De la même manière que Apache Harmony court derrière Oracle? :roll:Citation:
Envoyé par Uther
Version imprimable
De la même manière que Apache Harmony court derrière Oracle? :roll:Citation:
Envoyé par Uther
En théorie ça n'aurait pas du être une obligation étant donné que l'évolution de Java est gérée par les JCP et ne dépend plus entièrement de la volonté de Sun.
Mais en pratique, c'est en effet le cas vu que Oracle garde une bonne partie du leadership sur Java et garde le contrôle du fameux TCK qui a tué Harmony.
Je suis quasiment entièrement d'accord avec toi tchize_.
C'est sûr que quand on développe pour une cible plus réduite comme un SI d'une entreprise, si celui-ci est entièrement linux ou mac, la portabilité devient très importante, et .NET (via Mono) devient alors le dernier choix. J'avoue que je refuserais toujours ce genre de projet.
Après pour Mono, de ce que j'en ai vu récemment, il fait tout ce dont j'ai besoin. Du C# 5.0, avec Linq, ADO, Entity Framework, WCF, ASP.NET et Windows Forms.
Après ce qui peut me manquer, c'est WPF. Il n'y a que Silverlight qui est géré.
Après évidemment, tout dépend de la qualité d'implémentation de ces technos, qui peut être potentiellement handicapante pour les gros projets.
Comme dit plus haut, ce n'est qu'un portage de .NET, qui sera toujours en retard sur l'original, et ne bénéficiant pas forcément du même savoir faire.
La licence peut faire débat en effet, mais quand on vise du Microsoft, c'est dûr de penser que c'est "libre" ^^. Pour les entreprises qui utilisent Linux plus pour ses fonctionnalités que par philosophie du libre, je pense que ce n'est pas forcément LE problème.
Non, mais si tu développe une application en mono ou c# compatible mono, que 20 à 30% de tes clients vont le faire tourner sur du mono, tu doit inévitablement t'assurer que tu n'aura pas des emmerdes de licence dans 2 ans. Sinon tu pourrais perdre 20 à 30% de tes clients d'un coup. Ca fait mal au portefeuille et aux HR ce genre de choses.Citation:
Envoyé par LSMetag
C'est pas une question de liberté, c'est une question de t'assurer que tout ce que tu investit aujourd'hui en temps de dev, tu l'aura pas dans le cul dans 2 ans à cause d'une licence qui était pas très claire.
Sans compter le plaisir avec lequel te regardent les client quand tu leur dit qu'il va falloir installer l'armada mono sur leur serveur :mouarf: Au moins, java, tout peux s'installer un 30 secondes dans un espace utilisateur ;)
La seule expérience que j'ai eu en mono, j'avais acheté un bouquin sur le C#, il y a trois ans voir plus, et je me souviens déjà que je ne suis pas arrivé à la fin du premier chapitre, la moitié des notations n'étaient pas disponibles dans mono. Mais bon, ça date. Mono 2 etait seulement dispo en beta :roll:
Mouais , c'est surtout le retrait de IBM de Harmony pour travailler sur OpenJDK qui a tué le projet. Après le départ d'IBM, le code n'a presque plus bougé :)Citation:
Envoyé par Uther
Le retrait d'IBM étant principalement la conséquence du fait que Harmony ne puisse obtenir la certification.
Je suis un simple utilisateur du web.
Et le seul malware que j'ai chopé, c'est à cause de Java.sa description.
Et pourtant, toutes les maj étaient activées Java & windows...
Pas sûr... Avaient-ils seulement besoin de cette certification ? IBM J9 continue sa vie sur WebSphere...Citation:
Envoyé par Uther
Cordialement,
Philippe
Justement J9 a été certifié, pas Harmony.
En gros, pas de certification, pas le droit d'arborer la trademark java, aucune chance d'être pris au sérieux.Citation:
Envoyé par Philippe Bastiani
Failles Java : Oracle s’engage à corriger Java
et à intensifier la communication autour du langage
L’écosystème Java a été bousculé ces derniers jours par une recrudescence des failles de sécurité pouvant entrainer l’exécution de code arbitraire par un pirate distant sur un ordinateur affecté.
