Dipl.-Inform. Carsten Eilers

40 der 42 Schwachstellen gefährden Browser Plug In und Java Web Start, nur 2 Server-Installationen. Und die sind nicht mal besonders gefährlich. Im Blogeintrag zum Update schreibt Eric P. Maurice dazu:

"Out of the 42 vulnerabilities, only 2 can affect server deployments of Java. Server exploitation can only occur as a result of these bugs when malicious data is supplied into specific APIs on the server (e.g., through a web service), and one of these bugs actually require local access to be exploited. "

Wenigstens wird diesmal nicht mehr so getan, als seien die Browser-Schwachstellen ja gar nicht so schlimm. Auch die neuen Schutzmaßnahmen, d.h. die generelle Nachfrage vor dem Start von Applets und der forcierte Einsatz von Code Signing dienen der Absicherung von Browser Plug In und Java Web Start, denn zumindest die Nachfrage vor dem Start ist auf einem Server ziemlich unpraktisch. Meist ist dort nämlich niemand da, der zustimmen kann. Zum Code Signing und dessen zweifelhaften Schutz habe ich am Donnerstag schon etwas geschrieben.

Oracle konzentriert sich also zur Zeit darauf, Java im Browser sicher zu machen. Die Frage ist, ob das überhaupt noch nötig ist.

Ganz neu: Oracle achtet nun darauf, keine neuen Schwachstellen einzubauen

Die erhöhten Bemühungen, Java sicherer zu machen, bleiben nicht ohne Folgen: Java 8 wird sich verzögern, weil dort Entwickler fehlen. Man achtet jetzt auch darauf, dass neuer Code keine neuen Schwachstellen einführt. Sie denken, dass gibt es ja wohl nicht? Doch, das gibt es. Mark Reinhold von Oracle hat es selbst geschrieben:

"We’ve also upgraded our development processes to increase the level of scrutiny applied to new code, so that new code doesn’t introduce new vulnerabilities."

Aua, sowas lesen zu müssen, dass tut doch weh. Denn das ist eine Selbstverständlichkeit, und im Umkehrschluss bedeutet es, dass Oracle bisher Code zu Java hinzugefügt hat, ohne darauf zu achten, ob der Schwachstellen enthält. Na, ich Danke. Obwohl: Den Verdacht hatte ich ja schon länger, irgendwo müssen die ganzen Schwachstellen ja her kommen. Und die werden bekanntlich schon bei der Entwicklung gemacht und nicht vom Entdecker, auch wenn manche Entwickler dass gerne so sehen. Übrigens "Schwachstelle" und "Entdecker" - raten Sie mal, was Adam Gowdiak von Security Explorations mal wieder gefunden hat. Richtig: Eine neue Schwachstelle in Java.

Dass Java 8 sich verzögert, ist eigentlich egal. Ebenso die Sicherheitsbemühungen von Oracle. Denn:

Java im Browser ist tot

Java im Browser nutzt im Internet doch sowieso keiner mehr, die Online-Elster mal ausgenommen. Oder haben Sie in den letzten Jahren mal irgendwo Java im Web gebraucht? Ich nicht. Jedenfalls hat nie eine Website gemeckert, dass Java bei mir generell ausgeschaltet ist. Java im Browser brauche ich für genau einen Zweck: Die Online-Elster. Und selbst deren Entwickler suchen ja schon nach einer Alternative. Sollten sie die wirklich finden, brauche ich Java im Browser endgültig nicht mehr. Da kann Oracle Java noch so sicher machen, da könnten sie sogar Java 8 einstampfen und von Grund auf neu nach Sicherheitsregeln entwickeln, das nutzt jetzt schon keiner mehr. Und warum sollte irgend jemand nochmal damit anfangen? Zumal die Sicherheitsmaßnahmen die Nutzung immer unkomfortabler machen. Vor allem: Nachdem den Leuten jetzt immer wieder gesagt wurde, sie sollten Java im Browser ausschalten, weil es eine Gefahr dar stellt, wird kaum jemand in ein oder zwei Jahren anfangen und das Gegenteil fordern. Denn wenn es danach auch nur einen einzigen Angriff auf bzw. über Java gibt, sieht derjenige ganz, ganz dumm aus.

Die Java-Applets für Unternehmenslösungen, die in Intranets eingesetzt werden, nehme ich dabei ausdrücklich aus. Das sind Spezialfälle, die eine Sonderbehandlung nötig machen. Man muss nämlich dafür sorgen, dass das notwendigerweise vorhandene Java Plug-In nicht beim normalen Surfen im Internet angegriffen wird. Die Frage ist, wie lange sich die Verantwortlichen die Mühe dieser Sonderbehandlung machen. Irgendwann ist es einfacher, dass Java-Applet zu ersetzen und das Java Plug-In zu löschen. So etwas dauert seine Zeit, aber im Fall der Kombination von Internet Explorer 6 und den daran angepassten ActiveX-Controls hat es ja auch irgendwann geklappt.

Java auf Server und Desktop haben eine Zukunft

Oracle sollte das Browser Plug In und Java Webstart aufgeben und sich auf die Server- und Desktop-Entwicklung konzentrieren. Denn da hat Java eine Chance. Java als Basis für systemübergreifende Desktop-Anwendungen als Alternative zu den Online-Anwendungen mit Datenspeicherung in der Cloud hätte eine Chance. Denn nicht jeder ist gewillt, seine Daten mit einer Online-Anwendung zu bearbeiten und in der Cloud zu speichern. Eine einzige App auf Desktop-Rechner, Notebook, Tablet und Smartphone - das wäre doch was, oder?

Carsten Eilers