Nekonečný tragikomický seriál jménem Java

Bud ses blazen nebo ulhany zastance Javy.

Tato kravina cos napsal nema obdoby.

(spuštění Javy prohlížečem, se musí potvrdit + vím kam lezu, a jestli očekávám Javu)

Uvedomujes si, ze miliardy lidi pohybujicich se na internetu nemaji vubec potuchu, ze na strankach kam lezou je ceka nebo neceka Java? A jestli ty vis predem, kdyz si najdes stranky v Googlu nebo jinde, ze na nich je Java nebo ne, samozrejme nez tam vlezes, tak ses lepsi nez Koprfild.

A co je podle tebe tohle?

Nemůžu za to, že jsi magor, který automaticky povoluje každou kokotinu, která na tebe někde vyskočí.

Mimochodem, máš dost podobný styl vyjadřování, jako jeden, kterej tady dostal banánek (navíc tu jsi přes nějakou pochybnou proxy). Pokud jsi to ty, nepřijde ti trapné vnucovat se někam, kde Tě nechtějí?

to je něco jiného. Pokud bys měl applet podepsaný např. Verisignem, tak ti nic takového nevyskočí. A certifikát Verisignu stojí jen cca 30 tisíc Kč, pro případného profi útočníka je to "kapesné"

Dá se to zapnout i pro podepsané. Pak to vypadá takhle:

Vyskakuje to i v IE.

Dá se to zapnout i pro podepsané.

Ano, ale kdo z běžných uživatelů má znalosti na to, aby si to uvědomil a nastavil?

Nechci kecat, ale mám dojem, že je to od některého z posledních update JRE nastavené takto defaultně. Takže stačí aktualizovat...

"něco mi to napsalo, tak jsem to odmáčkl"..

edit: tohle je přesně případ nevhodného použití metody "security by obscurity", protože běžný Franta user zásadně nic co mi PC píše, nečte.

To už je ale jeho problém.

Samozřejmě by bylo lepší, kdyby byla Java bezchybná, ale prostě nic bezchybné není. Programy píšou lidé, a lidé dělají chyby. Prostě, pokud leze na nějaký pochybný web, který nezná, automaticky by měl klikat na "Cancel" a nemusí to ani číst.

Ještě abych to shrnul, pokud Javu nepotřebujete, taxi JRE neinstalujte/odinstalujte. Pokud ji potřebujete, kvůli nějakému specifickému webu, povolte ji jenom tam, jinde dávejte "Cancel". Když tohle dodržíte, jste safe...

to není moc šťastný názor. jiným slovem říkáš: seru na vás useři.

Programy píšou lidé, a lidé dělají chyby

s tymto ja nesuhlasim, cloveku ktory robi hrube bezpecnostne chyby by mala nejaka nadnarodna organizacia zakazat dozivotne programovat. MS by prestal existovat, a cinske sracky snad tiez. oracle by snad nejakych dvoch ludi nasiel co by to urobili poriadne :D
P.S. ono neni normalne ze sa outsorcuje kadetade do nejakych prdeli hlavne ze je to lacne, a schopni experti robia radsej hackerov na volnej nohe alebo co, namiesto toho aby boli ceneni a dostali zaplatene aspon tolko jak bankari rocne premie (tak >10mil. :D)

Bugy jsou z 90% problém nedostatečného/nesprávného testování SW... Na našem projektu máme 3 layery testovaní, ale stejně se občas objeví bug z produkce, z toho vyplývá, že za bugy můžou testeři, kteří je neodhalili...

Jak ma tester odhalit bezpecnostnu dieru? Tester moze akurat tak testovat pozadovanu funkcionalitu. Bezpecnostna diera je len a len hruba chyba programatora, nikoho ineho. Nedodrzanie zasad, stejne jak ked niekto stava dom a nedodrzi normy a potom mu to oadne na hlavu (akurat ze u SW su tie "normy" subjektivny nazor vyvojara a nepisane, a nejaky indocinan o nich este nepocul).

Programovani takove veci jako je JVM snad vyzaduje kapku jiny pohled na testera. Nejde o klikani na buttonky a sledovani toho, jestli se program chova spravne. Tady musi byt tester zaroven programatorem...

To je blbost co pises, tester je tam prave na to, aby odhlalil aj bezpecnostne diery (okrem ineho). Pozadovanu funkcionalitu si dokaze otestovat aj programmer sam. Samozrejme, ak je v programe chyba, tak je to chyba programmera, ale prave pre to sa robi testovanie, aby sa na take chyby prislo.

tester ma studovat zdrojak alebo reverseengineering v asm a hladat tam diery? To si videl kde? Tester je v praxi vsade nizsie kvalifikovany jak programator a aj nizsie plateny. A vy cakate ze na mieste testera bude sediet rusky hacker?
P.S. hlavne ze sa mate na koho vyhovorit... :)

To som kde pisal, ze ma studovat zdrojak? Tester spusti daky skript, vyskusa nejake kriticke hodnoty, a ma skusat aj take pripady, ktore bezny user nevyskusa. To vsetko su cinnosti, pre ktore je programmer prilis drahy, tak to robi tester.
Ked sa vyrobi novy model auta, tiez sa neskusa iba ako sa sprava na ceste, ale sa s nim aj vrazi do steny, cim sa testuje, ze deformacne zony su naozaj take, ake sa vypocitali.
Ja sa na nikoho nevyhovaram, len nemam jednostranne videnie.

Ale taketo veci co tam teraz odhaluju ti polski hackeri ci kto to su cielene utoky ktore sa podla mna nedaju najst nejakym nahodnymi vstupmi, nepozname detaily ale nemusi to byt tak trivialne najst takuto dieru ktora napr. moze predpokladat ze najprv cosi kamsi presne nastavis a potom kdesi inde cosi presne posles apod tazko povedat ci to mohol tester vidiet (niekedy ano mohol vidiet aspon nejaku exception apod), ale vseobecne sa neda otestovat nikdy vsetko, preto by mal byt hlavny tlak na programatora (a hlavne teda tlak na tych ktori programatorov zamestnavaju aby to nedavali robit kdejakym indocinanom o ktorych nic nevedia). Tym netvrdim ze indocinani su blbi, niektori su naopak hodne dobri, ale proste podla mna neni absolutne ziaden vyber ludi v tejto oblasti, kravatacki dementi si myslia ze to zvladne ktokolvek kto absolvoval nejake skolebnie, si asi myslia ze programator je jak nejaky monter sedadiel do aut, ze ho v skole naucili napis tu nejake riadky a ze to je furt stejne jak montovat sedadla, ja vidim problem hlavne tam. Vedenie firiem, personalna politika, tlak na nejake nezmyselne sutaze ze kto skor vyda novu verziu ci iphone5 alebo samsung 5 a nekukaju na kvalitu ludi ani produktu.

Ja s tebou absolutne suhlasim, predtym som reagoval na to, ze tester akurat testuje pozadovanu funkcionalitu. Co sa tyka programmerov, ja som snad nevidel program, ktory by bol od prvej verzie bez chyb.
Nakoniec sa zhodneme, ze hlavnu vinu za bugy nesu kravataci :)

Chyby sa samozrejme mozu nastat ale vo funkcionalite a nie diery. Diera u mna neni chyba ale nedbalost neosetrene vstupy alebo zle navrhnute funkcie ktore nevedia indikovat error alebo celkovy design projektu naprd kde sa vobec nerobi s excepsnami apod. To neni "bug" ktory nastava ked vyvojar zabudne proste na nejake situacie ktore zakaznik chcel nejak spracovavat alebo co, to tester odhali, diera je principialny problem vo vyvoji ako celku. Moj nazor.

.. kedysi davno v jednej svetovej firme v ktorej som bol bolo take pravidlo ze kazdu zmenu MUSI skontrolovat aj iny SW vyvojar a u danej zmeny vo version control systeme boli poznaceni obaja menom. Tym sa aspon minimalizovala pravdepodobnost nejakej nedbalosti jedneho cloveka. Odkedy sa to outsorcuje doprdele traktoristom (co sa deje snad uz aj 10r.) tak som o takom dacom nepocul.

U nás to je, jmenuje se to code review. Ale bugy jsou furt...

presne jak pise MM tester nestuje diry, pokud to neni jeho prace, ano jsou za to placeni lide a delaji to testeri, ale by defulat tester dela vse mozne, ale uricite ne by default penetracni testy. Jak pise MM. tester je mene vzdelany a mene znaly nez programator - tak jak by po nem mohl hledat diry v kode? Tester = PODprogramator, Nalezeni chyby v bezpečnosti je NADprogramator či programator++ chceš-li.

Prenesiem to do inych branzi - spadol ti dom? Fu, co sa cudujes, sak to robia ludia a ludia robia chyby, mal si si dom povykladat polenami a priviazat lanami o kotvy, ci jak?
Alebo coze vybuchol ti plynovy sporak? Sak to nic ved sporaky robia ludia a ludia robia chyby? :) Preco to ma byt u SW inac? Mali by existovat revizie a povinnost revidovat a bez povolenia zakaz distribuovat.

Co vic rict? Perfektne receno.

Tak este bych k tomu dodal, ze kdyz si clovek napise software, udela tam nejake chyby, tak asi o takovy program nebude zajem a za chvili zanikne a bude vyreseno. Oracle ovsem nakoupi hotovy vcelku pouzitelny soft a rozjebe ho!

Sice se o bezpečnostní problémy SW moc nezajímám, ale myslím, že asi nejde napsat tak, aby se ho nepodařilo nabourat.
Vždy a ve všem se najde někdo/něco "chytřejší/účinnější" jak stávající obejít/napadnout.
Ovšem pokud tvůrce sám bezpečnost zlepšuje a aktualizuje, tak to snad na závadu není.

Napsat to jde, a aktualizace su znamka nekvality.

Hovadina, takto to nelze říci. Aktualizace nemusí jenom opravovat chyby, ale mohou přidávat i novou funkcionalitu.

kolko % dnesnych updatov je nova fcia? 1%?

Když tohle dodržíte, jste safe...

A co když se takový exploit javy spojí s MITM útokem? Ono tvrdit "má to chyby, ale za těchto podmínek je to OK" je docela ošidné, protože většinu věcí nemáš nikdy plně pod kontrolou.

Popiš, jak by takový MITM útok v kombinaci s chybou v Javě měl fungovat?

Například tak, že otrávíš DNS server (nebo ARP tabulku) oběti a přesměruješ ji na "svůj" web, resp. proženeš ji přes svou "proxy"

A tam by pak byl ten Java exploit? To by přece stále musel uživatel povolit to spuštění Javy...

Iste, ale ked sa ten web bude tvarit ako web komercky, tak ho povoli.

On treba tohle pan javista asi nezna anebo zatlouka. https://www.google.cz/search?client=opera&q=fake+p aypal&oe=utf-8&channel=suggest&um=1&ie=UTF-8&hl=cs &tbm=isch&source=og&sa=N&tab=wi&ei=IsIwUaCPB4TKsga R4IHYBA&biw=1600&bih=1040&sei=JMIwUc3ICMbqswaizIHQ Cg

No a nejde jen o certifikaty, ale i o weby s Javou.

Pan javista to zná, ale ty očividně nevíš, která bije... To, že chyby v JRE jsou, je jasné ví to celý svět a je to ostuda. Dal jsem sem jenom pár tipu, jak riziko minimalizovat.

to je rozna pičovina, když už DNS otraviš a dostaneš o ho na svuj web, tak se asi nebudeš srát s dírou v javě, ne? To je ta díra v tomhle případě o necháš zadat heslo normálně a máš to. Vubec tě nějaká java nezajimá v případě unosu DNS - JE UŽ UŽIVATEL TVUJ, nebude kombinovat se žádnou dírou v žádném jazyku, proč? Tu už máš.

To je vážně objev. Současné bezpečností problémy Javy budou ještě nějakou dobu oblíbené téma, protože celková oprava potrvá nějaký čas. Pro ty, kdo hledají nějaký sériozní článek na toto téma místo nějakých pseudosenzací, doporučuju tento http://www.infoworld.com/t/java-programming/why-fi xing-the-java-flaw-will-take-so-long-210946

Jinak, dají se najít i pozitiva na celé věci. Třeba, že dost možná také kvůli těmto problému Java opět vévodí žebříčku popularity programovacích jazyků: http://www.tiobe.com/index.php/content/paperinfo/t pci/index.html

Třeba, že dost možná také kvůli těmto problému Java opět vévodí žebříčku popularity

Je videt, ze zabit Javu je silny kafe i pro Oracle.