Java-Applets für diese diebische Elster im Browser sind also zu sicherheitsanfällig. Nicht, dass die nächste Version noch in Flash sein wird…
Schlagwort Java RSS
-
Nachtwächter
-
Nachtwächter
Damals, in den Neunzigern, war eines der Argumente für Java-Applets im Browser die Sicherheit. Na ja, und heute…
-
Nachtwächter
Na, dann schaltet mal schön eure Java-Plugins im Browser ab, wenn ihr so etwas nach den ganzen Security-Meldungen zur Java überhaupt noch habt. Wenn ihrs nicht tut, kann euch jede verdammte Seite im Web und jedes verdammte Werbebanner und generell alles, was irgendwie in die Hände von Kriminellen geraten könnte, Schadsoftware auf euren Windohs-Mühlen installieren und eure Rechner und Internetzugänge pwnen. Als Sun vor vielen Jahren Java in die Browser stopfte, war das Argument dafür übrigens das Sicherheitsmodell…
Oracle setzt noch eine schöne Realsatire auf der Download-Seite drauf: Mit Java-Technologie können Sie in einer sicheren Rechnerumgebung arbeiten und spielen.
-
Nachtwächter
Wenn man eine Sicherheitslücke findet, sollte man die besser immer sofort und möglichst unzensierbar publik machen. Firmen wie Oracle ist das nämlich egal, so lange sich die Entscheider dort vormachen können, niemand wisse von der Schwachstelle. Und dann werden halt in einem Internet mit der gut entwickelten Internet-Kriminalität der Zehner Jahre die Menschen monatelang mit einem unsicheren Softwarepaket allein gelassen, auch wenn die Behebung der Lücke in dreißig Minuten zu bewerkstelligen ist, keine Seiteneffekte hat und nur die Änderung von 25 Zeichen im Quelltext erfordert.
-
Nachtwächter
Na, habt ihr auch alle wegen der üblen Sicherheitslücke den schnellen Flicken von Oracle installiert, damit euer Rechner nicht beliebig von Verbrechern übernommen werden kann? Dann könnt ihr das Plugin gleich wieder im Browser deaktivieren, denn Oracles Flickwerk hat eine schwere Sicherheitslücke. Am besten das Java-Plugin gleich rausschmeißen. Wer braucht es überhaupt noch? Wer nicht weiß, ob ers braucht, braucht es wahrscheinlich nicht…
-
Nachtwächter
Der laufende 0day-Exploit für Java, der so übel ist, dass überall gewarnt wird und die Leute aufgefordert werden, doch das Java-Plugin aus dem Browser rauszuziehen, wenns irgend möglich ist… ja, dieser Exploit nutzt eine Schwachstelle aus, die Oracle schon seit ein paar Monaten kennt. Haben sie sich aber wohl nicht weiter drum gekümmert, wurde ihnen ja vertraulich gemeldet, weiß ja niemand und wird niemals jemand entdecken…
Deshalb meldet man gefundene sicherheitskritische Lücken nicht vertraulich an Softwarehersteller, sondern macht sie schnell öffentlich. Sonst passiert niemals etwas.
Nachtrag: Auf einmal gehts schnell. Wäre es gleich schnell gegangen, wäre nicht eine unbekannte Anzahl Rechner von Kriminellen geownt worden. Das scheint Oracle aber scheißegal zu sein.
-
Nachtwächter
Und in der endlosen Galerie von Beispielen, warum man auch einigermaßen seriösen Websites nicht pauschal die Verwendung von Plugins und das Ausführen von Skripten im Browser gestatten sollte (wie es die Grundeinstellung aller Browser ist), gibt es ein weiteres Ausstellungsstück: Die Website MySQL.com wurde gecrackt und hat Malware an Windows-Rechner verteilt.
-
Nachtwächter
Kleiner Lacher zur Nacht: Endlich ist Java so richtig sicher geworden, denn Code, der nicht ausgeführt wird, hat auch keine ausbeutbaren Sicherheitslücken.
-
Nachtwächter
Die Geschichten, die sich immer wieder bei »Worse Than Failure« finden, sind einfach nur zum vom Grusel begleiteten Lachen, und wenn ich ähnliches nicht schon selbst erlebt hätte, würde ich sie wohl gar nicht glauben. Zum Beispiel die Geschichte, dass man zu einer generierten Pseudozufallszahl eine Null addieren muss, damit der Computer auch versteht, dass hier eine Zufallszahl gewünscht ist. Und wenn es ohne diese Addition funktioniert (die übrigens jeder vernünftige Compiler zu einem Nichts wegoptimieren sollte), denn muss das wohl daran liegen, dass ein Kurzschluss im Computer den Java-Compiler dazu gebracht hat, diesen Code zu akzeptieren.
