Schwere Sicherheitslücken in Java

Seite 2 von 3 Zurück  1, 2, 3  Weiter

Vorheriges Thema anzeigen Nächstes Thema anzeigen Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  lupu am So 02 Sep 2012, 14:37

NeXxGeN schreibt:
Nein, man kann youtube auf HTML5 umstellen: youtube.com/html5

Aber damit funktionieren nicht alle Videos, falls du einen Browser hast der nur WebM unterstützt.
Klingt erstmal gut, aber der YouTube htlml5 Player ist wohl noch in Entwicklung.
Man kann auf der verlinkten Website an einem Test teilnehmen, hab ich gemacht, nach 5 min ist Opera abgestürzt.
Erscheint mir aber trotzdem vielversprechend, weil etwas weniger CPU-Leistung benötigt wird als bei
Flash-Videos.

Bislang gilt aber:

-In Firefox und Opera werden nur Videos mit WebM-Transcodierung in HTML5 abgespielt.
Das schränkt die Auswahl wohl etwas ein.

-Durch den Einsatz des lizenzpflichtigen und patentierten Video-Codecs H.264
können manche Videos von den grundsätzlich HTML5-fähigen Browsern Firefox und Opera nicht dargestellt werden. Mozilla lehnt die Verwendung des Codecs daher ab und pocht auf freie Alternativen.

-Internet-Explorerund Chromium können mit H.264 Codec umgehen

Info-Video zu html5: http://www.youtube.com/watch?feature=related&v=SJTyY2csya8&gl=DE


Zuletzt von lupu am So 02 Sep 2012, 16:53 bearbeitet; insgesamt 2-mal bearbeitet (Grund : video-link)
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am So 02 Sep 2012, 17:48

NeXxGeN schrieb:Nein, man kann youtube auf HTML5 umstellen: youtube.com/html5

Aber damit funktionieren nicht alle Videos, falls du einen Browser hast der nur WebM unterstützt.
Oder man treibt wie ich den Teufel mit dem Belzebub aus und verwendet Greasemonkey und Linterna Magica um alle Videos mit dem mplayer-plugin abzuspielen.

Ich programmiere selbst viel in Javascript und man kann mit Javascript natürlich auch ein paar Sachen machen die nicht so angenehm sind, aber solange der Browser keine gravierenden Sicherheitsmängel aufweist kann man damit keinen Schaden am PC vornehmen, da Javascript eben nur den DOM ändert.
Nach der Logik wären Java-Applets auch sicher. Und Flash natürlich auch. Da diese ja immer nur innerhalb ihrer Virtual Machine arbeiten und nicht ausbrechen können, solange die Virtual Machine keine gravierenden Sicherheitsmängel aufweist.

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am So 02 Sep 2012, 18:43

Nein, das kannst du doch nicht vergleichen. Javascript ist fest im Browser implementiert und kann jederzeit von den Browser Entwicklern gefixed werden. Flash und Java sind aber Fremdquellen. Zum einen in den meisten Fällen (Oracle Java, Adobe Flash) auch noch closed Source und zum anderen halt eben Fremdsoftware die von den Browser Entwicklern nicht angerührt werden können. Weiterhin erlauben Flash und Java den zugriff auf das System, was Javascript nicht tut. Sandbox hin oder her, die nützt einem nichts wenn die Unternehmen, von denen die Plugins kommen, keine Ahnung von Sicherer Software haben und das spreche ich sowohl Oracle als auch Adobe ab. Die Geschichte gibt mir recht.

Das schlimmste was einem bei Javascript passieren kann, ist das zB durch einen Bug im Browser die History ausgelesen werden kann, das gab es im Firefox ja schon. Diese Lücke ist aber auch schon seit geraumer Zeit ausgeräumt. Der Bug war übrigens in der CSS Bibliothek von Firefox nicht in der Javascript Engine!

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am So 02 Sep 2012, 19:08

NeXxGeN schrieb:Nein, das kannst du doch nicht vergleichen. Javascript ist fest im Browser implementiert und kann jederzeit von den Browser Entwicklern gefixed werden. Flash und Java sind aber Fremdquellen. Zum einen in den meisten Fällen (Oracle Java, Adobe Flash) auch noch closed Source und zum anderen halt eben Fremdsoftware die von den Browser Entwicklern nicht angerührt werden können. Weiterhin erlauben Flash und Java den zugriff auf das System, was Javascript nicht tut. Sandbox hin oder her, die nützt einem nichts wenn die Unternehmen, von denen die Plugins kommen, keine Ahnung von Sicherer Software haben und das spreche ich sowohl Oracle als auch Adobe ab. Die Geschichte gibt mir recht.
Der Zugriff von Flash und Java ist normalerweise auch eingeschränkt und eben nicht aufs ganze System.
NeXxGeN schrieb:
Das schlimmste was einem bei Javascript passieren kann, ist das zB durch einen Bug im Browser die History ausgelesen werden kann, das gab es im Firefox ja schon. Diese Lücke ist aber auch schon seit geraumer Zeit ausgeräumt. Der Bug war übrigens in der CSS Bibliothek von Firefox nicht in der Javascript Engine!
Unfug. Siehe z.B.
http://www.scip.ch/?vuldb.2401
http://nakedsecurity.sophos.com/2012/06/19/ie-remote-code-execution-vulnerability-being-actively-exploited-in-the-wild/
http://home.mcafee.com/virusinfo/virusprofile.aspx?key=882683#none
http://www.zdnet.com/blog/security/remote-code-execution-exploit-for-firefox-3-5-in-the-wild/3743
http://www.mozilla.org/security/announce/2012/mfsa2012-56.html




tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am So 02 Sep 2012, 19:51

Ja, das sind aber eben Bugs in Firefox oder dem entsprechenden Browser, die dann den Zugriff auf das System zulassen und eben nicht das Problem von Javascript. Du vergleichst da Birnen mit Äpfeln. Nur weil ich per Javascript eine Sicherheitslücke in einer Software ausnutzen kann bedeutet das nicht das Javascript das Problem ist. Die Sicherheitslücken in Java und Flash gehen da ganz andere Wege, dort werden die Sicherheitslücken in den entsprechenden Plugins mit der selben Software genutzt. Nichts ist absolut sicher, das sollte wohl jedem klar sein.

Und allgemein habe ich auch weiter oben schon geschrieben das ich NoScript nutze und das allgemein für eine gute Idee halte. Nicht zwingend wegen Sicherheitslücken, aber eben auch. Die Gefahr das ich mir einen Schädling auf tagesschau.de einfange ist nun mal erheblich geringer als auf einer mir unbekannten Seite. Deswegen ist es eine gute Idee in erster Linie Scripte allgemein zu verbieten. Das ist aber den meisten Menschen zu unkomfortabel und so wird einfach alles zugelassen.

Und das Java nicht fähig ist auf das System zuzugreifen ist einfach mal falsch. Nehmen wir mal als Beispiel den Update Scanner von Ceative der in Java geschrieben ist. Dieser scannt auf dem System nach Creative Software und deren Versionen. Ich muss dafür nicht mal etwas besonderes aktivieren, ich muss lediglich das ausführen des Java Applet erlauben, so wie man es allgemein bei Java Applets machen muss, sofern keine Sicherheitslücke ausgenutzt wird. Und auch der Flashplayer hat direkten zugriff auf das System,. so ist direkt als Standard eingestellt das der Flash Player Daten auf dem System abspeichern darf!

Weiterhin gibt es einen Riesen unterschied, so kann ich mir Javascript Code im Internet ansehen, jeden der in Websites eingebunden ist und nachschauen was der da so machen will. Das geht bei Java und Flash nicht, weil dort kein Code eingebunden ist sondern binary Dateien!

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  L am So 02 Sep 2012, 20:15

NeXxGeN schrieb:Wirkliche Gefahren für die Sicherheit sind dann eben doch nur die ganzen Plugins wie Flash, Java...
... weil dadurch, unter widrigen Umständen, einem Angreifer erst ermöglicht wird, Schadcode auf das Betriebssystem einzuschleusen?

Um bei unserem Beispiel zu bleiben: Liesse sich das so für Laien wie Hans und Gretel zusammenfassen?

Anekdote
Probleme im Internet hatte ich bislang nicht gehabt. In seltenen Fällen kam es aber auch schon vor, dass avast!, meine Antivirussoftware, eine Webseite wegen einem bösartigen Skript blockiert hatte. Ich kann nur Vermutungen anstellen, dass es sich dabei um eine "präparierte Webseite" handelte. Oder aber, ein Link auf dieser Webseite, der zu einer Drittseite führte, wegen Schadcode blockiert wurde. Allerdings war das unter MS Windows der Fall. Bis zu einem gewissen Grad hätte also ein Windows User einen Schutz, oder?
NeXxGeN schrieb:... und die anderen Sachen die in Mint direkt mit dabei sind.
Worauf beziehst Du Dich? Danke!


L

Anmeldedatum : 03.08.11
Ort : /dev/L

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Blindenhund am So 02 Sep 2012, 20:26

Damit gehts schon mal los:


AdBlockPlus und NoScript obendrauf. Da ich "Drittanbieter-Cookies" schon seit ewigen Zeiten verbanne und bisher nix hatte, meine ich fast, die Seuchen kommen genau darüber. "Blödseiten" hab ich noch nie angesteuert....

Blindenhund
Gelöschter Benutzer

Anmeldedatum : 01.08.11
Ort : /dev/sofa

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am So 02 Sep 2012, 20:35

Nun ja mal zu dem Avast und der Website. Ob da wirklich ein Schadscript vorhanden war lässt sich schwer beurteilen und auch Avast wird das gar nicht wirklich beurteilen können. Denn da müsste die AV Software ja schon das Script herunterladen, ausführen und entscheiden das es etwas tut was schädlich ist. Das halte ich aber für äusserst unwahrscheinlich. Tatsache ist das irgendwann einmal von Avast ein Dateiname oder ein Link in den Signaturen gelandet ist, zurecht oder zu unrecht lassen wir mal dahingestellt, ob das dann für das Script was dort von deinem Browser geladen wurde immer noch zutrifft ist da nämlich nicht klar, denn JS Code ändert sich auf Websites öfter mal.

Man sollte auch nicht allzu viel auf AV Software geben, die AV Anbieter arbeiten mit den selben Mitteln wie die Politik, mit Angst. Wenn die Benutzer keine Angst haben kaufen sie auch keine AV Software! Das soll jetzt nicht heißen das man unter Windows keine AV Software verwenden sollte, aber man sollte sich auch keiner Panik hingeben. Ein kostenloser, aktueller AV ist mehr als genug Schutz. Die Kostenpflichtigen machen es oftmals auch nicht besser, die haben lediglich mehr Geld um in der Presse Panik zu verbreiten Smile

Code:
Worauf beziehst Du Dich? Danke!
Ich beziehe mich auf die Browserplugins, wenn ich das noch recht auf die Reihe bekomme, installiert sind direkt: Flash, Java, WMV, Mplayer und glaube noch 2 Plugins. Das sind 4 - 6 Einfallstore für Schadcode die nicht sein müssen, zumal sie auch in den seltensten Fällen von allen benutzt werden.

@ Blindenhund
Drittanbieter Cookies sind böse und sollten wie du schon anmerkst ebenfalls geblockt werden. Böse im Bezug auf die Privatsphäre, ein Sicherheitsrisiko bilden diese nicht und auch darüber wird kein Schadcode eingeschleust. Zumindest ist mir kein Fall bekannt wo schon mal Schadcode durch einen Cookie auf ein System eingeschleust wurde, falls ich mich irre, bitte belehrt mich Smile

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Blindenhund am So 02 Sep 2012, 20:40

Das kann ich nur mit meinem Satz dazu:
Da ich "Drittanbieter-Cookies" schon seit ewigen Zeiten verbanne und bisher nix hatte, meine ich fast, die Seuchen kommen genau darüber.
Auch wir hier hatten schon Drive-By-Infektionen im Forum von Leuten, wo ich mir verdammt sicher bin, daß die keine windigen Seiten ansteuern.

Meine letzte (bekannte!!) Infektion hatte ich 2002 mit Win98SE. Mit W2k, XP, Vista, Win7, Pingi nicht eine einzige.

Blindenhund
Gelöschter Benutzer

Anmeldedatum : 01.08.11
Ort : /dev/sofa

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am So 02 Sep 2012, 21:09

NeXxGeN schrieb:Ja, das sind aber eben Bugs in Firefox oder dem entsprechenden Browser, die dann den Zugriff auf das System zulassen und eben nicht das Problem von Javascript. Du vergleichst da Birnen mit Äpfeln. Nur weil ich per Javascript eine Sicherheitslücke in einer Software ausnutzen kann bedeutet das nicht das Javascript das Problem ist.
Das sind Bugs in der Java-Script-Engine der Browser. Das ist technisch exakt das gleiche wie die Bugs in den Virtual Machines. Nur der Name ist anders.

Und das Java nicht fähig ist auf das System zuzugreifen ist einfach mal falsch.
Das habe ich auch nicht behauptet. Ich sagte, dass Java-Applets nicht den vollen Zugriff aufs System haben. Genau darum ging es doch auch in dem Bug, der diesen Thread zum Leben erweckte. Der Bug ermöglichte es ja gerade die Berechtigungen auszuweiten (Dadurch, dass sich der Security-Manager ändern ließ).

Warum du ein Problem darin siehst, dass Java Applets vollen Zugriff erlangen können, wenn der Benutzer das erlaubt und das Applet signiert ist, ist mir nicht klar. Wo ist der Unterschied zum Herunterladen und Ausführen einer Datei?


Weiterhin gibt es einen Riesen unterschied, so kann ich mir Javascript Code im Internet ansehen, jeden der in Websites eingebunden ist und nachschauen was der da so machen will. Das geht bei Java und Flash nicht, weil dort kein Code eingebunden ist sondern binary Dateien!
Na klasse. Bei einem Browser ohne Noscript kannst du dir den Code anschauen nachdem er ausgeführt wurde. Super! Und das ist bei der Menge an Java-Script die man im Netzt findet auch überhaupt nicht inpraktikabel... ;)

Damit es kein Missverständnis gibt: Ich will nicht Java verteidigen. In einer besseren Welt wäre Java in keinem Browser. Java-Script aber auch nicht. Keine Programmiersprache sollte imho in einem Browser integriert sein.
Aber leider sind wir nicht in dieser besseren Welt und basteln uns mit WebGL die nächste Katastrophe.

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am So 02 Sep 2012, 21:15

Die einzige Alternative wäre wieder zurück zu reinem HTML und das will doch auch keiner Smile

Im übrigen ist die Lücke in Java geschlossen worden, aber direkt eine weitere geöffnet worden Boing

Das von Oracle verteilte Java 7 Update 7, das eine kritische Sicherheitslücke schließen sollte, enthält einen weiteren Fehler, der ebenso gefährlich ist. Anwender sollten deshalb selbst nach dem Einspielen des Updates die Java-Plugins im Browser deaktivieren. [...]
Quelle: golem.de/news/java-7-update-7-update-oeffnet-neue-kritische-sicherheitsluecke-1209-94274.html

Und das meinte ich mit dem das Adobe und Oracle keine Ahnung davon haben Sichere Software zu entwickeln, das geht ja nun schon seit Jahren so Top

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am So 02 Sep 2012, 21:45

NeXxGeN schrieb:Die einzige Alternative wäre wieder zurück zu reinem HTML und das will doch auch keiner Smile
Ich bin generell phantasielos, aber ich kann mir nichts vorstellen, dass ich brauche und nicht auch mit html+css+serverside scripting machbar wäre. Sind meine Anforderungen so gering?
NeXxGeN schrieb:
Im übrigen ist die Lücke in Java geschlossen worden, aber direkt eine weitere geöffnet worden Boing
Hmmm, die Meldung ist ein bisschen schwach. Das verlinkte CVE ist immer noch die alte Lücke und ansonsten existiert keine Quelle. Mal schauen...
NeXxGeN schrieb:
Und das meinte ich mit dem das Adobe und Oracle keine Ahnung davon haben Sichere Software zu entwickeln, das geht ja nun schon seit Jahren so Top
Kein Widerspruch hier, aber kennst du eine Firma die das wirklich gut hinbekommt?
Nehmen wir doch mal die größeren Browserhersteller: Mozilla, Microsoft, Apple und Google. Bis auf Google (da fällt mir momentan nichts ein) haben die sich alle schon derbe Schnitzer geleistet.

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am So 02 Sep 2012, 22:13

Google leistet sich ebenfalls viele Schnitzer, so ist das nicht. Und auf einigen Hacker Konferenzen haben die sogar bis zu 8 verschiedene Lücken in Chrome ausgenutzt um zugriff auf das System zu bekommen und ich meine Damit jetzt alle 8 um auf das System zu kommen. Nicht 8 verschiedene Wege. Also auch die Sandbox Variante wie sie Google mit Chrome fährt ist nicht wirklich sicher, nur etwas schwerer zu umgehen. Vorbildlich ist dabei natürlich wie schnell Google auf Sicherheitslücken reagiert, aber das tun Mozilla und Opera ebenfalls (Opera sogar noch schneller als Google!). Die schwarzen Schafe sind da eher Apple und Microsoft, wobei Apple ein absolutes NoGo ist wenn man auch nur ein bisschen auf Sicherheit setzt. Lücken im Betriebssystem bei Apple werden teilweise so lange aus gesessen bis das nächste Kostenpflichtige Update kommt!

Ich behaupte auch nicht das es Firmen gibt die keine Sicherheitslücken programmieren, sprich 100% sichere Software erstellen. Aber die Art und weise wie Oracle oder Adobe mit diesen Lücken umgehen ist mehr als Fahrlässig. Die Lücke in Java um die es hier ja anfangs ging war schon seit 4 Monaten bekannt! Aber Oracle hat erst reagiert als es in die Öffentlichkeit kam und genau da liegt der Hase begraben. So läuft das bei vielen Herstellern von proprietärer Software. Erst mal aus sitzen und dann mal schauen was passiert.

Bei Open Source ist das zum Glück doch anders, wenn dort eine Lücke gefunden wird, wird sie von den Entwicklern meist zeitnah behoben. Schwarze Schafe gibt es dort natürlich auch, das will ich nicht schön reden.

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am So 02 Sep 2012, 22:33

NeXxGeN schrieb:Google leistet sich ebenfalls viele Schnitzer, so ist das nicht. Und auf einigen Hacker Konferenzen haben die sogar bis zu 8 verschiedene Lücken in Chrome ausgenutzt um zugriff auf das System zu bekommen und ich meine Damit jetzt alle 8 um auf das System zu kommen. Nicht 8 verschiedene Wege. Also auch die Sandbox Variante wie sie Google mit Chrome fährt ist nicht wirklich sicher, nur etwas schwerer zu umgehen. Vorbildlich ist dabei natürlich wie schnell Google auf Sicherheitslücken reagiert, aber das tun Mozilla und Opera ebenfalls (Opera sogar noch schneller als Google!).

Mir ging es jetzt eher um solche "Wie-kann-man-nur-Schnitzer". Das Code ab einer bestimmten Menge/Komplexität Fehler enthält ist ja leider gegeben.
Der Sandbox-Ansatz von Google ist imho ein Schritt in die richtige Richtung. Die haben es quasi eingesehen, dass sie nicht in der Lage sind einen sicheren Browser zu programmieren.
Was ja schonmal ein Fortschritt ist.
Hoffentlich sehen sie auch ein, dass sie nicht in der Lage sind eine sichere Sandbox zu programmieren und die Angriffspunkte zu minimieren und nicht zu maximieren. Leider scheinen Googles Geschäftsinteressen da eher dagegen zu sprechen.


Die schwarzen Schafe sind da eher Apple und Microsoft, wobei Apple ein absolutes NoGo ist wenn man auch nur ein bisschen auf Sicherheit setzt. Lücken im Betriebssystem bei Apple werden teilweise so lange aus gesessen bis das nächste Kostenpflichtige Update kommt!

Hey, wenn man 88 Sicherheitslücken auf einmal fixen will (http://support.apple.com/kb/HT4077) muss man schon ein bisschen sammeln. Da müssen wir auch mal Verständnis zeigen! Very Happy ;)


Ich behaupte auch nicht das es Firmen gibt die keine Sicherheitslücken programmieren, sprich 100% sichere Software erstellen.
Das wollte ich dir auch nicht unterstellen. Mir geht es nur darum, dass es wirklich sehr sehr wenige Organisationen (neutral um OS und CS abzudecken) gibt, von denen ich behaupten würde, dass sie sicheren Code produzieren.
Weswegen ich zu der Sichtweise tendiere, dass es viel besser wäre, wenn wir grundsätzlich nichts produzieren, dass darauf vertrauen muss, dass die Programmierer keine derben Schnitzer machen.
Programmiersprachen in Webbrowsern klingt für mich zu einer Einladung möglichst viele möglichst derbe Schnitzer zu ermöglichen.

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am So 02 Sep 2012, 22:41

Also ich möchte kein Internet mehr ohne JS haben. Es macht vieles viel besser, vor allem spart es, um mal AJAX ins Spiel zu bringen, auch noch Traffic und unnötige abfragen. Allerdings ist das halt meine Meinung und da werden wir wohl auch auf keinen gemeinsamen Nenner kommen, aber das ist auch nicht schlimm.

Schlimm ist hingegen das viele Websites eben ohne JS gar nicht mehr nutzbar sind, da die Programmierer keinen Wert darauf legen fallback code zu generieren. So kann man als Beispiel auf vielen Websites keine Kommentare lesen ohne Javascript. Oder in vielen Webshops nicht mal die Produktdetails ansehen wenn man JS Code nicht zulässt. Das ist sehr schade aber der Trend wird sich auch noch weiter fortsetzen und verstärken.

Und jetzt gehe ich ins Bett, bis morgen Smile Sleep

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am So 02 Sep 2012, 23:28

NeXxGeN schrieb:Also ich möchte kein Internet mehr ohne JS haben. Es macht vieles viel besser, vor allem spart es, um mal AJAX ins Spiel zu bringen, auch noch Traffic und unnötige abfragen. Allerdings ist das halt meine Meinung und da werden wir wohl auch auf keinen gemeinsamen Nenner kommen, aber das ist auch nicht schlimm.
Also in meiner imaginären besseren Welt könnte man Inhalte nachladen ohne dafür eine ausgewachsene Programmiersprache zu missbrauchen. ;)
Natürlich gibt es Fälle bei denen Java-Script praktisch ist. Besser wäre es jedoch, wenn man in diesen Fällen nicht Java-Script bräuchte.

Schlimm ist hingegen das viele Websites eben ohne JS gar nicht mehr nutzbar sind, da die Programmierer keinen Wert darauf legen fallback code zu generieren. So kann man als Beispiel auf vielen Websites keine Kommentare lesen ohne Javascript. Oder in vielen Webshops nicht mal die Produktdetails ansehen wenn man JS Code nicht zulässt. Das ist sehr schade aber der Trend wird sich auch noch weiter fortsetzen und verstärken.
Es besteht noch Hoffnung. Die Flash-basierten Navigationsleisten sind ja auch wieder verschwunden.

Hier noch eine Nachricht, die die Meldung von Golem bestätigt und etwas ausführlicher wird:
http://arstechnica.com/security/2012/08/critical-bug-discovered-in-newest-java/

Oh man...

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am Mo 03 Sep 2012, 07:33

tno schrieb:Also in meiner imaginären besseren Welt könnte man Inhalte nachladen ohne dafür eine ausgewachsene Programmiersprache zu missbrauchen. ;)

Nun zum einen ist Javascript keine richtige Programmiersprache, sondern lediglich eine Interpretersprache, deswegen ist sie auch recht einfach zu erlernen. Und zum anderen, wie willst du das ganze denn sonst bewerkstelligen, per Gedankenübertragung? Very Happy

Irgendwie muss man dem Browser ja sagen was er machen soll und das geht nun mal nicht ohne einen Text den der Browser interpretieren kann. Und in deiner imaginären besseren Welt würden vermutlich auch alle Browser die angegebenen Befehle jeweils gleich interpretieren? Das ist nämlich heute auch nicht so, da kocht jeder sein eigenes Süppchen und führt noch dazu das man als Webdeveloper ein und den selben code gleich mehrfach schreiben darf nur damit ein Mimöschen wie Opera das auch versteht, oder das ein alter Depp wie der IE überhaupt was macht ^^

Die schöne neue Browserwelt gibt es leider nicht und ich befürchte die wird es auch nie geben...

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  lupu am Mo 03 Sep 2012, 11:19

NeXxGeN schreibt:
...alle Browser die angegebenen Befehle jeweils gleich interpretieren? Das ist nämlich heute auch nicht so, da kocht jeder sein eigenes Süppchen und führt noch dazu das man als Webdeveloper ein und den selben code gleich mehrfach schreiben darf nur damit ein Mimöschen wie Opera das auch versteht...
Das gilt aber dann auch für den Programmierer von Schadcode und deshalb z.B. benutze ich auch gern Opera,
weil der Browser nicht so verbreitet ist und somit die Wahrscheinlichkeit größer ist, daß der Schädling nichts ausrichten kann, weil er wegen der Faulheit/Effizienzorientiertheit des Autors nur die IE-Sprache spricht.

Außerdem finde ich die Forderung nach der großen Vereinheitlichung prinzipiell falsch, siehe Microsofts Macht vor ein paar Jahren. Der Motor, der die Entwicklung der freien Betriebssysteme antreibt, ist doch eben die Vielfalt, siehe Debian - Ubuntu - Mint - Peppermint.
Man kann Hunderte von Linux-OS übertrieben viel finden, aber auch hier wird das Prinzip der Evolution frei nach Darwin stattfinden. Manche Arten verschwinden auch wieder, oder finden ihre Nischen.
avatar
lupu

Anmeldedatum : 15.08.11
Alter : 67
Ort : unterwegs

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Mo 03 Sep 2012, 17:09

NeXxGeN schrieb:
Nun zum einen ist Javascript keine richtige Programmiersprache, sondern lediglich eine Interpretersprache, deswegen ist sie auch recht einfach zu erlernen.
Nach welchen Kriterien bestimmst du, dass Javascript keine richtige Programmiersprache ist?
Für mich ist sie das eindeutig. Javascript ist turing-vollständig.
Und wenn man sogar einen X86-Emulator in Javascript schreiben kann, der Linux ausführt, sagt das imho eine ganze Menge aus.

Ob eine Programmiersprache interpretiert wird oder nicht, ist imho völlig nebensächlich. Mal davon abgesehen, dass z.B. Java und .net auch interpretiert werden. Und sowohl Javascript wie auch Java einen JIT-Compiler kennen, der die Grenze zwischen interpretierten und kompilierten Programmiersprachen verwischt.

NeXxGeN schrieb:
Und zum anderen, wie willst du das ganze denn sonst bewerkstelligen, per Gedankenübertragung? Very Happy
Das wäre cool. Aber ich dachte eher an eine Erweiterung von HTML. Ich meine, es ist ja keine technische Notwendigkeit, dass sich das gesamte Dokument verändern muss nur um z.B. einen POST abzusenden.
Da ist halt der HTML-Standard nicht wirklich weitergekommen und deswegen missbraucht man Javascript.
Auf der anderen Seite kann man schon heute für viele Effekte für die heute Javascript verwendet wird auch css nehmen. Z.B. aufklappende Navigation sehe ich immer wieder in Javascript implementiert, obwohl es auch mit reinem css gehen würde.

NeXxGeN schrieb:
Irgendwie muss man dem Browser ja sagen was er machen soll und das geht nun mal nicht ohne einen Text den der Browser interpretieren kann. Und in deiner imaginären besseren Welt würden vermutlich auch alle Browser die angegebenen Befehle jeweils gleich interpretieren? Das ist nämlich heute auch nicht so, da kocht jeder sein eigenes Süppchen und führt noch dazu das man als Webdeveloper ein und den selben code gleich mehrfach schreiben darf nur damit ein Mimöschen wie Opera das auch versteht, oder das ein alter Depp wie der IE überhaupt was macht ^^
Natürlich muss der Browser Text interpretieren können. HTML wird ja auch interpretiert (auch wenn HTML keine Programmiersprache ist).
In Anbetracht der Tatsache, dass Menschen bei steigender Komplexität deutlich mehr Fehler machen, wäre ich dafür dass ein Browser keine komplexen Daten verarbeiten sollte.
Und eine Turing-vollständige Programmiersprache ist komplex.
Mir ist natürlich bewusst, dass das im krassen Gegensatz zu dem Bestreben der Browserentwickler steht, möglichst viel vollständig zu unterstützen.

Die schöne neue Browserwelt gibt es leider nicht und ich befürchte die wird es auch nie geben...
In naher Zukunft nicht. Aber wenn man z.B. Stuxnet als Vorbote einer neuen Ära sieht, könnte es passieren, dass Sicherheit in Zukunft deutlich wichtiger wird.
Oder es kommt alles anders. ;)

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am Mo 03 Sep 2012, 17:39

tno schrieb:
Nach welchen Kriterien bestimmst du, dass Javascript keine richtige Programmiersprache ist?
Für mich ist sie das eindeutig. Javascript ist turing-vollständig.
Und wenn man sogar einen X86-Emulator in Javascript schreiben kann, der Linux ausführt, sagt das imho eine ganze Menge aus.
Nach den Kriterien die auch alle anderen anwenden, Javascript ist eine Scriptsprache. Keine Programmiersprache. Der Name sagt es ja bereits aus, eine Programmiersprache wird verwendet um Programme zu erstellen und müssen dann vor dem Gebrauch auch nochmal kompiliert werden. Es mag sein das du eine andere Auffassung davon hast, aber das macht JS eben nicht zu einer Programmiersprache. Das gilt für viele andere Scriptsprachen auch wie zb PHP, Perl, Python und so weiter. Und nur weil man in Javascript einen Emulator erstellen kann, bedeutet das nur das Javascript eine mächtige Scriptsprache ist, nicht mehr und nicht weniger.

Mal eine Frage, beherrscht du eine dieser Sprachen, oder ist das alles nur angelesen? (Diese Frage ist nicht abwertend gemeint, sondern reines Interesse)

tno schrieb:Das wäre cool. Aber ich dachte eher an eine Erweiterung von HTML. Ich meine, es ist ja keine technische Notwendigkeit, dass sich das gesamte Dokument verändern muss nur um z.B. einen POST abzusenden.
Da ist halt der HTML-Standard nicht wirklich weitergekommen und deswegen missbraucht man Javascript.
Auf der anderen Seite kann man schon heute für viele Effekte für die heute Javascript verwendet wird auch css nehmen. Z.B. aufklappende Navigation sehe ich immer wieder in Javascript implementiert, obwohl es auch mit reinem css gehen würde.

HTML wird das niemals nie bewerkstelligen können was nun mal daran liegt das HTML eine Markupsprache ist die lediglich den Zweck hat der Website eine Struktur zu geben. Ähnlich gestaltet sich das mit CSS, damit werden dem HTML lediglich Styles zugewiesen und mit dem CSS 3 Standard wird dem Browser ermöglicht einfach die Styles on the fly zu ändern, was im übrigen der Browser mit Javascript erledigt und nicht mit CSS! Ohne JS ist da nix ;)

Allerdings gibt es da dann wiederum neue Probleme, weil die ganzen Browserhersteller da wieder ihre eigene Suppe kochen. Klar CSS3 ist noch nicht final, aber in den Browsern wird es bereits angeboten, nur anstatt das sie sich an die bereits fertigen Standards von CSS3 halten machen sie alle ihr eigenes Dingen. So muss ich um zB einen Verlauf zu generieren für jeden Browser auf dem Markt eine eigene Angabe in css machen, das ist für den Developer mehr als nervig, zudem erzeugt man dadurch wieder mehr Traffic. Sicher das sind nur ein paar Byte pro Style Angabe, aber das läppert sich wenn da mal 1000+ Nutzer am Tag auf die Seite kommen.

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Blindenhund am Mo 03 Sep 2012, 17:45

Was wäre denn dann GWBasic? Du kannst es durch Turbo-Basic jagen aber Du kannst es auch so ausführen. DBase wäre dann auch keine Programmiersprache, sondern eine Scriptsprache?

Blindenhund
Gelöschter Benutzer

Anmeldedatum : 01.08.11
Ort : /dev/sofa

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am Mo 03 Sep 2012, 17:47

Blindenhund schrieb:Was wäre denn dann GWBasic? Du kannst es durch Turbo-Basic jagen aber Du kannst es auch so ausführen. DBase wäre dann auch keine Programmiersprache, sondern eine Scriptsprache?
Ich bin mit beiden Sprachen nicht vertraut, deswegen kann ich dazu keine qualitative Antwort liefern.

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Blindenhund am Mo 03 Sep 2012, 17:51

NeXxGeN schrieb:Ich bin mit beiden Sprachen nicht vertraut, deswegen kann ich dazu keine qualitative Antwort liefern.
Mit beiden hab ich schon Programme geschrieben, die "Millonen" bewegt haben. Warenwirtschaft und Buchhaltung. Das waren noch Zeiten, als keiner eine Klickmich-GUI brauchte! ^^

Blindenhund
Gelöschter Benutzer

Anmeldedatum : 01.08.11
Ort : /dev/sofa

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  tno am Mo 03 Sep 2012, 19:25

NeXxGeN schrieb:
Nach den Kriterien die auch alle anderen anwenden, Javascript ist eine Scriptsprache. Keine Programmiersprache. Der Name sagt es ja bereits aus, eine Programmiersprache wird verwendet um Programme zu erstellen und müssen dann vor dem Gebrauch auch nochmal kompiliert werden. Es mag sein das du eine andere Auffassung davon hast, aber das macht JS eben nicht zu einer Programmiersprache. Das gilt für viele andere Scriptsprachen auch wie zb PHP, Perl, Python und so weiter.
Du verrennst dich da in deiner Interpretation. Eine Scriptsprache ist eine Programmiersprache. Lies dir doch z.B. mal den ersten Abschnitt von
http://de.wikipedia.org/wiki/Skriptsprache
durch. (Und nein, ich habe den Artikel nicht angepasst.)
Die englische Wikipedia sagt übrigens das gleiche. Javascript-Bücher sprechen von Programmierung in Javascript.

Und natürlich kann man Programme in Scriptsprachen schreiben. Sehr gut sogar. Die Paketverwaltung von Gentoo ist in Python geschrieben. Framp hat in diesem Forum ein Python-Programm vorgestellt, sogar mit GUI (;)).


Und nur weil man in Javascript einen Emulator erstellen kann, bedeutet das nur das Javascript eine mächtige Scriptsprache ist, nicht mehr und nicht weniger.
Nein, dass ist ein Hinweis darauf, dass Javascript nicht nur theoretisch Turing-vollständig ist, sondern auch praktisch eine mächtige Programmiersprache ist.


Mal eine Frage, beherrscht du eine dieser Sprachen, oder ist das alles nur angelesen? (Diese Frage ist nicht abwertend gemeint, sondern reines Interesse)
Ich programmiere in Java, und habe ein paar kleine Sachen in php gemacht. Python habe ich mal kurz ausprobiert. Was Flash angeht bin ich völlig ahnungslos.
Anlesen musste ich mir den Kram natürlich trotzdem. ;)


HTML wird das niemals nie bewerkstelligen können was nun mal daran liegt das HTML eine Markupsprache ist die lediglich den Zweck hat der Website eine Struktur zu geben. Ähnlich gestaltet sich das mit CSS, damit werden dem HTML lediglich Styles zugewiesen und mit dem CSS 3 Standard wird dem Browser ermöglicht einfach die Styles on the fly zu ändern, was im übrigen der Browser mit Javascript erledigt und nicht mit CSS! Ohne JS ist da nix ;)
Warum sollte eine Markup-Sprache z.B. nicht in der Lage sein Inhalte nachzuladen, ohne das gesamte Dokument nachladen zu müssen (das ist doch der häufigste Grund für die Verwendung von Javascript, oder?)?
Was css angeht, ist mir nicht klar worauf du dich beziehst. Falls du die ausklappbare Navigation meinst: Ich habe vor vielen Jahren prototypisch eine ausklappende Navigation in html und css geschrieben, die ganz ohne Javascript auskommt.
Natürlich ist HTML im jetzigen Zustand nicht übermäßig gelungen. Aber Javascript ist das Schießen mit Kanonen auf Spatzen in Ermangelung von Gewehren mit passendem Kaliber.

Allerdings gibt es da dann wiederum neue Probleme, weil die ganzen Browserhersteller da wieder ihre eigene Suppe kochen. Klar CSS3 ist noch nicht final, aber in den Browsern wird es bereits angeboten, nur anstatt das sie sich an die bereits fertigen Standards von CSS3 halten machen sie alle ihr eigenes Dingen. So muss ich um zB einen Verlauf zu generieren für jeden Browser auf dem Markt eine eigene Angabe in css machen, das ist für den Developer mehr als nervig, zudem erzeugt man dadurch wieder mehr Traffic. Sicher das sind nur ein paar Byte pro Style Angabe, aber das läppert sich wenn da mal 1000+ Nutzer am Tag auf die Seite kommen.
Hey, ich glaube dir gerne das für deine Anforderungen Javascript die einfachste Möglichkeit ist diese zu erreichen. Das wird fast allen so gehen. Aber das bedeutet nicht, dass die Integration von Javascript in den Browser eine gute Idee ist. Das bedeutet, dass html und css bisher noch nicht ausreichen. Und natürlich ist das die Schuld der Browserhersteller (und des W3Cs).

tno

Anmeldedatum : 28.01.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  NeXxGeN am Mo 03 Sep 2012, 22:08

tno schrieb:Ich programmiere in Java, und habe ein paar kleine Sachen in php gemacht. Python habe ich mal kurz ausprobiert. Was Flash angeht bin ich völlig ahnungslos.
Anlesen musste ich mir den Kram natürlich trotzdem. ;)
Also auf Java hatte ich nie wirklich Lust. C (# + ++) waren mir stehts zu komplex und ich hatte nie den Antrieb größere Programme zu schreiben. PHP beherrsche ich sehr gut, ebenfalls Javascript. Habe in letzter Zeit zwecks xChat Plugins mich ein wenig in Perl eingearbeitet und auf diesem Wege mir auch Python angesehen, aber Python ist da schon recht anspruchsvoll und für ein wenig Spielerei benötigt es ein wenig zu viel Einarbeitungszeit. Auf jeden Fall würde Python mich noch sehr reizen, zumal man es natürlich wunderbar auch für Linux nutzen kann. Da muss ich halt mal schauen wann ich die Zeit habe mich damit intensiv auseinander zu setzen.

tno schrieb:
Warum sollte eine Markup-Sprache z.B. nicht in der Lage sein Inhalte nachzuladen, ohne das gesamte Dokument nachladen zu müssen (das ist doch der häufigste Grund für die Verwendung von Javascript, oder?)?
Was css angeht, ist mir nicht klar worauf du dich beziehst. Falls du die ausklappbare Navigation meinst: Ich habe vor vielen Jahren prototypisch eine ausklappende Navigation in html und css geschrieben, die ganz ohne Javascript auskommt.
Natürlich ist HTML im jetzigen Zustand nicht übermäßig gelungen. Aber Javascript ist das Schießen mit Kanonen auf Spatzen in Ermangelung von Gewehren mit passendem Kaliber.
HTML ist eine statische Sprache die nicht geeignet ist um dynamisch zu arbeiten und hat auch bisher nicht die Fähigkeit an den Server dynamisch etwas zu senden, das läuft halt, wie bei Formularen alles völlig statisch ab. Formulare machen dann wieder natürlich nur mit PHP oder Javascript Sinn, weil auch damit kann HTML nichts anfangen. Und genau dort liegt der Pfeffer begraben. Wenn du das mit HTML machen würden wolltest müsstest du die gesamte Struktur neu erfinden und damit wären wir dann bei HTMJSL ;)

Allerdings würdest du damit die Probleme nicht los, wie kommst du denn darauf das wenn man die Fähigkeiten die JS hat nun HTML beizubringen, das dies keine Sicherheitslücken öffnen würde?

Und nochmal um dir das besser zu erklären. Ja du kannst mit CSS eine Animation machen, aber diese Animation wird eben nicht von CSS ausgeführt, sondern von der Browserinternen Javascript Bibliothek. CSS ist lediglich eine Style Angabe die vom Browser ausgeführt wird, CSS ist nicht fähig auch nur irgendwas zu tun. Für diese CSS Transitions bestehen im Browser dann schon vordefinierte Javascript Funktionen die eben auf eine bestimmte CSS Style Angabe und der Interaktion des Benutzers reagiert.

Natürlich könnte man jetzt irgendeine andere Sprache dafür erfinden, aber das würde das Problem nicht lösen.

NeXxGeN

Anmeldedatum : 29.08.12

Nach oben Nach unten

Re: Schwere Sicherheitslücken in Java

Beitrag  Gesponserte Inhalte


Gesponserte Inhalte


Nach oben Nach unten

Seite 2 von 3 Zurück  1, 2, 3  Weiter

Vorheriges Thema anzeigen Nächstes Thema anzeigen Nach oben


 
Befugnisse in diesem Forum
Sie können in diesem Forum nicht antworten