"Java is houdbaarheidsdatum gepasseerd"
Java viert dit jaar z'n 21ste verjaardag, maar volgens verschillende experts is de software ver over de houdbaarheidsdatum heen. De problemen begonnen begin dit jaar toen Java-lekken op grote schaal werden gebruikt om zowel Windows- als Mac-gebruikers te infecteren. Eind augustus was het via een nieuwe zero-day kwetsbaarheid weer raak.
"Simpel gezegd, zorgt Java nu voor meer problemen dan het oplost, dus gebruikers moeten het in de browser uitschakelen", zegt Paul Kenyon van Avecto. "Ik schat dat 90% van de gebruikers Java niet meer nodig heeft", stelt Dominique Karg van AlienVault.
Het succes van Java is deels voor de problematiek verantwoordelijk. "Malwaremakers willen de grootste opbrengsten voor hun investeringen, wat betekent dat ze de grootste markt aanvallen", gaat Steve Santorelli van Team Cymru verder. Java draait op bijna alle besturingssystemen en zou door 70% van de internetgebruikers geïnstalleerd zijn. Experts hebben ook kritiek op het updatesysteem van Java dat doorsnee gebruikers nog teveel aan hun lot overlaat.
Uitschakelen
Inmiddels adviseert het CERT Coordination Center van Carnegie Mellon om Java in de browser uit te schakelen en de laatste update te installeren, ook al is bekend dat hier een beveiligingslek in aanwezig is. Daarmee gaat het tegen het advies van Oracle in, dat stelt dat het updaten van Java voldoende is.
Security.nl maakte eerder dit stappenplan dat het uitschakelen van Java uitlegt.
Reacties (17)
06-09-2012, 14:49 door
Bitwiper
Door Redactie: Java viert dit jaar z'n 21ste verjaardag, maar volgens verschillende experts is de software ver over de houdbaarheidsdatum heen.
Het is totale onzin dat Java over de houdbaarheidsdatum heen zou zijn. De JVM (Java Virtual Machine) is prima in staat om trusted code uit te voeren, zowel op PC's als op servers.Correct is dat code uitvoerende plugins in webbrowsers over hun houdbaarheidsdatum heen zijn. De praktijk heeft ondertussen uitgewezen dat het niet mogelijk is om een voldoende betrouwbare sandbox te maken waarin je untrusted Java code zou kunnen draaien. Zo'n sandbox is veel te complex doordat er veel te veel interfaces zijn die lek kunnen zijn. Steeds als de ontwikkelaars denken alle gaten te hebben gedicht worden er weer nieuwe ontdekt.
De oplossing is simpel. Oracle moet Java voortaan distribueren met browser support (zowel applets als webstart) disabled by default. Via opt-in kunnen gebruikers dit aanzetten als ze 1 (of beide) van die 2 functionaliteiten nodig hebben.
Daarnaast moeten we ophouden te denken dat de webbrowser gelijk staat aan de universal business adapter (https://www.youtube.com/watch?v=AIOqOxI0K_I) en het een vervanger is voor besturingssystemen en specifieke applicaties. Qua functionaliteit kom je wellicht een eind maar het hele concept valt gewoon niet goed te beveiligen. Hoe meer functionaliteit HTML5 gaat bieden, hoe kwetsbaarder het zal blijken te zijn.
06-09-2012, 15:13 door
Marius
Maakt het echt uit? Zolang java op een dusdanige schaal misbruikt wordt en er daar geen adequate Sun en/of browser maatregelingen tegen overstaan zal java overal (terecht) gedeinstalleerd worden. Sun reageert gewoon te langzaam op de gevonden items (en houdt waarschijnlijk ook nog eens een aantal andere lekken stil).