Les experts en sécurité, y compris le département américain de la sécurité intérieure, ont préconisé à l’unanimité, la désactivation du plugin Java dans le navigateur, ou la suppression de l’application pour ceux qui ne l’utilisent pas.
La fréquence de découvertes des vulnérabilités dans la plateforme de développement a même poussé les chercheurs en sécurité à remettre en cause la qualité du code de Java et les capacités d’Oracle à corriger ces failles.
Adam Gowdiak, PDG de Security Exploration (firme ayant découvert plusieurs failles Java), estime, par exemple, qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », ceci étant la conséquence du manque d’un cycle de développement axé sur la sécurité. HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.
Quoi qu'il en soit, Oracle doit réagir et tenter de rassurer les utilisateurs de Java. C’est ce que vient de faire Milton Smith, responsable de la sécurité Java chez Oracle, lors d'une conférence téléphonique qui s'est tenue la semaine dernière avec les représentants des groupes d'utilisateurs du langage.
Oracle s’est engagé à corriger Java et à mieux communiquer sur le langage. « Le plan de sécurité de Java est très simple », a déclaré Smith. « Dans un premier temps, corriger Java, et ensuite mieux communiquer sur nos efforts pour soutenir le langage. L'un ne va pas sans l'autre. Aucun discours ou effort d'apaisement ne peut satisfaire personne. Nous devons corriger Java ».
Cette initiative passe par exemple par une communication plus étendue sur le langage. « Un de nos objectifs est de s’assurer qu’Oracle atteint tous les publics, aussi bien les utilisateurs, les professionnels IT que les ingénieurs », a déclaré Smith.
Le responsable de la sécurité Java chez Oracle n’a pas révélé comment Oracle compte intensifier la communication sur Java. Par ailleurs, il a déclaré qu’une piste serait la publication des mises à jour de sécurité directement aux représentants des groupes utilisateurs, qui pourraient ensuite relayer les informations aux membres.
Pour l’instant, Java 7u11, la dernière mise à jour de sécurité d’Oracle est encore vulnérable aux attaques. Le prochain correctif d’Oracle est toujours attendu.
Source : Conférence téléphonique de Milton Smith
Au niveau de la fondation Apache, le problème a été tellement pris au sérieux que Harmony a été mis en sommeil...Citation:
Envoyé par Philippe Bastiani
En parlant d'Harmony, j'avais lancé l'idée sur leur mailing-list (il y a un peu plus d'un an) qu'ils passent le projet dans le domaine public.
Plutot que de le voir mourir comme c'est le cas aujourd'hui, il aurait pu servir de 'terreau' pour d'autres projets voir des forks de Java/JSE, et maintenue par une communauté, ca aurait fait hérisser le poil a oracle. :mrgreen:
Et on aurait surement un jolie fork de la JRE, comme c'est le cas avec Jenkins(ex-Hudson), MariaDB (ex-MySQL), LibreOffice (ex-OpenOffice), Illuminos (ex-OpenSolaris).
C'est assez clair quoi qu'on dise qu'oracle est loin ... loin ... tres loin derriere Sun quand il s'agit de véhiculer une image Open-Source. Et n'y arrivera jamais a mon avis.
Bref pour ceux que ca interessent d'avoir une librairie commune a la JVM, Android, GCJ, Parrot et de mettre fin a toutes ses betises de licenses. j'accumule (et je code) cette librairie : UN project
J'avous je n'aurais pas commencé ce projet si harmony était passé dans le domaine public, mais c'est pas le cas alors reste a tout refaire :aie:
En même temps Harmony est sous licence Apache, donc il n'y a pas de problème légal pour n'importe qui pour le reprendre. Le vrai souci, c'est surtout de trouver une équipe assez nombreuse, compétente et motivée pour ça.
C'est en pensant comme ca qu'on n'arrive a rien.Citation:
Envoyé par Uther
Citation:
"I am always doing things I can't do, that's how I get to do them."
