Oracle hastelapper kritisk Javahul

Har Oracle virkeligt "lappet hullet hen over natten"?
Har det været pga. det store pres fra V2?
Og har der virkeligt været "mulm" og "nat" der hvor de har "hastelappet" hullet?

Forvirret? Så følg med i andre "tju-bang" artikler her på siden...

Jeg er ligesom Brian Johnsen lettere irreteret over sensationlismen i denne overskrift. Faktum er at Oracle kom med både sikkerhedsbulletins og software i går ved dansk fyraftenstid - så er kl. iøvrigt 10 om formiddagen i Silicon Valley:

https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Overskriften er nu modereret til et lavere sensationsniveau.

God weekend og vh, Morten, Version2.

Siden hvornår er 4 måneder en hastelapning?

.. hvis nogen skulle have lyst til at disable security i Java sandbox'en:

http://pastie.org/4594319

Et par timer i følge tech world

at sikkerhedsfirma X frigiver de shokerende nyheder at software Y er kompromiteret og at software firma der laver Y udgiver patchen...

For det er helt klart praktisk muligt at Oracle lige koder og kvalitetssikre Java... på et par dage... Sving pisken over kontorlandskabet !!!... "Der er ingen der går hjem før det der kodet færdigt"...

Synes at det er et væsentligt mere sansyneligt scenarie at det her er et to benet strategi... A det giver de små sikkerhedsfirmaer deres dag i solen uden de store selskaber skal betale for hjælpen og B det sikre at en relativ stor del af dem der benytter softwaren opgradere for ikke at være udsat for den type exploits...

Tror ikke Oracle (eller Sun) ville ha ladet deres storkunder være sårbare overfor et exploit som de kendte til...

Hvis et sikkerhedsfirma rent faktisk bare offentligjorde et exploit som så blev benyttet ville de være ret meddelagtige til eventuelle forbrydelser informationerne blev brugt til...

"Jammen hr dommer... jeg solgte jo bare ham der brød ind i huset den bumpkey han benyttede til at kompromitere låsen" (elller gjorde opmærksom på at anden vindue fra højre virker haspen ikke på)... det skal nok virke i retten...

Ja, der er fejl der ikke opføre sig på denne måde men jeg tror nok der er en del af dem der gør... specielt dem der bliver "løst" ganske kort tid efter de er "day-0"...

Tror mere det er sikkerhedsfirmaerne der "frigiver" oplysningerne så det passer med næste store opdatering der alligevel kommer igennem kvalitetssikringssystemet er lige på trapperne... Selv om det er meget mere sandsyneligt at de små sikkerheds firmaer hellere end gerne vil udsætte sig for mulige multimillion erstatningskrav end at det er der er lidt koordination af pressemeddelelserne...

Hvis det ikke er på den måde burde det måske være det... Desuden ville det jo være en elendig historie at sælge shockvalue på...

Jakob du kan tro hvad du vil, men faktum er bare som følger:

1. Java er en håbløs skod applikation, som er umulig at administrere for privat brugere og virksomheder.
2. Java er sikkerhedsmæssigt en kæmpe IT katastrofe.
3. Troværdigheden og tilliden til Oracles sikkerhedsteam er væk.

Ovenstående opsummeret i en sætning:
Java burde forbydes ved lov.

Nu skal vi lige spise brød til, og sortere skidt fra kanel:-)

Java er meget mere end blot det applet framework, som er årsagen til alle problemerne. En væsentlig del af årsagen, som jeg ser det, skyldes, at applet frameworket ikke er fulgt med tiden. Frameworket i sin nuværende form, har stort set ikke ændret sig siden java 1.1/1.2; det er en del år siden!

Igen, java applet frameworket er, men java som enterprise framework er bestemt, sikkerhedsmæssigt, lige så sikkert som .NET. Java har så yderligere den væsentlige fordel, at det er cross-platform med modifikationer.

Her er vi helt enige. Det samme kan forøvrigt siges om teamet, der vedligeholder MySQL, og teamet der stod for OpenOffice.