Viren, Spyware, Datenschutz 11.226 Themen, 94.368 Beiträge

News: Elster verlangt Java

Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern

Michael Nickles / 62 Antworten / Flachansicht Nickles

Die Pannenserie bei Oracles Java reißt nicht ab. Erst vor rund einer Woche wurde die Version 7 Update 15 ausgeliefert, die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

Tatsache ist leider, dass sich auch diese neue Version längst als Griff ins Klo entpuppt hat. Das Sicherheitsunternehmen Security Explorations hat in der aktuellen Version zwei Sicherheitslücken entdeckt und diese Oracle mitgeteilt und "Beweiscode" geliefert. Oracle untersucht die Sache derzeit.

Michael Nickles meint:

Es ist nicht mehr lustig, was sich da abspielt. Oracle scheint dieses Java einfach nicht in den Griff zu kriegen. Und das hat ist leider kein Gimmick, weil diese permanenten Java-Sicherheitslücken zunehmend ausgenutzt werden, bevor Oracle sie stopfen kann.

Unter anderem Zdnet hat berichtet, dass Java-Schwachstellen jüngst für die Cyberattacken auf Apple, Facebook und Microsoft genutzt wurden. Aktuell hat man eigentlich nur eine einzige Chance sich von dem Java-Wahnsinn zu befreien: es im Browser explizit ausschalten.

Das geht bei jedem Browser leider unterschiedlich, ist bei den "Plug-In/Addon"-Einstellungen verbuddelt. Laien haben da eigentlich verloren - aber die kriegen die Existenz solcher Sicherheitsbomben in ihrem Rechner sowieso gar nicht mit.

Noch schlimmer: viele sind sogar dazu gezwungen Java zu verwenden, können es gar nicht abschalten. Seit 2005 sind beispielsweise alle steuerpflichtigen Arbeitgeber und Unternehmer gesetzlich dazu verpflichtet, Lohnsteuer-, Umsatzsteuer- und Lohnbescheinigungsmeldungen über das Elster-Meldeverfahren durchzuführen:

Auf der Elsteronline-Webseite werden die Anforderungen für den Betrieb der Software aufgelistet. An erster Stelle steht "Java".

 

Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden, die nur auf einer extrem sicherheitsanfälligen Umgebung läuft. Das macht nachdenklich. Zwar gibt es alternative Elster-Software, aber auch die braucht für die Übermittlung das Java-Zeugs. Elster ohne Java geht also nicht, wie auch hier im Elsterforum erklärt.

Es ist schon eine saublöde Situation. Auch Mittelstandswiki hat Anfang Januar berichtet, dass der Elster-Zwang für Unternehmen zunehmend ein Fall für die IT-Abteilungen werde. Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

bei Antwort benachrichtigen
Ich denke nein. Laut ... mawe2
fakiauso IRON67 „Die meinte ich mit Endanwender in diesem Fall. Eben. Und ...“
Optionen

Hi

Da vermehrst Du jetzt etwas:

OpenJDK wird über die Paketverwaltung installiert und aktualisiert, das hier:

aktualisieren muß der User natürlich trotzdem selber.

ist dann lediglich das Anstoßen der Aktualisierung, aber die Meldung über Updates erfolgt bei jeder gängigen Distri, die ich so kenne, voreingestellt automatisch, unter Windows muß das noch neben den Updates extra für Java gemacht werden, von daher ist also der Pinuin pflegeleichter.
Den Programmierern muß der Endanwender wohl oder übel bei jedem Stück Software vertrauen, dass auf den Rechner kommt und das dürften die meisten sein, sowohl User als auch Programme;-)
Wer weiß jetzt schon, was in jedem Programm an Macken steckt, die nur noch nicht entdeckt wurden. Wer das nicht in Kauf nehmen will, ist faktisch gezwungen, den Stecker zu ziehen, keine CD, keinen Stick oder was auch immer an den PC anzuschließen, denn da wo etwas rein geht, geht auch etwas raus und umgekehrt. Bei dieser Denke wird der PC als solches aber auch irgendwie sinnlos.

Da aber bei Openjava sowohl der Quellcode zum Download steht als auch Mailing-Listen für Bugreports existieren, gehe ich davon aus, dass dort Fehler, egal welcher Art, wesentlich schneller gefunden und behoben werden, wie im Closed-Source von Oracles Java.
Falls Du die Seite nicht schon kennst, kannst Du Dich hier noch etwas einlesen, ist zwar für Ubuntu, aber die Versionsproblematik trifft im Grunde auf alle Distris zu, insbesondere der Absatz OpenJDK:

http://wiki.ubuntuusers.de/Java/Installation


Mit den scheinbar desinteressierten Programmierern meinte ich jetzt speziell jene unserer Anwendung, die es nicht einmal fertig bringen oder für nötig halten, das Programm auf anderen JRE lauffähig zu machen außer der von Oracle oder gleich eine andere Lösung zu finden, halt die Einzige, für die ich überhaupt noch Java im Web benötige.

fakiauso
"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen