ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้
- แยกรุ่นของ JRE เป็น Server JRE โดยไม่มี Java Plug-in ที่เป็นปัญหาโดนเจาะมาตลอด เพื่อให้ปัญหาช่องโหว่ไม่กระทบงานด้านเซิร์ฟเวอร์ (เริ่มใช้ตั้งแต่ Java 7u21 เป็นต้นไป)
- แยกกระบวนการออกแพตช์ความปลอดภัยเป็น 2 ประเภท คือ Critical Patch Update รุ่นมาตรฐานออกปีละ 4 ครั้งตามรอบซอฟต์แวร์ตัวอื่นของบริษัท และ Security Alert สำหรับแก้ปัญหาเฉพาะหน้าเป็นจุดๆ ไปเมื่อค้นพบช่องโหว่สำคัญ
- เปลี่ยนเงื่อนไขการรัน Java applet โดย applet ที่ถูก sign จะไม่จำเป็นต้องได้สิทธิรันนอก sandbox อัตโนมัติเหมือนก่อน และตัวปลั๊กอินจะตั้งค่าห้ามไม่ให้รัน applet ที่ไม่ถูก sign ตามกระบวนการของออราเคิลแล้ว
- ในอนาคต Java applet ที่ไม่ได้ sign ตามกระบวนการที่ถูกต้อง จะรันไม่ได้เลย
- จากปัญหา Java ไม่เช็คใบรับรองดิจิทัลที่ถูกเพิกถอนแล้ว ออราเคิลจะปรับปรุงวิธีการตรวจสอบใบรับรองดิจิทัลใหม่ในอนาคต แต่ในระยะสั้นจะปิดฟีเจอร์ด้านการตรวจสอบนี้ทิ้งไปก่อนด้วยเหตุผลด้านประสิทธิภาพ
ที่มา - The Oracle Software Security Assurance Blog
Comments
Oracle สู้ ๆ ใครไม่เชียร์ผมเชียร์... เผลอแป๊บเดียว java ในเครื่องก็ตกรุ่นไปแล้ว
Jusci - Google Plus - Twitter
java นี่อาชีพผมเลยนะ ขาดเธอไปฉันคงแย่เป็นเวลานาน
ฟังข่าวนี้ คอ java แต่ไม่อยากพรุนได้เฮ เพราะมี java ในแบบ dalvik ให้ใช้แล้วครับ
ค่อยมีความอยากใช้ขึ้นมาหน่อย
อธิบายให้ผมฟังทีครับ sign java คืออะไร พอดีผมกำลังเขียน Applet แล้ว ผมทดลอง รันบน Web Brower ไม่ได้ ขึ้น Security อย่างเดียวเลย ไม่รู้เกี่ยวกับ sign เปล่า ผมยังงงว่าโค้ดผิดหรืออะไร แต่ไม่น่าจะผิด เพราะแค่ลองทดสอบเขียนบรรทัดเดียวเลย กลับมาอ่านข่าวนี้ไม่รู้เกี่ยวกันไหม เพราะผมทดลองรันบนเครื่องผม
ใช่ครับ เพราะเรื่อง sign นี่ล่ะ
Sign ก็คล้ายๆกับลงชื่อแสดงความเป็นเจ้าของ
อธิบายคร่าวๆก็เหมือนการลง cert ในเวบ ให้ browser เช็คความเป็นเจ้าของ เวลาเข้าแบบ https ได้
สำหรับการเทสต์เองก็ให้หาหัวข้อ self-signed ดูนะครับ
ช่วยบอกวิธีทำ self-signed ทีครับ ดูเท่าไหร่ก็ไม่เข้าใจ