Il plugin Java per i browser Web è noto per avere molti problemi di sicurezza, almeno in passato. Google Chrome non lo supporta nemmeno più, descrivendolo come una tecnologia decrepita e Firefox con un piccolo messaggio di avviso vicino.
Ma JRE è sicuro senza il plugin del browser? Le applicazioni desktop, mobili e server Java sono vulnerabili come il plugin Java?
Sì : le applicazioni desktop e server Java sono fondamentalmente protette.
Quando si esegue un'applicazione desktop - Skype, Picassa, qualunque sia - si dà a tale software pieno accesso al computer. Devi fidarti del software.
Al contrario, quando si esegue un'applet Java nel browser Web, l'applet viene eseguita in un ambiente limitato denominato sandbox. La sandbox esiste quindi non devi fidarti dell'applet Java.
Java ha avuto molte vulnerabilità; quasi tutti sono "fughe di sandbox". In altre parole, se stai utilizzando una vecchia versione di Java, un'applet dannosa può uscire dalla sandbox e assumere il controllo del tuo computer.
Non molte tecnologie supportano le sandbox. In realtà, ci sono solo tre tecnologie comuni in cui le persone eseguono regolarmente software non attendibili: Java, JavaScript e Flash. Tutti questi hanno avuto molte vulnerabilità di escape sandbox, il che dimostra la difficoltà di scrivere una sandbox sicura.
Quando esegui Java sul desktop o su un server, ti fidi del codice Java che stai utilizzando, quindi non ti stai affidando alla sandbox. In tale contesto, la preoccupazione principale è se i dati non attendibili possono interferire con l'applicazione. Ad esempio, se stai parlando con qualcuno su Skype, potrebbero inviare un messaggio dannoso che Skype maltratta e consente loro di assumere il controllo del tuo computer. (Sto solo usando Skype come esempio qui).
Ci sono stati pochissimi casi in cui i bug nel runtime Java avrebbero consentito l'hacking di un'applicazione desktop o server. In genere ciò accade a causa di bug nel codice dell'applicazione, non di Java stesso.
But is the JRE secure with out the browser plugin? Are Java desktop, mobile and server applications as vulnerable as the java plugin?
Il JRE non è molto sicuro anche se non teniamo in considerazione il plugin Java. Per darti un suggerimento, troverai qui un lungo elenco delle vulnerabilità della sicurezza, incluse quelle critiche, scoperte durante quest'anno su JRE nelle sue diverse versioni.
I meccanismi di sandboxing che troviamo nella JVM (e altrove) non sono così perfetti, a volte vengono aggirati:
Although Oracle is aware that Java vulnerabilities can also be exploited on server deployments by supplying malicious input to APIs in vulnerable components, its message has generally been that the majority of Java vulnerabilities only affect the Java browser plug-in or that the exploitation scenarios for Java flaws on servers are improbable, Gowdiak said Tuesday via email.
“We tried to make users aware that Oracle’s claims were incorrect with respect to the impact of Java SE vulnerabilities,” Gowdiak said. “We proved that the bugs evaluated by Oracle as affecting only the Java plug-in could affect servers as well.”
Fonte: Ricercatori: difetto serio in Java Runtime Environment per desktop, server
Sebbene Java RE non sia sempre sicuro quanto pubblicizzato, le alternative sono anche peggiori. Altre tecnologie come C ++ non cercano nemmeno di offrire sandboxing e permettono a un programma di fare tutto ciò che vuole. Quando si esegue un programma locale sul proprio computer, è necessario assumere che si consente di fare tutto ciò che vuole. Non importa se è implementato in C, Python, Java o qualsiasi altra cosa.
Leggi altre domande sui tag java