Názory k článku Konec jedné z největších bezpečnostních děr, Oracle opouští Java plugin
-
Dodavatelé těch systémů budou muset Java applety nahradit WebStartem. Je to sice komplikovanější (protože Web Start aplikace nemůže na rozdíl od appletu komunikovat přímo s webovou stránkou), ale půjde to.
Akorát s bezpečností to celé nemá vůbec nic společného, protože Java applety i Java Web Start se spouští stejným způsobem. Bezpečnosti pomůže jenom to odstranění NPAPI. Jinak pořád bude platit, že když uživatel odkliká několik varování a požadavků na získání oprávnění, spustí se mu Java aplikace – a nezáleží na tom, zda v okně prohlížeče (applet) nebo mimo něj (Web Start).
-
Tomáš2 (neregistrovaný)
aah chybyčka, sorry, nečetl jsem to řádně po sobě :).
Tady jde ale přece o trochu jinou věc, zásadní problém s bezpečností flashe jsou jeho obrovské možnosti už v návrhu. Samotný plugin může šahat skoro kamkoliv na disku, přistupovat přímo k HW, komunikovat s ovladači, šahat na procesy atd.
Emet je samozřejmě dost primitivní věc a zabrání jen pár věcem, ani jsem ho neměl zmiňovat a prakticky se na něj nemá smysl spoléhat. Důležitější je ale možnost takovou aplikaci izolovat, spouštět jí na readonly disku bez přímého přístup k HW. Povolit jí komunikovat pouze s konkrétním serverem na konkrétním portu.
Berte v úvahu, že opravdu existuje část aplikací, které bez flash pluginu nefungují a není možné je tak rychle nahradit, jsou dodávány jako ovládací SW k průmyslovým strojům, zabezpečovacím kamerovým systémů (really). Často běží na strojích bez přímého přístupu k internetu, ale i tak jejich správa není pohodlná a je hlavně drahá.
-
Lol Phirae (neregistrovaný)
Technickým řešením je udělat bundle s jádrem prohlížeče a vestavěným flash pluginem pro pouze konkrétní web. Již pár podobných aplikací jsme distribuovaly klientům pro rozličné účely.
To jsem rád, že vás za podobné "řešení" již zákazníci vykleštili, takže nebude nadále předávat svůj genofond
Má to i další výhody, dají se daleko lépe a bezpečnějši nastavit pravidla třeba pro selinux či MS Emet.
Jo. Určitě bude ohromně bezpečné, když budem spoléhat na nějaký EMET, že odchytí stovky děr, které se rok co rok v tom Flash shitu od Adobe najdou.
-
P2010 (neregistrovaný)
Flash pluginem ... to snad nemyslite vazne :-)
Predpokladam ze snad kdejaky ucetni software umi resit tyto elektronicka podani, takze zadna dalsi aplikace neni potreba.
A ostatne open source je prece lepsi, takze se urcite najde i plno "alternativnich" aplikaci zdarma, aby soucasne reseni s Javou na ktere samotne HTML nestaci bylo zcela nahrazeno.
-
Tomáš2 (neregistrovaný)
technickým řešením je udělat bundle s jádrem prohlížeče a vestavěným flash pluginem pro pouze konkrétní web. Již pár podobných aplikací jsme distribuovaly klientům pro rozličné účely.
Má to i další výhody, dají se daleko lépe a bezpečnějši nastavit pravidla třeba pro selinux či MS Emet. Je možné i takovou aplikaci spouštět plně odděleně a virtualizovovaně. Pro Linux máme řešení postavené nad Xen či KVM, kdy přes VNC protokol zobrazujeme samotné okno a umožňujeme interakci s ním.
Základnní problém podobných článků, doporučení, hádání se o bezpečnosti je tragická neznalost dané problematiky, a to i na úrovni IT u bank. Tím nechci nikoho kritizovat, ale cesty jak něčeho docílit existovaly, existují a budou existovat.
-
P2010 (neregistrovaný)
Plugin v prohlizeci a spusteni externi Java aplikace (JNLP) neni prece totez.
Pro podpisovou aplikaci v bance mam take instalovanou Javu, nicmene vlastni plugin v prohlizeci (coz je prave ta nebezpecna cast) je zakazany.
Lze prece nastavit na ktere url se bude plugin aktivovat. Nicmene je to samozrejme reseni, ktereho by se chtelo zbavit. Zvlastne v dobe opetovne obliby "aplikaci" na kazdou blbost, kde jeste pred lety stacil web.
