Java a ostatnie krytyczne luki? Czy warto?

Java a ostatnie krytyczne luki? Czy warto?
Bartosz Wójcik
Bartosz Wójcik
Bartosz Wójcik
Bartosz Wójcik
  • Rejestracja:ponad 14 lat
  • Ostatnio:ponad 4 lata
  • Postów:439
0

Oracle wydało aktualizację dla Java SE

http://krebsonsecurity.com/2014/04/critical-java-update-plugs-37-security-holes/

37 security vulnerabilities

4 z nich otrzymały notę 10 w skali CVSS http://nvd.nist.gov/cvss.cfm

Czy warto tworzyć w Javie, gdy potencjalni klienci mają mówiąc krótko przerąbane?

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Wibowit
Wibowit
Wibowit
Wibowit
  • Rejestracja:około 20 lat
  • Ostatnio:około 6 godzin
2

A taki np OpenSSL też był napisany w Javie?

"Programs must be written for people to read, and only incidentally for machines to execute." - Abelson & Sussman, SICP, preface to the first edition
"Ci, co najbardziej pragną planować życie społeczne, gdyby im na to pozwolić, staliby się w najwyższym stopniu niebezpieczni i nietolerancyjni wobec planów życiowych innych ludzi. Często, tchnącego dobrocią i oddanego jakiejś sprawie idealistę, dzieli od fanatyka tylko mały krok."
Demokracja jest fajna, dopóki wygrywa twoja ulubiona partia.
Bartosz Wójcik
1 błąd ras na ruski rok vs poand 30 błędów krytycznych co kwartał - komentować nie trzeba dalej ;)
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Koziołek
Koziołek
Koziołek
Koziołek
Moderator
  • Rejestracja:około 18 lat
  • Ostatnio:7 dni
  • Lokalizacja:Stacktrace
  • Postów:6822
0

@Bartosz Wójcik, pociesz się tym, że soft pisany w Cpp ma jeszcze więcej dziur. Zresztą ostatnio bodajże na niebezpieczniku było fajne wyliczenie - jeżeli przyjąć, że 5 linii na 1000 zawiera bugi i tylko 10% bugów związane jest z bezpieczeństwem to w samym Win8 mamy około 60k błędów bezpieczeństwa. Zatem tu klienci mają dopiero przerąbane....

BTW, chodzi o aplety java, których praktycznie nikt nie używa, a przeglądarki zanim je uruchomią to po 20 razy pytają czy aby na pewno.

Sięgam tam, gdzie wzrok nie sięga… a tam NullPointerException
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
__krzysiek85
__krzysiek85
__krzysiek85
__krzysiek85
  • Rejestracja:ponad 18 lat
  • Ostatnio:ponad 9 lat
  • Postów:1019
0
Wibowit napisał(a):

A taki np OpenSSL też był napisany w Javie?

http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html
"Products That Do Not Include OpenSSL" zawiera "Java SE", z drugiej strony "Oracle products that are likely vulnerable to CVE-2014-0160 but for which no fixes are yet available" zawiera "Java ME - Mobile and Wireless".
Czyli, jeżeli dobrze rozumiem, to Java ME używa OpenSSL, ale Java SE już nie.

Jeżeli natomiast mówimy o bezpieczeństwie użytkownika, to moim zdaniem trzeba w przeglądarce usunąć plugin do Javy.
Niestety przez to odpadają apltety i Java Web Start.
Java i tak jest głównie używana na serwerach dostępnych w sieci lokalnej i tam bezpieczeństwo nie jest najważniejsze.

Registered Linux user #456405 | SCJP 6 | SCWCD 5 | SCBCD 5
edytowany 1x, ostatnio: __krzysiek85
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Koziołek
Koziołek
Koziołek
Koziołek
Moderator
  • Rejestracja:około 18 lat
  • Ostatnio:7 dni
  • Lokalizacja:Stacktrace
  • Postów:6822
0

OpenSSL jest w wielu systemach na których śmiga ME jako dostawca security. W SE jest już natywna implementacja, a ME wali do tego co udostępnia system.

edit: z listy Oracle
MySQL Connector/C++ [Product ID 8576/CONCPLS]

Czyli co? php won, bo pośrednia zależność... hehhehe

Sięgam tam, gdzie wzrok nie sięga… a tam NullPointerException
edytowany 1x, ostatnio: Koziołek
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Wibowit
Wibowit
Wibowit
Wibowit
  • Rejestracja:około 20 lat
  • Ostatnio:około 6 godzin
0

1 błąd ras na ruski rok vs poand 30 błędów krytycznych co kwartał - komentować nie trzeba dalej ;) - Bartosz Wójcik 23 minuty temu

W C jest napisanych dużo więcej niż samo OpenSSL. Podaj mi zbiór programów w C które implementują wszystko to co dostarcza Java w standardzie i policz bugi sumarycznie.

"Programs must be written for people to read, and only incidentally for machines to execute." - Abelson & Sussman, SICP, preface to the first edition
"Ci, co najbardziej pragną planować życie społeczne, gdyby im na to pozwolić, staliby się w najwyższym stopniu niebezpieczni i nietolerancyjni wobec planów życiowych innych ludzi. Często, tchnącego dobrocią i oddanego jakiejś sprawie idealistę, dzieli od fanatyka tylko mały krok."
Demokracja jest fajna, dopóki wygrywa twoja ulubiona partia.
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
mućka
mućka
0

Java jest napisana w C/C++, wiec w sumie wszystkie bugi w Javie sa jakby bugami w C/C++?

KA
nie
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj

Zarejestruj się i dołącz do największej społeczności programistów w Polsce.

Otrzymaj wsparcie, dziel się wiedzą i rozwijaj swoje umiejętności z najlepszymi.

Utwórz konto