Компания Security Explorations сообщила (http://www.theregister.co.uk/2012/08/30/oracle_knew_about_flaws/), что в апреле сообщила Oracle подробности о 31 уязвимости в Java (http://www.security-explorations.com/en/SE-2012-01-status.html), среди которых фигурировала уязвимость, используемая в опубликованном (http://www.opennet.ru/opennews/art.shtml?num=34669) недавно 0-day эксплоите, поражающем все доступные версии Java 7. Примечательно, что в июньском обновлении (http://www.opennet.ru/opennews/art.shtml?num=34583) Java были устранены лишь две уязвимости из представленного списка, 29 остались неисправленными.
С момента появления эксплоита в открытом доступе прошло уже 5 дней, а компания Oracle до сих пор не опубликовала заявление, касающееся возможности выпуска внепланового обновления Java (плановое обновление намечено на 16 октября). Тем временем, немецкое
Федеральное ведомство по информационной безопасности официально рекомендовало (https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen...) всем пользователям отключить плагин Java 7 в браузере до момента выхода обновления с исправлением уязвимости. Также сообщается о фактах появления на ряде легитимных сайтов троянских рекламных баннеров, поражающих системы пользователей через уязвимость в Java.URL: http://www.theregister.co.uk/2012/08/30/oracle_knew_about_flaws/
Новость: http://www.opennet.ru/opennews/art.shtml?num=34696
Энтерпрайзненько. Больше нечего добавить, к сожалению.
да кстати.
и куда-то защитники (не столько ынтырпрайза видимо, а своего неоценимого быдлокодерства) подевались сразу.
какое отношение ынтырпрайз имеет к апплетам?
оракл формс из состава оебс, работает на стороне клиента как апплет - вполне себе ынтырпраз.
это первое.
второе - банкоматы (платные между прочим. в опенсорс оракл их не отдала).
третье - да так со всм закрытым софтом. и мидл, и субд.
сколько там раз в год cpu выходит? 2? или всё же 4?
ну пусть будет раз в квартал.
Я так понимаю, Вы отождествляете java и быдлокодерство. Ну поведайте нам, посоветуйте, что ли, языки программирования, на которых нельзя быдлокодерством заниматься.
В какой-то мере, это - ассемблер :) Если обладаешь только поверхностными знаниями - оно не взлетит. ;)
Взлетит, взлетит. Было дело, лет двадцать назад, программировал на нем, имея довольно приблизительные знания - и ничего, работало.
Попрограммровал бы ты на БЗ-34...
Программировал на мк-61.
Дважды уволен за write-only кодописание...
> Взлетит, взлетит.Просто будет туева хуча странных багов. В хучшем случае трудноуловимых. Ассемблер простой, но чтобы на нем прогарммить надо понимать как работает процессор и знать что делают те или иные команды. Можно ли быдлокодить на асме? Сложно, но можно: науке известны случаи когда человек умудрялся проиграть сишному компилеру по скорости и/или объему даже на небольшом фрагменте кода. Просто для быдлокодера неудобно - надо много знать о железе + чуть облажаешься, программа трапается и фиг поймешь что и где.
> Просто для быдлокодера неудобно - надо много знать о железе + чуть облажаешься, программа трапается и фиг поймешь что и где.Имхо, сложность программирования на ассемблере (я говорю про писание больших программ целиком на ассемблере, что делалось в древности) заключается в том, что программирование происходит с чрезмерной детализацией, в обилии деталей, в которых легко запутаться, и интеллект к этому не имеет никакого отношения - скорее, память и внимательность. Тут опечатался, там поставил не ту команду и не заметил (а команд даже в небольшом исходнике тысячи), поставил команды не в том порядке и т.д., от них просто рябит в глазах. Запоминать, подо что какой регистр используется тоже удовольствие сомнительное. Точно так же глупо вскапывать огромное поле лопатой (и потом гордиться и говорить, что, дескать, качественный результат получается только с приложением труда), если рядом стоит трактор.
И, как вы видите, прикладуху на ассемблере давно не делают, кроме отдельных фанатов этого дела (я, кстати, тоже был таким). Только отдельные места кода для максимального быстродействия, или под разные сильно урезанные микроконтроллеры.
> и интеллект к этому не имеет никакого отношения - скорее, память и внимательность.Не знаю насчет интеллекта но как-то так замечаю что многие скрипткидисы характеризуются фразой "страшно далеки они от народа". Только от железа в данном случае. Они в принципе не понимают в какие физические действия в реальной железке трансформируется вон та простыня которую они накатали. Хороший ассемблерщик напротив, отлично понимает что и как произойдет. Элита осиливает и круть типа софтварного USB на медленном проце. Это guru level. Когда вы настолько хорошо понимаете во что ваша деятельность трансформируется, что можете софтом без спецжелезки изобразить неслабый протокол, потратив считанные команды на элемент протокола, при том что протокол дико критичен к формированию всех времянок. Вот это - легенды. Они понимают как все это работает. От и до. А не просто пишут слова в редакторе. И кстати такие обычно умеют и не только на ассемблере. Уж на си а зачастую и на си++ такие обычно пишут без проблем. Да и на скриптовом языке могут писать. А чего там такого уж фундаментально иного? Инструктируешь машину сделать вон то - она и делает. Для этого достаточно довольно среднего интеллекта, если по минимуму. Совсем дебил разумеется не справится - нужно минимальное умение абстрактно мыслить, с чем у дебилов проблемы.
А вообще, в программировании реально могучий интеллект нужен в основном теоретикам разрабатывающим самые основы, тем кто делает цифровую обработку сигналов, занимается алгоритмами сжатия, шифрования и прочая а потому реализует нетривиальные алгоритмы/сложную математику и ряд неочевидных простым смертным вещей. И то не всегда все так уж и сложно.
> Тут опечатался, там поставил не ту команду и не
> заметил (а команд даже в небольшом исходнике тысячи), поставил команды не
> в том порядке и т.д., от них просто рябит в глазах.Ну на самом деле - надо просто форматировать так чтобы не рябило и colorizer в редакторе настраивать. Однако что неудобно так это отслеживать логику программы. Человек не CPU и потому ему все-таки не совсем удобно просчитывать весь эффект выполнения всех команд вообще.
> Запоминать, подо что какой регистр используется тоже удовольствие сомнительное.
Частично лечится соглашением о использовании регистров между функциями. Но вообще эффект есть, поэтому на больших кусках кода компилер может запросто обыграть человека. Хоть и генеря порядочный г-нокод. В локально взятом куске обставить компилер - не проблема. Пока кусок мелкий.
> Точно так же глупо вскапывать огромное поле лопатой (и потом гордиться и
> говорить, что, дескать, качественный результат получается только с приложением труда),
> если рядом стоит трактор.Вот по каким-то таким причинам и придумали си/си++ :)
> И, как вы видите, прикладуху на ассемблере давно не делают,
Как минимум это получается еще и напрочь непортабельно. И как-то не прикольно с нуля писать программу для ARM, MIPS, PowerPC, AMD64, ...
> Только отдельные места кода для максимального быстродействия
Рассказывать это мне дело неблагодарное - я умею программить на ассемблере. Но предпочитаю выписывать на нем только то что объективно нужно. Понимая что это архитектурно-специфично и потому юзается только если надо выжать максимум любой ценой и/или если иначе ну совсем никак или еще кривее. Скажем из высокоуровневых сущностей не больно удобно например периферию низкоуровнево программить. С этим кой-как справляется только си. И то только после некоторого костылинга и исхитрений временами.
Маргинал?
add eax, 1mov eax, 0
jmp myfunction
@aftercallmyfunction
...
@myfunction
...
jmp @aftercallmyfunction
Перфокарты с ручной пятиступенчатой (т.е. от "наборщика" до старшего программиста) верификацией. Только хардкор.
> Перфокарты с ручной пятиступенчатой (т.е. от "наборщика" до старшего программиста) верификацией.
> Только хардкор.Ну тогда перепишите NEON оптимизации VP8 на перфоленты. Мне интересно как SIMD инструкции будут выглядеть на перфоленте и насколько они ускорят работу :)
>Я так понимаю, Вы отождествляете java и быдлокодерство.не-не-не! я отождествляю ынырпрайзную разработку (особенно оутсорсинг) с быдлокодерством. :D
а язык не важен. вон LSE с дотнетом отличный пример.
в принципе можешь не продолжать
> Я так понимаю, Вы отождествляете java и быдлокодерство.угу.
> Ну поведайте нам, посоветуйте,
> что ли, языки программирования, на которых нельзя быдлокодерством заниматься.путаешь причину и следствие. не потому быдлокодеры, что жабу выбрали, а потому жабу выбрали, что быдлокодеры.
> Энтерпрайзненько. Больше нечего добавить, к сожалению.Большму кораблю - большая торпеда. Ну что, пользователи онлайн-банкинга с супердупер цифровыми подписями, вы уже чувствуете себя в безопасности? Всего 29 не исправленных? И боевой сплойт в диком виде? Да, оракл ответственно относится к безопасности...
