Ziet er goed uit, maar we moeten nog wachten of het echt zo veilig is als het er staat :)

Nooit aan gedacht, maar inderdaad, je hebt gelijk, de veiligheid van programmeurs tijdens het programmeren is natuurlijk ook heel belangrijk.
Dat mag best wat meer onder de aandacht gebracht worden, Java programmeurs, we kunnen niet zonder.

Wat gebruikers betreft, we weten niet of Java 8 breekt met haar opgebouwde toppositie op het gebrek aan gebruikersveiligheid.
Laten we het hopen.

Tot dan is het nog steeds verstandig gebruikers die Java niet nodig hebben toch te blijven adviseren Java te deïnstalleren.
Bij een eventuele popupvraag naar Java installatie, eerst te zoeken naar een alternatief softwareprogramma dat Java niet nodig heeft. En als het echt niet anders kan dan inderdaad alleen de nieuwste Java te installeren en deze altijd up to date te houden.

Houd ook je koelkast, je thermostaat, en een lot of huishoud-things die inmiddels verbinding zoeken met het internet (binnenkort broodrooster, vuilnisbak, koffiezetapparaat?) up to date.
Niet vergeten hoor.

Kom op zeg, dat is een advertentie!
Er zijn wel vaker financiele professionals het pad totaal kwijtgeraakt, ik zou ze in ieder geval nooit achterna lopen.
En toen Java 7 uitkwam hoorden we ook die verhalen alleen toen bleek wel dat Java 7 vulnerabilities had die in
Java 6 niet aanwezig waren. Dus eerst zien.

Ik weet dat er een groot overschot is aan Java-programmeurs, maar om dat nu te gebruiken als maatstaf voor "meest veilige programmeertaal" is natuurlijk overdreven. Dan is Windows ook het veiligste OS. Prima als dat je mening is, maar breng het dan niet als feit.


Nee bij Java voel ik me prettig.., gebruik iets degelijks zoals Python wanneer veiligheid een issue is.


Wat een taalgebruik...
Wat heeft .Net nu weer te maken met Java 8? En waarom zou je een brak framework niet vervangen door iets degelijks waar mogelijk?

Ik ben het helemaal eens met anoniem, als je geen Java nodig hebt moet je het zeker niet installeren.
Een linkje of 2 naar (gesponsorde?) "onderzoeken" doet me niet veel, ik kan er 1000'n geven waar Java wordt afgebrand om verschillende redenen.


Da's helemaal het toppunt, nu is het de schuld van alle browsers? De realiteit is dat Java willens en wetens nog steeds een plugin ondersteunt die gemaakt is om code op afstand uit te voeren zonder dat daar de nodige beveiligingen in zijn verwerkt. Dat is de schuld van Oracle, en van niemand anders.


Hoewel IoT hier misschien niet direct aan gerelateerd is, is verouderde firmware zeker wel een probleem en Java speelt daar een belangrijke rol in. Denigrerende opmerkingen doen daar niets aan af.
Ik hoop maar dat je je in je privéleven wat minder arrogant opstelt, maar gezien je opmerkingen hier (vandaag + verleden) kan ik me voorstellen dat jij weinig tot geen vrienden hebt...
Probeer je anoniem iets bij te brengen of hem/haar de les te lezen?


Kortom: doe even normaal met je "Java is super-duper-helemaal-geweldig" -spam, en beantwoord reacties inhoudelijk voortaan, in plaats iemand af proberen te branden om je gelijk te halen. Ik ben echt niet de enige die daar dwars doorheen kijkt...

Iedereen op deze website gebruikt iedere minuut van de dag Java zonder dat de meesten het door hebben. Het zit namelijk in jouw SIM kaart.

Wanneer er in teams wordt gewerkt, clean-coding een eis is en de app in een Linux/Unix environment moet performen, dan is Java de beste oplossing.

Voor de rest is Java net zo veilig als bijvoorbeeld Linux, want als Zij *x-files-geluidje-maakt* er naar binnen willen, gebeurt dat altijd via de achterdeur.

