» »

Previdno z Javo (spet)

Previdno z Javo (spet)

Oraclov šef Larry Ellison predava o inovativnosti.

PoC (proof-of-concept) exploit je že na voljo, in po dobri stari tradiciji v dokaz preboja iz brskalniškega peskovnika požene calc.exe.

Slashdot - Vse, kaže, da imamo pred sabo ponovitev lanske situacije - zanesljiv, ponovljiv, avtomatiziran 0-day exploitable napad zoper zadnjo različico Oraclove Jave - takega, ki omogoča prevzem nadzora nad uporabnikovim računalnikom že z obiskom okužene spletne strani, brez vprašanj za ali vedenja od uporabnika - ter seveda šlampast odziv Oracla, ki naj bi za napako vedel že od pomladi, vendar je še zdaj ni uredil.

Exploit izkorišča napako v izvedbi peskovnika (sandbox) za javanske applete, tj. svojčas še kar popularen način za pisanje interaktivnih spletnih aplikacij, ki sta ga do danes skoraj v celoti zamenjala najprej Flash in zdaj HTML5. Takšnale koda s pomočjo Reflectiona in slabo spisanega internega razreda sun.awt.SunToolkit preprosto izklopi brskalniški security manager, nakar se lahko mirno izvaja kot vsaka namizna aplikacija, z vsemi pravicami, ki jih pač ima trenutni uporabnik (ne nujno administracijskimi, sicer). Omenjena napaka je prisotna v vseh namestitvah Jave 7 (v starejših bojda ne), tudi če ima uporabnik nameščene zadnje popravke. Še huje, minulo nedeljo je bilo potrjeno, da obstaja aktivni exploit, ki je tudi že našel svojo pot v komercialni toolkit BlackHole, pomenujoč, da je na voljo vladam in profesionalnim tatovom za široko uporabo. Do srede so našli že več ducat spletnih strani, namenjenih izkoriščanju te napake, ter nameščanju trojanca PoisonIvy.

Pa Oracle? Poljski varnostni raziskovalci Security Explorations pravijo, da so jim omenjeno napako, skupaj še z 17 drugimi, prijavili že v začetku letošnjega aprila. Časa za popravek je tako bilo več kot dovolj, sploh glede na resnost stvari. A Oracle očitno ni trznil, vsaj ne, dokler ni zgodba prišla v širše medije. V petek so tako izdali zasilni popravek (redni prihajajo vsak poltretji mesec, naslednji šele oktobra), vendar ta po poročilih Poljakov pač problema ne rešuje v celoti. Kodo exploita je sicer treba nekoliko spremeniti, vendar potem še vedno deluje.

Čakanje in negotovost se tako nadaljujeta. Več varnostnih strokovnjakov je zato že pozvalo k odstranitvi Jave s sistema, če ni ravno nujno potrebna. Stališču se pridružuje tudi Mozilla.

Pri tem je treba povedati, da napake se in se vedno bodo godile; kar zares skrbi, je to, da Oracle tako počasi reagira na njih. Vest o tej konkretno luknji so zasebno (ti. white hat pristop) dobili že aprila, kar bi jim moralo dati dovolj časa, da jo zakrpajo. Ker tega niso bili pripravljeni storiti, se je varnostna skupnost odločila za polno javno objavo (full disclosura, aka. grey oz. black hat pristop), skupaj s podrobnostmi in primeri v delujoči java kodi. Morda se zdi, da to samo še pomaga pri širjenju zlorab, vendar je to pač edini način, da se stvari premaknejo v pravo smer. Alternativno bi skupnost sicer lahko molčala, vendar bi potem za napako vedeli samo zlikovci, uporabniki pa ne.

74 komentarjev

«
1
2

offline ::

Mavrik ::

Čakanje in negotovost se tako nadaljujeta. Več varnostnih strokovnjakov je zato že pozvalo k odstranitvi Jave s sistema, če ni ravno nujno potrebna. Stališču se pridružuje tudi Mozilla.


Namesto take neumnosti lahko seveda preprosto samo izklopiš plugin v brskalniku, namizne aplikacije pa veselo poganjaš še dalje.
The truth is rarely pure and never simple.

jlpktnst ::

Ok, kako naj izklopim plugin, any help?


opera:plugins


Evo, dobro da sem najdu to, much useful.

