-
Trotz Update unsicher
Autor: monettenom 14.01.13 - 09:27
"Adam Gowdiak, a researcher with Poland's Security Explorations who has discovered several bugs in the software over the past year, said that the update from Oracle leaves unfixed several critical security flaws.
"We don't dare to tell users that it's safe to enable Java again," said Gowdiak."
http://www.reuters.com/article/2013/01/14/us-java-oracle-security-idUSBRE90C0JB20130114 -
Re: Trotz Update unsicher
Autor: S-Talker 14.01.13 - 16:26
monettenom schrieb:
--------------------------------------------------------------------------------
> "Adam Gowdiak, a researcher with Poland's Security Explorations who has
> discovered several bugs in the software over the past year, said that the
> update from Oracle leaves unfixed several critical security flaws.
>
> "We don't dare to tell users that it's safe to enable Java again," said
> Gowdiak."
>
> www.reuters.com
Bei normaler Software geht man davon aus, dass sie sicher ist, bis das Gegenteil bewiesen ist. Im Grunde ist diese Annahme aber fernab der Realität. Bei Java ist es anders herum - prinzipiell der bessere Ansatz.
Aber wirklich viel bringt uns diese Umkehrung auch nicht, denn die Sicherheit einer Software lässt sich nun mal nicht beweisen. Denn dazu müsste man 100% Testabdeckung (!=Codeabdeckung) allein durch statische Analyse erreichen können. Das ist praktisch unmöglich.
Mal ganz abgesehen davon, dass viele Unternehmen statische Analysen ganz außen vor lassen. Es ist vlt nur Zufall, aber gerade in der Java Welt finde ich die Ergebnisse der Tools zu SCA nicht wirklich überzeugend.