ComputerBase Menü
Aktuelles

News Schwere Sicherheitslücke in Oracle Java 7

Daaron schrieb:
Ein sicherer Browser (also: kein uralter IE, am besten gar kein IE), ein aktuelles OS (vorzugsweise keins von MS), ein aktueller Virenscanner und natürlich ne aktive Brain.exe sind weitaus besser als NoScript-Orgien.

Wie leicht man NoScript austricksen kann hab ich ja schon mehr als genug beschrieben.
Zum Vergrößern anklicken....
Hab ich leider verpasst. Haste da mal nen Link?
Und gilt das auch für ScriptSafe?

Brain.exe ist immer gut.
Aber wenn eine entsprechende Seite entsprechenden Schadcode ausführt, hilft das auch nicht immer.
 
Konti schrieb:
Hab ich leider verpasst. Haste da mal nen Link?
Und gilt das auch für ScriptSafe?
Zum Vergrößern anklicken....
Das gilt für alle Scriptblocker.
Was musst du z.B. hier auf CB machen, um das Forum vollständig nutzen zu können? Genau, du musst viele Scripts in die Whitelist aufnehmen. Auf gut geschriebenen Seiten werden Scripte vorher üblicherweise durch einen Kompressor geschickt, das spart gute 20-30% Traffic für diese Dateien (ist also gut für Hoster UND Kunden).
1.) Hast du die Scripte, die du da in der Whitelist hast, jemals gelesen?
2.) Kannst du, gerade bei komprimierten Scripts, auch nur ansatzweise alles nachvollziehen, was sie tun?
3.) Und hier ist der echte Knackpunkt: Würdest du es merken, wenn ein Angreifer die Seite unterwandert und die von dir abgenickten Scripte manipuliert, um Schadcode auszuführen?

Brain.exe ist immer gut.
Aber wenn eine entsprechende Seite entsprechenden Schadcode ausführt, hilft das auch nicht immer.
Zum Vergrößern anklicken....
Es gibt keinen Weg, sich vor Angriffen zu schützen, wenn sie auf vertrauenswürdigen Seiten erfolgen. Den Beweis hat der Hack bei Wetter.com geliefert. Eine durchweg vertrauenswürdige Seite wurde unterwandert -> NoScript & Co hätten gar keine Wirkung gegen den Schadcode.
Wenn du hingegen auf Seiten surfst, die als fragwürdig eingestuft werden sollten (Warez, Pornos, Nazi-Foren,....), dann solltest du das aus einer Sandbox heraus tun. Deine Optionen sind hier mannigfaltig:
- Dualboot-System
- Virtuelle Maschine
- einfach nur ne Software-Sandbox wie z.B. Sandboxie.

Was in einer Sandbox passiert bleibt in einer Sandbox.... ok, meistens.
 
Daaron schrieb:
Das gilt für alle Scriptblocker.
Was musst du z.B. hier auf CB machen, um das Forum vollständig nutzen zu können? Genau, du musst viele Scripts in die Whitelist aufnehmen.
Zum Vergrößern anklicken....
Naja, ich hab computerbase.de in die Whitelist aufgenommen. Ich gehe mal davon aus, daß die keinen Schadcode auf ihre Seite stellen.
Das Ding ist ja, daß bei vielen Seiten oft alles mögliche an Kram von anderen Domains noch geladen wird. Es gab ja schon Fälle, bei denen über Werbe-Banner Schadcode eingeschleust wurde.

Ich habe es mittlerweile generell ganz gerne, wenn erstmal alles geblockt wird. Oft gibt's nämlich auch einfach Skripte, die den Browser extrem langsam machen oder gleich abschmieren lassen.

Daaron schrieb:
Es gibt keinen Weg, sich vor Angriffen zu schützen, wenn sie auf vertrauenswürdigen Seiten erfolgen. Den Beweis hat der Hack bei Wetter.com geliefert. Eine durchweg vertrauenswürdige Seite wurde unterwandert -> NoScript & Co hätten gar keine Wirkung gegen den Schadcode.
Zum Vergrößern anklicken....
Ja gut. Wenn direkt der Server einer vertrauenswürdigen Seite gehackt wird, ist man so oder so gearscht.

Sandboxen sind natürlich sicher ... aber ist das nicht irgendwo umständlich?
Naja, muss mir mal dieses Sandboxie angucken.
 
@ALL: DANKE für eure Antworten!
Habe nun Java komplett (fast) deinstalliert.
Allerdings ist ein Java Deployiment Toolkit im Firefox erhalten geblieben?!
Wie kann ich dies LÖSCHEN?
DANKE!
 
bit.turret schrieb:
Es gab doch - wenn ich mich recht erinnere - letzten Sommer schonmal so ein Debakel, was Java und Sicherheitslücken angeht. Habe Java jedenfalls seit über 6 Monaten komplett deinstalliert und musste nur den Jdownloader einbüßen. Zudem finde ich Java auch recht langsam (im Vergleich zu C++ o.Ä.), was hier aber schon angesprochen wurde...

