Tags:
Node Thumbnail

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

  • แยกรุ่นของ JRE เป็น Server JRE โดยไม่มี Java Plug-in ที่เป็นปัญหาโดนเจาะมาตลอด เพื่อให้ปัญหาช่องโหว่ไม่กระทบงานด้านเซิร์ฟเวอร์ (เริ่มใช้ตั้งแต่ Java 7u21 เป็นต้นไป)
  • แยกกระบวนการออกแพตช์ความปลอดภัยเป็น 2 ประเภท คือ Critical Patch Update รุ่นมาตรฐานออกปีละ 4 ครั้งตามรอบซอฟต์แวร์ตัวอื่นของบริษัท และ Security Alert สำหรับแก้ปัญหาเฉพาะหน้าเป็นจุดๆ ไปเมื่อค้นพบช่องโหว่สำคัญ
  • เปลี่ยนเงื่อนไขการรัน Java applet โดย applet ที่ถูก sign จะไม่จำเป็นต้องได้สิทธิรันนอก sandbox อัตโนมัติเหมือนก่อน และตัวปลั๊กอินจะตั้งค่าห้ามไม่ให้รัน applet ที่ไม่ถูก sign ตามกระบวนการของออราเคิลแล้ว
  • ในอนาคต Java applet ที่ไม่ได้ sign ตามกระบวนการที่ถูกต้อง จะรันไม่ได้เลย
  • จากปัญหา Java ไม่เช็คใบรับรองดิจิทัลที่ถูกเพิกถอนแล้ว ออราเคิลจะปรับปรุงวิธีการตรวจสอบใบรับรองดิจิทัลใหม่ในอนาคต แต่ในระยะสั้นจะปิดฟีเจอร์ด้านการตรวจสอบนี้ทิ้งไปก่อนด้วยเหตุผลด้านประสิทธิภาพ

ที่มา - The Oracle Software Security Assurance Blog

Get latest news from Blognone

Comments

By: mementototem
ContributorJusci's WriterAndroidWindows
on 1 June 2013 - 12:22 #580921
mementototem's picture

Oracle สู้ ๆ ใครไม่เชียร์ผมเชียร์... เผลอแป๊บเดียว java ในเครื่องก็ตกรุ่นไปแล้ว


Jusci - Google Plus - Twitter

By: nextman13
AndroidBlackberryUbuntuWindows
on 1 June 2013 - 13:01 #580935

java นี่อาชีพผมเลยนะ ขาดเธอไปฉันคงแย่เป็นเวลานาน

By: doanga2007
AndroidSymbianUbuntu
on 1 June 2013 - 13:50 #580947 Reply to:580935
doanga2007's picture

ฟังข่าวนี้ คอ java แต่ไม่อยากพรุนได้เฮ เพราะมี java ในแบบ dalvik ให้ใช้แล้วครับ

By: dlkl1
iPhoneWindows PhoneAndroidWindows
on 1 June 2013 - 18:46 #581002
dlkl1's picture

ค่อยมีความอยากใช้ขึ้นมาหน่อย

By: kenshero
iPhoneAndroidUbuntuWindows
on 1 June 2013 - 23:04 #581045

อธิบายให้ผมฟังทีครับ sign java คืออะไร พอดีผมกำลังเขียน Applet แล้ว ผมทดลอง รันบน Web Brower ไม่ได้ ขึ้น Security อย่างเดียวเลย ไม่รู้เกี่ยวกับ sign เปล่า ผมยังงงว่าโค้ดผิดหรืออะไร แต่ไม่น่าจะผิด เพราะแค่ลองทดสอบเขียนบรรทัดเดียวเลย กลับมาอ่านข่าวนี้ไม่รู้เกี่ยวกันไหม เพราะผมทดลองรันบนเครื่องผม

By: BLiNDiNG
AndroidUbuntuWindowsIn Love
on 2 June 2013 - 03:11 #581081 Reply to:581045
BLiNDiNG's picture

ใช่ครับ เพราะ​เรื่อง sign นี่ล่ะ

Sign ก็คล้ายๆกับลงชื่อแสดงความเป็นเจ้าของ

อธิบายคร่าวๆก็เหมือน​การลง cert ในเวบ ให้ browser เช็คความเป็นเจ้าของ เวลาเข้าแบบ https ได้

สำหรับ​การเทสต์เอง​ก็ให้หาหัวข้อ self-signed ดูนะครับ

By: kenshero
iPhoneAndroidUbuntuWindows
on 2 June 2013 - 23:36 #581313 Reply to:581081

ช่วยบอกวิธีทำ self-signed ทีครับ ดูเท่าไหร่ก็ไม่เข้าใจ