image

Oracle gaat veiligheid Java verbeteren

maandag 28 januari 2013, 09:49 door Redactie, 9 reacties

Oracle zegt dat het de veiligheid van Java gaat verbeteren en dat het onlangs al belangrijke beveiligingsmaatregelen heeft doorgevoerd, maar een bekende Java-onderzoeker heeft ook in deze maatregelen een beveiligingsprobleem ontdekt. Java ligt vanwege allerlei lekken al geruime tijd onder vuur en wordt inmiddels door tal van organisaties afgeraden. Reden voor Oracle om een conference call te organiseren.

Daarin liet Milton Smith, hoofd Java-beveiliging, weten dat het bedrijf de problemen met de veelgebruikte programmeertaal gaan aanpakken, alsmede de communicatie gaat verbeteren.

"Het plan voor Java is vrij eenvoudig", aldus Milton. "Als eerste gaan we Java repareren, en als tweede gaan we onze activiteiten beter communiceren. De één kan niet zonder de ander bestaan. Alleen praten gaat niemand gelukkig maken. We moeten Java repareren."

Smith liet verder weten dat Oracle belangrijke beveiligingsmaatregelen heeft doorgevoerd om stille exploits te voorkomen. "Maar mensen begrijpen die features nog niet, ze zijn vrij nieuw." Gebruikers kunnen na het installeren van de nieuwste Java-versie vier beveiligingsniveaus instellen, waarbij ongesigneerde Java-applets niet worden geladen.

Beveiligingsniveau
Volgens de Poolse beveiligingsonderzoeker Adam Gowdiak van Security Explorations is dit een mooi theorieverhaal, maar pakt het in de praktijk anders uit. Het is namelijk nog steeds mogelijk om ongesigneerde en kwaadaardige Java-code uit te voeren zonder dat de gebruiker eerst een waarschuwing te zien krijgt, zoals ingesteld via het Java Controlepanel.

Zelfs op het allerhoogste beveiligingsniveau wordt de kwaadaardige Java-code nog steeds uitgevoerd. De enige maatregel die Java-gebruikers kunnen nemen is dan ook de Click to Play technologie gebruiken die browsers zoals Mozilla Firefox en Google Chrome toepassen, aldus Gowdiak.

Reacties (9)
28-01-2013, 10:01 door Anoniem
Ik begrijp inderdaad weinig van die 4 nivo's van beveiliging...
Ik heb de installatie instructies gelezen en de installer aangeroepen met WEB_JAVA_SECURITY_LEVEL=H
maar dat deed helemaal niks! De setting stond wel ergens in de registry maar de gebruikers hadden hun
security level nog steeds op M staan. Misschien kan Oracle dit uitleggen?
Toen kwam er een nieuwe update (11) en had Oracle besloten hem zelf maar op H te zetten. Dat
werkt wel, maar de gebruiker kan ondanks dat WEB_JAVA_SECURITY_LEVEL=H was ingesteld bij
installatie de slider nog steeds naar beneden schuiven. Misschien kan Oracle dit uitleggen?
En als je nu naar de java.com site gaat en vraagt of Java geinstalleerd is, dan wordt er een Oracle app
gestart die niet signed blijkt te zijn en dus een prompt geeft dan wel niet uitgevoerd wordt.
Misschien kan Oracle dit uitleggen?

Tenslotte is het extra nivo van beveiliging wat wordt geboden maar heel betrekkelijk. In principe kan
iedereen een signing certificaat aanvragen en daarmee code signen, zonder dat dit op de een of
andere manier reviewed is. Dus malicious code kan best signed zijn. Misschien kan Oracle dit uitleggen?

