Oracle: Javas sikkerhedshuller stammer fra Sun

Det er den tidligere ejer Sun Microsystems, der er skyld i de mange sikkerhedsproblemer i Java, lyder det fra Oracle, der købte Sun i 2010.

Java er blevet kendt for en stribe sikkerhedshuller, der har fået opmærksomhed - især i Danmark, hvor NemID tvinger danskerne til at have Java på deres computer.

Læs også: Officiel sikkerhedsadvarsel: Slå Java fra – og brug særlig browser til NemID

Men det er ikke Oracles skyld, lød det fra Oracle på firmaets store JavaOne-konference i San Francisco. De fleste sikkerhedsproblemer stammer nemlig fra Sun Microsystems udvikling af Java, sagde Oracles chef for Java EE, Cameron Purdy, fra scenen. Det skriver Infoworld.com.

Java er oprindeligt udviklet hos Sun, men Oracle overtog hele firmaet i 2010, lige før NemID blev lanceret, og blev dermed også ’afsender’ på Java.

»Det er opfattelsen, at det er nye problemer. De fleste af dem stammer fra Java Development Kit (JDK) 1.4 og tidligere,« sagde Cameron Purdy ifølge Infoworld.

JDK 1.4 er fra 2002, altså lang tid før Oracle kom ind i billedet.

Forklaringen er, ifølge Oracle, at Sun ikke havde resurser til at sørge for ordentlig sikkerhed i Java, på grund af firmaets økonomiske problemer før Oracles opkøb. Og efterfølgende har det taget tid at rette op på problemerne.

Et andet problem er, at mange stadig har en ældre version af Java installeret, selvom man troligt har opgraderet til nyeste version. Java afinstallerer nemlig ikke automatisk de gamle versioner.

Hvorfor en Java-installation også skal forsøge at installere Ask-værktøjslinjen, melder historien dog ikke noget om.

Læs mere om sikkerhed og sikkerhedshuller i Version2's whitepaperbibliotek.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Palle Simonsen

Fra artiklen:

"Hvorfor en Java-installation også skal forsøge at installere Ask-værktøjslinjen, melder historien dog ikke noget om."

Kunne I, v2, ikke spørge Oracle om dette? Jeg vil i hvert tilfælde gerne kende svaret.

  • 22
  • 0
#3 Kenneth Schack Banner

Kan godt lide at Oracle åbenbart ikke før har gennemgået deres eget produkt helt ned i mindste detalje, men blot bygget videre og nu kaster med sten mod Sun selvom Oracle ikke fjerner tidligere Java ved opdatering og så er der denne ask toolbar som heldigvis kan undgås hvis man henter offline versionen!

  • 11
  • 0
#4 Benni Bennetsen

anmeldsv

Det er fint nok med mig, at den forsøger ved installation at installere den ask spambar, det er der så mange andre der gør - men jeg bliver vanvittig over, at den forsøger ved hver eneste opdatering at gøre nummeret om igen..

  • 6
  • 0
#9 Rasmus Rask

Tilføj dette til din host fil:

ask.com 127.0.0.1

Det er lidt bagvendt, i forhold til at forhindre toolbar'ens installation til at starte med.

Som Kenneth er inde på, undgår man bundled junk med deres offline installer.

En anden mulighed, er at installere via Ninite (lidt lettere, specielt for ikke-IT kyndige personer): http://ninite.com/java/ninite.exe.

En tredje er at tilføje strengværdien "SPONSORS" (REG_SZ) i registry under:

HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft

Sæt værdien til "DISABLE".

Det har jeg gjort på mine computere, og dem jeg mere eller mindre frivilligt, supporterer.

Se evt. http://superuser.com/questions/549028/how-can-i-prevent-ask-com-toolbar-....

Her finder du også Administrative Templates, du kan tilføje en GPO og dermed let udrulle registry indstillingerne, til f.eks. alle computere i et Active Directory.

  • 7
  • 0
#10 Eskild Nielsen

Den med at rette hostfilen forhindrer også at toolbaren kommer igen ved fremtidige opdagteringer

Og den virker på alle OS (hostfilen ligger så forskellige steder - men hurra for 'søg filer'!

  • 2
  • 0
#11 Jes Struck

Arhh er det ikke lige sølle nok, en ting er at det måske er sandt at fejlene stammer helt tilbage fra 2010. Men hvorfor har Oracle så ikke fundet dem, det er muligt de ikke har lavet fejlene oprindeligt men ved at sende ny versioner på market har de god skrevet kvaliteten af produktet.

Hvad andgår spam baren så er det da verdens dårligste påfund ad!..

  • 2
  • 0
#13 Deleted User

Ångående årsagen til, at Oracle bundler deres Java installationer og opdateringer med Ask, så er der vist ingen tvivl om at det handler om penge.

Det jeg så ikke forstår er, at Oracle ikke er interesserede i at fremstå mere seriøse, end tilfældet er. Og jeg mener virkeligt at sponsor bundles er useriøse - især i dette tilfælde med Ask som nok er jordens mest ubrugelige værktøj.

Kunne man forestille sig, at Oracle egentligt gerne ville af med Ask, men at de er kontraktligt forpligtede til at fortsætte indtil en (for os) ukendt dato?

