Nieuw beveiligingsprobleem Java wordt mogelijk al misbruikt

Een beveiligingsonderzoeker heeft een nieuw en ernstig beveiligingsprobleem ontdekt in Java, dat op dit moment wellicht al wordt misbruikt door aanvallers en werkt op een volledig gepatchte Windows-machine. Gebruikers kunnen het beste de Java-plug-in uitschakelen.

De kwetsbaarheid werd eerder op donderdag gemeld door hacker Kafeine op het weblog Malware Don't Need Coffee, maar aanvankelijk was niet duidelijk of zijn claims op waarheid berustten. Beveiligingsbedrijf Alien Vault heeft het beveiligingsprobleem met de informatie die Kafeine beschikbaar heeft gesteld nu weten te reproduceren. Ze wisten eigen code uit te voeren met behulp van het lek, op een volledig gepatchte Windows-installatie met Java.

Er zijn twee redenen waarom het beveiligingsprobleem ernstig is. Allereerst gaat het om een probleem waarvoor nog geen patch bestaat en dat tot voor kort nog niet bekend was, een zogenoemd zero day-beveiligingsprobleem. Daarnaast wordt het lek al in het wild misbruikt, denkt Alien Vault: de exploit kits Blackhole en Nucleair Pack zouden de kwetsbaarheid al opgenomen hebben. Exploit kits misbruiken kwetsbaarheden in software om virussen te installeren op pc's van gebruikers.

Omdat er op dit moment nog geen patch beschikbaar is, is de enige oplossing het uitschakelen van de Java-plug-in in de browser, schrijft Alien Vault. Wat het beveiligingsprobleem precies inhoudt, is echter nog niet geheel duidelijk, al lijkt het erop dat het permissiesysteem van Java om de tuin wordt geleid.

Wanneer het beveiligingsprobleem wordt opgelost, is onduidelijk. De eerstvolgende driemaandelijkse 'patchronde' van Java vindt plaats in februari, maar of deze kwetsbaarheid nog kan worden meegenomen, is onduidelijk. In oktober slaagde Java-eigenaar Oracle er niet in om een ernstig beveiligingsprobleem op tijd te patchen voor de patchronde.

In het afgelopen halfjaar kwamen er verschillende zero day-problemen in Java naar buiten. Een van de patches die een eveneens actief misbruikt Java-lek patchte, introduceerde een nieuw lek. Volgens beveiligingsbedrijf Kaspersky is Java het populairste doelwit van malwareauteurs; in het derde kwartaal van 2012 zou 56 procent van de malware zich op Java hebben gericht.

De onderzoekers van Alien Vault starten met behulp van de exploit vanuit de browser de applicatie calc.exe. Echte malware voert schadelijkere trucs uit.

Door Joost Schellevis

Redacteur

Feedback • 10-01-2013 16:0290

10-01-2013 • 16:02

90 Linkedin

Lees meer

Oracle Java SE

geen prijs bekend

Score: 3.5

Minister VWS: afweging veiligheid en functionaliteit ligt bij zorgverleners zelf Nieuws van 27 oktober 2016
Ministerie VWS raadt zorgverleners aan om browsers niet te updaten Nieuws van 22 september 2016
Auteur BlackHole-exploitkit is opgepakt Nieuws van 8 oktober 2013
Oracle dicht opnieuw Java-lekken met noodpatch Nieuws van 5 maart 2013
Facebook claimt doelwit te zijn geweest van 'geavanceerde aanval' Nieuws van 16 februari 2013
'Speedtest.net verspreidde malware' Nieuws van 7 februari 2013
Cisco: onlineadvertenties zijn groter beveiligingsrisico dan porno Nieuws van 31 januari 2013
Java bevat mogelijk opnieuw beveiligingsgat Nieuws van 16 januari 2013
'Oracle heeft Java-lek niet gepatcht' Nieuws van 15 januari 2013
Kaspersky: malware-aanval op overheden bleef vijf jaar onopgemerkt Nieuws van 14 januari 2013
Oracle patcht misbruikt Java-lek voortijdig Nieuws van 14 januari 2013
Oracle: Java-lek wordt 'binnenkort' gerepareerd Nieuws van 13 januari 2013
Apple blokkeert Java op Mac OS X Nieuws van 12 januari 2013
Oracle activeert auto-updatetool voor migratie naar Java 7 Nieuws van 17 december 2012
Groot beveiligingsprobleem Java pas in februari gedicht Nieuws van 18 oktober 2012
Onderzoeker ontdekt groot beveiligingsprobleem in Java Nieuws van 26 september 2012
'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt' Nieuws van 17 september 2012
Kaspersky werkt samen met Apple om beveiliging op te schroeven - update Nieuws van 14 mei 2012
Firefox blokkeert onveilige Java-versies Nieuws van 3 april 2012
'Veelgebruikte opensource-Java-libraries vertonen kwetsbaarheden' Nieuws van 26 maart 2012
G Data: malwaregroei is afgevlakt in 2010 Nieuws van 11 februari 2011
Meer producten en artikelen
System en netwerk utilities Netwerk en systeembeheer Oracle

