Tek.no

Intervju

Frodes arbeid lar deg endelig kaste ut Java fra nettbanken din

– Det har vært et komplekst prosjekt, forteller BankID Norges utviklingssjef.

BankID Norge/ Hege Steinsland, Jørgen Elton Nilsen, Tek.no

I flere år nå har nettbankkunder blitt møtt av endeløse Java-oppdateringer og blitt prakket på unødvendige verktøylinjer fra Ask, alt samtidig som vi har levd med en sikkerhetsrisiko på maskinene våre.

Ola og Kari Normann har sett rødt hver gang Java-tillegget, det obligatoriske programmet for alle som ønsker å sjekke finansene så vel som å signere digitale dokumenter, har manifestert seg fremfor dem i nettleseren.

Selv om vi ikke kan sprette champagnen riktig ennå, kan vi i alle fall finne den frem, sette den på utstilling, og glede oss til en enklere bankhverdag. Denne uken leverte nemlig BankID Norge våpenet landets banker og nettbankkunder har etterspurt i lang tid, BankID 2.0.

– BankID 2.0 lar bankene kaste ut Java fra nettbankenes innloggingsprosess, forteller Drift- og utviklingssjef i BankID Norge, Frode Bechmann Nilsen, til Tek.no.

Nilsen har ledet arbeidet med å utvikle den Java-frie nettbankløsningen, som er et resultat av folks frustrasjon mot Java-tillegget som har vært et krav til nå:

– Moderne plattformer, som mange nettbrett og mobiltelefoner, støtter ikke Java, konstaterer Nilsen, som også poengterer:

– Sluttkundene har slitt med å holde Java oppdatert på maskinene sine. Folk forstår ikke hva Java er.

– Java er jo en tredjepartsløsning som ligger utenfor vår kontroll. Dette har skapt mye frustrasjon og har vært til stor ulempe for både brukere og banker. Kunderservice har brukt mye tid på kundestøtte, men nå har vi fått en løsning på dette.

Slik fjerner du Java for godt »

sitat"Folk forstår ikke hva Java er."

Bedre tider i vente

Nå har vi imidlertid bedre tider i vente, mener utviklingssjefen:

– Brukeropplevelsen blir langt bedre med BankID 2.0. Med BankID 2.0 unngår brukerne sikkerhetsmeldinger, oppdateringsmeldinger og lignende, som Java tidligere har vært kilde til og som har skapt mye forvirring.

Nilsen tror mange bankkunder vil bli fornøyde med at de nå slipper å installere ekstra programvare:

– Med BankID 2.0 er det eneste kravet vi stiller at du har en nettleser som ikke er alt for gammel.

Ifølge Nilsen vil ikke Internet Explorer 8 og eldre nettlesere kunne kjøre den nye løsningen. Dette kommer av at disse ikke støtter de moderne webteknologiene BankID 2.0 bygger på.

– BankID 2.0 er blant annet laget med teknologier som HTML 5, CSS 3.0 og JavaScript. I tillegg har vi benyttet oss av flere sikkerhetskonsepter som bant annet CSP (som forhindrer manipulasjon av nettsider, red. anm), sier Nilsen.

Løsningen bruker JavaScript i stor grad, men Nilsen understreker at dette er en teknologi som er standard i alle nettlesere og som er helt forskjellig fra Java.

Når de utviklet den Java-frie BankID-løsningen ble det også benyttet responsivt design. Summa summarum gir alle disse teknologiene et stort løft for brukervennligheten, forklarer Nilsen:

– Med BankID 2.0 får brukerne en konsistent brukeropplevelse på tvers av alle typer enheter, som laptoper, nettbrett og smarttelefoner.

BankID 2.0 betyr likevel ikke bare at nettbrett og mobiltelefoner endelig kan brukes til å sjekke nettbanken på lik linje som datamaskinen din:

– Selve påloggingsklienten er også langt raskere enn før. Mens Java-versjonen kunne bruke 20 sekunder og kreve flere klikk og bekreftelser, tar det bare noen få sekunder å laste den Java-frie påloggingsløsningen, uten noen bekreftelser eller klikk på veien, skryter Nilsen.

Infrastrukturen i bakgrunnen er den samme som før. Det er bare klienten sluttbrukeren får se som er ny. Selv om hele utviklingsprosessen skal ha gått fint for seg, har det å sy sammen en ny innloggingsløsning likevel bydd på enkelte utfordringer:

– Om noe så må Internet Explorer 9 nevnes som en utfordring. Nettleseren går i riktig retning med tanke på nettstandarder, men har fortsatt noen særegenheter som gjør at vi har måtte ta spesielle hensyn for å få den Java-frie løsningen vår til å fungere bra på den. IE 9 mangler også noen webstandarder som vi gjerne skulle benyttet oss av, men den brukes av såpass mange personer at vi ikke bare kunne velge den bort. IE 10 og 11 har heldigvis blitt mye bedre, utdyper Nilsen.

Kan fortsette som før

Selv om det er til innlogging i nettbanken folk flest kommer i kontakt med Java, brukes den samme innloggingsteknikken blant annet av Skatteetaten og Norsk Tipping. Selv om mange nå kvitter seg med Java fordi bankene er i ferd med å gå vekk fra teknologien, vil ikke Nilsen anbefale alle å kvitte seg med programmet helt:

– Mange har hatt Java installert ene og alene for å bruke nettbanken. Disse kan nå vurdere å avinstallere Java.

Men å anbefale folk å kvitte seg med det forhatte programtillegget, det ønsker ikke Nilsen å gjøre:

– Java brukes jo av andre tjenester som en bruker kan ha behov for fortsatt, så vi har ingen planer om å gi Java aktiv dødshjelp. Men vi regner med at Java vil fases ut av seg selv hos de som ikke bruker Java til annet enn BankID.

sitat"Vi har ingen planer om å gi Java aktiv dødshjelp."

Brukere som ikke vil, eller kan oppgradere, kan selvsagt fortsette å bruke Java-innlogging om de vil det, akkurat som før, forsikrer Nilsen.

Avkrefter myte

Behovet for en ny innloggingsløsning for nettbankene ble et hett tema i media for et drøyt år siden, da det ble oppdaget en serie med sikkerhetshull i teknologien. Men det er ikke serien med sikkerhetshull som var den avgjørende årsaken til at BankID 2.0 ble utviklet:

Utviklingssjefen ønsker å avkrefte myten om at BankID 2.0 er utviklet fordi den eksisterende Java-løsningen var usikker:

– Vi ønsket slettes ikke å bli kvitt Java fordi det var usikkert å bruke i forbindelse med nettbank-påloggingen, men fordi Java-installasjonen i seg selv kunne utgjøre en sikkerhetsrisiko for sluttbrukeren i andre sammenhenger. BankID har alltid vært trygt å bruke, forklarer Nilsen.

Selv om sikkerheten ifølge Nilsen aldri har vært et problem for BankID, har de ikke tatt lett på emnet av den grunn:

– Vi har hatt eksperter inne for å gjennomgå kildekoden vår og de har kjørt den gjennom all verdens analyseverktøy. I tillegg har de gjennomført grundige sikkerhetstester.

– Ekspertene fant enkelte feil som måtte utbedres før lansering, og selv om vi også har testet grundig så er vi ydmyke for at dette er en ny løsning og vi følger situasjonen nøye. Vi har lagt planer for å patche løsningen etter behov ila høsten, men dette er ikke noe brukeren vil merke.

Nå som BankID 2.0 er klar til bruk forventer imidlertid ikke Nilsen at flere vil ta i bruk løsningen, heller at antall transaksjoner via nettbanken vil øke. Dette begrunner han med at det nå blir både lettere å logge inn i nettbanken, og at brukerne vil se færre avbrytelser:

– Ofte ønsker du å kjøpe noe, men så fungerer ikke eller støttes ikke Java på maskinen du sitter på, og transaksjonen skjer kanskje aldri, utdyper han.

Et komplekst prosjekt

Når Nilsen ser tilbake på prosjektet oppsummerer han det slik:

– Det har vært et spennende, men samtidig komplekst prosjekt og lede. Jeg har følt på ansvaret med tanke på at det er en stor og samfunnskritisk løsning, og vært bevisst på å få inn hjelp fra ulike leverandører som har spisskompetanse på de teknologiene som er involvert.

Nilsen og utviklerne har lagt omtrent ett og et halvt års planlegging og koding bak seg, men selv om BankID 2.0 nå er lansert kan ikke teamet ta juleferie:

– Vi er bare ferdige med første fase! Her har vi fokusert på å lage en løsning som kan erstatte Java under innlogging i nettbankene, og ikke noe mer, konstaterer Nilsen.

Til våren kommer imidlertid BankID 2.1. Utviklingssjefen holder nyhetene tett til brystet, men kan avsløre at en del av arbeidet som skal gjøres på denne oppdateringen vil dreie seg om å gjøre det lettere å signere digitale dokumenter, noe som vil bli enda mer utbredt i fremtiden.

– Nå er det opp til bankene å implementere løsningen vi har laget. Postens digitale satsning, Digipost, var først ut da de var raske til å tilrettelegge for løsningen i sine systemer. Selv om bankene og posten har hatt løsningen vår til testing siden juni, har bankene større og mer komplekse systemer, noe som kan være grunnen til at de bruker noe lenger tid, avslutter Nilsen.

Vi har snakket med bankene:
Noen vil gå over til Java-fri nettbank om noen uker, andre venter til neste år »

Les også
Java 9 kommer til neste år
Les også
Mozilla og Google dropper krypteringsstandard
Les også
Nå kan du betale regninger uten Java
Les også
Se når du kan kaste ut Java
Les også
Slik fjerner du Java for godt
Les også
Apple stenger ute norske Mac-eiere fra nettbanken
Les også
– Skru av Java nå
annonse

Les også