image

Oracle: Java wordt steeds veiliger

donderdag 30 mei 2013, 17:37 door Redactie, 20 reacties

Oracle is druk bezig om de beveiligingsproblemen in Java aan te pakken en stelt nu dat de software steeds veiliger wordt. Java was eigendom van Sun Microsystems, dat begin 2010 door Oracle werd overgenomen. "Als Oracle een overname doet, moeten de overgenomen productlijnen aan Oracle's beleid en procedures voldoen", zegt Nandini Ramani.

Hij leidt het team dat de software van het Java-platform ontwikkelt en houdt zich bezig met de veiligheid. Door de overname moesten de Java-ontwikkelaars het 'Security Fixing' beleid van Oracle gaan gebruiken. Daarin wordt gesteld dat problemen binnen een bepaalde tijd moeten zijn verholpen.

Patches
Ramani stelt dat door de investeringen die Oracle heeft gedaan en het beleid dat is doorgevoerd, de productie van het aantal beveiligingsupdates sterk is toegenomen. Zo verschijnen er in 2013 vier patchrondes, in plaats van de geplande drie. In 2012 werden er in totaal 58 Java-lekken gepatcht. In de eerste vijf maanden van dit jaar zijn er al 97 Java-lekken opgelost.

Naast het sneller uitbrengen van meer updates, zijn er ook andere maatregelen doorgevoerd. Sinds Java 7 Update 10 is er een in te stellen beveiligingsniveau en worden ongesigneerde Java-applets standaard niet uitgevoerd. Vanaf Java 7 Update 21 is het beveiligingsmodel verder aangepast.

Het is nu mogelijk om gesigneerde Java-applets uit te voeren zonder dat die buiten de sandbox draaien. Een groot kritiekpunt was dat Java-applets die met een digitaal certificaat waren ondertekend, voorheen standaard buiten de sandbox werden uitgevoerd, wat risico's voor gebruikers met zich meebracht.

Digitale handtekening
Sinds Update 21 zijn de plug-in-instellingen aangepast om het uitvoeren van niet gesigneerde of zelf-gesigneerde applets niet uit te voeren. "Deze verandering heeft waarschijnlijk voor de meeste Java-gebruikers gevolgen", merkt Ramani op. In de nabije toekomst zal Java het uitvoeren van zelf-gesigneerde of ongesigneerde code niet meer toestaan.

Als laatste wijst Ramani ook op het imago van Java dat door alle lekken een flinke klap heeft gehad. Ook bedrijven die Java gebruiken maakten zich hierdoor zorgen. Om deze zorgen weg te nemen zal Oracle de client en browser associatie loskoppelen. De Server JRE distributie van Java bevat daardoor geen browserplug-in meer, wat het aanvalsoppervlak verkleint.

Ook wordt er aan andere maatregelen gewerkt, maar die zouden de huidige Java-specificaties overtreden, waardoor ze pas in toekomstige Java-versies kunnen worden doorgevoerd. Ramani stelt dat als gevolg van het nieuwe security-offensief, het misbruik van potentiële Java-lekken verder zal afnemen.

Reacties (20)
30-05-2013, 17:47 door dymi-b
Ze presenteren hier wel allemaal leuke cijfertjes enzo, maar er wordt elke week wel een enorm nieuw gat ontdekt in Java, waardoor ze mijn vertrouwen toch al een tijdje terug verloren zijn. Ja, zelfs ondanks hun moeite om meer beveiliging te implementeren in Java.
30-05-2013, 18:49 door Anoniem
En hoeveel wordt Java dan veiliger?

Onmogelijke vraag natuurlijk.
Net zoals om erachter te komen waartegen je het getal 97 moet afzetten (van hoeveel lekken)?

Probeer zoektochtje op CVE list van Mitre org, m.b.v. een spreadsheetje en sorteren van unique records kom ik op 95 ? ±
Dat zou een goede (pro-actieve) score zijn.

Interessant om te weten is hoeveel procent van de nu bekende lekken in 2013 gedicht is.

