Discussion :

[Stéphane le calme]

Java : Oracle dévoile sa feuille de route pour renforcer la sécurité sur sa plateforme
Que pensez-vous de ces nouvelles mesures ?

Depuis l'année passée, Java est souvent tombé sous le feu de la critique de plusieurs chercheurs dans le domaine de la sécurité, qui s'inquiétaient au vu des attaques successives réussies et généralisées exploitant le zero day des vulnérabilités dans les plugin de Java pour compromettre les ordinateurs.

Nandini Ramani, chef de l'équipe de développement logiciel responsable de la plateforme Java, a expliqué dans un billet blog les grandes lignes des mesures prévues par Oracle pour améliorer la sécurité de sa plateforme.

Dans l'optique de se défendre contre l'introduction de nouvelles vulnérabilités dans la base de code Java, « l'équipe de développement Java a élargi l'utilisation des outils de tests de sécurité automatisés, facilitant une couverture régulière sur de grandes sections de codes de la plateforme Java » explique-t-elle.

Cette action a été menée probablement pour répondre à l'une des préoccupations des chercheurs qui estimaient que, compte tenu du grand nombre de vulnérabilités critiques qui ont été trouvées dans la plateforme, Java 7 avait un manque apparent de propre examen de la sécurité de son code source.

De nouveaux niveaux de sécurité et d'avertissements pour les applets Java ont été introduits dès Java 7 Update 10 et Java 7 Update 21 respectivement, note Ramani. « Dans un futur proche, par défaut, Java n'autorisera plus l'exécution de code non signé ou auto-signé » explique-t-elle. La plupart des exploits Java étant livrés sous forme d'applets Java non signés, cette décision stratégique prend tout son sens.

La compagnie travaille également sur l'ajout d'une fonctionnalité de gestion centralisée des listes blanches Java à destination des entreprises. Le but est de les aider à contrôler quels sites sont autorisés à exécuter des applets Java dans leurs navigateurs.

Ramani souligne que les problèmes affectant l'utilisation de Java côté client n'ont généralement pas d'impact sur Java côté serveur. Pourtant, Oracle a constaté que la publication des vulnérabilités affectant Java lors de son exécution sur les navigateurs web a provoqué la panique des organisations utilisant Java s'exécutant sur leurs serveurs.

Pour éviter que ce genre de scénario se reproduise, la compagnie prévoit de dissocier désormais l'utilisation client/navigateur de Java et l'utilisation serveur de Java ; Java 7 Update 21 viendra donc avec un nouveau type de distribution Java : « Server JRE ». De plus, cette dernière n'aura pas de plugin pour réduire le risque d'attaques en surface.

Source : blog Oracle

Et vous ?

Ces améliorations seront-elles suffisantes pour faire remonter la confiance des utilisateurs en la sécurité de sa plateforme ?

[esired]

Oracle a hérité d'une bombe à retardement en rachetant Sun. La majeure partie des failles de sécurité découvertes ces derniers mois sont présentes dans Java 6 et ne sont donc pas entièrement sous la seule responsabilité d'Oracle, mais le fait qu'ils aient frustré pas mal de monde avec leur nouvelle politique (MySQL pour ne citer que lui) ne les aide pas.
Il faudra beaucoup de temps et d’effort à Oracle pour avoir la sympathie de la communauté mais comme Oracle possède Java, on ne peut se passer d'eux.

[Traroth2]

Oracle a hérité d'une bombe à retardement en rachetant Sun. La majeure partie des failles de sécurité découvertes ces derniers mois sont présentes dans Java 6 et ne sont donc pas entièrement sous la seule responsabilité d'Oracle, mais le fait qu'ils aient frustré pas mal de monde avec leur nouvelle politique (MySQL pour ne citer que lui) ne les aide pas.
Il faudra beaucoup de temps et d’effort à Oracle pour avoir la sympathie de la communauté mais comme Oracle possède Java, on ne peut se passer d'eux.

En même temps, depuis quelques versions maintenant, les applets inconnues demandent une autorisation avant de s'exécuter. Les problèmes de sécurité deviennent tout de suite moins critiques, quand même...

[bytecode]

Bonjour à tous,

apparemment les applets java auto signé fonctionne encore sous la dernière mise a jour mais il y a du mieux.. et les propos de cette responsable semble laisser penser que java avance dans le bon sens !

Croisons les doigts