Ben benieuwd, wat voor ellende deze versie ons weer gaat brengen. Maar het zal nog wel even duren voor dat tomcat, jboss en dat soort frameworks java8 gaan gebruiken.

@Krakatau Wil jen niet zo min doen over andere talen, de veiligheid van een applicatie heeft voornamelijk te maken met de programmeur en de taal moet hem alleen maar helpen het veilig te kunnen maken.
Java is maar een tool, om je doel te bereiken.

Sorry maar ik vond deze wel hilarisch.

- Enhanced Support for NSA

Groet,
Toni

Ik bedoelde daar iets veel simpelers mee, namelijk dat als je als reguliere gebruiker (denk ook aan de geïnteresseerde 'digibete' lezertjes) een programma installeert, LibreOffice bijvoorbeeld, en het programma vraagt om Java te installeren, het een overweging is om te kijken naar een alternatief Office pakket waarvoor je geen Java nodig hebt.
Inmiddels is dat niet meer zo bij LibreOffice maar wellicht nog wel bij andere programma's die gebaseerd zijn op Java maar waarvoor misschien vergelijkbare programma's beschikbaar zijn waarvoor je Java niet nodig hebt.
Heel simpel dus, ging niet over .net. Grappig dat jij als Linux gebruiker (?) ervan uitgaat dat ik windows draai en .net propageer.
Ik had het alleen over Java.

Wat betreft het decimeren van het gevaar van Java tot alleen de browserplugin denk ik dat dat een verkeerde voorstelling van zaken is, ik houd me aanbevolen voor neutrale correcties van mensen die meer verstand van Java hebben. Mijn expertise beperkt zich voornamelijk tot het verwijderen ervan.
Java exploits misbruiken naar mijn indruk niet alleen de browserplugin via extra installatie/uitvoer van applets. Het is al een hele tijd 'in' malware-meertraps-'raketten' te bouwen waarbij in de combinatie ook gebruik wordt gemaakt van Java.
Komt de exploit binnen via bijvoorbeeld een malware pdf en maakt via deze omweg alsnog gebruik van de uitvoermogelijkheden van Java op je systeem om malware te activeren of aanvullende code te downloaden.

Wanneer je als gewone gebruiker eigenlijk voor de programma's die je dagelijks gebruikt geen Java nodig hebt op je systeem omdat die programma's het niet nodig hebben is het heel raadzaam om Java in haar algemeenheid te de-activeren maar eigelijk beter nog om het te verwijderen.
Dan heb je er namelijk geen omkijken naar.

Dat is inderdaad een hele andere perceptie bij het nemen van security maatregelen.
Je kan proberen alle kwetsbaarheden op je systeem voortdurend te monitoren en alles goed up tot date houden of je kan functionaliteit die je niet gebruikt verwijderen.
Het voordeel is dan dat je het niet hoeft te monitoren en exploits er ook geen misbruik van kunnen maken. Wanneer je besluit om Java wel te gaan gebruiken heeft het daarbij gelijk het voordeel dat je dan een nieuwe versie binnenhaalt.

Bashen? Nee hoor, voor reguliere gebruikers is het verwijderen van Java wanneer het niet gebruikt wordt gewoon de meest veilige oplossing.
Jij zet graag Java op systemen, ik haal het er graag af omdat ik weet wat voor str*nt je kan hebben met Java malware, dat gun ik anderen niet en heb de voorkeur anderen de voors èn tegens te laten zien.
Een goed team zullen we wel nooit worden, kidding, alhoewel, het is hopelijk wel goed voor de balans in de discussie hier.
Dat is alles.


