Usuários devem se livrar do Java com urgência, diz especialista
Imagino que o nome da empresa do especialista em questão no título deste post poderia causar alguma rejeição, mas no que se refere ao plugin do navegador, adiro à recomendação dele (que trabalha na Microsoft), mesmo tendo vindo de uma fonte com a qual de modo geral tenho mais discordâncias do que congruências.
A recomendação dele (que não se limita às plataformas da empresa que ele representa, e que tenho visto ser apresentada também para usuários de outras) é simples, e na minha opinião vale também para outros plugins de navegador anteriormente tidos como quase indispensáveis: manter o JRE desabilitado quando possível, atualizá-lo, e desinstalá-lo se não estiver em uso.
No meu caso pessoal, infelizmente não é possível desinstalá-lo em todas as máquinas, pois ainda enfrento situações de dependência para acessar serviços que preciso usar. Mas, por mais que a tecnologia Java em si não seja a culpada, tenho visto exemplos de ataques (inclusive contra Linux) perpetrados por meio de vulnerabilidades no JRE ou pelas circunstâncias relacionadas à sua atualização, e em vista disso tenho tido bastante sucesso em viver com o JRE desabilitado e inacessível durante a maior parte do tempo.
Torço para que este elemento adicional deixe de ser necessário no meu uso prático futuro, e que os desenvolvedores e outros interessados possam logo contar com mecanismos de segurança que garantam cada vez mais, e na prática, a paz de espírito dos usuários de seus sistemas em Java.
Segue o trecho da ComputerWorld.
De acordo com pesquisadores, a linguagem Java, usada em todos os sistemas operacionais, é um perigo crescente à segurança dos dados.
Na semana passada, o pesquisador Matt Oh, do Microsoft Malware Protection Center, postou um artigo no TechNet sobre como se proteger de malware baseado em Java. Para enfatizar o ponto, ele deu uma palestra na Black Hat 2012, no mesmo dia, dizendo que a situação com o Java está se deteriorando – e não apenas no Windows.
“Vemos mais e mais vulnerabilidades Java exploradas livremente… uma vulnerabilidade Java pode levar a ataques em várias plataformas”, disse Oh.
O principal ponto de preocupação são violações da sandbox (método para executar aplicações protegendo o SO). Se os autores de malware podem escapar da sandbox do Java/JRE, podem assumir o controle de um sistema, seja Windows, Mac OS X, ou Unix.
@brlinuxblog
Feed RSS
Não li o artigo original pois no momento não posso, por isso gostaria de perguntar, será que essas vulnerabilidades se estendem à OpenJDK?
Grato
Me revolta é as faculdades ensinarem programar em Java, se esta linguagem esteja tão problemática em questão de segurança.
@Lucas
O que voce recomenda? .NET ?
E como fica o Android? &;-D
@Lucas
Me revolta é faculdades ensiarem a programar em Java ao invés de ensinar a programar. :)
@Bozo
C++ seria perfeito… so usamos isso na empresa em que trabalho e tem pouca gente que sabe, as vezes aparece gente que sabe C e pensa que C++ é a mesma coisa ahehaeheahe, progamadores javas que entraram aqui foram uma decepção, já nem estão mais aqui e agora já é considerado um ponto negativo ter java no curriculo para entrar aqui…
@Ednei,
O problema, pelo artigo, não está na linguagem Java em si, mas na JRE que é o ambiente onde ela é executada.
O Android usa outro ambiente para rodar (Dalvik) e portanto os problemas lá seriam diferentes.
@Jeremias,
OpenJDK usa a mesma base de código que o JRE. Tanto que o plano da Sun (pelo menos antes de ser comprada, agora não sei) era deixar de existir o JRE com licença proprietária e passar a ter só o OpenJDK.
Ou seja, é praticamente certeza que qualquer vulnerabilidade que for encontrada no JRE proprietário estará presente também no OpenJDK.
O problema é que tem sido encontradas falhas de segurança com muita frequência no JRE, e isso indica que ela não foi implementada de forma muito cuidadosa e que provavelmente tem muitas falhas que estão lá mas não foram encontradas ainda.
Como applets Java são muito pouco usadas na Web moderna, a recomendação tem sido desabilitar o Java do navegador para evitar a exploração de quaisquer exploits 0day direcionados ao Java. Praticamente só quem usa applets Java hoje são bancos, que por algum motivo estranho acham que elas tornam o acesso mais seguro (quando é justamente o contrário).
Gostaria muito que Banco do Brasil, ao invés de gastar dinheiro alterando a interface, atualizasse sua solução de segurança para não exigir mais Java.
