Il faudrait 2 ans à Oracle pour sécuriser Java, Réactions à la publication du 21/01/2013

[Lionel]

Ces derniers temps on a beaucoup parlé d'Oracle et de Java, qui est devenu le bac à sable des pirates, qui y trouvent sans cesse nouvelle matière pour attaquer par son biais les ordinateurs. Oracle est obligé de réagir de plus en plus dans l'urgence pour combler ces failles, mais on en découvre de nouvelles plus vite que la société n'arrive à les combler.
Oracle semble aujourd'hui payer des années de laxisme dans la programmation de Java et des experts considèrent qu'il faudra jusqu'à 2 ans de travail acharné pour arrive à rendre cet environnement fiable, ce qui reviendrait pratiquement à tout réécrire ou à étudier à la loupe chaque ligne de son code.


Il n'est pas du tout certain que le public et les développeurs utilisant cet environnement acceptent d'attendre aussi longtemps en prenant le risque de voir leurs machines exposées et déjà les désinstallations de Java se multiplient à bon train, provoquant l'inquiétude des développeurs, qui pourraient se tourner vers des solutions différentes.


Nous ne serions pas surpris d'apprendre dans les prochains mois qu'Oracle compte repartir du code d'une version datant de plusieurs années mais plus fiable pour progressivement ajouter avec luxe de précautions des fonctions déjà présentes sur la version 7, ce qui passera par une longue période de transition avec un appauvrissement pour les développeurs mais aussi une fiabilité plus conséquente. Sinon, d'ici 2 à 3 ans Java aura perdu l'essentiel de son parc installé.
Par Lionel

[apocrypha]

A quoi sert Java pour une utilisation classique sous Mac ? (ou PC)

[Dieru]

Est ce que toutes ces failles peuvent impacter l'univers Android compte tenu d'une majorité d'application développées en JAVA??

[tarul]

A quoi sert Java pour une utilisation classique sous Mac ? (ou PC)

• pour le dev web en entreprise la jvm est nécessaire (mais pas le plugin web)
• le plugin web java utilisé en combinaison d'une carte à puce
• application lourde ( il en reste par-ci par-là)

Aujourd'hui la jvm chez les client n'est pas très utilisé. Oracle tente de revenir sur le client lourde grâce javafx. Mais cette initiative ne rencontre pas de gros succès. les failles ne vont pas l'aider.

Est ce que toutes ces failles peuvent impacter l'univers Android compte tenu d'une majorité d'application développées en JAVA??

Si j'en crois ce que je lis ici et là. la réponse devrait être non. car la plupart des failles utilisent le plugin web de java. hors ce dernier n'existe que sur les os pc. les applications web java/jvm ne sont pas touchées par ces failles (mais peuvent être touchées par les failles classiques des sites)
voici l'avis de la personne qui a developpé un server d'integration continue lorsqu'il était chez sun. Il fait un petit rappel du model du bac à sable de la jvm (plus d'autre chose sujet). http://kohsuke.org/2013/01/20/javafx-needs...dition-of-java/

[kiw0r]

A quoi sert Java pour une utilisation classique sous Mac ? (ou PC)

A juste bouffer de la mémoire...
Trêve de plaisanteries, Java, c'est bien sur papier parce que en pratique y a que le java wintel qui fonctionne.
Pour avoir passé des heures sur des problématiques d'applet java pour de iKvm par exemple ou la moitié des trucs fonctionnent (quand ca veux bien fonctionner un peu) sur du Mac OS X (OS très rare il parait ?) ou Linux (encore plus rare) et que la solution après avoir jeté l'éponge c'est un windows en RDP... Franchement, je trouve ça bien que cette saloperie disparaisse.

Même remarque pour l'autre truc Flash la... C'est pas un mal que ces verrues disparaissent.

[fabmars]

Excusez moi, cet article est un tissu du bêtises.

- Il n'y a pas eu de laxisme dans la programmation de Java, il y en a eu dans la maintenance de certains composants qui n'étaient plus vraiment utilisés par le public alors que Java se tournait plus vers les apps d'entreprise (JavaEE).
- C'était Sun qui en était responsable pas Oracle. Qui a racheté Sun.
- Java est maintenu par des ingénieurs très compétents. Les failles sont comblées, d'autres sont découvertes. Comme sur vos OS favoris. "deux ans" c'est une manière pour certains experts sécurité de faire parler d'eux et de faire passer un certain message commissionné.