Zgodovina sprememb…

  • spremenil: jlpktnst ()

korenje3 ::

a dela na chrome?
i9-12900k; 32GB DDR5-6000 CL36; Nvidia RTX 3080 ti;
Gigabyte Aorus z690 master; Be Quiet Dark Power 12 1000W

Migelo ::

Seveda.

RejZoR ::

Resno, razen za igranje Minecrafta v real lajfu ne rabiš Jave... Sam sem že več let brez Jave, vmes sem jo naložil zgolj in samo zaradi prej omenjene igre.
Angry Sheep Blog @ www.rejzor.com

jlpktnst ::

Tisto domnevam da je chrome:plugins? :D nimam ga gor od 5 let nazaj ko mi je pc crashal enkrat po silent auto-updatu.... tako da ne morem preverit.

Jah nevem, slabo reklamo si delajo s tem. Že itak jih občasno tepe adoption rate. Men je škoda jave ker je res zanimiv jezik za programirat, ampak ima ene par takih glaring pomanjkljivosti.

Silck ::

Jave sploh nimam inštalirane, ker je ne rabim. Pa edina stvar za katero sem opazil, da zaradi tega ne dela je chat (ki ga tudi ne rabim) na enem travniku.

Lp

Tear_DR0P ::

RejZoR je izjavil:

Resno, razen za igranje Minecrafta v real lajfu ne rabiš Jave... Sam sem že več let brez Jave, vmes sem jo naložil zgolj in samo zaradi prej omenjene igre.

super da v svojem življenju ne potrebuješ Jave, ampak nekaj ljudi (velik del enterprise sveta) jo pa očitno potrebuje
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

offline ::

Ja enterprise namizne/strežniške aplikacije ja, sam še zmeraj kaj rabiš met zdej javo v browserju. To je isto kot tisti neuspeli microsoftov poskus C# v browserju(silverlight). Isto je s flashom. Pač zdej sta HTML5 in javascript tok razvita, da so vse abstrakcije odveč in brezveze. Se strinjam, da javascript ni lep jezik, sam pač tko mamo.

Tear_DR0P je izjavil:

RejZoR je izjavil:

Resno, razen za igranje Minecrafta v real lajfu ne rabiš Jave... Sam sem že več let brez Jave, vmes sem jo naložil zgolj in samo zaradi prej omenjene igre.

super da v svojem življenju ne potrebuješ Jave, ampak nekaj ljudi (velik del enterprise sveta) jo pa očitno potrebuje

Zgodovina sprememb…

  • spremenilo: offline ()

technolog ::

Jaz imam Javo onemogočno kot browser plugin. Že par let tako, se mi zdi.

techfreak :) ::

Na Chrome moraš tako privzeto omogočiti zagon vsakega Java appleta.

jlpktnst ::

Aha, smart.

DRugače pa glede html5, le-ta še zdaleč ni dovolj zrel. Ena čisto preprosta reč: pokaži mi stran ki omogoča streamat z mojega webcama prek html5? Je ni. Še specifikacije ni!

denial ::

[..] A Oracle očitno ni trznil, vsaj ne, dokler ni zgodba prišla v širše medije. [..]
Oracle's REAL response to the latest Java 0-day:


PoC (proof-of-concept) exploit je že na voljo, in po dobri stari tradiciji v dokaz preboja iz brskalniškega peskovnika požene calc.exe.
Possible mitigation: disable calc.exe :)
SELECT finger FROM hand WHERE id=3;

linuxdady ::

Praktično vse spletne banke uporabljajo javo.

techfreak :) ::

@linuxdady: Kaj so ukinili ActiveX/.NET, da rabijo Javo?:))

Zgodovina sprememb…

technolog ::

linuxdady je izjavil:

Praktično vse spletne banke uporabljajo javo.


Na strežnikih. Tam vendar ne tečejo java appleti.

Kakor jaz razumem je problem preboja, da depriviligiran web applet dobi pravice userja.

drola ::

Klik uporablja Java applet in isto e-uprava, kadar ni na voljo ActiveX in je potrebno podpisat kak dokument s certifikatom.
https://drola.si

technolog ::

Ja, pač omogočiš java applet ko hočeš it na banko.

