Video: Загрузка и установка СУБД ORACLE / Илья Хохлов (November 2024)
Oracle je glede na nedavne ranljivosti, ki jih je našla Java in nenehne skrbi glede splošne varnosti tehnologije, ponovno obljubil, da bo odpravil težave.
Oracle je že naredil nekaj sprememb v Javi in dela na novih pobudah za izboljšanje varnosti, je v petek v blogu zapisal Nandini Ramani, vodja razvoja Java v Oracleu. Po nizu odmevnih spletnih napadov, ki so bili namenjeni zaposlenim v različnih panogah, se je Orace zavezal, da bo reševal temeljna vprašanja v okolju različnih platform.
Dve izmed sprememb, opisanih v Ramanijevi objavi, vključno s posodobitvami varnostnega modela applet in privzeto vedenje vtičnika Java, so že objavljene. Trenutno se razvijajo druge spremembe, na primer način, kako Java upravljajo z preklicanimi potrdili, izvajajo lokalne varnostne politike za ustvarjanje pravil po meri in omejujejo knjižnice, ki so na voljo za aplikacije na strani strežnika. Ramani ni navedel, kdaj bodo te posodobitve na voljo.
Kaj pa peskovnik?
"V celoti gledano je to za Javo dobro, vendar te spremembe ne rešujejo osnovne težave s samim peskovnikom Java, " je v poročilu HD Moore, glavni raziskovalni direktor Rapid7 in ustvarjalec okvira za preizkušanje metasploit, dejal HD e-pošto na SecurityWatch.
Java peskovnik je zaščiteno območje, kjer se izvajajo aplikacije, ločeno od osnovnega sistema. Peskovnik naj bi lovil zlonamerne izvršljive datoteke, preden bodo lahko prevzeli postopek ali ugrabili teče procese. Vendar pa so napadalci uspešno izkoristili več ranljivosti, da so zaobšli Java peskovnik.
"Dokler Oracle ne bo izvajal peskovnika na nivoju procesov, kakršnega uporabljata Adobe Reader in Google Chrome, lahko zlonamerni programček z veljavnim podpisom še vedno zlorablja pomanjkljivosti varnosti JRE, da uide v peskovnik in ogrozi sistem, " je dejal Moore.
Dosedanje spremembe
Oracle je pred kratkim posodobil varnostni model, tako da lahko uporabniki izvajajo podpisane programčke brez dodelitve dodatnih privilegijev in preprečujejo izvajanje nepodpisanih programčkov. To pomeni, da samo podpisovanje apleta ne bo več samodejno dalo programu možnost, da se izloči iz peskovnika.
"To je dobro za varnost, " je dejal Moore.
Še ena dobra stvar je dejstvo, da privzete varnostne nastavitve zdaj preprečujejo izvajanje nepodpisanih ali samopodpisanih apletov. Sprememba zdaj omogoča beleženje določenih spletnih mest in centralno upravljanje varnostnih politik Java v podjetju, je opozoril Moore.
In kmalu...
Trenutno Java podpira tako sezname za preklic potrdil (CRL) kot tudi spletni protokol o statusu potrdil (OCSP), da preveri, ali je podpisano potrdilo še vedno veljavno. Ker pa preverjanja ne izvajajo privzeto, tudi če bi bilo preklicano potrdilo, bi napadalci lahko še naprej uporabljali to slabo potrdilo. Oracle načrtuje posodobitev, ki bi omogočila privzeto preverjanje.
Prihodnja lokalna varnostna politika daje skrbnikom dodatni nadzor nad nastavitvami pravilnika, na primer, da sistemskim administratorjem omogočijo, da določijo, na katerih računalnikih se lahko izvajajo jabolčni programčki in kateri računalniki ne morejo.
Čeprav so vsa nedavna preskusa Java vplivala na programčke, ki se izvajajo v spletnem brskalniku, Oracle prav tako raziskuje načine, kako zagotoviti, da bodo aplikacije na strani strežnika ostale varne, je dejal Ramani. Ena sprememba bi bila odstranitev nekaterih knjižnic, ki na strani strežnika niso potrebne, da bi zmanjšali površino napada.
Nov seznam za posodobitve
Oracle bo tudi Java nekoliko pogosteje posodabljal. Trenutno se Java posodablja trikrat na leto, po ločenem razporedu posodobitev od vseh drugih izdelkov Oracle. Ramani je dejal četrtletna posodobitev kritičnih popravkov, vključno s popravki Java v oktobru. Oracle bo po potrebi še vedno objavljal posodobitve za nujne primere, "zunaj pasu".
Glede na to, da je procesor že dolgotrajen napor za skrbnike, dodajanje Java v mešanico samo še bolj posodobi. Po drugi strani pa to pomeni, da se administratorjem ni treba spomniti ločenega urnika posodobitev Jave.