Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Segurança: Desenvolvedores do Firefox consideram desabilitar o Java

Um complexo ataque recentemente divulgado, denominado BEAST, que permite comprometer a segurança de transações SSL de navegadores (usualmente aquelas que “fecham o cadeado” do seu navegador) é a razão da defesa de que o Java seja bloqueado no Firefox. Segundo o relato, o ataque hoje é operado por meio de um bug no Java, e a Oracle não ofereceu nenhuma resposta sobre seus planos de corrigir a situação.

Vale destacar que o Firefox não é o único navegador exposto ao problema, e outros desenvolvedores também estão procurando soluções alternativas, todas com potencial de causar problemas no uso de aplicações que hoje dependem do Java, como o chat em vídeo do Facebook e os aplicativos de home banking de vários bancos nacionais. (via h-online.com – “Mozilla considers disabling Java in Firefox – The H Open Source: News and Features”)


• Publicado por Augusto Campos em 2011-09-30

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Weber Jr. (usuário não registrado) em 30/09/2011 às 10:00 am

    Alô, alô, banco do brasil, chega de java.

    Fábio Prudente (usuário não registrado) em 30/09/2011 às 10:04 am

    Qual seria a alternativa mais segura que o Java, para Home Banking, por exemplo?

    André Luiz (usuário não registrado) em 30/09/2011 às 10:07 am

    Esta sim, uma grande ameaça ao uso do Java. E um grande teste para a Oracle. Se este problema não for corrigido a tempo de surgir uma alternativa que deixe o Java de fora, será uma boa justificativa para abandoná-lo de vez. Afinal, segurança é a cereja do bolo, principalmente na internet.

    Porfírio (usuário não registrado) em 30/09/2011 às 10:24 am

    Não sei porque ficar esperando a Oracle resolver o problema. Existe um projeto chamado OpenJDK, que foi criado justamente para que a comunidade pudesse melhorar o produto sem ter que pedir permissão de ninguém. Free Software só da boca pra fora? Porque a Mozilla não faz uma contribuição?

    Carlos E. Silva (usuário não registrado) em 30/09/2011 às 10:35 am

    Esse java é morto do século passado, apesar de ter uma legião ainda por trás dele.

    Weber Jr. (usuário não registrado) em 30/09/2011 às 10:41 am

    Porfírio

    “Não sei porque ficar esperando a Oracle resolver o problema.”

    Simples, porque o problema está no produto dela, independente de TAMBÉM acontecer no OpenJDK.

    “Free Software só da boca pra fora? Porque a Mozilla não faz uma contribuição?”

    Muita desinformação… se depender da Mozilla, tudo que for plugin deixa de existir, estão sempre brigando para ter algo padrão web. Java é suportado porque é necessário, assim como flash.

    Luiz Aguiar (usuário não registrado) em 30/09/2011 às 10:44 am

    Quando se fala Java nesse caso, esta restrito as Applets, que tirando meia dúzia de bancos, NINGUÉM mais no universo usa, tanto faz eles tirarem ou não, pra Oracle não faz a menor diferença.

    Porfírio (usuário não registrado) em 30/09/2011 às 12:13 pm

    @Weber: Mais um motivo pra Mozilla contribuir pro OpenJDK e passar a recomendar o mesmo em detrimento da implementação da Oracle, explicando o problema. Num instante depois disso a Oracle se mexe e aplica a correção (saudades da Sun, nesse sentido).

    Tem dois tipos de pessoas: as que trabalham e as que reclamam. Se vc. passa a reclamar do vizinho ao invés de arregaçar as mangas, o conceito de código aberto perde o sentido.

    Em relação aos plugins, vc. está dizendo que se depender da Mozilla, voltamos à web da década de 80.

    Porfírio (usuário não registrado) em 30/09/2011 às 12:17 pm

    @Luiz, engano seu. A tecnologia applet foi atualizada pela Sun antes da sua “morte”, se transformando no “Java Plugin” (unificando a plataforma Java Web Start com os Applets).

