Det begynner å bli ei stund siden jeg begynte å tenke på det. Men frem til nå har jeg slått det fra meg. Jeg ville jo ikke klare meg uten deg. Men oftere og oftere har du gjort meg mer og mer irritabel. Mer og mer usikker.
Det var ingenting positivt igjen i forholdet vårt nå. Kanskje var det på tide å ta avskjed. Kanskje var det på tide å gå videre.
Med et lite unntak av en helt spesiell spesiell karakter skaper du bare trøbbel. Kanskje mer trøbbel enn du er verdt.
Denne uka tok jeg steget. Endelig bestemte jeg meg. Denne uka slo jeg av Java.
Er det verdt risikoen?
Kort fortalt er situasjonen den at bruken av Java på nettsider, såkalte Java Applets, nå i det store og hele er ikke-eksisterende. Med et viktig unntak. Og om en nettside benytter Java så mister du kanskje litt funksjonalitet, men mesteparten av nettsiden fungerer helt fint. Og det kan jeg leve med. Det kan være nettsider du benytter som krever Java og som du ikke kan leve uten, men det finner du raskt ut av. I så fall bør du finne en bedre løsning enn den du har i dag.
I tillegg til minimal bruk har Java hatt en del store sikkerhetshull i det siste som gjør at uvedkommende enkelt kan komme seg inn, installere og kjøre programmer på maskina di bare ved at du besøker en nettside. Og om du tror dette bare gjelder nettsider i de mer lugubre delene av internett bør du tro om igjen – tu.no ble angrepet.
Så her sitter vi her da med et program som sjeldent brukes, men utsetter oss for relativt stor risiko. Det er på tide å gjøre noe med det.
Grunnen til at jeg ikke har slått av Java tidligere heter BankID. BankID og nettbankene mine er de eneste nettsidene jeg benytter som krever Java i nettleseren. Er det virkelig verdt risikoen?
En milliard usikre maskiner
I uka som var gikk internett bananas over to nye sikkerhetshull i Java som gjorde det mulig for uvedkommende å komme seg inn på maskiner over hele verden. Kjeltringene la inn kode som utnytter svakhetene i programvare som selges til de som måtte ønske å bryte seg inn på andres maskiner. Det estimeres at en milliard – en MILLIARD – maskiner er sårbare i og med at Java benyttes på tvers av Windows, Mac og Linux-varianter.
Sikkerhetseksperter var bekymret over at vi ville måtte leve med denne vidåpne låvedøra i flere måneder fremover og anbefalte i det store og brede å slå av eller fjerne Java. Dette på grunn av at Oracle bare gir ut oppdateringer hver fjerde måned og den neste var først i oktober. Stemningen mot Oracle ble ikke bedre når det kom for en dag at disse svakhetene, med eksempelkode på hvordan de kunne utnyttes, ble overlevert til dem allerede i april i år.
Heldigvis brøt Oracle utgivelsessyklusen sin og slapp en oppdatering torsdag kveld som lukket de to store sikkerhetshullene – Java 7 Update 7 (1.7.0_07).
Så hvorfor slår jeg nå av Java likevel?
Og da var vel faren over. For denne gangen.
Det er vel hovedsaklig to grunner til at jeg likevel slår av Java og lar den være avsått selv om det kommer nye oppdateringer. Den første er at det kan se ut til at Oracle bare plastret igjen såret uten å sy sammen den blødende arterien under. De fikset veien inn til sårbarhetene, men ikke sårbarhetene i seg selv. Det tok eksperter et par timer å finne en ny vei inn (Broken link). Mon tro hvor lenge det tar før kjeltringene finner nye veier inn også.
Den andre grunnen er at det ser ikke ut til å være verdt risikoen lenger. Java på nettsider er såpass lite brukt at det trygt kan skrus av om du ikke har spesielle behov. Og om utviklingen i det siste holder seg ser det ut til at nye hull bare står og venter rundt neste sving. I og med at Java ikke fungerer på de fleste nettbrett og smarttelefoner så ser jeg heller ikke store sjanser for at den kommer til å få en renesanse på nettsider i fremtiden. På mange måter er Java på nettsider like dødende som Flash.
Så min anbefaling er at du slår av Java i den nettleseren du benytter til daglig. Det betyr ikke at du trenger å avinstallere Java fra maskinen, men reduserer eksponeringen mot omverdenen. Det kan godt være du har programmer installert som er avhengige av Java for å fungere, men nettleseren din er nok ikke en av dem.
Sophos har greie beskrivelser av hvordan du slår av Java i de fleste nettlesere:
- How to disable Java in Internet Explorer
- How to disable Java in Firefox
- How to disable Java in Chrome
- How to disable Java in Safari
- How to disable Java in Opera
Men hva gjør vi med BankID?
Standardinnloggingen til BankID, som de fleste nettbanker og en god del andre tjenester benytter, er helt avhengig av Java for å fungere. En del nettbanker har alternative innlogginger som du kan benytte, men enkelte har bare BankID.
‘BankID på mobil‘ benytter ikke Java, men er bare tilgjengelig for de med mobilabonnement fra Telenor, Djuice eller Talkmore. Det er også en ny BankID-app for iPhone/iPad som man kan benytte, men hittil er det ikke mange brukerstedene den kan benyttes på. Dere med Android er heller ikke tatt inn i varmen her ennå.
Så i praksis trenger vi ennå Java i nettleseren vår inntil BankID bytter ut standardinnloggingen med en annen løsning. Jeg er rimelig sikker på at dette presser seg frem etterhvert.
Den eneste muligheten jeg har, om en ser bort i fra herket med å slå på og av Java når en trenger det, er å benytte en ekstra nettleser bare for nettbankene og eventuelle andre nettsteder som faktisk fremdeles krever Java for å fungere. Det er litt irriterende, men det er det jeg kommer til å gjøre til situasjonen endrer seg drastisk på en eller annen måte.
Derfor lar jeg Java være aktivert i Safari som jeg vanligvis ikke bruker. I tillegg til å ha en nettleser som fremdeles kan benytte BankID får jeg i praksis en nettleser som jeg bare benytter til nettbank og ikke utsetter for farene i resten av internett. Om jeg blir (mer) paranoid kan jeg legge inn sperrer som hindrer Safari i å snakke med noen andre deler av nettet enn de jeg trenger for nettbankene mine.