Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Java-faal

Oracle heeft een groot lek in Java gepatcht. Desondanks blijven experts kritisch. Heb jij Java nog geïnstalleerd?

Ja, ik heb Java nodig
40,3%
Ja, maar ik gebruik het eigenlijk nooit
22,7%
Nee, heb het al lang geleden verwijderd / nooit geïnstalleerd
9,4%
Geen idee
8,0%
Is Java onveilig? HUH?
7,3%
Nee, heb Java onlangs verwijderd
6,4%
Ja, maar heb het tijdelijk uitgeschakeld
5,9%

Aantal stemmen: 12.272. Deelname gesloten op 04-02-2013 13:37. Stemmen is niet meer mogelijk.


Reacties (78)

Reactiefilter:-178077+166+28+30
Moderatie-faq Wijzig weergave
Mochten mensen dit willen uitschakelen (of verwijderen)dan kan dit. Zo kom je er snel genoeg achter op je Java daadwerkelijk nodig hebt.

Het uitschakelen hiervan gaat alsvolgt:
Windows XP:
Start -> Instellingen -> Configuratiescherm (Klassieke weergave) -> Java -> Advanced tablad
Hier kun je alles uitvinken, en op Never allow zetten.

Windows 7:
Start -> Configuratiescherm (view by Icons) -> Java -> Advanced tablad
Hier kun je alles uitvinken, en op Never allow zetten.

MAC OSX:
Applications -> Utilities - Java preferences (nederlandse exacte vertaling blijf ik jullie schuldig tot ik thuis ben :p)


Mocht je deze zaken niet vinden, betekend het dat het niet is geinstalleerd. Dus dan hoef je je nergens druk om te maken ;)
Of alleen in je browser uitschakelen:

chrome://plugins/
etc. voor andere browsers: naar plugins gaan en java uischakelen. De meeste kwestbaarheden zullen via de browser binnenkomen, dus bovenstaande methoden zijn natuurlijk nog veiliger.
Ik las bij de concurrent dat woordvoerder Botezatu van Bitdefender vond dat Java eigenlijk geheel opnieuw herschreven zou moeten worden omdat de code meer patches dan originele code bevat. Ook de update van vandaag creeert gewoon weer nieuwe gaten. Ik had Java al sinds Nov 2012 van al mijn systemen verwijderd inclusief alle software die ervan afhankelijk was in afwachting van de patch van feb 2013. Ik ben benieuwd waar ze mee komen.
Als Botezatu dat zegt is het een idioot. De JVM moet misschien herschreven worden. Het overgrote deel van Java is bytecode en die zou gewoon veilig kunnen zijn.
(Het system security/privilege system van JRE mag van mij redesigned worden, wat het huidige systeem is zo complex voor eindgebruikers dat bijna iedereen gewoon "allow all" heeft ipv het systeem een beetje dicht te timmeren.)
Ik las bij de concurrent dat woordvoerder Botezatu van Bitdefender vond dat Java eigenlijk geheel opnieuw herschreven zou moeten worden omdat de code meer patches dan originele code bevat
Ik mag toch hopen dat er weinig originele code in overgebleven is.

En opnieuw schrijven, tja dat is gewoon tig manjaren investeren om aan het einde tig keer meer bugs te hebben dan nu (nu is een groot gedeelte al gefixed, bij opnieuw schrijven krijg je ze allemaal weer opnieuw in een net iets andere vorm)
Een groot deel van de mensen die denken Java nodig te hebben het niet nodig.
Helaas zie je steeds meer "gewone" consumenten die Java hebben en daardoor bv. Het politievirus krijgen en in de stress schieten. Dus daaromidd gewoon Java van je pc halen en installeren als je het echt nodig blijkt te hebben
Wat ik merk is dat je minder de java-plugin gebruikt dan bv. een jaar of 10 geleden, men maakt steeds meer gebruik van minder 'ingrijpende' oplossingen. Ik heb daarom recentelijk op mijn PCs en die van een klant JAVA geheel gedeinstalleerd, tot op heden nog geen enkele klacht gehad ivm. met (belangrijke) functionaliteit die niet werkt. Het probleem is echter dat menig organisatie nog met websites werken die wel de java-plugin nodig hebben en deze actief is voor heel het internet ipv. een aantal individuele adressen.