Grumf ::

Zanimivo kako stare pesmi postanejo spet aktualne...



In problem 0day napače, ni v tem da je patch že zunaj, problem je, da nasledjih 10 let
ne bodo popatchane vse mašine. Tako kot se java sestavljalci kode zanašajo na znanje drugih,
tako se tudi zanašajo na NEZNANJE drugih, seveda pa razlike ne bodo doumeli, nikoli niso
pridobili dovolj znanja da bi razumeli.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

Grumf ::

Aja pozabil sem pripomnit, da luknjica dela na vseh operacijskih sistemih :)):)):))
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Mavrik ::

In zelo očitno si s sebe naredil idiota, ker tvoj post kaže da nimaš pojma o čem se sploh pri napaki gre.
The truth is rarely pure and never simple.

stb ::

jlpktnst je izjavil:

DRugače pa glede html5, le-ta še zdaleč ni dovolj zrel. Ena čisto preprosta reč: pokaži mi stran ki omogoča streamat z mojega webcama prek html5? Je ni. Še specifikacije ni!
WebRTC se počasi standardizira.

Grumf je izjavil:

Aja pozabil sem pripomnit, da luknjica dela na vseh operacijskih sistemih :)):)):))
To ni bug, ampak fičr Write once, run anywhere v akciji! :D

Grumf ::

Mavrik je izjavil:

In zelo očitno si s sebe naredil idiota, ker tvoj post kaže da nimaš pojma o čem se sploh pri napaki gre.


Res? Uporaba reflectiona, da samemu sebi spremeniš security token? Sem kaj narobe razumel? Morda misliš, da
to da delaš svoje buge (tudi security) namesto da žreš g* frameworka nima nobene veze pri zadevi? In morda to,
da vsi uporabniki ne bodo poupdatali jre še naslednjih nekaj let tudi nima veze pri zadevi? Jaz samo še čakam
črva :D
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

Mavrik ::

Grumf je izjavil:


Res? Uporaba reflectiona, da samemu sebi spremeniš security token? Sem kaj narobe razumel? Morda misliš, da
to da delaš svoje buge (tudi security) namesto da žreš g* frameworka nima nobene veze pri zadevi?


Ne, blodenje o C softwaru v temi, kjer se gre za uporabo vtičnikov v brskalniku, ki jih v C ne moreš portable pisat je pač offtopic. Še posebej če je hrošč dejansko v tem, da aplikacija dobi "samo" enake pravice kot bi jih mela C aplikacija ;)
The truth is rarely pure and never simple.

Grumf ::

Mavrik je izjavil:

Grumf je izjavil:


Res? Uporaba reflectiona, da samemu sebi spremeniš security token? Sem kaj narobe razumel? Morda misliš, da
to da delaš svoje buge (tudi security) namesto da žreš g* frameworka nima nobene veze pri zadevi?


Ne, blodenje o C softwaru v temi, kjer se gre za uporabo vtičnikov v brskalniku, ki jih v C ne moreš portable pisat je pač offtopic. Še posebej če je hrošč dejansko v tem, da aplikacija dobi "samo" enake pravice kot bi jih mela C aplikacija ;)


In JRE je spisan seveda v basicu c64, ki ga po teoriji zarote vdelujejo v del vseh procesorjev na svetu.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

techfreak :) ::

Torej praviš, da bi JRE bil bolj varen, če bi bil napisan v C#?

Mavrik ::

Grumf je izjavil:


In JRE je spisan seveda v basicu c64, ki ga po teoriji zarote vdelujejo v del vseh procesorjev na svetu.


Prosim razloži kaj ma to veze z izvajanjem kode v brskalniku.
The truth is rarely pure and never simple.

Grumf ::

Mavrik je izjavil:

Prosim razloži kaj ma to veze z izvajanjem kode v brskalniku.


