Søg

Java-problem: Disse spørgsmål vil Oracle Danmark ikke svare på

Interview: Oracle Danmark vil ikke besvare Computerworlds spørgsmål om farlige huller i Java. "Vi har svaret, hvad vi ønsker," siger direktør Kenneth Johansen. Se Computerworlds spørgsmål til Oracle her.

28. januar 2013 kl. 14.59
Artikel top billede

(Foto: Fotograf Torben Klint torben@klintfoto.dk 40 32 35 36 www.klintfoto.dk /)

Mads Elkær Mads Elkær Journalist

At Oracles Java-platform har været under heftige sikkerhedsbeskydninger i det seneste halve år kan næppe komme bag på mange, der følger med i it-verdenenes op- og nedture.

Først var der stærkt kritiske sikkerhedshuller i Java tilbage i august 2012, og igen i begyndelsen af 2013 blev der meldt om nye, kritiske sårbarheder i den udbredte platform.

Computerworld har i en uges tid forsøgt at få et interview med Oracles danske chef, Kenneth Johansen, om, hvad der egentlig er op og ned i Oracles politik med hensyn til Java-sikkerheden.

I første omgang forlangte Oracle, at Computerworld sendte samtlige spørgsmål på mail med den begrundelse, at Oracle kunne forberede sine svar bedst muligt.

To dage efter, at spørgsmålene blev sendt af sted, modtog Computerworld denne mail fra Oracle-chefen - uden svar på Computerworlds spørgsmål.

Oracle vil gerne forberede sig

Herefter griber Computerworld telefonen og ringer til selskabets danske landechef, Kenneth Johansen, for i stedet at få svarene i telefonen.

"Der er ingen grund til at du stiller flere spørgsmål"

Det lykkedes ikke i første omgang, da en travl mødekalender hos landechefen blokerer for et egentligt interview. 

Mandag formiddag 28. januar er der endelig hul i gennem, og nu kan vi endelig få svar på spørgsmålene. 

Tror vi da.

"Det er lidt et høflighedsvisit, at jeg ringer nu," indleder Oracles landechef Kenneth Johansen samtalen med, hvorefter han henviser til den mail, som Oracle tidligere har sendt til Computerworld med "svar" på vores spørgsmål.

Jamen, I svarer jo ikke på spørgsmålene, så dem kan vi jo tage nu.

"Som jeg tidligere har sagt, så vil vi på dette område (omkring Java-usikkerheder, red.) gerne kommunikere, som vi allerede har gjort. Det vil vi tillade os at fastholde. Vi vil naturligvis gerne tage et interview, hvis det handler om nogle andre områder."

Ok, nu vil jeg så gerne have svar på de spørgsmål, som vi har sendt til jer tidligere. Dem kan jeg jo lige løbe igennem nu.

"Det behøver du ikke. For du får ikke andre svar, end jeg allerede har givet dig."

Ok, men jeg skulle stille spørgsmålene i en mail frem for at konfrontere Oracle i et telefoninterview. Hvorfor det?

"Fordi du ville stille nogle spørgsmål omkring Java-sikkerhed, og vi ville gerne have dem skriftligt, og vi mener, at vi har svaret tilbage, som vi mener, vi skal gøre."

Helt konkret vil jeg også gerne have talt med dig som landechef fra starten. Hvorfor kunne det ikke lade sig gøre?

"Fordi jeg gerne ville forberede mig, og derefter har vi svaret tilbage, som vi gjorde."

Interview interruptus

Den offentlige sikkerhedstjeneste DK Cert har anbefalet, at danskerne kører med to browsere, hvoraf den ene browser har Java deaktiveret og kan bruges til at surfe frit rundt på nettet. Den anden browser skal derimod have Java slået til, og den skal udelukkende bruges på sikre sites som netbanken og Borger.dk, hvor det Java-afhængige NemId skal bruges. 

Er Java virkelig så usikkert, at danskerne fremover skal bøvle med to forskellige browsere og deaktivering af Java?

"Mads, Mads, Mads. Jeg har sagt til dig flere gange, at vi har givet de svar, som vi ønsker på dette område. Så vi bliver nødt til at parkere den her."

Føler Oracle, at selskabet har et særligt ansvar i Danmark, hvor den danske stat netop har valgt Oracles Java-software som fundamentet for det offentliges brug af NemID?

"Tak for spørgsmålene, men jeg har sagt, at vi har svaret. Så der er ingen grund til at, at du stiller mig en masse flere spørgsmål."

Det drejer sig ikke om flere eller nye spørgsmål. Det drejer sig om de gamle spørgsmål, som jeg allerede har mailet til jer.

