Oracle: Javas sikkerhedshuller stammer fra Sun

21 kommentarer.  Hop til debatten
Oracle: Javas sikkerhedshuller stammer fra Sun
Illustration: Java.
Det er den tidligere ejer Sun Microsystems, der er skyld i de mange sikkerhedsproblemer i Java, lyder det fra Oracle, der købte Sun i 2010.
24. september 2013 kl. 16:38
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Java er blevet kendt for en stribe sikkerhedshuller, der har fået opmærksomhed - især i Danmark, hvor NemID tvinger danskerne til at have Java på deres computer.

Men det er ikke Oracles skyld, lød det fra Oracle på firmaets store JavaOne-konference i San Francisco. De fleste sikkerhedsproblemer stammer nemlig fra Sun Microsystems udvikling af Java, sagde Oracles chef for Java EE, Cameron Purdy, fra scenen. Det skriver Infoworld.com.

Java er oprindeligt udviklet hos Sun, men Oracle overtog hele firmaet i 2010, lige før NemID blev lanceret, og blev dermed også ’afsender’ på Java.

»Det er opfattelsen, at det er nye problemer. De fleste af dem stammer fra Java Development Kit (JDK) 1.4 og tidligere,« sagde Cameron Purdy ifølge Infoworld.

Artiklen fortsætter efter annoncen

JDK 1.4 er fra 2002, altså lang tid før Oracle kom ind i billedet.

Forklaringen er, ifølge Oracle, at Sun ikke havde resurser til at sørge for ordentlig sikkerhed i Java, på grund af firmaets økonomiske problemer før Oracles opkøb. Og efterfølgende har det taget tid at rette op på problemerne.

Et andet problem er, at mange stadig har en ældre version af Java installeret, selvom man troligt har opgraderet til nyeste version. Java afinstallerer nemlig ikke automatisk de gamle versioner.

Hvorfor en Java-installation også skal forsøge at installere Ask-værktøjslinjen, melder historien dog ikke noget om.

Læs mere om sikkerhed og sikkerhedshuller i Version2's whitepaperbibliotek.

21 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
21
27. september 2013 kl. 14:28

"Java afinstallerer nemlig ikke automatisk de gamle versioner." Dette var sandt for de gamle versioner før version 7, mens det i version 7 er ændret til at fjerne de gamle versioner under opdatering. Artiklen stemmer dermed ikke overens med virkeligheden.

"Hvorfor en Java-installation også skal forsøge at installere Ask-værktøjslinjen, melder historien dog ikke noget om." Det var vel ret relevant, at stille lidt kritiske spørgsmål ind til dette som journalist. Hvorfor har Oracle valgt den dag i dag, fortsat at have Ask med? Findes næppe en rigtig fornuftig argumentation til at denne giver en bedre brugeroplevelse - tværtimod.

De fleste der arbejder for IT ved hvordan man undgår denne, mens bankerne og NemID i Danmark jo tvinger almene brugerne til at installere et "defekt" produkt. Så længe at NemID m.fl. ikke giver fornuftige instrukser herom, er de medskyldige i den unødige udbredelse af Ask Toolbar, på et sølle grundlag.

"Men det er ikke Oracles skyld ..." Det er nemt at pege fingre, i stedet for at gøre noget ved problemets kerne - Oracle har overtaget ansvaret, og bør være professionelle i den henseende. Kom videre, ret fejlene og gør Java sikre. Det andet er blot historie og uinteressant når det kommer til sikkerheden og brugeroplevelsen. Det kan vel næppe være relevant her 3 år (!) efter købet, at det fortsat ikke er blevet markant bedre.

17
26. september 2013 kl. 13:18

Jeg syntes det interessant at sikkerhedsfejlene stammer tilbage fra jdk 1.4. 1.4 var en kæmpe opdaterering, så at der er smuttet grimme fejl ind på det tidspunkt er egentlig ikke overraskende. På det tidspunkt var Java ikke så stort endnu - i hvert fald ikke som browser plugin, så at man ikke opdagede sikkeredshuller i den er vel heller ikke så overraskende. Specielt med nutidens viden om Suns økonomiske situation.

Men kommentarer som "hvorfor finder de dem ikke bare fejlene..." virker lidt kække. Hvis man bare har arbejdet lidt med kompleks software, så ved man at fejl ikke "bare" finder sig selv. Og sikkerhedsfejl er endnu sværere at finde. Og hvorfor arbejder man "bare" videre? Hvad skulle man ellers gøre? Stoppe al videreudvikling indtil alle fejl (kendte og ukendte) var løst? Java er i konkurrence med mange andre platforme - derfor er det nødvendigt at videreudvikle, samtidig med at man forsøger at rydde op i fortidens synder.

Med hensyn til Ask.com - tja, det kan jeg ikke svare på. Personligt bruger jeg 3-4 forskellige java version professionel. Og har endnu ikke set et ask.com toolbar. Måske fordi jeg henter en installationsfil og installerer derfra.

19
27. september 2013 kl. 12:31

Det kan du have ret i, Rasmus. Det er ikke helt enkelt at finde frem til. Så her er en lille vejledning:

http://java.oracle.com (den url bliver ændret når man klikker på den - men det er en genvej ind til java-siden hos Oracle)

Herinde, under "Top Downloads" vælger man "Java SE" (SE står for Standard Edition).

På næste side får man valget mellem JDK, Server JRE og og JRE. "JDK" står for "Java Development Kit" - altså udviklingsplatformen, "JRE" er "Java Runtime Environment". Det er "JRE" versionen man skal bruge. Klik på "JRE". Dernæst skal man tage stilling til platform - det vil for de fleste være en Windows. Kører man Windows7 eller Windows Vista er "Windows x64" den rigtige, ellers "Windows x86". Vælg exe-filen, den anden (tar.gz) er til special-tilfælde. Husk at acceptere betingelser - "Accept License Agreement" (klik på den runde knap).

Installation: Dobbeltklik på den downloadede fil og accepter standard indstillingerne.

mht. ask-baren så har Oracle skrevet en side om hvordan man fjerner den:http://www.java.com/en/download/faq/ask_toolbar.xml

15
25. september 2013 kl. 10:14

Tænk hvis man kunne få ens DNS udbyder til at lægge det ind i DNS severen, så var det løst for alle, indtil der kom en ny version.

Er der nogen der ved om der er nogen der tilbyder en "sikkert" DNS, ved det også kan bruges til censur, men min mor vil have godt af at have en DNS hvor alle de "sorte og mørke" sider af internettet var blokeret. lige ved at kun *.dk var fint.

16
25. september 2013 kl. 10:39

Er der nogen der ved om der er nogen der tilbyder en "sikkert" DNS, ved det også kan bruges til censur, men min mor vil have godt af at have en DNS hvor alle de "sorte og mørke" sider af internettet var blokeret.
lige ved at kun *.dk var fint.

Uden at have prøvet det vil jeg tro at OpenDNS kan: http://www.opendns.com/parental-controls"Parents can block entire categories of content, or just choose to block the individual websites that you know are problematic or unsafe for your family."

13
25. september 2013 kl. 09:41

Ångående årsagen til, at Oracle bundler deres Java installationer og opdateringer med Ask, så er der vist ingen tvivl om at det handler om penge.

Det jeg så ikke forstår er, at Oracle ikke er interesserede i at fremstå mere seriøse, end tilfældet er. Og jeg mener virkeligt at sponsor bundles er useriøse - især i dette tilfælde med Ask som nok er jordens mest ubrugelige værktøj.

Kunne man forestille sig, at Oracle egentligt gerne ville af med Ask, men at de er kontraktligt forpligtede til at fortsætte indtil en (for os) ukendt dato?

12
25. september 2013 kl. 09:33

Amatører gir de andre skylden for problemerne, professionelle løser dem

11
25. september 2013 kl. 08:57

Arhh er det ikke lige sølle nok, en ting er at det måske er sandt at fejlene stammer helt tilbage fra 2010. Men hvorfor har Oracle så ikke fundet dem, det er muligt de ikke har lavet fejlene oprindeligt men ved at sende ny versioner på market har de god skrevet kvaliteten af produktet.

Hvad andgår spam baren så er det da verdens dårligste påfund ad!..

5
24. september 2013 kl. 21:18

Min tillid til virksomheder der skyder skylden på en tidligere ejere kan være på et meget lille sted. Ikke mindst efter tre års ejerskab.

3
24. september 2013 kl. 19:04

Kan godt lide at Oracle åbenbart ikke før har gennemgået deres eget produkt helt ned i mindste detalje, men blot bygget videre og nu kaster med sten mod Sun selvom Oracle ikke fjerner tidligere Java ved opdatering og så er der denne ask toolbar som heldigvis kan undgås hvis man henter offline versionen!

2
24. september 2013 kl. 18:52

Fra artiklen:

"Hvorfor en Java-installation også skal forsøge at installere Ask-værktøjslinjen, melder historien dog ikke noget om."

Kunne I, v2, ikke spørge Oracle om dette? Jeg vil i hvert tilfælde gerne kende svaret.

4
24. september 2013 kl. 20:35

anmeldsv

Det er fint nok med mig, at den forsøger ved installation at installere den ask spambar, det er der så mange andre der gør - men jeg bliver vanvittig over, at den forsøger ved hver eneste opdatering at gøre nummeret om igen..

8
24. september 2013 kl. 22:01

Tilføj dette til din host fil:

ask.com 127.0.0.1

9
24. september 2013 kl. 23:55

Tilføj dette til din host fil:</p>
<p>ask.com 127.0.0.1

Det er lidt bagvendt, i forhold til at forhindre toolbar'ens installation til at starte med.

Som Kenneth er inde på, undgår man bundled junk med deres offline installer.

En anden mulighed, er at installere via Ninite (lidt lettere, specielt for ikke-IT kyndige personer): http://ninite.com/java/ninite.exe.

En tredje er at tilføje strengværdien "SPONSORS" (REG_SZ) i registry under:

HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft

Sæt værdien til "DISABLE".

Det har jeg gjort på mine computere, og dem jeg mere eller mindre frivilligt, supporterer.

Se evt. http://superuser.com/questions/549028/how-can-i-prevent-ask-com-toolbar-from-being-installed-every-time-java-is-updated.

Her finder du også Administrative Templates, du kan tilføje en GPO og dermed let udrulle registry indstillingerne, til f.eks. alle computere i et Active Directory.

14
25. september 2013 kl. 10:09

@Rasmus Rask Tak for det, det saxet jeg lige.

10
25. september 2013 kl. 08:15

Den med at rette hostfilen forhindrer også at toolbaren kommer igen ved fremtidige opdagteringer

Og den virker på alle OS (hostfilen ligger så forskellige steder - men hurra for 'søg filer'!

1
24. september 2013 kl. 18:12

Oracle havde vel ikke forventet andet.

Der udkommer også hele tiden ny malware.