@André Moraes Boa :)
@Luiz C++ não sei quanto a linguagem …acho que as faculdades ainda se focam em formar uma galera voltada a uma plataforma especifica (JEE ou .NET) pois é onde existe mais demanda no mercado(posso estar enganado, mas é o que eu percebo).
Plugin Java é o novo Flash…
O problema dos bancos é que não existe outra forma de fazer o que eles querem de forma “multi plataforma” sem usar java. Ou algúem aqui prefere que eles te obriguem a usar o IE no Windows ou uma versão desatualizada do firefox? Acham mesmo que eles fariam versões dos seus “guardiões” para Linux, FreeBSD e afins?
É complicado, e acho que mais certo seria tornar o plugin do java mais seguro.
Creio que agora os bancos vão se movimentar pra tirar o Java dos seus Internet Bankings. Já não era sem tempo!
Leiam o artigo antes de falar besteira.
dica: plugin + navegador
@Bozo
Eu até entendo, mas deveriam ensinar mais a programar corretamente antes de ensinar qualquer linguagem, o melhor seria cada um escolher a que quer contanto que seja possivel implementar o que foi pedido na disciplina, a minha faculdade tambem é java, eles zeram os meus exercicios por entregar em C++ =/, não é por isso que foi parar de entregar em C++, eu cumpri o objetivo, de aprender a fazer o que foi pedido…
João Marcelo
“Gostaria muito que Banco do Brasil, ao invés de gastar dinheiro alterando a interface, atualizasse sua solução de segurança para não exigir mais Java.”
O banco do brasil não pode, tem prioridades maiores, como ficar fazendo versão Iphone.
E começou com isso quando o iPhone era um hype novo. Ou seja, banco público se prestando ao elitismo puro.
O fato é que essa flame war sempre vai existir: Linguagem X é melhor que Y.
Cada linguagem tem seu propósito. cada uma tem a situação em que melhor é utilizada, não podemos utilizar java ou ruby para desenvolver um firmware de dispositivo embarcado. Assim como não podemos escrever um site todo de e-commerce como o submarino ou saraiva utilizando C Standard. Por fim cada linguagem tem seu propósito.
Na verdade o que acontece é uma mistura de ideias. Sim o java está com falhas de seguranças. Assim como o windows ou o mac ou o linux tem seus próprios problemas. Se é para desabilitar o que é utilizado por problemas de segurança, deveria remover o windows de todos os computadores em que ele está instalado. Notavelmente ele é a maior fonte de insegurança no mundo, já que ocupa uma fatia de uns 90% do mercado (O mercado de antivírus sabe bem disso). E nem sempre usuários finais (leitos?!) sabem lidar com problemas como estes ou identificar uma invasão ou coisa parecida.
Ao meu ver essa foi uma brecha que o pessoal da microsoft (com seu .NET) achou para atacar seu principal concorrente. Estamos cansados de ver falhas de segurança no windows. E ninguém diz, “Remova ele!”.
A questão é que não existe ainda um sistema perfeito, cada um tem suas particularidades e possivelmente falhas. Não importa qual você escolha.
CORREÇÃO
(leitos?!) -> (leigos?!)
Argumentos super vazios. Pra fazer um post desse porte tem que ter bons argumentos, e pra mim, os citados são bem fracos.
Se foi reconhecido que “que o nome da empresa do especialista em questão no título deste post poderia causar alguma rejeição”…
Porque o nome da empresa do especialista em questão não foi citado e deixado claro já no título da notícia?
Francamente, sem mais.
Porque, mesmo tendo conhecimento do fenômeno, acho que não se deve rejeitar ter conhecimento da recomendação antes de ler o argumento, baseando-se em ter visto o nome da empresa na qual o autor do mesmo trabalha.
Ao mesmo tempo, não acho que deveria oferecer o conteúdo sem fazer a ressalva, sabendo que a empresa em questão pode causar rejeição.
> Francamente, sem mais.
Isso sim seria uma novidade.
Por que ele não recomenda que se use o Windows somente em casos de necessidade e depois desinstale quando não for mais usar? Tem muitos problemas de segurança também… :)
Agora falando sério: acho que é um problema da implementação JRE e não da tecnologia/plataforma em geral. Para mim o que precisa ser feito é uma pressão para a melhoria da mesma no quesito de segurança. Além disso, existem várias implementações da JVM, então talvez isso não se aplique a todas. MAS, concordo que algo tem que ser feito.
Enfim, ler algo tão radical vindo da Microsoft para os usuários, sobre uma tecnologia concorrente ao .NET, só me faz pensar em FUD (Fear, uncertainty and doubt).
Tem um pessoal aí confundindo JVM com linguagem. Esses exploits que tem surgido pra JVM são pra versões antigas, as correções para esses problemas são liberadas constantemente. Quem não atualiza (especialmente empresas/bancos/usuários leigos) realmente vai sofrer com esses exploits. A questão é que a esmagadora maioria das linguagens modernas utilizam uma máquina virtual para poder executar (python, ruby, groovy, scala, etc…) e sem isso não tem como ter inúmeros benefícios que elas possuem, especialmente a questão “Right Once, Run Everywhere”. Para aqueles que dizem que devemos voltar a escrever aplicativos dependente de plataformas físicas, o problema de exploits vai continuar existindo. Aposto que ninguém aqui fala que devemos parar de usar criptografia quando descobre-se meios de quebrar um código.
fui programador e arquiteto java e gostaria de esclarecer alguns malentendidos:
-OpenJDK tem a mesma base de código que o JRE
Não, caso isso fosse verdade, ele não seria Open. Ele mantém as mesmas assinaturas e interfaces, mas o código que as implementa é (ou deveria ser) diferente.
-O Java é inseguro
O que foi apontado é que o plugin de browser do Java tem vulnerabilidades de segurança, então se vc navega em sites que usam Applets Java vc pode estar em risco.
Applets Java foram moda nos anos 90, hoje em dia é raro encontrar um que usa e quando é o caso, o navegador te avisa que ele está tentando rodar o plugin Java, se isso acontecer em um banco, vc sabe que é a solução de segurança deles, se isso acontecer no fórum do zezinho é só não autorizar a execução.
A menos que vc esteja usando o IE5 ou inferior não tem applet rodando invisível, sem te avisar e pedir a sua benção antes.
Pedir para tirar o JRE também vai afetar aplicativos Java client sided (tá certo que não são muito comuns, mas existem), basta desabilitar o plugin do browser.
isso me cheira a FUD da Microsoft para vender o silverlight.
um adendo:
A “obfuscação de código” citada também é possível ser feita no .NET, e eu que não deva ser considerada um problema. Ela dificulta a engenharia reversa de programas, sendo eles malwares ou programas de segurança, missão crítica, etc.
Além disso, todo virus/malware/whatever explora uma falha em algum sistema, então, em minha opinião, a solução não é identificar programas que exploram falhas (como os antivirus fazem), e sim ter um processo de correção e atualização de sistemas que seja eficiente.
Desenvolvedores que estão comentando, o que vcs acham?
Sou desenvolvedor java. Vivo disso! Não recomendo java como primeira linguagem de programção. Na realidade se o mercado não exigisse tanto Java, eu não programaria em java e sim em Ruby ou Python! Odeio o plugin java WEB!
Concordo plenamente. Um plugin ou outra implementação do JRE que contasse com um método de atualização mais eficaz em casos de uso que percebo como comuns mitigaria suficientemente o problema, na minha opinião.
Se pensar realmente por segurança, é melhor não usar WINDOWS também…
Uma série de links sobre como desabilitar plug-ins nos navegadores:
http://support.mozilla.org/en-US/kb/disable-or-remove-add-ons
https://support.google.com/chrome/bin/answer.py?hl=en&answer=142064
http://windows.microsoft.com/is-IS/windows7/How-to-manage-add-ons-in-Internet-Explorer-9
http://support.apple.com/kb/HT5241
Sera q ele recomenda tds desinstalarem o Windows por causa das falhas d seguranca tb? Q papinho mais conversa pra boi dormir…
Já que foram citados alguns internet bankings, considero o do Bradesco um dos melhores. Consigo acessá-lo sem a necessidade de plugins java e através do tablet Android na versão full do site e não naquele modo voltado mais simples.
*naquele modo mais simples voltado para acesso móvel
Software proprietário tem grande chance de trazer complicações em qualquer sentido… não poderia ser diferente com o plugin do Java para navegadores…
Mas em um sentido geral, eu gosto da linguagem Java… é um boa linguagem…
Muitas vezes o problema não é com a linguagem e sim com códigos mal escritos por programadores com pouco conhecimento. C/C++ não estão livres de problemas..
O maior risco dos applets java é o fato de darem poder demais ao programador em cima da máquina cliente, neste sentido qualquer outra tecnologia como Silverlight/.Net e Flash/Flex causam o mesmo efeito.
Mas com relação ao ClassLoader isso só poderá ser afetado em caso da classe ainda não ter sido inicializada estaticamente, significa que caso a classe já tenha sida chamada no ClassLoader então mesmo que eu substitua a classe por outra não poderei aproveitar dessa falha, o que significa que a classe em questão precisa ser substituída por outra (no caso de um arquivo .class no mesmo caminho de diretório) antes de ser inicializada pelo ClassLoader.
Neste sentido até o .Net pode sofrer do mesmo problema.