Persoonlijk heb ik java net op 6 pc's gedeinstalleerd omdat het continue bijwerken voor ons geen optie is (en niet geheel onbelangrijk java in feite helemaal niet gebruikt wordt)
Het gebruik van java is al jaren aan het afnemen en dit kon wel eens de doodklap gaan worden als Sun er niet adequat op gaat reageren. http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
Persoonlijk heb ik java net op 6 pc's gedeinstalleerd omdat het continue bijwerken voor ons geen optie is (en niet geheel onbelangrijk java in feite helemaal niet gebruikt wordt)
Het gebruik van java is al jaren aan het afnemen en dit kon wel eens de doodklap gaan worden als Sun er niet adequat op gaat reageren. http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
06-09-2012, 15:44 door
yobi
Ik gebruik Java al jaren niet meer. Nog steeds geen problemen!
Inderdaad onzin. Als java wordt afgeserveerd worden andere talen, bv. .Net, op de korrel genomen. Gaan we dan .Net afserveren. Net zo lang totdat er geen taal meer over is. Het wordt tijd dat er eens echt actie wordt ondernomen naar de misbruikers.
Door Marius: Maakt het echt uit? Zolang java op een dusdanige schaal misbruikt wordt en er daar geen adequate Sun en/of browser maatregelingen tegen overstaan zal java overal (terecht) gedeinstalleerd worden. Sun reageert gewoon te langzaam op de gevonden items (en houdt waarschijnlijk ook nog eens een aantal andere lekken stil).
Persoonlijk heb ik java net op 6 pc's gedeinstalleerd omdat het continue bijwerken voor ons geen optie is (en niet geheel onbelangrijk java in feite helemaal niet gebruikt wordt)
Het gebruik van java is al jaren aan het afnemen en dit kon wel eens de doodklap gaan worden als Sun er niet adequat op gaat reageren. http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
Persoonlijk heb ik java net op 6 pc's gedeinstalleerd omdat het continue bijwerken voor ons geen optie is (en niet geheel onbelangrijk java in feite helemaal niet gebruikt wordt)
Het gebruik van java is al jaren aan het afnemen en dit kon wel eens de doodklap gaan worden als Sun er niet adequat op gaat reageren. http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
SUN ? Oracle , en al geruime tijd
06-09-2012, 17:13 door
Marius
SUN ? Oracle , en al geruime tijd
LOL, touche! (ouch)
06-09-2012, 18:36 door
[Account Verwijderd]
[Verwijderd]
Door rookie: Waarom snappen 99 van de 100 mensen die een anti-java artikel schrijven er echt helemaal niks van?
En waarom krijgen die mensen een podium op al die grote websites?
En waarom krijgen die mensen een podium op al die grote websites?
Ik weet niet of ik bij die 99% behoor, maar zolang er lastig verwijderbare onzinzaken zoals "Ask-toolbar" bij gepushed worden, vertik ik het sowieso om Java te installeren.
Gelukkig mis ik het ook zelden.
06-09-2012, 22:44 door
bollie
Ik deinstalleer Java op iedere PC die ik onderhanden krijg. Ook op mijn eigen PC's draait het al sinds 1,5 jaar niet meer. Ik heb het nog niet één keer gemist. En de wetenschap dat de grootste toegangspoort voor malware hiermee afgesloten is vind ik toch wel fijn.....
Jammer wel dat LibreOffice en OpenOffice adviseren om Java te installeren.
Ze doen het wel zonder Java, maar het schijnt dat dan voor sommige onderdelen problemen ontstaan.
Groeten
Ze doen het wel zonder Java, maar het schijnt dat dan voor sommige onderdelen problemen ontstaan.
Groeten
Misschien op de gemiddelde desktop dat het je niet opvalt als je het eraf haalt, maar een Android telefoon, je blu-ray speler, een groot percentage van de websites (aan de achterkant)... dingen die allemaal Java onder de motorkap hebben.
En wat is het alternatief... denk dat het voorlopig er nog wel even is.
Disclaimer: getekend, een gecertificeerd java ontwikkelaar.
En wat is het alternatief... denk dat het voorlopig er nog wel even is.
Disclaimer: getekend, een gecertificeerd java ontwikkelaar.
Eerst Java uitgeschakeld, daarna gedeïnstalleerd (FireFox) en heb er nog geen moment negatieve gevolgen door ondervonden. Er schuilt een dikke kern van waarheid in de opmerking hier dat massaal deïnstalleren van Java de 'Shitware-producenten' noopt tot zoeken naar de eerstvolgende mondiaal gebruikte Plug-in of Extensie o.i.d. want het draait bij hen ook om het (zwarte?) geld.
Het blijft dweilen met de kraan open om al die troep zo veel als kan van het net te krijgen. Zolang de dweilen maar geen te grote gaten krijgen zullen we het er allemaal mee moeten doen.
Het blijft dweilen met de kraan open om al die troep zo veel als kan van het net te krijgen. Zolang de dweilen maar geen te grote gaten krijgen zullen we het er allemaal mee moeten doen.
Door Bitwiper:
Correct is dat code uitvoerende plugins in webbrowsers over hun houdbaarheidsdatum heen zijn. De praktijk heeft ondertussen uitgewezen dat het niet mogelijk is om een voldoende betrouwbare sandbox te maken waarin je untrusted Java code zou kunnen draaien. Zo'n sandbox is veel te complex doordat er veel te veel interfaces zijn die lek kunnen zijn. Steeds als de ontwikkelaars denken alle gaten te hebben gedicht worden er weer nieuwe ontdekt.
De oplossing is simpel. Oracle moet Java voortaan distribueren met browser support (zowel applets als webstart) disabled by default. Via opt-in kunnen gebruikers dit aanzetten als ze 1 (of beide) van die 2 functionaliteiten nodig hebben.
Daarnaast moeten we ophouden te denken dat de webbrowser gelijk staat aan de universal business adapter (https://www.youtube.com/watch?v=AIOqOxI0K_I) en het een vervanger is voor besturingssystemen en specifieke applicaties. Qua functionaliteit kom je wellicht een eind maar het hele concept valt gewoon niet goed te beveiligen. Hoe meer functionaliteit HTML5 gaat bieden, hoe kwetsbaarder het zal blijken te zijn.
Door Redactie: Java viert dit jaar z'n 21ste verjaardag, maar volgens verschillende experts is de software ver over de houdbaarheidsdatum heen.
Het is totale onzin dat Java over de houdbaarheidsdatum heen zou zijn. De JVM (Java Virtual Machine) is prima in staat om trusted code uit te voeren, zowel op PC's als op servers.Correct is dat code uitvoerende plugins in webbrowsers over hun houdbaarheidsdatum heen zijn. De praktijk heeft ondertussen uitgewezen dat het niet mogelijk is om een voldoende betrouwbare sandbox te maken waarin je untrusted Java code zou kunnen draaien. Zo'n sandbox is veel te complex doordat er veel te veel interfaces zijn die lek kunnen zijn. Steeds als de ontwikkelaars denken alle gaten te hebben gedicht worden er weer nieuwe ontdekt.
De oplossing is simpel. Oracle moet Java voortaan distribueren met browser support (zowel applets als webstart) disabled by default. Via opt-in kunnen gebruikers dit aanzetten als ze 1 (of beide) van die 2 functionaliteiten nodig hebben.
Daarnaast moeten we ophouden te denken dat de webbrowser gelijk staat aan de universal business adapter (https://www.youtube.com/watch?v=AIOqOxI0K_I) en het een vervanger is voor besturingssystemen en specifieke applicaties. Qua functionaliteit kom je wellicht een eind maar het hele concept valt gewoon niet goed te beveiligen. Hoe meer functionaliteit HTML5 gaat bieden, hoe kwetsbaarder het zal blijken te zijn.
Leuk verhaal die je daar schrijft maar helaas is de Browser Plugin niet meer de enige die gevoelig is voor dit soort problemen. Weet je nog toen Spotify last kreeg van dit omdat er een advertentie werd getoond met malafide code? Dit zorgde ervoor dat iedereen met Java slachtoffer werd.
