image

Bedrijf bedenkt 'Jump box' voor Java-haters

dinsdag 19 maart 2013, 12:20 door Redactie, 3 reacties

Als het gaat om het gebruik van Java binnen organisaties en bedrijven zijn er allerlei adviezen en tips, maar voor één bedrijf waren die niet toereikend. Vanwege de recente beveiligingsproblemen met Java wordt vaak geadviseerd de plug-in in de browser uit te schakelen. Voor veel organisaties is dit een probleem, aangezien er vaak intern ontwikkelde Java-applicaties worden gebruikt.

Als oplossing wordt vaak geadviseerd om een aparte browser voor alleen Java te gebruiken. Een andere oplossing is een wrapper script dat de Java plug-in naar de plug-in directory kopieert, een aparte browser start en na het sluiten van de browser de plug-in weer verwijdert. Een andere mogelijkheid is het opstellen van een whitelist van hosts die Java in de browser mogen aanroepen.

Jump box
Softwarebedrijf Etsy vond deze oplossingen niet voldoende en bedacht een andere aanpak. De ontwikkelaars wilden Java alleen in een aparte, beheerde en geïsoleerde omgeving draaien, vergelijkbaar met een 'Jump box'. Gebruikers kunnen naar deze beveiligde machine springen in het geval ze Java nodig hebben.

Daardoor hoeft de software niet op laptops en desktops te draaien die voor dagelijks gebruik worden gebruikt, wat het risico op misbruik behoorlijk verkleint. Etsy gebruikt een combinatie van CentOS 6 en Ubuntu FreeNX voor de machines waarop Java draait.

Firewall
"Door de Jump box-aanpak kunnen we deze hosts firewallen zodat ze niet voor internet browsing te gebruiken zijn, kunnen we ze regelmatig opnieuw imagen en hebben we een beperkt aantal hosts dat Java-updates nodig heeft", aldus het bedrijf.

Daarnaast is het nu mogelijk om endpoint managementsoftware zo in te stellen dat het groot alarm slaat in het geval de Java browserplug-in op een systeem van werknemers wordt aangetroffen. "We hopen dat dit andere organisaties helpt die met soortgelijke uitdagingen te maken als het gaat om het verwijderen van de Java browserplug-in uit de onderneming."

Reacties (3)
19-03-2013, 14:23 door Anoniem
Wij gebruiken gewoon een Citrix server hiervoor. Hier kun je seamless een window op openen met Java
support en deze machine staat zo geconfigureerd dat alleen de ene nodige applicatie geconnect kan worden.
(deze bevindt zich op internet)
19-03-2013, 15:07 door Anoniem
Zeg maar de remote desktop/citrix oplossing. Let er op dat nomachine voor zo'n uitrol niet gratis is, want je zit boven de probeerlimiet. Verder is het als lapmiddel waar ik zelf ook naar zou kijken.

Eigenlijk diep beschamend dat oracle de boel zo laat versloffen, want ze waren nou net het betere alternatief op activex controls in ie6.

Wat voor apps in het kantoor irritant is, is voor embedded spul heel snel heel erg vervelend. Dat gaat namelijk veel langer mee en is veel minder flexibel, vaak niet te upgraden, en communicatie met de fabrikant is vaak ook niet makkelijk.

Let ook even op dat er allerlei netwerkmeuk, vaak behoorlijk dure netwerkmeuk, java vereist (of activex of dotnet tegenwoordig) op het beheersstation. Persoonlijk gaat alles wat zulke fratsen uithaalt het liefst gelijk op de vuilstort, maar helaas is dat niet altijd practisch.

Dit is waarom command lines absoluut superieur zijn voor serieus beheer: Je hoeft je nooit druk te maken of je wel grafische toegang hebt. Helaas gaat veel te veel hardware ervanuit dat je lokaal zit of dat je binnenkomt over een ILO, en heb je nog steeds een grafisch ding nodig, want zo start het ding noueenmaal op.

Of je verder óók grafische omgevingen wil bieden, prima, zal me worst wezen. Maar de basis moet zijn dat je alles wat het ding kan per command line kan aansturen.

Een grafische omgeving is een leuke extra maar mag niet de primaire interface zijn. Want dan krijg je gedonder zoals hier met java. Volgende keer is het de dotnetkant die op z'n gat ligt, plus dat die niet expliciet cross-platform is (doet'ie er een beetje bij maar het gaat duidelijk niet van harte) en dat de switches en de routers de producten van een bepaalde OSfabrikant op mijn beheersstation vereisen gaat natuurlijk helemaal nergens over. Command lines hebben dat probleem niet.

Daarom: Echte servers zijn headless.
19-03-2013, 18:47 door rct
Sandboxie, anyone?
http://www.sandboxie.com
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.