Reacties (90)

-Moderatie-faq
90
87
72
8
2
5
Wijzig sortering
SmokingCrop
10 januari 2013 16:09
Het uitzetten van Java in Chrome kan gemakkelijk door chrome://plugins in the adresbalk te steken en dan bij Java op uitschakelen drukken.

In firefox kan je dit door op de alt toets te drukken en dan bij extra naar Add-ons te gaan en daar de Java-plugin uit te schakelen.

In Internet Explorer druk je op het tandwiel icoontje -> invoegtoepassingen beheren -> Java plug-in uitschakelen

[Reactie gewijzigd door SmokingCrop op 10 januari 2013 16:16]

Anoniem: 146814
@SmokingCrop10 januari 2013 16:25
Dit is op zich een aardige oplossing, maar voor zakelijk gebruik haast niet te doen. Het vereist immers de medewerking van gebruikers om java na kortstondig gebruik weer uit te schakelen. Mijn oplossing is om via GPO > User > Administrative Templates > Windows Components > IE > Internet Control Panel > Security Page > Internet zone de optie Disable java te gebruiken. Hierdoor moet een domeinnaam expliciet in de trusted zone opgenomen worden om java te mogen draaien.
Cobalt
@SmokingCrop10 januari 2013 17:33
Sinds laatste versie kan je via "Control Panel\Programs\Java" (Java Control Panel) in het security tabblad de java plugin voor alle browsers in één keer uitschakelen en ook de security settings aanpassen.
snowD
@SmokingCrop10 januari 2013 16:38
Chrome geeft bij mij aan dat het een kritieke beveiligings update heeft.
Beun de Haas
@SmokingCrop10 januari 2013 18:35
Voor Opera gebruikers: opera:plugins in de adresbalk typen en daar Java uitschakelen.
Pineka
@SmokingCrop10 januari 2013 19:08
Ik heb in Chrome bij chrome://plugins geen Java staan. Dus ik denk dat je dan wel Java zelf geïnstalleerd moet hebben en dat heb ik dus niet.
bodamn
@SmokingCrop10 januari 2013 22:08
Firefox heeft het bij mij automatisch gedaan maar toch bedankt!
Jimmy89
10 januari 2013 20:43
Wat ik mis in het artikel is informatie over de nieuwe disable functie die Oracle in Java 7 Update 10 heeft geintroduceerd. Via Configuratiescherm --> Java kan onder het Security tabblad "Enable Java content in the browser" worden uitgevinkt. Hiermee is nog steeds Java beschikbaar voor je applicaties, maar kan deze niet worden uitgevoerd/geexploiteerd door websites. Je kan tevens het security niveau instellen wat je voor applets wilt hanteren (zoals alleen het uitvoeren van applets met een vertrouwd certificaat).