Na eni strani se zanašaš na framework, ki zna početi karkoli si zmisliš (preko skripte, takšne ali drugačne (pcode zame ni nič drugega)) in
njegovega securitya, ki ima krepko večji impact na večino računalnikov, ki so ga prisiljeni uporabljati, čeprav konkreten uporabnik dejansko
izkoriščajo samo en mali, majceni delček njegove funkcionalnosti, versus namenskemu programu, ki počne samo tisti delček in nič drugega, kar
krepko zmanjša tako razširjenost problema kakor tudi zapacanosti mašine, pa še posameznemu podjetju ne da preveč moči. Zapomni si tale post
in mojo mali skok v prihodnost, zaradi oracla nas bodo še zelo bolele glave.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

techfreak :) ::

V katerem jeziku se pa ne zanašaš na framework? In zakaj misliš, da bi in house koda bila kakorkoli bolj varna od teh frameworkov?

Grumf ::

techfreak :) je izjavil:

V katerem jeziku se pa ne zanašaš na framework? In zakaj misliš, da bi in house koda bila kakorkoli bolj varna od teh frameworkov?


Hmm, dobro vprašanje, libc, jah recimo, da zminimaliziraš njegov impact, več ko vlačiš za sabo dependancyev na tujo kodo,
bolj boli, če jih ne poznaš. A se raznim javančkom in dotnetkovcem sploh sanja kakšna količina neznane kode se izvede za vsako
njihovo vrstico?

Glede inhouse kode je pa zadeva relativno preprosta, POZNAŠ jo.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

deadbeef ::

Grumf ::

deadbeef je izjavil:

...


Heh, sicer nisem ravno fan Linusa, ma tule se pa strinjam z njim, "Whatever" /.../ "go away"
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

techfreak :) ::

Hmm, dobro vprašanje, libc, jah recimo, da zminimaliziraš njegov impact, več ko vlačiš za sabo dependancyev na tujo kodo,
bolj boli, če jih ne poznaš. A se raznim javančkom in dotnetkovcem sploh sanja kakšna količina neznane kode se izvede za vsako
njihovo vrstico?

Še vseeno je takšna koda veliko bolj pregledena kot pa tvoja in house rešitev. Ker je bolj razširjena imaš več možnosti da nekdo najde ranljivost in jo sporoči, posodobitev teh ranljivosti je pa veliko lažje spraviti na svet, ko pa pri custom rešitvah.

Glede inhouse kode je pa zadeva relativno preprosta, POZNAŠ jo.

In to ti preprečuje, da boš naredil napako?

Poglej recimo PHP (ki ni ravno povezan s temi primeri), kjer je 99% varnostnih lukenj bilo v samih skriptah in ne v samem PHPju. Veliko teh ranljivosti ne bi bilo, če bi programerji raje uporabljali frameworke.

Grumf ::

techfreak :) je izjavil:

Še vseeno je takšna koda veliko bolj pregledena kot pa tvoja in house rešitev. Ker je bolj razširjena imaš več možnosti da nekdo najde ranljivost in jo sporoči, posodobitev teh ranljivosti je pa veliko lažje spraviti na svet, ko pa pri custom rešitvah.


... ali pa jo obdrži zase in veselo uporablja :D Se pa sicer ne strinjam. Tale napaka naslednjih 10 let ne bo odpravljena.

techfreak :) je izjavil:

In to ti preprečuje, da boš naredil napako?


Še vedno enak case. Če tvoj program dela samo tisto kar mora (kjer temu interpretiran jezik by default ne ustreza) potem je moznost za
take šalabajzerske napake minimalizirana "by design". Sicer pa poglej malo zgodovino, koliko je bilo dejanskih vulnerabilityev, ki so
za impact imeli večino operacijskih sistemov in procesorjev? Po mojem skromnem vedenju je to prvi (denial of service zaradi tcp stackov izključeni, lepo prosim :D)
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

techfreak :) ::

... ali pa jo obdrži zase in veselo uporablja :D Se pa sicer ne strinjam. Tale napaka naslednjih 10 let ne bo odpravljena.

Lahko jo obdrži zase, vendar je podobno pri rešitvah, ki niso razširjene oz. ki jih uporabljajo samo tvoji in house programi.

Če tvoj program dela samo tisto kar mora (kjer temu interpretiran jezik by default ne ustreza) potem je moznost za
take šalabajzerske napake minimalizirana "by design".

Pri hello world lahko by design zagotoviš da nima ranljivosti. Pri večjih programih je to veliko težje in je "by design" veliko bolj varno uporabljati preverjen framework.

