Nekonečný tragikomický seriál jménem Java

Bud ses blazen nebo ulhany zastance Javy.

Tato kravina cos napsal nema obdoby.

(spuštění Javy prohlížečem, se musí potvrdit + vím kam lezu, a jestli očekávám Javu)

Uvedomujes si, ze miliardy lidi pohybujicich se na internetu nemaji vubec potuchu, ze na strankach kam lezou je ceka nebo neceka Java? A jestli ty vis predem, kdyz si najdes stranky v Googlu nebo jinde, ze na nich je Java nebo ne, samozrejme nez tam vlezes, tak ses lepsi nez Koprfild.

A co je podle tebe tohle?

Nemůžu za to, že jsi magor, který automaticky povoluje každou kokotinu, která na tebe někde vyskočí.

Mimochodem, máš dost podobný styl vyjadřování, jako jeden, kterej tady dostal banánek (navíc tu jsi přes nějakou pochybnou proxy). Pokud jsi to ty, nepřijde ti trapné vnucovat se někam, kde Tě nechtějí?

to je něco jiného. Pokud bys měl applet podepsaný např. Verisignem, tak ti nic takového nevyskočí. A certifikát Verisignu stojí jen cca 30 tisíc Kč, pro případného profi útočníka je to "kapesné"

Dá se to zapnout i pro podepsané. Pak to vypadá takhle:

Vyskakuje to i v IE.

Dá se to zapnout i pro podepsané.

Ano, ale kdo z běžných uživatelů má znalosti na to, aby si to uvědomil a nastavil?

Nechci kecat, ale mám dojem, že je to od některého z posledních update JRE nastavené takto defaultně. Takže stačí aktualizovat...

"něco mi to napsalo, tak jsem to odmáčkl"..

edit: tohle je přesně případ nevhodného použití metody "security by obscurity", protože běžný Franta user zásadně nic co mi PC píše, nečte.

To už je ale jeho problém.

Samozřejmě by bylo lepší, kdyby byla Java bezchybná, ale prostě nic bezchybné není. Programy píšou lidé, a lidé dělají chyby. Prostě, pokud leze na nějaký pochybný web, který nezná, automaticky by měl klikat na "Cancel" a nemusí to ani číst.

Ještě abych to shrnul, pokud Javu nepotřebujete, taxi JRE neinstalujte/odinstalujte. Pokud ji potřebujete, kvůli nějakému specifickému webu, povolte ji jenom tam, jinde dávejte "Cancel". Když tohle dodržíte, jste safe...

Programy píšou lidé, a lidé dělají chyby

s tymto ja nesuhlasim, cloveku ktory robi hrube bezpecnostne chyby by mala nejaka nadnarodna organizacia zakazat dozivotne programovat. MS by prestal existovat, a cinske sracky snad tiez. oracle by snad nejakych dvoch ludi nasiel co by to urobili poriadne :D
P.S. ono neni normalne ze sa outsorcuje kadetade do nejakych prdeli hlavne ze je to lacne, a schopni experti robia radsej hackerov na volnej nohe alebo co, namiesto toho aby boli ceneni a dostali zaplatene aspon tolko jak bankari rocne premie (tak >10mil. :D)

Bugy jsou z 90% problém nedostatečného/nesprávného testování SW... Na našem projektu máme 3 layery testovaní, ale stejně se občas objeví bug z produkce, z toho vyplývá, že za bugy můžou testeři, kteří je neodhalili...

Jak ma tester odhalit bezpecnostnu dieru? Tester moze akurat tak testovat pozadovanu funkcionalitu. Bezpecnostna diera je len a len hruba chyba programatora, nikoho ineho. Nedodrzanie zasad, stejne jak ked niekto stava dom a nedodrzi normy a potom mu to oadne na hlavu (akurat ze u SW su tie "normy" subjektivny nazor vyvojara a nepisane, a nejaky indocinan o nich este nepocul).

To je blbost co pises, tester je tam prave na to, aby odhlalil aj bezpecnostne diery (okrem ineho). Pozadovanu funkcionalitu si dokaze otestovat aj programmer sam. Samozrejme, ak je v programe chyba, tak je to chyba programmera, ale prave pre to sa robi testovanie, aby sa na take chyby prislo.

presne jak pise MM tester nestuje diry, pokud to neni jeho prace, ano jsou za to placeni lide a delaji to testeri, ale by defulat tester dela vse mozne, ale uricite ne by default penetracni testy. Jak pise MM. tester je mene vzdelany a mene znaly nez programator - tak jak by po nem mohl hledat diry v kode? Tester = PODprogramator, Nalezeni chyby v bezpečnosti je NADprogramator či programator++ chceš-li.

Když tohle dodržíte, jste safe...

A co když se takový exploit javy spojí s MITM útokem? Ono tvrdit "má to chyby, ale za těchto podmínek je to OK" je docela ošidné, protože většinu věcí nemáš nikdy plně pod kontrolou.

Popiš, jak by takový MITM útok v kombinaci s chybou v Javě měl fungovat?

Například tak, že otrávíš DNS server (nebo ARP tabulku) oběti a přesměruješ ji na "svůj" web, resp. proženeš ji přes svou "proxy"

to je rozna pičovina, když už DNS otraviš a dostaneš o ho na svuj web, tak se asi nebudeš srát s dírou v javě, ne? To je ta díra v tomhle případě o necháš zadat heslo normálně a máš to. Vubec tě nějaká java nezajimá v případě unosu DNS - JE UŽ UŽIVATEL TVUJ, nebude kombinovat se žádnou dírou v žádném jazyku, proč? Tu už máš.