Kritiske Java-hull

[abene]

Det er oppdaget flere kritiske sikkerhetshull i Java, som gjør at skadelige programmer kan få tilgang til datamaskinen.

Les mer

[nercix]

Andre som fikk problemer med Nettbank/BankID etter denne oppdateringen?

 

Edit: Sletta ~/.java og så vart alt bra igjen

Endret 6. oktober 2007 av nercix

[orange]

Er det nok å gå inn på JAVA under control panel (XP) og oppdatere derfra? Skjønner ikke helt hvorfor artikkelforfatter foreslår at man skal oppdatere manuelt - eller har jeg missforstått?

[eirikma]

Dette var ærlig talt ikke særlig imponerende "hull" i sikkerheten. Alt var relatert til WebStart, som er en måte og starte programmer "rett fra internett", der nedlasting, oppgradering osv gjøres i bakgrunnen automatisk. Har distribuert programmer på denne måten selv, og det er helt suverent.

 

Sikkerhetsløsningen er sånn at det er teknisk mulig for programmer som ikke er digitalt signert å lure seg til litt flere rettigheter enn de egentlig har spurt brukern om.

 

Hva så? Det er uansett bedre sikkerhet en programmer du laster ned og installerer manuelt - de har jo alle rettigheter på maskinen og kan herpe hva som helst av filer.

 

Moralen er: hvis du er redd for sikkerheten, ikke installere og bruk hva som helst av programvare fra internett. Å gjøre det med Webstart er tydeligligvis bare litt sikrere enn på den vanlige måten, men gir ikke 100% beskyttelse. Har hørt om verre sikkerhetshull.

 

 

Det med "sikrede" og "usikrede" programmer som nevnes i artikkelen er forresten bare humbug. De "sikrede" er programfiler som har blitt signert med et digitalt sertifikat. Spørsmålet er altså om den som har laget programmet har giddet å kjøpe et sertifikat til 1500 dollar i året eller ikke. Å signere programmet med et slikt sertifikat endrer jo ikke en millimeter på hva programmet faktisk gjør, og endrer dermed heller ikke noe som helst på sikkerheten. Tvert imot er det lettere å få ulike system-rettigheter for signerte programmer, så sånn sett er de faktisk mindre sikre. Ideen er visstnok at bare hederlige utviklere (og bare de som er flinke nok til ikke å gjøre alvorlige tabber) vil kjøpe seg slike sertifikater, men det ville ikke akkurat være noen nyhet om kriminelle har tilstrekkelige ressurser til å skaffe seg ulike "dokumenter" av denne typen spør du meg.

 

Begrepene "sikker" og "usikker" er ren FUD fra sertifikat-bransjens side for å lure alle til å tro at man må gi dem 1500 dollar i året eller er man i deep shit. I det minste må man tvinge alle underleverandørene sine til å gjøre det. Smart markedsføring, men folk kommer til å gå lei av det ganske fort tror jeg.

[DanteUseless]

Bare jeg som begynner å bli lei alle disse oppdateringene til blandt annet java? Snart er det en popup hver dag som sier at ny oppdatering av x.y.z.1 til x.y.z.2..

[kosh]

Bare jeg som begynner å bli lei alle disse oppdateringene til blandt annet java? Snart er det en popup hver dag som sier at ny oppdatering av x.y.z.1 til x.y.z.2..

9654863[/snapback]

 

Du er jo velkommen til å leve med hull om du vil

[m0g1e]

Hvordan er det med oppdateringer for linux-JRE? Ser jo nesten daglige oppdateringer til XP-PC-en... men er Ubuntu og linux-utgavene like raske og praktiske å oppdatere..? Neeei...

 

snakk om ah..

 

edit:

btw. Hvorfor "reklamerer" Java på sine updates for OpenOffice.org forresten? Hvilken konspirasjoner på gang her mon tro?

Endret 8. oktober 2007 av nollie