Sta bloccando le applet java come misura di sicurezza necessaria?

5

Chrome 11 chiede ora l'autorizzazione dell'utente per eseguire entrambe le applet firmate e non firmate (sì, per le applet firmate viene chiesto all'utente due volte). Il team Chromium ha deciso che questa misura è necessaria anche quando l'utente utilizza un JRE aggiornato. Ecco la mia segnalazione di bug (che riflette esclusivamente la mia opinione: link ).

La mia domanda è, come lo vedete voi ragazzi? Java Sandbox è datato e non sicuro? I browser devono imporre un secondo livello di protezione per impostazione predefinita?

Aggiornamento:

Sono anche curioso di sapere quanti di voi hanno un'esperienza di registrazione pulita con Java rispetto a quanti hanno colpito un pezzo di software dannoso? Come utente Java Power per più di 10 anni, l'unica volta in cui il mio antivirus si è mai lamentato di qualcosa relativo a Java era un falso positivo (stavo scaricando alcune librerie dal repository Maven Central).

    
posta Anthony Accioly 26.05.2011 - 07:37
fonte

3 risposte

5

Cerco di non essere troppo un teorico della cospirazione, ma ho potuto vedere questo come una rappresaglia per la causa di violazione del copyright / brevetto di Oracle contro Google su Android. Dubito che la maggior parte degli utenti normali si accorga che le applet Java sono praticamente morte comunque sui siti Web dei consumatori.

Preferisco l'approccio di Firefox, che disabilita le conosciute versioni Java vulnerabili piuttosto che cercare di dipingere l'intero approccio come difettoso.

    
risposta data 26.05.2011 - 09:28
fonte
1

Ecco la mia opinione in merito:

Ci sono un sacco di persone più intelligenti di me nello sviluppo di Chrome e Chromium. Lo lascio nelle loro abili mani per determinare cosa è sicuro e cosa non lo è.

Non molto utile, ma la mia opinione è:)

    
risposta data 26.05.2011 - 08:43
fonte
0

Se sei paranoico, dovresti disabilitare le applet Java. (Dovresti anche disabilitare Javascript se sei VERAMENTE paranoico.)

Ci sono vulnerabilità nelle varie sandbox: alcuni controlli su google lo rivelano. Alcuni di questi possono essere datati e le implementazioni successive (o all'avanguardia) potrebbero essere migliori di quanto non fossero tutti anni fa.

Quindi, dipende da cosa stai facendo: se costruisci un mattone incorporato e non vuoi mai ricevere una chiamata di supporto per questo, allora spegni il più possibile. Se è per un'app desktop, quindi mettere in dubbio l'uso, gli utenti, le circostanze, il livello di sicurezza, la quantità di protezione antivirus di cui disponi. Quindi prendi una decisione basata su una valutazione dei tuoi noti, delle tue sconosciute conosciute e dei tuoi trade-off. In questo caso, la paranoia eccessiva potrebbe essere ... beh ... eccessiva.

    
risposta data 26.05.2011 - 10:36
fonte

Leggi altre domande sui tag