ComputerBase Menü
Aktuelles

Aussage, Java sei sehr sicher [Diskussion]

violentviper

violentviper

Lt. Commander
Registriert
Mai 2008
Beiträge
1.838
Hallo,
diese Woche hat mein Professor an der Uni behauptet, Java sei eine sehr sichere Entwicklungsumgebung. Er hat es damit begründet, das es in einer VM läuft. Das hat mich sehr verwirrt, vorallem weil gerade Java immer wieder in den News steht mit etlichen Sicherheitslücken.
Kann man deswegen immernoch von einer sehr sicheren Entwicklungsumgebung sprechen ? Das Updates diese beheben ist verständlich, aber wenn eine Software so viele Lücken hat, hat sie sicherlich auch noch viele andere unentdeckte. Ich schalte Java im browser grundsätzlich ab und schalte es nur an, wenn ich es mal brauche.
 
Ich kann mir vorstellen, dass er nicht Java Anwendungen an sich meinte, sondern Java Applets, weil die immer in einer Sandbox laufen. Dadurch sind die abgeschottet und können keinen großen Schaden anrichten - vorausgesetzt, dass die Sandbox korrekt implementiert wurde (von Sun/Oracle) und tatsächlich keinen Ausbruch erlaubt.
 
Grundsätzlich ist eine Java Application genau so sicher oder unsicher, wie eine, die unter einer anderen Sprache entstand. Ein Java Applet kann Schadsoftware enthalten. Genau so, wie jedes ausführbare Programm.

Was es potentiell unsicher macht, ist eben der Umgang damit. Wenn man jedes Java Applet zulässt, dann ist das genau so gefährlich, als würde man jedes ausführbare Programm unter Windows ausführen lassen.
 
Also nach meinem Kenntnisstand ist JAVA eines der Haupteinfallstore für Schädlinge, nicht umsonst werden ständige irgenwelche, auch außerplanmäßigen, Sicherheitsupsates angeboten. Ich weiß allerdings nicht, wo Dein Prof. sein Wissen her hat.
 
Ich glaube, dass die meisten Sicherheitsprobleme von Java beim Browserplugin liegen. Wenn man eine lokale Anwendung ausführt, ist Java meines Wissen auch nicht gefährlicher als jede Anwendung, die in einer anderen Sprache geschrieben wurde. Lasse mich aber gerne vom Gegenteil überzeugen.
 
Es gibt einen Unterschied zwischen dem Java Plugin in Browser und dem "normalen" Java.
 
Die Frage ist doch eher was dein Prof damit meint und was du drüber denkst .

JAVA sicher zu bezeichnen mag ja richtig sein von der Seite her das wenig in JAVA eindringen kann .
Das das JAVA im Browser unsicher ist liegt aber dadrin dass in dem JAVA Schadcode drinn ist was Ausbricht.

Stell es dir einfach wie ein Gefängniss vor ... Einbrechen tun die wenigsten Ausbrechen wollen da schon eher welche.
 
Nilson schrieb:
Es gibt einen Unterschied zwischen dem Java Plugin in Browser und dem "normalen" Java.
Zum Vergrößern anklicken....

Der da wäre? Das Plugin stellt Java innerhalb des Browsers zur Verfügung. Das ist nichts anderes, als würde man das Applet auf dem Desktop per JRE starten lassen.

Du meinst wohler eher den Unterschied zwischen Java und Javascript.
 
Ok ist missverständlich ausgedrückt. Es ist eine "Erweiterung" des "normalen" Javas. Es stellt eine Verbindung her und die war/ist recht löchrig.
 
MOS1509 schrieb:
Also nach meinem Kenntnisstand ist JAVA eines der Haupteinfallstore für Schädlinge, nicht umsonst werden ständige irgenwelche, auch außerplanmäßigen, Sicherheitsupsates angeboten. Ich weiß allerdings nicht, wo Dein Prof. sein Wissen her hat.
Zum Vergrößern anklicken....

Nein es ist das Java Plugin für Browser und außerplanmäßig werden nur kritische Sicherheitslücken gestopft. Normalerweise kommen regelmäßig Updates für Java...

Enwicklungsumgebung ist für mich zunächst ein Tool zum Entwickeln von Anwendungen in einer Programmiersprache. Dass Java in der VM läuft ist richtig, dient aber zunächst um plattform- und maschinenunabhängigen Code erzeugen zu können.
Das ist die gleiche Geschichte mit dem Acrobat Reader und dem Flash Player - die Technologie ist mehr oder weniger sicher, aber die Schnittstellen sind der kritische Punkt. Im allgemeinen von sehr sicheren Sprachen zu reden finde ich komisch - wie definiere ich Sicherheit bei Programmiersprachen? Mist kann ich im Endeffekt mit jeder machen auf unterschiedliche Art und Weise.
 
