セキュリティ専門家曰く「Javaは作り直す時期に来ている」 156
ストーリー by hylom
Javaが生まれてはや18年 部門より
Javaが生まれてはや18年 部門より
あるAnonymous Coward 曰く、
昨年から相次いでJava(Javaランタイム)の脆弱性が報告されているが、これを受けて「Javaを作り直すべき時期が来ている」という見解があるようだ(ComputerWorld)。
問題点は「長年にわたって開発が継続され、あまりに多くの開発者たちがコードに触れてきたこと」にあるという。そのため、脆弱性が生まれやすく発見しにくい状況になっているということらしい。
解決策としてはコアコンポーネントの作り直しが提案されているが、互換性の問題が発生する可能性なども考えられる。最近悪評が続くJavaだが、立て直しはできるのだろうか。
え、ちょ、 (スコア:3)
Play! の学習を始めたタイミングでそんなこと言われてもwww
Windows Vistaがいい例だ (スコア:2, おもしろおかしい)
え?
Re:Windows Vistaがいい例だ (スコア:1)
設計から作りなおしたら間違いなく過去のアプリはたくさん動かなくなるわけだがいったい何言ってるんだろうねこの人
Re:Windows Vistaがいい例だ (スコア:2)
ま、まあ文脈とは違うけど、MinWinとかけっこう手を入れたよね > 7
M-FalconSky (暑いか寒い)
Re:Windows Vistaがいい例だ (スコア:1)
セキュリティ専門家曰く「.Netは作り直す時期に来ている」
Re:Windows Vistaがいい例だ (スコア:1)
最近多いよね「えっ」とか書いただけで逃げちゃうやつ
で? (スコア:2)
書き直すと、どんな御利益が有るの?
Re:で? (スコア:1)
そこには.net上で元気に走り回るJavaVMが!
Re:で? (スコア:1)
IKVMですね
Re:で? (スコア:2)
僕はむしろ、バイトコード+JITに未来というか、現在進行形での良い世界を描いていたので、この意見には?なんですが、
具体的にはどういう話でしょうか?
Re:で? (スコア:2)
CPythonのpycバイトコードのことをおっしゃっているのでしたら、あれはネイティブコードではありませんよ。
ホスト環境非依存の、Python Virtual Machineという仮想マシンの上で動くバイトコードです。
CPythonには標準で逆アセンブラモジュール dis がついているので、どんなニーモニックにコンパイルされているのかを見ることも簡単です。例えば、
という関数を逆アセンブルしてみると、
となります。
Javaで言うと、javacとjavaが一体化されているようなものですね。
御利益は別になさそう (スコア:1)
規模が大きくてハンドリングできないだろうから作り直せと漠然と言われてもね…。
何の具体的な問題点の指摘や改善案があるでもないのに漠然と0から作ったとしてもせいぜい新しいぜい弱性を作りこむのがオチじゃないのかと…。
Re:御利益は別になさそう (スコア:4, 興味深い)
それはどうかな?
今でも活発にJava(を使ったアプリ、あるいは言語そのもの)に携わっている人なら、みなそれぞれに
改善すべきポイントのイメージは持っていると思うので、議論していけばちゃんと収束すると思うよ。
うちの会社でも、Javaを使った業務に携わった人達で小集団活動を組んでブレストしたら
けっきょく3〜4個ぐらいのポイントに集約された。もちろん、こまごまとしたことなら100個以上でも出るんだけど、
「とにかくこれだけはキチンとさせないと」っていう絶対譲れない改善点というのはそんなに多くない。
で、けっきょく金のはなしに行き着くのですよ。改善すべき課題が間違いなくあって、でもその改善に
取り組んでも自分に見返りが来るかどうかさっぱり分からないことに、資金を出す人がいるかどうか。
コレ以外の問題はまったくないと思う。資金さえ提供されるなら、取り組みたい人はいくらでもいるはず。
っていうか私が取り組みたい。
Re:御利益は別になさそう (スコア:1)
「あると思う」だけではクダンのセキュリティ専門家氏の言ってることとあんまり差はなくて
実際にそう言う項目を調べ上げたり、それらをまとめたところに価値のある情報が生まれる訳で。
Re:御利益は別になさそう (スコア:3)
実装がまずいことが分かってほかのAPIを作り直したけど、古いAPIも一応残してあります(特にJava2以前の古いもの、あるいはもっと踏み込んでサポート終了したバージョンのもの)、などというのは切り捨てられるのだろうか。
万一えいやっ!と思いきってやれるとすれば、コアな部分をスリム化したり、ソースコードを整理したりできるかもしれない。
人生は七転び八起き、一日は早寝早起き
本当に問題点? (スコア:2)
> 問題点は「長年にわたって開発が継続され、あまりに多くの開発者たちがコードに触れてきたこと」にあるという。そのため、脆弱性が生まれやすく発見しにくい状況になっているということらしい。
コレは問題点じゃないだろう。コードの品質が低いから作りなおしたって、品質が上がるわけじゃない。
Re:本当に問題点? (スコア:2)
言ってることは分かるのですが、それだとコーディング規約から作りなおしても、
将来的にJava専門の人をアサインし、かつ全体を見通せる人が必要ってことになります。
そうすることでデスマが解消されるわけでなく、まじないじみたアンタッチャブルな部分が
将来的に発生しなくなるわけではないので、同じ問題を抱えることになりますよ。
リセット願望 (スコア:2, おもしろおかしい)
ありますよねリセット願望
ああ、最初からやり直したいとしょっちゅう思います
もう人生も
仕様です (スコア:2)
仕様なんです
adobe (スコア:1)
Flash PlayerとかAcrobatとかも多いよね。いい加減にしてほしい
Re:adobe (スコア:2)
いや、Flash Playerはもう、アドビが止めたがってる。実際、AndroidのFlash Playerは供給を止めている。
作り直すべきじきではない (スコア:1)
Sunと共に葬り去られるべきだったんだ。
Re:作り直すべきじきではない (スコア:5, おもしろおかしい)
(ユパ)JAVAをSunの海深く沈め、本社へ帰ってくれぬか?
ここに残るPGは少ない。今修正するのはやさしいが、これ以上のバグ対応は無意味だ。
(クシャナ)やつにはOSのアップグレードもOSの変更も効かぬ。一度書けばどこでも動いてしまうと。
わからぬか?もはや後戻りはできないのだ。
巨大な力を他社が持つ恐怖ゆえに、私はJAVAのメンテナンスを命令された。
バグの実在が知られた以上、ハッカー達はこの地にウィルスを送り込むだろう。
お前たちに残された道は一つしかない。JAVAを修正してハッカーの干渉を排しやつと共に生きることだ。
見ろ!
(ユパ) バグにか?
(クシャナ)我が夫となる者はさらにおぞましきものを見るだろう。
バグをつぶしセキュリティを取り戻すに何をためらう!我が社がSunから奪ったようにやつを奪うがいい!
(ユパ) JAVAは復活させぬ。
Re:作り直すべきじきではない (スコア:1)
(子供)大変だ!セキュリティホールを突くワームが、暴れだしたんだ!
社内中大変なことになってる!
#壮大なストーリ。空転するアイディア。
ところで (スコア:1)
OracleのJVMの問題 (スコア:1)
べつにJavaに問題があるんではなく、単にOracleのJVMの問題だな
特定のJVMの実装をまるで全部悪いみたいにいってるだけじゃん
SecurityManager (スコア:1)
まあ,SecurityManager/AccessControllerをベースとしたサンドボックス実装は,いいかげん作り直すべきだとは思う。膨大なチェック箇所がコード全体にちらばっていて,そのうち一カ所でもおかしな事をしていたら全体がアウト,というアーキテクチャーは危険でしょうがない。
あと,Java標準APIのソースを読んだことがある人は知っていると思うが,JavaのライブラリにはSecurityManagerの存在を調べてcheckPermissionを呼び出しているif文が相当な量含まれている。サンドボックスは使われてないことも多いので,あれを全部取り除いたJREをつくったら,どれだけJavaプログラムは速くなるのだろうか,とか考えたことはある。
素朴な疑問 (スコア:0)
中のコードを読んだ上で発言してるの?
Re:著作権 (スコア:3)
APIやインストラクションセットに著作権があると主張するベンダーはよく聞くが、実際に司法で認められたことがあっただろうか。
たとえばZ-80のアセンブラ処理系を作ったとして、ザイログにライセンス料を払う必要があるのだろうか。
CP/M-80のエミュレータを作ったとして、デジタルリサーチの知財を引き継いだ者にライセンス料を払わなければならないのだろうか。
Re:著作権 (スコア:1)
http://it.srad.jp/story/12/06/02/1942229/Google%E3%81%AFJava-API%E3%81... [srad.jp]
「GoogleはJava APIの著作権を侵害していないとの判決」
この話?
Re:果たして「作り直し」で済むのか? (スコア:1)
とはいえ現状悲しいことにC#のシェアは順調に減ってるのか・・・まあ住み分けできているので無くなりはしないだろうけど。
http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html [tiobe.com]
Re:果たして「作り直し」で済むのか? (スコア:3, すばらしい洞察)
それはシェアじゃないだろ...
Re:果たして「作り直し」で済むのか? (スコア:1)
ASP.NET は普通に C#
Re:果たして「作り直し」で済むのか? (スコア:2)
Re:Oracleが悪い (スコア:2)
>MS
Windowsベタベタの独自仕様を勝手に追加したから。
>Oracle
Sun丸ごと買収。
JDBCでOracle以外バグが出るとかそういう話も聞かないし。
セキュリティーホールの対応が甘いから批判出てきた(?)←イマココ
Re:Oracleが悪い (スコア:1)
地味ですけど、Java 7 は日本語のドキュメントが出なくなりましたね。
新しい-java-doc-の入手先について [yoshio3.com]
予算の問題 [twitter.com]らしいので、Sunのままでもできたか?と言われると若干怪しいですが。
APIが膨大になりすぎて、微妙な言い回しの違いに戸惑うことが多く、使用側としてコストがちょっと上がりました。
JavaEEも英語の仕様やリファレンス実装ばかりで、全然嬉しくない。
Re:Oracleが悪い (スコア:1)
http://www.ibm.com/developerworks/java/jdk/ [ibm.com]
IBM Javaのことも時々でいいので思い出してあげてください。
Re:Oracleが悪い (スコア:2)
http://www.hitachi.co.jp/Prod/comp/soft1/manual/cosmi/v0900/03Y1101D/E... [hitachi.co.jp]
日立のJavaVMのこともたまには思い出してあげてください
Re:Oracleが悪い (スコア:1)
大本のJavaVMを一社独占って、つまりそゆことでしょ?
Re:スラド民が注目している可搬性の高いOOPは? (スコア:2)
C#
Re:スラド民が注目している可搬性の高いOOPは? (スコア:2)
集団開発者向けがJavaの代わりになると思う
Rubyは個人や少数でやるぶんにはとても良いが、複数の表現方法があるのは良くない。
・静的チェックができるほうが良い
・あるロジックをまともに書いたとき誰でも同じような表記方法になると良い
・面白おかしいおもちゃ仕様が無責任にどんどん追加されないほうが良い
Re:スラド民が注目している可搬性の高いOOPは? (スコア:1)
Ruby
Re:スラド民が注目している可搬性の高いOOPは? (スコア:1)
#いやあれはC++代替か。
#といいつつ普段はC#。
Re:スラド民が注目している可搬性の高いOOPは? (スコア:1)
意訳: ボクが理解できないOOPLが悪いに決まってる
Re:スラド民が注目している可搬性の高いOOPは? (スコア:1)
「わたしがOOPできないのはどう考えてもおまえらが悪い!」
というラノベタイトルが思いついた。
あ、あれはマンガだったかな? [amazon.co.jp]
Re:スラド民が注目している可搬性の高いOOPは? (スコア:2)
ScalaってJVM依存では…。
と思ったら.NET Framework版あるのか!…と思ったら開発中断してるのか…。 [wikipedia.org]
Re:XP教 (スコア:2)
「WindowsはWindowsXPが最高だった!!」という人のことかと思った。
#ちなみにXPやアジャイルにおいてテストは重要だが、テスト=XPじゃねえぞ。
#分かってるのか、分かってないんだか。
Re:XP教 (スコア:2, 参考になる)
社内に、TestDrivenだ、CIだ、とか言って闇雲にXP導入する人たちがいるんだけど
テストクラスを見たら一つだけ、テストクラスが動作していることを確認するようなコードが書いてあるだけだった。
プロジェクト自体は成功してるんだけど、
所属している人たちが優秀なので別にどんな手法でも成功するよねっていう。
だけどXPのおかげで成功した、みたいになっている。
止めた方が良いんだろうか?
Re:Java++ (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:Java++ (スコア:1)
++ → ♯ に対抗して、
+=1 → 丑 から Java丑 を提案します。