Видео: 08 - Классы обертки, Автоупаковка и Распаковка - Уроки Java для начинающих (Септември 2024)
В светлината на скорошните уязвимости, открити в Java и продължаващите опасения относно цялостната сигурност на технологията, Oracle отново обеща - че ще отстрани проблемите.
Oracle вече направи някои промени в Java и работи по нови инициативи за подобряване на сигурността, написа в петък Нандини Рамани, ръководител на разработката на Java в Oracle. След поредица от високопрофилни уеб-базирани атаки, насочени към служители от различни индустрии, Orace обеща да разгледа основните проблеми в междуплатформената среда.
Две от промените, очертани в публикацията на Рамани, включително актуализации на модела за защита на аплети и поведението по подразбиране на Java плъгин, вече са на живо. В момента се разработват други промени, като например как Java приложения обработват отменени сертификати, прилагане на местни политики за сигурност за създаване на персонализирани правила и ограничаване на библиотеки, достъпни за приложения от страна на сървъра. Рамани не посочи кога тези актуализации ще бъдат налични.
Какво ще кажете за пясъчника?
"Като цяло това е добро за Java, но тези промени не решават основния проблем със самата кутия на Java", казва HD Moore, главен изследовател на Rapid7 и създател на рамката за тестване на Metasploit за проникване, казва в имейл до SecurityWatch.
Java пясъчната кутия е защитена зона, където се изпълняват приложения, отделно от основната система. Предполага се, че пясъчната кутия ще улавя злонамерени изпълними файлове, преди да могат да поемат процесите на машината или да отвлекат. Въпреки това, нападателите успешно използват няколко уязвимости, за да заобиколят Java пясъчната кутия.
„Докато Oracle не внедри пясъчни процеси на ниво процес, като използваните от Adobe Reader и Google Chrome, злонамерен аплет с валиден подпис все още може да злоупотребява с недостатъците на JRE в защитата, за да избяга от пясъчната кутия и да компрометира системата“, каза Мур.
Промените засега
Oracle актуализира модела за сигурност наскоро, така че потребителите могат да стартират подписани аплети, без да предоставят допълнителни привилегии и да блокират неподписаните аплети да се изпълняват. Това означава, че само подписването на аплет вече не дава автоматично възможност на програмата да излезе от пясъчната кутия.
"Това е добро нещо за сигурността", каза Мур.
Друго хубаво нещо е фактът, че настройките за защита на приставките по подразбиране сега предотвратяват изпълнението на неподписани или самоподписани аплети. Промяната сега дава възможност да се добавят конкретни уеб сайтове и централизирано управление на политиките за сигурност на Java в предприятието, отбеляза Мур.
И очаквайте скоро...
Понастоящем Java поддържа както списъци за отмяна на сертификати (CRL), така и протокол за статус на онлайн сертификат (OCSP), за да провери дали подписаният сертификат все още е валиден. Тъй като проверката не се извършва по подразбиране, дори и да е бил отменен сертификат, нападателите ще могат да продължат да използват това лошо сертификат. Oracle планира актуализация, която би позволила проверката по подразбиране.
Предстоящата местна политика за сигурност дава на администраторите допълнителен контрол върху настройките на политиката, като например да позволи на системните администратори да определят кои компютри да стартират Java аплети и кои компютри не могат.
Въпреки че всички последни изпитвания на Java засягат аплетите, работещи в уеб браузъра, Oracle също проучва начини да гарантира, че приложенията от страна на сървъра остават сигурни, каза Рамани. Една промяна би била премахването на определени библиотеки, които не са необходими от страна на сървъра, за да се намали атакуваната повърхност.
Нов график за актуализации
Oracle също ще обновява Java малко по-често. В момента Java се актуализира три пъти годишно, след отделен график за актуализиране от всички други продукти на Oracle. Тримесечната актуализация на критичния патч ще започне, включително корекции на Java през октомври, каза Рамани. Oracle все още ще пуска аварийни актуализации, "извън лентата", когато е необходимо.
Като се има предвид, че процесорът вече е усилено по време усилие за администраторите, добавянето на Java към сместа просто прави още по-голямо обновление. От друга страна, това означава, че администраторите не трябва да помнят отделния график за актуализиране на Java.