(Ben je er nog?
Dit was mijn 2e reactie hier, praten tegen mezelf doe ik niet in het openbaar.
Ten overvloede, met een beetje humor reageren op humor maakt één en ander een stuk verteerbaarder en je draagvlak hier waarschijnlijk een stuk groter hoor. Maar dat past misschien niet bij het imago van een allesvernietigende vulkaan.
Afsluitend; met mensen uitleggen, jij bent immers de expert, hoe het wel in elkaar steekt creëer je waarschijnlijk ook meer draagvlak dan ze digibeet te noemen, ik kijk er met belangstelling naar uit. )

Veiligheid en financiën : z/OS en programmeren in Cobol. (Mainframe + een hele oude maar goed leesbare taal)

@Krakatau

Als je in persberichten geloofd die worden verspreid door zakenpartners (Thawte is een zakenpartner), dan heb je nog veel te leren over beveiliging. Dit PR verhaaltje is "wij van WC eend".

Verder zie ik de aloude verwarring tussen de term veiligheid en encryptie.

encryptie != veiligheid

Denk dat dit er eentje is, pdf voorbeelden vond ik geloof ik weer met oa python.

Mac OS X 'Sabpab' Trojan horse exploit (java exploit met gebruik van Word document)
http://forums.macrumors.com/archive/index.php/t-1359566.html
http://www.f-secure.com/v-descs/backdoor_osx_sabpab_a.shtml

Als digibeet heb ik er natuurlijk niet zo'n verstand van, fantasie daarentegen,..
Fantasietje, naar aanleiding van wat ik lees en bij gebrek aan het origineel daarentegen,.. zeg maar of het kan :

- Neem een kwaadaardig applet, jar of jnlp file, weet niet welke het best code kan uitvoeren direct en buiten je browser om
- Geef het een aansprekende titel
- Geef het desgewenst een dubbele extensie als; .pdf.applet , .jpg.jnlp , .doc.jar , verzin maar een dubbele extensie (met hierboven gemaakt voorbehoud)
- geef het file een leuk icoontje, een foto-jpg-afbeelding bijvoorbeeld
- plaats het als drive by donwload op een site

Wat doet een gebruiker?
Die wat af browst
Die extensieweergave uit heeft staan en dus de echte extensie niet ziet
Die een browser heeft die automatisch drive by downloads download
Die het file op enig moment ziet staan in de dowloads map en denkt 'he wat is dat?' en erop klikt.

Met behulp van de aanwezige Java op het systeem wordt dan Java code uitgevoerd met alle narigheid van dien.

Heel simpel eigenlijk, zo simpel en inderdaad nog niet gezien in de praktijk, te simpel? Zo simpel dat het niet werkt? Graag zou ik van je horen dat dat zo is.

Blijven staan de varianten die al wel in de praktijk voorkomen, met behulp van office documenten bijvoorbeeld, docx is echt een uitkomst wat dat betreft, je kan er van alles (dus ook aan Java code) onzichtbaar in verstoppen.
Jpg en pdf varianten zijn er wel al met behulp van gebruik van shellcode of python, vast ook met java maar die vond ik niet tussen de overweldigende hoeveelheid java exploits (meeste voor windows overigens).
Die hou je dan tegoed.

Daarom ben ik tegen de aanwezigheid van Java op een systeem als de gebruiker het niet nodig heeft.
Maar je hebt helemaal gelijk dat er meerdere (infectie) wegen naar Rome leiden.
Alleen geen interessant argument, malwaremakers zullen uiteindelijk alle routes gebruiken die succes oplevert, die zijn niet zo kieskeurig ; als het maar werkt, daar gaat het om.

Aan ons de taak reactief of pro-actief ons daartegen te wapenen.

O, ja, met het toewijzen van een ander programma, een texteditor bijvoorbeeld, om een applet, jnlp of jar file te openen is het probleem van hierboven overigens weer opgelost, denk ik.
Creatieve oplossing die natuurlijk de hardcore it-er een gruwel is ;-)
Net zoals Java verwijderen.
Maar het werkt wel, daar gaat het om.
Wat mij betreft.

Toegift, java malware klassieker met deels o.a. 'hoog' social engineering gehalte (mocht de browserplugin-weg niet werken)
http://www.securelist.com/en/analysis/204792227/The_anatomy_of_Flashfake_Part_1
http://www.securelist.com/en/analysis/204792232/The_anatomy_of_Flashfake_Part_2

Koffie of thee?
Doe mij maar een theekransje, lekker duf maar relaxed.

