image

Java-blokkade Firefox veroorzaakt storm van kritiek

donderdag 24 oktober 2013, 12:48 door Redactie, 16 reacties

De beslissing van Mozilla om de Java browserplug-in standaard in Firefox te blokkeren, waaronder ook de meest recente versie, heeft voor een storm van kritiek gezorgd. Gebruikers die op een website komen die een Java-applet bevat krijgen een waarschuwing te zien dat de Java-plug-in is geblokkeerd.

Het is mogelijk om de browserplug-in in te schakelen, maar dat bleek niet in alle gevallen goed te werken. "Dit is echt vervelend. Wat is de volgende stap, voorkomen dat mensen Java installeren?", aldus gebruiker 'Henk' op Bugzilla. Op deze website kunnen gebruikers allerlei bugs en problemen in Mozilla-producten rapporteren.

Ook een andere gebruiker begrijpt niet waarom Java opeens geblokkeerd wordt. "Zijn jullie helemaal gek geworden?". Weer iemand anders laat weten dat hij niet meer bij zijn bank kan inloggen.

Gebruikers

De meeste websites gebruiken geen Java meer, niet te verwarren met JavaScript dat op de meeste websites actief is. Bedrijfsapplicaties en spelletjeswebsites maken echter wel gebruik van de technologie en door de blokkade krijgen deze partijen opeens met ontevreden gebruikers te maken. Spelletjesplatform Pogo ontving na de nieuwste Java-update en blokkade van Firefox meer dan honderd reacties van boze spelers die opeens niet meer konden spelen. De boosdoener bleek in veel gevallen Firefox te zijn.

Aan de discussie op Bugzilla namen ook verschillende Oracle-werknemers deel, waaronder Donald Smith van het Java SE Product Management team. Hij stelt dat Oracle vaak contact met Mozilla heeft en zich ook gaat richten op de problemen rond Java 6. De Windows-versie van Oracle 6 voor consumenten wordt namelijk niet meer ondersteund, maar voor bedrijven met speciale onderhoudscontracten verschijnen nog wel updates. Mozilla wil echter alle Java 6-versies blokkeren.

Interface

Vanwege de storm van kritiek heeft Mozilla gisterenavond besloten om de blokkade terug te draaien. Bij de meeste systemen zal het één a twee dagen duren voordat de Firefox-blocklist is bijgewerkt en Java-applets weer standaard werken. Het gaat hier echter om een tijdelijke maatregel. Zodra de interface voor Click to Play is verbeterd zal Firefox Java weer gaan blokkeren, zegt Firefox-ontwikkelaar Benjamin Smedberg.

Click to Play is de technologie waardoor browserplug-ins worden geblokkeerd en via een extra muisklik zijn te activeren. Op dit moment zou de interface nog niet intuïtief genoeg zijn. Google Chrome blokkeert Java standaard ook, maar volgens verschillende critici is de interface van Chrome voor het inschakelen van de Java browserplug-in beter dan die van Firefox.

Reacties (16)
24-10-2013, 14:37 door Wim ten Brink
Op zich is het blokkeren van Java applets geen slecht idee. Sowieso omdat de Java-installer van Oracle al standaard probeert om extra applicaties mee te installeren (Ask toolbar, bijvoorbeeld) die eigenlijk als malware te kwalificeren zijn. Maar ook omdat de Java VM behoorlijk wat kwetsbaarheden heeft gehad in het verleden waar regelmatig misbruik van wordt gemaakt.
De taal op zich is niet slecht, maar lijkt sowieso sterk op C++ en C# zodat het overstappen op alternatieven goed mogelijk is. Maar eigenlijk is het tijd dat andere fabrikanten ook de nodige Java VM's en compilers gaan ontwikkelen zodat we een keuze hebben tussen Oracle of een betere omgeving...
24-10-2013, 14:48 door Anoniem
Door Wim ten Brink:
De taal op zich is niet slecht, maar lijkt sowieso sterk op C++ en C# zodat het overstappen op alternatieven goed mogelijk is.

Alleen zijn C++ en C# gecompileerd naar executables die afhankelijk zijn van het platform waarop ze draaien. Dat is voor b.v. websites niet handig, want dan moeten ze veel varianten voor download hebben. Bij Java installeer je op je platform eigenlijk een interpreter en die voert e.e.a. dan uit. Als website bouwer hoef je dan niet zo na te denken. Dit maakt het ook zo aantrekkelijk voor kwaadwillenden.
24-10-2013, 15:05 door 0101
Het probleem is vooral dat het bij Firefox niet duidelijk is waaróm Java geblokkeerd is.

