Oracle dicht dinsdag 40 Java-lekken
Oracle zal aanstaande dinsdag 18 juni 40 lekken in Java verhelpen, waarvan er 37 zo ernstig zijn dat het bezoeken van een website volstaat om gehackt te worden. Het is tevens de eerste patchronde die van de nieuwe nummering gebruik maakt. De nieuwe nummering was nodig om meer ruimte voor noodpatches te maken zonder vooraf aankondigde versienummers in de weg te lopen.
Voor Limited Updates, die geen beveiligingsfixes bevatten, wordt er met twintigtallen gewerkt. De volgende Limited Update voor Java 7 zal dan ook Java 7 Update 40 zijn, gevolgd door Java 7 Update 60. Voor de versienummers van de Critical Patch Update (CPU), de Java-updates die Oracle elk kwartaal uitbrengt, wordt traditioneel met oneven getallen gewerkt.
Dat zal nog steeds zo blijven, maar worden er nu steeds vijftallen bij de laatst verschenen Limited Updates opgeteld. De komende drie CPU's krijgen dan ook versienummers Java 7 Update 45, Java 7 Update 51 (CPU werkt alleen met oneven nummers) en Java 7 Update 55.
De nu aangekondigde updates zijn dinsdag te downloaden. De volgende CPU staat voor 15 oktober gepland.
Kennelijk vinden ze Java toch nog belangrijk genoeg om we werk van te maken.
In de tussentijd staat java hier niet op m'n systeem. Wel zo veilig.
Hier snapt een gemiddelde gebruiker toch niets meer van.
Ik zie wel een mogelijk voordeel om het nut van huidige gebruikte Malware scripts in het honderd te laten lopen : Functionele chaos!
Wanneer je afwijkt van een lineaire opvolgende nummering van update nummers zouden scripts in de vorm van "als versie nummer lager is dan nr. zoveel doe dan dit of dat" niet meer werken.
Van mijn part dus weer beginnen bij versie 1 met nog niet gebruikte nummers, terugtellen, of ..
Maak het zo gek als je wil, zolang het maar niet te onderscheidend is door toevoeging van een nieuwe variable als een extra letter, een langere nummering of andere onderverdeling.
Daar snapt dan de gebruiker ook niets meer van,
maar op een onlogische nummering kunnen de huidige werkende logische scripts dan niet meer met succes worden losgelaten (of anders wordt het "if" script wel erg lang en opvallend).
Dan is het voortaan een kwestie van de software zelf naar de juiste updates te laten zoeken.
Niet dat het gebeurt, maar vond het een aardige gedachte ;
security met wat meer obscurity door functionele chaos te creëren.
Java wordt ontzagwekkend veel gebruikt dus je kan er vergif op nemen dat het belangrijk genoeg is om werk van te maken!
Het gebruik als plugin op internet pagina's is op sterven na dood. Misschien kan het maar beter het genadeschot
krijgen (dat Oracle stopt met de plugin te supporten), dan kan men deze nare episode afsluiten en weer proberen
er een geloofwaardig platform van te maken.
Dat bleek dan nog niet erg overtuigend uit de reacties onder "Microsoft-fix schakelt Java uit in Internet Explorer".
https://www.security.nl/artikel/46575/1/Microsoft-fix_schakelt_Java_uit_in_Internet_Explorer.html
Ben dan nog steeds erg benieuwd naar die andere onmisbare / specifieke (desktop) software voorbeelden waarvoor géén goede of veiliger java-alternatieven zijn.
Het lijstje blijft nog wat kort,..
(t.o.v., overweging brongebruik : met het op deze wijze java.com citeren kan je de waarschijnlijk ongewilde indruk wekken een iets bredere connectie met java te hebben, ofwel de 'W..-..' van Java).
Zulks vervangen kost gewoon enorm veel tijd naast de kosten voor het vinden (of schrijven) van alternatieven. De software zelf is vaak maar bijzaak. Om dat te snappen moet je een beetje begrijpen hoe grootbedrijven werken.
En dan hebben we het nog niet eens over waarmee je die vervangers dan moet schrijven. Wat zal dat zijn, denk je? Geef eens een leuk voorbeeld?
Weg met die plugins (buiten no-script in FF), en maak internet veiliger voor de gemiddelde internetgebruiker.
We kunnen zonder Flash in onze browsers, hetzelfde geldt voor Java...
Zolang programmeurs webapplicaties blijven schrijven die deze nutteloze plugin nodig hebben komen we er jammer genoeg niet vanaf. Het is zelfs zeer triest te noemen dat zelfs bankprogramma's deze high-risk plugin nodig hebben.
In grootbedrijven is nogal veel custom java in gebruik. Beetje lastig op te sommen wat dat dan allemaal precies is want buiten zo'n bedrijf heeft niemand ervan gehoord.
Op deze slimme bocht weer een mooie bocht aangesloten om de cirkel rond te krijgen en terug te komen bij het kader van de vraagstelling; de particuliere markt. Mede omdat het een beetje lastig is op te sommen hoe die grootbedrijven java toepassen.
Want het zijn voornamelijk particuliere gebruikers die hier discussiëren en particuliere gebruikers in het algemeen die met het java probleem worstelen.
En als 'je' een belang (java) verdedigt, doe dat dan overtuigend; hoe sta je zelf tegenover een verkoper die roept dat het goed is maar waarbij je als geïnteresseerde eindeloos moet doorvragen om helder te krijgen waarom je dat product (java) dan zo onmisbaar hard nodig zou hebben.
De vraag omkeren heeft iets van een vlucht, nl. een concreet alternatief vragen te benoemen voor iets dat niet bij naam genoemd wordt of waarvan niemand heeft gehoord .
Dat antwoord is aan goede programmeurs die bereid zijn verder te kijken dan het eigen willen en kunnen (buiten de eigen java beheersing dus). Daarvoor heb je waarschijnlijk softwareleveranciers/programmeurs nodig die meer dan een beetje begrijpen wat consumers zijn.
Blijven we java gebruiken in belang van sommige (java) leveranciers/programmeurs of in het algemeen belang van de consument?
Nogmaals; waarvoor hebben al die particuliere gebruikers java nou zo hard nodig?
10 kansen tot overtuigen : Als particulier is java onmisbaar voor de volgende onmisbare consumer software en dient de gebruiker daar direct werk van te maken !
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Sterker is het om geen applicaties noemen die je zelf al niet zou gebruiken omwille van bijv. veiligheidsredenen of omdat er goede / veiliger alternatieven voor zijn. Niet van belang is of je voor of tegen bent.
1-) Java behouden voor het draaien van Android apps op je desktop-pc (?..)
Zal me er eens in verdiepen, thanks
(of was dit bedoeld als een compensatie argument zoals die van de grootbedrijven, niet minder waar, alleen nog steeds niet geldend voor de particuliere desktop gebruiker)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.