Bem-vindo: Qui, 28 de Novembro 2024, 7:21 Pesquisa avançada

Oracle Divulga Planos de Segurança para Java

Secção dedicada a Noticias que não estejam diretamente relacionadas com Software OpenSource! Partilhe aqui notícias sobre Internet, Curiosidades, Guiness, Desporto, Astronomia... resumidamente de tudo! :)

Oracle Divulga Planos de Segurança para Java

Mensagempor nuno_nunes » Seg, 3 de Junho 2013, 20:44

Em Outubro de 2013, a Oracle irá lançar atualizações de segurança para o Java, como parte dos updates Critical Patch. O anúncio veio como parte dos planos da companhia de corrigir o processo de como o Java será protegido ao longo dos próximos anos. Em um post de Blog, o líder da equipe de desenvolvimento de software para a plataforma Java, Nandini Ramani, delineou tanto a agenda quanto os planos de segurança técnicos.

A frente da programação, a Oracle planeja colocar o Java em linha com sua programação de atualizações de patches críticos, para Outubro deste ano de 2013. As atualizações de segurança do Java foram previamente lançadas mediante sua própria agenda, mas com o atual aumento das vulnerabilidades encontradas e fechadas na última atualização - em 2012, as atualizações fecharam um total de 58 brechas, e na primeira metade de 2013, as atualizações já corrigiram 97 falhas - a Oracle deseja tornar os lançamentos mais regulares como parte de seu ciclo quadrimestral do Critical Patch Update. Ramani diz que a companhia irá manter sua habilidade de emitir correções através de seu programa Security Alert. O movimento já era esperado após a Oracle retrabalhar a numeração das versões do Java para as atualizações regulares. E em adição as atualizações regulares, a equipe do Java na Oracle está expandindo seu uso de ferramentas de segurança automatizadas, e trabalhando com o "provedor análise de código fonte primário da Oracle" para poder usar suas ferramentas no ambiente Java.

Tecnicamente, o foco da Oracle está sobre os problemas inerentes com o Java no navegador e seu modelo de confiança/privilégio. Ramani aponta um número de mudanças para restringir a confiança em applets Java, especialmente no mais recente lançamento do Java 7 Update 21 - utilizando o modelo de assinaturas para estabelecer a identidade de um autor de applet mas não necessariamente aumentando os privilégios do applet, desencorajando a execução de applets auto-assinados ou sem assinaturas, além de adicionar verificações para a validade do certificado. Por sinal, essa última funcionalidade está atualmente desabilitada por padrão por motivos de problemas de desempenho, e Ramani apenas informa que isso será um padrão no futuro. Dentre os outros planos para o futuro, destacamos a inclusão de bloqueio para todos os applets não assinados ou auto-assinados, além da implementação de uma melhor dinâmica para blacklisting.

Ramani também informa que a empresa estará reduzindo o número de bibliotecas que vem embarcadas com o Server JRE, que está sendo discretamente introduzido com o Java 7 Update 21. O Server JRE já não inclui o plugin Java para navegadores, o instalador ou auto-update, mas a Oracle deseja reduzir as superfícies potenciais de ataque à fundo ao remover outras bibliotecas "tipicamente desnecessárias para a operação do servidor". Essas alterações podem ser significantes e a Oracle informa que precisa trabalhar com a Java Community Process para ter aprovação dessas mudanças. No entanto, quais bibliotecas Java estão sob consideração para remoção ainda não foi informado, mesmo sabendo que possíveis candidatos seriam o Java2D e o manuseio de fontes.

É esperado que o Server JRE venha a possuir diferentes riscos de exploração após essas mudanças, o que será fácil de determinar se uma falha de segurança afeta o Java no desktop ou no servidor. Um sistema do tipo Local Security Policy também será introduzido "em breve" para o Java, que dará controles administrativos sobre as configurações de política de segurança durante a instalação e depuração do Java com, além de outras coisas, as opções para restringir a execução de applets para hosts específicos.

Saiba Mais: Oracle sets out future Java security plans (em Inglês)

Fonte: Under Linux


Avatar do usuário
nuno_nunes
 
Mensagens: 3932
Registrado em: 28 Maio, 2012
Localização: Pampilhosa da Serra - Portugal

Re: Oracle Divulga Planos de Segurança para Java

Mensagempor Exploit » Ter, 4 de Junho 2013, 2:15

se abrissem o java a comunidade resolvia os problemas..
Avatar do usuário
Exploit
 
Mensagens: 1297
Registrado em: 31 Agosto, 2011

Re: Oracle Divulga Planos de Segurança para Java

Mensagempor marcos.vargens » Ter, 4 de Junho 2013, 3:15

Exploit (04-06-2013, 2:15) escreveu:se abrissem o java a comunidade resolvia os problemas..


O Java é Open-Source, e a comunidade trabalha diretamente com a Oracle.

marcos.vargens
 
Mensagens: 603
Registrado em: 12 Julho, 2011

Re: Oracle Divulga Planos de Segurança para Java

Mensagempor Exploit » Ter, 4 de Junho 2013, 3:18

tens a certeza? as comunidades não fazem estas coisas: viewtopic.php?f=47&t=3743
Avatar do usuário
Exploit
 
Mensagens: 1297
Registrado em: 31 Agosto, 2011

Re: Oracle Divulga Planos de Segurança para Java

Mensagempor marcos.vargens » Ter, 4 de Junho 2013, 6:59

Exploit (04-06-2013, 3:18) escreveu:tens a certeza? as comunidades não fazem estas coisas: viewtopic.php?f=47&t=3743

Tenho absoluta certeza. Isso foi uma medida que a SUN (criadora do java) tomou antes de vender a empresa. O java é GPL.
Mais informações aqui.
Para você ter uma ideia da independência da comunidade, de uma olhada neste texto aqui. Se a comunidade quiser corrigir todos esses problemas, está na mão deles fazer isso, mas acho mais fácil a Oracle corrigir, pois tem muito mais recursos para isso.

marcos.vargens
 
Mensagens: 603
Registrado em: 12 Julho, 2011

Re: Oracle Divulga Planos de Segurança para Java

Mensagempor Claudio Novais » Ter, 4 de Junho 2013, 12:35

O OpenJDK é open-source. O Oracle Java é maioritariamente open-source também.

Agora quanto ao desenvolvimento, sinceramente não sei bem como aquilo funciona, pelas notícias parece ser algo similar ao Unity xD Ou seja, é open-source mas desenvolvido pela empresa.
Avatar do usuário
Claudio Novais
Editor do Ubuntued
 
Mensagens: 16869
Registrado em: 25 Maio, 2011

Re: Oracle Divulga Planos de Segurança para Java

Mensagempor marcos.vargens » Ter, 4 de Junho 2013, 16:45

Não é igual ao Unity não Claudio. Seria mais parecido com o QT.
O java era fechado, mas sempre teve seu código fonte aberto. Mas é importante saber que o java em si é uma especificação. A SUN criadora da ideia, foi quem primeiro implementou essa especificação e disponibilizou parte do código fonte a quem quisesse ver. Mas a IBM e Oracle também tinha uma implementação, que era distribuída com seus produtos. Enfim, o Java poderia ser implementado por quem quisesse, mas não havia motivo, pois o da SUN recebia muita contribuição. Como o código era aberto, muitos bugs foram apontados e corrigidos pelas comunidades que usavam o java dela. Não havia motivos para criar um OpenJDK pois a SUN sempre teve uma relação muito boa com as comunidades java.
Quando ela foi vendida, aí sim, surgiu a preocupação de ter problemas de relação. Então a SUN disponibilizou os fontes de sua implementação sobre o código GPL. Mas a Oracle vem se esforçando para que essa desconfiança, caia. Não vai cair, aos olhos das outras comunidades (como a do Linux por exemplo), mas ela está se comportando bem, pois muita coisa da Oracle é feito em java, e é do interesse dela, ter a linguagem segura e forte no mercado. Portanto é natural que ela destine muitos recursos dela para o desenvolvimento do OpenJDK, que é a base de sua implementação.
Outro detalhe importante é o perfil de quem colabora com o java. O java foi criado para dar dinheiro a quem o utiliza, ao contrário do conceito do Linux. Portanto é natural que a comunidade respeite as decisões do JCP e se preocupe muito em manter a compatibilidade e a relação com a Oracle, ao contrário de alguns projetos Open-Source que não dão muita bola para isso (Gnome?!?).
Além do mais ao meu ver, a comunidade open-source do java deve estar muito mais preocupada com performance e uso de memória e principalmente com o java para dispositivos embarcados, do que com um plugin para browser que quase nenhum site mais utiliza, isso não da dinheiro.

marcos.vargens
 
Mensagens: 603
Registrado em: 12 Julho, 2011

Re: Oracle Divulga Planos de Segurança para Java

Mensagempor Claudio Novais » Ter, 4 de Junho 2013, 20:41

Eu quando comparei com o Unity estava a falar do OracleJDK, que me parece pouco comunitário. Mas também não sei de nada em concreto, apenas o que transparece para quem lê as notícias. :p
Avatar do usuário
Claudio Novais
Editor do Ubuntued
 
Mensagens: 16869
Registrado em: 25 Maio, 2011

Re: Oracle Divulga Planos de Segurança para Java

Mensagempor marcos.vargens » Qua, 5 de Junho 2013, 3:48

O OracleJDK até onde eu sei é proprietário e mantido somente pela Oracle.

marcos.vargens
 
Mensagens: 603
Registrado em: 12 Julho, 2011

Re: Oracle Divulga Planos de Segurança para Java

Mensagempor Claudio Novais » Qua, 5 de Junho 2013, 9:56

Pois lá está, você estava a confundir os dois. Mas em todo o caso, o OracleJDK é parcialmente GPL, basta dar uma olhada na Wikipedia. Mas o desenvolvimento é feito pela empresa, um pouco à imagem do Unity (que é 100% GPL) em que a comunidade não tem influência direta no percurso de desenvolvimento.
Avatar do usuário
Claudio Novais
Editor do Ubuntued
 
Mensagens: 16869
Registrado em: 25 Maio, 2011

Próximo

Voltar para Notícias Gerais

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 21 visitantes

cron