Ik was ook behoorlijk verrast toen ik opeens een melding kreeg dat Java geblokkeerd was omdat deze onveilig zou zijn en ik geen update kon vinden. Het was pas mogelijk om uit te vinden wat er aan de hand was door op het plugin-legosteentje naast de adresbalk te klikken, naar "meer informatie" (o.i.d.) te gaan, een pagina te zien dat de plugin geblokkeerd is omdat 'ie onveilig is en pas door daar door te klikken naar de bugmelding kon ik zien dat Java alleen voor de zekerheid geblokkeerd was.

Nu is het blokkeren van Java geen slecht idee en bij Google Chrome pakt het goed uit, maar Firefox maakt geen onderscheid tussen "onveilig want verouderd met bekende lekken" en "onveilig want beveiliging voldoet niet aan de normen van vandaag, hoewel de software up-to-date is en er geen bekende lekken in zitten". Als je Java gaat blokkeren, zorg dan dat er geen verwarring ontstaat bij gebruikers. Nu loop je het risico dat gebruikers die écht een verouderde Java draaien denken dat dit komt door deze algehele Java-blokkade en dat ze zich dus geen zorgen hoeven te maken - en daardoor op een dag worden gehackt.
24-10-2013, 15:11 door Anoniem
Prima!

Alle zogenaamd oudere java versies blokkeren is alleen prima als ze dat zorgvuldig doen.
Java 6 voor Mac OS X heeft nog steeds security support van Apple, die fout of misvatting maken meer en meer bedrijven / websites (gebrek aan kennis of desinteresse?).
24-10-2013, 15:34 door Anoniem
Door 0101: Het probleem is vooral dat het bij Firefox niet duidelijk is waaróm Java geblokkeerd is.

Klopt, daar wordt door Mozilla op dit moment aan gewerkt. De volgorde is natuurlijk wel verkeerd.
24-10-2013, 16:59 door Anoniem
Het niet in het menu kunnen blokkeren van javascript is veel ernstiger dan het standaard blokkeren van Java, wat een onveilige plug-in is.
24-10-2013, 17:03 door Briolet
Door Wim ten Brink: De taal op zich is niet slecht, maar lijkt sowieso sterk op C++ en C# zodat het overstappen op alternatieven goed mogelijk is..
Of ze echt zo vergelijkbaar zijn betwijfel ik. Een belangrijk verschil tussen Java en C++ is het ontbreken van expliciet geheugenbeheer in Java.

Ik draag al een aantal jaar bij aan een open source project in Objective C en juist het geheugenbeheer vraagt veel discipline of je krijgt lastig te traceren crashes. Ik ken Java niet als taal, maar zonder expliciet geheugenbeer lijkt het volgens mij dan meer op JavaScript, waar je ook niet aan geheugenbeheer hoeft te denken.
24-10-2013, 18:57 door Anoniem
Nou alleen maar hopen dat ze bij Mozilla niet ALLEEN maar naar de interface kijken, want soms werkt het hele systeem niet. Bij webex.com bijvoorbeeld wordt ergens intern gecontroleerd of je Java hebt draaien of niet. De manier waarop hun webinar client start, zie je dat blokje nooit. En god helpe je als je ook werkelijk de Java plugin niet geïnstalleerd hebt, want het verschil tussen blokkade en ontbrekende plugin zie je niet.

Door Wim ten Brink:Maar eigenlijk is het tijd dat andere fabrikanten ook de nodige Java VM's en compilers gaan ontwikkelen zodat we een keuze hebben tussen Oracle of een betere omgeving...

IBM maakt al meer dan 10 jaar een eigen JVM. En de Oracle JVM is tegenwoordig een herverpakking van de OpenJDK, dus ga je gang....

Door Anoniem:Alleen zijn C++ en C# gecompileerd naar executables die afhankelijk zijn van het platform waarop ze draaien. Dat is voor b.v. websites niet handig, want dan moeten ze veel varianten voor download hebben. Bij Java installeer je op je platform eigenlijk een interpreter en die voert e.e.a. dan uit.

Dat is inderderdaad de normale gang van zaken. Wat niet wegneemt dat het een keuze is -- de GNU bijvoorbeeld maakt al jaren een native Java compiler. Vraag me niet waarom, maar ze doen het wel.

Door Briolet:Ik draag al een aantal jaar bij aan een open source project in Objective C en juist het geheugenbeheer vraagt veel discipline of je krijgt lastig te traceren crashes.

Voor C/C++/Objective-C was toch ook een bibliotheek voor memory management? Boehm of iets dergelijks?
24-10-2013, 21:29 door Anoniem
"Bedrijfsapplicaties maken echter wel gebruik van de technologie"

Ja op zich is dat verbazingwekkend. Je maakt je hiermee wel extreem kwetsbaar. Je applicatie (ik verwijs daarbij
zowel naar de maker als de gebruiker) draait op een platform wat een moving target is. Je moet voortdurend op je
hoede zijn en opletten wat Oracle (vroeger Sun) nou weer doet. Vooral de laatste tijd.
Dat lijkt me toch niet zo fijn. Ik zou liever een wat stabieler platform kiezen als ik iets ging ontwikkelen.

We gebruiken op het werk een applicatie die via browser in java draait (alleen gebruikt door 3 man gelukkig) en na
de Java update zijn er ineens problemen. Dit blijkt puur door laksheid van de ontwikkelaars te komen, maar je moet
dan toch maar weer aan de slag om het te melden, te laten uitzoeken, en er omheen te werken met een lelijke fix.
Dat is toch niet fijn, zeker niet voor een bedrijfsapplicatie.

En dan gebruiken we nog niet eens Firefox...
25-10-2013, 07:26 door [Account Verwijderd]
[Verwijderd]
25-10-2013, 07:29 door [Account Verwijderd] - Bijgewerkt: 25-10-2013, 07:31
[Verwijderd]
25-10-2013, 07:35 door [Account Verwijderd] - Bijgewerkt: 25-10-2013, 07:36
[Verwijderd]
25-10-2013, 07:37 door [Account Verwijderd]
[Verwijderd]
25-10-2013, 12:06 door Anoniem
Door Anoniem:Je moet voortdurend op je
hoede zijn en opletten wat Oracle (vroeger Sun) nou weer doet. Vooral de laatste tijd.
Dat lijkt me toch niet zo fijn. Ik zou liever een wat stabieler platform kiezen als ik iets ging ontwikkelen.

Excuseer? Ja, er wordt doorontwikkeld aan het Java platform. Maar die doorontwikkeling is backward compatible. Bij mijn weten heeft Sun ooit één ding gedaan dat backward compatibility zou kunnen breken (weghalen van ondersteuning voor hun eigen audio formaat) en dat was geheel theoretisch omdat geen kip het ooit gebruikte.

Sorry hoor, maar als je Java instabiel vindt, dan is stabiliteit toch echt alleen maar voorbehouden aan talen als COBOL, Algol60 en PL/I en platformen als de Electrologica machines....

Door Anoniem:Dit blijkt puur door laksheid van de ontwikkelaars te komen, maar je moet
dan toch maar weer aan de slag om het te melden, te laten uitzoeken, en er omheen te werken met een lelijke fix.
Dat is toch niet fijn, zeker niet voor een bedrijfsapplicatie.

Mja, je zegt het zelf al: slechte programmeur, slechte software.
25-10-2013, 14:34 door Anoniem
Door Krakatau: Helemaal niet verbazend!

Bij het bedrijf waar ik nu werk draait vrijwel alles op Java EE en is erg stabiel.

Het populairste platform krijgt de meeste aandacht van hackers...
Nee inderdaad niet verbazend want je hebt je eigen bedrijf, volgens eigen reactie in ,,Java is met kop en schouders nog steeds het belangrijkste platform voor solide back-end systemen,, 20-11-2011, 11:55.
In dat licht, als eigen baas beslissend over de inzet en toepassingen van Java, zeggen je bijdragen meer over je individuele afhankelijkheid ervan dan over de daadwerkelijke kwaliteit en populariteit van het Java platform.
Wel zo eerlijk voor de lezer hier dat kader weer eens mee te geven en wat vaker te herhalen.
Geposte argumenten ter ondersteuning van de populariteit van Java vind ik helaas zelden inzichtelijk en overtuigend, de schrijver van onderstaand link artikel doet dat stukken beter.
http://computerworld.nl/software/79788-12-redenen-waarom-java-een-blijvertje-is
Voortaan bovenstaand linkje posten?
26-10-2013, 11:24 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.