Alfonso Maruccia

Java, tra bloatware e falle infinite

Oracle ancora sotto osservazione per le falle che spuntano come funghi. Ma anche per la pratica di infilare barre di ricerca e scanner antivirus nell'installazione degli aggiornamenti di sicurezza

Roma - Non si fermano le polemiche su Java, la virtual machine costantemente al centro della scena per i suoi ricorrenti problemi di sicurezza e non solo. L'ultima polemica coinvolge difatti Oracle e il metodo di distribuzione del pacchetto software su sistemi Windows, un metodo ritenuto scorretto che installa software non richiesto sul PC dell'utente.

La contestazione arriva da un pezzo su ZDNET a firma Ed Bott, che in passato aveva già preso di mira Adobe e Skype definendoli campioni del "foistware": usando il client di aggiornamento fornito di default da Oracle, riferisce Bott, gli utenti si trovano davanti alla scelta di installare software di terze parti aggiuntivo come la toolbar di Ask.com e McAfee Security Scanner.

La scelta (disabilitabile, ma abilitata di default) è presente all'installazione di ogni aggiornamento di sicurezza, dice Bott, e vista la frequente necessità di patch correttive è probabile che prima o poi qualcuno installi barre o similari sul proprio sistema anche senza volerlo.
Al di là della disdicevole politica di rifilare software di terze parti in un update che dovrebbe avere a che fare con la sicurezza e nient'altro, dice Bott, il comportamento di Ask.com è a dir poco sospetto: l'installer della toolbar non parte se non dopo i primi 10 minuti, e i risultati delle ricerche appaiono pensati per servire advertising più che per fornire informazioni utili all'utente.

Java è ora un ricettacolo di simili pratiche, oltre a essere un nido di falle zero-day senza speranza di redenzione suggerisce Bott, e quel che è peggio la verità dei fatti è persino più dura per la sempre problematica reputazione pubblica di Oracle: Java è stato patchato in emergenza pochi giorni or sono, una nuova falla è stata scoperta subito dopo e ora i ricercatori di sicurezza hanno individuato altre due vulnerabilità "inedite" sfruttabili per compromettere il sistema.

Alfonso Maruccia
Notizie collegate
29 Commenti alla Notizia Java, tra bloatware e falle infinite
Ordina
  • A chi non si capisce, lasciamo perdere gli iFan che vedono in Android il male, e quindi Java al suointerno altrettanto maligno (come se Objective-C potesse essere la risposta).
    Ma perché queste uscite farlocche?
    Concordo la toolbar nelle update è sbagliato che ci sia, forse è sbagliato che da sempre non esistano vere update di Java, ma sempre reinstallazioni complete, ma suvvia la frase "Java è ora un ricettacolo di simili pratiche, oltre a essere un nido di falle zero-day" è degna di un tabloid da quattro soldi.
    Siamo seri: Java è ancora oggi una delle tecnologie informatiche più importanti per l'umanità.
    Negare l'evidenza è stupido.
    Forse agli americani da fastidio proprio che ci siano una ditta coreana che porta via mercato grazie alla tecnologia Java, che guarda un po' è tutta made in USA.
    non+autenticato
  • - Scritto da: Ignazio
    > Siamo seri: Java è ancora oggi una delle
    > tecnologie informatiche più importanti per
    > l'umanità.
    > Negare l'evidenza è stupido.
    E' stato soltanto detto che è fallato e che il sistema di update fa ca*are e cerca di installarti componenti fuoriluogo
    non+autenticato
  • Puoi aggiungere che non so se per ignoranza o altro, ma fanno troppa confusione tra Java e l'implementazione di Oracle.
    non+autenticato
  • - Scritto da: qualcuno
    > Puoi aggiungere che non so se per ignoranza o
    > altro, ma fanno troppa confusione tra Java e
    > l'implementazione di
    > Oracle.

    Concordissimo! Per non dire la confusione tra Applet e Java!
    Se si pensa che con GWT si possono compilare programmi Java per HTML+JS... oppure con Playn si possono portare o creare giochi in Java e avere il compilato in HTML+JS, Android, iOS, Flash...
  • E non c'è molta differenza se consideri che:
    1) Il linguaggio è in mano ad Oracle, che ne detiene i diritti
    2) Oracle è responsabile dei commit sull'implementazione OpenJDK

    Tanto per farti un esempio, basta vedere come Oracle abbia deciso che Java 7u10 e 7u11 non verranno rilasciate subito in salsa OpenJDK, ma verranno incluse nella 7u12.

    Tant'è che lo stesso IcedTea è rimasto alla 2.3.4, che compila la 7u9.


    Oracle non ha una sua implementazione del linguaggio, perchè il linguaggio stesso è di Oracle.
    Ha solo un suo bundle distribuito in sola forma binaria che contiene la OpenJDK+aggiunte closed.
    Se un problema affligge la Oracle JDK, allora nel 99.99% dei casi affligge anche OpenJDK.
    Darwin
    5126
  • Anche il comunismo era teoricamente perfetto, solo che non ha funzionato per l'incapacità degli uomini.

    Quindi ripuliamo il pianeta da Java... ho ancora le foto dell'utente con tre computer, uno per ogni applicativo scritto in Java perché ogniuno voleva la sua versione.

    Confiniamolo ai frigoriferi (finché saranno sconnessi da internet) e li lasciamolo che se non lo guardi e non lo connetti non fa danni.
    non+autenticato
  • - Scritto da: Francesco
    > Anche il comunismo era teoricamente perfetto,
    > solo che non ha funzionato per l'incapacità degli
    > uomini.
    >
    > Quindi ripuliamo il pianeta da Java... ho ancora
    > le foto dell'utente con tre computer, uno per
    > ogni applicativo scritto in Java perché ogniuno
    > voleva la sua
    > versione.
    >
    > Confiniamolo ai frigoriferi (finché saranno
    > sconnessi da internet) e li lasciamolo che se non
    > lo guardi e non lo connetti non fa
    > danni.
    Su un pc possono coesistere tutte le Virtual Machines Java che si vuole e si possono impostare i programmi per avviarsi con la Virtual Machines di cui hanno bisogno.
    Quindi o sei un troll o il tuo amico era molto autodidatta.

    Luigi
    non+autenticato
  • - Scritto da: Francesco
    > Anche il comunismo era teoricamente perfetto,
    > solo che non ha funzionato per l'incapacità degli
    > uomini.
    >
    > Quindi ripuliamo il pianeta da Java...

    Quindi elimineresti il 90% dei server in circolazione. Giusto?
    Hai un conto corrente? Ti consiglio di andate a ritirare il contante prima di fare queste previsioni... molto probabilmente l'applicazione che lo gestisce è su java ee.

    > ho ancora
    > le foto dell'utente con tre computer, uno per
    > ogni applicativo scritto in Java perché ogniuno
    > voleva la sua
    > versione.
    Hai presente il detto "il problema è tra la tastiera e la sedia"? Ecco....

    > Confiniamolo ai frigoriferi (finché saranno
    > sconnessi da internet) e li lasciamolo che se non
    > lo guardi e non lo connetti non fa
    > danni.

    01/10
    -----------------------------------------------------------
    Modificato dall' autore il 24 gennaio 2013 14.03
    -----------------------------------------------------------
  • L'unico connubio tra Java e banche che conosco è l'home banking dell'Unicredit... infatti uno dei due PC dedicati a versione specifica della JRE serviva a questo.

    Forse vi sfugge che una applicazione WEB, l'unica impiego dove davvero Java avrebbe senso, non può instanziare una versione specifica della JRE, o perlomeno nessuno di quelli che sviluppano tali applicazioni sanno che si può fare.

    Se parliamo di Java come linguaggio per applicazioni stand-alone, allora è solo inutilmente complesso.
    non+autenticato
  • - Scritto da: Francesco
    > L'unico connubio tra Java e banche che conosco è
    > l'home banking dell'Unicredit... infatti uno dei
    > due PC dedicati a versione specifica della JRE
    > serviva a
    > questo.
    Se per te JAVA= Applet allora si.

    Certo... non puoi pretendere di avere un minimo di credibilità dopo aver detto cio'Occhiolino

    > Forse vi sfugge che una applicazione WEB, l'unica
    > impiego dove davvero Java avrebbe senso, non può
    > instanziare una versione specifica della JRE, o
    > perlomeno nessuno di quelli che sviluppano tali
    > applicazioni sanno che si può
    > fare.

    Stai pensando a cose inutilmente complesse.
    Hai detto di ripulire il mondo da java e relegarlo ai frigoriferi che non hanno internet... quindi togliamolo anche dai server!

    > Se parliamo di Java come linguaggio per
    > applicazioni stand-alone, allora è solo
    > inutilmente
    > complesso.

    Mai parlato di stand-alone (forse intendevi desktop)... anche se ha la sua utilità in ambito stand-alone.

    Sto parlando di java ee, di IoC, di Beans, di servlet... ma sono cose troppo complesse per te
  • Hai ragione... io le pippe le detesto, devo far funzionare le aziende.

    Se devo dare tre PC ad un utente (oggi mettere macchine virtuali) per usare una ciofega che si chiama Java, io che sono un cavernicolo memorizzo che Java è concime ancora da fermentare e prima di acquistare un altro programma mi assicuro che utilizzi tutt'altra tecnologia.

    Cosa ci metti te sul tuo server non è problema mio, puoi utilizzare il Cobol sotto CP/M, basta che eroghi il servizio richiesto nei termini stabiliti. I problemi nascono quando imponi agli altri di farsi del male per le tue pippe.
    non+autenticato
  • Perché hanno permesso che SUN passasse a Oracle?
    Non bastava quel concentrato di pratiche discutibili che è Oracle (il dbms)?

    Java Doveva andare ad IBM. Si deve sperare nello sviluppo alternativo open.
  • > Non bastava quel concentrato di pratiche
    > discutibili che è Oracle (il dbms)?

    Tipo?
    non+autenticato
  • Il problema è la ancora non completa aderenza a SQL standard che limita in molti casi l'approccio cross database nello sviluppo di applicazioni database agnostic.
    REF http://infolab.stanford.edu/~ullman/fcdb/oracle/or...

    O i problemi per la non ancora perfetta Compliance a jdbc4.

    Mi tocca lavorare soprattutto con oracle, e lo conosco abbastanza bene.
    E sono di gusti difficili.
  • - Scritto da: TheSanson
    > Perché hanno permesso che SUN passasse a Oracle?
    > Non bastava quel concentrato di pratiche
    > discutibili che è Oracle (il
    > dbms)?
    >
    > Java Doveva andare ad IBM.

    Java é giá in IBM, una delle piú usate implementazioni di Java é la Java VM di IBM.

    > Si deve sperare nello
    > sviluppo alternativo
    > open.

    C'é giá. OpendJDK sta piano piano rimpiazzando la Oracle VM/Hotspot é Iced Tea per il plugin del browser va piU che bene.
    non+autenticato
  • - Scritto da: qualcuno
    > - Scritto da: TheSanson
    > > Perché hanno permesso che SUN passasse a
    > Oracle?
    > > Non bastava quel concentrato di pratiche
    > > discutibili che è Oracle (il
    > > dbms)?
    > >
    > > Java Doveva andare ad IBM.
    >
    > Java é giá in IBM, una delle piú usate
    > implementazioni di Java é la Java VM di IBM.

    Infatti, e mentre all'inizio non trovavo molto "opportuno" che IBM implementasse una propria JVM, adesso dico per fortuna!
  • OpenJDK è già ora l'implementazione ufficiale per Java SE 7
    non+autenticato
  • Verissimo, ma in ambito enterprise (ambito nel quale io lavoro) si tende a dare priorità alla versione "ufficiale".
    già in epoche "storiche" se potevo usavo implementazioni diverse da quella dell'allora sun per scopi specifici, ma comunque i rilasci erano più pensati e radi.

    In ambito desktop poi è normale che l'utente utilizzi la reference version.

    Comunque vorrei anche aggiungere che molti problemi che costringono (ad esempio) all'aderanza ad una singola versione di macchina virtuale o simili non sono dovuti a java, ma all'incapacità di molti sviluppatori, categoria alla quale appartengo, peraltro.
  • - Scritto da: TheSanson
    > Perché hanno permesso che SUN passasse a Oracle?
    Perchè le mazzette piacciono a molti...

    > Java Doveva andare ad IBM. Si deve sperare nello
    > sviluppo alternativo
    > open.
    L'intera SUN doveva rimanere indipendente o diventare una sussidiara di IBM.
    IBM era interessata a Solaris (e chi non lo sarebbe?), a Java e all'intero ecosistema SUN fatto di prodotti di qualità e APERTI (vedasi anche OpenSPARC).

    Purtroppo però quel dannato "coda di cavallo" Schwartz e tutta quegli idioti che stavano nel CdA di SUN hanno optato per Oracle.

    Ed i risultati si vedono: Solaris è un morto che cammina, Java è da buttare nel cesso, MySQL fa sempre più schifo (anche se quello faceva schifo già dall'inizio) e Oracle che ha avuto un trimestrale al di sotto delle aspettative sul fronte dell'hardware SUN.


    Che triste fine ha fatto una delle migliori aziende informatiche della storia.
    Darwin
    5126
  • Ciclo di sviluppo java e skype:

    - product manager: allora, a che punto siamo?

    - dev team: pronti, la nuova toolbar e lo scanner AV sono testati e funzionanti.

    - Ottimo. Trovate una scusa per fare l'update, allora. Quanto ci vorra'?

    - Non, so, Java e'cosi'perfetto che....

    - HAHAHAHA! avete 5 minuti!

    - HAHAHAHAHAHAHAH! ce ne mettiamo 10 con in mezzo una partita a solitaire ok?
    non+autenticato
  • ormai il suo core business sono
    regate
    pallacanestro

    i suoi manager sono piu' interessati a queste minchiate che ai software che producono
    non+autenticato
  • ...e' cio che accade quando una societa' di sviluppo software e' basata su avvocati e laureati BBA.
    non+autenticato
  • - Scritto da: bubba
    > ...e' cio che accade quando una societa' di
    > sviluppo software e' basata su avvocati e
    > laureati
    > BBA.

    M$ docet!
  • - Scritto da: panda rossa
    > - Scritto da: bubba
    > > ...e' cio che accade quando una societa' di
    > > sviluppo software e' basata su avvocati e
    > > laureati
    > > BBA.
    >
    > M$ docet!

    Et Fiat confirmabatu (estendendo alla laurea in filosofia)
    non+autenticato