Sicer pa poglej malo zgodovino, koliko je bilo dejanskih vulnerabilityev, ki so
za impact imeli večino operacijskih sistemov in procesorjev?

Če je ranljivost v implementaciji, ki se uporablja na različnih OSih potem je na žalost veliko sistemov ranljivih.

Grumf ::

techfreak :) je izjavil:

Lahko jo obdrži zase, vendar je podobno pri rešitvah, ki niso razširjene oz. ki jih uporabljajo samo tvoji in house programi.

... vendar je pri njih škoda zanemarljiva, ravnokar pa nekaj ljudi divje vdeluje tole v naslednjo verzijo botnetov :D

techfreak :) je izjavil:

Pri hello world lahko by design zagotoviš da nima ranljivosti. Pri večjih programih je to veliko težje in je "by design" veliko bolj varno uporabljati preverjen framework.


Ah ja, tako preverjenih kot java misliš... :D Ali pa SQL (ja na injectione ciljam :D)...

Ne se preveč trapljati po prsih, v Cju so spisano mnogo večji "programi" kot so v javi (recimo skoraj vsi operacijski sistemi in še
java za po vrhu), razlika je samo v tem, da so ene pisali stručkoti, druge pa "opice" (ali kako jih že imenujete), in tudi vodili
so jih stručkoti (ne "pohlepne opice").

techfreak :) je izjavil:

Če je ranljivost v implementaciji, ki se uporablja na različnih OSih potem je na žalost veliko sistemov ranljivih.


Mhm.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

techfreak :) ::

... vendar je pri njih škoda zanemarljiva, ravnokar pa nekaj ljudi divje vdeluje tole v naslednjo verzijo botnetov :D

Pri targetiranih napadih je škoda podobna Java ranljivosti.

Ne se preveč trapljati po prsih, v Cju so spisano mnogo večji "programi" kot so v javi (recimo skoraj vsi operacijski sistemi

Še vseeno skoraj vsi C programi uporabljajo poznane knjižnice.

Jst ::

Ali je bila že ena takšna huda napaka objavljena pred približno mesecem dni, ali pa vi zamujate: Jaz sem v podcastu Security Now to slišal že vsaj mesec nazaj in so isto priporočali izklop java plugina.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Grumf ::

Yep, and the shit stacks, navzgor v JRE in v vse kar spišeš v skripti. Saj je vseeno, spisal sem več kot
mi java pomeni, prav, to je najboljše za kruhom na marmeladi.

Jst je izjavil:

Ali je bila že ena takšna huda napaka objavljena pred približno mesecem dni, ali pa vi zamujate: Jaz sem v podcastu Security Now to slišal že vsaj mesec nazaj in so isto priporočali izklop java plugina.


Prevajalci spet zamujajo ;) In oracle ve za to že od aprila ampak saj veš dopusti pa to...
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

Gandalfar ::

Jst je izjavil:

Ali je bila že ena takšna huda napaka objavljena pred približno mesecem dni, ali pa vi zamujate: Jaz sem v podcastu Security Now to slišal že vsaj mesec nazaj in so isto priporočali izklop java plugina.


Ne. Nova ranljivost je :)

jlpktnst ::

Grumf je izjavil:

Zanimivo kako stare pesmi postanejo spet aktualne...
In problem 0day napače, ni v tem da je patch že zunaj, problem je, da nasledjih 10 let
ne bodo popatchane vse mašine. Tako kot se java sestavljalci kode zanašajo na znanje drugih,
tako se tudi zanašajo na NEZNANJE drugih, seveda pa razlike ne bodo doumeli, nikoli niso
pridobili dovolj znanja da bi razumeli.

Kar velja tudi za C. Misliš da ni okrog kup linux inštalacij še na 2.4.* jedru ki niso popatchane? Misliš da ni linux na kup routerjih brez da je kadarkol popatchan oz ga nehajo po kakšnem letu patchat? To velja za vsak software neglede na jezik. Java sestavljalci kode se zanašajo na znanje/neznanje drugih. A ti pa pišeš vse kodo v assemblerju bottom-up? Daj ne blodi človek božji.

Grumf je izjavil:

Mavrik je izjavil:

In zelo očitno si s sebe naredil idiota, ker tvoj post kaže da nimaš pojma o čem se sploh pri napaki gre.


Res? Uporaba reflectiona, da samemu sebi spremeniš security token? Sem kaj narobe razumel? Morda misliš, da
to da delaš svoje buge (tudi security) namesto da žreš g* frameworka nima nobene veze pri zadevi? In morda to,
da vsi uporabniki ne bodo poupdatali jre še naslednjih nekaj let tudi nima veze pri zadevi? Jaz samo še čakam
črva :D

Torej gre za bug. Podobno kot lahko narediš na linuxu local root exploit. Ali kot so dokazali da se tudi znotraj virtualne mašine da prit v virtual host okolje... ponavljaš se. Update je pa tudi že dolgo avtomatski in zelo nadležen če ne updataš. Seveda imajo ljudje kup softwara ki so dobri vektorji in niso updatani. Tale je težaven predvsem zaradi exploitive appletov v reklamah. Mogoče bi lahko google začel boljši screening.

Grumf je izjavil:


In JRE je spisan seveda v basicu c64, ki ga po teoriji zarote vdelujejo v del vseh procesorjev na svetu.

A je sploh prebral kdo kaj tip piše? Jokam se.

Grumf je izjavil:

Mavrik je izjavil:

Prosim razloži kaj ma to veze z izvajanjem kode v brskalniku.


Na eni strani se zanašaš na framework, ki zna početi karkoli si zmisliš (preko skripte, takšne ali drugačne (pcode zame ni nič drugega)) in
njegovega securitya, ki ima krepko večji impact na večino računalnikov, ki so ga prisiljeni uporabljati, čeprav konkreten uporabnik dejansko
izkoriščajo samo en mali, majceni delček njegove funkcionalnosti, versus namenskemu programu, ki počne samo tisti delček in nič drugega, kar
krepko zmanjša tako razširjenost problema kakor tudi zapacanosti mašine, pa še posameznemu podjetju ne da preveč moči. Zapomni si tale post
in mojo mali skok v prihodnost, zaradi oracla nas bodo še zelo bolele glave.

Zaradi Oracla nas že zdej boli glava, kaj čmo tak je kapitalizem. Na srečo obstaja OpenJDK in pa IBM tako da ni čisto enostransko.

Btw, ti ne uporabljaš frameworkov? LibC recimo? Al pišeš vse v pure assemblerju bottom-up?

deadbeef je izjavil:


Java horrible language? Sej ne pove nič.. čisto neumesten post. Se strinjam samo s tem da je politika zadaj bedna, in mislim da je to hotel povedat. Drugače ima pa Linus neke svoje čudne fore. Osebno me moti na tej skupnosti da še vedno forsirajo latin1... preveč. Windows ima že davno vse UTF.


techfreak :) je izjavil:


Še vedno enak case. Če tvoj program dela samo tisto kar mora (kjer temu interpretiran jezik by default ne ustreza) potem je moznost za
take šalabajzerske napake minimalizirana "by design". Sicer pa poglej malo zgodovino, koliko je bilo dejanskih vulnerabilityev, ki so
za impact imeli večino operacijskih sistemov in procesorjev? Po mojem skromnem vedenju je to prvi (denial of service zaradi tcp stackov izključeni, lepo prosim :D)


Grumf je izjavil:


Ne se preveč trapljati po prsih, v Cju so spisano mnogo večji "programi" kot so v javi (recimo skoraj vsi operacijski sistemi in še
java za po vrhu), razlika je samo v tem, da so ene pisali stručkoti, druge pa "opice" (ali kako jih že imenujete), in tudi vodili
so jih stručkoti (ne "pohlepne opice").

Seveda so večji, ker imajo en kup low-level kode. Če bi reči ki so napisane v javi pisal v c-ju bi potreboval nekajkrat več kode... logično?

Se pa končno strinjam s tabo v nečem - pozna se ali pišejo kodo opice ali dobri programerji.

