Názory k článku Další 0day zranitelnost v Javě, včetně té aktuální "opravené"

Myslím, že tím největším "propagátorem" javy v prohlížeči u nás je Komerční banka. Za mě mohu říci, že z tohoto důvodu javu používat musím. Nechápu, proč se v KB ještě nechytli za nos, pořád jsou s tím jen problémy, pořád se java musí updatovat, odinstalovávat apod. Alespoň jednou měsíčně. Pro laiky to musí být opravdu "chutné" neustále odinstalovávat (ano, tak to bylo v jejich návodu), updatovat atd. KB argumentuje právě zvýšenou bezpečnostní, jenomže v tomto případě pro mě dost zbytečnou a určitě jim to konkurenční výhodu nepřináší.

To je ti houno platný.

Nechápu, proč se v KB ještě nechytli za nos

Nechápu, proč u té banky ještě jste.

Javu bohužel potřebuji pro překladatelský program Trados. Nestačí zablokovat Javu v prohlížeči?

Trošku jsem hledal a vypadá to, že ve Firefoxu/Chrome to lze vypnout snadno (zakáže se plugin), ale v IE mi to nejde - co jsem našel, tak je potřeba regeditování...

Ono totiž úplně stačí rozbalit (např. pomocí 7-zipu) oficiální distribuční archív do nějakého adresáře a ten dát do PATH (nebo si někde v PATH udělat baťák, který zavolá java.exe z toho vašeho adresáře). Žádná portable verze, navíc se spouštěčem, není potřeba, a spoléhat se na její aktualizaci už vůbec ne...

Problém je v tom, že když se Oracle po dlouhé době uráčí vydat opravu, tak do druhého dne se objeví chyba nová. A v tomto stylu se to táhne už delší dobu. Takže ano, můžeš ji provizorně vypnout a vypnutá asi ti asi zůstane.

Ono je podstatné, jak rychle jsou ty zranitelnosti odstraňovány. Pokud je to v řádově v hodinách, maximálně jednotkách dnů, útočníci zranitelnost nestihnou využít. Když to některým firmám trvá týdny, tak je opravdu lepší daný program nepoužívat.

Jasný, ale Java neni zdaleka jen ten plugin do webového prohlížeče. Jde mi o to, že je naprosto zbytečný odinstalovat celou javu, když problematický je jen plugin pro applety do prohlížeče. To znamená, že běžných aplikací v javě se zranitelnost netýká. Jen webových appletů. Tak to bylo i s tou předchozí zranitelnosti.

Ono upřímně řečeno pokud si dáváš pozor a spouštíš jen java applety, kterým věříš, tak se tě celá tahle mediální bomba ani trochu netýká :-)

Kdo je Sun Microsystems? Tahle firma, pokud se nepletu, tak uz neexistuje a nebo minimalne nema pod palcem vyvoj Javy.

Nejsem si jist, jestli snížení bezpečnosti naistalováním Javy je ta správná cena za zvýšení bezpečnosti umožněné naistalováním Javy :)

Javu delam uz asi 15 let, a security problem jsem v ni jeste nepotkal, bezi vsude a rychleji nez M$Office. Ale z kazdeho HTML BROWSERU se hned POSERU! Diskuse o odstraneni javy jsem cetl uz tolikrat, ale ze by konecne nekdo chel nahradit HTTP, HTML a JAVASCRIPT necim co se nezrodilo hluboko v minulem stoleti - treba javou, jsem neslysel

Samozřejmě, prohlížeče totiž žádné API nepoužívají, ty žijí ve vzduchoprázdnu.

Přesně! Banda zoufalců, co ani netuší, včem programují :-)

Jirsáku, řeč byla o prohlížeči a jeho práci se smart cards, ale to při tvé notorické natvrdlosti je zbytečné vysvětlovat. Kromě Microsoftího CSP existuje i OpenSC pro Windows, použitelné pro cokoliv, kde je implementováno PKCS #11. Osobně zcela bez problémů vyzkoušeno ve FF k přihlašování k webům přes certifikát. A obojí je neskonale vhodnější bezpečnější než ona superděravá, věčně se rozbíjející a neustále s novými verzemi nekompatibilní Oracle Java sračka, která "zabezpečí" tak leda velký kulový.

. A obojí je neskonale vhodnější bezpečnější než ona superděravá, věčně se rozbíjející a neustále s novými verzemi nekompatibilní Oracle Java...