Pablo Picasso
Pour quiconque a déjà travaillé sur un gros projet impliquant de nombreux commiters, ceci est relève presque de l'impossibilité. Pour changer la license, il faut aller voir toutes les personnes qui on contribués, tous les bout de codes qu'ellest ont importé et voir si il sont compatibles avec la nouvelles licence ou demande si l'auteur est d'accord. Il suffit d'une ligne qui bloque et c'est terminé.Citation:
Envoyé par eclesia
Ça dépend de comment est géré la propriété intellectuelle du code. Je ne sais pas si c'est le cas de Harmony, mais sur pas mal de projets open-source, la fondation/société qui manage le projet demande à ce que la propriété du code lui soit co-attribué, justement pour permettre de changer de licence.Citation:
Envoyé par tchize_
Enfin si c'est juste quelques lignes de code, on peut les remplacer, mais c'est sur que la difficulté est de déterminer qui a fait quoi.
Meme sur les gros projets, il n'y a en general qu'une poignée de developpeurs continue et une large majorité de contributeur ponctuel.Citation:
Envoyé par tchize_
Un exemple plus flagrant de changement de license serait OpenSolaris.
Heu j'ai loupé quelquechose?
Il me semble bien que OpenSoloris a toujours été sous CDDL. Il a été forké en OpenIndianna lors de son abandon par Sun mais la licence n'a pas changé, c'est toujours du CDDL.
Que, si tu a mal géré, tu ne peux pas retrouver pour avoir leur accord.Citation:
Envoyé par eclesia
Le problème, selon moi, c'est qu'il faut du temps et des ressources pour savoir si on ne fait pas une bétise ene changeant la license. Même avec la réattribution de code, reste le problème des codes tiers récupérés car "compatibles avec la license". C'est courant sur des projet open source d'aller récupérer une librairie à gauche ou à droite.
Il est vrai que la fondation apache st rigoureuse à ce sujet et tout contributeur doit signer des documents, ce qui doit probablement leur faciliter le travail. Mais il faudra quand même des ressources pour l'opération et, je ne suis pas convaincu qu'il leur en restait il y a un an :mouarf:
Apparemment, selon ce site neo-zélandais (dont mon boss m'a fait parvenir l’adresse en urgence hier), Apple aurait pris des mesures draconiennes, à savoir bloquer l'exécution de la JVM 6 (la leur) et 7 (celle d'Oracle) via une maj sournoise des Mac connectés au net. Contrairement au blocage précédent qui ne concernait que les navigateur, ici il s'agit également de bloquer l’exécution d'applications.
Ce qui a semble-t-il provoqué des problèmes chez l'agence de presse The Associated Press. L'article est sensé être une copie de leur communiqué de presse et on peut désormais la trouver telle qu'elle un peu partout sur le net y compris Yahoo News, etc., cependant je ne la trouve pas sur leur site web.
Et je n'ai pas mon Mac Book Pro sous la main pour tester (il est resté au boulot ><).
D'après un ami qui fait du Java et qui a un mac, c'est juste censé bloquer le plugin Java des navigateurs. Donc un système anti-applet je suppose.
Oracle sort Java 7u13
un correctif d’urgence pour 50 failles de sécurité, dont 26 critiques
Mise à jour du 05/02/2013
Oracle s’était engagé il y a quelques jours à corriger Java et à mieux communiquer sur la plateforme de développement.
Alliant l’acte à la parole, l’éditeur vient de publier un correctif d’urgence pour les failles de sécurité qui ont secoué l’écosystème Java ces derniers mois.
Java 7 update 13 apporte des patchs pour environ une cinquantaine de vulnérabilités, dont 26 sont classées critiques. Elles peuvent être exploitées pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.
Le correctif était initialement prévu pour le 19 février, mais Oracle a dû rompre avec son cycle de mise à jour habituel parce que l’une des failles était activement exploitée.
Quarante-quatre des failles sont exploitables via des applets Java ou des applications Java Web Start s’exécutant dans le navigateur. Une vulnérabilité affecte le processus de déploiement du client Java. Trois failles touchent à la fois Java côté client et serveur.
