image

'Java pas in 2015 veilig genoeg voor gebruik'

maandag 14 januari 2013, 10:09 door Redactie, 11 reacties

Het kan nog twee jaar duren voordat het veilig is voor internetgebruikers om Java in hun browser te gebruiken, aldus een bekende beveiligingsexpert. Volgens H.D. Moore, Chief Security Officer bij beveiligingsbedrijf Rapid7 en bedenker van de hackertool Metasploit, heeft Oracle mogelijk pas in 2015 alle problemen opgelost die nu bekend zijn.

Het bedrijf kwam gisterenavond met een noodpatch voor twee ernstige lekken. Ook vorig jaar zag het bedrijf zich genoodzaakt om een noodpatch uit te brengen voor een lek dat actief door cybercriminelen werd gebruikt om internetgebruikers aan te vallen. Daarnaast zijn oudere Java-versies al geruime tijd een zeer populair doelwit voor aanvallers.

Veilig
"Het veiligste om nu te doen is ervan uit te gaan dat Java altijd kwetsbaar zal blijven. Mensen hebben Java echt niet meer op hun desktop nodig", laat Moore tegenover persbureau Reuters weten.

Hij krijgt bijval van de Poolse beveiligingsonderzoeker Adam Gowdiak, die vorig jaar een groot aantal lekken in Java ontdekte. Waarvan er een aantal nog altijd niet is opgelost. "We durven gebruikers niet te vertellen dat het veilig is om Java weer te gebruiken", merkt hij op.

Reacties (11)
14-01-2013, 10:22 door Anoniem
Is dit de "nieuwe wet van Moore" ofzo? Een soort extrapolatie van het aantal bugs tegen de tijd?
14-01-2013, 11:10 door Anoniem
In 2015 ligt Java als hulpmiddel voor interactieve websites al in de vitrines van computermusea naast de papieren floppy. En wordt er alvast ruimte naast gemaakt om Flash te tonen.
14-01-2013, 11:59 door NetGuardian
'Java pas in 2015 veilig genoeg voor gebruik'

Ik hoop eigenlijk dat voor 2015 geen enkele site meer java gebruikt en browsers het niet meer supporten!

Hoe vaak moet er nog iets mis gaan met java voordat iedereen (inclusief Oracle) inziet dat java niet meer van nu is?!
14-01-2013, 13:56 door Anoniem
Wat voor effect heeft dit eigenlijk op applicaties ( zoals Tomcat ) die afhankelijk zijn van JAVA?
Zijn deze nu ook onveilig?
14-01-2013, 14:31 door Anoniem
"We durven gebruikers niet te vertellen dat het veilig is om Java weer te gebruiken", bedoelt hij niet dat ze gebruikers niet kunnen vertellen dat het veilig is?
14-01-2013, 14:36 door Anoniem
Alle problemen opgelost die NU bekend zijn.
14-01-2013, 15:55 door Anoniem
Door NetGuardian: Hoe vaak moet er nog iets mis gaan met java voordat iedereen (inclusief Oracle) inziet dat java niet meer van nu is?!
http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html

Wat je daar ziet is de populariteit van programmeertalen. Java stond een jaar geleden op de 1e plaats, en is met slechts 0,05% in populariteit gedaald. Het is wel naar de tweede plaats verstoten door C, dat stijgt in populariteit. Is de op een na populairste programmeertaal niet meer van nu? Wees even reëel. Het is nog altijd bijna 3 keer zo populair als C#, en dat is aanzienlijk harder aan het dalen in populariteit dan Java. Het is veel te vroeg om Java af te schrijven.

De vraag is voor mij: hoe vaak moet er nog iets misgaan met Oracle's Java-implementatie voordat:
- Oracle zijn verantwoordelijkheid neemt en ondubbelzinnig achter het platform gaat staan;
- andere Java-implementaties zich als alternatief met minder problemen opwerpen en browser-plugins gaan aanbieden;
- de pers stopt met over Java te schrijven alsof er maar één implementatie van bestaat (kijk eens naar http://en.wikipedia.org/wiki/List_of_Java_virtual_machines).