Dus alleen je browser plugin uitschakelen lost het probleem niet op, want al je applicaties buiten je browser om kunnen je computer als nog infecteren.
Ik gebruik zelf al jaren geen Java meer, heb ik het nodig? Dan installeer ik het even, doe wat ik moet doen en gaat het gelijk eraf. Voorkomen is beter dan genezen.
Ik run al 15 jaar geen Java meer op m'n desktop en heb ik het vrijwel nooit nodig. Als anno 2012 een site er om vraagt en geen alternatief biedt, gaan we toch gewoon naar een alternatieve website. Al die Java applets die als WebApp zijn gebouwd omdat HTML zogenaamd niet voldeed (= meestal onzin, 1999 zijn prima cross-browser DHTML apps mogelijk) en alleen met 1 hele specifieke runtime versie werken zijn echt zwaar over de datum. Sowieso installeert 90% van de consumenten het alleen maar voor hun favoriete chatbox ...
An sich niets mis met het Java platform, maar als browser-plugin is het inderdaad enorm gaar. Als Oracle het inderdaad by default uitzet en je het per FDQN (HTML code + applet source op exact zelfde FDQN) aan kunt zetten, net zoals b.v. bij het opvragen van je Geo-lokatie in de browser gebeurd; zou het al een hoop ellende schelen. Uiteraard niet perfect, maar een veel veiligere en toch werkbare situatie ...
An sich niets mis met het Java platform, maar als browser-plugin is het inderdaad enorm gaar. Als Oracle het inderdaad by default uitzet en je het per FDQN (HTML code + applet source op exact zelfde FDQN) aan kunt zetten, net zoals b.v. bij het opvragen van je Geo-lokatie in de browser gebeurd; zou het al een hoop ellende schelen. Uiteraard niet perfect, maar een veel veiligere en toch werkbare situatie ...
Privé hoef ik geen java, niet standalone en zeker niet in de browser. Op het werk... ander verhaal. KVMs en ander afstandsbeheergereedschap moet en zal tegenwoordig java of erger hebben. Dan wil deze ouwe lul toch eigenlijk wel de serieële console met openboot weer terug, of iets met vergelijkbare functionaliteit. Dat krijg je gewoon niet in de peecee wereld.
En dan zijn er al die webapps en andere onzin; java is een graadje minder erg dan de activex- en specifieke verouderde browser-vereisende rommel, maar het is ook lek. Dubbelleuk als je het nodig hebt voor (enterprise-) financieële dienstverlening. En precies daar, waar je veiligheid en zekerheid het hardst nodig hebt, zie je de ergste en jammerste code. Of het moet om SCADA spul gaan mischien.
Ironisch genoeg is javascript (en html en css tegenwoordig, dat dan weer wel) een betere optie, maar ook daar wordt nog veel te makkelijk veel te veel rotte code in de client gestort. En daar gaat het uiteindelijk om: Remote code execution. Er hoeft maar een enkel gaatje in de zandbak te zitten en de stront verspreidt zich over het hele systeem. Je zou al die developers terug willen zetten in een echte zandbak.
En dan zijn er al die webapps en andere onzin; java is een graadje minder erg dan de activex- en specifieke verouderde browser-vereisende rommel, maar het is ook lek. Dubbelleuk als je het nodig hebt voor (enterprise-) financieële dienstverlening. En precies daar, waar je veiligheid en zekerheid het hardst nodig hebt, zie je de ergste en jammerste code. Of het moet om SCADA spul gaan mischien.
Ironisch genoeg is javascript (en html en css tegenwoordig, dat dan weer wel) een betere optie, maar ook daar wordt nog veel te makkelijk veel te veel rotte code in de client gestort. En daar gaat het uiteindelijk om: Remote code execution. Er hoeft maar een enkel gaatje in de zandbak te zitten en de stront verspreidt zich over het hele systeem. Je zou al die developers terug willen zetten in een echte zandbak.
07-09-2012, 11:10 door
spatieman
zullen we het eiland Java ook maar verwijderen dan....
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
