Nekonečný tragikomický seriál jménem Java
Oracle si vazne dela blazny. ![]:(](https://static.poradna.net/images/smiley/evilworry.gif)
Byla nalezena další dvě zranitelná místa v Javě. Nekonečný kolotoč pokračuje
---
Edit: Omlouvam se vyraz, ale nechapu, proc se Oracle furt sere do neceho na co nema schopnosti.
Zdroj: extrawindows.cz
Bud ses blazen nebo ulhany zastance Javy.
Tato kravina cos napsal nema obdoby.
Uvedomujes si, ze miliardy lidi pohybujicich se na internetu nemaji vubec potuchu, ze na strankach kam lezou je ceka nebo neceka Java? A jestli ty vis predem, kdyz si najdes stranky v Googlu nebo jinde, ze na nich je Java nebo ne, samozrejme nez tam vlezes, tak ses lepsi nez Koprfild.
A co je podle tebe tohle?
![[jnlp-tutorial-3.png]](http://www.mkyong.com/wp-content/uploads/2008/08/jnlp-tutorial-3.png)
Nemůžu za to, že jsi magor, který automaticky povoluje každou kokotinu, která na tebe někde vyskočí.
Mimochodem, máš dost podobný styl vyjadřování, jako jeden, kterej tady dostal banánek (navíc tu jsi přes nějakou pochybnou proxy). Pokud jsi to ty, nepřijde ti trapné vnucovat se někam, kde Tě nechtějí?
to je něco jiného. Pokud bys měl applet podepsaný např. Verisignem, tak ti nic takového nevyskočí. A certifikát Verisignu stojí jen cca 30 tisíc Kč, pro případného profi útočníka je to "kapesné"
Dá se to zapnout i pro podepsané. Pak to vypadá takhle:
![[12987-kb-png]](/file/view/12987-kb-png)
Vyskakuje to i v IE.
Ano, ale kdo z běžných uživatelů má znalosti na to, aby si to uvědomil a nastavil?
Nechci kecat, ale mám dojem, že je to od některého z posledních update JRE nastavené takto defaultně. Takže stačí aktualizovat...
edit: tohle je přesně případ nevhodného použití metody "security by obscurity", protože běžný Franta user zásadně nic co mi PC píše, nečte.
To už je ale jeho problém.
Samozřejmě by bylo lepší, kdyby byla Java bezchybná, ale prostě nic bezchybné není. Programy píšou lidé, a lidé dělají chyby. Prostě, pokud leze na nějaký pochybný web, který nezná, automaticky by měl klikat na "Cancel" a nemusí to ani číst.
Ještě abych to shrnul, pokud Javu nepotřebujete, taxi JRE neinstalujte/odinstalujte. Pokud ji potřebujete, kvůli nějakému specifickému webu, povolte ji jenom tam, jinde dávejte "Cancel". Když tohle dodržíte, jste safe...
A co když se takový exploit javy spojí s MITM útokem? Ono tvrdit "má to chyby, ale za těchto podmínek je to OK" je docela ošidné, protože většinu věcí nemáš nikdy plně pod kontrolou.
Popiš, jak by takový MITM útok v kombinaci s chybou v Javě měl fungovat?
Například tak, že otrávíš DNS server (nebo ARP tabulku) oběti a přesměruješ ji na "svůj" web, resp. proženeš ji přes svou "proxy"
to je rozna pičovina, když už DNS otraviš a dostaneš o ho na svuj web, tak se asi nebudeš srát s dírou v javě, ne? To je ta díra v tomhle případě o necháš zadat heslo normálně a máš to. Vubec tě nějaká java nezajimá v případě unosu DNS - JE UŽ UŽIVATEL TVUJ, nebude kombinovat se žádnou dírou v žádném jazyku, proč? Tu už máš.