In ja, ene reči je neumno pisat v C-ju, če lahko v kakšnem drugem jeziku opraviš enako reč s pol manj kode. Zakaj bi razvijal lasten framework za vsako reč? Se zavedaš da je potrebno lasten framework tudi sam razvijat. Pa je potem tudi tvoj lasten framework lahko vektor za napad. V tem primeru je pač java vektor napada, vendar jo tudi nekdo vzdržuje in imaš manj dela. To je cela poanta.



Oh nevem no, na koncu se par reči strinjam s skeptiki, plugine disablat itd. Samo trobit da je nekaj inhierentno slabo ker ima varnostne ranljivosti je pa tudi rahlo smešno. Je pa tudi trenutno zadeva najbolj na udaru. Pa oracle politika je mogoče rahlo smešna. Mogoče kdo ve kako je kaj z OpenJDK? Namreč če želiš lahko napišeš svoj JRE, zadeva je zelo odprta.

Brane22 ::

Saying that Java is good because it works on all platforms is like saying anal sex is good because it works on all genders. -- Unknown


:))

Grumf ::

Ej ne da se mi ukvarjat s tvojo klobaso, ne z javo in ne s prebivalci raznih živalskih vrtov. Samo tole,
ker očitno javančki mislite, da ce sami spišete hello world, da je pa to ena vrstica kode.

jlpktnst je izjavil:

Seveda so večji, ker imajo en kup low-level kode. Če bi reči ki so napisane v javi pisal v c-ju bi potreboval nekajkrat več kode... logično?


Ne. Za tisto eno vrstico kode, ki jo rabiš za hello world rabiš zraven nekaj deset mb binarya, ki
za sabo potegne, koliko 500k(?), več?, vrstic kode, ki sestavlja JRE in ni spisana v javi in ni pod
vašo kontrolo zatorej pojma nimate kaj se dogaja tam zadaj. In seveda vse tisto zadaj potegne za
sabo še vse kar bi lahko očital Cju. Kar se mene tiče je mnogo lažje in bolj zanesljivo spisati
hello world na kakršenkoli drug, neinterpretiran, način.

Je pa res, da je ljudi, ki spišejo hello world v javi ali cju enako preprosto dobiti, potem pa se tu
podobnost neha...

Brane22 je izjavil:

Saying that Java is good because it works on all platforms is like saying anal sex is good because it works on all genders. -- Unknown


:))
:)):)):)):)) Sem mislil, da sem slišal že vse na to temo :)):)) Dobra...
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

metalc ::

Ravno dobim obvesilo o popravkih za Javo, verjetno bo kaj v zvezi s to ranljivostjo. Rečem mu, naj jih inštalira, pa mi hoče zraven poturiti še brskalniški toolbar za Ask.com!?! Mislim! Ali je Oraclu res treba pasti tako nizko?!??

Grumf ::

metalc je izjavil:

Ravno dobim obvesilo o popravkih za Javo, verjetno bo kaj v zvezi s to ranljivostjo. Rečem mu, naj jih inštalira, pa mi hoče zraven poturiti še brskalniški toolbar za Ask.com!?! Mislim! Ali je Oraclu res treba pasti tako nizko?!??

:)):)):)):))

Vedno bolj se mi dozdeva, da tale vulnerability ni bug ampak feature...
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

jlpktnst ::

Grumf je izjavil:

Ej ne da se mi ukvarjat s tvojo klobaso, ne z javo in ne s prebivalci raznih živalskih vrtov. Samo tole,
ker očitno javančki mislite, da ce sami spišete hello world, da je pa to ena vrstica kode.

jlpktnst je izjavil:

Seveda so večji, ker imajo en kup low-level kode. Če bi reči ki so napisane v javi pisal v c-ju bi potreboval nekajkrat več kode... logično?


Ne. Za tisto eno vrstico kode, ki jo rabiš za hello world rabiš zraven nekaj deset mb binarya, ki
za sabo potegne, koliko 500k(?), več?, vrstic kode, ki sestavlja JRE in ni spisana v javi in ni pod
vašo kontrolo zatorej pojma nimate kaj se dogaja tam zadaj. In seveda vse tisto zadaj potegne za
sabo še vse kar bi lahko očital Cju. Kar se mene tiče je mnogo lažje in bolj zanesljivo spisati
hello world na kakršenkoli drug, neinterpretiran, način.

Je pa res, da je ljudi, ki spišejo hello world v javi ali cju enako preprosto dobiti, potem pa se tu
podobnost neha...


Tvoj ljubi C je vključil 1+MB velik libc v hello world. Torej trdiš da veš kaj točno počne libc? Da je libc popolnoma pod tvojo kontrolo. Definitivno kontrola je večja, samo ti resno meniš da imaš popolno kontrolo v C-ju? Da ni še OS pa hardware pa osnovne knjižnice posredi? Seriously, včasih so bili C programerji na višjem nivoju.

Glede interpretiranosti pa nima smisla debatirat, pade v razširjeno definicijo interpretiranega jezika, ampak reči niso več kot so bile pred 30 leti v basic-u.

Pa tista izjava da je JRE spisan v commodore basicu, ta je tudi dobra. Potegni dol OpenJDK pa povej v čem je spisan. Eno so varnostne luknje ki so sicer huda pomanjkljivost, drugo je pa nekontrolirano blatenje in mlatenje slame.

Grumf ::

jlpktnst je izjavil:

Pa tista izjava da je JRE spisan v commodore basicu, ta je tudi dobra. Potegni dol OpenJDK pa povej v čem je spisan. Eno so varnostne luknje ki so sicer huda pomanjkljivost, drugo je pa nekontrolirano blatenje in mlatenje slame.


Tretje je pa dobesedno razumevanje prebranega :)) :)) Daj dasa, preberi si o cem sem sploh govoril, sicer pa imas enake
tezave kot predhodnik, ce uporabljas 100mb tezak framework spisan v Cju, do katerega nimas dostopa, potem lahko potencialno skasiras
probleme od CPUja, OSa, libCja, 100mb skompajlane kode do katere dostopa nimaš in nato še svoje težave. Seveda pa tega ne
razumes, kakor tudi tvoj predhodnik ni, mislis da se tvoj hello world dejansko zacne z System.out.println("Hello, World");

In še tebi ponovim enako kot predhodniku; JRE je bil pa spisan v c64 basicu, ki je integriran v vse CPUje.
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

Zgodovina sprememb…

  • spremenil: Grumf ()

jlpktnst ::

Aha, in kje tebi vedenje kaj jaz razumem ali vem? Mogoče lahko razložiš kaj je "framework do katerega nimaš dostopa"? Kako češ uporabljat framework če nimaš do njega dostopa a? Pa rahložiš lahko kaj je c64 basic, commodore64 basic? Dobra nebuloza. Ja meni je že prekleto jasno, da nabijaš. Kot sem tudi v prejšnjem postu izpostavil, napisal sem da me čudi, kako nihče ne vidi tega.

In ja, nisem po župci priplaval, poznam C, moji prvi delujoči programi so bili c in c++. Ampak ne predstavljam si da bi v življenju uporabljal C za karkoli poleg gonilnikov in sistemskih programov. Pa mogoče kaj kar potrebuješ visoko optimizacijo.

Sicer ti pa predlagam da uporabljaš veljavno terminologijo, če ne gre drugače pa v angleščini. Ali pač če nalašč proizvajaš meglo in bliskaš z lučjo.

p.s. Pa si sure da ne moreš kasirat problemov če programiraš v pure C? Ker sem jih doživel že malo morje. Ni ravno nekaj nenavadnega da compiler proizvede faulty kodo. Ali pa nekaj kar sploh ne deluje na določenem sistemu. O popolni neprenosljivosti kode raje ne bi. Frameworki imajo svoj zelo dober namen. Zato jih pa ljudje uporaljamo. Pravo orodje za pravo nalogo.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Previdno z Javo (spet) (strani: 1 2 )

Oddelek: Novice / Varnost
7425102 (21779) Grumf
»

Previdno z Javo

Oddelek: Novice / Varnost
194900 (2974) technolog
»

Nepodpisana koda na iNapravah

Oddelek: Novice / Varnost
328241 (5618) Limit-sky
»

IBM utegne prevzeti Sun

Oddelek: Novice / Nakupi / združitve / propadi
445507 (2954) Bistri007
»

Odkrita resna varnostna ranljivost v Firefox 3 (strani: 1 2 )

Oddelek: Novice / Varnost
509224 (6612) CaqKa

Več podobnih tem