Java のセキュリティ保護機能は無意味、無署名の Java アプリでも警告無しに実行可能 49
ストーリー by reo
若者のJava離れ 部門より
若者のJava離れ 部門より
ある Anonymous Coward 曰く、
Java SE 7 Update 10 以降には Java コントロールパネルにセキュリティ設定を行う項目があり、ここでセキュリティレベルを変更することで無署名の Java アプリケーション実行時に警告メッセージを表示させることができる。しかし、この設定にかかわらず無署名の Java コードを実行させることが可能だという (ITmedia ニュースの記事より) 。
ポーランドのセキュリティ企業が実際に無署名のコードを Windows 上で警告無しに実行させることに成功したそうで、結論としては Java のセキュリティ設定は当てにならない、ということになった模様。
OracleはJavaを潰したいのか? (スコア:5, すばらしい洞察)
引き継いだ資産を運用できないのであれば、手遅れになる前に何処かへ渡してくれ……
# Oracleに買われた時点で全ては手遅れだったのかもしれないが
Re: (スコア:0)
逃げて~VirtualBox逃げて~MySQL逃げて~
Re:OracleはJavaを潰したいのか? (スコア:1)
MySQLはもう逃走してMariaDBになった。
Re: (スコア:0)
Oracleってプライド高そうに見えるから、自分から手放すことはしないでしょうね。
内心、MariaDBのように自分から逃走してくれることを期待してたりして。
Re: (スコア:0)
OOoはLibreOfficeが逃走したあとApacheに譲り渡したけどね。
Re: (スコア:0)
逆だろ
Oracleを潰したいから躍起になってJavaの脆弱性を探してるんだよ
Re: (スコア:0)
Javaが潰されたって本業は痛くも痒くもないだろ。
# だからこんなやる気のない対応しかしないんだろうな
Re: (スコア:0)
OUIやEnterprise Managerが死んじゃう><
Re: (スコア:0)
そういえば、一時期 JAVA でプロシージャを書けることを売りにしてた RDBMS は、ライバル社の製品だったっけ。
Re: (スコア:0)
Oracle以外でjavaストアドプロシージャとか変態機能、積んでる製品あるの?w
Re:OracleはJavaを潰したいのか? (スコア:2)
Re: (スコア:0)
.NETで書ける奴がいるんだから、対抗上必要でしょ。
Re: (スコア:0)
MSのイベントなのに堂々と「トラブルの元だから使うな」と言っていた講演者(勿論非MS社員)がいたくらいなんだけどね。
使ってる奴なんて実際にいるのかな。
COBOLより先に終わりそう。 (スコア:1)
# いや、COBOLがjavaより言語レベルで安全なんて言うつもりはないです。
# yes, fly. no, fry.
Re:COBOLより先に終わりそう。 (スコア:2)
javaの代わりになるいい言語(プラットフォーム含めて)、何がいいでしょうね?
Re:COBOLより先に終わりそう。 (スコア:1)
# yes, fly. no, fry.
Re: (スコア:0)
9タイプのデータ型をBigDecimalクラスとして移しやすいからJavaが選ばれるんですかねぇ?
Re:COBOLより先に終わりそう。 (スコア:1)
でもBigDecimalだと使いにくそう…、実数型であれば他の言語にもありそうな気もするんですが、どうなんでしょうね。
# yes, fly. no, fry.
Re: (スコア:0)
アメリカ人の作るシステムって大抵給料の列がdoubleだよね
おまえらセント単位で給料貰ってんのかよw
Re: (スコア:0)
お金がらみの部分は誤差が怖いから浮動小数は使わないもんだと思ってたんだけど
さすがアメリカンはおおざっぱだぜ。
# 固定小数だと思いたい。。。
Re: (スコア:0)
・実績とツールが豊富
・プログラマが確保しやすい
・スクリプト系言語を除く
この条件の下では、「なぜか」って疑問を抱くほど選択肢は多くないですよ。
Re:COBOLより先に終わりそう。 (スコア:1)
「将来有望と目される」も条件に必要そうですね(笑)
スクリプト系がなぜ除かれたのかわかりませんが。
# yes, fly. no, fry.
Re: (スコア:0)
なんでだろうか
・ヘタなプログラマが生まれる前から実績があって、星の数ほどツールがあり
・(質は置いておくと)プログラマが星の数ほどいて
・どんな環境向けにもコンパイルのできる
Cっていう文字が脳裏をちらついてはなれないんだ・・・
#ブラウザ上でも動くよ!
