Computersicherheit: Experten finden Hinweise auf neue Java-Lücke

REUTERSIst das eine Leck gestopft, platzt schon das nächste auf. Kaum hat Oracle seine Java-Software mit einem Patch abgedichtet, tauchen im Netz Hinweise auf eine neue Schwachstelle auf. Sicherheitsexperten kritisieren, Oracles Update sei nicht vollständig.

http://www.spiegel.de/netzwelt/web/s...-a-878101.html
  1. #10

    Zitat von Konstruktor Beitrag anzeigen
    Kann man, aber wozu?

    Nur sehr wenige Nutzer brauchen überhaupt Java, und selbst von denen nur ein Teil wirklich mit dem Browser-Plugin.

    Also ist der allgemeine Rat, Java normalerweise zu entfernen, völlig korrekt.
    Die JRE installiert sich normalerweise nicht von alleine aus Lust und Laune. Wenn die JRE installiert ist, besteht bei der angeratenen Panikdeinstallation also eine nennenswerte Wahrscheinlichkeit, dass irgendetwas hinterher nicht mehr funktionieren wird.

    Sinnvoller ist, Java-Applets nur auf Nachfrage durch den Browser bei vertrauenswürdigen Seiten laufen zu lassen und wenn man keine vertrauenswürdigen Seiten mit Java-Applets benötigt, das Plugin zu deaktivieren.

    Jemandem, der beliebige Java-Applets außerhalb der Trusted Zone unkontrolliert laufen lässt, ist ohnehin nicht mehr zu helfen.

    Zitat von Konstruktor Beitrag anzeigen
    Die, die damals diese unglaubliche Schnapsidee hatten, JavaScript aus schierem Opportunismus und ohne jegliche inhaltliche Rechtfertigung so zu nennen, gehören heute noch geteert und gefedert.
    Das hat rein gar nichts mit Oppotunismus zu tun, sondern damit dass sich Javascript in verschiedener Hinsicht an Java anlehnt. Leute, die sich damit auskennen müssen, verwechseln da auch nichts - genauso wenig wie bei VBScript vs VBA vs VB.
  2. #11

    Generelle Produkthaftung für Software komplett weltfremd

    Zitat von GerhardFeder Beitrag anzeigen
    Es wird Zeit, dass endlich die Software-Hersteller in Produkthaftung genommen werden.
    Selbst kleinere Programme (einige 10000 Zeilen) sind bereits derart komplex, dass eine Fehlerfreiheit von Anfang an quasi ausgeschlossen werden kann. Was Sie fordern ist nicht nur realitätsfremd, sondern würde laufend immense Kosten verursachen, die natürlich vom Anwender getragen werden müssten. Ich sage hier ausdrücklich Anwender und nicht Verbraucher, weil Software dann für private Endverbraucher unerschwinglich und unattraktiv wäre.
    Es gibt wenige Einsatzbereiche, wo mit sehr hohem Aufwand die Bugrate von innerhalb enger Grenzen spezifizierter Spezialsoftware möglichst gering gehalten werden muss, z.B. bei Steuerungssoftware für KFZ, Flugzeuge, Kraftwerke usw. Für normale Durchschnittssoftware wäre der Aufwand erstens viel zu teuer, und zweitens wären durch solche Vorgehensweisen sehr viele Softwarelösungen entweder garnicht oder nur in sehr langen Zeiträumen zu realisieren, flexible und schnelle Anpassungen verböten sich sowieso. D.h. die meiste Software heutzutage würde überhaupt nicht geschrieben werden. Und Open-Source/freie Software usw. könnte man dann ebenfalls komplett vergessen.
    In Ihrer Produkthaftungsdystopie gäbe es weder Internet noch moderne Computer oder gar Smartphones. Man wäre in einer extrem teuren, abgeschotteten Minicomputerwelt, wo einige große Firmen und Institute einige Rechner betreiben, mit streng vom Hersteller zertifizierter und äußerst teurer Software. Also ca. 1960, nur ohne Austausch freier Programme, die es bereits damals gab.
    De-facto funktioniert Software im Durchschnitt überraschend gut, natürlich gibt es immer einige Negativbeispiele, aber Suns Java z.b. gehört nicht dazu, zumindest nicht was Sicherheitslöcher angeht.
  3. #12

    hab versucht bei Eventim karten zu bestellen.
    Allerdings kann man sich ohne Java keinen Sitzplan anschauen.
    Also: Keine Karten bestellt.
    ......ich habe sie gefunden,die Seite,auf der man ohne Java nicht weiterkommt... XD


    Zitat von Konstruktor Beitrag anzeigen
    JavaScript wird auf vielen Seiten benötigt, aber Java nur noch auf ganz, ganz wenigen.

    JavaScript hat mit Java rein gar nichts zu tun – außer einem idiotisch mißverständlichen Namen.

    Man kann also das Java-Plugin im Browser ausschalten und die meisten Leute werden nie auf eine Site stoßen, bei der das wirklich einen Unterschied macht.

    Den separaten Schalter für JavaScript wird man für viele Sites anlassen müssen, aber da gibt es aktuell auch keine akuten Sicherheitsprobleme.

    Java im Browser it so gut wie vorbei; JavaScript wird immer wichtiger, aber das ist etwas komplett anderes und hat mit dieser Sicherheitslücke nichts zu tun.
  4. #13

    Zum Glück gibt es Leute, die sich tatsächlich mit der Problematik auskennen und den grundlegenen Unterschied zwischen Java und JavaScript erkennen können.

    Java sollte im Normalfall nicht installiert sein, wenn man es nicht wenigstens einmal gebraucht hat, sei es zum entwickeln, zu spielen, um seine Steuererklärung zu machen oder um Java im Browser zu benutzen.

    Das JavaPlugin im Browser zu deaktivieren und nur bei bedarf zu aktivieren, da geh ich voll mit. Aber direkt die komplette Umgebung zu deinstallieren, ist komplett übertrieben. Jeder Angriff auf die VM muss per Firewall unterbunden werden. Wenn das nicht geschieht, dann ist Java die geringste Sorge, die der Nutzer haben sollte.