Okay,
ik zag het (al te doorzichtige) risico van te voren wel aankomen bij het 'moeten' zoeken van voorbeelden, als gezegd nogal een klus. Soms lees je dingen en kan je het gewoon niet meer terugvinden of kijk je er overheen. Kom er zo op terug.
Was gegeven voorbeeld niet exact de juiste en ik ga er geen verder (gratis t)huiswerk of levenswerk van maken.

Evengoed denk ik dat uitvoer van Java-exploit code buiten een browser-omgeving kan, dat het ook gebeurt of gaat gebeuren en dat het daarmee een reëel veiligheidsrisico oplevert, op zijn minst voor particuliere digibete thuisgebruikers die al moeite genoeg hebben met de basisbeginselen van security (de grootste kwetsbare groep).

Gezien je antwoord
dat geen overtuigend nee behelst, is er dus praktisch ruimte voor misbruik en uitvoer mogelijkheden die, vroeg of laat, ook gebruikt gaan worden.

Want wat blijft staan is dat er mogelijkheden zijn om exploit-code in andere (offline) documenten te verstoppen (pdf's,images, office doc's), mogelijk ook zelfs zeer direct in de vorm van gegeven concreet voorbeeld.
Ik kan het je niet vertellen want ik kan geen code schrijven, jij wel maar gaat vast niet meewerken aan een werkend bewijs daarvoor (wat op zich jammer is want het zou de security van Java ten goede kunnen komen. Waarom ga je eigenlijk niet voor Oracle werken?).

Niet alleen
Java staat daar (kwetsbaar voor misbruik) mijns inziens overigens niet alleen in, want ik zie dat dit (uitvoer van verstopte code in een ander document) in variatie ook kan en geprobeerd wordt met shellcode of python scripts.
Voor (tegen) Java heb ik maatregelen genomen (breken of deïnstallatie wanneer mogelijk), alsook voor ongeoorloofd gebruik van shellcode uitvoer, voor python nog niet, nog geen goed idee hoe ik dat op een systeem veilig kan kaderen, wat ik als het aan de orde is ook nog zeker verder ga proberen.
Want LibreOffice is een leuk pakket maar steunt zwaar op python, ik verwacht dat op enig moment ook daar geprobeerd zal worden om misbruik van te maken.

! Meerdere infectie wegen mogelijk dus waarbij Java daarom echt niet ongebruikt buiten schot blijft als het mogelijkheden biedt voor (al dan niet direct, dus buiten de browserplugin) misbruik. !

Office keuze
Dat je MsWord niet meer zou gebruiken kan ik wel begrijpen als er LibreOffice is want daar heb je geen abonnement voor nodig dat als het verlopen is ook nog je bestanden op slot gooit.

Weer-nogmaals,
Java zal mooi en prachtig zijn maar is ook een gevaar voor je systeem als het ook (ongelimiteerd) kwaadaardige code (nog steeds op root niveau?) uit kan voeren.
Dat geldt dus voor meer 'programma's' maar Java staat op 1, inderdaad een koppositie, als malware-target voor misbruikers.
Dat is heel jammer voor Java, Oracle en gebruikers, tot dat veranderd is zou ik als doorsnee computer gebruiker er maar met een grote boog omheen lopen (als je Java toch niet nodig hebt, niet gebruikt, grootste groep).

Wat je niet hebt hoef je niet te monitoren, niet te updaten en kan ook niet misbruikt worden ,
is in die zin de spijker op zijn kop.
Mooi statement van je, zeer aardig dat we het op dat punt eens zijn. ;-)

We houden het beiden in de gaten, jij voor de pro's en de Oracle marketing, ik voor de security van digibete kleine gebruikers en particulieren.


Meerdere wegen naar Rome?
http://www.securelist.com/en/images/vlill/gostev_flashfake_pic09.png

Zwakke of halve oplossingen hebben de voorkeur? *

Het slechts uitzetten van je Java browser plugin in je browser is als security oplossing tegen (browser)misbruik van Java de zwakst denkbare oplossing die er is.
Ik vind het dan ook onbegrijpelijk dat dit een oplossing is die veel wordt herhaald, het is gewoon een buitengewoon zwakke security maatregel.
Punt.