-
Nachtwächter
ALARM! Wer Java trotz der gegenwärtigen Sicherheitslücke noch nicht im Browser abgeschaltet oder sein Java wenigstens auf die neueste Version gebracht hat und gelegentlich einmal so etwas wie »lyrics« gefolgt vom Namen eines Musikers in sein Guhgell eingibt, um ein paar Liedtexte zu finden, der ist auf dem besten Weg, sich aktuelle Schadsoftware auf seinen Rechner zu holen. Und natürlich wird diese wirklich große Lücke auch von anderen Seiten ausgenutzt.
Übrigens funktioniert der umlaufende und aktiv benutzte Exploit unter gewissen Umständen auch mit der aktuellen Java-Version. Niemand fühle sich sicher, nur weil er auf dem neuesten Stand ist.
Meine Empfehlung: Java (und übrigens auch alle anderen Plugins) abschalten, und nur auf Websites einschalten, in denen diese Dinge benötigt werden und denen man vertraut. Wer einen Firefox benutzt, sollte das Plugin ABP (idealerweise um NoScript ergänzt) dafür verwenden; wer einen Opera benutzt, sollte die Dinge in den Browsereinstellungen abschalten und jeweils in den »seitenspezifischen Einstellungen« des F12-Menüs wieder einschalten, wenn sie gewünscht sind; wer einen Internet
ExploiterExplorer benutzt, sollte sowieso so schnell wie nur möglich den Browser wechseln.Hinweise für andere Browser bitte in den Kommentaren ablegen, ich selbst kenne nur Firefox und Opera gut genug. (Ja, ich weiß, »Opera«, ja, ich weiß…)
-
Nachtwächter
Der Super-GAU in Java. Sofort Java im Browser abschalten!
-
Nachtwächter
Oh, ich hätte nicht gedacht, dass ich heute noch einmal so lachen muss, aber dann bin ich kurz zu Fefes Blog gegangen und las das hier: »[…] hier gehen tatsächlich ein paar Mails und Tweets von Studenten ein, die mir vorwerfen, ich habe von Software-Engineering keine Ahnung« – bitte unbedingt bei Fefe weiterlesen, vor allem, wenn man so ein modernitätsbesoffener »software engineer« ist. (Der Bezug ist Fefes frischer Java-Rant.)
Ich hätte ja manchmal Lust, ein Buch zu schreiben. Titel: Die Software-Engineering-Lüge – vom ersten UML-Entwurf direkt ins Scheitern. Mit vielen Geschichten aus der Praxis. Aber immer, wenn ich an gewisse Projekte zurückdenke, wächst in mir so ein fressender Kopfschmerz. Man sollte die Wahl der Entwicklungsumgebung, der geeigneten Programmiersprache und der Vorgehensweise bei der Implementation lieber einmal jemanden überlassen, der sich damit auskennt, und nicht einem Kaufmann oder einem frischen Uni-Absolventen mit nur wenig realer Projekterfahrung. Denn wird es vielleicht auch nicht doppelt so zeitaufwändig und fünfmal so teuer wie geplant. Ich schriebe einem Klempner schließlich auch nicht vor, wie er zu arbeiten hat und welche Werkstoffe er benutzen soll, sondern verließe mich auf sein Wissen und seine Erfahrung. Das hat in der Regel den Vorteil, dass die Scheiße nicht auf dem Wasser im Wohnzimmer schwimmt. Aber wenn es um Software geht, denn wird sehr oft ganz anders vorgegangen, und was habe ich nicht schon alles für Dreck gemacht, als ich so einen Dreck halt noch gemacht habe. Ha, und »Wiederverwenbarkeit von Code«, dass ich nicht lache. Wenn sich nicht jemand hinsetzt, der den Code dokumentiert und dafür sorgt, dass diese Dokumentation in gut durchsuchbarer Form zur Verfügung steht und auch benutzt wird, denn ist der meiste geschriebene Code ein Einwegprodukt. Und fürs Dokumentieren und das Aufbereiten der Dokumentation hat wirklich niemand das Geld übrig, das kann man ja (in der Regel) nicht verkaufen, scheißegal, wird das Rad eben immer wieder neu erfunden. Das ist die Wahrheit, egal, in welcher Sprache man von irgendeiner Firma coden lässt. Alles andere ist einfach nur Blah und Gottträumerei von irgendwelchen »Engineers«, bei denen man froh darüber sein sollte, dass diese Leute keine Brücken und Hochhäuser entwerfen – sonst gäbe es nämlich immer wieder fürchterliche Katastrophenmeldungen in den Nachrichten.