да достали уже!

Jul. 11th, 2014 12:54 am
brmail: (Default)
[personal profile] brmail
"дырки находить в нашей JAVe", сказал Оракл, и поставленное сегодня обновление нахрен отрубило выполнение джавы в браузерах, а кому оно надо, ручками в настройки и разрешить. Только потом оракл уже не виноват - сам разрешил, сам дурак. А кто не дурак, тот старается вообще ее не использовать, как и акробат pdf ридер. За последний год пара этих приложений генерирует большую часть незакрытых(или медленно закрытых) дыр в безопасности компов. Как результат сотни тысяч компов добавляются в ботнеты и занимаются воровством банковских акаунтов.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2014-07-11 05:57 am (UTC)
From: [identity profile] volodymir-k.livejournal.com
дырки "в java" в основном находятся в плагинах к браузерам, что подавляющему большинству разработчиков нафиг не упало обновлять каждую неделю, ибо не используется
апплеты сдохли, и не надо насиловать труп в 2014 году
заодно меньше загружаемые инсталляторы, меньше поверхность атаки
отличная идея, я считаю

Date: 2014-07-11 06:33 am (UTC)
brmail: (письмецо)
From: [personal profile] brmail
Идея превосходная. В браузере кроме самого браузера и html-5 екстеншен вообще ничего не должно быть. Надо вендорам что то захерачить, пусть сервер-сайд херачат, каналы нынче толстые, вполне лишний раунд-трип данных вынесут. А надо что то крутое, типа VPN организовать, тут никакой серверсайд не проканает, так вернитесь, блядь к корням, и напишите себе обычное приложение (хочется браузера, пусть через 80 порт лазает и делает для всех вид что он файрфокс), и желательно не на джаве, причем для виндов отдельно, для никсов отдельно. И будет всем щастье.

Date: 2014-07-11 06:39 am (UTC)
brmail: (письмецо)
From: [personal profile] brmail
кстати, таки дырки в джаве не из за плагинов, а как раз из за возможности пускать апплеты. Причем молча и во всю широту души. Зашел человек на сайт (может не сам, а редиректнуло его скриптом), а там апплет с доунлоадером трояна. скачает себя, в автозагрузку пропишет, резидентную часть на проверку выгрузки основного модуля тоже. И все, попалась птичка. Без специально обученного человека обычный юзер может только убить винды, новые поставить сам не сможет, так как несчего, а победить такой вирус антивирусом может не получиться, а к моменту когда получится, там уже в системе кто угодно жить может, вплоть до вывода антивируса из строя.
Edited Date: 2014-07-11 06:40 am (UTC)

Date: 2014-07-11 08:54 am (UTC)
From: [identity profile] volodymir-k.livejournal.com
> не из за плагинов, а как раз из за возможности пускать апплеты

ну так апплеты запускаются в браузере ПЛАГИНАМИ
вот эти вот npjp2.dll, npjpi170_10.dll, npoji610.dll
(сам по себе appletviewer давным-давно сдох, а использовался юзерами примерно никогда)

кстати виндой это не ограничивается, на линуксе точно так же
если юзер -- судоер, то привет кагдила

Date: 2014-07-13 04:31 am (UTC)
From: [identity profile] nepilsonis.livejournal.com
Поьзователи оборудования, управлятиь которым можно только с жабой (от онбордных райд контролллеров до эзернет свичей и FC фабрик, от средств работы со всякими криптокарточками и токенами до радиооборудования, и т.д.) нервно дёргают глазом при каждом обновлении явы уже года полтора.

С оракла станется вообще выкинуть клиентскую жабу, а вот нового софта для старых систем никто не напишет.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

brmail: (Default)
brmail
Page generated Feb. 18th, 2026 09:13 am
Powered by Dreamwidth Studios