Immers : je browservoorkeuren staan lokaal opgeslagen, malware is relatief makkelijk in staat die setting te veranderen, denk maar aan een verkeerde toolbar installer waar hele volksstammen last van hebben; als je standaard zoekmachine in je browser daarmee veranderd kan worden kan dan ook met andere voorkeuren, dus ook met je (Java)plugin settings.

Beter is het dan de Java browser plugin helemaal van je systeem te verwijderen, onder Mac OSX bijvoorbeeld een simpele aangelegenheid, voor andere os-en wellicht ook.
Oppassen is het dan weer met een update van je Java, voordat je het weet of er erg in hebt staat dan stiekem de Java plugin er ook weer bij.

In die zin is dan het niet updaten van je Java dan weer een 'pré'* , dat in de meeste gevallen ook niet gebeurt.
Elk nadeel heb ze voordeel ;-)

* Not!

Even inbreken hoor:

Oracle is verantwoordelijk voor die plugin, niemand anders.


Maar Krakatau, begrijp ik het goed als jij hier probeert te verkondigen dat iedereen Java moet installeren / gebruiken? Dat Java het meest veilige platform is waar applets / applicaties op kunnen draaien? En dat er nu (eindelijk) helemaal niets mis meer is met Java?
Ik zie de voordelen van Java wel voor de zakelijke gebruiker met een IT-afdeling die alles netjes up-to-date & veilig houdt, en ook voor cross-platform oplossingen in het algemeen (die in andere talen veel lastiger te realiseren zijn). Maar voor de overgrote meerderheid van de (windows) consumenten is Java een blok aan het been.

IMHO, als je het niet nodig hebt, moet je het niet gebruiken en verwijderen indien mogelijk!
Hetzelfde geldt voor .Net, Silverlight, Windows Media Player, Adobe Reader, IE, Office en al die anderen waar zat minder kwetsbare alternatieven voor zijn....

Er is geen kind dus het badwater kan probleemloos weg.
Mocht er een kinderwens bestaan kan er ooit na de bevalling alsnog water in het bad (kraan open is Java download, sneller dan een bad vol is en nog gratis fris en nieuw water ook)


De Java browserplugin werkt niet zelfstandig zonder Java, het is er onderdeel van en de vraag is of je een deel of het geheel uitschakelt of verwijdert.
Wat prima kan (helemaal verwijderen dus) en het veiligst is als je het helemaal niet gebruikt.


Kwestie van (onnodige onbegrijpelijke) lagere security prioriteitsstelling, er zijn betere grondiger security methoden met heel goede redenen daarvoor te kiezen.


Als iemand echt Java nodig heeft kan een oplossing in die hoek inderdaad gezocht worden, er zijn meer mogelijkheden.


Dat kan best zijn, dan nog kan het ook ongezien weer aan terwijl dat echt niet de bedoeling is.
Als het knopje of de functie er niet meer is kan het ook niet meer aan, simpel en makkelijk.


Laten we terugkeren naar de realiteit ; wat zwart zag was bijvoorbeeld het aantal besmette Mac's in 2012 ( pakweg 600.000) dankzij (gaten in en misbruik van) Java technologie.
Een goede reden om die technologie niet op je systeem te willen hebben staan als je deze niet gebruikt en de leverancier (s) om wat voor reden dan ook zeer worstel(d)en met het veilig houden van die technologie.
Als gebruiker gezegd en gedacht : 'veel succes ermee, wij kijken nog eeeven verder,... (not, doei, exit, nietnodig dus mooinie)'


Absoluut en dat blijf ik doen, omdat je mensen geen onveilig systeem door onnodig risico gunt. Dat vraagt een eerlijk verhaal, voordelen en nadelen. Geen spulletjes aansmeren die mensen niet nodig hebben.
Mensen niet met spullen laten sjouwen die zaken onnodig zwaar maken.
Wel zo eerlijk, verkoop spullen die mensen wel nodig hebben en daar wel in geïnteresseerd zijn.


Klopt, ik zou willen dat mijn bereik en capaciteiten veel groter waren, maar vooral dat bijvoorbeeld Mac (en pc) gebruikers beseffen dat security belangrijk is, ze daaraan werken of bereid zijn daarin te investeren en 'professionals' die beter moeten kunnen weten hun verantwoordelijkheid nemen door het eigenbelang te overstijgen ten gunste van de gebruiker.
Dat kunnen antivirusbedrijven zijn, of
developers bijvoorbeeld
(al is software developing een heel ander vakgebied dan security, die gaan niet altijd samen, hoor je wel eens)


Ja als je het niet nodig hebt


.net aversie zit kennelijk heel diep, ik heb het niet genoemd en kan er niet over oordelen want ik heb het niet omdat het niet werkt op mijn systeem en ga er ook geen moeite voor doen om dat wel voor elkaar te krijgen.


Well, wat zal ik als ... gebruiker daar nou eens op antwoorden?


Cirkeltje is al een paar keer rond inmiddels
Vind het wel weer ruim welletjes zo ...

Libreoffice is nooit "op Java gebaseerd" geweest en heeft ook nooit "Java nodig gehad".
Er waren wat nooit gebruikte mogelijkheden met interfacing naar Java, en ik heb het dan ook altijd een slechte zaak
gevonden dat er tijdens de installatie gesuggereerd werd dat het nodig of beter was om Java te installeren.
En ook dat er in Linux distributies onterecht "afhankelijkheid" is tussen een Libreoffice installer pakket en een Java
installer pakket, waardoor dit wordt meegeinstalleerd zonder dat de gebruiker dit wil.
Nog altijd krijg ik als ik probeer Java te uninstallen de melding dat dit Libreoffice kapot maakt. Bullshit.

Libre Office gebruiken zonder Java en zonder Java meldingen is mogelijk!


Dank voor de correctieve aanvulling.

Alweer een tijd geleden heb ik eens onderzocht hoe van de verplichte Java installatie af te komen bij een installatiepoging van LibreOffice op de Mac.
Wat er gebeurde bij installatie was een pop up melding Java te installeren en te downloaden.
Wanneer je dit weigerde werd ook LibreOffice niet geïnstalleerd op je Mac: vandaar de eerder gegeven indruk.

Dat vond ik jammer en leek me wat overdreven: "Is dat wel zo? Let's see,..".
Een verloren zonnig zondagochtend experimentje leverde tot mijn verbazing een oplossing op.

Het betrof LibreOffice Mac version 3.6.1.2.
In die versie heb ik eens in de package contents (cmd muisklik op het programma, show package contents) alle Java gerelateerde componenten verwijderd (een overzicht daarvan heb ik even niet bij de hand).
Tot mijn verbazing kon LibreOffice daarna gewoon geïnstalleerd worden zonder de verplichte Java melding.
Ook bij het doornemen van de voorkeuren en zelfs bij het aanklikken van de Java voorkeuren leverde dat geen Java melding op.

Dit experimentje heeft een versie opgeleverd die (naar mijn ervaring) nooit problemen heeft gegeven en prima zonder problemen te gebruiken was voor normaal basic gebruik van een Office.

Daarna heb ik nog eens een experimentje gedaan met het verwijderen van internet gerelateerde en multimedia content gerelateerd functies.
Ook verwijderd and still een werkend pakket waarbij er ongetwijfeld wat zaken misschien niet meer werken maar waarvan ik volstrekt geen last heb (spreadsheetfunctie en wordprocessing gaan prima).

Het idee achter dit experimentje was dat ooit MsOffice kwetsbaar was voor malware via bijvoorbeeld ingebedde flashcontent in een excel sheet (wt*!?).
Dat vond ik onzin en wilde pro actief dat soort mogelijke functionaliteit uit LibreOffice hebben.

Een gezonde Mac met een gezonde LibreOffice geheel zonder Java kan dus!