Ce qu'il faut retenir:
Les failles concernent les applets. Qui utilise encore des applets? Personne.
Il y a centaines de failles de sécurité découvertes chaque jour. Sur des OS ou softs bien plus sensibles et on n'en parle pas autant.
Android n'a rien à voir avec ça: différente virtual machine, pas d'applets.

La vérité c'est que Java est omniprésent (serveurs d'application, Android) et certains acteurs de l'industrie alimentent cette tempête dans un verre d'eau pour discréditer l'écosystème dans son ensemble. On pourait s'interroger sur le fait que Rapid7, la société de sécurité qui a annoncé "deux ans", a des liens avec Microsoft.
Bref en relayant cet article encore moins bien que ZDNet, vous faites le jeu de certaines instances sans le savoir. Bon, c'est vrai Apple n'aimait pas Java non plus...

Et pour en savoir plus: http://timboudreau.com/blog/read/The_Java_...)_Plain_English

Ce message a été modifié par fabmars - 21 Jan 2013, 08:37.

[monsieurben]

S'il est vrai que le parc installé va pobablement diminuer chez les particuliers, le problème reste entier pour les pros : de (trop) nombreuses entreprises utilisent java pour tous leurs développements, ce qui leur permet d'avoir des développeurs capables de travailler sur n'importe quel logiciel de l'entreprise.

Du coup, ce sont nos données personnelles, qui sont gérées par des programmes java, qui m'inquiètent, et il faudra probablement bien plus de 2 ans pour que les entreprises migrent vers un autre langage...

Pour ce qui est d'Android, la donne est complètement différente : Google a ré-écrit complètement une machine virtuelle (appelée Dalvik), qui ne partage presque aucun code commun avec celle de Sun/Oracle. Les failles découvertes sur nos PC n'ont donc normalement pas d'impact sur Android (mais d'autres failles existent, tout comme sour iOS).

[fabmars]

Du coup, ce sont nos données personnelles, qui sont gérées par des programmes java, qui m'inquiètent, et il faudra probablement bien plus de 2 ans pour que les entreprises migrent vers un autre langage...

Complètement faux. N'importe quoi. JavaEE n'a rien à voir avec les failles découvertes. Il n'y a pas à s'inquiéter pour les données personnelles. Inquiête toi plus des failles découvertes sur Windows, OSX, Unix ou plus simpleemnt sur la DB Oracle.

Ce message a été modifié par fabmars - 21 Jan 2013, 08:33.

[taz065]

Arf, il y en a encore à défendre ceux qui codent avec les pieds, java c'est comme l'iceberg, je me répète mais dans n'importe quelle branche un technicien ou un ingénieur qui bosse comme c'est l'usage dans l'invention des logiciels et bien c'est la porte assurée en moins d'un mois.
Nous n'avons jamais vu, je dis bien jamais, un logiciel sortir et être fonctionnel immédiatement. là avec java c'est peut être exagéré, mais je ne vois pas ce qu'il y a de surprenant, il y a juste des gens un peu plus pointus (et nombreux) qui cherchent les failles. ça rappelle un peu la grande époque de windows.
Mais peu de chance que cela les pousse à finaliser réellement leurs produits avant de les sortir, l'habitude est trop bien ancrée.

[PoneyBoy]

Arf, il y en a encore à défendre ceux qui codent avec les pieds, java c'est comme l'iceberg, je me répète mais dans n'importe quelle branche un technicien ou un ingénieur qui bosse comme c'est l'usage dans l'invention des logiciels et bien c'est la porte assurée en moins d'un mois.
Nous n'avons jamais vu, je dis bien jamais, un logiciel sortir et être fonctionnel immédiatement. là avec java c'est peut être exagéré, mais je ne vois pas ce qu'il y a de surprenant, il y a juste des gens un peu plus pointus (et nombreux) qui cherchent les failles. ça rappelle un peu la grande époque de windows.
Mais peu de chance que cela les pousse à finaliser réellement leurs produits avant de les sortir, l'habitude est trop bien ancrée.

Oracle toi la gorge avant de parler, sinon t'as la voix rauque !

[Kiriré]

A quoi sert Java pour une utilisation classique sous Mac ? (ou PC)

A juste bouffer de la mémoire...
Trêve de plaisanteries, Java, c'est bien sur papier parce que en pratique y a que le java wintel qui fonctionne.
Pour avoir passé des heures sur des problématiques d'applet java pour de iKvm par exemple ou la moitié des trucs fonctionnent (quand ca veux bien fonctionner un peu) sur du Mac OS X (OS très rare il parait ?) ou Linux (encore plus rare) et que la solution après avoir jeté l'éponge c'est un windows en RDP... Franchement, je trouve ça bien que cette saloperie disparaisse.

Même remarque pour l'autre truc Flash la... C'est pas un mal que ces verrues disparaissent.

JAVA ne disparaitra jamais (encore heureux), c'est l'un des seuls langage non compilé complet et performant qui existe (peut-être avec Python) qui permet de passer outre de l'architecture d'une telle ou telle machine. L'avantage de JAVA c'est sa syntaxe très proche du C++, donc pas besoins des heures de formations pour que des gens sachant programmé en C++ (minimum requis quand on est dans l'informatique) sachent écrire en JAVA (après les subtilités, ça vient avec le temps).
C'est quoi le raport avec Flash ? Faut pas comparer un langage "casual" avec un vrai langage de programation.

[Azerty831]

Java est utilisé sur les sites de Bourse par exemple ( Boursorama ou Bourse Direct ou même ProrealTimepour ne pas les citer) afin de générer des graphiques paramétrables et éditables,

Exemple ici ==> http://www.boursorama.com/bourse/cours/gra...?symbole=1rPCAC

Edit : Il faut être connecté via son compte, sinon il affiche un module en Flash.
En étant connecté on a ça :




Je ne vois pas comment faire ça sans Java ?? En HTML5 c'est faisable ?

Ce message a été modifié par Azerty831 - 21 Jan 2013, 10:57.

[titan2]

Dans le doute, j'hésitais pas mal, j'ai completement désactiver java de mon systeme. Trop de failles (legales ou/et pas) existent déjà par ailleurs et je suis bien parano (pas de cloud et autre truc du genre pour moi) avec internet. Vigilance !

[NicolasO]

Est ce que toutes ces failles peuvent impacter l'univers Android compte tenu d'une majorité d'application développées en JAVA??

Non.
Pas la meme machine virtuelle et pas le meme modele de sécurité.
Sur Android, un utilisateur est crée par application avec les droits qui lui sont spécifiques.
L'utilisateur confirme ces droits. C'est l'OS et pas la VM qui vérifie ces droits.
(En tout cas c'est ce que j'en ai compris. Quelqu'un de plus spécialiste peut confirmer?)

[titan2]

@Azerty831
Facile de s'en passer, tu commences déjà par pas jouer en bourse, pour un monde plus juste, c'est mieux... M'enfin ceci est un autre sujet, bonne journée quand même.

Ce message a été modifié par titan2 - 21 Jan 2013, 11:08.

[Chicken Mayo]

Les failles concernent les applets. Qui utilise encore des applets? Personne.

Sur le web, c'est vrai que les applets sont rares (flash étant bien plus utilisé) mais ca n'est pas forcement le cas en entreprise.

Une applet, ça permet de faire un application riche qui se déploie automatiquement (puisque rechargée depuis le serveur à chaque lancement) qu'on lance depuis un intranet.
De plus, si le parc est hétérogène (mac, pc, linux) cela rajouter l'avantage d'avoir qu'une seule application à maintenir.

On peut probablement faire des clients riches en HTML avec GWT ou HTML5, mais je ne sais pas dans quelle mesure on peut faire des choses coté client:
Imagine une application "maison", par exemple un logiciel de saisie de plainte pour la police (c'est une exemple fictif).
L'appli aurait une zone de saisie d'infos (nom du plaignant, etc) et une zone texte "à la word" pour saisir la plainte, avec insertion de photos, mise en page, etc....

Avec une applet java, tu peux tout faire sur le poste client et n'envoyer au serveur que le document final, au moment de la sauvegarde.

[zelegolas]

Java est utilisé sur les sites de Bourse par exemple ( Boursorama ou Bourse Direct ou même ProrealTimepour ne pas les citer) afin de générer des graphiques paramétrables et éditables,

Exemple ici ==> http://www.boursorama.com/bourse/cours/gra...?symbole=1rPCAC

Edit : Il faut être connecté via son compte, sinon il affiche un module en Flash.
En étant connecté on a ça :



Je ne vois pas comment faire ça sans Java ?? En HTML5 c'est faisable ?

Pour ce qui est des graphiques tu peux utiliser un Framework comme Ext.JS pas besoin de Java pour ça.
Je t'invite à regarder les exemples de ce que l'on peut faire avec Ext.JS et sa partie graph : Ext JS 4.1 Samples Chats

[kiw0r]

(...)
Je ne vois pas comment faire ça sans Java ?? En HTML5 c'est faisable ?

Oui y a plein d'outils : jQuery en est un. Par contre trouver un pisseur de code en Java ca se trouve, un bon qui sais faire du jquery (en france déjà) c'est autre chose.

Highcharts est un très bon exemple de ce qu'on peux faire en jQuery. J'en utilise pour mes projets perso.

Mais faut juste attendre que le gens qui font du Java passent a jquery et dérivatifs...

[Azerty831]

Merci à tous les deux pour vos réponses,
C'est rassurant de voir alors qu'il y a une alternative et que ces applis pourront être adaptées d'une manière ou d'une autre si un jour ces sites se décident à le faire.

[marc_os]

Les failles concernent les applets. Qui utilise encore des applets? Personne.

Sur le web, c'est vrai que les applets sont rares (flash étant bien plus utilisé) mais ca n'est pas forcement le cas en entreprise.

Une applet, ça permet de faire un application riche qui se déploie automatiquement (puisque rechargée depuis le serveur à chaque lancement) qu'on lance depuis un intranet.
De plus, si le parc est hétérogène (mac, pc, linux) cela rajouter l'avantage d'avoir qu'une seule application à maintenir.

On peut probablement faire des clients riches en HTML avec GWT ou HTML5, mais je ne sais pas dans quelle mesure on peut faire des choses coté client:
Imagine une application "maison", par exemple un logiciel de saisie de plainte pour la police (c'est une exemple fictif).
L'appli aurait une zone de saisie d'infos (nom du plaignant, etc) et une zone texte "à la word" pour saisir la plainte, avec insertion de photos, mise en page, etc....

Avec une applet java, tu peux tout faire sur le poste client et n'envoyer au serveur que le document final, au moment de la sauvegarde.

Le web "2.0", càd avec pas mal de javascript, de l'AJAX, on peut faire pas mal de choses sans avoir besoin de recourir à du JAVA. Il y a pas mal de frameworks javascript comme JQuery qui permettent de s'affranchir des différences entre navigateurs et machines. Mais c'est sûr, pour réaliser l'exemple "simple" que tu donnes, surtout si on veut faire de la mise en page, le couple javascript/HTML n'est pas l'idéal car l'une des difficultés de l'HTML est de réussir à positionner parfaitement des éléments. Cependant, pour de simples "éditeurs à la Word", il existe des packages javascript tout prêts qui suffisent dans la plupart des cas, comme FCKeditor.


Ce message a été modifié par marc_os - 21 Jan 2013, 11:52.

[noop]

la reecriture est impossible car il faudra refaire tous les tests de non regression chez oracle et tous les editeurs qui utilisent java

[monsieurben]

Du coup, ce sont nos données personnelles, qui sont gérées par des programmes java, qui m'inquiètent, et il faudra probablement bien plus de 2 ans pour que les entreprises migrent vers un autre langage...

Complètement faux. N'importe quoi. JavaEE n'a rien à voir avec les failles découvertes. Il n'y a pas à s'inquiéter pour les données personnelles. Inquiête toi plus des failles découvertes sur Windows, OSX, Unix ou plus simpleemnt sur la DB Oracle.

