bjoenn schrieb:
Ich möchte mich nicht an grammatikalischen/germanistischen Problemen reiben, sondern einen deutlichen Hinweis im Wiki,
daß Java als solches ein Sicherheitsproblem darstellt,
und nicht nur das Browser-Plugin, wie zu lesen. Man möge sich bei Heise, BSI und "verbraucher-sicher-online.de" schlau machen - nicht mit mir streiten.
Der Bitte kann leider nicht entsprochen werden.
Linux ist auch ein Sicherheitsproblem, denn man kann Java installieren, und dann Programme die eine Sicherheitslücke im JRE ausnutzen, und dann ist das Linux nicht mehr sicher.
"...Zunächst einmal: Die Sicherheitslücken, über die immer wieder berichtet wird, liegen in der "Java Laufzeitumgebung" (= "Java JRE", aber auch als Teil der Entwicklungsumgebung "Java SDK"). Damit ist es prinzipiell auch ohne das Java-Browser-Plugin möglich, diese Lücken auszunutzen.
Es bedarf also eines gefährlichen Programms. Ein Programm, bei dem absichtlich eine Sicherheitslücke des JRE ausgenutzt wird, und welches als OpenSource in den Ubuntu-Repositories vorliegt - gibt es sowas? Wenn nein - wieso nicht, und wieso dann alle Javaprogramme verbannen?
Gibt es auch Javaprogramme die unabsichtlicherweise eine Sicherheitslücke darstellen?
Bei installiertem Java und Browser-Plug-in ist das Risiko derzeit recht groß, angegriffen zu werden. Das hängt damit zusammen, dass im Umlauf befindliche "Angriffs-Softwarepakete" diese Java-Lücken inkorporiert haben, und aktiv ausnutzen. Sie haben sicherlich auch die Meldungen gelesen, nachdem selbst große Firmen wie Apple oder Microsoft betroffen sind.
Nein, habe ich nicht gelesen. Welche Javaprogramme setzt Microsoft denn ein? Geht es um Applets, die Microsoftmitarbeiter auf ihrem Desktop einsetzen? Wieso sollten mir da große Namen wie Microsoft oder Apple imponieren?
Wir und andere empfehlen aber trotzdem darüber hinaus, die Java Laufzeitumgebung zu *deinstallieren*, *wenn* Sie kein Programm haben, dass dieses benötigt.
Mehr Blödsinn war selten. Ein Schadprogramm welches den Angriffsvektor ausnutzt wäre ja ein Programm, welches Java benötigt. Und wer würde Java überhaupt erst installieren, wenn er es nicht benötigt? Und wenn man kein Javaprogramm ausführt - wie sollte einen dann eine verwundbare JRE gefährden? Das ist so gefährlich wie ein Fleischermesse das man nicht aus der Schublade nimmt.
Denn, wie Sie richtig sagen, gibt es hier auch ein Risiko. Allerdings muss man dieses Risiko abwägen gegen den Nutzen, den Programme wie LibreOffice usw. bringen.
..."
| thinkpux:/opt/data/.include/1308 > ps ax | grep java
27022 pts/4 S+ 0:00 grep java
thinkpux:/opt/data/.include/1308 > libreoffice &
[1] 27024
thinkpux:/opt/data/.include/1308 > ps ax | grep java
27058 pts/4 S+ 0:00 grep java
|
Ein Profi! Dr. Kei Ishii ist nicht zufällig Doktor der Theologie?
Ich meine nicht, daß wir, allein durch unsere Benutzung von Linux, von einem anderen Stern sind - unangreifbar.
Aber Du glaubst dass das andere glauben?
Einzig die Tatsache, das Linux insgesamt (private OS-installationen) im Bereich von etwa 2-3% aller OS-Installationen anzusiedeln ist, führt zu äußerst geringen Angriffen auf uns, die User.
Einzig! Ganz sicher! Weil Du es sagst.
Sobald sich daran etwas ändern wird (z.B. vermehrtes Online-Banking per Linux) werden auch gehäufte Angriffe auf Linux mit entsprechenden Folgen stattfinden. Bitte nicht den Kopf in den Sand stecken!!
Mit Freier und Open-Source - Software? Willst Du eigentlich auch Warnungen vor Python-, Ruby-, Perl- und PHP-Programmen ins Wiki bringen? Vor allem ausser Objective-C und C#-Programmen? Wirst Du dafür bezahlt?