Do doby, než se to začne více používat a najde se v tom stejná hromada chyb, jako v kterémkoliv jiném projektu.

Kontroloval jsem verzi Javy a mám ji aktuální...

Javu potřebuji kvůli jednomu jedinému programu, tak jsem si našel na webu přenositelnou verzi Javy - bez instalace (a tudíž ani žádných zbytečných nebezpečných pluginů a zasírání systému).
Jedu a jsem v klidu :-). A i tato verze je přesto aktualizována hned po vydání oficiální Javy.

Nápověda:
Java portable a potřebujete mimo této speciálně upravené přenosné Javy rovněž přenositelný program - spouštěč (JavaPortable­Launcher), přes který pak spouštíte aplikace.

Akorát doporučuji respektovat výchozí umístění rozbalovaných souborů. Chtěl jsem mít jiné umístění a to nefungovalo.

Problém je v tom, že ten shit je evidentně neopravitelnej.

Jo, zvladne to kazdy a kazdemu to prd pomuze ... vite co se stane, kdyz klipnete na soubor ktery vas system zna? V nejlepsim pripade vyskoci okynko s dotazem, zda a v jake aplikaci otevrit ... a tady se (jake prekvapeni) nabidne ...java.

Javu delam uz asi 15 let, a security problem jsem v ni jeste nepotkal

Děkujeme, že jste nám zanechal vizitku ve zobrazení IP adresy. Už vím, na kterou bandu zoufalců se rozhodně nikdy, ani v případě krajní nouze neobracet.

Ale jistě, Windows na to má dokonce standardní API.

Nekomu se da, nekomu tezko. Kdo musi delat s HP iLO ...

Az na tu drobnost, ze API pro vygenerovani klice/podpisu/... nespusti binarku nebo nejaky bytecode ...

Nesmysl. Prave ze dnes staci opravdu par hodin. Stejne tak bachorky o tom jako "open source" projekty opravuji rychle chyby jsou zcela liche.

A dá se bez javy žít?

Jiste. Tak by to melo byt porad, pokud nemate nejakou aplikaci ktera ji v prohlizeci vyuziva.

Pro všechny, kdo hledají jak na deaktivaci Javy v různých prohlížečích mám odkaz na svém blogu článek s odkazy na video návody (Chrome, FF, IE plus zablokování Javy ve všech prohlížecích u nejnovější Java 7):

http://www.java-skoleni.cz/novinky/java-0-day-security-hole.html

Jo jenomže ten kód běží na všech možných platformách a rychlost není vždy důležitá. To že ji nesnášíte ještě není důvod pro černobílé vidění. Ovšem sun je těžce v prů***u, to je jasný. A taky je dost nesmysl psát něco ve smyslu "Ti, jenž ještě neodstranily javu..)". Ono to jde opravdu dost těžko, java je "všude".

Plugin v prohlizeci neni java, ten jen umoznuje pustit javovou aplikaci v okne prohlizece. Derava je ale java. Pokud nebude v prohlizeci plugin, tak normalne vyskoci okynko (nebo nevyskoci, podle nastaveni), stejne jako kdyz klipnete na libovolny jiny soubor. Pokud prohlizec vi cim, tak ho spusti.

Jinak radit odinstalovat javu muze leda nekdo, kdo vubec netusi. Nejen KB, java rozhrani ma spousta ruznyho HW a SW pro svoji administraci.

Máte nějaký nápad, jak ji nahradit při komunikaci s čipovou kartou?

Já nesnáším Javu. Javovou aplikaci poznám už z dálky - na super rychlém počítači nabíhá místo 0,1s 3s, je 10x pomalejší než C atd. Já to potřebuju už jen na KB bankovnictví, než překonám lenost a pošlu KB za Javou...

Co by mi na pocitaci jeste zustalo, kdybych mel odinstalovat nejaky soft vzdy, kdyz se obejvi nejaka jeho zranitelnost...

Asi by bylo serióznější nezveličovat informace z původního článku (ten, který je uvedený jako zdroj na konci tohoto článku).
Cituji původní článek "... disable Java in your browser until a patch has been released; alternatively, set your Java security settings to "High" and do not execute any unknown Java applets outside of your organization"
Neboli: "zakažte Javu ve vašem prohlížeči, dokud nebude vydána oprava. Druhou možností je nastavit zabezpečení Javy na "vysoké" a nespouštět neznámé Java applety, které nepochází od vaší organizace"