Plaget Java-plugin lever videre trods sikkerhedsproblemer

Illustration: leowolfert/Bigstock
Til trods for, at Java flere gange er blevet udpeget til at være malware-programmørernes foretrukne mål, så er der ingen planer om at aflive det problematiske browser-plugin.

Det sorte får i Java-familien har gennem flere år været de browser-plugins, der gør det muligt at køre små browser-programmer i form af applets, som eksempelvis den applet, der gør det muligt at logge på med NemID.

Ligesom andre plugins som Adobes Flash Player, så har Java-plugin'et været plaget af sikkerhedshuller, som er blevet udnyttet af kriminelle til at sprede ondsindede programmer til brugernes pc'er via browseren.

Læs også: DanID: Java-tvang kan gøre danskernes pc'er sårbare

»Det er ikke noget, der er unikt for Java, men 98 procent af problemerne har været begrænset til browser-plugin'et, og det var problemer, der havde ligget i platformen i meget lang tid,« siger Nandini Ramani, underdirektør med ansvar for udviklingen af Java-platformen, til Version2.

Oracle har efter overtagelsen af Java-platformen fra Sun Microsystems overført Java til samme faste opdateringscyklus som de øvrige Oracle-produkter. Det betyder, at der kommer sikkerhedsopdateringer til Java én gang i kvartalet.

Læs også: Oracle: Javas sikkerhedshuller stammer fra Sun

Samtidig har Oracle gennem det seneste halvandet år arbejdet på at rydde op i de gamle sikkerhedshuller i browser-plugin'et. Alligevel har flere sikkerhedsfirmaer udpeget Java-plugins til at være den største synder, når det gælder om at finde en vej ind på brugernes pc.

Læs også: Java var adgangsvej for 91 procent af webtruslerne

Oracle har dog ingen planer om at slippe af med hovedpinen ved at pensionere plugin'et, selvom udviklingen af applets ligger langt fra det primære fokus for Java-platformen.

»En af styrkerne i Java er bagudkompatibiliteten. Vi lader ingen i stikken. Så vi vil stadig have applets som en applikationsmodel for dem, der ønsker at bruge det. Der er stadig store virksomheder, som anvender applets, så vi vil stadig arbejde på at gøre dem mere sikre,« siger Nandini Ramani.

Applets gør det muligt at distribuere en platformuafhængig desktopapplikation via browseren, og selvom det stort set ikke bruges af websteder, så anvendes det stadig i blandt andet finanssektoren.

Oracle anbefaler dog ligesom flere sikkerhedseksperter, at man ikke installerer et plugin, hvis man ikke har brug for det. Danskerne må dog vente lidt endnu, før NemID-Java-appletten forsvinder. I øjeblikket arbejder Nets DanID på en Javascript-baseret afløser, men formelt udløber supporten for appletten først i 2017.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Niels Dybdahl

I anvender da ikke en browser med java til jeres generelle internet browseri, vel ?

Jo da. Og jeg anvender også Chrome og Firefox selvom begge blev knækket i løbet af alt for kort tid under dette års pwn2own. (Og det gjorde IE og Safari også). Jeg anvender også Windows og Linux selvom det vælter ind med sikkerhedspatches til begge og der ikke er nogen sandboxing af de programmer som de kører.
Hvis man vil have ordentlig sikkerhed, så bør man holde sig fra alle disse produkter.

  • 6
  • 0
Log ind eller Opret konto for at kommentere