Tevens iets wat voor mijn gevoel nog zeer onbekend is, is de nieuwe ExploitShield applicatie van Zero Vulnerability Labs. Deze applicatie heeft, tot nu toe, elke exploitatie in browsers en Java geblokkeerd. Ze werken niet meer signatures, waardoor ook nieuwe exploits worden geblokkeerd.
Het (gratis) product kan worden gedownload van: http://www.zerovulnerabilitylabs.com/home/. Sinds hun nieuwe versie zijn er geen verhoogde rechten nodig om de applicatie te draaien.
MAZZA
10 januari 2013 16:08
Ik ben blij dat ik Java nergens voor gebruik. Ik heb het dan ook al een jaar niet meer geinstalleerd staan. Juist om de reden dat het de focus heeft van veel hackers.

En drie-maandelijkse update rondes? Hoe uit de tijd is dat. Ik mag toch hopen dat ze tussendoor voor dit soort veiligheidsgaten uitzonderingen maken.
Fuzzillogic
@MAZZA10 januari 2013 22:39
Oracle is slecht bezig, dat is duidelijk. (Zelfs) bij Sun was Java nog in betere handen. Maar dat geklaag op Java en "uninstall het!" en weet ik wat is gewoon overdreven. Zet gewoon je plug-ins op "on demand" en je hebt er geen last meer van - ben je meteen van de Flash-problemen af. Enkele sites white-listen indien handig en klaar ben je.
kimborntobewild
@Fuzzillogic11 januari 2013 07:04
Het probleem is dat bijna niemand die optie kent om de betreffende plug-ins 'on demand' te zetten.
Dreamvoid
@Fuzzillogic11 januari 2013 11:28
OpenJDK is een open source project, de beveiligingsproblematiek is een zaak van de hele open source community, niet alleen Oracle.
Vaevictis_
@MAZZA10 januari 2013 16:43
Inderdaad als het niet strikt noodzakelijk is gewoon deinstalleren. Hoe minder software hoe minder mogelijke exploits.

Daarnaast is Secunia PSI een goede, die kan automatisch software patchen indien er nieuwe updates (zowel Microsoft updates als applicatie updates) beschikbaar zijn!

http://secunia.com/vulnerability_scanning/personal/
H!GHGuY
@Vaevictis_10 januari 2013 19:09
Het idiote aan Secunia PSI is dat ze voor het weergeven van hun resultaten een Flash player nodig hebben. 8)7
BlaDeKke
@MAZZA10 januari 2013 16:20
En drie-maandelijkse update rondes? Hoe uit de tijd is dat. Ik mag toch hopen dat ze tussendoor voor dit soort veiligheidsgaten uitzonderingen maken.
Ik hoop hetzelfde.
Vorig jaar ergens in september las ik nog dat oracle zelfs bij een beveiligingsprobleeem die al misbruikt werd er geen uitzondering op maakte totdat er een enorme druk vanuit de community kwam. Dan hebben ze het gat maar vlug gepatcht.

edit: Ik dacht dat het dit lek was. Het kan ook een andere zijn, er zijn er het laatste jaar zoveel gepasseerd dat je door de bomen het bos niet meer ziet.

[Reactie gewijzigd door BlaDeKke op 10 januari 2013 16:23]

Artimunor
@MAZZA11 januari 2013 10:06
Ik ontwikkel in o.a. Java, maar de browser plugin heb ik lang geleden al verwijderd.
Het is wel triest hoe onzorgvuldig Oracle met Java omgaat.
Ik heb nog hoop maar vrees het ergste voor de lange termijn.
Pendaco
@MAZZA11 januari 2013 10:11
Idd. Hier ook al tijden van het systeem af..

Het zou eens tijd worden dat de grote OEMs; Sony, HP, Dell etc. Java niet meer voorinstalleren op de systemen die ze leveren. Veel mensen hebben namelijk niet eens door dat het erop staat en daarbij ook nog standaard aanstaat in de browser (IE over het algemeen).
Standeman
10 januari 2013 16:09
Ongelovelijk dat Oracle zo blijft falen bij het uitbrengen van nieuwe versies. Gelukkig heeft 99% van de internetters geen java plugin in de browser nodig, maar dan moeten ze hem wel handmatig uitschakelen. Ik ben benieuwd of Mozilla hem weer standaard uit gooit.

