Anne-Marie Eklund Löwinder, säkerhetschef på Stiftelsen för internetinfrastruktu
Anne-Marie Eklund Löwinder, säkerhetschef på Stiftelsen för internetinfrastruktur, uttalade i förra veckan hård kritik mot Java.
I förra veckan uttalade sig fem säkerhetsexperter negativt om säkerheten i Java i CS (11/9 -12). De blandar ihop en webbläsarteknik med en av världens stabilaste serverplattformar.

När Java introducerades var det inte tydligt om det skulle bli en framgångsrik plattform i hemmen, i serverhallen eller både och. Trots tekniker som applets så lyckades Java aldrig riktigt vinna slaget om hemdatorerna.

I stället blev html, Flash och Javascript teknikerna för att bygga klientprogramvara för webben. Men webbläsare fortsätter att levereras med insticks-Java. När så strömmen av säkerhetshål i insticksprogrammet Flash började sina så vändes blickarna mot insticks-Java och flera brister hittades. Där står vi nu.

Under samma tid växte Java till en de facto-standard i serverhallarna. Svenska banker, mediehus, public service, myndigheter, landsting, alla kör de i hög utsträckning Java i dag. De har dessutom tio till femton års Javakod i förvaltning. Att i det läget som Anne-Marie Eklund Löwinder säga: ”Personligen såg jag gärna att Java skulle sluta användas” får konsekvenser långt bortom webbläsare. Även Android bygger på en version av Java. Ingår det också i det som ska sluta användas?

Vi känner inte till att Java skulle ha säkerhetsproblem på serversidan, frånsett tredjepartsprodukter. Tills de fem säkerhetsexperterna visar på sådana problem så anser vi att de går alldeles för långt. Det vore befängt att lägga flera år på att bygga bort Java från svenska organisationer till enorma kostnader och ingen förbättrad säkerhet. Om kritiken i stället hade riktats mot insticksprogram och Java applets så säger vi samma sak – Oracle, ta tag i säkerhetsproblemen med insticks-Java!

För att vara tydliga – server-Java är en etablerad, stabil teknik som ligger bakom stora delar av all svensk webb. Att sluta använda Java skulle i många fall innebära migrering av både programkod och serveroperativ. Vi tror att många skulle vägra sätta etiketten ”förbättrad säkerhet” på en sådan migrering.

Kära experter, nästa gång ni med rätta skäller ut säkerheten i insticks-Java så kan ni väl kalla det för ... insticks-Java? I serverhallen är nämligen Java bland det bästa vi har.

John Wilander, co-leader OWASP Sweden och Mattias Karlsson Java champion