'Java pas in 2015 veilig genoeg voor gebruik'
Het kan nog twee jaar duren voordat het veilig is voor internetgebruikers om Java in hun browser te gebruiken, aldus een bekende beveiligingsexpert. Volgens H.D. Moore, Chief Security Officer bij beveiligingsbedrijf Rapid7 en bedenker van de hackertool Metasploit, heeft Oracle mogelijk pas in 2015 alle problemen opgelost die nu bekend zijn.
Het bedrijf kwam gisterenavond met een noodpatch voor twee ernstige lekken. Ook vorig jaar zag het bedrijf zich genoodzaakt om een noodpatch uit te brengen voor een lek dat actief door cybercriminelen werd gebruikt om internetgebruikers aan te vallen. Daarnaast zijn oudere Java-versies al geruime tijd een zeer populair doelwit voor aanvallers.
Veilig
"Het veiligste om nu te doen is ervan uit te gaan dat Java altijd kwetsbaar zal blijven. Mensen hebben Java echt niet meer op hun desktop nodig", laat Moore tegenover persbureau Reuters weten.
Hij krijgt bijval van de Poolse beveiligingsonderzoeker Adam Gowdiak, die vorig jaar een groot aantal lekken in Java ontdekte. Waarvan er een aantal nog altijd niet is opgelost. "We durven gebruikers niet te vertellen dat het veilig is om Java weer te gebruiken", merkt hij op.
Ik hoop eigenlijk dat voor 2015 geen enkele site meer java gebruikt en browsers het niet meer supporten!
Hoe vaak moet er nog iets mis gaan met java voordat iedereen (inclusief Oracle) inziet dat java niet meer van nu is?!
Zijn deze nu ook onveilig?
Wat je daar ziet is de populariteit van programmeertalen. Java stond een jaar geleden op de 1e plaats, en is met slechts 0,05% in populariteit gedaald. Het is wel naar de tweede plaats verstoten door C, dat stijgt in populariteit. Is de op een na populairste programmeertaal niet meer van nu? Wees even reëel. Het is nog altijd bijna 3 keer zo populair als C#, en dat is aanzienlijk harder aan het dalen in populariteit dan Java. Het is veel te vroeg om Java af te schrijven.
De vraag is voor mij: hoe vaak moet er nog iets misgaan met Oracle's Java-implementatie voordat:
- Oracle zijn verantwoordelijkheid neemt en ondubbelzinnig achter het platform gaat staan;
- andere Java-implementaties zich als alternatief met minder problemen opwerpen en browser-plugins gaan aanbieden;
- de pers stopt met over Java te schrijven alsof er maar één implementatie van bestaat (kijk eens naar http://en.wikipedia.org/wiki/List_of_Java_virtual_machines).
Of Java-applets nog veel toekomst hebben betwijfel ik, zeker als HTML5 als basis voor webapplicaties een vlucht gaat nemen. Dat neemt niet weg dat er nog allerlei Java-applets bestaan die voor allerlei groepen nog belangrijk zijn. Bij de in mijn ogen beste online fotoservice (die voldoet aan professionele eisen) in Nederland kan ik alleen via Java uploaden, bijvoorbeeld. Op een Amerikaanse website las ik dat daar juristen, medici en financiële specialisten nog met handen en voeten gebonden zijn aan Java-applets op websites die ze nodig hebben voor hun werk. Zelfs als Java geen toekomst heeft in de webbrowser duurt het nog een hele tijd voor het in die context irrelevant is.
Iced-tea en openjdk,daar wordt teminste iedere dag aan gewerkt.
Precies.
Laten we het hopen.
Ik hoop eigenlijk dat voor 2015 geen enkele site meer java gebruikt en browsers het niet meer supporten!
Hoe vaak moet er nog iets mis gaan met java voordat iedereen (inclusief Oracle) inziet dat java niet meer van nu is?!
Inderdaad.
Ik heb nog nooit Java nodig gehad. Zelfs jaren geleden had ik geen Java op mijn PC staan. Ik weet dat anderen het altijd nodig hadden voor Spelpunt dat gebruikmaakte van Java. Compleet offtopic: Bestaat dat nog? Tien of twaalf jaar geleden zat volgens mij 95% van Nederland daar de hele dag te darten.
In ieder geval, ik gebruik geen software die in Java is geschreven en bezoek nooit websites die Java-applets gebruiken. Ik heb het dan ook niet nodig. Hetzelfde geldt overigens voor Adobe's Flash Player. Die gebruik ik ook al meer dan een jaar niet meer. Net als Java zorgt het alleen maar voor problemen. Filmpjes spelen tegenwoordig vrijwel allemaal in HTML5 (bij het enkele filmpje dat nog Flash Player nodig heeft werkt meestal het volgende: titel kopiëren en op YouTube plakken en daar de HTML5-versie bekijken) en spelletjes heb ik nog nooit gespeeld, dus ik kan makkelijk zonder Flash Player.
[edit]
Vreemde plek om een nieuwe zin te beginnen.
[/edit]
Java is een belangrijk framework voor cross-platform applicaties, binnen het bedrijfsleven, op servers, en voor de thuisgebruiker is het een veel gebruikt framework. (Dat -jij- het nog nooit nodig hebt gehad zegt meer over jouw pc gebruik dan wat anders)
Het probleem met java is de browser-plugin, en daar houd het ook eigenlijk wel op wat echte kwetsbaarheden betreft.
Schakel java support uit in je browser, problem solved, en als je toch java nodig hebt op bepaalde sites, gebruik iets als no-script en sta het alleen op die specifieke site(s) toe.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