- J2EE est un superset de J2SE. Une grande partie du code est commune, ainsi qu'une grande partie du runtime.
- les applets ont été extrêmement à la mode au début des années 2000 dans les grosses boites : il était à l'époque impossible de créer des apps web aussi riches que du client lourd, et l'applet était alors une super solution pour simplifier les déploiements. Or une grande partie de ces softs sont toujours en production. On en voit pas mal en call center et dans la VAD/logistique.
- quand on voit qu'Oracle est effectivement naze dans la correction des failles sur tous ses produits (et comme tu le dis si bien, la DB), j'ai de sérieux doutes sur leur processus d'assurance qualité. Je ne vois pas pourquoi java (que ce soit SE ou EE) ferait exception.
- côté OS, Microsoft a pris conscience de ses problèmes il y a plusieurs années, et a revu complètement sa politique de sécurité. Du coup, Windows est aujourd'hui un des systèmes les plus sécurisés qui soient, et leur réactivité est impeccable. Ce n'est pas un troll, mais un constat d'un RSSI qui se doit d'admettre qui Microsoft fait au moins jeu égal avec Linux en terme de réactivité.
- je m'inquiète aussi des problèmes d'OS, de middleware et de DB, mais ce n'est absolument pas une excuse,et je dirais même l'inverse : java étant massivement utilisé sur le web, sa surface d'exposition est mécaniquement plus importante qu'une base de données. Une faille et donc encore plus inexcusable !


Alors la prochaine fois, essaie de répondre avec un peu d'humilité : ton expérience compte, mais ce n'est pas la seule. Et ce qui te semble être n'importe quoi dans ton contexte ne l'est pas dans d'autres.

Edit : orthographe

Ce message a été modifié par monsieurben - 21 Jan 2013, 13:48.

[monsieurben]

la reecriture est impossible car il faudra refaire tous les tests de non regression chez oracle et tous les editeurs qui utilisent java

Pour une si grosse base de code, je pense qu'Oracle en a automatisé au moins une partie (et j'espère que les sociétés aussi )

[kiteman]

C'est vraiment louche ces découvertes soudaines de failles dans Java.
Pour moi c'est une opération qui vise à discréditer Java côté client pour supprimer une techno (ou son renouveau) qui peut être très intéressante (par exemple JavaFX) et concurrente d'autres techno déjà implantées.
Dire qu'il faut réécrire la JVM me parait vraiment exagéré d'autant plus qu'il me semble que les Applets sont parmi une des première techno ou les droits d'execution étaient limités par une sandbox ou l'équivalent.

Evidemment toutes ces failles ne concernent pas les serveurs dans lesquels Java est majoritairement utilisé. Mais l'image de Java est néanmoins entamée d'autant plus que ce genre d'article ne fait aucune distinction et n'explique rien, donc le commun en conclue que Java c'est de la merde, ce qui est évidemment faux.

[GregWar]

A quoi sert Java pour une utilisation classique sous Mac ? (ou PC)

A juste bouffer de la mémoire...
Trêve de plaisanteries, Java, c'est bien sur papier parce que en pratique y a que le java wintel qui fonctionne.
Pour avoir passé des heures sur des problématiques d'applet java pour de iKvm par exemple ou la moitié des trucs fonctionnent (quand ca veux bien fonctionner un peu) sur du Mac OS X (OS très rare il parait ?) ou Linux (encore plus rare) et que la solution après avoir jeté l'éponge c'est un windows en RDP... Franchement, je trouve ça bien que cette saloperie disparaisse.

Même remarque pour l'autre truc Flash la... C'est pas un mal que ces verrues disparaissent.

On avait pas dit trève de plaisanteries ?
Va dire à Google que Java ne tourne que sur Windows
Je ne parle pas d'Android, mais de toutes les apps à base de GWT (Gmail… Docs… Maps…)


Pour Android, ils auront leurs failles, mais pas celle de Java.
Android n'est pas JAVA, ca ne produit pas de bytecode java, mais du bytecode Dalvik.
La syntaxe est identique, et c'est tout.

Google a repris Harmony, fondée par la fondation Apache, une VM basée sur la syntaxe Java, pour en faire Dalvik.

Bref, une fois compilé, ca n'a rien à voir, la VM ne se comporte pas du tout de la même façon.