    Vários sites o utilizam (embora não mais como um substituto mais pesado do flash), assim como muitos produtos que rodam em intranets. Além do mais, o “Java Plugin” é um stack chave para a tecnologia que a Oracle está promovendo em concorrência com HTML5 e Silverlight, a JavaFX.

    Se a Oracle não arrumar isso, tá comendo mosca. bem típico dela.

    Weber Jr. (usuário não registrado) em 30/09/2011 às 1:00 pm

    Porfírio

    “Mais um motivo pra Mozilla contribuir pro OpenJDK e passar a recomendar o mesmo em detrimento da implementação da Oracle, explicando o problema. Num instante depois disso a Oracle se mexe e aplica a correção (saudades da Sun, nesse sentido).

    Está no texto da notícia: “a Oracle não ofereceu nenhuma resposta sobre seus planos de corrigir a situação”

    “Se vc. passa a reclamar do vizinho ao invés de arregaçar as mangas, o conceito de código aberto perde o sentido.”

    Bonito, mas equivocado. Você pode reclamar do vizinho que deixa a piscina suja, criatório de mosquito, mas experimenta pular o muro e limpar, pode levar um tiro nas fuças e nem reclamar muito.

    “Em relação aos plugins, vc. está dizendo que se depender da Mozilla, voltamos à web da década de 80.”

    Vejo que não entende o conceito de plugin. Acha normal uma funcionalidade que virou padrão, tocar vídeo no browser, por exemplo, precisar de um componente extra, controlado por uma empresa apenas, adobe, que tem um suporte bem porco aliás, demorando também a corrigir e lançar versões novas.

    george (usuário não registrado) em 30/09/2011 às 4:00 pm

    Alternativas ao java: ruby, python, perl? E a parte gráfica? shoes???

    Porfírio (usuário não registrado) em 30/09/2011 às 4:29 pm

    @Weber, em primeiro lugar desce do pedestal e seja menos arrogante. Arrogância é pra quem pode e esse não é o seu caso.

    A Oracle não se pronunciou. Nunca neguei isso. O problema é que ela não precisa se pronunciar pra alguém se mexer. Isso porque o OpenJDK existe. Contribua com ele e vc. terá uma implementação que corrige o problema. Se a Oracle replicar, bom pra ela. Senão, dane-se ela.

    A Oracle não pode dar tiros em ninguém. O OpenJDK é um projeto sob a GPLv2 e ela não é a mantenedora atual. Ele está oficialmente aberto a contribuições.

    Finalmente, muitos padrões não são controlados por apenas uma empresa. VRML, por exemplo. No caso do java, ele é controlado por um consórcio de várias empresas, o JCP, e conta com implementações abertas e públicas de virtualmente todas as tecnologias correlatas, além do próprio OpenJDK em si.

    Conclusão: minha pergunta continua válida (porque sua argumentação não disse coisa alguma): Open Source, só da boca pra fora? Vamos trollar tecnologia alheia quando o código livre está disponível?

    Weber Jr. (usuário não registrado) em 30/09/2011 às 4:55 pm

    Porfírio

    “desce do pedestal e seja menos arrogante. Arrogância é pra quem pode e esse não é o seu caso.”

    Começou mal, xingando sem fundamento. Mas entendo, aproveitando para tirar a atenção.

    “A Oracle não se pronunciou. Nunca neguei isso.”

    Disse o ser informada a Oracle tomaria iniciativa. Desdizendo?

    “Isso porque o OpenJDK existe. Contribua com ele e vc. terá uma implementação que corrige o problema.”

    Você aqui parece um estagiário na 1ª semana de trabalho. Qualquer código gigante é complicado de trabalhar, dos outros é mais ainda.

    A mozilla já tem recursos escassos com o que ela QUER fazer, browser e afins. Vai gastar o que tem e o que não tem com algo completamente externo, totalmente fora do foco do seu trabalho. Uma tecnologia que cada dia se usa menos, applets java.

    “Se a Oracle replicar, bom pra ela. Senão, dane-se ela.”

    Ahan… Enquanto isso, o tal módulo de segurança do BB, que só roda com JVM da Sun, fica vulnerável?

    “Open Source, só da boca pra fora? Vamos trollar tecnologia alheia quando o código livre está disponível?”

    Não, a Mozilla está propondo uma solução prática e eficiente. Pouca gente usa, muita gente pode ser prejudicada pela vulnerabilidade, bloqueia até o responsável corrigir.

    Marcos (usuário não registrado) em 30/09/2011 às 6:06 pm

    “Tem dois tipos de pessoas: as que trabalham e as que reclamam” [2]

    Porfírio (usuário não registrado) em 30/09/2011 às 7:28 pm

    @Weber:

    Continua arrogante. Não combina com você. Seus argumentos carecem da consistência necessária para justificar essa atitude.

    Oracle “após ser informada”, não. Leia o comentário novamente. “Após ver a correção feita por outrem”. Não preciso desdizer nada.

    Se vc. aponta uma falha de segurança em um “código gigante” vc. é capaz de encontrar o ponto onde o problema está. Trabalho lendo logs, emitindo diagnósticos e fazendo patches em códigos “gigantes” escritos por outras pessoas, todos os dias.

    Recursos escassos, blah, blah. Se não vai consertar, não trolla. Se não tem recursos, pede ajuda. Ao mantenedor do projeto aberto em questão, por exemplo. Bater pezinho e reclamar não faz parte da filosofia livre.

    Se o applet do BB exige o Hotspot da Oracle (só pode acontecer se for usado algum pacote proprietário que não faça parte da API padrão), o problema é do BB, que criou um aplicativo incompatível com a especificação e boas práticas em Java. Aconselho que, em caso de ser cliente, reclame nas vias competentes.

    A Mozilla está dando um jeito da adoção de seu aplicativo seja reduzida ainda mais, bloqueando um recurso com muitos usuários, em vários nichos. Users que acessam facebook, postam fotos do próprio cachorro no blogspot e vêem o BigBrother podem não ser muito impactados. Power Users serão. Clientes que usam navegadores em ambientes corporativos (como eu) serão.

    Ok, sempre restará o Chromium. Afinal, ele é melhor mesmo.

    nou ior mmi (usuário não registrado) em 30/09/2011 às 7:49 pm

    É verdade que tem antivírus por aí detectando o Chrome como trojan (Win32/Zbot), pegando senha dos usuários?

    http://isc.sans.edu/diary/Microsoft+Security+Essentials+Mis-identifes+Chrome/11701

    romulo (usuário não registrado) em 1/10/2011 às 1:04 am

    Java já morreu amiguinhos, ninguém em sã conciência vai contribuir para o OpenJDK porque ele é um projeto de aberto só tem o nome. Não que essa falha tenha condenado o Java, o Java tem passado por momentos muito tristes já faz um bom tempo, várias decisões ruins foram tomadas e a compra da sun pela Oracle contribuiu com vários pregos no caixão deixando bem claro que o Java é tecnologia proprietária dela e que a comunidade deve se conter em comer as migalhas que ela decidir deixar cair ao chão.

    Alfred (usuário não registrado) em 1/10/2011 às 1:26 am

    Normalmente eu não utilizo java… felizmente… Mesmo porque o Banco do Brasil é bem perto de casa que moro e fica mais rápido enfrentar a fila do banco pra resolver algum problema… Acredito que java e C# ou Mono se preferirem estão muito iguais…problemas e falta de soluções para quem necessita de suas virtudes… (off) acho que C/C++ ou python ou qualquer outra menos “burocrática” continua sendo a solução para quase todos os nossos problemas… O problema é realmente a linguagem em que é escrita…