De java runtime wordt echter nog wel heel vaak gebruikt voor open source software/projecten, waardoor je daar vaak ook niet helemaal onder uitkomt...
En niet te vergeten als je Android apps maakt dat je ook Java nodig hebt :).
Helaas. Voor online colleges van de OU gebruiken we Elluminate Live. Anders had ik het allang verwijderd, verbrand, in stukken gesneden en een voodoodans op de nasmeulende resten gedaan.

En dan niet alleen om de veiligheidsissues maar ieder pakket waarvan de installer (opt-out!) een toolbar wil installeren verdient het om van de aardbodem te verdwijnen.
Eigenlijk mis je de optie:

"Ja, maar niet uit vrije wil"

(Net als die rommel van Adobe enzo)
Echt, waar in de wereld komt het idee vandaan dat er iets mis zou zijn met java en flash. Echt, dit begint gewoon ziekelijk te worden in hoeverre zelfs ICT'ers aan hypes en dergelijke laten beinvloeden. Eerst met flash vooral na aanleiding van Apple en nu eigenlijk weer door apple een anti golf tegen java. Er is niks mis met het idee van plugins! Natuurlijk, het is allemaal super mooi om dingen met open standaarden te doen en zelf ben ik ook een HTML5 developer met minimale ervaring in flash of java (server side alleen)... maar ik ga het geen rommel of wat dan ook noemen puur omdat er net zoals in tal van andere software eens in de tijd een kritisch lek in voorkomt. Ik bedoel, ik hoor jullie ook niet roepen dat jullie willen dat sites stoppen te bestaan, want er zitten kritische lekken in browsers en dat alles maar native moet.

Laat ik even flash als voorbeeld nemen, zelf ben ik echt een *groot* voorstander van HTML5 en heb ik de vorming meegemaakt en in minimale zin zelfs aan bijgedragen. Toch zal je mij niet horen ontkennen dat tot de dag van vandaag de performance van flash nog steeds wint over die van de meeste HTML5 based alternatieve implementaties (vooral dan op grafisch geanimeerd vlak). En hetzelfde geld tot in zekere mate ook voor java. De mogelijkheden die java bied voor cross platform applicaties is geweldig... java moet je in een bepaalde zin ook gewoon als een browser zien, want allebei creeeren ze een sandboxed environment waarin een applicatie kan draaien... en daar word dankbaar gebruik van gemaakt door bepaalde bedrijven. Mooi toch alleen? Zelf vind ik het irritant vanuit een security oogpunt dat het niet duidelijk aan de eindgebruiker waartoe hij toestemming geeft bij het draaien van java applets, maar ik ga het daarom nog geen rommel noemen. (Ben trouwens wel voorstander van het automatisch uitschakelen van ernstig lekke software, maar dat is een ander verhaal). en @toolbars... ach ja... Oracle is gewoon een *rot* bedrijf... ik mis Sun...
Echt, waar in de wereld komt het idee vandaan dat er iets mis zou zijn met java en flash.
Een zeer lange geschiedenis van probelemen met beveiliging en stabiliteit.

Feiten dus. Feiten die de rest van je relaas compleet irrelevant maken.
Een zeer lange geschiedenis van probelemen met beveiliging en stabiliteit.
Zo een geschiedenis hebben Windows, Linux, OS-X, Office, BSD en nog vele anderen ook.
Van kernels, drivers, en kritieke services kun je verwachten dat elk foutje grote gevolgen heeft. Maar het gaat hier over browser plug-ins.

Juist van plug-ins moet je kunnen verwachten dat de scheiding tussen host en code veilig is (en dus de stabiliteit van de host ook niet in gevaar kan brengen). Zeker grote plug-in-bakkers als Adobe en Oracle hebben de tijd en middelen om dit te garanderen, door de correctheid van dat deel van de software te bewijzen. De rest van de bijgeleverde libraries mag buggy zijn, omdat dat netjes binnen de perken van de "sandbox" valt. Helaas vertikken ze om dit te doen.

Van Microsoft Office heb ik nooit beweerd dat het goede software is.