бессмысленно: не поймут.
> бессмысленно: не поймут.Да ладно? Обычно даже самый тупой упырь начинает со свистом извергать кирпичи когда бабло со счта улетает в неизвестном направлении :)
Похоже, что у них разрабы поразбегались или они вспомнили о велечии такой страны как Индия...
> велечииДа, плохо жители Индии знают русский язык :(.
У Оракла судя по всему аллергия на все бесплатное.
Типа - плюнем, авось само сгниет.
интересно, а это только в оракловской сборке присутствует? Никто не в курсе как с этими уязвимостями в OpenJDK обстоят?
На этом OpenJDK IDE-то не работают, куда там вирусу.
OpenJDK 7, Webstorm работает. ЧЯДНТ?
всё прекрасно там работает, смотрите комментарии с примерами на хабре :) Скорее всего, в Azul такого не будет, ибо оам оптимизируют по самое немогу, но до jdk7 они, кажется, не добрались
Других толковых альтернатив не знаю
Весь энтерпрайз сидит на 6 и не рыпается.
Сказано же для ВСЕХ версий.
Что, и для 6 тоже?
На шестой не работает - просто сильно тормозит и все, зато на 7й - красота - хочешь калькулятор, а хочешь... Так можно даже систему переставить - пользователь может ничего и не заметит...
всё в общем-то логично — выбор проприетарной модели разработки тоже не гарантирует качества, а потому в реальной жизни себя не оправдывает: http://sash-kan.blogspot.com/2009/06/vs.html
> всё в общем-то логично — выбор проприетарной модели разработки тоже не гарантирует
> качества, а потому в реальной жизни себя не оправдывает: http://sash-kan.blogspot.com/2009/06/vs.htmlОткройте свое дело, заработайте на создании софта - пересмОтрите многие идеи.
> Откройте свое дело, заработайте на создании софта - пересмОтрите многие идеи.открыл, зарабатываю. не пересмотрел. ЧЯДНТ?
Бабла с гугла по легкому срубить не удалось - теперь JAVA не интересна Oracle. Еще силы на нее тратить.
Я вот не знаю JavaScript тоже надо отключать или нет? Это же не одно и тоже?
Ничего не надо отключать. Поставьте noscript и разрешайте выполнять скрипты только на доверенных сайтах.
Да, но хотелось бы узнать имеет ли уязвимость отношение к JavaScript, зто другой язык программирования или нет? Java у меня вообще не установлена, а вот JavaScript есть.
~$ aptitude search java | grep ^i
i A libjavascriptcoregtk-1.0-0 - Javascript engine library for GTK+
i plasma-scriptengine-javascript - JavaScript script engine for Plasma
~$
Абсолютно другой. Но в браузерах обычно есть поддержка и java, и java script. Первую — отключать и включать строго по необходимости, на счёт второго также советуют, но это позволяет более-менее сносно сёрфить «в режиме читателя». Интерактивные формы, он-лайн видео, а то и всевозможные менюшки-графики и много что ещё нередко требуют js.
> Да, но хотелось бы узнать имеет ли уязвимость отношение к JavaScript,Название похоже и некоторые идеи. В остальном это совершенно разные сущности. В частности то что вы процитировали - это некие скриптовые движки JS. Не имеющие ничего обшего с JVM.
Линукс знаю, Жаваскрипт не слышал? так тонко, что даже толсто)
Оракеля пытаются вынудить залатать дыру?
Сегодня вышел Java 7 U7 с закрытием уязвимости CVE-2012-4681. О ней идет речь?
Вообще ситуация не очень корректная.
Помнится, когда Java была Sun'овская, то ситуация была много лучше.
С другой стороны Java апплеты сами по себе - явление специфическое и чаще всего используется в решениях уровня предприятия (сам такие пишу).
Соот. решение проблемы простое и элегантное - запускать аплеты только ИЗ ДОВЕРЕННЫХ доменов. И все - нет смысла биться в истерике .....
> Соот. решение проблемы простое и элегантное — запускать аплеты только ИЗ ДОВЕРЕННЫХ
> доменов. И все — нет смысла биться в истерике …..ага. а ещё вот, например, есть такая штука — сертификационные центры. помнишь? им тоже доверяют. а comodo hacker себе понавыписывал сертификатов, тем не менее.
на всякий случай, если намёк не ясен: кто гарантирует, что на «довереных» сайтах не посажен троян? или что ты действительно на том сайте, на котором тебе кажется ты находишься?
Уточним: кто гарантирует что хакер не подпишет себе апплет левым сертификатом? :)