Dipl.-Inform. Carsten Eilers

Am 1. Februar hat Apple erneut das Java-Plugin für Webbrowser mittels XProtect blockiert. und ebenfalls am 1. Februar hat Oracle das eigentlich für die Veröffentlichung am 19. Februar vorgesehene Update auf Java 7 Update 13 veröffentlicht. Ob da ein Zusammenhang besteht?

Das nächste planmäßige Update ist für den 18. Juni 2013 vorgesehen. Wetten, dass vorher ein außerplanmäßiges Update erscheint, werden zumindest von mir nicht angenommen. Auch keine darüber, wie lange es dauert, bis Adam Gowdiak die nächste Schwachstelle in Java findet.

Herumdoktern bzw. -patchen an den Symptomen

Das ständige Patchen von Java führt doch zu nichts, da ist eine komplette Überarbeitung nötig. Von Java selbst, aber zuerst von Oracles Entwicklungs- und Testprozeduren. So, wie es Microsoft mit der Einführung des Secure Development Lifecycles vorgemacht hat. Windows XP war sicherheitsmäßig eine einzige Katastrophe, Windows Vista als erstes komplett nach dem SDL entwickeltes System enthielt sehr viel weniger Schwachstellen. Falls Oracle so weitermacht wie bisher, wird eher früher als später niemand mehr Java einsetzen wollen.

Es ist übrigens ein Irrtum, wenn manche Leute bemängeln, Java an sich und das Java-Plugin würden über einen Kamm geschoren, die Plugin-Schwachstellen dem völlig unschuldigen Java in die Schuhe geschoben. Die aktuellen Angriffe erfolgen über das Plugin, da das im Webbrowser direkt aus dem Internet erreichbar ist. Nichts und niemand kann die Cyberkriminellen daran hindern, auch Exploits für den Desktop zu entwickeln. Das sie es nicht tun, hat einen einfachen Grund: Wer einen Benutzer per Social Engineering dazu bringt, eine bösartige Java-Anwendung zu starten, der kann ihm genau so gut ein natives Programm für das betreffende System starten lassen. Mit anderen Worten: So ein Angriff lohnt sich nicht. Zumindest zur Zeit nicht. Evtl. ändert sich das zum Beispiel durch Windows 8. Evtl. ist es ja leichter, aus der Java-Sandbox auszubrechen als aus der für Windows-8-Apps. Und dann hat Java ein neues Problem.

Ach, und bevor ich es vergesse: Am 21. Januar habe ich erklärt, wann und warum Sie Java im Browser ausschalten sollten, und daran hat sich durch das neue Update nichts geändert. Auch nicht durch so etwas wie "Click to play". Denn

"Click to play" ist nutzlos

"Click to play", das Aktivieren von Plugins durch den Benutzer, bietet meines Erachtens nur eine gefühlte Sicherheit. Und dabei ist es egal, ob es Oracles Lösung für Java mit einer Nachfrage bei unsignierten Code oder Firefox generischer Ansatz für alle Plugins mit einer zusätzlichen Warnung vor veralteten Plugins ist (der übrigens von Adobe begrüßt wird, anscheinend hat man dort den Kampf gegen die Schwachstellen in Flash Player und Adobe Reader schon aufgegeben). Und das aus einem einfachen Grund: Laut Ciscos jährlichem Security-Report erfolgt der größte Teil von Drive-by-Infektionen über "vertrauenswürdige" Websites. Und welcher normale Benutzer würde einer "vertrauenswürdigen" Website, die er vielleicht täglich besucht, das Ausführen von Plugins verweigern? Keiner? 1%? 10%? Mehr? Ich tippe auf eine einstellige Prozentzahl. Allerhöchstens. Wenn diese lästigen Nachfragen nicht sowieso beim zweiten oder dritten Mal komplett ausgeschaltet werden.

Ich fürchte, es wird ein komplett neues Sicherheitskonzept fürs Web bzw. die Browser nötig sein, um der Gefahren durch Drive-by-Infektionen Herr zu werden. Die bisherigen Ansätze sind Wassertropfen auf einer glühenden Herdplatte. Es wird Zeit, den Herd runter zu regeln oder das Wasser Eimerweise drauf zu kippen. Und die Feuerwehr zu rufen.

Carsten Eilers