±
"CVE-2013 Java Oracle" (alleen 2013 cve's selecteren)
"CVE-2013 JRE Oracle" (alleen 2013 cve's selecteren)
"CVE-2013 JDK Oracle" (alleen 2013 cve's selecteren)
Copy, paste, sorteerfoutjes voorbehouden
30-05-2013, 20:34 door Anoniem
Ja ja "al 97 Java-lekken opgelost" zegt al genoeg.
30-05-2013, 20:46 door [Account Verwijderd]
[Verwijderd]
30-05-2013, 20:50 door Anoniem
Ach,ja gaten worden er overal steeds ontdekt niet alleen in Java,maar bij ieder programma.
Daarna komen er vroeg of laat weer nieuwe patches voor.
Het zal toch altijd een kat en muisspel blijven tussen hackers en programmeurs.
30-05-2013, 20:52 door [Account Verwijderd]
Hoogsten tijd om de volledige source te herscripten. Kom over een paar jaartjes nog maar eens terug, Oracle :-)
30-05-2013, 21:06 door Anoniem
2010 - Oracle: Java veilig
2011 - Oracle: Java veiliger
2012 - Oracle: Java wordt veiliger
2013 - Oracle: Java wordt steeds veiliger
2014 - ?
31-05-2013, 03:35 door quikfit
Helaas...ik heb het nodig voor het "bankieren".... :-(
31-05-2013, 08:46 door lucb1e
Door quikfit: Helaas...ik heb het nodig voor het "bankieren".... :-(
Gelukkig ik niet, noch bij de ING noch bij de Rabobank. Waar vereisen ze dit dan?
31-05-2013, 09:42 door Anoniem
Door lucb1e:
Door quikfit: Helaas...ik heb het nodig voor het "bankieren".... :-(
Gelukkig ik niet, noch bij de ING noch bij de Rabobank. Waar vereisen ze dit dan?
Retail niet, zakelijk meestal wel. En dan heb je geluk dat je niet aan activex of dotnet vastgespijkerd wordt.

Of dat je aan brakke windows-only software zit. En die dan groot risico loopt alleen op de huidige versie te werken, niet die twee later. Nu liet de XP-opvolger op zich wachten, maar toch.

Ook presteren er het nog steeds wel om java-applicaties te produceren die alleen onder windows werken. Je denkt, dat kan niet, maar dat bleek wel te kunnen. En natuurlijk had $werk[-3] hun payment processor dat "perongeluk" voorelkaargekregen--er moesten mensen met een mac mee kunnen werken, en dat ging niet. Vermoeiend.

We zijn gewoon veel te afhankelijk van windows--in onze hoofden vooral, want technisch hoeft het niet. Het zou voor de computerpopulatie als geheel veel gezonder zijn als er verschillende systemen in omloop zijn, zeg minstens drie en niemand meer dan de helft marktaandeel. En dan bedoel ik systemen van verschillende fabrikanten, niet windows versies, dat is gewoon incest.

Daarom ook is het zo jammer dat oracle er zo'n zooitje van maakt en nu op redmondiaanse wijze op de damage control en spin spin spin toer moet (zoek de verschillen tussen deze "we zijn best goed bezig hoor, applausje voor onszelf"-persberichten en die van redmond) om de boel niet helemaal in de soep te laten lopen.

Want dat van die virtual machine is best een aardig idee mits het een beetje vlot en een beetje veilig kan. oracle, dit moet beter. Dat roepen er ook al best een boel best een tijdje, en wat dat betreft presteert oracle al maanden zeer publiek zeer ondermaats.
31-05-2013, 11:13 door AcidBurn
Door lucb1e:
Door quikfit: Helaas...ik heb het nodig voor het "bankieren".... :-(
Gelukkig ik niet, noch bij de ING noch bij de Rabobank. Waar vereisen ze dit dan?

Rabobank draait geheel op Oracle, net als ING... Alle middleware software in ieder geval.
31-05-2013, 11:20 door Orion84
Door AcidBurn:
Door lucb1e:
Door quikfit: Helaas...ik heb het nodig voor het "bankieren".... :-(
Gelukkig ik niet, noch bij de ING noch bij de Rabobank. Waar vereisen ze dit dan?

Rabobank draait geheel op Oracle, net als ING... Alle middleware software in ieder geval.
En dat is relevant in het kader van een discussie over de veiligheid van Java client runtime omgevingen, omdat???
01-06-2013, 11:02 door [Account Verwijderd]
[Verwijderd]
01-06-2013, 16:45 door Anoniem
@ Krakatau / java publicist (?)