Ik geloof dat LibreOffice inmiddels niet meer de verplichte Java installatie melding geeft op de Mac,
en als wel is er dus een oplossing beschikbaar : géén Java wel LibreOffice
(fijn toch?).

Het is maar dat je het weet (of deze truk werkt voor Linux en windows kan ik je niet vertellen).
Dat wilde ik nog wel even kwijt als uitzondering op het 'ruim welletjes zo ...' .

Veel plezier en veiligheid toegewenst zonder Java (dreigingen en ergernissen) en met het gratis pakket LibreOffice!
Want LibreOffice is verder een erg fijn pakket om mee te werken.

Mvg
Digi beet / digi byte / digi bit
;-)


"hou het compact en doelgericht" = Gooi eraf wat je niet nodig hebt, heb je er ook geen omkijken naar, wel zo veilig!

Mooi al die algoritmes met hun afko's, maar wie zegt dat er geen programmeerfoutje in is gemaakt? Tenslotte had Kerberos vroeger ook een voorspelbare randem-nummer generater.

Sorry hoor maar een plugin die je automatisch een toolbar door je strot laat douwen tijdens de installatie is al lang niet meer serieus te nemen, op naar html5.

java veiliger? dan is alles zeker weer kapot wat er aan hangt? een programmeer taal is per definitie niet veilig of onveilig. alleen als je het beschouwt als script taal en klakkeloos imports doet en libs gebruikt waar je de code nooit van gezien hebt wordt het onveilig. schrijf gewoon zelf je code, en vermeid libraries en code examples die je niet volledig begrijpt. als je ze wel gebruikt, is er zat informatie over hoe dit veilig te doen. je moet er gewoon me bezig zijn, dan is elke taal veilig. niet meer zo lui doen en gewoon zelf programmas maken ipv functies/libraries aan elkaar koppelen.

Ik ben anoniem nummer zoveel, en ook ik vraag mij af, waarom Java gebruiken, na zoveel ellende.
Ik heb het jaren geleden van de PC verwijdert, en kan mij niet herinneren, dat in al die tijd ik ergens
op een website kwam, die Java vereiste.
Dus waarom gewoon niet pragmatisch blijven denken en handelen, en het risico niet nemen.

Nu begint dit topic behoorlijk 'gevaarlijk' te worden voor eindgebruikers...

Wat betreft je (tegenstrijdige) persoonlijke meningen over MS vs Google, Java vs .Net, Chrome vs FF, verantwoordelijkheid voor de veiligheid van plug-ins etc. moet je natuurlijk zelf weten wat je verkondigt: "Java is heilig en perfect, alles van MS is kud, Chrome is de beste browser en verder is er geen discussie mogelijk."
Prima, maar als je niet inhoudelijk wil (durft te) kijken naar kritiek op datgene wat je 'verkoopt' kan ik je mening niet als integer bestempelen maar louter als marketing. Mijn advies aan jou is dan ook om marketeer of politicus te worden (als je dat al niet bent), dit topic begint IMHO namelijk behoorlijk naar spam in vergevorderde staat van ontbinding te ruiken...
Op z'n minst val je in de categorie "slager die zijn eigen vlees keurt."

De Java plug-in is al jaren veruit de meest lekke en aangevallen plug-in bij browsers, bij Chrome wordt de Java plug-in standaard ingeschakeld meegeleverd (ook zonder dat Java op het systeem zelf staat), en het is voor de reguliere eindgebruiker niet echt makkelijk om deze uit te zetten, laat staan up-to-date te houden, als ze zich überhaupt al bewust zijn van dit enorme risico:

Google Chrome aanpassen en beheren -> Instellingen -> naar beneden scrollen -> Geavanceerde Instellingen weergeven -> Instellingen voor inhoud... -> naar beneden scrollen -> Plug-ins -> Afzonderlijke Plug-ins uitschakelen -> Java (TM) uitschakelen. (En als je daar dan toch bent, is het wijsheid om de Chrome Remote Desktop Viewer ook gelijk uit te schakelen.)

