'Oracle rommelt met Java-beveiliging'
Oracle adviseert Java-programmeurs om Java-applets via een certificaat te signeren, maar deze maatregel zorgt ervoor dat gebruikers minder veilig zijn. Een Java-applet is een programma dat via de Java browserplug-in wordt uitgevoerd. Om drive-by downloads te voorkomen worden ongesigneerde Java-applets niet standaard uitgevoerd, maar moet een gebruiker extra acties verrichten.
Het idee hierachter is dat aanvallers niet over een legitiem certificaat beschikken om een Java-applet te signeren. Gesigneerde Java-applets worden standaard wel door de browserplug-in uitgevoerd. Toch zijn gebruikers beter af met ongesigneerde Java-applets, aldus Will Dormann, analist bij het CERT Coordination Center (CERT/CC).
Rechten
Ongesigneerde Java-applets worden namelijk binnen de sandbox-beveiliging van Java uitgevoerd, terwijl gesigneerde Java-applets onbeperkte toegang hebben. Daardoor wordt het interessant voor aanvallers om gesigneerde Java-applets met een beveiligingslek in de applet zelf te gebruiken, waarschuwt Dormann.
"Een slecht ontworpen Java-applet in een sandbox kan niet zoveel doen, maar een slecht ontworpen en gesigneerd Java-applet kan bijna alles wat ook de 'native' code kan." Het probleem wordt veroorzaakt door een keuze die Oracle maakte door gesigneerde Java-applets automatisch alle rechten te geven.
Beveiliging
"Java vermengt authenticatie met autorisatie", gaat Dormann verder. Het is dan ook niet mogelijk om een gesigneerd Java-applet te maken dat binnen een sandbox, dus met beperkte rechten, wordt uitgevoerd. "De huidige Java-versie dwingt deze rechten niet af op een manier dat deze combinatie kan plaatsvinden."
Dormann adviseert Java-programmeurs dan ook om hun applets die geen rechten nodig hebben niet te signeren. Daarnaast zouden ook de waarschuwingen die gebruikers over de verschillende Java-applets krijgen verwarrend zijn.
"Zoals we eerder hebben gezegd, als je Java niet in je browser gebruikt zet het dan uit. Als je niet weet of je Java in je browser nodig hebt, zet het dan toch uit om te zien wat niet meer werkt. Je zult mogelijk merken dat je er helemaal geen last van hebt."
Signing stelt zowizo al niks voor want iedereen kan een certificaat aanvragen en code signen,
dit wordt verder helemaal niet geaudit ofzo (zoals wellicht zou kunnen bij een appstore).
Maar dat deze gesignede code dan altijd meer mag dat is inderdaad wel vreemd.
Gebruikers lezen de waarschuwingen niet goed of begrijpen niet de impact van wat er beweerd
wordt in die waarschuwing (is voor IT'ers vaak wat moeilijk te begrijpen).
Bovendien geeft Java ook foute meldingen, zoals dat het certificaat waarmee de code gesigned
is dat verlopen zou zijn, terwijl dat helemaal niet zo is. Dat voedt de gebruikers op om dit
soort waarschuwingen te negeren.
En tenslotte willen de meeste gebruikers gewoon iets doen, en hebben geleerd dat ze alleen
maar kunnen doen wat ze willen als ze OK klikken op al die boxjes die er voorbij komen. Als
je ergens NO klikt dan "werkt het niet". Hoe moet een gebruiker nou weten waar het wel en
niet verstandig is om OK te klikken???
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