Re: (スコア:0)
でもCOBOLが得意とするあたりの業務をCでは作りたくないなぁ。
Re: (スコア:0)
COBOL話・・
Re: (スコア:0)
おJAVAさまが死んじゃう。誰か笑ってあげて~。
回避策は? (スコア:0)
もちろん、Javaを使わない、というのが確実であるのは確かだけれど、javaを使わざるを得ない環境での回避策は、どれがベストであろうか。
a)openJDK7にする
b)SunJava6にダウングレードする
c)Webブラウザのプラグインの実行をnoscriptなどで制限し、信頼できるjavaアプリしか実行しない
とりあえず、個人的にはb)にしている。
しかし、今回の脆弱性に対しては有効かもしれないが、潜在的に別のリスクも存在しうるよね。
Re:回避策は? (スコア:1)
最近のgdgdがみんなOracleのJava7になってからというのがなんともOracleの無能っぷりを際立たせてる。
MicrosoftやAppleやAdobeが通った道をわざわざ忠実にたどることないじゃんよ。
Re:回避策は? (スコア:1)
つまり、Oracleの本業のプロプライエタリなデータベース群も、そういう水準の製品であるということ。
Re: (スコア:0)
Re: (スコア:0, すばらしい洞察)
d)使わざるを得ないと凝り固まった発想から何とかする
Re: (スコア:0)
前提を崩してどうする
Re: (スコア:0)
なんか、一番頭かたいね。
Re: (スコア:0)
そういや他のJava実装や他の言語にはこういう脆弱性はないんだろうか
Re: (スコア:0)
教えて偉い人 (スコア:0)
この問題ってずっとアプレットの話だと思ってたからブラウザのjava pluginはそもそも無効にしてるんだけど
それじゃだめなの?
Re:教えて偉い人 (スコア:1)
まぁ、滅多にないけど。
そもそもサーバーサイド以外で、Java が生き残ってる場所ってもうないので、現実的に問題があるとは思えないんですけど。
Re:教えて偉い人 (スコア:2)
MyJVN [jvndb.jvn.jp] のツールが…。
ITpro 企業で使える無償「ソフトウエア最新化状況検査ツール」を評価する [nikkeibp.co.jp]
(一部省略)
WindowsPC向けなんだから、.NET (ClickOnce) あたりにでもしてくれればいいのに。
Re: (スコア:0)
Javaで動く問題を自動生成する数独アプリ使ってるから困る
Re: (スコア:0)
公的機関に何か提出するシステムで結構使われてるんですよねー。
あと、LibreOfficeとかは最近どうなんでしょ?
Re: (スコア:0)
> 公的機関に何か提出するシステムで結構使われてるんですよねー。
(公的機関だから)MS縛りを避けるという条件で、そこそこまともなアプリが書ける環境となると必然的にJavaになっちゃうんだよね。とは言え少しはTPOを考えてもらいたいものだが。Windows専用のMyJVNチェッカとか。
> あと、LibreOfficeとかは最近どうなんでしょ?
LibreOffice 3.6ではJavaのインストールは全く要求されなかった。
Re:教えて偉い人 (スコア:1)
電子入札の利用者側のシステム要件 [e-bisc.go.jp]ってWindowsでIEなんだよね。
〜◍
Re: (スコア:0)
なおさらJavaにする意味ねえじゃん。
Re: (スコア:0)
> ローカルで動く Java も駄目。
ローカルで動かせる状況ならわざわざ脆弱性をつくまでもなくそのまま攻撃コードを実行すればいいだけで、そういう意味では(無署名の)アプレットだけの問題と言っていいと思うが。
Re: (スコア:0)
おっしゃるとおり。
で、案の定顧客から「オタクはJavaで開発してるけど大丈夫なのか? 別のに出来ないか」と問い合わせが来たよ。
Oracleはアプレットを切り捨てるのが吉だと思うんだけどね。
Re: (スコア:0)
(機能しなかったとはいえ)無署名のアプレットが自動的に実行されないようにしようとしている時点で切り捨てる気満々でしょ。
Re: (スコア:0)
>そもそもサーバーサイド以外で、Java が生き残ってる場所ってもうない
Androidェ…
Re: (スコア:0)
あれはJavaじゃない。Java以外の伺かだ。
Javaだったら今頃Oracleにごめんなさいしないといけないところだ。
文法は一緒だけどね。