[MàJ] Oracle colmate la faille dans Java et relève le niveau de sécurité

frscot a écrit :



Je ne dis pas que c’est vitale pour tout le monde, mais a la question, a quoi ca sert, je donne un exemple, qui dans mon cas est important pour mon boulot. Il est possible de le faire en HTML5, mais ce n’est pas repandu pour le moment.









Ok " />

J-Phil a écrit :



Il faudrait arrêter ce genre de remarques … Si on suit cette logique et que l’on souhaite se passer de tout ce qui pourrait avoir des problèmes de sécurité, d’un je ne suis pas certain que Java serait le premier de la liste et ensuite on en arriverait à supprimer tout ce qui touche à Internet … Tous les navigateurs inclus …









Non, rien à voir. Aujourd’hui, Java dans un navigateur c’est principalement utilisé pour augmenter le nombre de bots dans les botnets. Ça ne sert à rien pour la grande majorité des gens, contrairement aux navigateurs Web.



Le poster est intéressant :http://contagiodump.blogspot.fr/2012/11/common-exploit-kits-2012-poster-based.ht…



2012, l’année de Java dans les exploits kits (et donc les botnets).

BounceBox a écrit :



Tu demande un exemple, il te donne un exemple, et tu réponds que c’est un cas particulier " />







Je n’ai rien demandé non, ce n’était pas moi, puisque tu quotes mon premier message dans cette discussion.



Pour le reste, on ne débat pas de l’utilité de Java mais sur l’installation de son plugin navigateur chez tout le monde, même ceux qui ne l’ont pas demandé et qui n’en ont rien à faire, sans même les avertir. Bien sûr que Java est utile dans certains contextes, et que c’est extrêmement utilisé dans de gros projets.



Je vais juste reprendre cette phrase qui m’a fait sourire :





Autre exemple: contrairement à du Javascript, l’obfuscation est beaucoup plus poussée en Java; donc pour qui veut faire du closed source, JS n’est quasiment pas une option tellement l’obfuscation est limitée ; Java si.





Comparer Java et JavaScript n’a aucun sens, ce n’est pas du tout la même chose, ça ne fait pas la même chose, ce n’est pas prévu pour la même chose, bref ce n’est pas du tout pareil. C’est presque comme comparer HTML et C#, leur seul point commun c’est que c’est utilisé par des développeurs (et encore, pas les mêmes).



Ensuite, parler d’obfuscation pour Java, c’est un peu une blague, c’est sans doute un des langages qui une fois compilé est le plus simple à décompiler ; même obfusqué ça se comprend assez facilement. Au contraire, si tu veux faire du closed source et cacher des secrets technologiques, la dernière chose à faire c’est d’utiliser du Java (ou du .NET).

BounceBox a écrit :



Perso, j’ai jamais eu Java d’installé par défaut quand j’ai installé mon navigateur ; et si tu parles des installs toutes faites de PC que tu achètes en magasin, la problématique est exactement la même pour l’ensemble des autres softs installés par défaut, qui peuvent présenter des failles, dont l’utilité n’est pas manifeste, et qui ont souvent moins fiat l’objet d’une attention particulière en matière de sécurité que Java.







Non, tu ne comprends pas ce que je dis. Je ne parle pas de Java, je parle du plugin Java. Que Java soit installé sur un ordinateur, ça ne me gène pas un instant. Que son plugin soit installé dans les navigateurs, ça ça me gène. Or le plugin est installé par défaut par l’installeur Java. Donc quand quelqu’un installe Java pour utiliser LibreOffice, par exemple, il se retrouve avec le plugin Java dans son navigateur.







BounceBox a écrit :



Je n’ai jamais dit que c’était strictement la même chose, mais bien sur que si ça a énormément de sens de comparer puisque on se situe ici dans un contexte et un objectif identiques: faire tourner quelque chose qui se rapproche d’un applicatif ‘riche’ dans un navigateur. Je ne vois pas en quoi il n’y aurait pas lieu de comparer puisque même toi tu expliques dans l’exemple des molécules qu’on peut faire “la même chose” en HTML5. C’est bien qu’ils ont au moins une partie de leur domaine de compétence qui est commun.







Mouais, je vois où tu veux en venir, mais quand même, tu restreins énormément Java, qui permet de faire bien plus de chose que JavaScript. Et HTML5 n’est pas JavaScript.









BounceBox a écrit :



L’obfuscation c’est un rapport entre le coût de retro-ingéniérie et les moyens de celui qui veut décompiler. C’est en aucun cas du tout ou rien. Un bon vieux programme en C qui a été compilé peut tout autant faire l’objet d’une rétro ingéniérie, c’est juste plus complexe (plus de temps, de moyens, d’expertise), mais pas moins possible.

Dans ce sens, évidemment que le C est plus complexe que Java, mais c’est tout autant vrai de dire que Java est plus complexe que Javascript.







Ce n’est pas le problème, bien sur que l’obfuscation est toujours démontable avec du temps. Mais l’obfuscation en Java est une blague, ça s’arrête là :)

Oula, je pensais avoir répondu avec un ton sympa et ta réponse me fait penser l’inverse maintenant :/ Je vais donc répondre sur le même ton agressif que toi, désolé.

BounceBox a écrit :



C’est une techno dans son ensemble ; même si tout n’est pas forcément utile stricto sensu, ça fait partie du pack que propose Oracle.

Je ne vois pas en quoi on s’offusquerait de ça alors qu’à peu près n’importe quel logiciel installé te proposera des fonctionnalités potentiellement dangereuses (puisqu’elles augmenteront la quantité de code potentiellement vulnérable) et qui ne te serviront pas. Sans doute qu’à ce jeu 95% des fonctionnalités de Word ne sont jamais utilisées par 99% des utilisateurs.







Non, ce n’est pas une techno dans son ensemble, tu dis n’importe quoi là. Ce n’est pas parce que j’installe Java pour pouvoir utiliser LibreOffice que je veux pour autant pouvoir lire des applets Java dans mon navigateur. C’est un comportement de spyware que de faire ça, sans le dire et sans même proposer une option à l’installation. Ta comparaison avec Word est ridicule et n’a aucun rapport. On installe Word parce que c’est un traitement de texte, on installe pas LibreOffice (et donc Java) pour sa capacité à faire lire une applet Java dans un navigateur.







BounceBox a écrit :



Je ne restreins rien, je dis que c’est comparable, ce qui va à l’encontre de ton affirmation précédente. Tu cherches à me faire dire des choses que je n’ai jamais dites.







On n’est pas d’accord, soit. On n’est pas d’accord non plus avec le fait que ça aille à l’encontre de mon affirmation précédente.







BounceBox a écrit :



Encore une fois je n’ai jamais dit ça. Encore une fois tu déformes mes propos.







Ou j’ai dis que tu avais dis ça ? Je le dis moi, c’est tout, calme toi.









BounceBox a écrit :



Ca s’arrête là pour toi car ça t’arrange pour ne pas admettre que tu as exagéré, ou bien car tu es incapable de nuance.







Exagéré à quel propos ? J’ai beau relire mes messages, je n’estime pas un seul instant avoir exagéré. Je réaffirme sans aucun problème et maintiens mes propos.







BounceBox a écrit :



Celui qui en est capable comprend que c’est n’est ni tout ni rien, et que c’est plutôt de l’ordre de “C >> java >> Javascript”







Je vais du reverse engineering depuis plus de 10 ans, que ça soit binaire ou de langage plus haut niveau. Je fais de l’analyse de code, je recherche des vulnérabilités, c’est mon boulot, je pense être en capacité d’en parler, non ?

BounceBox a écrit :



Et pourtant depuis Word 6, tu installes un traitement de texte qui embarque en même temp un moteur de langage interprété qui permet de planquer dans un document word les pires malwares possibles et imaginables, et autant de surface de code qui augmente le risque de faille. La première preuve est que ça a été exploité à d’innombrables reprises.



Mais tu dois avoir raison, c’est incomparable " />







Comme tu le dis, “dans un document Word”. Pas dans mon navigateur. Tu sais, la porte d’entrée la plus exposée aux attaques venant d’internet ? Après c’est sur que les centaines de milliers de bot (600 000 juste dans le cas de FlashBack, par exemple) à cause du plugin Java, ça ne semble pas avoir beaucoup d’importance pour certains.







BounceBox a écrit :



Etre en capacité d’en parler n’implique pas que tu as raison à chaque fois que tu dis quelque chose, surtout quand tu ne fais pas preuve de capacité de nuancer et de pondérer tes propos.







Dis donc, c’est toi qui a écrit “Celui qui en est capable”. Et maintenant, “celui qui en est capable” ça ne compte plus…



Je vois pas en quoi je ne pondère pas mes propos, je suis le seul ici à avoir dis “oui, je vois où tu veux en venir”, hein. Je ne suis pas le type borné qui défend son bifteck parce qu’il fait du dev Java. Je dis que le plugin Java ne devrait pas être installé par défaut, je pondère pour ceux qui ne comprennent pas que je ne parle pas de tout Java bien sûr, mais non, c’est moi qui suis incapable de nuancer. Ce qu’il ne faut pas lire…



Mais bon, je dois dire tellement de la merde que c’est pour ça qu’Apple désactive Java a chaque mise à jour, que Firefox, Safari, Chrome, demandent confirmation avant d’exécuter un applet Java, ou que même Oracle a rajouté une popup avec son système de niveau de sécurité pour les applets Java.