Lajmet

Përmirësimet e sigurisë të Java-s, jo përfundimtare për Oracle

Jun 2 2013
0 Shpërndarje
Përmirësimet e sigurisë të Java-s, jo përfundimtare për Oracle

Planet e Oracle për të përkrahur sigurinë në Java ishin mirëpritur nga ekspertët e sigurisë të cilët dëshiruan që të shohin të kryera më tepër gjëra se sa vetëm mbyllja e caqeve të parapëlqyera të hakerëve.

Punonjësit e shërbimit për Java lëshuan gjatë të enjtes prioritetet e tyre për platformën për aplikacione. Ndryshimet përfshinin kontrollim të automatizuar të vlefshmërisë së certifikatave të nënshkruara, ndalimi i paletave të panënshkruara nga ekzekutimi i vetvetishëm dhe shtimi i opsioneve për menaxhim të qendërzuar.

Kjo e fundit përfshinte listimin e bardhë të paletave në ambientet e ndërmarrjeve. Ndryshimet e ardhshme, e po ashtu edhe përpjekjet e tjera për siguri të përmendura në Blogun për Garantim të Sigurisë Softuerike nga Oracle, ishin kategorizuar gjatë të premtes nga ekspertët e sigurisë si përmirësime të nevojshme që ishin shumë larg nga përfundimtarja.

“Asnjë hap që është duke e ndërmarrë Oracle nuk është duke qëndruar si një plumb argjendi që do të kurojë problemet e sigurisë në Java,” tha Paul Henry, që është analist mjeko-ligjor dhe i sigurisë në Lumnesion. “Ajo që thua, secili me një përjashtim është një hap në drejtimin e duhur.”

Ai përjashtim ishte vendimi i Oracle për të lëshuar arnimet e Java-s në një bazë katër mujore, ndonëse ndërmarrja tha që do të bënte përjashtime për dobësitë kritike. Duke e ditur numrin e arnimeve që Oracle është duke i bërë – 97 deri më tani gjatë këtij viti, një lëshim çdo katër muaj është ngarkesë tepër e madhe për profesionistët e sigurisë në korporatë, tha Henry.

“Me ngarkimin e arnimit që e kemi parë historikisht, mund të jetë më mirë dhe më shpejt të adoptohet një cikël mujor siç e ka bërë për vite Microsoft,” tha ai. Kryeshefi i sigurisë në Rapid 7, HD Moore, tha që ai besonte që ndryshimet në trajtimin e paletave ishin pjesa më e rëndësishme e lajmërimit të Oracle. Në të kaluarën, “paletat” e nënshkruar do të mund të funksiononin jashtë sandbox-it të Java-s. Oracle planifikon që më të mos e bëjë të mundshme atë.

“Oracle është duke e ndryshuar këtë model kështu që nënshkrimi i një “aplete” më nuk këshillohen privilegjet për largim nga sandbox-i,” tha Moore. “Kjo është një gjë e mirë për sigurinë.” Sidoqoftë, Moore dëshiroi që të shohë më tepër përmirësime në lidhje me sandbox-in e Java-s, si adoptimi i një teknologjie sa më të sigurt të përdorur në Adobe Reader dhe Google Chrome.

“Një “apletë” keqdashëse me një nënshkrim të vlefshëm ende mund të abuzojë me lëshimet e sigurisë në JRE (Java Runtime Environment) për t’i ikur sistemit sandbox-it dhe të komprometimit,” tha Moore. (PCWorld Albanian)

java

Tags >

Java
Lajmet e fundit>