Nye java ikke trygt likevel

[Matsemann]

Java er noe forbanna dritt.

Nei, JVMen er bra og kjører mange språk, slik som Java, Clojure (lisp), Scala etc.,

Java i nettleseren er derimot bare mas.

[Woodster]

Dette er da ikke så irriterende, er det vel? Firefox skrur automatisk av Java for meg med en gang de oppdager et sikkerhetsfull ihvertfall. Ble kjempelettet da jeg gikk inn for å sjekke første gangen det ble kjent at det var et sikkerhetshull og Firefox hadde allerede stengt det.

 

Dessuten har jeg bl.a NoScript, som blokkerer scripts som kjører på på/fra ukjente nettsteder, og AdBlock som vil blokkere reklamer på sider jeg ikke stoler på (som kan være infisert med ondsinnet kode).

[Mr.M]

Man MÅ vel ikke ha java for nettbank?

Jeg har nå vært inne på nettbank når java ikke har fungert på en maskin, man bare logger inn på en litt anna måte.

 

Hva med netthandel da? Inntrykk av at fleste nettbutikker krever Bank ID i betalingsprosessen

[Ozelot]

Må man på forskudd ha trykket på noe for å bli infisert?

 

Tenker da på den saken om at TU.no hadde en reklamebanner som hadde trojaner i seg , men var bare "farlig" om du trykte på den.

[ancient_scars]

Må man på forskudd ha trykket på noe for å bli infisert?

 

Tenker da på den saken om at TU.no hadde en reklamebanner som hadde trojaner i seg , men var bare "farlig" om du trykte på den.

 

Så vidt jeg har forstått det så holder det å gå inn på en infisert side. Altså hvis nettbanken din er infisert så holder det å klikke på lenken, men jeg er ikke sikker.

[Malvado]

Må man på forskudd ha trykket på noe for å bli infisert?

 

Tenker da på den saken om at TU.no hadde en reklamebanner som hadde trojaner i seg , men var bare "farlig" om du trykte på den.

 

Så vidt jeg har forstått det så holder det å gå inn på en infisert side. Altså hvis nettbanken din er infisert så holder det å klikke på lenken, men jeg er ikke sikker.

 

Det holder å trykke på en "infisert lenke" med en utdatert java version (eller noen som har funnet et nytt hull) , flere brukere som har hatt datamaskinene sine infiserte som har fått opp en noe endret innloggingsside på nettbanken hvor det har blitt krevd kortnummer , utløpsdata , cvc og kortholders navn.

Antar at en del gamle gubber har greid å gått på den om de var uheldig og naive.

[sinnaelgen]

Det finnes 2 måter å loge inn i nettbanken på.

den lette metoden som krever java og en lit vanskeligere som ikke krever java

 

Det paradoksale er at man må logge inn med java støtte for å få registrert en kode som man kan bruke når man ikke logger inn med java

 

De som ikke er helt klart (for meg ) er om man trenger Java for bank ID gjennom netthandel fungere uten JAVA

 

 

[DanteUseless]

Skjønner ikke dette gnålet om Java som har vært i det siste.. Java har i åresvis vært en av de største synderne, stort sett bare slått av Adobes produkter av og til.

Tenk deg de som må sitte i et Enterprise-miljø hvor noen har programert noe dilldall for å fungere på gamle versjoner av disse.. -> magesår

[xibriz]

Er det ikke JavaZone snart?

[tonyostby]

At bankene fortsetter å bruke java ved innlogging er helt uforståëlig for meg... Jeg tror jeg må være litt dum som ikke klarer å skjønne akkurat det

[xibriz]

At bankene fortsetter å bruke java ved innlogging er helt uforståëlig for meg... Jeg tror jeg må være litt dum som ikke klarer å skjønne akkurat det

 

Hvis du bruker BankID på mobil slipper du Java-saken. Du kan også logge inn med kodebrikke uten Java, men da må du vite din personlige pinkode.

[sinnaelgen]

At bankene fortsetter å bruke java ved innlogging er helt uforståëlig for meg... Jeg tror jeg må være litt dum som ikke klarer å skjønne akkurat det

 

Hvis du bruker BankID på mobil slipper du Java-saken. Du kan også logge inn med kodebrikke uten Java, men da må du vite din personlige pinkode.

 

Denne koden var en selvvalgt kode , ikke pin kode.

( jeg kunne selv operette den i nettbanken )

 

Bank id mobil kunne fungert hvis alle mobil selskapene kunne tilby det.

i da er det visstnok bare 2 selskap som tilbyr deg den muligheten

[FrihetensRegn]

Oracle må være det mest useriøse IT-selskapet på planeten. BTW: Hvorfor MÅ vi ha Java til å bruke nettbank? Kan man ikke få sikker tilgang uten, f.eks. med vanlig javascript med kryptering eller HTML5?

[sinnaelgen]

Oracle må være det mest useriøse IT-selskapet på planeten. BTW: Hvorfor MÅ vi ha Java til å bruke nettbank? Kan man ikke få sikker tilgang uten, f.eks. med vanlig javascript med kryptering eller HTML5?

 

HTML5 var ikke aktuell da man begynte JAVA.

[FrihetensRegn]

Men det er aktuelt i dag, så kan det ta over for Java?

[efikkan]

Dette er ingen overraskelse, som jeg har nevnt flere ganger før er java kanskje den største sikkerhetstrusselen for desktop. Det mange ikke innser er at en java-applet kan få tilgang til alt i user-space, og kan på denne måten gjøre skade på verdifulle filer, eller samle informasjon. Dessverre er mange nettlesere konfigurert til å godta applets, i tillegg til at folk flest trykker godkjenn når de får en advarsel på en side som Facebook som mange anser som trygg. De siste sårbarhetene som har blitt belyste "rammer" alle plattformer, så mange tror at operativsystemet dermed ikke betyr noe, og at alle operativsystemer er like utrygge. Dette er en vanlig misoppfatning. Selvsagt vil både Windows, OS X og Linux kunne oppleve "hærverk" i userspace som følge av disse hullene, men systemets integritet vil kunne påvirkes ulikt. Her stiller både Windows og OS X dårlig, pga. dårlig beskyttelse av passord som vil være en smal sak å gå forbi. I tillegg mangler Windows ordentlige brukerrettigheter. En ordentlig konfigurert Linux vil sandboxe java i userspace og her må brukeren lures. Utdaterte operativsystemer som Windows og tildels OS X har mye å lære av Linux (og BSD).

 

Men at java i det hele tatt skal ha denne typen tillatelser i userspace er helt latterlig. Etter min mening burde ingenting som kjører i nettleseren (eller i forbindelse med) ha tilgang til noe som helst i det virkelige filsystemet, og kun brukeren selv manuelt skulle kunne overføre ut og inn av et virtuelt filsystem.

 

Det neste er signering i java applets, som er latterligere. Det er tydelig at de som bestemte løsningen mangler en elementær forståelse av sikkerhet, siden hvem som helst kan signere pakker i hvem som helst sitt navn(f.eks. Facebook eller Google). Uten en sentral sertifiseringsmyndighet eller annet sammenligningsgrunnlag av signaturer er signeringen praktisk talt verdiløs. For en sluttbruker er det ingen rask måte å sjekke om appletten på facebook faktisk er en autentisk bildeopplastnings-applet fra Facebook eller om det er noe lureri. Hvis du har noe som du sikkert vet er fra en utgiver, så er det mulig å sammenligne, men dette er en uoverkommelig barriere for vanlige folk.

 

Men trenger vi egentlig java? Altså hypotetisk sett, trenger vi vanlige folk tjenester som må ha java for å kunne løses? Det forbauser meg hvorfor løsninger som bankid bruker java applets, det er bare å åpne opp dører for potensielle feil og sårbarheter, selv om java i dag skulle være "feilfri". Eller løsninger som opplastning av bilder i Facebook? Jeg ser ingen teknisk gyldig grunn til dette skulle være nødvendig siden alle nettlesere siden 1993(?) har støttet dette direkte uten en eneste applet. Løsningen ser også helt ræva ut sammenlignet med både Linux(Gnome, KDE) og Windows sine innebygde dialog-bokser, så det er heller ikke en grunn til at Facebook skal lage en applet. Forskjellen er at appleten får tilgang til userspace, så spørsmålet er hvorfor Facebook trenger det?(ønsker det).

 

Min mening er at verden hadde vært bedre uten java applets, muligens uten java som helhet. Java er løsningen på et problem som vi ikke har...

 

 

Jeg skjønner ikke at dere Windows brukere gidder å pisse i motvind lenger.Kanskje på tide å prøve Linux..http://www.youtube.com/user/LinuxSpatry

 

Linux har sine bruksområder, men kan ikke erstatte Windows med mindre man kun bruker pc'en til surfing og sjekking av mail.

Jeg vet ikke hvor du har vært de siste 20 årene, men trolig i en hule.

 

Hva er det du ikke kan bruke Linux til?

Linux har noe mer begrenset utvalg av kommersielle produkter, men i mange tilfeller er dette overkommelig (Wine, VirtualBox, osv.).

[alfal]

Jeg skjønner ikke at dere Windows brukere gidder å pisse i motvind lenger.Kanskje på tide å prøve Linux..http://www.youtube.com/user/LinuxSpatry

Linux har sine bruksområder, men kan ikke erstatte Windows med mindre man kun bruker pc'en til surfing og sjekking av mail.

Tja.. på programvare ned-lasteren min så kan jeg velge

mellom 62398 programmer..det skulle holde til det meste.

Og så har vi wine til å kjøre windows programmer.

Nei betale penger til Windows for og få lov til å pisse i motvind det synes jeg blir litt for dumt..

 

 

[VirtualBox]

Jeg skjønner ikke at dere Windows brukere gidder å pisse i motvind lenger.Kanskje på tide å prøve Linux..http://www.youtube.com/user/LinuxSpatry

 

Linux har sine bruksområder, men kan ikke erstatte Windows med mindre man kun bruker pc'en til surfing og sjekking av mail.

 

Windows har sine bruksområder, men kan ikke erstatte Linux med mindre man kun bruker pc'en til surfing og sjekking av mail.

[GeirGrusom]

Dette har ikke noe med windows å gjøre. Oracle jre kjører på alle plattformer inkludert linux. BankID mobil er to forskjellige systermer. Men den nye for android og iPhone bruker ikke java, men benytter du deg av et annet mobilos som fortsatt støtter java så kan det hende BankID mobil fortsatt benytter Java. BankID benytter seg av et kryptografibibliotek som heter BouncyCastle. Aner ikke hbor godt slikt er støttet av Javascript.

[zulo]

Kan noen forklare meg hvordan nettbank er usikkert fordi det bruker java? Er det ikke slik at det er appleten som er utrygg, ikke selve java på maskinen din? m.a.o det er kun utrygt hvis noen skriver en applet som utnytter seg av sikkerhetshullet.? Nettbanken har vel ikke kodet en applet som utnytter seg av et sikkerhetshull. Det er vel JVM som har en bug som gjør at "noen kan skrive en applet som får tilgang utenfor sandboxen". Det gjør ikke nettbanken noe mer utrygg enn før.