Discussion:
Java
(too old to reply)
Jouko Holopainen
2013-03-08 01:59:28 UTC
Permalink
Java lienee erinomainen esimerkki nykyisestä ohjelmistonkehityksen tasosta.

Java on "hiekkalaatikossa", siinä on turvallisuusominaisuuksia
rakennettu sisään, jne.
<http://www.oracle.com/technetwork/java/javase/tech/index-jsp-136007.html>

Mutta silti katiskalla saa lapattua vettä paremmin kuin Javalla.

Missä meni pieleen, kuka mokasi? Ei varmaan ole yhtä henkilöä, mutta
mokan täytyy olla sekä arkkitehtuuri-, suunnittelu-, koodaus- että
testauskulttuureissa. Ketään ei ole kiinnostanut, eli kaikki ovat
kuvitelleet että kun ajamme bytecodea kaikki on turvallista ja hienoa.

Yllä antamani linkin takana on linkki Javan security-bugeihin, eli
sivulle: <http://www.oracle.com/technetwork/java/chronology-142681.html>
"See Sun alret notifications" naurettavan ja säälittävän välimaastossa
:-D Kertoo KAIKEN Javan tietoturvasta.

Tuo moka, miten se lienee päässyt Oraclelle kylään, on niin suuri että
olen päättänyt repiä Javan helevettiin koneestani. Koska selvästi
kielenä se on näämmä turvattomamapi kuin häkkihäkki C ilman
ylivuototarkistuksia niin mihin helvettiin sitä tarvii?

Missä nuo reiät Javan suuressa kirjastossa ovat? Onko Dalvik reikäinen?
Ei, Dalvik ei, mutta Google Play on, jopa niin että en enää tiedä
ostaakko Android puhelinta vai ei. Googlea ei näämmä kiinnosta paskan
vertaa minkälaisia viruksia/troijalaisia Play-storessa on.

CERTin tietokantaa selaamalla näkee, että reikiä on kaikkialla Javassa.
Uusia metodeja joilla voi tehdä kaikkea "jännää" ripotellaan joka
puolelle ja nehän tietenkin sitten tekee "kaikkea jännää". Suuri osa
rei'istä on tosin "unspecified" - piilottamallahan ongelmat katoaa.

Niin, eikä Java ole ainoa. Google tuli jo mainittua. Linuxin kernelissä
on harva se kuukausi joku reikä, Firefox, Chrome, IE, Safari, Flash,
harva se viikko. Ilmeisesti yhtään softan kehittäjää ei enää kiinnosta
tippaakaan. Ilmeisesti kaikkien softan kehittäjien mentaliteetti on
"nopea kehitys ja korjataan sitä mukaa kun ilmenee".


Lopuksi onnitteluni Oraclelle: Java on onnistunut tekemään "high
scoren". Kiitokseni siitä Oraclelle ja siellä Javan kanssa
työ^H^Heeskenteleville. Olette varmasti ylpeitä työnne tuloksista.
Etenkin suhtautumisenne korjausten julkaisuun on vailla vertaistaan.
--
@jhol

www.iki.fi/jhol
Reijo Korhonen
2013-03-08 07:04:05 UTC
Permalink
Post by Jouko Holopainen
Java lienee erinomainen esimerkki nykyisestä ohjelmistonkehityksen tasosta.
Java on "hiekkalaatikossa", siinä on turvallisuusominaisuuksia
rakennettu sisään, jne.
<http://www.oracle.com/technetwork/java/javase/tech/index-
jsp-136007.html>
Post by Jouko Holopainen
Mutta silti katiskalla saa lapattua vettä paremmin kuin Javalla.
Varmaankin, katiska on reaalimaailman esine, java ei, mutta veikkaan että
ero ei silti ole iso. En ole kyllä kokeillut ;-)
Post by Jouko Holopainen
Missä meni pieleen, kuka mokasi?
Pieleen meni, mutta mikä? Mietitäänpä. Java on hieno kieli, ehkä nykyisin
laajin platformi, josta löytyy ratkaisu lähes kaikkeen muuhun, kuin
sellaiseen jossa pitää päästä käsiksi todelliseen laitteeseen. Siihen ei
sentään vertuaalikoneessa pyörivä ohjelma pysty, jollei saa käyttöönsä
kirjastoa, jolla asia hoidetaan.