Achja, und Websites mit Java-Plugin scheinen wohl in meinem Alltagsgebrauch nicht vorzukommen.
Zum Vergrößern anklicken....

Genau seit dem wo das war also Ende August habe ich auch Java deinstalliert und seitdem habe ich noch keine Webseite endeckt die bei mir Java benötigte. Alles funktioniert bei mir noch und wenn was nicht funktioniert hätte wäre es mir egal gewesen und daruf verzichtet, das wäre immer noch besser als Java weiterhin installiert zu haben.

Weiß jemand von euch ob die Adobe Reader Lücke die Anfang November entdeckt worden ist https://www.computerbase.de/2012-11/angeblich-gefaehrliche-sicherheitsluecke-in-acrobat-reader/
mit dem Update am letzten Dienstag behoben worden ist?
 
Yuuri schrieb:
Welche "Lücke" hat denn JavaScript? Alle "Lücken" sind nur fehlerhafte Implementationen im Programm selbst. Eine Programmiersprache, kann per se gar keine "Lücke" haben. :rolleyes:

Ich kann auch in C++ "missbräuchliche" Sachen erstellen. Hat C++ jetzt auch eine "Lücke"?
Zum Vergrößern anklicken....
Meine Aussage war eher eine Anspielung an das zitierte:
Aha... und welche Sicherheitslücken hat JavaScript? Oder sollte ich eher sagen: ECMAScript? Nenn mir 3.
Zum Vergrößern anklicken....
und eine zeile weiter unten:
Aha... und das bringt was? Das Java BROWSER PLUGIN hat ne Lücke, nicht die Sprache an sich.
Zum Vergrößern anklicken....
Hier wurde dann offenbar mit zweierlei maß gemessen, einerseits hat eine Sprache keine Sicherheitslücke, andererseits sollen Lücken in JS aufgezeigt werden.
Das JS, Java, what-ever an sich keine Sicherheitslücken haben sondern in eben dieser Sprache geschriebene Programme missbräuchlich verwendet werden ist mir durchaus klar.
 
cppc8 schrieb:
Allerdings ist ein Java Deployiment Toolkit im Firefox erhalten geblieben?!
Wie kann ich dies LÖSCHEN?
Zum Vergrößern anklicken....

Unter

C:\Program Files\Mozilla Firefox\extensions (32-Bit)
C:\Program Files (x86)\Mozilla Firefox\extensions (64-Bit)

den/die Ordner, die in geschweiften Klammern ({ }) stehen und mit CAFEEFAC beginnen.
Danach ist die deaktivierte "Java Console" unter "Erweiterungen" verschwunden.
 
Das Einzige wo ich bisher bemerkt habe, dass Java benötigt wird, war die Saaltplatzbuchung bei Eventim und eine komfortablere Karte beim Routenplaner Map24. Beides sind mir aber relativ unwichtig, sodass die Schadsoftware Java seit nunmehr 8 Monaten auf unbestimmte Zeit vom Rechner genommen wurde.
 
Früher hat man für den DHL Portodruck auch Java benötigt. Heute geht das glaub auch nur über Adobe.
 
Browser auf Click-to-play stellen und gut is. Komplett deaktivieren ist eigentlich auch Käse, da viele Seiten Java vorraussetzen, z.b. Ticketsysteme für Veranstaltungen.
 
Wenn man im Java Control Panel das Plugin für Browser unter den Sicherheitseinstellungen deaktiviert, zeigt Firefox einen Dialog zu einem fehlenden Plugin an. Unbedarfte Nutzer bringen das noch fertig, und installieren dann das Plugin erneut.

Sicherheit und Geschwindigkeit sprachen schon immer gegen Java. Und Plattformunabhängigkeit bedeutet doch niemals, dass keine Anpassungen vorgenommen werden müssen. Das Argument ist plakativ und unzutreffend.

Neben Flash ist Java das Synonym für unsicheres Web geworden. Hoffentlich wird der Leidensdruck endlich so hoch, dass es sich zu den Treppenwitzen der Computergeschichte gesellt.
 
Java ist langsam per Design. Es wurde hart daran gearbeitet, das unter Kontrolle zu bringen. Allerdings sind dazu Optimierungen während oder vor der Laufzeit nötig, die von Start an zu Nachteilen führen.

Allein die in der Vergangenheit aufgedeckten Mängel müssen jeden halbwegs objektiven Beobachter Schweiß auf die Stirn treiben, da man nicht davon ausgehen kann, dass es sich in Zukunft anders entwickeln wird. Und es sieht nicht so aus, als wäre Oracel dazu in der Lage. Dazu kommen einige Kritiker, die Java grundsätzlich Designmängel gegenüber anderen Sprachen bescheinigen. Java war ein Hype, hat sich gerade bei Anfängern beliebt gemacht und ist auch im professionellen Bereich zu finden. Es wird ohne Frage weiter existieren, nur sind das alles keine technischen Argumente. Die Sprache ohne hat Frage ihre Defizite und ist in ihrer Relevanz weit unter dem älteren C++ einzuordnen.
 