Overigens zit me af te vragen of dit gat ook in de linux / mac versies zit van de plugin? Het lijkt erop dat het windows only is..

[Reactie gewijzigd door Standeman op 10 januari 2013 16:12]

Niemand_Anders
@Standeman10 januari 2013 17:30
Als alle Java versies vatbaar zijn voor dit probleem, is dat een overblijfsel van Sun. Voordat Oracle Sun overnam had Oracle eigenlijk niet rechtstreeks met consumenten te maken.

Voor bedrijven zijn voorspelbare patch rondes erg belangrijk. Oracle houd 3 maandelijkse patch rondes aan, Microsoft een maandelijkse. ronde

Maar met Java krijgt Oracle ineens te maken met consumenten. En ineens wordt het belangrijk binnen een paar uur danwel dagen met een patch te komen. Dat gaat in tegen de volledige Oracle cultuur. Het zou mij dan ook niet verbazen als Oracle Java doneert aan de Apache foundation..

De bug zit in alle Java versies dus helaas ook in die voor Linux en OSX. Echter het percentage Linux gebruikers is erg laag en vaak draait de JRE in user space en daarnaast zijn er voor Linux ook alternative JRE zoals die van IBM. Dat maakt het lastiger de exploit onder Linux te misbruiken. Daarnaast zijn er in tegenstelling tot Windows weinig virussen voor Linux. Redkit en Blackhole werken daarop gewoon niet.

Dus onder Linux ben je wel vatbaar voor de bug (De Java plugin voor Chrome zal voor Linux niet veel verschillen van die voor Windows), maar is het een stuk lastiger nuttige code te laten uitvoeren..
TheekAzzaBreek
@Niemand_Anders10 januari 2013 21:23
...
Maar met Java krijgt Oracle ineens te maken met consumenten. En ineens wordt het belangrijk binnen een paar uur danwel dagen met een patch te komen. Dat gaat in tegen de volledige Oracle cultuur. Het zou mij dan ook niet verbazen als Oracle Java doneert aan de Apache foundation..
...
Java is steeds als de hoofdreden genoemd voor de Sun overname. Erg onwaarschijnlijk dat dat weggegeven wordt, al is je opmerking over de bedrijfscultuur raak.
codex
@TheekAzzaBreek10 januari 2013 23:55
Ik denk dat Oracle dacht veel geld te kunnen verdienen aan patent zaken zoals tegen Google/Android. Aangezien ze daar van een koude kermis zijn thuisgekomen zou het mij niet verbazen als Oracle van Java af wil. Het zou mij verbazen als Java meer oplevert dan het Oracle nu kost.
arjankoole
@codex11 januari 2013 08:10
Oracle gebruikte overal in hun producten al enorm veel java, voor oracle was de overname van sun derhalve een strategische actie, het zou gevaarlijk zijn geweest als Sun was omgevallen of in handen van een concurent was gekomen.

Dus Oracle wil zeer zeker niet van Java af, het is te belangerijk voor vrijwel hun gehele producten pijplijn.
TheekAzzaBreek
@codex11 januari 2013 23:48
Arjan heeft gelijk, het ging in de eerste plaats om controle. Oracle vond Java te belangrijk om in handen van een 'vijand' te laten vallen. Ze doen wel wat pogingen om aan Java geld te verdienen, maar veel stelt het niet voor, en ik denk eigenlijk ook niet dat het lukt. Toen ik er nog werkte hoorde ik er nooit wat over.
ppl
@Niemand_Anders10 januari 2013 19:31
Die patchrondes zijn er alleen maar voor bedoeld om te voorkomen dat de systeembeheerders ieder dag druk zijn met het installeren van allerlei bugfixes. Je stopt daar dus patches in waarbij je ook de luxe hebt dat je ze gewoon een maand later kunt installeren. Die luxe is er niet bij zaken als 0-day exploits en in zekere zin ook niet voor andere security bugs. Vrijwel iedereen maakt dan ook een uitzondering op hun patchronde wanneer zich zo'n groot security probleem voordoet....behalve Oracle.

Oracle houdt keihard vast aan hun update ronde en wijken daar ook niet bij een 0-day exploit van af (zoals in het artikel al staat: als de patch niet meegenomen kan worden schuiven ze het door naar de volgende ronde). Dat betekent voor de systeembeheerders dat ze een groot probleem hebben (hoe leg je uit dat doordat de leverancier een lakse houding heeft tav 0-day exploits een hacker met bedrijfsgevoelige informatie er vandoor is kunnen gaan?) en voor Oracle betekent dat in zekere zin weer dat hun software daardoor niet interessant is om te gebruiken.

Voorspelbare patchrondes zijn weliswaar heel belangrijk maar daarvan afwijken bij (grote) security problemen is nog veel belangrijker. Op dit vlak heb je namelijk ook met wetgeving van doen zoals de privacy wetgeving waarbij je je niet kunt verschuilen achter "ja maar de leverancier komt niet met een security fix dus daar kunnen wij niks aan doen!" (het typische weerwoord is dan: "Ja en?! Dan had je maar niet met hun in zee moeten gaan. Jouw systeem dus jouw probleem, los het maar op.")
Dreamvoid
@ppl11 januari 2013 11:30
OpenJDK is open source, dus je bent niet van Oracle afhankelijk.
ppl
@Dreamvoid13 januari 2013 16:23
OpenJDK wel ja maar de rest van de spullen niet en die vindt je veel in het bedrijfsleven. Daarnaast betekent open source zijn ook niet dat je ergens niet van afhankelijk bent. Het enige wat het zegt is dat de broncode in zekere mate vrij beschikbaar is. Je zult echter nog atlijd iets met die broncode moeten doen en daarvoor zijn velen toch echt afhankelijk van bedrijven als Oracle. Je kunt niet verwachten dat de gemiddelde gebruiker wel even de source code binnenhengelt, patcht, compiled en vervolgens uitrolt. Dat is werk waarvoor je diepgaande IT kennis nodig hebt.
kozue
@Standeman11 januari 2013 09:41
Overigens zit me af te vragen of dit gat ook in de linux / mac versies zit van de plugin? Het lijkt erop dat het windows only is..
Hoe het zit op mac weet ik niet, maar onder linux gebruikt niemand oracle JDK. Iedere moderne distro levert openjdk mee.
Anoniem: 366246
10 januari 2013 16:08
Dit is heel eenvoudig op te lossen mensen, gewoon java uninstallen. Je hebt het echt niet nodig hoor.
Standeman
@Anoniem: 36624610 januari 2013 16:22
Je bent alleen vatbaar als je de plugin in de browser aan hebt staan. Die kan je gewoon verwijderen. Met de JRE installatie is verder niets mis en kan je gewoon blijven gebruiken voor bijv. Minecraft. Verder ken ik eigenlijk geen java desktop applicaties voor consumenten..

[Reactie gewijzigd door Standeman op 10 januari 2013 16:24]

Pavla
@Standeman10 januari 2013 16:47
DirSyncPro (http://www.dirsyncpro.org/) is anders een vrij normaal Java desktop product. Net zoals Azureus en nog wel meer software.
-RetroX-
@Anoniem: 36624610 januari 2013 16:17
of het zakelijk bankieren van de ING gebruikt. Go ING go |:(
Cyb
@-RetroX-10 januari 2013 21:12
Een oplossing is het gebruik maken van meerdere profielen in Firefox. 1 profiel gebruik je met Java ingeschakeld, puur voor ING, en een ander profiel met Java uitgeschakeld voor het overige internet browsen. Shortcutje erbij en je hebt nergens meer last van.
kimborntobewild
@Cyb11 januari 2013 07:06
Hoezo ben je dan niet vulnerable _tijdens_ het ING'en?
Je hebt dan toch Java draaien? En bent dan toch vulnerable?
arjankoole
@kimborntobewild11 januari 2013 08:05
Hoezo ben je dan niet vulnerable _tijdens_ het ING'en?
Je hebt dan toch Java draaien? En bent dan toch vulnerable?
Alleen als je naar een andere site gaat, maar dat is dus juist niet de bedoeling met dat profiel.