Kun jotain käytetään paljon, niin siitä löytyy myös turvallisuusongelmia.
Jos jotain ei käytetä, ei siitä ongelmiuakaan löydy. Tämä selittää paljon
sitä, miksi Javan web-applikaatioista tirvallisuusongelmia on löydetty
paljon, muilla tekniikoilla tehtynä vähemmän. Kun niitä muita toteutuksia
on niin vähän, Javalla asiat on helpompi tehdä.

Javassa on nettikäytössä siis turvallisuusongelmaa, jota tosin on
kaikessa nettikäytössä. Ihminen on paha ja jos pahaa pääsee tekemään,
niin joku sitä tekee. Netin kautta se onnistuu.

Natiivijavaa ajetaan kuitenkin nykyisin suljetuissa ympäristöissä. Niissä
käyttäjät tiedetään.

Javaa ei enää ajeta selaimessa, sillä vaikka itse web-aplikaatio olisikin
tehty javalla ja suurimassa osassa toteutuksia onkin, javaa atetaan
serverillä joka web-sivut tuottaa, mutta ei käyttäjän konella selaimessa.
Tällöin käyttäjä ei myöskään pääse Javan kautta serverille, hänellä on
vain selain käytössään ja turvallisuusongelmat ovat http-protokollan
turvallisuusongelmia, siis riippumattomia siitä miten serverin toteutus
on tehty, sillä serverin toteutus ei näy käyttäjälle muuten kuin
epäsuorasti. Niistä Javan-ongelmista, joissa ohjelmaa ajettaisiin
käyttäjän koneella selaimessa, ei siis kannata välittää, jos haluaa
tietää ongelman laajuuden. Kuinka monta sellaista Java-
turvallisuusongelmaa on auki, joissa Java on ajossa serverissä, mutta ei
käyttäjän koneella. 99.999% toteutuksista on juuri sellaisia, luuken
minä. Toedossani on vain se yksi onneton pankki, joka vaatii javaa
ajettavan käyttäjän koneella, muita tilanteita en tiedä.

Jos server-toteutus sallii käyttäjätietojen näkymisen http-requestissa
tai siinä on tietokantakysely suoraan näkyvissä, kyseessä ei ole java-
ongelma. Jos tälläisua toteutuksia on, niin varmasti joku kokeilee
sellaisiakin kyselyitä, joita ohjelmien tekijät eivät ole alkunperin
tavalliselle käyttäjälle antaneet, vaan jotka kuuluvat esimerkiksi
ylläpidolle. Tämä ei toki ole sallittua, mutta ovea ei saa jättää auki.
Muuten voi käydä varkaita. Senhän tiedämme reaalimaailmasta.
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Reijo Korhonen
2013-03-08 07:22:07 UTC
Permalink
Post by Reijo Korhonen
Javaa ei enää ajeta selaimessa, sillä vaikka itse web-aplikaatio
olisikin tehty javalla ja suurimassa osassa toteutuksia onkin, javaa
ajetaan serverillä joka web-sivut tuottaa, mutta ei käyttäjän konella
selaimessa.
Niistä Javan-ongelmista, joissa ohjelmaa
ajettaisiin käyttäjän koneella selaimessa, ei siis kannata välittää, jos
haluaa tietää ongelman laajuuden. Kuinka monta sellaista Java-
turvallisuusongelmaa on auki, joissa Java on ajossa serverissä, mutta ei
käyttäjän koneella?
Yllä antamani linkin takana on linkki Javan security-bugeihin, eli
sivulle: <http://www.oracle.com/technetwork/java/chronology-142681.html>
"See Sun alret notifications" naurettavan ja säälittävän välimaastossa
:-D Kertoo KAIKEN Javan tietoturvasta.
Selataanpas listaa alusta

"November 19, 2002 - CERT has reported a bug in the zlib compression
library (see www.cert.org/advisories/CA-2002-07.html). Sun's
implementations of the Java Runtime Environment include zlib and are
affected. This bug may allow malicious code to corrupt memory and
possibly crash the Java Runtime Environment."

Tämähän on C-kirjaston tietoturvaongelma, ei Javan. Ei koske tavallista
käyttäjää, joka ei ajata Javaa omassa koneessan web-serverinä.

"March 19, 2002 - A vulnerability in the Java Runtime Environment Bytecode
Verifier may be exploited by an untrusted applet to escalate privileges."

Applettitoteutuksia ei nykyisin tehdä eli appletteja ei ajeta käyttäjän
selaimessa.

"March 19, 2002 - A Java Web Start application may gain access to
restricted resources."

Ei koske käyttäjää, joka ei aja javaa selaimessaan.

"March 6, 2002 - A vulnerability in the Java Runtime Environment may
allow an untrusted applet to monitor requests to and responses from an
HTTP proxy server when a persistent connection is used between a client
and an HTTP proxy server."

Ei koske käyttäjää, joka ei aja javaa selaimessaan.

"January 25, 2002 - The Java Runtime Environment may be vulnerable to a
denial-of-service attack where a remote client may cause a Java server
process to exit."

Ei koske käyttäjää, joka ei aja javaa selaimessaan.

"October 25, 2001 - A vulnerability in the Java Runtime Environment may
allow an untrusted applet to access the system clipboard."

Ei koske käyttäjää, joka ei aja javaa selaimessaan. Jne. Nämähän on
kaikki appletti.turvallisuusbugeja ja applettitoteutuksia ei nykyin tehdä.

Esimerkiksi uusin Java EE-6 toteutus joka näkyy hyvin Oraclen sivuilla
ohjeistaa ja kertoo selvästi, että ei ole syytä toteuttaa asioita
appleteilla nettiin.

On väärin antaa kuva siitä, että kyseessä olisi Javan
turvallisuusongelma. Ongelmaa on vain toteutuksissa, joissa käytetään
vanhanaikaisesti appletteja. Java toimii sen sijaan turvallisesti
serverillä, jonne muutenkaan ei saa päästää ulkopuolisia ajamaan
ohjelmiaan. Kuten sanottu, Java on hyvä alusta ja siitä löytyy ratkaisu
hyvin moneen liiketoimintaan. Siksi sitä käytetään paljon ja siksi siitä
löytyy myös paljon virheitä. On hyvä että niitä kaivetaan esiin.
Serveripäässä kuitenkaan ei saa olla toimessa henkilöitä, jotka omaa
pesäänsä likaisivat eli ehdoin tahdoin käyttäisivät hyväkseen näitä
tarvaongelmia. Jos on, niin kyllä he tuhotyönsä pystyisivät tekemään
sellaisillakin ohjelmilla jotka toimivat täysin oikein. Sllaisia tosin ei
taida olla vielä yhtään, kaikki kun ovat ihmisten tekemiä ;-)
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Jouko Holopainen
2013-03-08 17:31:48 UTC
Permalink
Post by Reijo Korhonen
Pieleen meni, mutta mikä? Mietitäänpä. Java on hieno kieli, ehkä nykyisin
Java on surkea kieli. Vanhentunut, monimutkainen, vaikea oppia.
Post by Reijo Korhonen
laajin platformi, josta löytyy ratkaisu lähes kaikkeen muuhun, kuin
sellaiseen jossa pitää päästä käsiksi todelliseen laitteeseen. Siihen ei
sentään vertuaalikoneessa pyörivä ohjelma pysty, jollei saa käyttöönsä
kirjastoa, jolla asia hoidetaan.
Kun jotain käytetään paljon, niin siitä löytyy myös turvallisuusongelmia.
Näinhän sen ei pitäisi olla, vaan täsmälleen päin vastoin.
Post by Reijo Korhonen
Jos jotain ei käytetä, ei siitä ongelmiuakaan löydy. Tämä selittää paljon
sitä, miksi Javan web-applikaatioista tirvallisuusongelmia on löydetty
paljon, muilla tekniikoilla tehtynä vähemmän. Kun niitä muita toteutuksia
on niin vähän, Javalla asiat on helpompi tehdä.
Ei selitä.
Post by Reijo Korhonen
Javassa on nettikäytössä siis turvallisuusongelmaa, jota tosin on
kaikessa nettikäytössä. Ihminen on paha ja jos pahaa pääsee tekemään,
niin joku sitä tekee. Netin kautta se onnistuu.
Poliitikot harrastavat hyvä-veli-järjesstelmää, jota tosin on kaikessa
poliitiikassa. Se on vain niin, sille ei voi mitään. Ylinopeudet ja
murhat ja huumeet ja raiskaukset - ihminen on paha eikä asialle voi
mitään. Blaa blaa blaa, blabba blabba blöö - netin kautta se onnistuu.

