パスワードを忘れた? アカウント作成
10309516 story
Java

セキュリティ向上のためにはJavaは消すべき 93

ストーリー by hylom
ついに不要品扱いされるレベルに 部門より
あるAnonymous Coward 曰く、

セキュリティの専門家が講演で「使っていないのならJavaは削除すべき」と述べたそうだ(ITmedia)。

Javaには頻繁にセキュリティ面での脆弱性が発見されており、頻繁にアップデートも提供されているものの、古いバージョンのJavaの実行環境が放置されていることも多いとし、不要であればJavaを削除し、必要になったときに再度最新版をインストールするよう述べたとのこと。また、セキュリティを向上させるEnhanced Mitigation Experience Toolkitの利用も勧められている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年12月03日 21時41分 (#2505439)
    わかって書いている人とわからずに書いている人がいるみたいなので、ちょっと書いておく。
    最近の攻撃の傾向を分析するとブラウザのプラグインが激しく狙われているといことがわかっています。
    OS やブラウザのバグは自動アップデートなどで対策が進んでいるので攻撃対象がプラグインに向いている状況です。

    Flash や Adobe Reader などもそうなのだけど、特に Java は狙われています。
      1) 深刻なセキュリティ問題が頻出し続けている
      2) ユーザが利用していないのにインストールしていてる
      3) ユーザがアップデートしていないことが多い
      4) ブラウザクリックなどで比較的に簡単に攻撃できる
      5) ゼロデイの脆弱性が見つかっているのに対応版が出るのが遅いことがある
    などなど、攻撃者に好まれる要素が多数ああるのが原因でしょう。

    Java の好き嫌いではなくて、今現在 Java が徹底的に狙われているので、自己防衛(特に5の対策)として
    Java プラグインは削除することを強く推奨というのが最近のセキュリティ関係者間での常識。
  • by Anonymous Coward on 2013年12月03日 16時20分 (#2505195)

    もうよく憶えてないんだけど、以前、どこかのサイトでセキュリティのために何か(インストールされているソフトのバージョンだったかな)のチェックをするサービスやってたんだけど、Java入れないとダメってんで見送ったことがあったっけ。

  • by Anonymous Coward on 2013年12月03日 16時11分 (#2505187)
    煽りタイトルを付けたけど、ほんとうに怖くて入れられない

    マインクラフトおもしろそー、とか思うんだけどJava必須らしいから諦めてる
    • JAVA必須の上、IDチェックのためJAVAからのネット接続も必須。
      さらに、JAVAでグラボの3Dが使える事も必須。

      古いVistaプレインストールノートで遊ぼうとしたら、最後の部分ではねられました。
      結局デスクトップPCでやってます。

      LAN内でマイクラサーバも建てて、家族分マイクラを買って遊んでます。

      JAVAはマイクラと開発専用で、ブラウザプラグインは無効化。

      親コメント
    • by Anonymous Coward

      制限ユーザーで動かしとけばいいんでない?

  • by Anonymous Coward on 2013年12月03日 16時14分 (#2505188)

    「何が何でも消せ」言うとるのではなく、
    「不要であれば消せ」なのだから、そりゃそうだ、としか言えぬ。

    ※ただ、一律に管理したい環境においては、一度消してしまったら、
    必要になった時に再導入するための社内の手続きが面倒と言う都合があるかも。

    同じ人なのかは知らないが、この様な
    「不要なものを入れっ放しにしておくな」
    と言うご意見は、ここ2年ぐらいよく耳にする。
    そろそろ定着してきたのではないだろうか。

    • by camelus (41736) on 2013年12月03日 22時01分 (#2505449) 日記

      消したいのはやまやまだが、JREが必要で、ときどき使うソフトがあるので消せない
      Javaを入れたり消したりするのは面倒だし…

      親コメント
    • by Anonymous Coward

      不要なものを入れっぱなしにしておいても問題がないほど、
      計算機リソースは潤沢なものになったのですね。

      感無量です。

      • by Anonymous Coward

        潤沢になったのは計算機のリソースより計算機にくっついているストレージのリソースでしょう
        使わなければ死体が転がっているだけなのだから

      • by Anonymous Coward

        あなたが生きていられる程度には社会のリソースに余裕があるようです

      • by Anonymous Coward

        Windows95の前後くらいから、不要なプレインストールソフト満載のPCってありましたよ。
        リソースはあるだけ消費されるという法則のせいで、潤沢さを感じられないだけでは?

  • by Anonymous Coward on 2013年12月03日 16時25分 (#2505199)

    Windowsの使用を止めるべきですね

  • by Anonymous Coward on 2013年12月03日 16時42分 (#2505207)

    JREを入れておかないと、サイトから予期しない古いバージョンを入れられる恐れがあるので、普段JREを使わなくても最新版を入れとけと指示されている。
    Microsoft Updateでも、管理部門が指示したアップデートが入っていないと(画面上で)怒られる。
    Office入れてないPCなのにOfficeのアップデートが入ってないってどうすりゃええのよ。

    • by Anonymous Coward

      「Officeのライセンスは従業員人数分買ってあるんだから無駄にライセンス遊ばせてねえで入れとけよ入れてねえくせにxlsxやdocxが開けねえと抜かすとかお前ふざけてんの?」ってことだろ

    • by Anonymous Coward

      本当にOfficeが入っていないか再確認すべき?
      実はViewer入れてるなら該当者だし、一部業務アプリが使うAccess RuntimeとかもOfficeのパッチが適用されますよ。
      チェックルーティンが甘いならフィードバックすべき。自分の為にも。

  • by Anonymous Coward on 2013年12月03日 16時46分 (#2505209)

    プラウザの設定でJAVA無効にしてればよっぽどのことがない限りは問題ない

    • by Anonymous Coward

      Flashと同じ扱いまで落ちたかって感じですね。

      • by Anonymous Coward

        元々Flashより悪くない?
        ただFlashはアップデートのウザさが有るから目に付き易いってだけで。

        • by kei100 (5854) on 2013年12月03日 22時00分 (#2505448)

          運用面というか、更新面で元々Flash Playerより悪い印象しかないですね。
          Windows環境下の話ですが、JAVAは自動更新が1ヶ月に1回、しかも短く設定していてもアップデートで元に戻るというダメ仕様なので更新があっても直ぐ通知が出ないという。
          # 何時の間にかクリティカルなら1週間で通知だそうですが、今時その設定値は長い気がします。
          しかも、「毎日」が設定可能ですが、設定画面を開き直すと「毎週日曜日」になっているという不具合?持ち。
          更新出てても手動でチェックかけたら「最新のバージョンです。」って答えることも有るし、そりゃ避けたほうが無難でしょうね。

          Flash Playerは昔からログイン時限定とはいえ更新があったら通知されてきた実績があるし、今は一応バックグラウンド更新が可能で、24時間毎(粒度は1時間毎)に更新が有るかチェックする分だけマシかな。
          ブラウザ起動しっぱなしだと古いままだし、失敗してても解らないのがネックですが。
          Windows 8 IE用のFlash PlayerはWindows Updateで更新でログインしっぱなしでも更新され失敗時は解る。
          IEのタブがリロードされるけど、その分古いのが動きっぱなしにならないだけよりマシかも?
          タブレットというか、Windows8の目指す地点であるInstantGoでPC動かしっぱなしで実質スタンバイオンリーだと、ブラウザ再起動すらされない可能性ありますしね。

          親コメント
  • by Anonymous Coward on 2013年12月03日 16時50分 (#2505212)

    ブラウザプラグイン切っとけばなんてことはない。
    まぁ、それだと仕事で使うVPN接続できなくなるから困るんですけどね。

  • by Anonymous Coward on 2013年12月03日 17時03分 (#2505224)

    ○○には何入れても成立するわな。

    • by Anonymous Coward

      もう、電源切っとけってね。

      • by Anonymous Coward

        ほとんどの問題はヒューマンエラーから。
        問題のリスクを減らすためにはつまり、わかるな?

        • by Anonymous Coward

          人間の電源を切ります

    • by Anonymous Coward

      ○○の前の「使っていないなら」という修飾を無くすと、その通り。
      間違った前提の元では、間違った結論しか導かれない。

      • by Anonymous Coward

        むしろ無くしちゃダメだろ

  • by Anonymous Coward on 2013年12月03日 18時14分 (#2505284)

    iKVM関係は大体どのメーカーもAvocentのOEMのJavaでの実装だし
    ファイアウォールとかの管理ソフトもJavaアプレットでできているしし
    Java抜きにはマシンのメンテナンスが事実上できんのよね。はぁ

    まあネットワーク機器はttyで頑張るとか
    iKVM使わなくて済むように無人化自働化を推し進めるという手もあるけどさ

    JRE7update45は結構長いことアップデートがない気がする

    • by Anonymous Coward

      来月update51が出るってよ。アプレットは電子署名が必須になるらしい。ソースはこのへん [blogspot.jp]。

  • by Anonymous Coward on 2013年12月03日 18時23分 (#2505290)

    windows,flash,javaな。
    入れているバカな大企業はないよね?
    これでセキュリティがーとかスパイがーとか言ってないよね?

    • いやいや (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2013年12月03日 18時33分 (#2505298)

      一番の情報漏洩源は人だ。
      人入れているバカな大企業はないよね

      親コメント
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...