Zaostalý a zakomplexovaný linuxář.. klasika.. Stydím se za nás.. Kdybys vylezl z tý svojí díry, možná bys zjistil, že existuje taky něco jinýho než Linux.. Pak by ses mohl možná nezaujatě podívat a porovnat.. Tohle tlachání zbytečně poukazuje na fanatizmus linuxářů a je mi to z duše líto..
Jistě. Hlavně primárně nepoužívá Javu do Oraclu, ale http://openjdk.java.net/ Prd tomu rozumím, co tam píšou o co vůbec jde, ale ať tak nebo tak na Linuxích webech nepíšou, že by se v tomto směru něco dělo.
Nezjišťoval jsem přesně, o jakou chybu jde, ale předpokládám, že je kvůli ní možné spustit libovolný Javovský kód bez omezení. Pak by to možné bylo, akorát by ten škodlivý applet musel detekovat, že se jedná o Linux, a stáhnout to "cosi" ve variantě pro Linux. Technicky je to jednoduché, otázkou spíš je, zda se útočníkům vyplatí připravovat to "cosi" i pro Linux. Na druhou stranu pod tím Linuxem ten software bude pořád omezen právy uživatele, na Windows je pokud vím stále běžné, že běžný uživatel má vyšší práva nebo dokonce práva administrátora.
Je to porad nejlepsi jazyk na velky projekty. Podivejte se co se v ni pise - pouzivaji ji Google, Facebook, Twitter, Linkedin. Na velky projekty vas zajimaji jine featury nez na ty male. Kotlin by nebyl spatny ale nejspis se nikdy nerozsiri.
Twitter zacal prepisovat z Ruby do Javy a rika ze nova verze je 10x rychlejsi. (To je samozrejme zasluha nejen Javy ale redesignu). Rikaji ze v Ruby jejich kod uz prestal byt udrzovatelny.
Myslím, že ano. Nicméně u rozumně navrženého internetového bankovnictví by mu to nijak nepomohlo -- používá se přihlašování a potvrzování transakcí pomocí jednorázových hesel. Takže by si útočník mohl třeba zobrazit stav vašeho konta, ale neměl by mít možnost zadat bankovní převod -- ten byste měl potvrzovat jednorázovým heslem, které získáte na PC nezávislým kanálem, např. přes SMS nebo přes autentizační token.
Další věc je, že ten útok by musel být připraven pro Linux (a spíš pro konkrétní distribuci) a pro vaší banku -- a myslím, že jsou kombinace s větším zásahem uživatelů, než uživatel Linuxu s účtem u české banky :-)
Priprava utoku je daleko slozitejsi, neni o nem dost informaci. Pro typicky buffer overflow utok je treba znat adresu na ktere se dany EXE/DLL nachazi v ramci virtualniho adresoveho prostoru. Diky DEP a ASLR je toto vyrazne tezsi az nemozne. Pokud nekdo DEP vypina (protoze nektere zprasene aplikace s nim nefunguji), tak je to obdoba toho pracovat trvale pod uctem administratora nebo nezamykat auto protoze "je to opruz". Pak neni pomoci ...
Od kdy jsou uživatelé Linuxu milionáři, výrobci zbraní, že potřebují do banky lézt přes linku nejlépe červeného telefonu ?!? Podobně by se mohla kritizovat bezpečnost mobilních aplikací. Kdyby to bylo skutečně tak riskantní a děravý, nikdo by to nepoužíval a těch zneužitých a okradených by bylo mraky. A ani jedno jsem nezaznamenal - internetové bankovnictví už tu s námi pěknou řádku let je.
Pro opakovanou aktivaci škodlivého kódu a pro jeho skrývání se root celkem hodí. V případě běžného uživatele máte k dispozici init skript shellu, init skript desktopového prostředí a možná cron. Případně, pokud je /home namountováno s noexec, jste omezen na skriptovací jazyky, které má uživatel nainstalované. Pro cílený útok na daného uživatele je to dostatečné, ale pro plošný útok s cílem získat třeba farmu pro rozesílání spamu se to podle mne nevyplatí.
Ten vopruz u auta obnasi zabouchnuti dveri + maximalne zmacknuti cudliku na dalkaci. V pripade widli to pak znamena, ze na usera neustale vyskakujou hlaseni jestli chce to ci ono, ze to musi potvrdit, pripadne se prihlasit jako admin (hromada veci nefunguje ani s runas), coz znamena v naprosto nejlepsim pripade 1/2 hodiny casu ...
Nadto ve widlich ani admin neni admin ... a pokud chce clovek sestrelit nejakej bordel, musi hledat zpusob, jak ziskat local system account.
Konkretni priklad? Proc si kurva user nemuze pridat sitovou tiskarnu, na kterou ma navrch prava? ... ze se instalujou nejaky drivery ho prece vubec nezajima ...
Zdravíčko všem,
díval jsem se teď na svoji verzi Javy a mám Java 6, i když je venku Java 7. Poslední verzi nemám nejspíš z důvodu předchozí bezpečnostní chyby, která se týkala Javy 7 a Java 6 byla v bezpečí. Původně jsem měl sice Javu 7, ale i když člověk dělá downgrade jen vyjímečně, tak jsem si ji odinstaloval a nainstaloval Javu 6 právě kvůli zmíněné dřívější bezpečnostní chybě, kterou nechal Oracle nezáplatovanou hodně hodně dlouho.
Zkusil jsem teď najít, jestli se aktuální chyba týká Javy 6 a není to tak. Opět se týká jen nejnovější Javy 7. Patch už je prý venku.
Zdroj, že je Java 6 v bezpečí: ZDNet
http://www.zdnet.com/apple-oracle-move-quickly-to-mitigate-java-security-flaw-7000009755/
Nezobrazuje to karta, ale ovladač zobrazuje, která aplikace žádá o podpis. Ostatně, privátním klíčem se podepisuje jen hash, to by toho uživatel moc nezkontroloval. Když máte moc nad desktopovým prostředím, tj. můžete změnit knihovny pro GUI nebo pro přepínání kontextu, pak to asi zařídit lze. Ale někdo tu psal, že uživatelé už pod Windows běžně pracují pod právy User, takže by ani podvodný applet neměl získat plnou moc nad desktopovým prostředím…
Java 6 nebyla v bezpeci, proto se vydal urychlene update Version 6 Update 38 .... http://www.java.com/en/download/manual_v6.jsp
V Security Alert https://blogs.oracle.com/security/entry/security_alert_for_cve_2013 se píše, že byla ovlivněna jen Java 7. Navíc verze 6u38 byla vydána myslím v listopadu 2012.
Vizionářský Google zaznamenal Java SE 6 Update 38 už 3. ledna 2013. http://webcache.googleusercontent.com/search?q=cache:lWJz9vnSmDsJ:www.oracle.com/technetwork/java/javase/downloads/index.html+&cd=1&hl=cs&ct=clnk&gl=cz A podpis binárky má datum 14. listopadu 2012, takže 6u38 byla oficiálně vydána nejspíš někdy v druhé polovině listopadu.
Drtivá většina lidí používá JRE, což je zkratka Java SE Runtime Environment. Drtivá většina lidí taky zvládne na odkazované stránce mrknout od „Java SE 6 Update 38“, tam uvidí nápis „JRE“ a pod ním tlačítko „download“. No a pro vás tu mám odkaz do Google cache opět z 3. ledna přímo na stránku „Java SE Runtime Environment 6 Downloads“ http://webcache.googleusercontent.com/search?q=cache:7gOA-aEFADoJ:www.oracle.com/technetwork/java/javase/downloads/jre6u38-downloads-1877409.html+&cd=1&hl=cs&ct=clnk&gl=cz , kde byly překvapivě ke stažení verze jre-6u38.
> Tohle tlachání zbytečně poukazuje na fanatizmus linuxářů a je mi to z duše líto..
To je v poho, nedelej si starosti, my to takhle mame radsi. Se srdecnym pozdravem smrt windows, pepik tux vomacka
PS mimochodem, java6 je prej ok, "The invokeWithArguments method was introduced with Java 7, so therefore Java 6 is not affected.", takze muj debian squeeze o tom problemu asi ani nevi.
V cem je to zlaty dul ?
Je tak "moralne" zastarala, ze uz se musela najit skupina lidi, kteri se ji snazi nekam dal posunout http://www.zdrojak.cz/zpravicky/kotlin-java-alternativa-od-jetbrains/ kdyz toho nebyl schopen Sun ani Oracle.
A klienti Komerčky jsou s bankovnictvím zase v háji. I přesto na něm stále banka trvá - https://www.facebook.com/komercni.banka/posts/193006344177430
Až si zjistíš na čem jeli SMEP, SAPI, výrobky Zbrojovky Brno, pokud se jejich OS vůbec nějak jmenovaly, ručně psané OS, CP/M, a z novějších, o kterých bys mohl už něco od dědečka slyšet řekněme různé DOSy, OS/2 Warp, wokna 3.0 až do Visty, a včil Linux. Akorát jsem neokusil Jabko. A pán nezaostalý v díře porovnává s čím prosím???
To také může svědčit o tom, že vámi zmiňované společnosti se staly molochama, kde vládnou procesy a kravaty a jednoho dne přestěhují vývoj do exotické ciziny (aspoň některé) :-)
Java je pokus jak dovést softwarový průmysl na zcestí, který se podařil :-) Utratilo se v tom takoývh peněz a tolik velmi dobře placených odborníků je na tom zavislých, že nikdo neřekne, že vývoj v tomdle prostředí je špatný nebo aspoň ne úplně vhodný. Sekta zatím drží pohromadě.
Velký projekt se dá dělat v lecčem. Příslušná óbrkravata v korporaci co o tom rozhoduje slyší Java, většinou o tom prd ví, ale ví že kravaty nad ní co o tom vědí ještě větší prd když uslyší Java, tak jen souhlasně zamručí a nebudou se na nic moc ptát :-)
Co jsem viděl v praxi,tak firmy co potřebují efektivitu (protože např. strejdu investora už přestalo bavit sypat peníze) se Javě vyhýbají jako čert kříži.
Jsem zvědav, jak se tadle lapálie vyvine. Zda během pár hodin nějaký inženýr v Oracle pochopí problém, udělá patch a nebo budem muset dlouhé měsíce čekat, než doběhnou nějaké procesy a pracovní postupy v Oracle, jako se tomu stalo minule.
V takovém případě je čas přejít na MariaDB - http://www.root.cz/clanky/databaze-mariadb-valcuje-mysql/