Mijn plan voor Java was tot nu toe vrij eenvoudig: uninstall everywhere, except where really required.
Misschien kan Oracle uitleggen hoe dat beter kan?
28-01-2013, 10:34 door SPlid
Schijnbaar gaat Oracle zijn best doen om het een en ander serieus te gaan bekijken en onderzoeken. Lijkt me dat kritiek hierop niet constructief werkt. We moeten denk ik niet vergeten dat er zeer veel applicaties Java gebruiken en applets runnen. Om Java af te doen met: zet het maar uit, getuigd niet van realiteitszin, Oracle lijkt zich nu in te zetten, en alle begin is moeilijk, lijkt me dan ook in niemands belang om gelijk met allerlei kritiek te komen. Kritiek komt natuurlijk van bedrijven die hun brood verdienen met on-veiligheid ;-)

En nee ik heb geen aandelen of belang in Oracle , maar vind Java op zich zelf wel een mooi platform .

(als Sun de eigenaar was geweest had ik dezelfde opmerkingen gemaakt)
28-01-2013, 11:06 door [Account Verwijderd]
[Verwijderd]
28-01-2013, 11:21 door yobi
Weet iemand hoe onveilig Java in een Smart-phone is?
28-01-2013, 12:36 door Anoniem
Door SPlid: Schijnbaar gaat Oracle zijn best doen om het een en ander serieus te gaan bekijken en onderzoeken. Lijkt me dat kritiek hierop niet constructief werkt.
Ik snap je sentiment wel maar je zwemt tegen de stroom in. Ze hebben zichzelf tot makkelijk doelwit gemaakt door zich eerst zo op te stellen dat het publiek geconcludeert heeft dat het weigerachtige incompetente probleemwegwuivers zijn. Zelfs als je dan onmiddelijk daarna bijdraait en alle problemen subiet oplost is je reputatie gedeukt geraakt.

En als je dan met plannen komt die onmiddelijk weer vol met gaten blijkt, ja, dan versterk je dat sentiment alleen maar.

Niet dat je geen gelijk hebt dat java niet zomaar weg kan. Dat CIOgeval dat riep "oracle gaat java dumpen" maakte daar een grote ongenuanceerde flater met z'n "analyse". Dat zou zo mogelijk nog stommer zijn geweest van oracle. Maar ondertussen hebben ze niet het prutsen wat ze zo in de problemen gebracht heeft van de ene op de andere dag afgeleerd, dat blijkt.

Ik denk dat in de eindanalyse hier koppen moeten gaan rollen. Of de juiste koppen gaan rollen gaat invloed hebben op de levensvatbaarheid van java op de middel- en lange termijn, in ieder geval als plugin maar eventueel daarbuiten. Gezien eerdere resultaten loop ik niet over van vertrouwen dat ze zelfs maar aan die eindanalyse toe gaan komen binnen afzienbare tijd.

Probleem is alleen dat er nauwlijks alternatieven zijn, maar wellicht dat er mensen opstaan om alternatieve java virtuele machines geschikt te maken voor browserplugingebruik?
28-01-2013, 13:59 door Anoniem
Misschien moet men gewoon inzetten op een verbeterde versie die alleen draait op Linux. Dan beperkt men zich tot de kern van de zaak en hoeft geen geld te besteden aan allerlei exoten.
28-01-2013, 14:52 door RichieB
Oracle moet om te beginnen whitelist technologie gaan gebruiken. Bijvoorbeeld in een java.policy aangeven op welke sites je java applets verwacht. En dan eventueel een mooie GUI er om heen bouwen dat als er een java applet aangeboden wordt op een andere site dan in de whitelist staat de vraag of je deze site tijdelijk of permanent aan de whitelist wil toevoegen, maar dan wel met hele duidelijke waarschuwingen erbij. Die GUI moet dan wel weer uit te zetten zijn, voor bij bedrijven waar de IT policies centraal worden beheerd.
28-01-2013, 16:41 door vimes
Toen Oracle Sun met java overnam was het algemeen bekend dat het onderhoud van java hopenloos achter liep.
Vreemd dat Oracle nu pas de ernst van de situatie inziet.
28-01-2013, 17:21 door SPlid
anoniem 12:36 , niets aan toe te voegen helemaal mee eens !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.