Hi Leute,
als Java Entwickler möchte ich bei diesem Thema etwas Klarheit verschaffen, da die diversen Artikel zu dem Thema immer recht dürftig ausfallen. Die in letzter Zeit angeprangerten Sicherheitslücken beziehen sich allesamt auf Webstart und Applets.
Ersteres ermöglicht es, Java Anwendungen - einfach ausgedrückt - direkt aus dem Internet heraus automatisch installieren und starten zu lassen. Bei erneuter Ausführung kann die Anwendung auch automatisch aktualisiert werden. Applets sind i.d.R. grafische Programme, die direkt in die Webseite eingebunden werden.
Applets sind heutzutage eigentlich kein Thema mehr und ich bin bisher noch nie über "massenkompatible" Software gestolpert, die per Webstart vertrieben wird. Bisher habe ich nur Tech-Demos und Spezialanwendungen gesehen, die das machen. Ich selber habe während meiner Studienzeit auch eine Anwendung geschrieben, die mit Webstart realisiert ist.
Normalerweise werden die Anwendungen bei beiden Techniken in einer abgeschotteten Umgebung gestartet. Zugriffe auf das System sollte nur Anwendungen gestattet werden, die entsprechend konfiguriert sind und eine Bestätigung des Benutzers erfordern. Dieser Mechanismus konnte nun aber vermehrt umgangen werden. Warum bei Java nun so ein Aufstand gemacht wird, kann ich nicht verstehen. Man denke nur einmal an Flash, PDF Plugins o.ä. Diese haben viel häufiger Sicherheitslecks in die Browser gerissen.
Meine Empfehlung: deaktiviert Java im Browser, der normale Benutzer braucht es einfach nicht mehr. Aber viele gute Anwendungen benötigen Java (z.B. OpenOffice/LibreOffice, JDownloader und Eclipse, um einige bekannte Vertreter zu nennen).
Ansonsten die Gute alte Regel befolgen: haltet eure Software immer auf dem neusten Stand.
Das war nun mein Wort zum Samstag