Sicherheitsproblem Java?

Mein erster Beitrag hier im Blog, der erste Beitrag zu Java und dann so was: Java macht in den letzten Wochen massiv negative Schlagzeilen. Nicht nur in den einschlägigen Technikmagazinen und -blogs, sondern auch auf allgemeinen Nachrichtenseiten und sogar in der Tagespresse. Selbst das Bundesamt für Sicherheit in der Informationstechnik hat sich eingeschaltet und gleich mal pauschal zur Deinstallation von Java geraten. Sicherheitsproblem Java also? Stellt Java auf den Rechnern der meisten Anwender ein so großes Sicherheitsproblem dar? Die Antwort ist leider: “Ja”. Aber ist es damit pauschal unsicher? Ganz sicher nicht. Trotzdem muss man sich über Oracles Verhalten wundern.

Aber schauen wir uns die Situation ein bisschen genauer an. Erst mal kann man Oracle natürlich zu Gute halten, dass die letzte große Lücke von Mitte Januar prompt gefixt wurde. Dumm nur, dass der Fix nicht hundertprozentig dicht ist und es noch andere Lücken gibt. Auch wenn das bei einem Notfallpatch nachvollziehbar ist, macht es einfach einen sehr schlechten Eindruck, wenn nicht mal einen halben Monat später der nächste Patch folgen muss. Viele Benutzer werden, wenn sie überhaupt das letzte Update eingespielt haben, dieses dann vermutlich genervt ignorieren. Bei anderen tendenziell anfälligen Anwendungen Firefox, Chrome oder Flash sieht es zwar nicht besser aus mit der Update-Dichte, dort ist der Aktualisierungsvorgang aber wenigstens schmerzlos und schnell.

Applets - Herrlich nostalgisch, furchbar veraltet

Applets – Herrlich nostalgisch, hoffnungslos veraltet

Dabei macht es sich Oracle hier wirklich unnötig schwer, denn Quelle aller dieser Probleme sind Applets: Im Browser eingebettete Java-Anwendungen, die durch eine Sandbox vom Rechner abgeschirmt werden sollen. Was für ein fehleranfälliger Ansatz das ist, kann man bei den alten Spitzenreitern der Sicherheitsprobleme beobachten: Adobes Acrobat Reader und Flash. Lücken, um aus der Sandbox auszubrechen, finden sich einfach immer wieder. Besonders in historisch gewachsenen Anwendungen, bei denen Sicherheit lange kein Thema war. Genau daraus resultiert dann auch das Sicherheitsproblem Javas. Reine Webtechnologien haben dieses Problem nicht. Und da stellt sich dann die Frage, warum es Applets überhaupt noch gibt? Früher, als das Web noch Großteils statischer Text war, mag das ein akzeptabler Weg gewesen sein, um dynamische Inhalte anzuzeigen. Heute gibt es dafür keinen Grund mehr.  Bis auf wenige Ausnahmen bekommt man mit Javascript das gleiche und sogar noch mehr zustande. Wer einfach das Java-Plugin im Browser abschält, wird sehr wahrscheinlich merken, dass es ihm nirgends fehlt. Tatsächlich ist das sogar zu empfehlen, um sich vor den nächsten Lücken zu schützen und extrem einfach:

  • In Firefox findet sich die passende Option im Add-on-Manager unter „Plugins“
  • Benutzer des Internetexplorer finden die Einstellung in den Internetoptionen unter „Sicherheit > Stufe anpassen > Scripting für Java-Applets“
  • Chrome hat die Option etwas versteckt unter „Einstellungen > Erweitere Einstellungen anzeigen > Datenschutz > Inhaltseinstellungen > Einzelne Plugins deaktivieren“
Ask Toolbar im Java-Installer

Ask Toolbar im Java-Installer

Wirklich aus Java entfernen kann Oracle Applets verständlicherweise nicht, da es vor allem in Firmenanwendungen gelegentlich noch zum Einsatz kommt. Bestes Beispiel ist hier ausgerechnet Oracle selbst mit seiner Forms-Technologie, die mit Applets “web-tauglich” gemacht wurde. Die Lösung wäre allerdings nicht allzu kompliziert: Das Browser-Plugin von Java wird einfach eine optionale Komponente im Installer, die standardmäßig nicht kopiert wird und explizit in einer benutzerdefinierten Installation ausgewählt werden muss. Und wenn gerade schon der Installer überarbeitet wird, dann könnte bei der Gelegenheit doch bitte auch gleich die darin mitgelieferte, an Spyware grenzende, Ask-Toolbar aus dem JRE-Download entfernt werden. Dann müsste man nicht jedes mal darauf achten diese brav abzuwählen. Wie man auf die Idee kommen kann so etwas bei einer inzwischen hauptsächlich im Business-Bereich genutzten Software zu versuchen, ist völlig rätselhaft. Mag sein, dass Sun die paar extra Cent nötig hatte, Oracle sicher nicht. Das wirkt einfach nur abschreckend und unprofessionell.

Aber auch für den Fall dass Oracle am Plugin festhält oder man tatsächlich regelmäßig mit Applets arbeiten muss, gibt es Abhilfe. Die einfachste Lösung ist es hier auf “Click to Play” zu setzen. Damit muss das Starten des Plugins jedes mal explizit erlaubt werden. In der nächsten Firefox-Version wird dieses Verhalten ohnehin Standard. Es lässt sich aber auch in den aktuellen Versionen schon aktivieren, indem man in den erweiterten Einstellungen unter “about:config” die Option “plugins.click_to_play” aktiviert. Das greift dann zwar bei allen Plugins, also nicht nur Java sondern etwa auch Flash, was aber angesichts mancher Werbebanner auch nicht wirklich schlecht ist.

Click to Play

Applet mit aktiviertem Click to Play

Was kann man aus den ganzen Problemen als Entwickler lernen? Finger Weg von Applets. Es gibt genügend Frameworks und Libraries für echte, sichere und zeitgemäße Webanwendungen auf Java-Basis zur Auswahl. Das „Sicherheitsproblem Java“ gibt es nur, wenn man an veralteten Technologien festhält.

Getagged mit: , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

* Copy This Password *

* Type Or Paste Password Here *