IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Java : Oracle dévoile sa feuille de route pour renforcer la sécurité de sa plateforme.
Que pensez-vous de ces nouvelles mesures ?

Le , par Stéphane le calme

26PARTAGES

2  0 
Depuis l'année passée, Java est souvent tombé sous le feu de la critique de plusieurs chercheurs dans le domaine de la sécurité, qui s'inquiétaient au vu des attaques successives réussies et généralisées exploitant le zero day des vulnérabilités dans les plugin de Java pour compromettre les ordinateurs.

Nandini Ramani, chef de l'équipe de développement logiciel responsable de la plateforme Java, a expliqué dans un billet blog les grandes lignes des mesures prévues par Oracle pour améliorer la sécurité de sa plateforme.

Dans l'optique de se défendre contre l'introduction de nouvelles vulnérabilités dans la base de code Java, « l'équipe de développement Java a élargi l'utilisation des outils de tests de sécurité automatisés, facilitant une couverture régulière sur de grandes sections de codes de la plateforme Java » explique-t-elle.

Cette action a été menée probablement pour répondre à l'une des préoccupations des chercheurs qui estimaient que, compte tenu du grand nombre de vulnérabilités critiques qui ont été trouvées dans la plateforme, Java 7 avait un manque apparent de propre examen de la sécurité de son code source.

De nouveaux niveaux de sécurité et d'avertissements pour les applets Java ont été introduits dès Java 7 Update 10 et Java 7 Update 21 respectivement, note Ramani. « Dans un futur proche, par défaut, Java n'autorisera plus l'exécution de code non signé ou auto-signé » explique-t-elle. La plupart des exploits Java étant livrés sous forme d'applets Java non signés, cette décision stratégique prend tout son sens.

La compagnie travaille également sur l'ajout d'une fonctionnalité de gestion centralisée des listes blanches Java à destination des entreprises. Le but est de les aider à contrôler quels sites sont autorisés à exécuter des applets Java dans leurs navigateurs.

Ramani souligne que les problèmes affectant l'utilisation de Java côté client n'ont généralement pas d'impact sur Java côté serveur. Pourtant, Oracle a constaté que la publication des vulnérabilités affectant Java lors de son exécution sur les navigateurs web a provoqué la panique des organisations utilisant Java s'exécutant sur leurs serveurs.

Pour éviter que ce genre de scénario se reproduise, la compagnie prévoit de dissocier désormais l'utilisation client/navigateur de Java et l'utilisation serveur de Java ; Java 7 Update 21 viendra donc avec un nouveau type de distribution Java : « Server JRE ». De plus, cette dernière n'aura pas de plugin pour réduire le risque d'attaques en surface.

Source : blog Oracle

Et vous ?

Ces améliorations seront-elles suffisantes pour faire remonter la confiance des utilisateurs en la sécurité de sa plateforme ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de esired
Membre averti https://www.developpez.com
Le 04/06/2013 à 0:33
Oracle a hérité d'une bombe à retardement en rachetant Sun. La majeure partie des failles de sécurité découvertes ces derniers mois sont présentes dans Java 6 et ne sont donc pas entièrement sous la seule responsabilité d'Oracle, mais le fait qu'ils aient frustré pas mal de monde avec leur nouvelle politique (MySQL pour ne citer que lui) ne les aide pas.
Il faudra beaucoup de temps et d’effort à Oracle pour avoir la sympathie de la communauté mais comme Oracle possède Java, on ne peut se passer d'eux.
0  0 
Avatar de Traroth2
Membre émérite https://www.developpez.com
Le 04/06/2013 à 17:33
Citation Envoyé par esired Voir le message
Oracle a hérité d'une bombe à retardement en rachetant Sun. La majeure partie des failles de sécurité découvertes ces derniers mois sont présentes dans Java 6 et ne sont donc pas entièrement sous la seule responsabilité d'Oracle, mais le fait qu'ils aient frustré pas mal de monde avec leur nouvelle politique (MySQL pour ne citer que lui) ne les aide pas.
Il faudra beaucoup de temps et d’effort à Oracle pour avoir la sympathie de la communauté mais comme Oracle possède Java, on ne peut se passer d'eux.
En même temps, depuis quelques versions maintenant, les applets inconnues demandent une autorisation avant de s'exécuter. Les problèmes de sécurité deviennent tout de suite moins critiques, quand même...
0  0 
Avatar de bytecode
Membre actif https://www.developpez.com
Le 04/06/2013 à 19:39
Bonjour à tous,

apparemment les applets java auto signé fonctionne encore sous la dernière mise a jour mais il y a du mieux.. et les propos de cette responsable semble laisser penser que java avance dans le bon sens !

Croisons les doigts
0  0