Je bent dan dus alleen vulnerable als er een exploit zit in de site van de ING.
Phyxion
@-RetroX-10 januari 2013 16:49
of het zakelijk bankieren van de ING gebruikt. Go ING go |:(
Dan ben ik wel benieuwd welke ING zakelijk jij gebruikt, ik gebruik ING zakelijk namelijk ook en die werkt gewoon zonder Java hier.
SinergyX
@Phyxion10 januari 2013 17:33
ING inside business, die werkt niet zonder java :)

Verder gebruikt zakelijk PostNL nog steeds java voor het uitdraaien van ophaallijsten.

[Reactie gewijzigd door SinergyX op 10 januari 2013 17:34]

ClementL
@Anoniem: 36624610 januari 2013 16:13
Tenzij je Minecraft speelt...
.oisyn
@ClementL10 januari 2013 16:30
Dan nog steeds heb je de browser plugin niet nodig :)
Katsumii
@ClementL10 januari 2013 16:44
Dan nog kan je deze waarschijnlijk portable maken door een geinstalleerde versie van java naar de minecraft map te kopieren, minecraft naar die java toe te wijzen en dan java zelf te deinstalleren. Op deze manier wordt het een stuk moeilijker gemaakt om andere java programma's te laten starten.

[Reactie gewijzigd door Katsumii op 10 januari 2013 16:51]

Ramoncito
@Anoniem: 36624610 januari 2013 23:28
nou... SABnzbd... helaas...

Ik moet er bij zeggen dat ik het eigenlijk ook niet wil, een java app draaien in mijn browser, maar sommige websites gebruiken nu eenmaal javaplugins zoals een IRC-kanaal wat alleen via de hoofdsite middels je account te benaderen is in een window (zucht...).

Ik heb dan wel No-Script aanstaan, maar helemaal van java kom ik toch niet af. Voor mezelf is het niet zo erg, ik weet wel waar ik op moet letten en weet ook wel problemen te herkennen in mijn systemen, maar mijn bejaarde moeder natuurlijk niet.
kozue
@Ramoncito11 januari 2013 09:36
IRC kun je zelfs nog via telnet doen... als je het protocol goed genoeg kent. Gewoon een IRC client installeren en verbinden met de server, werkt prima. :)
4np
@Ramoncito12 januari 2013 01:30
SABnzbd is Python, niet Java.... En IRC-en met BitchX werkt ook prima :)

[Reactie gewijzigd door 4np op 12 januari 2013 01:31]

twizzle
@Ramoncito12 januari 2013 15:09
Bieden ze bij jou IRC netwerk dan geen qwebirc client (AJAX based) op de site?

En voor de mensen die zeggen dat je ook custom clients gebruiken kan,
sommige IRC netwerken staan alleen verbindingen via hun website toe (en dus via het ip van de betreffende server.
Als deze server geen software heeft die directe verbindingen van andere clients toe staat, wat ook de bedoeling is dan is het helaas de enige optie)
BobBobbert
@Anoniem: 36624610 januari 2013 16:18
Of bankiert bij de Deutsche bank
Buggle
@Anoniem: 36624610 januari 2013 16:19
De plugins in je browser wellicht. Maar er bestaat genoeg goede software die de runtimes gebruikt. JDownloader bijvoorbeeld, en Hibiscus (een Duits banking programma). Zo zijn er vast nog veel meer. En ook applets zoals de driverzoekfuntie van intel heeft Java nodig.
gphg
@Anoniem: 36624610 januari 2013 20:27
tenzij je DIY Layout Creator gebruikt
Thunderhawk0024
@davince7210 januari 2013 20:47
Sneakernet... :P
Ircghost
10 januari 2013 16:55
Ik lees een hoop mensen hierboven die zeggen zet dan je java uit in je browser maar ik snap niet echt hoe jullie lekker browsen. Ik heb Javascript standaard uitstaan tenzij ik het expliciet toesta voor een website.. Maar er is eigenlijk geen website die ik lekker kan gebruiken zonder dat javascript iets wil doen.
Charles Nasi
@Ircghost10 januari 2013 17:04
Java en Javascript zijn twee volledig verschillende zaken. Van Java.com:

De JavaScript-programmeertaal, ontwikkeld door Netscape, Inc., maakt geen deel uit van het Java-platform.
Met JavaScript kunnen geen applets of zelfstandige applicaties worden gemaakt. JavaScript wordt momenteel meestal gebruikt in HTML-documenten. Met JavaScript kan aan webpagina's een mate van interactiviteit worden toegevoegd die gewoonlijk niet met eenvoudige HTML kan worden gerealiseerd.

Dit zijn de belangrijkste verschillen tussen Java en JavaScript:
Java is een OOP-programmeertaal terwijl JavaScript een OOP-scripttaal is.
Met Java worden applicaties gemaakt die in een virtuele machine kunnen worden uitgevoerd. JavaScript-code kan alleen in een browser worden uitgevoerd.
Java-code moet worden gecompileerd, terwijl JavaScript-code enkel uit tekst bestaat.
Voor beide zijn andere plug-ins nodig.

Edit: Spuit11

[Reactie gewijzigd door Charles Nasi op 10 januari 2013 17:05]

Herko_ter_Horst
@Charles Nasi10 januari 2013 19:07
Java en Javascript zijn twee volledig verschillende zaken.
Zondermeer waar.
[...]

Dit zijn de belangrijkste verschillen tussen Java en JavaScript:
Java is een OOP-programmeertaal terwijl JavaScript een OOP-scripttaal is.
Met Java worden applicaties gemaakt die in een virtuele machine kunnen worden uitgevoerd. JavaScript-code kan alleen in een browser worden uitgevoerd.
Java-code moet worden gecompileerd, terwijl JavaScript-code enkel uit tekst bestaat.
Voor beide zijn andere plug-ins nodig.

Edit: Spuit11
Zondermeer onzin.

Er is maar 1 verschil dat er toe doet: Java is statically typed, terwijl JavaScript dynamically typed is.

JavaScript kan namelijk net als Java in een VM draaien en er zijn ook JavaScript compilers en zelfs JavaScript servers. Nog sterker: er is zelfs een Java Virtual Machine geschreven in JavaScript!
luccyboy
@Ircghost10 januari 2013 16:59
java is niet hetzelfde als javaSCRIPT
Dylan93
@Ircghost10 januari 2013 16:59
Ik lees een hoop mensen hierboven die zeggen zet dan je java uit in je browser maar ik snap niet echt hoe jullie lekker browsen. Ik heb Javascript standaard uitstaan tenzij ik het expliciet toesta voor een website.. Maar er is eigenlijk geen website die ik lekker kan gebruiken zonder dat javascript iets wil doen.
Java en Javascript zijn verschillende dingen...
Mont2uk
@Ircghost10 januari 2013 17:01
Java en Javascript is iets anders! Javascript heb je inderdaad vaak nodig voor dynamische websites (menuutjes, dynamische tijd en jaaraanduiding, stats... bijvoobeeld).
Java wordt meer gebruikt als echte web applicaties, zoals een filemanager geïmplenteerd op een website (in Webmin wordt dit oa gebruikt).

Veel doorsnee eindgebruikers hebben denk ik weinig te maken met Java in hun dagelijkse surf sessies. Beste lijkt me uitschakelen, of zo instellen dat expliciet toestemming nodig is voor het uitvbvoeren van applets op websites.
kzin
@Ircghost10 januari 2013 17:02
Even ter info: Java is wat anders dan javascript. Je bent niet veilig voor java exploits als je alleen javascript disabled.
Tacow
@Ircghost10 januari 2013 17:06
Java en JavaScript zijn niet hetzelfde. Het gaat hierom om Java, niet om JavaScript.

http://nl.wikipedia.org/w...aal%29#Java_en_JavaScript

*edit, oh.. altijd refreshen voor ik iets plaats*

[Reactie gewijzigd door Tacow op 10 januari 2013 17:08]

Pineka
@Ircghost10 januari 2013 19:19
Ircghost zegt:
Ik lees een hoop mensen hierboven die zeggen zet dan je java uit in je browser maar ik snap niet echt hoe jullie lekker browsen. Ik heb Javascript standaard uitstaan tenzij ik het expliciet toesta voor een website.. Maar er is eigenlijk geen website die ik lekker kan gebruiken zonder dat javascript iets wil doen.

