Oracle verspricht neue Sicherheits-Strategie: "Wir müssen Java fixen"

Hartmut Schlosser

In einem offenen Gespräch mit ausgewählten Java User Groups hat Oracle eine veränderte Sicherheitsstrategie für Java angekündigt. Die zentralen Aussagen von Milton Smith, Leiter der Java Security Abteilung, und Donald Smith, OpenJDK Director of Product Management, lauteten dabei: Java muss gefixt werden; der Austausch mit Entwicklern über Sicherheitsfragen muss verstärkt werden.

Milton und Donald Smith traten in einer 52-minütigen Telefonkonferenz, die auch im Netz verfügbar gemacht wurde, den Gang nach Canossa an, nachdem Sicherheitslöcher in Java, vor allem dem Browser-Plug-in, immer häufiger durch die Presse gingen. Auch deutsche JUG Vertreter hatten ein offeneres Kommunikationsverhalten gefordert, da teilweise Sicherheitsprobleme zwar gemeldet werden, ohne dass eine Reaktion von Oracle erfolgt. Sicherheitsexperten sprechen von Schwachstellen, die über Monate bekannt sind, ohne dass ein adäquater Patch veröffentlicht wird.

Oracle will es besser machen – so die Botschaft der beiden Smiths. Beschwichtigungen seien fehl am Platz, meinte Milton Smith, denn die Wahrheit laute: Java müsse gefixt werden:

No amount of talking or schmoozing over is going to make anyone happy or do anything for us. We have to fix Java, and we have been doing that.

Zurzeit arbeite man an einem Kommunikationsplan, der eine erhöhte Transparenz ermöglichen und sicherstellen soll, dass keine falschen Informationen in Umlauf geraten. Dabei kommen auch die schwerfälligen Kommunikations-Strukturen Oracles zur Sprache, die dem Java-Hüter bereits während des ersten Jahres nach der Sun-Übernahme eine gehörige Portion Community-Kritik eingebracht hatte.

We’re a very small group and it’s oftentimes frustrating to get a message out. So even when we get all the approvals we need, sometimes understanding how to get a message out is challenging.

Der neue Kommunikationsplan soll den Einbezug von JUG Leadern, Talks auf Konferenzen und spezielle Sicherheitstracks auf der JavaOne beinhalten. Zugegebenermaßen sei die bisherige Praxis von Sicherheitswarnungen und Patches zu technisch, sagen die Oracle-Experten. Und in der Tat dürfte der überwiegende Teil der reinen Nutzer etwa des Java-Browser-Plug-ins nichts oder nur wenig über verfügbare Updates wissen. Hier gilt es für das B2B-Unternehmen Oracle, auch den Bedürfnissen der reinen Consumer-Welt gerecht zu werden.

In der Kritik steht in diesem Zusammenhang der Update-Mechanismus von Java, der, anders als etwa bei Chrome oder dem Flash-Player, keine automatischen Aktualisierungen vornimmt. Auf eine entsprechende Frage eines JUG Leaders hin, ob man diesen Mechanismus in Zukunft verändern wolle, lautete die diplomatische Aussage: Es gebe derzeit keine Pläne, einen solchen Automatisierungmodus einzuführen; es gebe aber auch keine Pläne, dies nicht zu tun. Donald Smith:

It has been talked about. [.] The challenge is of course that you get – if that was a feature that came out, you have an ecosystem with a long history of it not working that way, and you would suddenly have a large segment of people saying ‚how do I prevent this from happening?‘

Oracle will also in Sicherheitsfragen transparenter werden und den Informationsfluss verbessern. Beispielsweise soll besser erklärt werden, warum die Ask Toolbar erst 10 Minuten nach Java installiert wird – oder warum bei Java-Updates überhaupt Drittpartei-Software zum Tragen kommt (auch so eine Kritik der letzten Wochen, die etwa in einem ZDNet-Artikel geübt wird). Klarer soll kommuniziert werden, dass die Probleme der letzten Monate vor allem das Java-Browser-Plug-in betreffen, das man ja in den meisten Fällen einfach ausknipsen kann.

Diese Transparenzbestrebungen sind löblich, denn Handlungsbedarf ist gegeben. Allerdings muss sich Oracle die Frage gefallen lassen, warum ausgerechnet eine solche wichtige Strategie-Änderung nicht an die große Glocke gehängt wird, sondern in einem recht obskuren Mitschnitt einer Telefonkonferenz öffentlich gemacht wird.

Geschrieben von
Hartmut Schlosser
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.