Enfin, on parle du Sun/Oracle JDK, mais il y a des alternatives, et des boites qui vont bien plus vite, et plus concernées par la sécurité.
IBM, BEA, JBoss, ils ont aussi leur JVM (des vraies JVM pour le coup), qui ne présentent pas les même failles.
Il y a aussi OpenJDK, qui sous l'impulsion OpenSource propose des correctifs plus rapides.

[GregWar]

(...)
Je ne vois pas comment faire ça sans Java ?? En HTML5 c'est faisable ?

Oui y a plein d'outils : jQuery en est un. Par contre trouver un pisseur de code en Java ca se trouve, un bon qui sais faire du jquery (en france déjà) c'est autre chose.

Highcharts est un très bon exemple de ce qu'on peux faire en jQuery. J'en utilise pour mes projets perso.

Mais faut juste attendre que le gens qui font du Java passent a jquery et dérivatifs...

En effet même pas besoin d'attendre HTML5.
Aujourd'hui, déjà, avec des outils comme Raphael.js, tu peux grapher et animer très correctement meme sous IE6, mais attention, il faut revoir un peu les bases des transformation mathématiques par matrices, et tout ça.

Un "pisseur de code" jQuery, tu en as plein les écoles, vraiment plein, plein, plein… je recois des CV tous les jours.
Et dans le lot, on trouve aussi de bons développeurs, mais c'est juste du web.... comme à chaque fois, javascript, c'est top et c'est aussi la misère pour plein de choses.
Par exemple signer numériquement un ordre d'achat, bon, il y a des libs, mais quelle débauche d'énergie, et les performances sont vraiment au rabais.

Highcharts est top, c'est clair, mais ultra limité. Va générer un graphe dans un email ou à inclure dans un PDF... la seule astuce que j'ai trouvé, c'est de lancer via un Driver Webkit le rendu, et le récupérer en SVG, pour le rasterizer en retour par Batik (en java d'ailleurs, mais ca pourrait être autre chose).
C'est d'ailleurs plus ou moins ce qu'ils proposent sur leur site.

Java permet aussi d'envoyer un même objet, en binaire, du serveur au client, ce qui en performance explose ce que l'on fait maintenant en SOAP, ou REST, ou on dépense une puissance démesurée à parser du JSON ou du XML.
Ca on ne l'a pas encore retrouvé, à par peut etre SilverLight.

Java est mort sur côté client, c'est clair, mais son successeur n'est toujours pas la.

[noop]

la reecriture est impossible car il faudra refaire tous les tests de non regression chez oracle et tous les editeurs qui utilisent java

Pour une si grosse base de code, je pense qu'Oracle en a automatisé au moins une partie (et j'espère que les sociétés aussi )

Ben voyons !!!! je n'y crois pas. Oui pour les tests unitaires, mais pour le reste non

[duncan]

C'est pourtant le cas sur la quasi totalité des projets industrialisés sur lesquels j'ai travaillé.

Tu passes tes TNR à la main toi ?

Ce message a été modifié par duncan - 21 Jan 2013, 16:39.

[monsieurben]

la reecriture est impossible car il faudra refaire tous les tests de non regression chez oracle et tous les editeurs qui utilisent java

Pour une si grosse base de code, je pense qu'Oracle en a automatisé au moins une partie (et j'espère que les sociétés aussi )

Ben voyons !!!! je n'y crois pas. Oui pour les tests unitaires, mais pour le reste non

Ben disons que quand t'as vraiment une très grosse base de code, tu as 3 options :

- ne rien faire mais là, ton produit à vraiment très très peu de chances de survie
- les faire faire par des humains, mais la fiabilité est faible, et côté rentabilité, c'est ta boîte qui a très peu de chances de survie
- les automatiser, seule option crédible.

Pour les langages de programmation, une partie des TNR est en fait les TU : la plupart des features sont des méthodes... Après, restent les tests du compilateur et du runtime, et vue la richesse de java, tester manuellement chacune des régressions possibles sur chacune des plateformes couvertes me paraît bien peu rentable, même pour oracle. Donc il ne reste que les options 1 et 3, et je ne suis pas sur que java aurait connu son succès sans TNR...

[DefKing]

Je ne suis pas l'oracle de Delphes, mais je suis sûr qu'il y aura autant de failles (celle par où la pithye...entre autres ?) dans l'HTLM5.