Nok en gang er Java i trøbbel

[RBW]

Utnyttelsesverktøy selges på svartebørsen.

 

Nok en gang er Java i trøbbel

 

[efikkan]

Java Runtime Environment er av design sårbart, så vi kommer til å se flere nyheter fremover om at folk finner nye måter å utnytte dette på. Jeg håper at alt mediehysteriet fører til at folk flest fjerner JRE, og at JRE aldri får fotfeste mer, selv om ingen artikler belyser det faktiske problemet (heller ikke HW klarer det). Dette har ingenting å gjøre med programmeringsspråket Java.

[Battaman]

Jeg blir bare mer og mer fornøyd med mitt valg av å kjøre virtuell Chrome OS som nettleser.

[efikkan]

Alle som trenger JRE bør absolutt kjøre det virtualisert siden det som ligger i user space er tilgjengelig for applets.

[chocobo]

Tja, Homeland Security er blant myndighetene som faktisk anbefaler å deaktivere Java:

http://www.dailymail.co.uk/news/article-2262540/Homeland-Security-STILL-warning-Americans-disable-Java-Oracle-says-problem-fixed.html?ito=feeds-newsxml

 

Heldigvis har det blitt mye enklere å deaktivere (og reaktivere ved behov, f.eks. til nettbank) Java, med en knapp som fjerner plugin fra alle nettlesere:

http://infosec.sintef.no/2013/01/ps-bare-deaktiver-java-for-ei-stund-na/

[efikkan]

De som synes virtualisering er for komplisert så bør de i det minste kjøre JRE i en egen nettleser til f.eks. nettbank, men ha JRE deaktivert i den primære nettleseren.

[Rudde]

Jeg må spørre, hvordan i himmelens navn kan noen seriøse aktører ta ibruk java som deres løsning og idag IKKE ha kommet seg LANGT vekk fra det?

[Mala]

Klikker snart for med java, Mac OSx og Chrome. Gang på gang, enten det er pålogging av nettbank eller bestilling av varer på nett går jeg på samme forbanna smellen, og må bytte over til Safari pga, denne dritten her ikke funker i Chrome og Mac OSx.

[ATWindsor]

BankID må flytte seg vekk fra java.

 

AtW

[efikkan]

Det er nok et tidsspørsmål.

[Unlimited LTD]

Java Runtime Environment er av design sårbart, så vi kommer til å se flere nyheter fremover om at folk finner nye måter å utnytte dette på. Jeg håper at alt mediehysteriet fører til at folk flest fjerner JRE, og at JRE aldri får fotfeste mer, selv om ingen artikler belyser det faktiske problemet (heller ikke HW klarer det). Dette har ingenting å gjøre med programmeringsspråket Java.

Nei, det er riktig. Men har man alternative JVM's? Kaffe er Unix, og IBM's J9 vet jeg ingen ting om. Antar at det er J2EE?

[Slaps]

Alle med litt kunnskap om digital sikkerhet vet at Java er usikkert. Skriv heller en artikkel den dagen Java blir sikkert (som om det noen gang kommer til å skje..).

[Faniel]

Mann/gutt i hettegenser er skummelt!

[CasterAnd]

Hvorfor bruker vi ENDA java? Nå er det ikke lenger Oracles feil, det er heller bankene og nettsider som bruker java enda, som har skylden.

[PerParker66]

Jezz. Begynner å bli lei av alle de sikkerhets hullene til Java. Kan ikke noe bare kjøpe noen dusin flybilletter til disse hackerne, slik at de kan ta seg en ferie? xD

[Leif.ross]

Jajaja, vet at det er populært å hate på java for tiden, men realiteten er at det er det eneste alternativet i 90% av stedene det brukes, i tillegg til at det er helt utrolig sikkert i forhold til andre systemer.

Nei, html5 er ikke noen frelser for bankID relaterte systemer.

 

Det oppdages hele tiden hull i systemer, men java får større oppmerksomhet pga mesteparten av dagens enheter kjører det. Hvis en annen plattform får lignende fotfeste vil historien repeteres!

[Josten]

Nå er det vel kun java på klientsiden som berøres av sikkerhetshullene som har blitt oppdaget den siste tiden. Det meste av javakode ligger tross alt på serversiden hvor det fremdeles fungerer fint.

 

Java Runtime Environment er av design sårbart, så vi kommer til å se flere nyheter fremover om at folk finner nye måter å utnytte dette på.

 

Har du noen kilde på dette? Ikke at jeg ikke tror på det, men er litt nysgjerrig.

