Gå til innhold

Kritiske Java-hull

abene

Av abene
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
eirikma

eirikma

Skrevet
Skrevet

Dette var ærlig talt ikke særlig imponerende "hull" i sikkerheten. Alt var relatert til WebStart, som er en måte og starte programmer "rett fra internett", der nedlasting, oppgradering osv gjøres i bakgrunnen automatisk. Har distribuert programmer på denne måten selv, og det er helt suverent.

 

Sikkerhetsløsningen er sånn at det er teknisk mulig for programmer som ikke er digitalt signert å lure seg til litt flere rettigheter enn de egentlig har spurt brukern om.

 

Hva så? Det er uansett bedre sikkerhet en programmer du laster ned og installerer manuelt - de har jo alle rettigheter på maskinen og kan herpe hva som helst av filer.

 

Moralen er: hvis du er redd for sikkerheten, ikke installere og bruk hva som helst av programvare fra internett. Å gjøre det med Webstart er tydeligligvis bare litt sikrere enn på den vanlige måten, men gir ikke 100% beskyttelse. Har hørt om verre sikkerhetshull.

 

 

Det med "sikrede" og "usikrede" programmer som nevnes i artikkelen er forresten bare humbug. De "sikrede" er programfiler som har blitt signert med et digitalt sertifikat. Spørsmålet er altså om den som har laget programmet har giddet å kjøpe et sertifikat til 1500 dollar i året eller ikke. Å signere programmet med et slikt sertifikat endrer jo ikke en millimeter på hva programmet faktisk gjør, og endrer dermed heller ikke noe som helst på sikkerheten. Tvert imot er det lettere å få ulike system-rettigheter for signerte programmer, så sånn sett er de faktisk mindre sikre. Ideen er visstnok at bare hederlige utviklere (og bare de som er flinke nok til ikke å gjøre alvorlige tabber) vil kjøpe seg slike sertifikater, men det ville ikke akkurat være noen nyhet om kriminelle har tilstrekkelige ressurser til å skaffe seg ulike "dokumenter" av denne typen spør du meg.

 

Begrepene "sikker" og "usikker" er ren FUD fra sertifikat-bransjens side for å lure alle til å tro at man må gi dem 1500 dollar i året eller er man i deep shit. I det minste må man tvinge alle underleverandørene sine til å gjøre det. Smart markedsføring, men folk kommer til å gå lei av det ganske fort tror jeg.

Lenke til kommentar
kosh

kosh

Skrevet
Skrevet
Bare jeg som begynner å bli lei alle disse oppdateringene til blandt annet java? Snart er det en popup hver dag som sier at ny oppdatering av x.y.z.1 til x.y.z.2..

9654863[/snapback]

 

Du er jo velkommen til å leve med hull om du vil :)

Lenke til kommentar
m0g1e

m0g1e

Skrevet
Skrevet (endret)

Hvordan er det med oppdateringer for linux-JRE? Ser jo nesten daglige oppdateringer til XP-PC-en... men er Ubuntu og linux-utgavene like raske og praktiske å oppdatere..? Neeei...

 

snakk om ah..

 

edit:

btw. Hvorfor "reklamerer" Java på sine updates for OpenOffice.org forresten? Hvilken konspirasjoner på gang her mon tro?

Endret av nollie
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...