セキュリティ向上のためにはJavaは消すべき 93
ストーリー by hylom
ついに不要品扱いされるレベルに 部門より
ついに不要品扱いされるレベルに 部門より
あるAnonymous Coward 曰く、
セキュリティの専門家が講演で「使っていないのならJavaは削除すべき」と述べたそうだ(ITmedia)。
Javaには頻繁にセキュリティ面での脆弱性が発見されており、頻繁にアップデートも提供されているものの、古いバージョンのJavaの実行環境が放置されていることも多いとし、不要であればJavaを削除し、必要になったときに再度最新版をインストールするよう述べたとのこと。また、セキュリティを向上させるEnhanced Mitigation Experience Toolkitの利用も勧められている。
ホットな攻撃対象 (スコア:3, 参考になる)
最近の攻撃の傾向を分析するとブラウザのプラグインが激しく狙われているといことがわかっています。
OS やブラウザのバグは自動アップデートなどで対策が進んでいるので攻撃対象がプラグインに向いている状況です。
Flash や Adobe Reader などもそうなのだけど、特に Java は狙われています。
1) 深刻なセキュリティ問題が頻出し続けている
2) ユーザが利用していないのにインストールしていてる
3) ユーザがアップデートしていないことが多い
4) ブラウザクリックなどで比較的に簡単に攻撃できる
5) ゼロデイの脆弱性が見つかっているのに対応版が出るのが遅いことがある
などなど、攻撃者に好まれる要素が多数ああるのが原因でしょう。
Java の好き嫌いではなくて、今現在 Java が徹底的に狙われているので、自己防衛(特に5の対策)として
Java プラグインは削除することを強く推奨というのが最近のセキュリティ関係者間での常識。
Re:ホットな攻撃対象 (スコア:2, 参考になる)
とりあえずタイムリーに記事があったのでリンク [itmedia.co.jp]。
セキュリティチェックのためのJava (スコア:1)
もうよく憶えてないんだけど、以前、どこかのサイトでセキュリティのために何か(インストールされているソフトのバージョンだったかな)のチェックをするサービスやってたんだけど、Java入れないとダメってんで見送ったことがあったっけ。
Re:セキュリティチェックのためのJava (スコア:1)
MyJVN [jvndb.jvn.jp]でしょうか?
#Beckyのバージョンまでチェックしてくれた。
Re: (スコア:0)
「MyJVNバージョンチェッカ」
http://jvndb.jvn.jp/apis/myjvn/ [jvndb.jvn.jp]
△不要品 ○マルウェアプラットフォーム (スコア:0)
マインクラフトおもしろそー、とか思うんだけどJava必須らしいから諦めてる
Re:△不要品 ○マルウェアプラットフォーム (スコア:1)
JAVA必須の上、IDチェックのためJAVAからのネット接続も必須。
さらに、JAVAでグラボの3Dが使える事も必須。
古いVistaプレインストールノートで遊ぼうとしたら、最後の部分ではねられました。
結局デスクトップPCでやってます。
LAN内でマイクラサーバも建てて、家族分マイクラを買って遊んでます。
JAVAはマイクラと開発専用で、ブラウザプラグインは無効化。
Re: (スコア:0)
制限ユーザーで動かしとけばいいんでない?
まっとうな意見 (スコア:0)
「何が何でも消せ」言うとるのではなく、
「不要であれば消せ」なのだから、そりゃそうだ、としか言えぬ。
※ただ、一律に管理したい環境においては、一度消してしまったら、
必要になった時に再導入するための社内の手続きが面倒と言う都合があるかも。
同じ人なのかは知らないが、この様な
「不要なものを入れっ放しにしておくな」
と言うご意見は、ここ2年ぐらいよく耳にする。
そろそろ定着してきたのではないだろうか。
Re:まっとうな意見 (スコア:1)
消したいのはやまやまだが、JREが必要で、ときどき使うソフトがあるので消せない
Javaを入れたり消したりするのは面倒だし…
Re: (スコア:0)
不要なものを入れっぱなしにしておいても問題がないほど、
計算機リソースは潤沢なものになったのですね。
感無量です。
Re: (スコア:0)
潤沢になったのは計算機のリソースより計算機にくっついているストレージのリソースでしょう
使わなければ死体が転がっているだけなのだから
Re: (スコア:0)
あなたが生きていられる程度には社会のリソースに余裕があるようです
Re: (スコア:0)
Windows95の前後くらいから、不要なプレインストールソフト満載のPCってありましたよ。
リソースはあるだけ消費されるという法則のせいで、潤沢さを感じられないだけでは?
攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:0, おもしろおかしい)
Windowsの使用を止めるべきですね
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:1)
「リスクが高い」って言っちゃうと どれも高いじゃんアホか、と思っちゃうなぁ
ストーリに沿って考えるなら「リスク管理が出来ない、難しいならwindowsを捨てるべき」ってのが正しいんじゃない。
でもいずれにせよ、windowsに限った話じゃないよなぁとも…
同じ理由でjavaに限定するのもどうかと思うけど、まぁ一般に浸透してかつ放置され気味なものって意味では間違ってはいない、か?
// java捨てるなら古いIEとかマイナーブラウザも捨てて頂きたい(:>^
攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:1)
Androidの使用を止めるべきですね
Re: (スコア:0)
業務や個人利用よりも安全が大切ならそれは正しい。
「安全最優先なら仕事をしてはいけない」ってのと同様に。
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:1)
>「安全最優先なら仕事をしてはいけない」ってのと同様に。
そして自宅警備にいそしむ人たちが増えているわけですね。
「安全のためなら家から出てはいけない」
「健康のためなら死んでもいい」
とかいう漫才ネタが昔あったっけ。
#家の中で怪我したりするケースの方が多いという話も聞いたことある
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:1)
前者は見知っていないのですが、後者
「健康のためなら死んでもいい」
は1998年発表のPS用ゲーム『みつめてナイトR 大冒険編』
でネタが拾われていたので記憶にあります。どの漫才師が元なのかは知りませんが。
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:1)
落語の枕かもしれない、どっちにせよ寄席でぼーっとしながら聞いた話でした。
#初出は定かではない・・・
Re: (スコア:0)
「健康のためなら死んでもいい」に通じるものがあるな
Re: (スコア:0)
ちょっと前に見たサイトでは、Windowsはかなり安全になってたと書いてあったな。
危険なのは、Java、flash、Acrobat reader。
数字で危険度がでていたが、上の3つが飛び抜けてた記憶がある。
Re: (スコア:0)
Windowsのウィルス感染、大半がJava、Adobe製品のアップデート忘れ [srad.jp]
2年前からあんまり改善してないというか最新バージョンに脆弱性ってパターンも多くてまったく信用できん・・・>Java
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:2)
Linuxならば、JREもFlashもLinuxと一緒にアップデートされる。
Microsoft Updateに入れないマイクロソフトがいけないというか、やはりWindowsは危険ということになる。
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:2)
Windows自体は自動的にアップデートするから安全なだけで、アップデートしなければ危険極まりないものだと思いますが、ちがいますか?
同じようにアップデートしてもJavaの方がより危険という話はあるのですか?元記事もアップデートされていないから危険と書いてあります。
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:2)
もちろん、ユーザの責任といえばそれまでですが、一緒にアップデートするOSの方が安全であることは確かです。
パソコンはコンピュータに詳しい人ばかりが使うものではないので、Javaのようなものをインストールしたら、
できるだけ一緒にアップデートできる方がより安全なOSと言えます。
Appleは良く分からないけれど、ユーザがプラグインをインストールした場合に、Appleのアップデートでアップデートできないとすれば問題と思います。
(Appleは分からないので間違っていたらごめんなさい)
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:2)
少なくともレポジトリを追加してインストールするならば、大体のディストリビューションで自動的にアップデートされると思う。
基本的に、Linuxのアップデートは。ユーザが拡張・選択することができる。どちらが安全かといば、自動的にアップデートできる方が安全だと思う。
Windowsでするならば、アプリケーションをインストールするときに、免責と質問はアプリケーションの会社ということに同意してから、
マイクロソフトアップデートに組み入れれば良いのではないかと思う。ダウンロード先はアプリケーションごとに違っても良いようにすれば良い。
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:2)
SunはJavaを乗っ取ろうとしていると思ったのではないかと思います。
IEみたいに、そのうち独自仕様を加えて、SunのJREと互換性をなくして、シェアを拡大して乗っ取ると思ったのだと思います。
そのようなことはやめて、マイクロソフトがSunのJREを使うデバグに協力する方針が一番安全に貢献したと思います。
Re: (スコア:0)
脊髄反射のWindowsへのFUDコメントがあるだろうなと思ってページを開いたら一番上にあって笑った。
Re:攻撃リスクが高いプラットフォームを使うなと言うのなら (スコア:1)
>サポート期限が迫ってるからじゃなくて、Vista以降とは根本的に堅牢製が違うから。
>Vistaならサポート期限いっぱいまで使ってもいいんだけど。
根拠とかの説明も無しに言い切られても、そちらに詳しくないおっさんにはよくわからない罠・・・
#/.レベルではJK?
