Suche

Java SE 7 Update 51 Checkliste: Sind Sie bereit für das nächste Java Update?

Hartmut Schlosser

Im nächsten Java SE 7 Update 51 stehen zwei wichtige Veränderungen an: Für Java Applets und Web-Start-Anwendungen wird es nötig, gültige Code-Signaturen mitzuliefern. Außerdem müssen im Manifest zwingend die beiden Attribute Permissions und Codebase gesetzt werden, die im Update 7u25 eingeführt wurden. Um die Entwickler auf diese Security-Änderungen vorzubereiten, hat Oracle zwei neue Web-Ressourcen eingerichtet:

Da ist zum einen die Java RIA Security Checklist. 
Hier werden die Best Practices beschrieben, wie Entwickler die nötigen Anpassungen vornehmen und mit User Prompts umgehen können. Zum anderen gibt es ein neues Java Security Resource Center, in dem Informationen über Sicherheitsfragen für Java-Anwendungen gesammelt werden sollen.  Bedient werden sollen hier sowohl Entwickler, System-Administratoren, Sicherheitsexperten als auch Privat-User.

Das Java SE 7 Update 51 ist für Januar 2014 geplant – es bleibt also noch Zeit, sich auf die Änderungen vorzubereiten. Mit dem Update wird der bekannte Java Security Slider so angepasst, dass er per Default RIAs blockiert, die nicht die neuen Anforderungen erfüllen: Gültige Code-Signaturen und die gesetzten neuen Attribute. In der Manifest-Datei, die beim Paketieren eines JARs erzeugt wird, muss das Permissions-Attribut gesetzt sein, um anzuzeigen, ob die Anwendung in einer Sandbox laufen soll oder volle Permissions benötigt. Das Codebase-Attribut zeigt auf den Ort des gehosteten Codes.

Oracle gibt das folgende Beispiel einer solchen korrekten Manifest-Datei aus:

Sample META-INF/MANIFEST.MF file:

Manifest-Version: 1.0 
Created-By: 1.7.0_51 
Permissions: sandbox 
Codebase: www.java.com java.com

Für das Signieren von Quellcode steht unter http://docs.oracle.com/javase/tutorial/security/toolsign/index.html ein kleines Tutorial bereit.

Geschrieben von
Hartmut Schlosser
Hartmut Schlosser
Hartmut Schlosser ist Redakteur und Online-Koordinator bei Software & Support Media. Seine Spezialgebiete liegen bei Java-Enterprise-Technologien, JavaFX, Eclipse und DevOps. Vor seiner Tätigkeit bei S & S Media studierte er Musik, Informatik, französische Philologie und Ethnologie.
Kommentare
  1. Oliver Skawronek2013-11-19 22:50:23

    Ich habe kein Verständnis zum Update 51. Jeder, sowohl Firmen als auch Hobbyentwickler, werden dazu gezwungen, ein teures Zertifikat bei Kaspersky und Co. zu erwerben. Jedes Applet ohne erworbenes Zertifikat soll bedingungslos geblockt werden. Die aktuelle Situation ist bereits ernüchternd: Sicherheitswarnungen verschrecken Nutzer. Das wiederspricht den Geist der Entwicklergemeinde. Schade, Java zusammen mit JavaFX wäre eine tolle Alternative zu Flash geworden, aber wer wird im Hobbybereich ein solches Zertifikat kaufen? Beim Trend, Anwendungen ohne Installation im Browser laufen zu lassen (RIAs), bleibt damit Java außen vor. Diese Leute, die als jugendliche im Hobbybereich solche Applets entwickeln, fehlen dann natürlich auch in der Industrie (wer sollte sich im Hobbybereich für diese Technik auch interessieren?). Hoffentlich erkennt Oracle diese Fehler, und lenkt nochmal ein. Die Alternative ist, Sicherheitslücken in der Ausführung von Applets effizienter zu beseitigen und somit das Vertrauen der Benutzer zu Gunsten der großen Java-Gemeinschaft zurück zu erlangen.

  2. OlafE2014-01-15 08:21:07

    Das schlägt sicherheitstechnisch voll zurück, indem in Unternehmen weiter mit veralteten Versionen von Java gearbeitet wird, da Aktualisierungen auf Serverseite eher träge erfolgen.
    Aber klar, ein Java, was keiner nutzt, ist sicher - eben weil es keiner nutzt. :-(

  3. Greycrow2014-02-03 08:16:55

    Am schlimmsten bei der ganzen Geschichte ist die Tatsache, dass auf einer alten Java Version laufende Systeme plötzlich den Dienst verweigern. Und dass, obwohl kein Update durchgeführt wurde. Das bedeutet im Klartext, dass der "Java Update Checker" nur eine bestehende Internetverbindung benötigt und somit seit Erscheinen von 1.7.0_51 aktiv und ohne Rückfrage eine Änderung am System vornimmt. Denn wie kann es sonst sein, dass ein unverändertes System sonst plötzlich nicht mehr läuft? Und ich spreche hier nicht nur von einem System sondern von tausenden. Es ist ein absolutes NOGO, dass Oracle/Java einen Rechner ohne Rückfrage in seiner Funktionsweise verändert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.