Of Java-applets nog veel toekomst hebben betwijfel ik, zeker als HTML5 als basis voor webapplicaties een vlucht gaat nemen. Dat neemt niet weg dat er nog allerlei Java-applets bestaan die voor allerlei groepen nog belangrijk zijn. Bij de in mijn ogen beste online fotoservice (die voldoet aan professionele eisen) in Nederland kan ik alleen via Java uploaden, bijvoorbeeld. Op een Amerikaanse website las ik dat daar juristen, medici en financiële specialisten nog met handen en voeten gebonden zijn aan Java-applets op websites die ze nodig hebben voor hun werk. Zelfs als Java geen toekomst heeft in de webbrowser duurt het nog een hele tijd voor het in die context irrelevant is.
14-01-2013, 16:01 door [Account Verwijderd]
[Verwijderd]
14-01-2013, 17:26 door Anoniem
De Java variant die ze in Linux gebruiken,is al veel veiliger dan dat van Oracle.
Iced-tea en openjdk,daar wordt teminste iedere dag aan gewerkt.
14-01-2013, 17:32 door fjallalj__ni__
Het veiligste om nu te doen is ervan uit te gaan dat Java altijd kwetsbaar zal blijven. Mensen hebben Java echt niet meer op hun desktop nodig

Precies.

Door Anoniem: In 2015 ligt Java als hulpmiddel voor interactieve websites al in de vitrines van computermusea naast de papieren floppy. En wordt er alvast ruimte naast gemaakt om Flash te tonen.

Laten we het hopen.

Door NetGuardian: 'Java pas in 2015 veilig genoeg voor gebruik'

Ik hoop eigenlijk dat voor 2015 geen enkele site meer java gebruikt en browsers het niet meer supporten!

Hoe vaak moet er nog iets mis gaan met java voordat iedereen (inclusief Oracle) inziet dat java niet meer van nu is?!

Inderdaad.

Ik heb nog nooit Java nodig gehad. Zelfs jaren geleden had ik geen Java op mijn PC staan. Ik weet dat anderen het altijd nodig hadden voor Spelpunt dat gebruikmaakte van Java. Compleet offtopic: Bestaat dat nog? Tien of twaalf jaar geleden zat volgens mij 95% van Nederland daar de hele dag te darten.

In ieder geval, ik gebruik geen software die in Java is geschreven en bezoek nooit websites die Java-applets gebruiken. Ik heb het dan ook niet nodig. Hetzelfde geldt overigens voor Adobe's Flash Player. Die gebruik ik ook al meer dan een jaar niet meer. Net als Java zorgt het alleen maar voor problemen. Filmpjes spelen tegenwoordig vrijwel allemaal in HTML5 (bij het enkele filmpje dat nog Flash Player nodig heeft werkt meestal het volgende: titel kopiëren en op YouTube plakken en daar de HTML5-versie bekijken) en spelletjes heb ik nog nooit gespeeld, dus ik kan makkelijk zonder Flash Player.

[edit]
Hij krijgt bijval van de Poolse beveiligingsonderzoeker Adam Gowdiak, die vorig jaar een groot aantal lekken in Java ontdekte. Waarvan er een aantal nog altijd niet is opgelost.

Vreemde plek om een nieuwe zin te beginnen.
[/edit]
14-01-2013, 20:53 door KwukDuck
Beetje vermoeiend dat Java bashing.
Java is een belangrijk framework voor cross-platform applicaties, binnen het bedrijfsleven, op servers, en voor de thuisgebruiker is het een veel gebruikt framework. (Dat -jij- het nog nooit nodig hebt gehad zegt meer over jouw pc gebruik dan wat anders)

Het probleem met java is de browser-plugin, en daar houd het ook eigenlijk wel op wat echte kwetsbaarheden betreft.

Schakel java support uit in je browser, problem solved, en als je toch java nodig hebt op bepaalde sites, gebruik iets als no-script en sta het alleen op die specifieke site(s) toe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.