it-swarm.com.de

Ist Java sicher für den Desktop?

Das Plugin Java Plugin für Webbrowser hat bekanntermaßen zumindest in der Vergangenheit viele Sicherheitsprobleme. Google Chrome unterstützt es nicht einmal mehr und beschreibt es als heruntergekommene Technologie, und Firefox hat eine kleine Warnmeldung in der Nähe.

Aber ist die JRE ohne das Browser-Plugin sicher? Sind Java Desktop-, Mobil- und Serveranwendungen so anfällig wie das Java Plugin?

23
Dan

Ja - Java Desktop- und Serveranwendungen sind grundsätzlich sicher.

Wenn Sie eine Desktop-Anwendung ausführen - Skype, Picassa usw. -, gewähren Sie dieser Software vollen Zugriff auf Ihren Computer. Sie müssen der Software vertrauen.

Wenn Sie dagegen ein Java Applet in Ihrem Webbrowser ausführen), wird das Applet in einer eingeschränkten Umgebung ausgeführt, die als Sandbox bezeichnet wird. Die Sandbox ist vorhanden, sodass Sie dem Java Applet.

Java hatte viele Schwachstellen. Fast alle von ihnen sind "Sandkastenfluchten". Mit anderen Worten, wenn Sie eine alte Version von Java ausführen, kann ein bösartiges Applet aus der Sandbox ausbrechen und die Kontrolle über Ihren Computer übernehmen.

Nicht viele Technologien unterstützen Sandboxen. Tatsächlich gibt es nur drei gängige Technologien, mit denen Benutzer routinemäßig nicht vertrauenswürdige Software ausführen: Java, JavaScript und Flash. Alle diese hatten viele Sicherheitslücken in Bezug auf Sandbox-Fluchtwege, was die Schwierigkeit beim Schreiben einer sicheren Sandbox zeigt.

Wenn Sie Java auf Ihrem Desktop oder auf einem Server ausführen), vertrauen Sie dem Code Java Code, den Sie ausführen, sodass Sie sich nicht auf die Sandbox verlassen In diesem Zusammenhang besteht die Hauptsorge darin, ob nicht vertrauenswürdige Daten die Anwendung beeinträchtigen können. Wenn Sie beispielsweise mit jemandem über Skype sprechen, kann dieser eine böswillige Nachricht senden, die Skype falsch behandelt, und ihm die Kontrolle über Ihren Computer ermöglichen. (I ' Ich benutze hier nur Skype als Beispiel.

Es gab nur sehr wenige Fälle, in denen Fehler in der Laufzeit Java zur Laufzeit das Hacken einer Desktop- oder Serveranwendung ermöglichten. Dies geschieht normalerweise aufgrund von Fehlern im Anwendungscode, nicht Java selbst.

50
paj28

Aber ist die JRE ohne das Browser-Plugin sicher? Sind Java Desktop-, Mobil- und Serveranwendungen genauso anfällig wie das Java - Plugin?

Die JRE ist nicht so sicher, auch wenn wir das Java - Plugin nicht berücksichtigen. Um Ihnen einen Hinweis zu geben, finden Sie hier eine lange Liste von Sicherheitslücken, einschließlich kritischer, die in diesem Jahr entdeckt wurden und JRE in seinen verschiedenen Versionen betreffen.

Und Sandbox-Mechanismen, die wir in der JVM (und anderswo) finden, sind nicht so perfekt, sie werden manchmal umgangen:

Oracle ist sich zwar bewusst, dass Java - Sicherheitslücken auch bei Serverbereitstellungen ausgenutzt werden können, indem APIs in anfälligen Komponenten böswillig eingegeben werden. Die Meldung lautet jedoch im Allgemeinen, dass die meisten Java - Sicherheitslücken nur die Java betreffen ] Browser-Plug-In oder dass die Ausnutzungsszenarien für Java Fehler auf Servern unwahrscheinlich sind, sagte Gowdiak am Dienstag per E-Mail.

" Wir haben versucht, die Benutzer darauf aufmerksam zu machen, dass die Behauptungen von Oracle in Bezug auf die Auswirkungen von Java SE-Schwachstellen falsch waren", sagte Gowdiak. "Wir haben bewiesen, dass die von Oracle bewerteten Fehler, die nur das Java - Plug-In betreffen, auch Server betreffen können."

Quelle: Forscher: Schwerwiegender Fehler in der Java Laufzeitumgebung für Desktops, Server

10
user45139

Während das Java RE nicht immer so sicher ist wie angekündigt), sind die Alternativen noch schlechter. Andere Technologien wie C++ versuchen nicht einmal, Sandboxing anzubieten und einem Programm zu erlauben, zu tun, was es will. Wann Wenn Sie ein lokales Programm auf Ihrem Computer ausführen, sollten Sie davon ausgehen, dass Sie ihm erlauben, alles zu tun, was er will. Es spielt keine Rolle, ob es in C, Python, Java oder was auch immer) implementiert ist.

9
Philipp