*JA VITUT!*
Post by Reijo Korhonen
Natiivijavaa ajetaan kuitenkin nykyisin suljetuissa ympäristöissä. Niissä
käyttäjät tiedetään.
So what?
Post by Reijo Korhonen
Javaa ei enää ajeta selaimessa,
No ei kun se on totaalisen paska.
Post by Reijo Korhonen
Jos server-toteutus sallii käyttäjätietojen näkymisen http-requestissa
tai siinä on tietokantakysely suoraan näkyvissä, kyseessä ei ole java-
ongelma.
Jos Java antaa ajaa kenen tahansa mistä netin syövereistä tahansa
"invokeAnything(security securityToUse, bool runAsRoot, boot_sector
rootKit), niin vika on Javassa - piste.
--
@jhol

www.iki.fi/jhol
Ari Saastamoinen
2013-03-08 10:07:38 UTC
Permalink
Post by Jouko Holopainen
Niin, eikä Java ole ainoa. Google tuli jo mainittua. Linuxin kernelissä
on harva se kuukausi joku reikä, Firefox, Chrome, IE, Safari, Flash,
Toki noita bugeja löytyy kaikista softista, mutta toi linuxin kernelin
kerran kuussa on pahasti liioiteltu, vaikka nyt just viime kuussa
julkaistiinkin aika ikävä reikä.

Tässä kun katselen cert.fi:n haavoittuvuuslistaa vähän matkaa, niin
ainakin pikaisella silmäyksellä onnistun bongaamaan yhden raportin
tältä vuodelta, yhden 2012 ja 2011 en yhtään. En mä tuollaista saldoa
sanois "kerran kuussa" -jutuksi :)
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Jouko Holopainen
2013-03-08 13:34:58 UTC
Permalink
Post by Ari Saastamoinen
Post by Jouko Holopainen
Niin, eikä Java ole ainoa. Google tuli jo mainittua. Linuxin kernelissä
on harva se kuukausi joku reikä, Firefox, Chrome, IE, Safari, Flash,
Toki noita bugeja löytyy kaikista softista, mutta toi linuxin kernelin
kerran kuussa on pahasti liioiteltu, vaikka nyt just viime kuussa
julkaistiinkin aika ikävä reikä.
Tässä kun katselen cert.fi:n haavoittuvuuslistaa vähän matkaa, niin
ainakin pikaisella silmäyksellä onnistun bongaamaan yhden raportin
tältä vuodelta, yhden 2012 ja 2011 en yhtään. En mä tuollaista saldoa
sanois "kerran kuussa" -jutuksi :)
Ubuntu 12.04 oli 3.2.0-24. Nyt on 3.2.0-37.

Haluatko yrittää uudestaan?
--
@jhol

www.iki.fi/jhol
Ari Saastamoinen
2013-03-08 16:15:01 UTC
Permalink
Post by Jouko Holopainen
Ubuntu 12.04 oli 3.2.0-24. Nyt on 3.2.0-37.
Haluatko yrittää uudestaan?
En halua. Pelkkä uuden version tuleminen ei välttämättä indikoi sitä,
että siinä olisi korjattu joku reikä. Oletko katsonut changelogista,
että montako oikeata reikää noissa on korjattu? Entäs sellaista
reikää, jotka sinun vaikuttavat sinun koneeseesi?
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Jouko Holopainen
2013-03-08 17:33:42 UTC
Permalink
Post by Ari Saastamoinen
Post by Jouko Holopainen
Ubuntu 12.04 oli 3.2.0-24. Nyt on 3.2.0-37.
Haluatko yrittää uudestaan?
En halua. Pelkkä uuden version tuleminen ei välttämättä indikoi sitä,
että siinä olisi korjattu joku reikä.
Niin, tiedän, Torvaldsin tarkoitus on tehdä poro-ajurien elämä
vaikeaksi, mutta en olisi uskonut että versionumeroa pykätään ylöspäin
pelkästään huvin vuoksi.
--
@jhol

www.iki.fi/jhol
Pertti Kosunen
2013-03-09 10:23:51 UTC
Permalink
Post by Jouko Holopainen
Niin, tiedän, Torvaldsin tarkoitus on tehdä poro-ajurien elämä
vaikeaksi, mutta en olisi uskonut että versionumeroa pykätään ylöspäin
pelkästään huvin vuoksi.
Eikös nuo ole Ubuntun numerointeja eikä Torvaldsin?
Jouko Holopainen
2013-03-09 19:12:34 UTC
Permalink
Post by Pertti Kosunen
Post by Jouko Holopainen
Niin, tiedän, Torvaldsin tarkoitus on tehdä poro-ajurien elämä
vaikeaksi, mutta en olisi uskonut että versionumeroa pykätään ylöspäin
pelkästään huvin vuoksi.
Eikös nuo ole Ubuntun numerointeja eikä Torvaldsin?
Ei sillä ole väliä, sillä Torvaldsin "nerokas" idea on, että jos yksikin
digitti eroaa niin ei toimi, ei.
--
@jhol

