Java säkerhet

Det har skrivits hyllmeter om de senaste java-hålen och Säkerhetspodcasten kallar vi det ”måndag”.  Från Augusti har attackerna varit konstanta, de olika exploiten bygger på ungefär samma idé (skriv kod som slår av sandboxen, hitta sårbart API man kan lura att köra ens kod, löp sen amok med användarens dator), och det känns inte som om Oracle får grepp på frågan. Dessutom finns det en bunt lustiga inlagor i debatten. Så jag tänkte försöka kondensera mina tankar och åsikter.

Java skall bort från webbläsarna. Det känns lite löjligt att ens behandla frågan, och är egentligen inte poängen med mitt inlägg, men här har ni mina argument i punktform. Eller om ni är effektiva så hoppar ni bara över punkterna och tittar på godbitarna nedanför ^_^

  • Det är väldigt enkelt – idag används Java inte i webbläsarna, och Java i webbläsarna börjar nu bli som Silverlight, Flash med mera. Dessa förlegade tekniker står sig inte på dagens marknad. Inse fakta, ligger ni på dessa tekniker måste ni bort från dem, kunderna och webbläsarna är på väg bort från teknikstacken. Det används inte, de ersätts idag med HTML5/JavaScript.
  • Inte ens Java utvecklare brukar behöva java i webbläsarna. LOL typ.
  • Java uppdateringsfunktionen fungerar inte. Jag och många andra har sett den tvärnita. Man måste trycka igenom de cirka 6-7 klick som krävs för att komma igenom installern, sen fallerar den på slutet och lyckas inte uppgradera. Dels är det störande för användarna, dessutom ligger massa användare kvar på uråldriga versioner för att de inte lyckas lösa uppgraderingsproblemen.
  • Idag används Java applets – av malware installers. I likhet med hur gamla Word-macron missbrukades så har vi en funktion som idag nästan enbart används för att göra onda dåd. Det fanns en god tanke med java applets en gång i tiden, men idag är det inte längre hur det används.
  • Java installern installerar Ask Toolbar ”Potentionally Unwanted Software” ingen vill ha. Seriöst WTF.

Det är en väldigt konstig och hård ton i debatten.

Det var länge sen datasäkerhet väckte sådana känslor. Jag är helt övertygad om att det inte är teknik det handlar om.

Från många säkerhetsintresserade kommer en väldigt hård och oförstående ton, som vi historiskt sätt aldrig hört mot Java. Jag tror helt enkelt SUN sågs som en god, välvillig aktör. Oracle ses som en ond best som köper upp företag och förstör dem. Oracle ses som företaget som sålde Oracle Database med vilseledande marknadsföring. Oracle ses som företaget som förnekade kritik och inte ville samarbeta. Företaget som försökt smutskasta kritiker och säkerhetsforskare vid flera tillfällen. Java får i mångt och mycket inte kritik för sin egen historik utan för Oracles historik.

Från java-sidan är tonen bitvis galet överdriven. På en del bloggar presenteras konspirationsteorier som är hysteriskt roliga. Även bland de mer sansade skribenterna görs en del kreativa retoriska grepp när man bemöter frågan. Känslan man får är definitivt att ”Kritisera Java är inte okej”. Man har svårt att se personer formulera sig på de sätten de gör, om de inte själva var Java-anhängare; de hade inte bemött kritik mot tex. Microsoft eller Linux på samma sätt. Mentaliteten är lite ”säg inte att mitt barn är fullt!”. Java-världen är arga för att man tycker att säkerhetsvärlden valt att spela ”KICK THE BABY!!!” med deras baby.

Annonser

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s