Добри новини от света на онлайн сигурността: Oracle – разработчикът на Java приставката, която правеше браузърите незащитени от 1995 г., най-накрая обяви, че се разделя с него, предаде gizmodo.com.
Java плъгинът няма да изчезне веднага: той ще бъде непрепоръчителен при следващото подновяване на Java Developer Kit, с което по дипломатичен начин Oracle казва, че ще го спре и насърчава хората да не го използват. Функционалността ще бъде „напълно премахната” при следваща версия, когато всеки се сбогува с приставката.
Този ход е съвсем логичен и твърде закъснял. Браузърите Chrome, Firefox и Microsoft Edge (наследникът на Internet Explorer) спряха поддръжката на приставки или обявиха, че ще го направят в близко бъдеще, с което не оставиха шанс за поддръжка и на Java плъгина.
По-важното е, че Java е ужасен бич за компютърната ни сигурност, който трябва да бъде спрян на всяка цена. Редица независими разработчици и Министерството на вътрешната сигурност на САЩ критикуваха Java за откриване на достъп до милиард компютри, благодарение на несвоевременно открити бъгове.
Спирането на Java за интернет браузърите ще постави в деликатна ситуация електронните услуги, които предоставят държавата и различни нейни агенции. Електронните услуги на Търговския регистър и на НАП са изградени чрез Java и без нея те не биха били в състояние да функционират.
Тоест при спиране на поддръжката, за да могат граждани и фирми да използват тези услуги, трябва да държат специален компютър с по-стара операционна система и браузър, които да ползват само за тази цел. Трябва да инсталират и остарелите версии на Java, които имат редица проблеми със сигурността. Не е ясно доколко държавната администрация е готова за това предизвикателство и дали в определен момент няма да се окаже невъзможно използването на тези услуги.
Обърнахме се към Божидар Божанов, който е съветник по електронно управление към кабинета на вицепремиера Румяна Бъчварова, с четири въпроса относно бъдещето на електронните услуги на държавната администрация и технологиите, които ще използват.
Oracle обяви, че спира да поддържа Java в браузър. Кои електронни услуги на държавната администрация зависят от технологията?
Много услуги, които изискват подписване с квалифициран електронен подпис (приравнен на саморъчен) използват или Java аплети, или ActiveX контроли. И двете опции са неудобни за крайните потребители, изискват допълнителни стъпки, имат проблеми със сигурността, а и от известно време е ясно, че дните им са преброени. Пълен списък с услуги, използващи Java аплети, нямам, но предположението ми е, че са повечето услуги от ниво 3 (т.е. такива, позволяващи изпълнение онлайн).
Какво ще стане с тези услуги, след като спре поддръжката?
Те няма да спрат автоматично, защото много хора, съзнателно или не, няма да upgrade-нат браузърите си. Internet Explorer ще продължи да „живее” още дълго време, както продължава да живее и Windows XP. Това, разбира се, увеличава проблемите на ползваемостта, защото ще се налага услугите да се ползват от компютър със стари версии. Това в дългосрочен, а дори в средносрочен план, не е допустимо.
Има ли план Б за услуги като Търговския регистър и какъв е той?
При въвеждането на електронната идентификация (законът мина първо четене в парламента), немалко от услугите ще могат да се заявяват само с електронна идентификация. При правилна реализация на системата това няма да изисква плъгини, аплети и т.н. – ще се използва стандартен, поддържан от всички браузъри TLS client auth, каквото например ползват някои банки в момента. Електронната идентификация е еквивалентна на „показване на личната карта на служител”, а на електронния подпис – полагане на саморъчен подпис. Дали е нужен подпис за всяко заявление е правен въпрос. Според мен не би следвало. Но за някои услуги, при които доказването на авторство е задължително и при които се носи наказателна отговорност, използването на електронна идентификация няма да е опция. За такива услуги план Б е да се свалят електронните документи на компютъра, да се подписват с приложение, предоставено от доставчика на електронния подпис (всеки има вече работещо такова и съобразено със стандарти на ЕС), и след това подписаните документи да се качват през браузъра. Това е сравнително неудобно решение, но работещо. В Естония имат друг подход – еднократна инсталация на плъгини за всеки браузър, чрез които с JavaScript да може да се комуникира със смарткартата. Тези плъгини също могат да бъдат засегнати от политиките на браузърите, например когато Firefox остави единствено JavaScript плъгините. Който и вариант да се предпочете, всички системи ще трябва да се надградят, за да го приемат. Този проблем ще бъде взет предвид при предстоящото тази година надграждане на ключови системи и регистри, финансирано по Оперативна програма „Добро управление”, т.е. най-важните услуги ще продължат да работят, но заради тромавостта на процедурите по надграждане и многото „изоставени” системи има риск по-малки системи (напр. за общински електронни услуги) да спрат да работят.
Какво е решението за подписване на онлайн услуги в дългосрочен план?
Проблемът с електронно подписване при използване на онлайн услуги е голям и той важи не само за България, но и за цяла Европа. Регламент 910/2014 хармонизира електронното подписване и електронната идентификация, но техническите проблеми остават нерешени и се задълбочават. Например австрийският модел за електронна идентификация е базиран именно на Java аплет – и той също ще спре да работи. Описаните по-горе варианти за план Б са само временно решение. Нужно е да се стандартизира електронно подписване в браузър с JavaScript. За съжаление стандартното web crypto API изрично изключва работата със смарткарти, така че решението предстои.
Нашият принос ще бъде да убедим Европейската комисия в спешен порядък да стандартизира комуникацията между браузър и смарткарта, така че браузърите да го поддържат по унифициран начин (както гореспоменатия TLS client auth). Алтернативите са „облачни услуги” (които се поддържат напр. в австрийския модел), но при тях криптомодулът, т.е. инструментът, гарантиращ, че никой друг не може да се представи за вас или да се подпише вместо вас, се намира в отдалечен дейта център. Т.е. вие не разполагате с подписа си или „идентичността” си, а само знаете как да го „отключите”, което поставя въпроси за сигурността. Интеграцията на електронни услуги с такива „облачни” решения също не е тривиална, а предвид общия европейски пазар и за тази интеграция ще трябва да има процес на стандартизиране.
beriv
на 18.04.2017 в 16:26:23 #3C# и .NET е истината! JAVA е орязан C++ , създаден именно с цел да не се краде...
sneekpeak
на 29.01.2016 в 05:09:00 #2Никакъв проблем. Да си оставят бакенда на Джава и да си пренапишат фронтенда на нещо нормално и по-ново. Как може изобщо нормален човек още да разчита на джава-аплети? Тази технология не съм я засичал в интернет може би от десетилетие.
Ангелинов
на 28.01.2016 в 18:27:43 #1Секюрити-Мекюрити. На сайта на търговския регистър има изложени учредителни договори, в които има и майчиното мляко на учредителите на дружества. Чак има преснимани и подписите им ... Боли ги фара. Поредния льольо е земал луди пари да им направи "Системата"