  • 6
  • 0
#15 s_ mejlhede

Tænk hvis man kunne få ens DNS udbyder til at lægge det ind i DNS severen, så var det løst for alle, indtil der kom en ny version.

Er der nogen der ved om der er nogen der tilbyder en "sikkert" DNS, ved det også kan bruges til censur, men min mor vil have godt af at have en DNS hvor alle de "sorte og mørke" sider af internettet var blokeret. lige ved at kun *.dk var fint.

  • 0
  • 0
#16 Adam Tulinius
  • 0
  • 0
#17 Deleted User

Jeg syntes det interessant at sikkerhedsfejlene stammer tilbage fra jdk 1.4. 1.4 var en kæmpe opdaterering, så at der er smuttet grimme fejl ind på det tidspunkt er egentlig ikke overraskende. På det tidspunkt var Java ikke så stort endnu - i hvert fald ikke som browser plugin, så at man ikke opdagede sikkeredshuller i den er vel heller ikke så overraskende. Specielt med nutidens viden om Suns økonomiske situation.

Men kommentarer som "hvorfor finder de dem ikke bare fejlene..." virker lidt kække. Hvis man bare har arbejdet lidt med kompleks software, så ved man at fejl ikke "bare" finder sig selv. Og sikkerhedsfejl er endnu sværere at finde. Og hvorfor arbejder man "bare" videre? Hvad skulle man ellers gøre? Stoppe al videreudvikling indtil alle fejl (kendte og ukendte) var løst? Java er i konkurrence med mange andre platforme - derfor er det nødvendigt at videreudvikle, samtidig med at man forsøger at rydde op i fortidens synder.

Med hensyn til Ask.com - tja, det kan jeg ikke svare på. Personligt bruger jeg 3-4 forskellige java version professionel. Og har endnu ikke set et ask.com toolbar. Måske fordi jeg henter en installationsfil og installerer derfra.

  • 0
  • 1
#19 Deleted User

Det kan du have ret i, Rasmus. Det er ikke helt enkelt at finde frem til. Så her er en lille vejledning:

http://java.oracle.com (den url bliver ændret når man klikker på den - men det er en genvej ind til java-siden hos Oracle)

Herinde, under "Top Downloads" vælger man "Java SE" (SE står for Standard Edition).

På næste side får man valget mellem JDK, Server JRE og og JRE. "JDK" står for "Java Development Kit" - altså udviklingsplatformen, "JRE" er "Java Runtime Environment". Det er "JRE" versionen man skal bruge. Klik på "JRE". Dernæst skal man tage stilling til platform - det vil for de fleste være en Windows. Kører man Windows7 eller Windows Vista er "Windows x64" den rigtige, ellers "Windows x86". Vælg exe-filen, den anden (tar.gz) er til special-tilfælde. Husk at acceptere betingelser - "Accept License Agreement" (klik på den runde knap).

Installation: Dobbeltklik på den downloadede fil og accepter standard indstillingerne.

mht. ask-baren så har Oracle skrevet en side om hvordan man fjerner den: http://www.java.com/en/download/faq/ask_toolbar.xml

  • 0
  • 0
#20 Deleted User

http://www.computerworld.com/s/article/9236273/Oracle_will_continue_to_b...

Glimrende artikel. Hvori der gøres klart at Oracle har arvet denne aftale med Ask.com ved købet af Sun. Doland Smith (chef for Oracle OpenJDK-teamet) siger i slutningen af artiklen: What I can say is, we hear you loud and clear. We're aware of the concerns and we're looking at what we can do moving forward.

  • 0
  • 0
#21 Nikolaj Jørgensen

"Java afinstallerer nemlig ikke automatisk de gamle versioner." Dette var sandt for de gamle versioner før version 7, mens det i version 7 er ændret til at fjerne de gamle versioner under opdatering. Artiklen stemmer dermed ikke overens med virkeligheden.

"Hvorfor en Java-installation også skal forsøge at installere Ask-værktøjslinjen, melder historien dog ikke noget om." Det var vel ret relevant, at stille lidt kritiske spørgsmål ind til dette som journalist. Hvorfor har Oracle valgt den dag i dag, fortsat at have Ask med? Findes næppe en rigtig fornuftig argumentation til at denne giver en bedre brugeroplevelse - tværtimod.

De fleste der arbejder for IT ved hvordan man undgår denne, mens bankerne og NemID i Danmark jo tvinger almene brugerne til at installere et "defekt" produkt. Så længe at NemID m.fl. ikke giver fornuftige instrukser herom, er de medskyldige i den unødige udbredelse af Ask Toolbar, på et sølle grundlag.

"Men det er ikke Oracles skyld ..." Det er nemt at pege fingre, i stedet for at gøre noget ved problemets kerne - Oracle har overtaget ansvaret, og bør være professionelle i den henseende. Kom videre, ret fejlene og gør Java sikre. Det andet er blot historie og uinteressant når det kommer til sikkerheden og brugeroplevelsen. Det kan vel næppe være relevant her 3 år (!) efter købet, at det fortsat ikke er blevet markant bedre.

  • 0
  • 0
Log ind eller Opret konto for at kommentere