"Så kommer jeg jo bare til at lægge røret på, og det er der ingen grund til. Så vil jeg hellere bare sige tak for denne gang."

Jamen, så er der jo ingen grund til at fortsætte interviewet.

"Det er korrekt."

Med den afskedsreplik slutter interviewet med Oracles danske landechef om flere sårbarheder i selskabets Java-platform, som måske/måske ikke allerede er blevet lappet, og som hidrører sikkerheden på fire millioner NemID-danskeres computere.

Her er spørgsmålene, som Oracle ikke vil svare på

Computerworld har i forbindelse med at få svar fra Oracle Danmark sendt 11 spørgsmål. 

Disse 11 spørgsmål samt Oracle Danmarks svar kan du se her: 

1) Computerworld har ønsket at få svar på en række spørgsmål omkring de seneste Java-usikkerheder. Oracle forlanger, at Computerworld stiller spørgsmål i en mail frem for at konfrontere Oracle i et telefon-interview. Hvorfor det?

2) Vi ville helt konkret gerne tale med Oracles danske landedirektør Kenneth Johansen for at få svar på disse spørgsmål. Det kunne umiddelbart ikke lade sig gøre. Hvorfor ikke?

3) Den offentlige sikkerhedstjeneste DK Cert har anbefalet, at danskerne kører med to browsere, hvoraf den ene browser har Java deaktiveret og kan bruges til at surfe frit rundt på nettet. Den anden browser skal derimod have Java slået til, og den skal udelukkende bruges på sikre sites som netbanken og Borger.dk, hvor det Java-afhængige NemId skal bruges. Er Java virkelig så usikkert, at danskerne fremover skal bøvle med to forskellige browsere og deaktivering af Java?

4) Føler Oracle, at selskabet har et særligt ansvar i Danmark, hvor den danske stat netop har valgt Oracles Java-software som fundamentet for det offentliges brug af NemID?

5) Hvorfor/hvorfor ikke?

6) I kølvandet på fundet af de nye, kritiske sikkerhedshuller er der kommet en del efterskælv omkring nye sikkerhedshuller, fordi Oracle tilsyneladende ikke har lappet de kritiske sårbarheder ordentligt. På en skala fra 0-10 med 0 som "helt usikkert" og 10 som "helt sikkert", hvor sikkert er det egentlig at bruge Java 7 i dag?

7) Det polske sikkerhedsfirma, der i forbindelse med fundet af store sårbarheder i Java tilbage i august påpegede, at hullerne havde stået åbne i flere måneder, har også denne gang været på banen med kritik af, at Oracle har syltet henvendelser vedrørende de to seneste sikkerhedshuller. Hvorfor har Oracle ikke reageret på sikkerhedsselskabets advarsler tilbage i oktober?

8) Når danskerne opdaterer til Java 7 update 11 får de en Ask.com-toolbar med. Hvorfor har Oracle valgt at tilbyde tredjepartssoftware i forbindelse med en meget vigtig opdatering, så danskerne kan bruge deres NemID på en sikker måde?

9) Denne Ask.com-toolbar er på forhånd klikket af i installationsprocessen, så uopmærksomme borgere intetanende installerer en toolbar for en søgemaskine i deres browsere. Hvorfor skal man aktivt fravælge denne søgemaskine-toolbar fremfor bare at vælge den til, når man opdaterer sin usikre Java til update 11?

10) Hvad har Oracle lært af de seneste to kritiske sårbarhedsbølger, der har ramt millioner og atter millioner af Java-brugere i august og nu senest her i januar?

11) Hvad gør Oracle for at dæmme op for eventuelle sikkerhedshuller i fremtiden?

Her er Oracles danske direktørs mail-svar på Computerworlds 11 spørgsmål

Her er Oracles svar til Computerworld afsendt fra selskabets landechef torsdag den 24. januar klokken 15:49 som reaktion på Computerworlds 11 konkrete spørgsmål.

"Oracle har et omfattende sikkerhedsprogram, hvor vi fokuserer på at bygge sikkerhed ind i produkterne.

Dette program inkluderer Oracle Secure Coding Standards, obligatorisk sikkerhedstræning for udviklerne, anvendelse af automatiserede værktøjer til brug for analyse og test - og ikke mindst et løbende arbejde for at vedligeholde en kultur, der tænker i sikkerhed. Det er vores målsætning, at Oracles produkter er så sikre som overhovedet muligt - og det gælder også for Java.

Det er ikke min rolle at kommentere DK CERT's anbefalinger. Men jeg kan sige, at Oracle har et tæt samarbejde med sikkerhedscommunitiet - herunder de nationale sikkerhedsorganisationer.