"Java an sich, laat staan Java op de server staan hier totaal los van."

Kennelijk niet, er zijn toch wat plugins aangepakt en nu met nieuwe naamgeving proberend de server-jongens gerust te stellen vanwege vermoede 'customer confusion' .

Uit dezelfde bron :
"With Java 7 update 21, Oracle has introduced a new type of Java distribution: “Server JRE.”

Oracle has removed plugins from the Server JRE distribution to reduce attack surface but also to reduce customer confusion when evaluating server exploitation risk factors. "


Al langer afvragende n.a.v 'al' je reacties :

"Wat is je belang eigenlijk dat je al jaren Java zo hard verdedigt ?
In variaties de zelfde boodschap steeds maar weer herhaald "
Opmerkelijk maar op zich niets mis mee,
nobel wel, of ben je gewoon zeer merkgehecht (Java-Fan)?
03-06-2013, 18:31 door Anoniem
+1 argument extra van en bij Z16:45A
Webwereld haalt eveneens opgevoerde quote aan onder soortgelijke argumentering, zie: "Java wordt uitgekleed voor security"
(webwereld.nl/beveiliging/77981-java-wordt-uitgekleed-voor-security)

++2 Java mag dan niet (meer) nodig zijn voor internetbankieren,
voor het inloggen op het digitale loket bij nogal wat gemeente portals in de Java browser plugin nog steeds vereist.
Dat is ook hier al meerdere malen door voor èn tegenstanders van Java met de nodige teleurstelling / ironie geconstateerd.

+++3 Naast veilig internetbankieren, wil je natuurlijk ook graag dat de zaken die je afhandelt via het digitale loket op een veilige manier worden afgehandeld.
Wie neemt dan genoegen met de belofte dat Java 'steeds veiliger wordt'?

± Het blijft 'plussen en minnen' met Java ;-)
21-06-2013, 12:12 door [Account Verwijderd]
[Verwijderd]
21-06-2013, 15:06 door Anoniem
@ 12:19
& Alle Java platform geïnteresseerden

N.b.;
Lange reactie, voor de inhoud en op zich constructief bedoeld,..

Met de google tip van hier eens meegenomen ..

Dit betreft een kennelijk nog te impliciet 'bruggetje'.

Uitgelegd : plm. 511 java gerelateerde postbijdragen = een g-search op het trefwoord Java in combinatie met 'betreffende vulkanische accountnaam' binnen de site security.nl .

Zie bijvoorbeeld : https://support.google.com/websearch/answer/136861?hl=en
"Search within a site or domain"
"If you are looking for more results from a certain website, include "site:" in your query."

Dat zegt overigens niets over de inhoud van je bijdragen maar geeft wel een indicatie over je betrokkenheid bij het onderwerp, vandaar gebruikt als inleiding.


Met je antwoord van 11:47 neem je een Optie op de Toekomst,
namelijk in de hoop dat er interessante applicaties voor het Java platform geschreven kunnen worden.

Dat is omgekeerd vergelijkbaar met de optie die Oracle claimt maar nog niet geheel kan waarmaken,
namelijk : Java wordt steeds veiliger.
https://www.security.nl/artikel/46446/1/Oracle%3A_Java_wordt_steeds_veiliger.html

Welk belang is nou eigenlijk groter ?
Die van de ontwikkelaars en de markt :
Met het advies Java volledig te de-installeren van de desktop (i.p.v. alleen de browser plugin de-installeren) maak je het nodeloos moeilijk voor Java desktop ontwikkelaars om applicaties te maken die in jouw top 10 lijst zouden kunnen eindigen.

of dat van de consument?
Denk dat je een eerdere opmerking gemist hebt:
Blijven we java gebruiken in belang van sommige (java) leveranciers/programmeurs of in het algemeen belang van de consument?
https://www.security.nl/artikel/46649/1/Oracle_dicht_dinsdag_40_Java-lekken.html , 18:49 door Anoniem.