Zuletzt bearbeitet von einem Moderator:
flickflack schrieb:
Wie ist das eigentlich mit SAP, da läuft auch viel mit java. Muss man sich da Gedanken machen?
Zum Vergrößern anklicken....
Nein! Nur das Java-Browser-Plugin hat eine Lücke. Wie oft denn noch?

Ice-Lord schrieb:
Sonst kann ich mich nur anschließen das dieses Javagedöhns wirklich
nicht gerade performant ist.
Zum Vergrößern anklicken....
Völliger Unfug. Wenn man Swing ausnimmt (serversetig sowieso unerheblich) ist dank JIT und Hotspot in Sachen Performance nichts an Java zu beanstanden.

abulafia schrieb:
Java ist langsam per Design.
Zum Vergrößern anklicken....
Nicht langsamer als C# oder jede andere managed Sprache.

abulafia schrieb:
Sicherheit und Geschwindigkeit sprachen schon immer gegen Java. Und Plattformunabhängigkeit bedeutet doch niemals, dass keine Anpassungen vorgenommen werden müssen. Das Argument ist plakativ und unzutreffend.
Neben Flash ist Java das Synonym für unsicheres Web geworden. Hoffentlich wird der Leidensdruck endlich so hoch, dass es sich zu den Treppenwitzen der Computergeschichte gesellt.
Zum Vergrößern anklicken....
Grober Blödsinn. Unsere verteilte SOA Architektur läuft ohne jegliche Anpassungen auf jedem OS, für welches es ein JRE gibt. Flaschenhals in jedem größeren System ist meistens die Datenbank.
Du kennst offensichtlich Java nur als FrontEnd-Technologie, was ungefähr <5% des Einsatzgebietes von Java ist.
Keine andere Technologie hat nur annähernd so gute Enterprise-Frameworks wie EJB, Spring, Hibernate, DataNucleus, OSGi etc. oder so gute Unterstützung für neuere Paradigmen wie Dependency Injection, Aspect Oriented Programming, IoC etc.
 
Zuletzt bearbeitet:
Okay. Ich stecke nicht so tief drin.
 
Zuletzt bearbeitet von einem Moderator:
abulafia schrieb:
Okay. Ich stecke nicht so tief drin. Ich kenn das nur noch aus dem Studium. Bei Serveranwendungen fallen wohl auch die Geschwindigkeitsprobleme, der der Code ja währende der Laufzeit noch optimiert wird und die Startzeit keine Rolle spielt.
Mittlerweile sind die Computer schneller und die Programmierer auch besser. Als Benutzer sind mir Java-Sachen immer nur negativ langsam aufgefallen, von einer Lernumgebung, die die Uni in Java hatte, über Eclipse bis hin zu irgendeinem bittorrent-Client, den es später dann in C gab, und der so viel schneller war. Ich habe immer nur Leute gesehen, die von Java weg gewechselt sind, nie anders herum.
Zum Vergrößern anklicken....

Auf Seite 8, also nur ein paar Posts vor deinem hab ich einen schönen Link gepostet der beschreibt warum Java nicht langsamer ist und woher der Mythos kommt. Eclipse ist übrigens nicht langsam oO
 
@Daaron:
Hast du so ein Script Blocker denn schonmal benutzt?
Ich benutze sowas nun schon sehr lange, und ich muss sagen, das hilft richtig weiter. Du hast da glaub ich was falsch verstanden, weil soweit ich das aus der Vergangenheit mitbekommen habe, wird zwar auf bspw. wetter.com nen Trojaner ausgeführt, wird da immer nachgeladen, was allerdings von externen Skripten passiert. Das sehe ich mit einem Scriptblocker aber sofort. Da würde dann auf der Seite meiner Wahl ein Script mehr geblockt sein was ich dann meistens sogar schon am komischen Domain Name erkenne.
Als Krasses Erfundenes Beispiel: Ich Besuche Computerbase, erlaube daher immer "Computerbase.de", wenn da aber nun ein Punkt auftaucht aufeinmal mit "beispieldomain.ru" sollte man sich schon fragen woher und wieso?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

MichaG
Notiz Schwere Sicherheitslücke: Samsungs SSD-Tool Magician sollte aktualisiert werden
2 3
Antworten
50
Aufrufe
7.575
tsiebold
T
Intruder
  • Gesperrt
Schwere Sicherheitslücke in WinRAR gefunden - es wird zu Update geraten
2 3
Antworten
46
Aufrufe
2.622
Markchen
Markchen
SVΞN
News Schwere Sicherheitslücke: From Software deaktiviert Multiplayer in allen Dark Souls
2 3 4
Antworten
73
Aufrufe
13.167
Wasserhuhn
W
SVΞN
News Google Chrome 94: Schwere Sicherheitslücken werden geschlossen
Antworten
13
Aufrufe
4.137
Oldtimer
O
Jan
Notiz Packprogramm: 7-Zip vor Version 18.05 enthält eine schwere Sicherheitslücke
2
Antworten
25
Aufrufe
14.515
vander
V
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz