Alfonso Maruccia

Java, nuovi piani per la sicurezza

Oracle spiega come migliorerÓ i meccanismi di protezione della virtual machine pi¨ bucata della storia dell'informatica. Si parla di restrizione ai privilegi di esecuzione ma anche dell'eliminazione di librerie non necessarie per i server

Roma - Non è esattamente quella riscrittura da zero che qualcuno aveva consigliato tempo fa, nondimeno i piani di Oracle per una virtual machine Java "più sicura" offrono qualche punto di interesse sia per gli utenti di PC desktop che per gli amministratori che si trovano a gestire server aziendali e sistemi similari.

La sicurezza di Java è una delle priorità più importanti per Oracle, spiega il blog corporate, ed è per questo che, da un ciclo di release autonomo, la distribuzione di patch e aggiornamenti passerà all'accorpamento con il Critical Patch Update trimestrale riguardante tutti i prodotti Oracle.

Si prospettano insomma aggiornamenti e falle chiuse un po' più di frequente, e questa non è la sola novità in serbo per il futuro di Java: alla virtual machine verrà aggiunta una Local Security Policy in grado di fornire controlli aggiuntivi - durante l'installazione della VM - su quali applet permettere in relazione a specifici host presenti in azienda o presso i sistemi dei partner.
La nuova focalizzazione sulla sicurezza dovrebbe diminuire la "exploitability" e la severità delle vulnerabilità Java in ambito desktop, spiega Oracle, fornendo inoltre protezioni aggiuntive nell'ambiente server.

Sempre in ambito server si parla della rimozione di quelle librerie considerate inutili per le operazioni tipiche di questo settore, una pratica già avviata con Java 7 Update 21 (mancante del plug-in per browser, dell'installer e della funzionalità di autoaggiornamento) e che Oracle dice di voler gestire assieme alla community (tramite Java Community Process) per garantire le funzionalità essenziali e l'accordo tra le parti coinvolte.

Alfonso Maruccia
Notizie collegate
  • SicurezzaOracle, aprile tutto patchIn arrivo una gragnola di fix per vulnerabilitÓ variamente pericolose individuate all'interno della virtual machine pi¨ chiacchierata. Oracle distribuisce patch anche per il resto dei suoi prodotti database
29 Commenti alla Notizia Java, nuovi piani per la sicurezza
Ordina
  • Non era proprio un'idea di Oracle e non é solo per la sicurezza.
    E' un progetto per rendere piú snella la VM:
    http://openjdk.java.net/projects/jigsaw/

    Avrebbe dovuto far parte di Java 8, ma poi hanno deciso di rimandarlo perché avrebbe rallentato la release, forse adesso lo rilanceranno.
    non+autenticato
  • Oracle spiega come migliorerà i meccanismi di protezione della virtual machine più bucata della storia dell'informatica.

    A me sembra di leggere un articolo Aranzulliano...
    non+autenticato
  • ora non sono un programma ma un java sicuro è sicuramente con meno codice inutile e quindi con un setup "più snello" non che tutte le volte che uno va a scaricare una nuova versione questa è esponenzialmente più grosso della versione precedente e questo non vale solo per i prodotti di Oracle, ma per qualsiasi prodotto di qualsiasi programma !
  • - Scritto da: freebit
    > ora non sono un programma ma un java sicuro è
    > sicuramente con meno codice inutile e quindi con
    > un setup "più snello"

    E perche' mai, di grazia ?

    > non che tutte le volte che
    > uno va a scaricare una nuova versione questa è
    > esponenzialmente più grosso della versione
    > precedente e questo non vale solo per i prodotti
    > di Oracle, ma per qualsiasi prodotto di qualsiasi
    > programma
    > !
    Nuova versione != bugfix sicurezza.
    Se viene rilasciata una nuova versione di qualcosa mi aspetto nuove funzionalita' (ergo, nuovo codice) , viceversa in un bugfix non mi aspetto nuove funzionalita' ma solo pezze.

