Valamit kellene már kezdeni ezzel a java-val...

Thanos was right.

Hát ja, pl. nem kéne összekeverni a jávás alkalmazást az applettel. Ez olyan, mintha c-ből fordított exe-t keverne valaki egy active x komponenssel...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ó, ennyi. A Java lejtmenete az Oracle szokásos Oracle-s közleményével ezennel megkezdődött. (A Sun egy kicsit komolyabban vette volna fel a dolgot.)

lol. azért mert egy böngésző plugin bugos, a teljes platform még messze van a lejtmenettől.. a microsoft most fog kitolni egy nagy patchsetet, amiben javítja a régóta ismert kékhalálos smb bugot, akkor most a windows is lejtmenetbe kezdett?

rotfl.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Azt nem értem, mi itt a javíthatatlan hiba. Ellenőrizni kell a webstart-nak, hogy van-e (J-)XXaltjvm paraméter... ha van, ki kell venni. Min siklok át?

Mit?
Az a baj, hogy sokan úgy tekintenek a java-ra, mint a flash-re. Mindegy mit csinálsz benne, a baj az, hogy egyáltalán abban van csinálva...
De hogy megnyugtassalak, a 7-es java-ban sok újítást ígérnek, de mivel a jövő év elejére tervezik kiadni, addig ezeket a javításokat is biztos megteszik. A sun keze alatt is füstölt a munka, igaz, mióta megy a felvásárlás kicsit lelassultak, de az oracle-nek is van érdeke a fejlesztésben, hisz rengeteg technológiát ráépítettek. Gondolom ezért is vásárolták fel, mert olcsóbb házon belül fejleszteni, mint tápolni a sun-t, hogy ezt meg azt még írjátok már bele, vagy épp javítsátok ki.

ツ Headphones on - World off

illetve a Windowsról való teljes eltávolítása orvosolhatja, ám nem minden esetben.

Na ezt hivjak AfterLifenak....miutan legyalultam a geprol meg mindig gondjaim lehetnek vele?

"̶d̶e̶ ̶a̶ ̶t̶u̶d̶o̶m̶á̶n̶y̶ ̶m̶a̶i̶ ̶á̶l̶l̶á̶s̶a̶ ̶s̶z̶e̶r̶i̶n̶t̶ ̶a̶z̶ ̶i̶p̶a̶r̶i̶ ̶m̶é̶r̶e̶t̶e̶k̶b̶e̶n̶ ̶i̶s̶ ̶h̶a̶s̶z̶n̶á̶l̶h̶a̶t̶ó̶ ̶S̶H̶A̶1̶ ̶c̶o̶l̶l̶i̶s̶i̶o̶n̶t̶ ̶g̶e̶n̶e̶r̶á̶l̶ó̶ ̶e̶s̶z̶k̶ö̶z̶..." - 2017. február 23. óta már létezik

Nem ezt mondtam, olvasd el a cikket. Az Oracle kimondta, hogy ez nem nagy hiba. Mekkorának kellene lennie ahhoz, hogy nagy legyen nekik? Szóval hozzák a formájukat. A Java szép lassan egy hatalmas bughalmaz lesz.

1. „ezek az utolsó szögek a Java-appletek már rég készülő koporsójába”
2. „A legnagyobb gond a fejlesztők munkáját megkönnyítő Java Web Startot érinti”

Az első állítás igaz lehet, én amúgy sem nagyon használok / látok már appletet. Azért mert ezekkel baj van a platform az még nem lesz bughalmaz, lásd elég sok kritikus rendszer (bank és egyebek) használnak Java megoldásokat és láss csodát még minden bank üzemel és nem tűnnek el a számlákról a pénzek.

Sianis

pedig gyakorlatilag ezt mondtad. a Java és a Java-appletek közötti finom különbségtételről elfelejtkeztél.

Tehát a Google egy "bughalmazt" választott direkt a Google Web Toolkit-hez.

Diablo 3 - BoGyesz#1484

Nagyon, nagyon rossz reflexek működnek az oracle-nél. A végletekig pökhendi, profitért-az-anyámat-is-eladom cégek mintapéldája. Egyáltalán nem vagyok nyugodt a kezükbe került ex-Sun (főleg nyílt forrású) projektek jövőjét illetően.

"És ha helyzet van, akkor mindig lépni kell. Ha olyan a helyzet."

„A legnagyobb gond a fejlesztők munkáját megkönnyítő Java Web Startot érinti”

Ez mi ez? Mi köze a JWS-nek a fejlesztők munkájának megkönnyítéséhez? Tán azon keresztül indítja a fószer a Netbeans IDE-t? Az ilyen mondatokból rögtön látszik, hogy hozzá nem értő írta.

Egy másik oldalon írta valaki, és teljesen egyetértek vele: Ha egy JWS-t elindítasz, és jóváhagyod, akkor az a gépeden bármit megtehet. Nem kell hozzá exploit, semmi. Ebből a szempontból ez az "exploit" teljesen irreleváns.

Java-s körökben régóta nagy elégedetlenség az, hogy a JWS-t állandóan biztonságilag kritizálják. Holott, mennyi olyan EXE program van, amit a felhasználó simán letölt a netről és elindít, anélkül hogy aggályosnak találná.

Mint azt már egy Sunos fórumon említettem, az egész a dolog megítélésén múlik. Amikor egy JWS indul, akkor a Java ad fel egy figyelmeztető ablakot, amikor meg egy letöltött EXE-t indítunk, akkor a böngésző figyelmeztet (úgy ahogy). Szerintem a megoldás az kellene legyen, hogy a JWS-ből szedjék ki a figyelmeztetést, és a böngésző ugyanúgy figyelmeztessen JWS indításkor, mint egy leöltött EXE indításakor.

De itt magának a JWS-nek az indításakor van mód a visszaélésre (ha jól láttam), nem pedig az annak segítségével telepített alkalmazásról van szó.

Jaja, indításkor bármilyen lokális fájlrendszerben elérhető JAR-t el lehet indítani. De a JWS lényege, hogy különben is el tud indítani bármilyen letöltött JAR-t, és abból pedig el lehet indítani lokálisan elérhető JAR-t is. Szóval az "exploit" nem tud többet, mint amit exploit nélkül is meg lehet csinálni a JWS-el. Ez nekem úgy tűnik, hogy ez egy troll iromány. Amiért nem elég erős a dolog, azért még az SMB share-t is belekeveri, hogy ködösítsen. EXE-t is el lehet SMB share-ről indítani. Akkor meg miért baj, hogy JAR-t is el lehet?

Akkor menjünk tovább: A Java nyelv az nem bugos, mivel az nem szoftver. Mindenki írhat hozzá futtatókörnyezetet/fordítót, a specifikációk elérhetőek.

A legelterjedtebb Java futtatókörnyezet egyik részében, mégpedig az appletekért felelősben, ami felett az Oracle a Sun felvásárlás miatt hatalommal bír, kiderült egy elég komoly hiba. Erre az Oracle számomra egyáltalán nem elfogadható módon olyat reagált, hogy a hiba nem érdekes. A cég egyéb szoftverei alapján erre a viselkedésre a továbbiakban is "számíthatunk", úgyhogy ha normális, időben javított környezetre van igényed, akkor el kell látogatni valamilyen alternatív megoldás irányába.

Szóval az előző állításom még egyszer, olyanok számára, akik nem tudnak olvasni sorok között: A(z Oracle) Java (futtatókörnyezet) szép lassan egy hatalmas bughalmaz lesz. A zárójeles részt azért bátorkodtam elhajtani, mivel a "Java" szó jelen pillanatban 99%-os valószínűséggel az érintett szoftvert jelenti.

Ne menj sehova.

1. Nem a Sun JVM applet része a bugos, hanem a Java Web Start. Ez azért fontos, mert biztonsági szempontból csak az applet futtatás jelent kockázatot. JWS futtatásakor feltételezzük a felhasználóról, hogy tudja mit csinál, mint amikor egy EXE-t elindít, akkor is a kockázatot a felhasználó viseli.
2. A bug lehetővé teszi, hogy olyat csinálj, amit bug nélkül is megtehetsz
3. Személy szerint egyetlen elterjedtebb olyan szoftvert ismerek ami JWS-t használ, tehát ha egy warez (porno, crack, stb) oldal felad egy JWS ablakot, akkor nyugodtan feltételezheted, hogy nem jó szándékból teszi. Mint ahogy EXE fájlokat nem szokás kockázatos oldalakról letölteni, úgy JWS-t se ajánlott ilyen oldalról letölteni.

Bocs, visszavonok pár kijelentést. A cucc JavaScript-ben töltődik le, magától, és nem adja fel a figyelmeztető ablakot. De az továbbra is elég korlátozza a felhasználhatóságát, hogy csak akkor működik, ha a windows SMB protokollja nyitva van a nagyvilág felé (vagyis a gép nincs tűzfal mögött).

Nagyon nem vagyok JWS-ben otthon de... kétlem, hogy aláíratlan alkalmazás bármit is elérhet a helyi fájlokból (már a Sun szándékai szerint), ideértve a jar-okat is, kivéve persze ha rt.jar-ról vagy efféle "gyáriról" van szó. Aláírt alkalmazásnál meg megkérdi a JWS, hogy megbízok-e az aláíróban. És ha jól veszem ki, itt a gáz az, hogy a JVM indításához, ami magát a JWS-t futtatja (tehát nem az azzal telepítendő alkalmazást), át lehet adni tetszőleges parancssori paramétereket... Ez ugye aligha szándékos feature, ami onnan is látszik, hogy egy hack ahogy át vannak adva a paraméterek, meg persze ez eleve elmebeteg ötlet lenne a készítőktől.

Persze vannak itt más gondok is, mint pl. hogy ki lehet cselezni a Java SecurityManager-ét (ennek semmi köze a JWS-es dologhoz amúgy), tehát amíg valami csak arra épít... Erről mondjuk nekem eleve az a véleményem, hogy addig teljes biztonságról úgysem lehet beszélni, amíg az alkalmazást nem zárjuk brutálisan és elvágóslagosan sandbox-ba, virtuális gépbe OS szinten ill. böngésző szinten. Onnantól kezdve egy exe is biztonságos, annál meg már csak kevesebb rosszat tud elkövezni egy Java alkalmazás, hiába is mászik ki a Java platform saját sandboxából. Ugyan ez vonatkozik a Flash-ra is, meg mindenre... Amíg a biztonságnál a plugin íróira számítunk... megette a fene.

[ Szerkesztve ]

Amiről te írtál az az applet: sandbox, aláírás, security manager. Ez a hiba a Java Web Start-ról szól, ami egy teljesen más dolog. Azért tartom félrevezetőnek a címet, mert ennek a hibának semmi köze a Java appletekhez. Az applet az, ami a "böngészőben" fut. A weboldal egy részét elfoglalja, és abban fut az alkalmazás korlátozott jogokkal (mint a flash).

A Java Web Start egy olyan lehetőség, hogy JAR-ba csomagolt alkalmazást letölt a gépedre, és végrehajta azt, korlátozások nélkül. Ez nem a böngésző ablakában jelenik meg, hanem saját ablakban, mint teljes jogú windows alkalmazás.

A hiba abban áll, hogy nem ad fel figyelmeztető ablakot mielőtt futtatná a programot, és egy a gépen lokálisan vagy SMB share-en keresztül elérhető Java alkalmazást elindíthat így.

Ha nincs tűzfal, akkor az SMB-vel elvileg internetről is letölthetne egy káros Java alkalmazást. De ez a része buktatja meg a dolgot szerintem, gépen lévő tűzfal, otthoni router, vállalati tűzfal, internet szolgáltató, ha jól be vannak állítva, mind szűrik az SMB-t. Ki az aki még ma is "nyitott" géppel netezik?

Te érted félre a dogot, nem kevertem össze az appletet a nem-applettel. Java Web Start-os alkalmazást egyetlen kattintással lehet indítani böngészőből, ergo, hasonlóan veszélyes mint az applet. Sőt, beágyazott object elemmel kattintás nélkül is indítható. Épp ezért is futnak a JWS-el indított alkalmazások is megszorított módban, hasonlóan egy applet-hez. Illetve, ha több jogosultságra van szüksége egy JWS-es alkalmazásnak, akkor rákérdez (bízol-e az aláíróban, stb.). Itt az a gond, hogy mikor nem kérdez rá, mert elvileg megszorított módban futna a cucc, akkor is tud olyanokat csinálni, amiket nem tudhatna.

[ Szerkesztve ]

Teljesen mindegy melyik része, egy olyan valamiről van szó, ami az install.exe futtatása során kerül fel a gépre, a JVM-el, programkönyvtárakkal, miegymással együtt.

Köszi, már frissítettem is!

Thanos was right.