Ik heb geen Java en geen Javascript, kortom: nooit geïnstalleerd vanwege eerdere waarschuwingen. Maar ik browse erg lekker hoor :9 .

[Reactie gewijzigd door Pineka op 10 januari 2013 19:23]

SinergyX
10 januari 2013 17:11
De nieuwe ING Business payments werkt grappig genoeg met Java, daar moet je dus java voor ingeschakeld hebben (java, dus niet javascript).

Als Java steeds onder vuur ligt voor zulke exploits, waarom wordt het dan nog gebruikt?
bvk
@SinergyX10 januari 2013 18:31
Bij mijn weten wil de ING er dan ook zo snel mogelijk van af, je wil geen besmette klant pc's op je geweten hebben... Ook al is het software van derden die je niet zelf uitgeeft.

Alleen, wat is het alternatief? Waarmee kun je wél veilig PKI smartcard sessies doorgeven aan de bank server?
alt-92
@bvk10 januari 2013 20:13
Alleen, wat is het alternatief? Waarmee kun je wél veilig PKI smartcard sessies doorgeven aan de bank server?
.NET based is een alternatief. Ook niet optimaal, maar dat wordt tenminste wel regelmatig bijgewerkt ipv één keer in de drie (als je mazzel hebt) of zes maanden.
mutsje
10 januari 2013 16:11
Jammer dat elke keer weer blijkt dat Java zo lek als een mandje is. Wordt een Windows systeem gehacked door een java lek krijgt meestal Windows ook nog eens de schuld :+ met @Mazza eens dat een driemaandelijkse update ronde beetje weinig is zeker gezien de hoeveelheid zwaktes die keer op keer in Java ontdekt worden.
kozue
@mutsje11 januari 2013 09:45
Het mag natuurlijk ook niet mogelijk zijn dat "windows" wordt gehackt door een lek in java. Dat is net zoiets als Firefox hacken met een lek in IE. Natuurlijk kun je niet voorkomen dat een programma aan bestanden gaat zitten waar het niet aan mag, maar systeembestanden hoor je met geen enkel userspace programma te kunnen wijzigen onder je normale user account. Logisch dat windows dan de schuld krijgt.

En tja, met een driemaandelijkse patchronde kun je net zo goed geen updates uitbrengen. Dan heb je gemiddeld anderhalve maand waarin het lek wordt misbruikt. Nog ergens is het als door trage processen een bug uit januari niet in de update voor februari wordt gefixt, zoals wordt gesuggereerd in het artikel. Ik heb gelukkig in geen enkele browser op geen enkel systeem meer een java plugin. Java programma's is niks mis mee (ik gebruik zelf azureus), maar in de browser heeft het niks te zoeken.
Erulezz
10 januari 2013 16:15
Gelukkig heb ik al tijden Java uit staat in Firefox. Heb het alleen nog maar op de PC voor PS3 Media Server...
Lampuhkap
@Erulezz10 januari 2013 16:45
ja hier ook, wat overigens tegenwoordig ook zo borked is als t maar halen kan, sinds de laatste firmware update loopt t enorm te bokken allemaal
Carlos0_0
10 januari 2013 16:44
Eigenlijk vraag ik me af waarom ik het iedere keer installeer, ik maak er volgens mij helemaal geen gebruik van :P.
Hack_The_Planet
@Carlos0_010 januari 2013 16:49
En daarom zeg ik NEE tegen Java en Adobe ! Als men wil dat ik op hun site content afneem dan zal men dat in html5 moeten doen. Sorry maar vind het belachelijk dat ik software / plugin rotzooi moet installeren om gewoon een site te bekijken daarom doe uk het ook niet!! Zie mij computer maar als een iPad ;-)
Carlos0_0
@Hack_The_Planet11 januari 2013 12:33
Ik heb het er meteen vanaf gegooid ook na dat ik dit had gepost :P
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee