Vlákno názorů k článku
Další exploit pro díru v Javě je na prodej
od Ikaros - To je opravdu implementace Javy od Oraclu tak...
-
Zalovte v pameti. Jak casto clovek musel updatovat Javu jeste za Sunu? Jak casto Secunia PSI hlasila bezpecnostni diru v existujici instalaci Javy? Dost se na to pamatuji, protoze ti kokoti ze Sunu pri updatu akorat nainstalovali novou Javu a starou tam nechali valet a clovek to musel rucne odinstalovat. To se dnes uz nedeje, dnes clovek akorat v pulce pripadu musi Javu rucne stahnout a nainstalovat, protoze update budto ani nestekne nebo nahlasi, ze stahnuty update nejde nainstalovat, protoze kdo vi, co.
-
Karel (neregistrovaný)
Ona chyba není v Javě. Chyba je v jejím pluginu, který má dva protichůdné úkoly - dovolit "hodnému" kódu plnohodnotné fungování a neobtěžovat uživatele nějakým stahováním, potvrzováním nebo instalací, a to včetně přístupu k lokálním souborům atd. Druhý úkol je udržet "zlý" kód v sandboxu a neškodný. Bohužel se to nedaří a i "zlý" kód může podloudně získat práva, která by měl mít jen ten "hodný".
Díky tomu, co ten plugin všechno umí, tak jsme ve stavu, kdy i aplikace "na webu" dokáže vše, co ta lokálně instalovaná. Než si něco nainstaluji, tak si pořádně zkontroluji co to je, zda to není zavirované nebo to není nějaký backdoor. Těžko však mohu kontrolovat každý jeden applet, který se mi vloudí do prohlížeče. A na řešení "tak ať je java plugin zase jen sandbox" lidé a zejména firmy nechtějí slyšet, protože si zvykli na "plnohodnotné java aplikace běžící ve webovém prohlížeči".
