"Java is houdbaarheidsdatum gepasseerd"
Java viert dit jaar z'n 21ste verjaardag, maar volgens verschillende experts is de software ver over de houdbaarheidsdatum heen. De problemen begonnen begin dit jaar toen Java-lekken op grote schaal werden gebruikt om zowel Windows- als Mac-gebruikers te infecteren. Eind augustus was het via een nieuwe zero-day kwetsbaarheid weer raak.
"Simpel gezegd, zorgt Java nu voor meer problemen dan het oplost, dus gebruikers moeten het in de browser uitschakelen", zegt Paul Kenyon van Avecto. "Ik schat dat 90% van de gebruikers Java niet meer nodig heeft", stelt Dominique Karg van AlienVault.
Het succes van Java is deels voor de problematiek verantwoordelijk. "Malwaremakers willen de grootste opbrengsten voor hun investeringen, wat betekent dat ze de grootste markt aanvallen", gaat Steve Santorelli van Team Cymru verder. Java draait op bijna alle besturingssystemen en zou door 70% van de internetgebruikers geïnstalleerd zijn. Experts hebben ook kritiek op het updatesysteem van Java dat doorsnee gebruikers nog teveel aan hun lot overlaat.
Uitschakelen
Inmiddels adviseert het CERT Coordination Center van Carnegie Mellon om Java in de browser uit te schakelen en de laatste update te installeren, ook al is bekend dat hier een beveiligingslek in aanwezig is. Daarmee gaat het tegen het advies van Oracle in, dat stelt dat het updaten van Java voldoende is.
Security.nl maakte eerder dit stappenplan dat het uitschakelen van Java uitlegt.
Correct is dat code uitvoerende plugins in webbrowsers over hun houdbaarheidsdatum heen zijn. De praktijk heeft ondertussen uitgewezen dat het niet mogelijk is om een voldoende betrouwbare sandbox te maken waarin je untrusted Java code zou kunnen draaien. Zo'n sandbox is veel te complex doordat er veel te veel interfaces zijn die lek kunnen zijn. Steeds als de ontwikkelaars denken alle gaten te hebben gedicht worden er weer nieuwe ontdekt.
De oplossing is simpel. Oracle moet Java voortaan distribueren met browser support (zowel applets als webstart) disabled by default. Via opt-in kunnen gebruikers dit aanzetten als ze 1 (of beide) van die 2 functionaliteiten nodig hebben.
Daarnaast moeten we ophouden te denken dat de webbrowser gelijk staat aan de universal business adapter (https://www.youtube.com/watch?v=AIOqOxI0K_I) en het een vervanger is voor besturingssystemen en specifieke applicaties. Qua functionaliteit kom je wellicht een eind maar het hele concept valt gewoon niet goed te beveiligen. Hoe meer functionaliteit HTML5 gaat bieden, hoe kwetsbaarder het zal blijken te zijn.
Persoonlijk heb ik java net op 6 pc's gedeinstalleerd omdat het continue bijwerken voor ons geen optie is (en niet geheel onbelangrijk java in feite helemaal niet gebruikt wordt)
Het gebruik van java is al jaren aan het afnemen en dit kon wel eens de doodklap gaan worden als Sun er niet adequat op gaat reageren. http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
Persoonlijk heb ik java net op 6 pc's gedeinstalleerd omdat het continue bijwerken voor ons geen optie is (en niet geheel onbelangrijk java in feite helemaal niet gebruikt wordt)
Het gebruik van java is al jaren aan het afnemen en dit kon wel eens de doodklap gaan worden als Sun er niet adequat op gaat reageren. http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
SUN ? Oracle , en al geruime tijd
En waarom krijgen die mensen een podium op al die grote websites?
Ik weet niet of ik bij die 99% behoor, maar zolang er lastig verwijderbare onzinzaken zoals "Ask-toolbar" bij gepushed worden, vertik ik het sowieso om Java te installeren.
Gelukkig mis ik het ook zelden.
Ze doen het wel zonder Java, maar het schijnt dat dan voor sommige onderdelen problemen ontstaan.
Groeten
En wat is het alternatief... denk dat het voorlopig er nog wel even is.
Disclaimer: getekend, een gecertificeerd java ontwikkelaar.
Het blijft dweilen met de kraan open om al die troep zo veel als kan van het net te krijgen. Zolang de dweilen maar geen te grote gaten krijgen zullen we het er allemaal mee moeten doen.
Correct is dat code uitvoerende plugins in webbrowsers over hun houdbaarheidsdatum heen zijn. De praktijk heeft ondertussen uitgewezen dat het niet mogelijk is om een voldoende betrouwbare sandbox te maken waarin je untrusted Java code zou kunnen draaien. Zo'n sandbox is veel te complex doordat er veel te veel interfaces zijn die lek kunnen zijn. Steeds als de ontwikkelaars denken alle gaten te hebben gedicht worden er weer nieuwe ontdekt.
De oplossing is simpel. Oracle moet Java voortaan distribueren met browser support (zowel applets als webstart) disabled by default. Via opt-in kunnen gebruikers dit aanzetten als ze 1 (of beide) van die 2 functionaliteiten nodig hebben.
Daarnaast moeten we ophouden te denken dat de webbrowser gelijk staat aan de universal business adapter (https://www.youtube.com/watch?v=AIOqOxI0K_I) en het een vervanger is voor besturingssystemen en specifieke applicaties. Qua functionaliteit kom je wellicht een eind maar het hele concept valt gewoon niet goed te beveiligen. Hoe meer functionaliteit HTML5 gaat bieden, hoe kwetsbaarder het zal blijken te zijn.
Leuk verhaal die je daar schrijft maar helaas is de Browser Plugin niet meer de enige die gevoelig is voor dit soort problemen. Weet je nog toen Spotify last kreeg van dit omdat er een advertentie werd getoond met malafide code? Dit zorgde ervoor dat iedereen met Java slachtoffer werd.
Dus alleen je browser plugin uitschakelen lost het probleem niet op, want al je applicaties buiten je browser om kunnen je computer als nog infecteren.
Ik gebruik zelf al jaren geen Java meer, heb ik het nodig? Dan installeer ik het even, doe wat ik moet doen en gaat het gelijk eraf. Voorkomen is beter dan genezen.
An sich niets mis met het Java platform, maar als browser-plugin is het inderdaad enorm gaar. Als Oracle het inderdaad by default uitzet en je het per FDQN (HTML code + applet source op exact zelfde FDQN) aan kunt zetten, net zoals b.v. bij het opvragen van je Geo-lokatie in de browser gebeurd; zou het al een hoop ellende schelen. Uiteraard niet perfect, maar een veel veiligere en toch werkbare situatie ...
En dan zijn er al die webapps en andere onzin; java is een graadje minder erg dan de activex- en specifieke verouderde browser-vereisende rommel, maar het is ook lek. Dubbelleuk als je het nodig hebt voor (enterprise-) financieële dienstverlening. En precies daar, waar je veiligheid en zekerheid het hardst nodig hebt, zie je de ergste en jammerste code. Of het moet om SCADA spul gaan mischien.
Ironisch genoeg is javascript (en html en css tegenwoordig, dat dan weer wel) een betere optie, maar ook daar wordt nog veel te makkelijk veel te veel rotte code in de client gestort. En daar gaat het uiteindelijk om: Remote code execution. Er hoeft maar een enkel gaatje in de zandbak te zitten en de stront verspreidt zich over het hele systeem. Je zou al die developers terug willen zetten in een echte zandbak.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.