[DarkSlayer]

Alle med litt kunnskap om digital sikkerhet vet at Java er usikkert. Skriv heller en artikkel den dagen Java blir sikkert (som om det noen gang kommer til å skje..).

 

Hva er da sikkert? Alle med litt kunnskap vet at alt av Microsoft, Java, Flash, Apple, Android, IE, Firefox, Opera, Linux, Javascript, PHP, Facebook etc etc etc etc er skikkelig farlig. Tusenvis av mennesker dør av dette, blir alvorlig skadet, mister kroppsdeler, mentalt skadet for livet, og ender i et narkotikahelvete med flere personlige konkurs som resultat.

 

Bruker du UNIX med kun tekstbasert terminal, ingen internett, ingen usb, eller andre kontakter med omverdenen så kan det kanskje gå bra - men det er fortsatt farlig. Du må ikke se noe som helst grafisk. Bare bruke det til å flytte litt filer, enkle kommandoer som ls, skrive enkle brev i 8bits ascii eller lage simple skripts som printer navnet ditt bak frem. Da er det kanskje ikke farligere enn at du risikerer litt skrubbsår og enkle brannskader.

 

Det aller tryggeste du gjør er å forlate den digitale verden, drikke deg dritings for så å kjøre bil og gi blanke i fartsgrensen. Det værste som kan skje da er at du får en lapp fra snuten som sier at du må betale noe tusen og bruke noen timer på å diskutere med dem mens fylleangsten herjer.

 

Det er helt klart hva som er best å gjøre i denne verden.

 

Jeg er en hard core Java utvikler som har hatt data siden 93, brukt ms dos og alt av windowsversjoner. Jeg har nesten aldri hatt antivirus eller hatt bruk for en. Jeg har stolt på windows sin firewall siden den kom. Jeg var antagelig den siste nordmannen som aktivt surfet nettet med IE6. Jeg bruker IE den dag i dag. Har aldri avinstallert noe i frykt for virus, og har oppdatert så som så. Det har til tider vært helt sinnsyke virus i omløp som har fått media til å gå i fosterstilling. Jeg har vært en aktiv søkemotorbruker som har brukt alt fra 4-10t hver eneste dag med å søke og trykke på de linkene som har blitt foreslått. Jeg har vært infisert mindre enn fem ganger med skuffende lite spennende konsekvenser. Jeg har vært paranoid kanskje 20 ganger der jeg har febrilsk lastet ned og dobbeltsjekket maskinen uten resultat. Jeg burde altså være stein død. Ozzy Osbournes sin legendariske tåleranse for dop, piller og faenskap er peanøtter i forhold til meg. Det vil helt klart skrives historie om meg og hvordan kroppen min har overlevd noe så umenneskelig.

[efikkan]

Jajaja, vet at det er populært å hate på java for tiden, men realiteten er at det er det eneste alternativet i 90% av stedene det brukes, i tillegg til at det er helt utrolig sikkert i forhold til andre systemer.

Nei, html5 er ikke noen frelser for bankID relaterte systemer.

 

Det oppdages hele tiden hull i systemer, men java får større oppmerksomhet pga mesteparten av dagens enheter kjører det. Hvis en annen plattform får lignende fotfeste vil historien repeteres!

Brukerdelen av BankID kan uten problem implementeres i HTML og overføre data over SSL, som er minst like trygt som en applet. Et av problemene med applet er at det lar folk kjøre nettlesere med JRE aktivert og blir dermed en ekstra sårbarhet. En vanlig nettside kan ikke herje rundt i user space og eventuelt systemet.

 

Nå er det vel kun java på klientsiden som berøres av sikkerhetshullene som har blitt oppdaget den siste tiden. Det meste av javakode ligger tross alt på serversiden hvor det fremdeles fungerer fint.

Problemet ligger i applets som kjører i JRE og som kjører gjenom nettlesere. Jeg antar at eventuell javakode på serveren kjøres av egne script og ikke av en bruker som streifer gjennom tilfeldige nettsider, så det burde ikke være noe problem nei

 

Har du noen kilde på dette? Ikke at jeg ikke tror på det, men er litt nysgjerrig.

For å nevne noen; selvsignering som gjør at du kan signere en applet i hvem som helst sitt navn, og det er praktisk talt umulig å verifisere dette for en bruker. Applets har i utgangspunktet tilgang til user space, og kan derfor gjøre mye skade eller samle informasjon, og kan eskalere privilegier på noen plattformer. Det er bare et tidsspørsmål før noen gidder å hente ut cachen fra browseren, hente ut data og injisere diverse kode.

[jøkul ptro]

Java er så dritt at utviklerne skulle vært fengslet for forbrytelser mot menneskeheten!