    André Luiz (usuário não registrado) em 1/10/2011 às 7:14 am

    Conheço muitas empresas que fizeram, e ainda fazem, muito dinheiro com Java independente de ser livre ou não, de ser Oracle ou Sun, pelo simples fato de ser o que seus clientes querem(quem mantém o legado?). Para eles a plataforma nunca esteve morta e “ideologia nunca pagou a conta”.
    Mas se segurança for problema, a coisa muda…

    spif (usuário não registrado) em 1/10/2011 às 8:57 am

    Vou te contar… poucas vezes ví um alguém tão leigo sobre algo que jura conhecer bem quanto o Porfírio. Ainda acusa o Weber Jr. de Arrogância.

    “Em relação aos plugins, vc. está dizendo que se depender da Mozilla, voltamos à web da década de 80.”

    A Web, que você desconhece grandemente, foi criada para ser utilizada em qualquer sistema. A idéia de plugin é uma aberração que foi criada durante a primeira guerra dos browsers, juntamente com outras aberrações, para forçar os usuários a estarem presos à um navegador, sistema ou plataforma. Plugins são para a Web o que o “Incredimail” era para o e-mail.

    Weber Jr. (usuário não registrado) em 1/10/2011 às 10:59 am

    Porfírio
    “Continua arrogante. Não combina com você.”

    Quanto mais você tentar me desqualificar, mais fica na obrigação de passar a usar uma argumentação decente.

    ‘Oracle “após ser informada”, não. Leia o comentário novamente. “Após ver a correção feita por outrem”. Não preciso desdizer nada.’

    Ah, tem razão, a frase foi diferente, e só piora conforme continua…

    ‘Se vc. aponta uma falha de segurança em um “código gigante” vc. é capaz de encontrar o ponto onde o problema está.’

    E volta ao ponto… Você acha que a Mozilla vai saber fazer melhor que um sujeito que trabalha o dia inteiro no código que é dono e responsável.

    Indo além: E quem disse que olharam ou precisam olhar o código para achar um defeito? Tanto é assim que todo dia alguém acha uma vulnerabilidade em software proprietário.

    ‘Trabalho lendo logs, emitindo diagnósticos e fazendo patches em códigos “gigantes” escritos por outras pessoas, todos os dias.’

    Se é como você diz, então trabalha todos os dias, logo, está habituado. Se eu te passar um código gigante hoje, que você nunca viu, em uma semana talvez, já corrigiu tudo? Seja a linguagem que for, ou a padronização de nomenclatura e disposição de arquivos que for ?

    ‘Se não vai consertar, não trolla.’

    Ah, achei uma falha de segurança, devo omitir porque o Porfírio assim quer, ao invés de avisar o responsável e meu público alvo que poderá ser prejudicado. Maduro.

    ‘Recursos escassos, blah, blah.’ … ‘Se não tem recursos, pede ajuda.’

    Se tem, e se não tem é bla bla bla ou fica quieto? Até dentro da sua própria lógica a coisa fica confusa.

    “A Mozilla está dando um jeito da adoção de seu aplicativo seja reduzida ainda mais, bloqueando um recurso com muitos usuários, em vários nichos. …”

    Bá, agora passou a teoria da conspiração, e das bem elaboradas. hehe

    Porfírio, digamos que a Mozilla siga seu conselho “profissional” de fazer o patch para OpenJDK. Enquanto a Oracle não “se inspirar no patch feito”, o que a mozilla faz em relação a JVM da Sun?

    Deixa vulnerável ou bloqueia ?

    Claro, se disser que devem bloquear, todos seus comentários até agora perdem o sentido.

    Marcos (usuário não registrado) em 1/10/2011 às 11:56 am

    @Weber Jr., se for levar seus comentários a sério, não há vantagem nenhuma no software livre, já que você não pode colaborar porque tem de ser obrigação de uma pessoa só.

    @Romulo, o Java apesar da torcida de muitos, continua crescendo tanto em mercado quanto em faturamento e lucro. Ele deu um estagnada na época da Sun, que ficou quase 6 anos sem atualizar a JVM e a linguagem, mas agora retomou a caminhada e a plataforma está tirando o atraso em relação ao .NET

    O desenvolvimento futuro vem na direção oposta ou que você falou: a JSR 348 que foi aprovada recentemente deixa o desenvolvimento e decisões do Java mais aberto, e assim que votarem a JSR 350 então, acaba o mimimi. Pra quem não acompanha, a JSR348 define que qualquer decisão sobre os rumos da plataforma e linguagem devem ser feitas em listas públicas e votadas. O JavaFX, por exemplo, a Sun criou na surdina e incorporou atropelando o JCP. E a JSR350 vai acabar, entre outras coisas, com o polêmico poder de veto que a empresa detentora (hoje Oracle) possui, além de flexibilizar as eleições para membros e outras coisas menores que faz anos o pessoal pedia.

    Outra mudança grande é que a implementação de referência hoje já é o openJDK que é GPLv2.

    Weber Jr. (usuário não registrado) em 1/10/2011 às 2:42 pm

    Marcos

    “@Weber Jr., se for levar seus comentários a sério, não há vantagem nenhuma no software livre, já que você não pode colaborar porque tem de ser obrigação de uma pessoa só. ”

    Forçou nessa interpretação de “uma pessoa só”.

    O que me refiro é que um responsável, seja pessoa física, jurídica ou comunidade (um coletivo), é muito mais apto a resolver um problema em tempo hábil que o sujeito parar seu trabalho ou alocar colaborador para começar a fuçar projeto alheio, no caso o OpenJDK.

    Inviável é o conceito absurdo e frequentemente explicado de que único modo de cooperar com projeto de software é simplesmente desenvolver.

    Quem passa debugando o comportamento (sem olhar código no caso) ou reportando em um bugzilla da vida ou mesmo traduzindo documentação para mim não merece ser chamado de chorão que não ajuda.

    Arnaldo Coelho (usuário não registrado) em 1/10/2011 às 9:36 pm

    “Qual seria a alternativa mais segura que o Java, para Home Banking, por exemplo?”

    Como assim? Não entendi qual segurança o Java adiciona ao Home Banking. Hoje o Banco do Brasil só usa Java para realizar identificação de computadores, algo que é de conhecimento público que é facilmente burlável.

    Renyer (usuário não registrado) em 2/10/2011 às 12:03 am

    Morte à Oracle!

    Ronaldo Arruda (usuário não registrado) em 2/10/2011 às 9:03 pm

    Bem que poderiam deixar claro que o problema não é o Java em si, mas um dos seus empregos mais primitivos que é o uso de Applets. O pior é ver um monte de imbecis falando mal do Java sem se quer saber a diferença entre JSE e JEE. Java é e vai continuar sendo a tecnologia mais usada no mundo, principalmente rodando em servidores de aplicação. O que não tem nada a ver com a necessidade do uso de plugin no navegador. Antes de trollarem, vão estudar, bando de ignorantes.

    tux (usuário não registrado) em 2/10/2011 às 10:41 pm

    @marcos
    pergunta que não quer calar?
    quantos que a Oracle está pagando a você.

    @lucasmcastro (usuário não registrado) em 3/10/2011 às 10:18 pm

    quanta improdutividade nos comentários aqui hein.

    Sinceramente tanto faz se desabilitarem ou se a oracle corrigir. Oq não pode é ficar sem correção e disponível.

    Qto ao banco do brasil acho que tem dinheiro o suficiente pra refazer o módulo de internet banking dele.

    Daniel (usuário não registrado) em 4/10/2011 às 10:24 am

    Galera, isso só se refere a applets. Seria até bom desabilitar pois essa tecnologia já está ultrapassada. Citar abandono do “Java” como plataforma é um grande exagero…

Este post é antigo (2011-09-30) e foi arquivado. O envio de novos comentários a este post já expirou.