Gå til innhold

Du må vente enda lenger på Java-fri nettbank


Anbefalte innlegg

Java er fra 1994 og Javascript fra 1995 - 20 år er fint noe jeg kan klassifisere som gammelt. Det hadde ikke gjort noen forskjell om implementasjonen var gjort i C++. Det er ingen prinsippiell forskjell på C++ og Javascript om begge kompileres native. Java er ikke spesielt nære C utover å ha lånt curly brackets og "int", hvertfall ikke nok til å nevne java spesifikt i denne sammenhengen. Ikke at syntaktisk eller semantisk likhet spiller noen rolle i poenget ditt uansett.

Lenke til kommentar
Videoannonse
Annonse

Så du forteller at Javascript kan kompileres til en .EXE-fil om man vil? Er det det du mener med native?

 

Kompileres det når det kjøres via en nettleser, eller er det derfor det heter script - slik at man slipper å drive med kompileringen?

Endret av G
Lenke til kommentar

Ja. Javascript er bare et språk, det er ingen egentlige problemer med å lage en "exe-fil" (disgusting.

 

V8 og IronMonkey JITer hvertfall en del javascript, men "script" i det store og det hele impliserer at du ikke kompilerer til en binary, men heller gir ren tekst til en interpreter. Denne skillelinjen er ganske visket ut, men det er nå så.

Lenke til kommentar

Java er fra 1994 og Javascript fra 1995 - 20 år er fint noe jeg kan klassifisere som gammelt. Det hadde ikke gjort noen forskjell om implementasjonen var gjort i C++. Det er ingen prinsippiell forskjell på C++ og Javascript om begge kompileres native. Java er ikke spesielt nære C utover å ha lånt curly brackets og "int", hvertfall ikke nok til å nevne java spesifikt i denne sammenhengen. Ikke at syntaktisk eller semantisk likhet spiller noen rolle i poenget ditt uansett.

hvor gamle språkene er spiller jo liten rolle hvis de oppdateres

Lenke til kommentar

 

 

Dessuten vet jeg såpass at Java (ikke forvirret med Javascript), er et veldig nært opp til språket C - uten disse objektorienterte ++ tilnærmingene.

Bare for å pirke litt mer er Java syntaktisk mest likt C# av "C-dialektene" og er svært så objektorientert i sin natur. Java er etter min mening langt bedre egnet til mellomvare enn både C og C++ er.

 

Jeg hørte det i fra en som tok IT-utdannelse. Han måtte altså lese C, ikke C++ og C#. Altså måtte han lese C-språk for å få en bedre forståelse for hvordan Java er bygget opp. Om det er rent nødvendig vet jeg ikke så mye mere om. Men det var innlæringstilnærmingen på hans studium. Ergo har Java også store likheter med det "eldgamle" C-språket.

 

Det er riktig at all kunnskap om lavnivåprogrammering er nyttig for å skrive bedre kode og hjelper utviklere til å tenke ut gode kodestrukturer.

 

Men gode gamle C har lite til felles med Java, utover noe syntaks som ligner. Språkene er svært ulike i bruk, og metodikken for å bygge opp programvare er helt forskjellige paradigmer.

 

Angående det dere diskuterte om C++ mot JavaScript; for det første blir C/C++ kompilert til maskinkode for en spesifikk CPU-arkitektur og kjører likt på slike CPUer, mens JavaScript tolkes ved kjøring som gir et hav av ulik kjøring av kode med mange versjoner av hver nettleser og mange plattformer. I tillegg er JavaScript en helt annen type språk, f.eks. med tanke på variabelbruk (løs typing) og kontrollflyt og samtidighet.

 

 

Gammel IE + Java Applet har et langt større problem med MITM. Da kan angriperen bare servere en side uten SSL med en falsk self-signed Applet, og da hjelper det fint lite at BankIDs offisiele applet skulle ha aldri så sikker SSL.

Det er det samme problemet, bare at man slipper popup-bokser angående sertifikatet. For øvrig tror jeg ikke-godkjente sertifikater er blokkert som standard i Java, så man eventuelt må inn og endre innstillingene for å tillate individuelle unntak. Med den nye løsningen er det så enkelt som å strippe https, og så får brukeren en side over http uten noen advarsler eller behov for å endre innstillinger.

 

Java Applets kan "selvsigneres", som betyr at jeg kan lage en applet som er laget av f.eks. "DNB" eller "Facebook", så må brukeren selv vite om signaturen er ekte.

Som sagt, hvis angriperen først tvinger siden over på http, kan han også like gjerne sette inn en falsk applet.

 

Forøvrig kan det nevnes at Chrome har en del sertifikater inkludert i nettleseren, og f.eks. Firefox har lister over ugyldige sertifikater. Men dette er alt for lite, alle nettlesere burde for lengst hatt det Firefox tilbyr som plugin, nemlig en advarsel når sertifikater endrer seg.

 

Men det skal sies at en rekke sider ikke har satt opp sertifikatene sine riktig. Det er bare å se på Microsofts nettside det, og Google er forøvrig verifisert av seg selv...

  • Liker 1
Lenke til kommentar

Angående det dere diskuterte om C++ mot JavaScript; for det første blir C/C++ kompilert til maskinkode for en spesifikk CPU-arkitektur og kjører likt på slike CPUer, mens JavaScript tolkes ved kjøring som gir et hav av ulik kjøring av kode med mange versjoner av hver nettleser og mange plattformer. I tillegg er JavaScript en helt annen type språk, f.eks. med tanke på variabelbruk (løs typing) og kontrollflyt og samtidighet.

Emscripten.
Lenke til kommentar

Jada, og stort sett er det få grunner til å kompilere C/C++ til noe annet enn native (hvorfor skulle man ellers skrive C++, liksom). Men distinksjonen mellom språk i seg selv på bakgrunn av target er ganske meningsløs.

 

G er uansett clueless og all autentisering burde skje på serverside.

  • Liker 1
Lenke til kommentar
Java Applets kan "selvsigneres", som betyr at jeg kan lage en applet som er laget av f.eks. "DNB" eller "Facebook", så må brukeren selv vite om signaturen er ekte.
Som sagt, hvis angriperen først tvinger siden over på http, kan han også like gjerne sette inn en falsk applet.

Forøvrig kan det nevnes at Chrome har en del sertifikater inkludert i nettleseren, og f.eks. Firefox har lister over ugyldige sertifikater. Men dette er alt for lite, alle nettlesere burde for lengst hatt det Firefox tilbyr som plugin, nemlig en advarsel når sertifikater endrer seg.

Men det skal sies at en rekke sider ikke har satt opp sertifikatene sine riktig. Det er bare å se på Microsofts nettside det, og Google er forøvrig verifisert av seg selv...

 

Her ble det tydelig at du har litt manglende kunnskap. Selvfølgelig kan du signere selv, men da stoler ikke maskinen til offeret på dette. I nyere Java-versjoner må du aktivt inn og endre innstillingene om du skal tillate ukjente sertifikat. Dessuten har alle moderne nettlesere noen godkjente CA-er, enten i selve nettleseren eller f.eks. i Nøkkelringen i OS X. Angående Google, så er det uproblematisk at de er sin egen CA så lenge nettlesere flest har deres CA-sertifikat på godkjent-listen enten direkte eller indirekte (noe "alle" har). Faktisk foretrekker jeg det foran at et annet selskap skulle signert deres sertifikat, selv om de fleste maskiner automatisk vil godta sertifikater utstedt for Google sine tjenester uavhengig av hvilken av de x antall hundre CA-ene som nesten alle maskiner i verden stoler på man bruker.

 

Endret av Horrorbyte
Lenke til kommentar
Gjest Slettet+6132

 

Uten at jeg kan så mye om det nødvendigvis, vet jeg at disse to er to vidt forskjellige "produkter". Det er det vesentligste, at Javascript ikke er det samme søppelet som Java.

 

 

Taushet er gull sies det. :)

Det er best å la være å åpne kjeften og fjerne enhver tvil om at en er en komplett idiot.

:)

Å skrive at Java er søppel mens Javascript ikke er det er mildt sagt ett bevis på dette.

 

OK.

Så da er alle programmeringspråk søppel i og med at all kode som er skrevet i ett språk som eksekverer på en device som kommuniserer med en annen (f.eks. en stormaskin i dette tilfellet) mulig å hacke/exploite gitt at du har tilgang til maskinen (hacket) og vet hvordan eksekvert kode kan utnyttes/manipuleres.

 

Det eneste som er sikkert er en direkte linje mellom en device ("terminal") og servertjeneste, gitt at ingen kan koble seg på linja.

Uansett hva slags programmeringsspråk som er brukt for å lage funksjonell løsning(som er binært uansett ved eksekvering).

Lenke til kommentar

Mulig det var motsatt vei. Det er ihvertfall sikkert at jeg ikke er programmerer, og at jeg er blant de som er lei av ting som starter på ordet Java.

 

Java har et noe frynsete navn, det er jo helt sikkert. Så får dere heller utdype grunnene dere som kan dette inn og ut. :thumbup:

Endret av G
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...