[Reactie gewijzigd door 164019 op 18 januari 2013 12:21]

Precies wat Tinctorius zegt. Ik wist niet eens dat Apple iets tegen Flash of Java had. Persoonlijk heb ik niet zoveel problemen met Java (komt misschien omdat ik het amper gebruik). Maar met Flash ben ik echt al extreem veel problemen tegen gekomen, waardoor ik een aardige afkeer tegen Flash heb gekregen.
Hoe kom je er bij dat Apple iets tegen Java heeft? Of iets tegen Java heeft opgezet? Ze hebben alleen de browser plugin geblokkeerd. Meer niet. (Dat hebben wel meer browsers gedaan).

Flash heeft Apple alleen iets tegen gezegd op mobiel, en terecht. Adobe heeft in al die jaren nog nooit een fatsoenlijke flash client laten zien op mobiel. Nooit. Dan moet je keuzes maken: wil ik zo'n gedrocht ondersteunen, of ga ik voor iets wat minder slecht is, ook al is dat nu nog minder volwassen?

Breken met het verleden is juist opmerkelijk moedig in dit vak, en ik ben blij dat iemand dat heeft gedaan om Adobe voor hun broddelwerk te bestraffen. Ik heb die rotplugin overal gedeinstalleerd, vanwege de reclame banners die herrie maakten en vooral 100% CPU trokken. Reclame heb ik geen problemen mee vaak (hoewel ik tegen de reclame hier een betaalde account heb), maar at ging me echt te ver. Niets mag zoveel resources slurpen.
Als je ooit iets anders gebruikt dan windows werkstations (zoals OS X, linux, tablets of smartphones) kom je er wel achter dat er een *hoop* mis is met plugins. Alle plugins moeten gewoon dood. Dat is de enige manier om het web vrij en open te houden. Het web hoort voor iedereen hetzelfde te werken, of je nou windows en IE gebruikt, Linux met Opera, of een iPad.

Maar daar ging de discussie verder niet over. Het hele punt was hier dat er voor de zoveelste keer een lek is gevonden in java. Dat heeft niks te maken met anti-plugin, maar met software die niet veilig genoeg is. Als er iedere week een nieuw lek wordt gevonden, wie wil het dan nog gebruiken?

Java is inderdaad geen rommel. Het is een prima programmeeromgeving die op veel plaatsen voor nuttige zaken wordt gebruikt. Het heeft in een browser echter niks te zoeken. Op het web stikt het van hackers die jouw computer willen infecteren met malware. Maar dat is niet java specifiek. ActiveX was een van de slechtste ideeën ooit, en eigenlijk iedere manier om software direct van het web te draaien faalt al voordat het gemaakt is. Laat java lekker lokaal programma's draaien en laat het weg uit de web browser.

Gelukkig zijn web-java en flash al aan het uitsterven en is silverlight nooit echt van de grond gekomen. Het web begint langzaam plugin-vrij te worden. Het enige probleem is oude software die niet meer geupdate wordt.
Naast wat Tinctorius al aangeeft blijkt ook nog eens spreekt over open standaarden en HTML5 in een zin, helaas is HTML5 in tegenstelling tot wat velen denken nog geen standaard en zijn er nog vele interpretaties van HTML5 in de verschillende browsers aanwezig.

HTML5 is bij de W3C nog niet verder dan Candidate Recomandation en zal nog als standaard geaccepteerd moeten worden. http://www.w3.org/TR/html5/

Daarna moeten de browsers nog de exacte W3C definitie van HTML5 gaan inbouwen dus voor dat HTML5 daadwerkelijk als standaard werkt zijn we nog wel even verder.
Verder ben ik een groot voorstander van HTML5!

En ja er is behoorlijk wat mis met plugins, denk er eens over na...

Ik zoek info, ik kom op een website die mij dwingt om eerst zo'n plugin te installeren (dus wachten), dan ben ik al weg...
Internet is snelle informatie, en als ik die niet snel krijg omdat er gevraagd wordt naar een plugin dan ben ik weg en heb jij als aanbieder van informatie je doel gemist!

Ik installeer namelijk geen plugins wegens een lange geschiedenis van lekken en daarmee opgelopen driveby infecties.
Ik heb het nog en ga het niet verwijderen.. ik denk dat het wel meevalt zolang je maar gewoon alle updates installeerd. Maar ja, ik schrijf op dit moment zelf wat software in Java.
Niets is minder waar en dit is een hele jammerlijke aanname. Updates komen vaak veel te laat. Lees het artikel maar. Ook duurde het vele weken bij het vorige lek voordat het weer "veilig" was, maar ondertussen worden exploits massaal misbruikt.
Java op zichzelf is ook niet zo'n probleem en is veiliger dan menig ander softwarepakket, maar het gevaar zit 'm in drive by downloads op systemen waar Java als plugin in de browser zit ingebakken.
Wat is massaal? Op hoeveel devices is de lek daadwerkelijk misbruikt t.o.v. de totaal aantal devices waarop de lek misbruikt zou kunnen worden?

Ik heb vaak wel het gevoel, zonder serieuze leks te bagataliseren, dat veel van dit soort zaken ontzettend opgeblazen worden.

Niks, maar dan ook echt niks, is volledig veilig en dicht. Wanneer je een firewall, virusscanner, malware scanner, je updates doet en UAC (aan) hebt staan, kun je naar mijn mening met enige nuance naar dit soort nieuwsberichten kijken en niet gelijk volledig in de stress schieten.
Heel veel dus. Hier een blog post over 1 van de vorige 0day exploits icm met een van de meest gebruikte exploit kits beschikbaar.
Usually, a good exploit kit like BlackHole has a success rate of around 10 percent for infecting machines visiting the servers. In the new version of BlackHole infection servers, we have seen up to a 25 percent success rate! (see Figure 1 and Figure 2)

Furthermore, statistics show that Java exploits in BlackHole servers are 75 to 99 percent successful (see Figure 3).
Bron

Daarnaast het feit dat Java geen zelfupdate mechanisme heeft zoals bijvoorbeeld Chrome, zorgt ervoor dat een hoop mensen met verouderde versies surfen. Volgens mij is het tegenwoordig wel beter, maar ik zou het niet weten. 1/2 geleden Java eraf gegooid en nooit meer gemist.


//edit

Ow lekker dan, nu blijkt er alweer een nieuwe 0day te koop te zijn voor java, zal niet lang duren voordat die gebruikt word
Less than 24 hours after Oracle patched a dangerous security hole in its Java software that was being used to seize control over Windows PCs, miscreants in the Underweb were already selling an exploit for a different and apparently still-unpatched zero-day vulnerability in Java, KrebsOnSecurity has learned.
Bron

[Reactie gewijzigd door DRaakje op 16 januari 2013 15:21]

Te veel. Dit soort lekken worden wel degelijk heel erg veel misbruikt. Daarnaast zijn drive by downloads de nummer 1 infectiebron en dat is mij zelf ook al eens overkomen. En elke gemiddelde computergebruiker die ik ken heeft in de laatste 1-2 jaren wel een trojan opgelopen door gewoon een beetje rond te surfen en niks "raars" aan te klikken.
Dus op hoe veel devices? Vele miljoenen waar java+browser op staat.
Dit is alles behalve opgeblazen, en dat o.a. omdat een groot deel van de gebruikers geen flauw idee hebben dat ze geinfecteerd zijn en waardoor. Nou, hierdoor dus.
In ieder geval is het zeker aan te raden de nummer 1 infectiebron tegen te gaan, door simpelweg plugins uit te schakelen in je browser. Het scheelt bijzonder veel.
Java wordt gebruikt door veel bekende editors zoals Eclipse en Netbeans, deze gebruik ik vaak, dus ik heb Java nodig. Op websites heb ik standaard wel java uitstaan! Op die manier is het toch relatief veilig.
En vergeet niet de tools die door de meeste web-professionals worden gebruikt. Apache Ant, Apache Maven en Rhino. En de vele web applicatie servers die het draaien.
Java uitschakelen betekend verplichte vakantie...
Uit ervaring weet ik dat je prima een web professional kan zijn zonder Java op je PC te hebben draaien. Sterker nog, ik heb nog nooit van Ant, Maven of Rhino gehoord.
Tja, java wordt dan ook meer op het back-end gedeelte ingezet ipv front-end.

De browser plugin is nooit zelfs maar redelijk geweest.
Alle technieken die ik in mijn eerste comment heb genoemd zijn gericht op front-end development.

Een geautomatiseerd script die netjes de CSS per template samenvoegt tot één bestand. Het script dat die het dan minified. Een script dat alle JavaScript bestanden samenvoegt tot één bestand, minified en obscurified en de Unit tests uitvoert. Het script dat het vervolgens upload naar de QA en productie servers.

De Jenkins server die de subversion polled om te kijken naar of er updates zijn, en vervolgens de scripts uitvoert. Dat zijn allemaal front-end development taken die afhankelijk zijn van Java. In mijn geval betekend dat dus als we Java niet aan mogen hebben staan op onze servers/workstations, dat ik dan koffie kan gaan drinken de hele dag.
Er zijn genoeg sites die gerenderd worden door een java applicatie. Bij ons op het werk zijn we aan het overschakelen naar ruby on rails, maar onze oude sites zijn allemaal java-based. Maar voor dit soort lekken moet een hacker code kunnen draaien in jouw JRE, zoals bv door een applicatie aan te bieden via de browser plugin. Voor jouw site hoef je je denk ik niet zo druk te maken.
zonder java geen minecraft server... :-( heb het dus nodig

[Reactie gewijzigd door _-SaVaGe-_ op 14 januari 2013 17:06]

Maar de browser-plugin niet ;)
Een jaar geleden installeerde ik Java nog vaak op PC's. Tegenwoordig is dit *gelukkig* stukken minder nodig. Tegenwoordig word er net als vele andere programma's een toolbar meegeleverd, veel te overbodig voor in feite een uitgebreide (browser)-plugin.

Helaas zijn er nog toepassingen waar Java een must is: Cisco, Citrix, etc. Voor bedrijven is het dus vaak minder makkelijk Java niet te installeren. Een consument zal niet zo snel Java nodig hebben. Ik denk persoonlijk dat Java veel werd geinstalleerd voor het programma Limewire of een BitTorrent-client.
veel te overbodig voor in feite een uitgebreide (browser)-plugin.
Je installeert de jvm, waarop alle java programma's draaien. Da's wel iets heel anders dan een uitgebreide browser plugin ;)
De java browser plugin heb je zo goed als nooit nodig, en die Ask toolbar optie mogen ze inderdaad uit de installer slopen.

[Reactie gewijzigd door Blitzdoctor op 15 januari 2013 13:02]

veel te overbodig voor in feite een uitgebreide (browser)-plugin.
Lol, en win8 is gewoon een nieuw achtergrondje voor IE...
Zo erg is Java helemaal niet, ik vindt het geen fijne taal om in te werken maar het kan zo ontzettend veel! Zelf speel ik ook wel behoorlijk veel Minecraft en het feit dat de mods zo makkelijk te maken en te implementeren zijn is toch voor een groot gedeelte te danken aan Java.
Dus dat gehaat is een beetje een hype en overdreven...
Aan de andere kant zijn de slechte prestaties van het spel ook ten delen te danken aan java, natuurlijk draait het nog goed op een moderne pc maar het spel is wel degelijk onnodig zwaar, helemaal op linux al is het daar meteen een compatibiliteit probleem als dat niet zo zou zijn.

Natuurlijk bied het ook gemak maar mods hadden ook in andere talen geïmplementeerd kunnen worden, en het is natuurlijk niet alleen de schuld van java dat minecraft zo slecht draait.
Ik heb Lava nodig voor een aantal programma's en web applets.

Offtopic:
{n00b mode}

Kan iemand uitleggen wat het verschil is tussen Java applets en tomcat is? iemand vertelde dat tomcat server-sided is en daarom minder/geen veiligheidsgaten heeft.. waarom zouden ontwikkelaars dan niet voor Tomcat kiezen?

wat klopt er wel, heb ik iets verkeerd begrepen?

{/n00b mode}
Het verschil zit hem in waar het uitgevoerd word. Op de server-side kun je veel dingen doen, maar uiteindelijk word er een statisch (meestal HTML) pagina teruggestuurd. Je kunt niet direct reageren op input van de gebruiker omdat, voor je dat kan zien, eerst een reactie naar de server teruggestuurd moet worden.

Om bijvoorbeeld animaties te tonen of bijvoorbeeld direct iets te doen zodra de gebruiker iets doet in je applicatie of iets anders wat op de computer zelf uitgevoerd moet worden heb je de applets nodig. Het is vergelijkbaar met JavaScript eigenlijk.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Microsoft Windows 10 Pro EN

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True