Ze presenteren hier wel allemaal leuke cijfertjes enzo, maar er wordt elke week wel een enorm nieuw gat ontdekt in Java, waardoor ze mijn vertrouwen toch al een tijdje terug verloren zijn. Ja, zelfs ondanks hun moeite om meer beveiliging te implementeren in Java.

En hoeveel wordt Java dan veiliger?

Onmogelijke vraag natuurlijk.
Net zoals om erachter te komen waartegen je het getal 97 moet afzetten (van hoeveel lekken)?

Probeer zoektochtje op CVE list van Mitre org, m.b.v. een spreadsheetje en sorteren van unique records kom ik op 95 ? ±
Dat zou een goede (pro-actieve) score zijn.

Interessant om te weten is hoeveel procent van de nu bekende lekken in 2013 gedicht is.

±
"CVE-2013 Java Oracle" (alleen 2013 cve's selecteren)
"CVE-2013 JRE Oracle" (alleen 2013 cve's selecteren)
"CVE-2013 JDK Oracle" (alleen 2013 cve's selecteren)
Copy, paste, sorteerfoutjes voorbehouden

Ja ja "al 97 Java-lekken opgelost" zegt al genoeg.

Ach,ja gaten worden er overal steeds ontdekt niet alleen in Java,maar bij ieder programma.
Daarna komen er vroeg of laat weer nieuwe patches voor.
Het zal toch altijd een kat en muisspel blijven tussen hackers en programmeurs.

Hoogsten tijd om de volledige source te herscripten. Kom over een paar jaartjes nog maar eens terug, Oracle :-)

2010 - Oracle: Java veilig
2011 - Oracle: Java veiliger
2012 - Oracle: Java wordt veiliger
2013 - Oracle: Java wordt steeds veiliger
2014 - ?

Helaas...ik heb het nodig voor het "bankieren".... :-(

Gelukkig ik niet, noch bij de ING noch bij de Rabobank. Waar vereisen ze dit dan?

Retail niet, zakelijk meestal wel. En dan heb je geluk dat je niet aan activex of dotnet vastgespijkerd wordt.

Of dat je aan brakke windows-only software zit. En die dan groot risico loopt alleen op de huidige versie te werken, niet die twee later. Nu liet de XP-opvolger op zich wachten, maar toch.

Ook presteren er het nog steeds wel om java-applicaties te produceren die alleen onder windows werken. Je denkt, dat kan niet, maar dat bleek wel te kunnen. En natuurlijk had $werk[-3] hun payment processor dat "perongeluk" voorelkaargekregen--er moesten mensen met een mac mee kunnen werken, en dat ging niet. Vermoeiend.

We zijn gewoon veel te afhankelijk van windows--in onze hoofden vooral, want technisch hoeft het niet. Het zou voor de computerpopulatie als geheel veel gezonder zijn als er verschillende systemen in omloop zijn, zeg minstens drie en niemand meer dan de helft marktaandeel. En dan bedoel ik systemen van verschillende fabrikanten, niet windows versies, dat is gewoon incest.

Daarom ook is het zo jammer dat oracle er zo'n zooitje van maakt en nu op redmondiaanse wijze op de damage control en spin spin spin toer moet (zoek de verschillen tussen deze "we zijn best goed bezig hoor, applausje voor onszelf"-persberichten en die van redmond) om de boel niet helemaal in de soep te laten lopen.

Want dat van die virtual machine is best een aardig idee mits het een beetje vlot en een beetje veilig kan. oracle, dit moet beter. Dat roepen er ook al best een boel best een tijdje, en wat dat betreft presteert oracle al maanden zeer publiek zeer ondermaats.

Rabobank draait geheel op Oracle, net als ING... Alle middleware software in ieder geval.

En dat is relevant in het kader van een discussie over de veiligheid van Java client runtime omgevingen, omdat???

@ Krakatau / java publicist (?)

"Java an sich, laat staan Java op de server staan hier totaal los van."

Kennelijk niet, er zijn toch wat plugins aangepakt en nu met nieuwe naamgeving proberend de server-jongens gerust te stellen vanwege vermoede 'customer confusion' .

Uit dezelfde bron :
"With Java 7 update 21, Oracle has introduced a new type of Java distribution: “Server JRE.”

Oracle has removed plugins from the Server JRE distribution to reduce attack surface but also to reduce customer confusion when evaluating server exploitation risk factors. "


Al langer afvragende n.a.v 'al' je reacties :

"Wat is je belang eigenlijk dat je al jaren Java zo hard verdedigt ?
In variaties de zelfde boodschap steeds maar weer herhaald "
Opmerkelijk maar op zich niets mis mee,
nobel wel, of ben je gewoon zeer merkgehecht (Java-Fan)?

+1 argument extra van en bij Z16:45A
Webwereld haalt eveneens opgevoerde quote aan onder soortgelijke argumentering, zie: "Java wordt uitgekleed voor security"
(webwereld.nl/beveiliging/77981-java-wordt-uitgekleed-voor-security)

++2 Java mag dan niet (meer) nodig zijn voor internetbankieren,
voor het inloggen op het digitale loket bij nogal wat gemeente portals in de Java browser plugin nog steeds vereist.
Dat is ook hier al meerdere malen door voor èn tegenstanders van Java met de nodige teleurstelling / ironie geconstateerd.

+++3 Naast veilig internetbankieren, wil je natuurlijk ook graag dat de zaken die je afhandelt via het digitale loket op een veilige manier worden afgehandeld.
Wie neemt dan genoegen met de belofte dat Java 'steeds veiliger wordt'?

± Het blijft 'plussen en minnen' met Java ;-)

@ 12:19
& Alle Java platform geïnteresseerden

N.b.;
Lange reactie, voor de inhoud en op zich constructief bedoeld,..


Dit betreft een kennelijk nog te impliciet 'bruggetje'.

Uitgelegd : plm. 511 java gerelateerde postbijdragen = een g-search op het trefwoord Java in combinatie met 'betreffende vulkanische accountnaam' binnen de site security.nl .

Zie bijvoorbeeld : https://support.google.com/websearch/answer/136861?hl=en
"Search within a site or domain"
"If you are looking for more results from a certain website, include "site:" in your query."

Dat zegt overigens niets over de inhoud van je bijdragen maar geeft wel een indicatie over je betrokkenheid bij het onderwerp, vandaar gebruikt als inleiding.


Met je antwoord van 11:47 neem je een Optie op de Toekomst,
namelijk in de hoop dat er interessante applicaties voor het Java platform geschreven kunnen worden.

Dat is omgekeerd vergelijkbaar met de optie die Oracle claimt maar nog niet geheel kan waarmaken,
namelijk : Java wordt steeds veiliger.
https://www.security.nl/artikel/46446/1/Oracle%3A_Java_wordt_steeds_veiliger.html

Welk belang is nou eigenlijk groter ?
Die van de ontwikkelaars en de markt :

of dat van de consument?
Denk dat je een eerdere opmerking gemist hebt:
https://www.security.nl/artikel/46649/1/Oracle_dicht_dinsdag_40_Java-lekken.html , 18:49 door Anoniem.

Hoewel ik Niets (!) Tegen het Java platform heb,
denk ik dat wanneer een platform
èn niet veilig is (wat deels 'pech' is omdat het sterk onder vuur ligt)
èn er op desktopgebied weinig of geen gebruik wordt gemaakt door gemiddelde desktop pc gebruikers
het Sterk is aan te raden Java te De-installeren.

Iets scherper gesteld :

Vanuit security perspectief ten opzichte van de gebruikerswaarde is het denk ik
regelrecht Onverantwoord een platform zo eenzijdig (vanuit programmeur perspectief?) te promoten
en Geen Oog Te Hebben voor het risico dat reguliere gebruikers lopen met Ongebruikte en Ongepatchte Java versies
(en dat is helaas de praktijk, of je dat nou leuk vindt of niet).

In mijn ogen heeft een dergelijke aanpak Weinig met Security Advies te maken maar met Marketing van een product en is de reden van mijn reacties dat beeld eens wat te toetsen door je te verleiden tot meer balans en diepte in je argumenten.
Hierbij overigens nog de kanttekening makend dat software patchen over het algemeen een constructievere aanpak betreft dan het verwijderen (maar niet als je het niet gebruikt!).

! Bijvoorbeeld : zou het misschien niet eerlijker/nuttiger/positiever zijn erbij te vertellen dat het wellicht verstandiger is Java te De-installeren en pas weer te installeren als je daadwerkelijk over een (nu nog toekomstige) applicatie beschikt die dat nodig zou hebben.

Dan sla je Twee Vliegen In Eén Klap;
voordeel zou dan zijn dat desktop gebruikers het update proces van een ongebruikte functionaliteit
niet hoeven te monitoren,
dus minder kwetsbaar zijn
en wanneer Java benodigd is direct de Nieuwste Versie van Java Binnenhalen!


Plussen en minnen?

Verder is het natuurlijk aan jezelf om de lezers van je bijdragen te overtuigen en of duidelijk te maken waar je belang ligt en misschien nu eens door het wat meer inhoudelijk te onderbouwen.
(na 511 posts zou ik denken dat je kennis van Java ruim genoeg is?
Etaleer dat eens in positief overtuigende zin.
->// Toevoeging voor posting deze reactie, aardig dat je vandaag posts van de afgelopen weken aan het beantwoorden bent).

Met meer balans in je reacties tussen voor en tegens omtrent Java platform en meer inhoudelijke diepgang denk ik dat je bijdragen weer meer gewaardeerd gaan worden * en je hier desgewenst/misschien wel de positieve status van gewaardeerde java-expert kan bereiken.

"Nuff said" zal voorlopig zeker nog niet gelden voor Java issues, tenzij je door je argumenten heen bent of de interesse verliest.
We'll see


p.s-en

1) van .net applicaties maak ik geen gebruik, een lijstje daarvan samenstellen zal je aan iemand anders moeten vragen.

2) 'enige ervaring' met java security issues heb ik wel, op een ander platform, dat een jaartje terug het even nogal zwaar te verduren had (al was het uiteindelijk maar voor click fraude).
En dat werd helaas mede mogelijk gemaakt door ,...

3) java kan ook vanuit andere processen worden aangeroepen dan door de browserplugin zelf.
Voldoende malware kettingreactie voorbeelden om je voor te stellen dat alléén het uitschakelen van de java-browserplugin een Zeer Matige Security Oplossing is.

! Een onderwerp dat zwaar onderbelicht blijft in security adviezen rondom Java.

4) // Toevoeging voor posting deze reactie,
ook nu gezien dat je vandaag nog een reactie hebt geplaatst onder een artikel van weken geleden "Oracle: Java wordt steeds veiliger". e.e.a. verandert er niet door :
- bijv. het uitschakelen van de java browserplugin als oplossing alleen.
- als java al gebashed zou worden bestrijdt je dat het beste met goede (neutrale) argumenten voor,
denk je niet?

Ik denk van wel, makkelijk is het inmiddels niet.


* aan argumenten heeft iedereen meer dan aan (dis)likes,
dat houdt de discussie levendig en hopelijk ook interessant.