    E fidati, spesso e volentieri per tappare un buco di codice ne serve TANTO, l'equazione meno righe = meno problemi e' quasi sempre sbagliata.
    non+autenticato
  • - Scritto da: Trollollero
    > E fidati, spesso e volentieri per tappare un buco
    > di codice ne serve TANTO, l'equazione meno righe
    > = meno problemi e' quasi sempre
    > sbagliata.
    Zero codice == zero erroriOcchiolino
    non+autenticato
  • - Scritto da: astro
    > - Scritto da: Trollollero
    > > E fidati, spesso e volentieri per tappare un
    > buco
    > > di codice ne serve TANTO, l'equazione meno
    > righe
    > > = meno problemi e' quasi sempre
    > > sbagliata.
    > Zero codice == zero erroriOcchiolino
    Zero codice == infiniti errori.
    Non fa MAI quello che gli si chiede.
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: astro
    > > - Scritto da: Trollollero
    > > > E fidati, spesso e volentieri per
    > tappare
    > un
    > > buco
    > > > di codice ne serve TANTO, l'equazione
    > meno
    > > righe
    > > > = meno problemi e' quasi sempre
    > > > sbagliata.
    > > Zero codice == zero erroriOcchiolino
    > Zero codice == infiniti errori.
    > Non fa MAI quello che gli si chiede.
    ma chi non fa non fallaOcchiolino
    non+autenticato
  • - Scritto da: astro
    > - Scritto da: Trollollero
    > > - Scritto da: astro
    > > > - Scritto da: Trollollero
    > > > > E fidati, spesso e volentieri per
    > > tappare
    > > un
    > > > buco
    > > > > di codice ne serve TANTO,
    > l'equazione
    > > meno
    > > > righe
    > > > > = meno problemi e' quasi sempre
    > > > > sbagliata.
    > > > Zero codice == zero erroriOcchiolino
    > > Zero codice == infiniti errori.
    > > Non fa MAI quello che gli si chiede.
    > ma chi non fa non fallaOcchiolino

    boolean haiToppato = false;

    if(!faiQuelloCheTiDicoQuandoTeLoDicoEComeTeLoDico){
        haiToppato = true;
    }
    non+autenticato
  • E continuiamo con gli articoli in malafede su Java: "la virtual machine più bucata della storia dell'informatica", "Non è esattamente quella riscrittura da zero che qualcuno aveva consigliato tempo fa"...
    Allora, per prima cosa non è la *virtual machine* ad avere avuto rilevanti problemi di sicurezza, bensì i diversi componenti della *piattaforma* Java, in particolare le API e le tecnologie installate lato client. In secondo luogo, chi avrebbe mai consigliato di "riscrivere la virtual machine da zero"? Per non parlare del terzo punto, e cioè "la più bucata della storia dell'informatica", evidente frecciata in malafede... La piattaforma Java non ha eguali nella storia dell'informatica, se vogliamo considerare il fenomeno a 360 gradi (e, ancora una volta, senza voler far confusione tra virtual machine e piattaforma), per cui mi piacerebbe conoscere altri esempi paragonabili e più sicuri "nella storia dell'informatica".

    E meno male che un tuo collega nei commenti ad un altro articolo sottolineava proprio come l'obbiettività sia fondamentale nello scrivere un articolo.
    non+autenticato
  • - Scritto da: Mauro
    > E continuiamo con gli articoli in malafede su
    > Java: "la virtual machine più bucata della storia
    > dell'informatica"

    Ne esistono altre più bacate?A bocca aperta

    > La piattaforma Java non ha eguali
    > nella storia dell'informatica, se vogliamo
    > considerare il fenomeno a 360 gradi (e, ancora
    > una volta, senza voler far confusione tra virtual
    > machine e piattaforma), per cui mi piacerebbe
    > conoscere altri esempi paragonabili e più sicuri
    > "nella storia
    > dell'informatica".

    Se vuoi c'è questa:
    http://en.wikipedia.org/wiki/P-code_machine
    non+autenticato
  • > > La piattaforma Java non ha eguali
    > > nella storia dell'informatica,

    >
    > Se vuoi c'è questa:
    > http://en.wikipedia.org/wiki/P-code_machine

    In pratica hai confermato quello che ha detto lui. Le altre p-code machines per funzionalitá e modalitá d'uso non possono essere paragonate ad una Java VM.
    non+autenticato
  • - Scritto da: Correttore Automatico
    > > > La piattaforma Java non ha eguali
    > > > nella storia dell'informatica,
    >
    > >
    > > Se vuoi c'è questa:
    > > http://en.wikipedia.org/wiki/P-code_machine
    >
    > In pratica hai confermato quello che ha detto
    > lui. Le altre p-code machines per
    > funzionalitá e modalitá d'uso non
    > possono essere paragonate ad una Java
    > VM.
    Si, la quantità di bachi di quella giava è assolutamente imbattibileA bocca aperta
    non+autenticato
  • > Si, la quantità di bachi di quella giava è
    > assolutamente imbattibile
    >A bocca aperta

    Commento de esperto, non c'é che dire. Ti sei solo dimenticato che la maggior parte dei bugs sono stati trovati nel plugin del browser.
    P.S. LA VM é tanto complessa quanto un intero sistema operativo.
    non+autenticato
  • - Scritto da: qualcuno
    > > Si, la quantità di bachi di quella giava è
    > > assolutamente imbattibile
    > >A bocca aperta
    >
    > Commento de esperto, non c'é che dire.

    Semplice aritmeticaA bocca aperta

    > P.S. LA VM é tanto complessa quanto un intero
    > sistema
    > operativo.
    E quindi?
    Se non sei capace, lascia perdere.
    non+autenticato
  • Google ha praticamente riscritto la VM Java per le sue necessità qualche tempo fa ed è alla base di buona parte della tecnologia Android.
    non+autenticato
  • - Scritto da: Walrus
    > Google ha praticamente riscritto la VM Java per
    > le sue necessità qualche tempo fa ed è alla base
    > di buona parte della tecnologia
    > Android.
    Strano pensavo fosse LINUX alla base di androidA bocca aperta
    non+autenticato
  • Una virtual-machine vive dentro ad un altro OS.

    ANdroid è basato sulla Dalvik VM, che vive all'interno di un sistema basato sukernel linux
  • - Scritto da: yattamax
    > Una virtual-machine vive dentro ad un altro OS.
    >
    > ANdroid è basato sulla Dalvik VM, che vive
    > all'interno di un sistema basato sukernel
    > linux
    Hai provato a dare un'occhiata ai sorgenti?
    Vedo una montagna di file che finiscono in c/cpp/s e sono molti di più di quelli che finiscono in java
    non+autenticato
  • Chi dice che non ci siano parti scritte in altri linguaggi a più basso livello per le parti sottostanti che fanno da base all'ambiente in cui vive la Dalvik VM ?

    come dicevo: una VM vive all'interno di un altro OS (e in questo caso un sistema basato su kernel linux , ma non un sistema GNU/Linux anche se molti componenti sono in comune)

    la dalvik (che è una VM Java con sue caratteristiche intrinseche) è l'ambiente in cui girano le applicazioni e quindi la base verso cui gli sviluppatori si interfacciano
    -----------------------------------------------------------
    Modificato dall' autore il 06 giugno 2013 15.23
    -----------------------------------------------------------
  • strano per un linguaggio così sicuroA bocca apertaA bocca aperta
    non+autenticato
  • - Scritto da: astro
    > strano per un linguaggio così sicuroA bocca apertaA bocca aperta
    cosa c'entra il linguaggio?
    tanto più che la VM è scritta in C

    PS
    nell'oggetto del messaggio mi appare "Giava, nuovi piani per la sicurezza" Deluso
    non+autenticato
  • - Scritto da: b cognome
    > - Scritto da: astro
    > > strano per un linguaggio così sicuroA bocca apertaA bocca aperta
    > cosa c'entra il linguaggio?

    Niente, si parlava del meteoA bocca aperta

    > tanto più che la VM è scritta in C

    Lo so

    > PS
    > nell'oggetto del messaggio mi appare "Giava,
    > nuovi piani per la sicurezza"
    >Deluso

    è una storpiatura voluta
    non+autenticato
  • - Scritto da: astro
    > - Scritto da: b cognome
    > > - Scritto da: astro
    > > > strano per un linguaggio così sicuroA bocca apertaA bocca aperta
    > > cosa c'entra il linguaggio?
    >
    > Niente, si parlava del meteoA bocca aperta
    >

    intendo che il linguaggio non ha niente a che fare con la sua implementazione

    > > PS
    > > nell'oggetto del messaggio mi appare "Giava,
    > > nuovi piani per la sicurezza"
    > >Deluso
    >
    > è una storpiatura voluta
    meno male, non ho visto che era l'oggetto del tuo messaggio, pensavo fosse un refuso del titolo dell'articolo. ormai su PI...
    non+autenticato