen som har 
hjulpet.

Lad mig opsummere.

Java over SSL:
-----------
SSL implementerer https-protokollen, som krypterer datastrømmen 
mellem banken og brugerens netsøger.
Java er et programmeringssprog som man kan lave små programmer 
(applets) med som kan afvikles i brugerens netsøger.
For i brugerens netsøger at kunne afvikle Java-applets fra en 
https-side (over en krypteret forbindelse/SSL) er det nødvendigt med 
mere end blot SSL og Java.
Man skal også bruge JSSE.

Sikkerhed:
--------
Mange vil umiddelbart tro at det er sikkert nok med SSL til en 
netbank. Man behøver da ikke Java når forbindelsen er krypteret.
Det kan diskuteres.

Citat:

"Jeg vil tro at JN bruger java til at lave en MD5 digest [Red. Værdi 
beregnet på baggrund af kodeordet.] (eller
tilsvarende) af dit kodeord og engangsnøglen og så sender DEN over
internettet (hvor den så sammenlignes med en tilsvarende generet hos
Jyske Bank, på den måde sendes ingen oplysninger mere end 1 gang over
nettet (One time pad cipher princippet). Derfor er Java eller noget
andet nødvendigt."

"Java tilføjer den sikkerhed at du ikke sender dit password over
internettet (krypteret eller ej) da det kun bruges til MD5 digesten.
Selv om en SSL er krypteret, er den ikke ubrydelig, og da dit
personlige kodeord er en del af sikkerheden (så folk ikke kan stjæle
dit nøglekort og bruge JN med det) er det meget klogt at det ikke
sendes over internettet."

Netbanker, netsøgere og Java over SSL:
-----------------------------
Mange banker vælger at udvikle deres løsninger baseret på nogle få 
meget udbredte netsøgere.
Det er for banken den nemmeste og hurtigste løsning som rammer flest 
mulige kunder.
Nogle netsøgere implementerer selv både Java, SSL, og Java over SSL.
Disse netsøgere er det "nemmeste" at benytte for både brugere og 
banker da man får det hele leveret i 1 pakke.
Det er typisk Miscrosoft Internet Explorer og/eller Nescape 
Communicator.
Fordelen er naturligvis at brugeren kun skal installere 1 program for 
at få netbanken til at virke.
Ulempen er at det begrænser udvalget at netsøgere som brugeren kan 
benytte på netbanken.
Internet Explorer findes ikke til Linux, og Communicator findes kun 
på engelsk.

Jyske Netbank:
-----------
Jyske Netbank opgiver mangelfulde tekniske krav:

Citat:

"I korte træk skal browseren tillade brug af:

- SSL 3.0 
- Java 1.0.2 
- Cookies 
- Frames"

Det lille, men absolut nødvendige krav til JSSE, mangler.
Uden JSSE kan man ikke logge ind på Jyske Netbank.

På den baggrund reklamerer Jyske netbank med store ord:

Citat:

"du kan bruge Jyske Netbank stort set uanset hvilken browser, du 
foretrækker."

Det synes jeg er lige friskt nok.
1 netsøger ud af minimum 5 netsøgere til Linux (Netscape, Konqueror, 
Opera, Galeon, Mozilla) er ikke "stort set uanset hvilken browser, du 
foretrækker."
Kun Netscape virker med de opgivne krav.

Jyske Netbank med Konqueror:
-----------------------
Konqueror har ikke indbygget Java, SSL eller Java over SSL.
Konquerer benytter eksterne programmer til disse ting.
For at benytte Konqueror til Jyske Netbank er følgende ting 
nødvendige:
- Konqueror
- j2re 1.3 fra Blackdown (Konqueror er bygget med Blackdowns Java som 
reference)
- KDE crypto (kdebase-crypto) (SSL til KDE)
- SUN JSSE 1.0.2 (Java over SSL)

Note:
Når Java 1.4 kommer er JSSE indbygget og man behøver derfor ikke en 
selvstændig JSSE-pakke.
Java 1.4 er i skrivende stund ude i en release candidate version.
Rygter vil vide at Java 1.4 final forventes frigivet i løbet af 
første halvår 2002.

Referencer:
--------
Friheden-bøgerne, Java over SSL med Konqueror:
http://www.sslug.dk/linuxbog/applikationer/bog/kde2programmer.html#JAVA-SSL-KONQUEROR

Blackdown Java:
www.blackdown.com

SUN JSSE:
http://java.sun.com/products/jsse/index-102.html

Jyske Netbanks tekniske krav og reklamer:
http://www.jyskebank.dk/41256639003E1CEE/Alldocs/faq

Tak for hjælpen:
------------
Mange mange tak for hjælpen til:

Søren Koch
Peter Makholm
Anders Melchiorsen
Niels Elgaard Larsen
Mads Bondo Dydensborg
Anders Bruun Olsen
Bjørn Bille Højte
Kim Schulz

Og til de andre som deltog i tråden "Jyske Netbank med Konqueror?"

Slutteligen vil jeg sige at jeg har sendt et pænt brev til Jyske 
Netbank hvori jeg beder dem om at tilføje kravet om JSSE til de 
tekniske krav, samt gøre noget ved deres lidt for store og flotte ord.

Hilsen Johnny :o)
Follow ups

Re: Jyske Netbank - en sp�ende uge...
From: Kim Schulz, 2001-12-15