Niet alleen is Chrome dus niet bepaald ideaal wat dat betreft (en m.b.t. meer standaard-instellingen in Chrome), maar het weigert ook nog eens zelfstandig Java-updates door te voeren in tegenstelling tot (alle) andere plug-ins, althans, verder dan dat kom ik niet in de paar minuten die ik aan deze onzin wil besteden.Tevens werd ik naar 7-51 op Java.com gewezen in plaats van JRE8 op Java.net. Je advies is in mijn ogen dan ook ronduit gevaarlijk voor de meeste eindgebruikers! Om over privacy nog maar niet te beginnen...


Ook hebben de problemen met Java en Windows dezelfde oorzaak: bruikbaarheid = mis-bruikbaarheid.
Java niet nodig? Weg er mee! (Dit geldt voor >90% v/d gebruikers.)
Windows niet nodig? Weg er mee! (Dit geldt voor <10% v/d gebruikers...)
Hetzelfde is van toepassing op alle andere software, frameworks en (remote) functionaliteiten.


NB: Wist je dat Thawte CA is van Java?
Heb je ook een onafhankelijk linkje waar Java de hemel in wordt geprezen door 'experts'?

NB2: Je wijst (terecht) constant op het verschil tussen JRE en de plug-in, dit is wat Oracle er zelf van vindt:
Puik geregeld, waar zou die verwarring vandaan komen?

NB3: Wordt er nog steeds gebundelde software meegeleverd met Java tegenwoordig?

Javascript ok... Ik ben benieuwd wat Dart gaat doen.

Allemaal correct wat je schrijft, behalve bovenstaande bewering, die wat nuance behoeft. Vroeger werd Java veel gebruikt op websites, maar tegenwoordig moet je echt zoeken voordat je een website tegenkomt die Java gebruikt.

Ik heb een nas op mijn interne netwerk die voor een aantal functies Java gebruikt, maar daarbuiten kom ik het eigenlijk zelden tegen. Op één van mijn computers is de Java plugin ook volledig verwijderd en ik kan mij niet herinneren wanneer ik daar voor het laatst last van gehad heb.

Java wordt tegenwoordig dus zelden gebruikt, maar is (was?) vaak wel standaard aanwezig bij systeem installaties. Op de Mac wordt de Java browser-plugin sinds OSX 10.8 standaard weggelaten. (versie 6 wordt zelfs verwijderd bij een update)

Vanaf Lion 10.7 - Geen Java voorgeïnstalleerd
http://appleinsider.com/articles/11/02/26/mac_os_x_lion_drops_front_row_java_runtime_rosetta.html
( & 10.8, 10.9, .. , .. , ..)

+
=
Spekkie naar het bekkie...


Mijn conclusie:
Java JRE is voor het gros van de consumenten niet nodig. Zij die het niet nodig hebben doen er goed aan (oude) installaties volledig te verwijderen, er is behoorlijk wat malware (trojan / RAT) in omloop dat verspreid wordt via jar-bestanden.
Voor diegene die het wel (moeten) gebruiken, zoals werknemers / -gevers is dit topic overbodig omdat zij toch wel zouden mogen weten dat Java 8 er is.

Vraagjes:
Wat is het doel van dit topic?
- Informatief? Dan moet het objectief zijn.
- Opiniërend? Dan moet je meningen als zodanig weergeven.
- Advertorial? Dit dus..

Wat is de toegevoegde waarde van dit topic en wat wil je nu precies bereiken?

Wat mij betreft had er een slotje op gemogen na de eerste post, blijkbaar vond ook de reactie het niet de moeite waard een artikel te wijden aan de 'nieuwe Java.'

Waarom suggereert iedereen de browser plug-in uit te schakelen, in plaats van doormiddel van bijvoorbeeld Hijack This de BHO uit je browser te verwijderen?

De software blijft in principe op je computer aanwezig, maar de verwijzing is weg uit je browser en dat maakt het ook weer een stukje moeilijker voor schadelijke software om deze stiekem weer aan te zetten.