Vistaなら安全なのかというと、うちのVistaさんはマルウェアにやられてたし。
MSEだと検出も掃除もできなかったので3年契約でカスペルスキーさんを招いて掃除してもらいました。
それからは安泰。
実家でお父さんが使っているXPはMSEのままで穏やかにすごいているそうです。
#不用意にあやしいサイトに行かないから安全なんだろうけど。
弊社では (スコア:0)
JREを入れておかないと、サイトから予期しない古いバージョンを入れられる恐れがあるので、普段JREを使わなくても最新版を入れとけと指示されている。
Microsoft Updateでも、管理部門が指示したアップデートが入っていないと(画面上で)怒られる。
Office入れてないPCなのにOfficeのアップデートが入ってないってどうすりゃええのよ。
Re: (スコア:0)
「Officeのライセンスは従業員人数分買ってあるんだから無駄にライセンス遊ばせてねえで入れとけよ入れてねえくせにxlsxやdocxが開けねえと抜かすとかお前ふざけてんの?」ってことだろ
Re: (スコア:0)
本当にOfficeが入っていないか再確認すべき?
実はViewer入れてるなら該当者だし、一部業務アプリが使うAccess RuntimeとかもOfficeのパッチが適用されますよ。
チェックルーティンが甘いならフィードバックすべき。自分の為にも。
というか (スコア:0)
プラウザの設定でJAVA無効にしてればよっぽどのことがない限りは問題ない
Re: (スコア:0)
Flashと同じ扱いまで落ちたかって感じですね。
Re: (スコア:0)
元々Flashより悪くない?
ただFlashはアップデートのウザさが有るから目に付き易いってだけで。
Re:というか (スコア:1)
運用面というか、更新面で元々Flash Playerより悪い印象しかないですね。
Windows環境下の話ですが、JAVAは自動更新が1ヶ月に1回、しかも短く設定していてもアップデートで元に戻るというダメ仕様なので更新があっても直ぐ通知が出ないという。
# 何時の間にかクリティカルなら1週間で通知だそうですが、今時その設定値は長い気がします。
しかも、「毎日」が設定可能ですが、設定画面を開き直すと「毎週日曜日」になっているという不具合?持ち。
更新出てても手動でチェックかけたら「最新のバージョンです。」って答えることも有るし、そりゃ避けたほうが無難でしょうね。
Flash Playerは昔からログイン時限定とはいえ更新があったら通知されてきた実績があるし、今は一応バックグラウンド更新が可能で、24時間毎(粒度は1時間毎)に更新が有るかチェックする分だけマシかな。
ブラウザ起動しっぱなしだと古いままだし、失敗してても解らないのがネックですが。
Windows 8 IE用のFlash PlayerはWindows Updateで更新でログインしっぱなしでも更新され失敗時は解る。
IEのタブがリロードされるけど、その分古いのが動きっぱなしにならないだけよりマシかも?
タブレットというか、Windows8の目指す地点であるInstantGoでPC動かしっぱなしで実質スタンバイオンリーだと、ブラウザ再起動すらされない可能性ありますしね。
Re:というか (スコア:1)
一般(制限)ユーザーだと、「更新」タブは表示されません。
アカウントの種別や権限等何らかの問題が起きていませんか?
ポリシー等による制限の可能性もありそうですが、先ずはそちらを確認でしょう。
UACで容易に昇格出来るようになっちゃったから常用アカウントを一般権限に設定してたの忘れてた的な。
# 自動UpdateはXP以上ってなってるので、まさか2kとか?(ぇ [oracle.com]
Java怖いって言うけど (スコア:0)
ブラウザプラグイン切っとけばなんてことはない。
まぁ、それだと仕事で使うVPN接続できなくなるから困るんですけどね。
セキュリティ向上のためには○○は消すべき (スコア:0)
○○には何入れても成立するわな。
Re: (スコア:0)
もう、電源切っとけってね。
Re: (スコア:0)
ほとんどの問題はヒューマンエラーから。
問題のリスクを減らすためにはつまり、わかるな?
Re: (スコア:0)
人間の電源を切ります
Re: (スコア:0)
○○の前の「使っていないなら」という修飾を無くすと、その通り。
間違った前提の元では、間違った結論しか導かれない。
Re: (スコア:0)
むしろ無くしちゃダメだろ
iKVMとかファイアウォールがなぁ… (スコア:0)
iKVM関係は大体どのメーカーもAvocentのOEMのJavaでの実装だし
ファイアウォールとかの管理ソフトもJavaアプレットでできているしし
Java抜きにはマシンのメンテナンスが事実上できんのよね。はぁ
まあネットワーク機器はttyで頑張るとか
iKVM使わなくて済むように無人化自働化を推し進めるという手もあるけどさ
JRE7update45は結構長いことアップデートがない気がする
Re: (スコア:0)
来月update51が出るってよ。アプレットは電子署名が必須になるらしい。ソースはこのへん [blogspot.jp]。
自分は前から書いていたが (スコア:0)
windows,flash,javaな。
入れているバカな大企業はないよね?
これでセキュリティがーとかスパイがーとか言ってないよね?
いやいや (スコア:2, おもしろおかしい)
一番の情報漏洩源は人だ。
人入れているバカな大企業はないよね