Samstag, 4. Mai 2013
[*]

21:50  #Tatort aus den 80ern (diese Frisuren!) beim NDR: Voll auf Hass, Stoever/Brockmöller, Hamburg  #


Tags   Kommentare  0

21:17  Uff: Kinder im Bett, Tag geschafft.  #


Tags   Kommentare  0

17:05  Falls Ihr Euch fragt, wer auf dem Kindergeburtstag zuerst seinen Orangensaft auf dem Tisch auskippt: das mach ich selbst.  #


Tags   Kommentare  0

[*]
[*]
[*]

16:01  @Liamara Waffeln sind hier genug, du müsstest nur 9 Kinder ertragen.  #


Tags   Kommentare  0

[*]
[*]
[*]

15:05  @HubertMayer Das habe ich immer so, ich vertraue den Hackern eher mehr als dem Rest der Welt. #rp13  #


Tags   Kommentare  0

12:31  #DHL -Päckchen landete bei den Nachbarn im 1. Stock, ohne dass es bei uns geklingelt hätte. Zu faul, in den 3. Stock zu fahren?  #


Tags   Kommentare  0

[*]
[*]
[*]

08:15  Die Leite hier im Erdgeschoss haben entweder neuerdings einen Heuhaufen in ihrer Wohnung, oder sie müssen echt dringend mal Filter wechseln.  #


Tags   Kommentare  0

[*]
[*]
[*]

07:05  Warum kann ich eigentlich erst um 8 einkaufen?  #


Tags   Kommentare  0

00:11  Googlesucher: „www. famielie wollte ihr kind im backoffen stecken.de“ — ich hoffe mal, dass der nur Hänsel und Gretel sucht.  #


Tags   Kommentare  0

[*]

Entfernt endlich Java aus dem Browser!

, 00:08

Java ist eine mächtige Sprache mit vielen Vorteilen:

Eine ausgereifte Virtuelle Maschine mit robuster Unterstützung von Nebenläufigkeit, die in der Geschwindigkeit ohne den Einsatz maschinenspezifischen Codes schwer zu schlagen ist, und deren Verbreitung auf unzähligen Systemen das einst gegebene Versprechen „Write once, run anywhere.“ so gut wie möglich einlöst. Dazu gibt es einen bunten Strauß an APIs für alle möglichen Einsatzgebiete.

Alles könnte so schön sein. Seit einiger Zeit aber hört man alle paar Wochen bis Monate (gefühlt ist es alle drei Tage) Meldungen über Sicherheitslücken und Exploits. Die Lücken befinden sich praktisch immer in der Absicherung des Browserplugins, der sogenannten Sandbox, dabei wird das Plugin gar nicht mehr gebraucht.

Vor 10 Jahren ergab es durchaus Sinn, Java-Applets in Webseiten zu integrieren: während JavaScript (nicht zu verwechseln, merke: „Java verhält sich zu JavaScript wie Wal zu Walnuss.“) noch in einem echten Interpreter ausgeführt wurde und entsprechend langsam war, hatte Java bereits einen JIT-Compiler. Auf der damaligen Hardware war das ein echter Vorteil, zumal die verlängerten Startzeiten im Vergleich zur Downloaddauer über die damaligen Internetverbindungen kaum ins Gewicht fielen. Heute wird auch JavaScript vor der Ausführung kompiliert, und so bleiben nur die Nachteile:

Das Sandboxkonzept ist bei der gegebenen Sprachmächtigkeit nicht in den Griff zu bekommen. Die JVM hat volle Unterstützung für Datei- und Netzwerkoperationen sowie Möglichkeiten zur dynamischen Erzeugung von Klassen, die diese Funktionen benutzen.

Die JavaScript-API in Browsern hat dagegen keinen schreibenden Zugriff auf das Dateisystem und kann im Netzwerk nur http-Verbindungen aufbauen. Nur mit einer Sprache, deren Laufzeitumgebung keine Konzepte der verbotenen Operationen hat, lässt sich eine halbwegs sichere Sandbox implementieren.

Das bedeutet nicht, dass es völlig unmöglich ist, auch aus der JavaScript-Sandbox auszubrechen, aber in Java muss der Angreifer nur die virtuelle Maschine austricksen, während er bei einer JavaScript-Lücke den systemspezifischen Maschinencode selbst einschleusen müsste. Während also JavaScript zum Ausbruch aus seinem Sandkasten ein Schäufelchen zur Verfügung hat, handelt es sich bei Java eher um einen Radlader. „Write once, run anywhere“ gilt bei Java eben auch für Exploitcode.

Die Konsequenz muss sein, Java komplett aus dem Browser zu entfernen — und das sage ich als Java-Entwickler. Beliebte und benötigte Java-Anwendungen wie Wordle oder ELSTER können genau so gut lokal als Programme installiert werden. Die JVM an sich ist nämlich nicht unsicherer oder sicherer als andere Laufzeitumgebungen, und es schmerzt, dass nach Jahren des „Java? Das ist doch viel zu langsam.“ sich jetzt „Java? Das ist doch viel zu unsicher.“ im allgemeinen Bewusstsein festsetzt.

Die Überlegungen gelten genau so übrigens auch für Flash.

Freitag, 3. Mai 2013
[*]

21:40  @balu .  #


Tags   Kommentare  0

21:17  @Liamara Dochdoch, aber es *kommen* nur sieben, zwei haben wir ja schon da.  #


Tags   Kommentare  0

21:14  @Liamara Schon vier (!)  #


Tags   Kommentare  0

[*]
[*]
[*]

20:48  @ankegroener Sieht gut aus. #Spargel  #


Tags   Kommentare  0

19:16  @Morgenland Da kam tatsächlich noch Oregano rein.  #


Tags   Kommentare  0

 « 1 2 3 ... 25 26 27 28 29 30 31 32 33 »