Hoewel ik Niets (!) Tegen het Java platform heb,
denk ik dat wanneer een platform
èn niet veilig is (wat deels 'pech' is omdat het sterk onder vuur ligt)
èn er op desktopgebied weinig of geen gebruik wordt gemaakt door gemiddelde desktop pc gebruikers
het Sterk is aan te raden Java te De-installeren.

Iets scherper gesteld :

Vanuit security perspectief ten opzichte van de gebruikerswaarde is het denk ik
regelrecht Onverantwoord een platform zo eenzijdig (vanuit programmeur perspectief?) te promoten
en Geen Oog Te Hebben voor het risico dat reguliere gebruikers lopen met Ongebruikte en Ongepatchte Java versies
(en dat is helaas de praktijk, of je dat nou leuk vindt of niet).

In mijn ogen heeft een dergelijke aanpak Weinig met Security Advies te maken maar met Marketing van een product en is de reden van mijn reacties dat beeld eens wat te toetsen door je te verleiden tot meer balans en diepte in je argumenten.
Hierbij overigens nog de kanttekening makend dat software patchen over het algemeen een constructievere aanpak betreft dan het verwijderen (maar niet als je het niet gebruikt!).

! Bijvoorbeeld : zou het misschien niet eerlijker/nuttiger/positiever zijn erbij te vertellen dat het wellicht verstandiger is Java te De-installeren en pas weer te installeren als je daadwerkelijk over een (nu nog toekomstige) applicatie beschikt die dat nodig zou hebben.

Dan sla je Twee Vliegen In Eén Klap;
voordeel zou dan zijn dat desktop gebruikers het update proces van een ongebruikte functionaliteit
niet hoeven te monitoren,
dus minder kwetsbaar zijn
en wanneer Java benodigd is direct de Nieuwste Versie van Java Binnenhalen!


Plussen en minnen?

Verder is het natuurlijk aan jezelf om de lezers van je bijdragen te overtuigen en of duidelijk te maken waar je belang ligt en misschien nu eens door het wat meer inhoudelijk te onderbouwen.
(na 511 posts zou ik denken dat je kennis van Java ruim genoeg is?
Etaleer dat eens in positief overtuigende zin.
->// Toevoeging voor posting deze reactie, aardig dat je vandaag posts van de afgelopen weken aan het beantwoorden bent).

Met meer balans in je reacties tussen voor en tegens omtrent Java platform en meer inhoudelijke diepgang denk ik dat je bijdragen weer meer gewaardeerd gaan worden * en je hier desgewenst/misschien wel de positieve status van gewaardeerde java-expert kan bereiken.

"Nuff said" zal voorlopig zeker nog niet gelden voor Java issues, tenzij je door je argumenten heen bent of de interesse verliest.
We'll see


p.s-en

1) van .net applicaties maak ik geen gebruik, een lijstje daarvan samenstellen zal je aan iemand anders moeten vragen.

2) 'enige ervaring' met java security issues heb ik wel, op een ander platform, dat een jaartje terug het even nogal zwaar te verduren had (al was het uiteindelijk maar voor click fraude).
En dat werd helaas mede mogelijk gemaakt door ,...

3) java kan ook vanuit andere processen worden aangeroepen dan door de browserplugin zelf.
Voldoende malware kettingreactie voorbeelden om je voor te stellen dat alléén het uitschakelen van de java-browserplugin een Zeer Matige Security Oplossing is.

! Een onderwerp dat zwaar onderbelicht blijft in security adviezen rondom Java.

4) // Toevoeging voor posting deze reactie,
ook nu gezien dat je vandaag nog een reactie hebt geplaatst onder een artikel van weken geleden "Oracle: Java wordt steeds veiliger". e.e.a. verandert er niet door :
- bijv. het uitschakelen van de java browserplugin als oplossing alleen.
- als java al gebashed zou worden bestrijdt je dat het beste met goede (neutrale) argumenten voor,
denk je niet?

Ik denk van wel, makkelijk is het inmiddels niet.


* aan argumenten heeft iedereen meer dan aan (dis)likes,
dat houdt de discussie levendig en hopelijk ook interessant.
21-06-2013, 17:31 door [Account Verwijderd]
[Verwijderd]
21-06-2013, 17:37 door [Account Verwijderd]
[Verwijderd]
21-06-2013, 17:48 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.