Oracle recommande l’application immédiate de cette mise à jour importante. Il est conseillé aux personnes n’utilisant pas le plug-in Java dans le navigateur de le maintenir désactivé.
:fleche: Télécharger Java 7u13
Source : Oracle
Bien, au moins l'intention est là. Oracle va finir par regagner la confiance de ses utilisateurs en poursuivant de la sorte.
Quid de Java 6 ?
Les premières failles montrant qu'il était aussi concerné (ainsi que Java 5 ?).
A moins de participer à un programme de support payant auprès d'Oracle, ça m'étonnerai que des maj de sécurité supplémentaires majeures soient publiées pour Java 6 vu qu'on est déjà arrivé dans le mois après lequel le support gratuit arrive à son terme (février 2013). Donc si rien ne sort dans les 3 semaines à venir, c'est qu'il est peut-être temps de changer de version de la JVM.
Le support commercial lui va jusqu'en décembre 2016.
Quelqu'un a des détails là dessus, j'ai besoin de savoir si il est nécessaire d'upgrader nos serveurs ou si les vecteurs en question ne nous concernent pas.Citation:
Envoyé par Hinault Romaric
Concernant le blocage par Apple, pourtant plusieurs sources indiquent bien que c’était aussi les applications desktop qui étaient bloquées.
M'est donc plus avis que c’était surtout les applications Web Start, y compris celles tournant hors du navigateur en plus des Applets.
A noter le gros troll a la fin de l'article :
Citation:
Sydney security expert Chris Gatford, of HackLabs, said Java was a "dying technology" and that from a security perspective it had been used by malware writers for quite some time to exploit computer systems.
He said it was a "highly recommended practice" to turn it off.
"So given that it's been around for a while and it has been used as a mechanism to exploit systems, I think it's good that [Apple] are thinking about turning things off that aren't needed," Mr Gatford said.
"This is a little bit of pain for perhaps a better security environment for the average home user because it's probably going to affect them most. It's going to be difficult, there's going to be pain. But ultimately it's better in the long term. But I imagine there's going to be some short term pain and a lot of people squealing.
Bonjour,
J'utilise un site de bourse en ligne et je n'ai plus les flux en temps réel depuis ce problème.
Que puis je faire ?Pouvez vous m'aider ?
Cdt,
OS ? Navigateur ? version de Java ?
A part mettre a jours vers 1.7.0_u13 et contacter l’éditeur du soft, du navigateur et/ou de l'OS, pas beaucoup d’idée.
La mise a jour du 19 février contiendra les autres correctifs de sécurité qui n'ont pas pu être intégrés dans la maj du 1er février compte tenu de l'urgence et de la précipitation dans lesquelles elle a été publiée.
Updates to February 2013 Critical Patch Update for Java SE
Sortie de la maj de sécurité de mi-février avec :
- Java SE 7 Update 15 (Release Notes)
- Java SE 6 Update 41 (Release Notes)
Attention pour les utilisateurs de Java 6 :
Citation:
Auto-update and Manual Update of JRE 6 will Replace JRE 6 with JRE 7
Since JRE 6 has reached its End of Public Updates, Oracle is taking steps to protect consumer desktops. Oracle will not leave a version of Java installed for which Oracle no longer provide security updates.
In order to do so, when updating from JRE 6, the update mechanism will not only install the latest version of JRE 7 but will also remove the highest version of JRE 6 on the system. This change will happen when the system is updated via the auto-update mechanism or by checking for updates directly from the Java Control Panel. For more information, read the Java SE 7 Update 15 Release Notes.
Hohoho :) J-1 avant de voir les forums à nouveau envahis de "je déteste oracle qui désinstalle java sans prévenir" :mouarf:
Bonjour @Tchize.
Tu viens d'inventer le concept de "gestion préventive de troll"
qui consisterait à tenter de désamorcer une discussion pénible !
Code:
2
3
4
5
6
7
8
On va voir si ça marche :P
Java : les correctifs sortent, les vulnérabilités suivent
« le langage est un désordre qui n’est pas sécurisé » pour AlienVault Labs
Mise à jour du 04/03/2013
Malgré les efforts d’Oracle pour rendre Java plus sécurisé, la plateforme est toujours vulnérable.
Une fois de plus, à la suite des sorties de nouveaux correctifs de sécurité (Java 1.6 update 41 et Java 1.7 update 15) qui corrigent les précédentes failles, de nouvelles vulnérabilités sont découvertes.
Ces failles, comme il est coutume, sont exploitables via les plugins Java exécutés dans le navigateur, pour perpétrer de cyberattaques.
Les pirates injectent en particulier des « ransomware », des codes malveillants qui se propagent typiquement de la même manière que les vers informatiques. Les documents de l’utilisateur sont alors verrouillés et une demande de paiement est exigée en échange de la clé pour les déverrouiller.
Adam Gowdiak, PDG de Security Explorations dit sans détour : « nous ne pouvons affirmer aux utilisateurs qu’il est de nouveau sûr d’utiliser Java ». Jaime Blasco, de la société AlienVault Labs, quant à lui, fait écho en affirmant que « Java est un désordre, il n’est pas sécurisé, vous devez le désactiver ».
Face à ces risques de sécurité, le département américain de la sécurité recommandait aux utilisateurs de désactiver temporairement Java. Apple ayant été touché de plein fouet a réagi avec une mise à jour de son filtre anti-malware XProtect qui désactive Java sur les versions Mountain Lion et Lion d’OS X.
Source : Reuters
Et vous ?
:fleche: Pensez-vous que Java pourrait à nouveau inspirer confiance ?
Une heure après la publication de cet article Oracle a publié une mise à jour de sécurité, le Java 1.7 update 17. Mais cet article on se réfère d'une source qui parle de de java 1.7 update 15, donc une version avant l'avant-dernière version. L'essentiel mettez à jour vos systèmes.
http://www.oracle.com/technetwork/ja...ads/index.html
A vrai dire si oracle continue dans ce sens il pourra sans doute colmater tous les fuites sur la sécurité dont sa machine virtuelle est exposé.
Java : Oracle publie des correctifs d'urgence
Pour colmater les failles de sécurité critiques de la plateforme
Après la découverte de deux failles de sécurité dans l’environnement Java exploitables via les plugins des navigateurs, la réponse d’Oracle ne s’est pas longtemps fait attendre. Oracle publie, encore une fois, un correctif d’urgence pour pallier le problème.
Les deux vulnérabilités affectent le composant 2D de Java SE. Elles ne s’appliquent pas cependant aux serveurs Java, aux applications de bureau Java ou aux applications embarquées Java. Elles n’affectent pas non plus le serveur Oracle.
Les failles sont utilisées en particulier pour injecter des « ransomware », des codes malveillants qui se propagent typiquement de la même manière que les vers informatiques. Les documents de l’utilisateur sont alors verrouillés et une demande de paiement est exigée en échange de la clé permettant de les déverrouiller.
La compagnie a prévu d’inclure un stabilisateur pour la faille de référence CVE-2013-1493 le 16 avril 2013 et recommande toutefois de garder les paramètres de sécurité de Java au plus haut niveau.
Java 7 Update 17 et Java 6 Update 43 sont disponibles en téléchargement ou peuvent être installés via les mises à jour automatiques.
:fleche: Télécharger Java 7 Update 17 et Java 6 Update 43.
Source : Blog Oracle
Et vous ?
:fleche: Pensez-vous que ce patch sera suffisant cette fois pour colmater les failles dans la sécurité de Java ?
Java 7 update 15 est sortie dimanche dernier. Oracle est passé directement à Java 7 update 17, sans expliquer pourquoi.Citation:
Envoyé par la.lune
L'update 15 c'était le 19 février ! Mais, IMHO, la.lune faisait référence a ton lien Reuters qui date du 14 Janvier !Citation:
Envoyé par Hinault Romaric
Il n'en reste pas moins qu'Oracle semble désormais réagir rapidement !
a+
Philippe
Je ne joue pas aux devinettes.Citation:
Envoyé par Eugène-Sam