Vídeo: OCA/OCP сертификация по Java. Мое мнение (De novembre 2024)
A la vista de les vulnerabilitats recents trobades a Java i les preocupacions constants sobre la seguretat general de la tecnologia, Oracle ha promès, de nou, que solucionarà els problemes.
Oracle ja ha fet alguns canvis a Java i està treballant en noves iniciatives per millorar la seguretat, va escriure divendres Nandini Ramani, cap de desenvolupament de Java a Oracle, en una publicació al bloc. Després d'una sèrie d'atacs basats en webs de gran perfil dirigits a empleats de diverses indústries, Orace es va comprometre a abordar els problemes subjacents en l'entorn de diverses plataformes.
Dues de les modificacions exposades a la publicació de Ramani, incloses les actualitzacions del model de seguretat de la miniaplicació i el comportament predeterminat del connector Java, ja estan disponibles. Actualment, es desenvolupen altres canvis, com ara que les aplicacions de Java gestionen els certificats revocats, la implementació de polítiques de seguretat locals per crear regles personalitzades i la restricció de les biblioteques disponibles per a aplicacions del servidor. Ramani no va indicar quan estarien disponibles aquestes actualitzacions.
Què passa amb la caixa de sorra?
"En general, això és bo per a Java, però aquests canvis no solucionen el problema subjacent amb la caixa de sorra de Java mateixa", va dir HD Moore, cap de recerca de Rapid7 i creador del marc de proves de penetració Metasploit. correu electrònic a SecurityWatch.
El sandbox de Java és una àrea protegida on s'executen aplicacions, independent del sistema subjacent. Se suposa que la caixa de sorra atrapa executables maliciosos abans que es facin càrrec dels processos en execució de la màquina o segrest. Tot i això, els atacants han explotat amb èxit diverses vulnerabilitats per obviar la caixa de sorra de Java.
"Fins que Oracle implementi una caixa de sorra a nivell de procés, com la que fan servir Adobe Reader i Google Chrome, un applet maliciós amb signatura vàlida encara pot abusar dels defectes de seguretat JRE per escapar de la caixa de sorra i comprometre el sistema", va dir Moore.
Els canvis fins ara
Oracle ha actualitzat recentment el model de seguretat per tal que els usuaris puguin executar applets signats sense concedir privilegis addicionals i bloquejar l'execució de applets no signats. Això significa que només signar una miniaplicació ja no dóna automàticament al programa la possibilitat de sortir de la caixa de sorra.
"Això és bo per a la seguretat", va dir Moore.
Una altra cosa bona és el fet que la configuració de seguretat de plug-in per defecte ara impedeix executar applets no signats o autofirmats. Moore ha indicat que aquest canvi permet fer llistes llistes de llocs web específics i gestionar de forma central les polítiques de seguretat Java a l'empresa.
I Ben aviat...
Actualment, Java és compatible amb les llistes de revocació de certificats (CRL) i el protocol d’estat de certificats en línia (OCSP) per verificar si un certificat signat encara és vàlid. No obstant això, atès que la comprovació no es realitza de manera predeterminada, fins i tot si s'hagués revocat un certificat, els atacants podrien seguir utilitzant aquesta mala certificació. Oracle planeja una actualització que permeti la comprovació per defecte.
La propera política de seguretat local proporciona als administradors un control addicional sobre la configuració de la política, com ara deixar que els administradors del sistema defineixin quins ordinadors executen applets Java i quins equips no poden.
Tot i que tots els assajos recents de Java van afectar els applets que s’executen al navegador web, Oracle també està explorant maneres d’assegurar-se que les aplicacions del servidor segueixen segures. Un canvi seria eliminar algunes biblioteques que no són necessàries al costat del servidor per reduir la superfície d’atac.
Nova agenda per a les actualitzacions
Oracle també actualitzarà Java una mica més sovint. Actualment, Java s’actualitza tres vegades a l’any, seguint una planificació d’actualització separada de la resta de productes d’Oracle. Ramani va indicar que l'actualització trimestral de pegats crítics inclourà les solucions Java. Oracle encara publicarà actualitzacions d’emergència, "fora de banda", quan sigui necessari.
Tenint en compte que la CPU ja fa un esforç intensiu en els temps per als administradors, afegint Java a la barreja només suposa una actualització encara més important. D’altra banda, significa que els administradors no han de recordar la programació d’actualització separada de Java.