Hvis du ser historisk på det, så har der altid fundet en arbejdsdeling sted, hvor CERT'erne er dem, der kommunikerer advarsler om sårbarheder og de umiddelbare anbefalinger til at beskytte sig. Vi på vores side fokuserer på at evaluere de rapporterede sårbarheder og udsende opdateringer, der lukker eventuelle huller i sikkerheden.

Vi er opmærksomme på den kritik, der er omkring Java og tager den naturligvis alvorligt.

Med hensyn til dine spørgsmål om Ask-værktøjslinjen, så skulle jeg hilse fra Anders (Oracles kommunikationsdirektør Anders Lund Rendtorff, red.) og sige, at han har adresseret det på Computerworlds website - du er velkommen til at tage citaterne herfra."

Debatten med Ask.com-toolbar kan du følge og deltage i her.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    People Tech 2025 – hvor HR møder IT

    Andre events | København Ø

    People Tech 2025 – hvor HR møder IT

    Deltag og oplev, hvordan People Tech 2025 kan gøre HR til en nøglespiller i fremtidens forretningsstrategi.

    Roundtable: Hybrid og cloud – sikre og strategiske it-valg i en ustabil verden

    Infrastruktur | Frederiksberg

    Roundtable: Hybrid og cloud – sikre og strategiske it-valg i en ustabil verden

    Eksklusive danske digitale ledere mødes til rundbordssamtale om balancen mellem fart, sikkerhed og compliance. Hør hvordan CIO’er bygger robuste hybrid cloud-strategier, der skaber reel forretningsværdi og styrker modstandskraften.

    Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Strategisk It-sikkerhedsdag 2026 - København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    Se alle vores events inden for it

    BEC

    Product owner - Clearing & Settlement Securities Trading

    Midtjylland

    Weilbach A/S

    Would you like to join an international team within the shipping business?

    Københavnsområdet

    KMD A/S

    SAP-arkitekt

    Fyn

    Capgemini Danmark A/S

    Cybersecurity Consultant - Identity and Access Management (IAM)

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Norriq Danmark A/S har pr. 1. september 2025 ansat Birthe Kamstrup som Data & AI Consultant. Hun skal især beskæftige sig med at optimere datadrevne beslutningsprocesser til glæde for Norriq's kunder. Hun kommer fra en stilling som Teamlead/Senior Insight Specialist hos CompanYoung. Hun er uddannet i sociologi og har en bachelor i erhvervsøkonomi på Aarhus universitet. Nyt job

    Birthe Kamstrup

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Thea Scheuer Gregersen som Finace accountant. Hun skal især beskæftige sig med håndteringer af bl.a. bogføring og finansiel rapportering på tværs af selskaberne. Hun er uddannet Bachelor´s degree i Business Administration & Economics og en Master of Sustainable Business degree. Nyt job

    Thea Scheuer Gregersen

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Rasmus Stage Sørensen som Operations Director. Han kommer fra en stilling som Partner & Director, Delivery hos Impact Commerce. Han er uddannet kandidat it i communication and organization på Aarhus University. Han har tidligere beskæftiget sig med med at drive leveranceorganisationer. Nyt job

    Rasmus Stage Sørensen

    Norriq Danmark A/S

    Netip A/S har pr. 1. november 2025 ansat Laura Bøjer som Consultant, GRC & Cybersecurity på afd. Thisted. Hun kommer fra en stilling som Assistant Consultant hos PwC i Hellerup. Hun er uddannet med en kandidat i Business Administration & Information System på Copenhagen Business School. Nyt job

    Laura Bøjer

    Netip A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 IBM gør klar til enorm handel på over 70 milliarder kroner: Bliver selskabets næststørste opkøb nogensinde
    2 Stor skandinavisk fagforening hacket: Oplysninger fra 40.000 medlemmer lækket
    3 Europæisk it-gigant ramt af politirazziaer i flere lande
    4 Derfor er den billigste Tesla bedst: Prøvekørt discount-version af model Y brillerer der, hvor det gælder
    5 Morgen-briefing: Elon Musk vil have EU opløst efter stor bøde til X / Crayon og AWS går sammen med kendt fodboldklub om ny platform / EU giver TikTok grønt lys efter undersøgelse
    6 Ny skelsættende GDPR-dom kan få stor betydning for online markedspladser
    7 Top 100: Nu kårer Computerworld de dygtigste it-virksomheder - sådan har vi fundet dem
    8 Fanget på kamera: Nordkoreanske hackere overtager liv og laptop

    Se seneste uge