www.iki.fi/jhol
Ari Saastamoinen
2013-03-10 12:28:05 UTC
Permalink
Post by Jouko Holopainen
Ei sillä ole väliä, sillä Torvaldsin "nerokas" idea on, että jos yksikin
digitti eroaa niin ei toimi, ei.
Ai ei vai? Olen joskus käyttänyt ihan sujuvasti vanhemman kernelin
(siis ihan mainlinessä eri version, eikä vain pelkästään
distrovalmistajan oman numeroinnin mukaan) kernelimoduleita
uudemmassa.
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Jouko Holopainen
2013-03-10 13:56:15 UTC
Permalink
Post by Ari Saastamoinen
Post by Jouko Holopainen
Ei sillä ole väliä, sillä Torvaldsin "nerokas" idea on, että jos yksikin
digitti eroaa niin ei toimi, ei.
Ai ei vai? Olen joskus käyttänyt ihan sujuvasti vanhemman kernelin
(siis ihan mainlinessä eri version, eikä vain pelkästään
distrovalmistajan oman numeroinnin mukaan) kernelimoduleita
uudemmassa.
Kummasti se mulle aina sanoo että väärä versio, bye bye.
--
@jhol

www.iki.fi/jhol
Ari Saastamoinen
2013-03-08 16:15:48 UTC
Permalink
Post by Jouko Holopainen
Ubuntu 12.04 oli 3.2.0-24. Nyt on 3.2.0-37.
Ja sitä paitsi viimeisin on 38 :)
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Ari Saastamoinen
2013-03-08 16:24:27 UTC
Permalink
Post by Jouko Holopainen
Ubuntu 12.04 oli 3.2.0-24. Nyt on 3.2.0-37.
Jos nyt katson vaikka komennolla (En katso uusinta, koska se on fakta,
että siinä on korjattu vulnerability)

aptitude changelog linux-image-3.2.0-37-generic

Nii tuosta ei ainakaan pikaisella silmäilyllä osu silmään ainoankaan
reiän korjausta, joten missä on se reikien korjaus kerran kuussa?
--
Arzka oh3mqu+***@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Reijo Korhonen
2013-03-11 10:52:25 UTC
Permalink
Post by Ari Saastamoinen
Post by Jouko Holopainen
Ubuntu 12.04 oli 3.2.0-24. Nyt on 3.2.0-37.
Jos nyt katson vaikka komennolla (En katso uusinta, koska se on fakta,
että siinä on korjattu vulnerability)
aptitude changelog linux-image-3.2.0-37-generic
Nii tuosta ei ainakaan pikaisella silmäilyllä osu silmään ainoankaan
reiän korjausta, joten missä on se reikien korjaus kerran kuussa?
Linuxin kerneliä päivitetään käsittääkseni siksi, että se tukisi uusia
laitteita. Jos oma kone toimii, niin harvemmin on syytä päivittää
kerneliä. Minulla koneen kerneli on vanha ja hyvin toimii.

Ennen jaettiin päivitykset pakollisiin eli haavoittuvuuksiin ja
"vapaaehtoisiin" eli parannuspäivityksiin. Tuo kernelinkin
päivitysnumerointi merkitsee sitä parannettua kerneliä, jossa uusimpien
laitteiden tuli on ja ihmisethän ostavat pääosin uusia koneita, joten
hyvä että heille uusimpoia laitteita tukevaa kerneliä tarjotaan, eikö?

Me vanhat jäärät ei välttämättä jakseta päivittää muuten kuin ne
haavoittuvuudet eli tosi harvoin ;-)
--
***@iki.fi.nospam.invalid
http://www.iki.fi/Reijo
Tapio Väättänen
2013-03-11 16:11:51 UTC
Permalink
Post by Reijo Korhonen
Me vanhat jäärät ei välttämättä jakseta päivittää muuten kuin ne
haavoittuvuudet eli tosi harvoin ;-)
Jos kone on turvallisessa (koti)verkossa, niin miksi paikata edes
haavoittuvuuksia?

Joku läppäri jolla surffailee ties missä vierasverkoissa on tietty eri asia;
ainakin remote-reiät kannattaa paikata, ja samalla menee toki sisään kaikki
muutkin päivitykset.
--
sip:***@tav.iki.fi http://tav.iki.fi

Vähän viiniä ja ruokaa ei vie meitä konkurssiin -- J.R. Ewing
Loading...