Nilson schrieb:
Ok ist missverständlich ausgedrückt. Es ist eine "Erweiterung" des "normalen" Javas. Es stellt eine Verbindung her und die war/ist recht löchrig.
Zum Vergrößern anklicken....

Stimmt so auch nicht. Java ist das, was unsicher ist. Darum wurde das Plugin per Default deaktiviert. Das Plugin selbst ist nicht das Problem und es ist auch nicht unsicher. Schadhafte Java Applets sind das Problem. Und ob man sie über den Browser oder den Desktop aus startet, das ist egal.

Aber ein Applet über den Desktop starten, das macht der 0815 Internetnutzer nicht. Er bekommt die Applets zu 99% via dem Browser(plugin). Und darum wurde es deaktiviert und wenn aktiviert, die Sicherheitswarnungen verschärft. Wollen Sie das Applet wirklich starten usw.
 
Java soll unsicher sein? Das musst du mir aber mal erklären.

Das Leck ist doch nur das Plugin, welches Ausführung von Java-Code auf dem Zielrechner ermöglicht. Gäbe es ein C-Plugin für Browser, wäre genauso anfällig (vor allem, wenn es von so kompetenten Leuten wie bei Oracle entwickelt würde). Es ist einfach prinzipiell fraglich, ob normaler Programmcode per Browserplugin ausführbar sein sollte.
 
BlubbsDE schrieb:
Der da wäre? Das Plugin stellt Java innerhalb des Browsers zur Verfügung. Das ist nichts anderes, als würde man das Applet auf dem Desktop per JRE starten lassen.

Du meinst wohler eher den Unterschied zwischen Java und Javascript.
Zum Vergrößern anklicken....


Der Unterschied besteht darin, daß man sich nicht wild unbekannte Programme downloaded und diese startet. Das Surfverhalten vieler Leute ist halt unsicher und daraus resultieren viele Probleme mit dem Browser-Plugin, weil letztendlich unkontrolliert Java-Code ausgeführt wird.

Außerdem können Sicherheitslecks im Browser-Plugin zur Kompromittierung der Java-VM führen. Dinge die aus Sicherheitsgründen verhindert werden sollen, wie der Zugriff auf das System, können so doch stattfinden.
 
Hier ist ja richtig was los *g. So wie ich das hier rauslese gibt es zwei geteilte Meinungen über die Sache.

Tumbleweed schrieb:
Es ist einfach prinzipiell fraglich, ob normaler Programmcode per Browserplugin ausführbar sein sollte.
Zum Vergrößern anklicken....

Die Aussage trifft es denke ich ganz gut auf den Punkt. Wäre es ein anderes Plugin, würde man wahrscheinlich dieses dann verteufeln.
 
Ich denke die zentrale Frage ist, wie man "sicher" definiert. Wann ist ein Programm also unsicher? Vor allem dann, wenn es kritische Schwachstellen aufweist. Java ist v.a. im letzten Jahr immer wieder mit äußerst kritische Zero-Day-Exploits in die Presse gekommen. Daher die weit verbreitete Ansicht, Java wäre sehr unsicher.

Meiner Meinung nach ist Java nicht unsicherer oder sicherer als andere Programme. Durch die große Verbreitung (vgl. Adobe Flash Player oder auch Windows selbst) ist es allerdings ein sehr lohnendes Ziel für Angreifer, da sie mit einer Sicherheitslücke verhältnismäßig viele Benutzer angreifen können. Daher richten die natürlich auch ihre Mühen eher auf solche Programme.

Man könnte natürlich argumentieren, dass man ohne Java sicherer ist - und folglich Java unsicher ist. Aber hier muss man sagen, dass das für jedes Programm gilt. Jedes zusätzliche Programm auf dem Rechner macht diesen prinzipiell unsicherer, ob es nun ein Einfallstor über Update-Routinen öffnet oder doch durch unsichere Speicherzugriffe Privilege Escalation erlaubt.

Klassisches Beispiel: Windows oder Linux? Windows ist durch seine gigantische Verbreitung ein äußerst beliebtes Angriffsziel gewesen. Für viele Benutzer bietet Windows aber mehr Komfort der meist die Sicherheitsbedenken überdeckt.

Dasselbe gilt natürlich auch für das Browser Plugin: Durch das Plugin wird Java nicht unsicherer, sondern nur gefährdeter, da durch solch ein Plugin einfach über infizierte Webserver Viren verteilt werden können, ohne das der Benutzer davon etwas merkt. Deaktiviert man das Plugin nimmt man Angreifern diese Schnittstelle und ist dadurch sicherer. Dadurch verliert man aber wieder den Komfort kleine Java-Anwendungen im Browser zu benutzen. Das ist es aber kaum wert, daher gilt die allgemeine Empfehlung das Plugin zu deaktivieren.

Die Sandbox von Java Applets oder dem Java Plugin ist nicht viel mehr, als eine Einschränkung der Benutzbarkeit der Java-Bilbiotheken - wer (außer Google, Facebook und Co) will schon, dass eine Webseite beim Besuchen erstmal die Festplatte durchstöbern kann?


Insofern würde ich deinem Professor widersprechen - Java ist ganz sicher nicht sicherer als andere Anwendungen. Auch wenn mich seine Argumente interessieren würden. Die Sandbox kann man hier jedenfalls abtun, im letzten Jahr hat es jedes der benutzten Zero-Day-Exploit geschafft aus der Sandbox auszubrechen.
 
Wobei eine vollständige Deaktivierung des Java Plugins nicht mehr unbedingt notwendig ist, zum einen gibt es mittlerweile Einstellungen von JAVA selber die nur vertrauenswürdige Software ausführt, zum anderen gibt es Erweiterungen oder gleich Boardmittel um Plugins nur nach Bestätigung ausführbar machen.

Ich kann jedem der Chrome nutzt nur ans Herz legen mal nach "Click to Play" zu suchen. Mittlerweile in den Optionen zu findene Einstellug die Plugins wie FlashBlock überflüssig macht.
 
Tumbleweed schrieb:
Es ist einfach prinzipiell fraglich, ob normaler Programmcode per Browserplugin ausführbar sein sollte.
Zum Vergrößern anklicken....

Definiere normalen Programmcode. Ich halte JavaScript für die deutlich größere Gefahr als Java, schon, weil viele BWL-Erstsemester der Ansicht zu sein scheinen, dass es für den Konsum einer Website unabdingbar sein muss, dass irgendwas zappelt, und Abschalten der Zappelei = "BITTE JS AKTIVIEREN SONST SIEHSTE HIER NIX".

Allerdings ist auch CSS Programmcode.
 
Tuxman schrieb:
Definiere normalen Programmcode. Ich halte JavaScript für die deutlich größere Gefahr als Java, schon, weil viele BWL-Erstsemester der Ansicht zu sein scheinen, dass es für den Konsum einer Website unabdingbar sein muss, dass irgendwas zappelt, und Abschalten der Zappelei = "BITTE JS AKTIVIEREN SONST SIEHSTE HIER NIX".

Allerdings ist auch CSS Programmcode.
Zum Vergrößern anklicken....
Ehrlich? Dieses Argument bringt man heutzutage noch nachdem noch genügend Mobile apps existieren die mit HTML5, CSS und JavaScript arbeiten?
Das gleiche kann ich von CMS Systemen berichten: Alle meinen Sie könnens und benutzen eins für die Dinge die ein CMS eher nicht so sinnvoll ist....
 
Dass die meisten mobilen Browser kein Abschalten von JavaScript mehr erlauben, halte ich für brandgefährlich.
 
PHP:
Tuxman schrieb:
Dass die meisten mobilen Browser kein Abschalten von JavaScript mehr erlauben, halte ich für brandgefährlich.
Zum Vergrößern anklicken....

Zumindest im Desktop Chrome und Firefox ist das ohne weitere AddOns möglich.
Gibt es da kein about:config bzw. about:chrome?
Habe leider nur ne uralte Opera Version auf dem Handy :freak:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Baal Netbeck
Sammelthread Baals Hauptthread: Diskussion zu Spieletests
Antworten
0
Aufrufe
7.504
Baal Netbeck
Baal Netbeck
B
[Diskussion] Der bestmögliche Browser für Sicherheit und Datenschutz
Antworten
19
Aufrufe
3.467
AnfängerEi
AnfängerEi
Shizzle
[PlayStation Meeting 2013 ] Live-Stream, Live-Blog und Diskussion
17 18 19
Antworten
374
Aufrufe
40.141
AU-MKK
A
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz