Java im Windows System+Sicherheit

#1 Hallo Com,

ich bräuchte mal dringend eine Info.

Da ich ein Programm benötige was leider nur unter Java läuft, bin ich gezwungen mit Java unter Windows zu installieren.
Ich brauche es auch nicht als Browser Plugin sondern als reine Anwendung.

Da man aber immer wieder von Sicherheitslücken und Sicherheitsproblemen mit Java hört, bin ich nun stark verunsichert was die Verwendung von Java betrifft.
Wenn ich mir jetzt Java installiere, enstehen mir dann Sicherheitslücken im laufenden System ?

Ich bräuchte hier mal bitte eine explizite Auskunft in wie fern ich mit Java um zu gehen habe bzw. was ich beachten muss, damit mein System weiterhin safe bleibt.

danke im Voraus

Gruss Crafter

#2 Java Programme laufen in einer "virtuellen Box", und haben normalerweise keinen Zugang zu der "Aussenwelt". Daher, Sicherheitslücken die von Java aus ein System kompromittieren können sind sehr selten, da solltest du dir lieber gedanken um dein OS machen, das ist wesentlich unsicherer...
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#3 hi heptamer666 ,

das sollte jetzt keine Windows vs. Linux Diskussion werden ^^

Da man aber immer aktuelle Sicherheitsprobleme über Java ließt, muss ja irgend etwas dran sein ... nicht umsonst werden sie erwähnt und dem Kunden suggeriert immer die neuste Version einzuspielen.

Von daher wollte ich wissen was Java in so einen Fall anrichten könnte.

#4

Zitat

Crafter postete
Da man aber immer aktuelle Sicherheitsprobleme über Java ließt, muss ja irgend etwas dran sein ... nicht umsonst werden sie erwähnt und dem Kunden suggeriert immer die neuste Version einzuspielen.

Wo ließt du denn immer so viel über Sicherheitsprobleme mit Java? Für Windows gibt es auch ständig neue Patches die man einspielen soll, das allein bedeutet noch nicht das man ein unsicheres System hat. Wie schon erwähnt können JRE Sicherheitslücken nur recht wenig Probleme verursachen. Lücken in "klassischen" Programmen sind da viel kritischer. Wenn du konkret irgendeinen Patch benennst kannst du nachlesen welche Probleme da behoben werden.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5 war ja klar, das es wieder ein Windows Suckt Thread wird ^^

was Windows für super Löcher und ach so schrottig und übel geschrieben und niemals auf meinen eigenen System und bin ich froh das ich das nicht mehr habe...... das will ich von euch gar nicht wissen !


versucht doch einfach eine explizite Auskunft auf meine Frage zu geben .... ich denk ihr seid hier Spezies ^^

sagt mir doch einfach mal, was mit meinen System passieren könnte wenn ich eine aktuelle Java Version installiere und davon dann eventuell mal später Sicherheitsproblem bekannt werden. Worauf müsste ich also dann achten bzw. was könnten User ausnutzen wenn das Problem bei Anwendern dieser Version bekannt ist.

heptamer666 und seine " Virtuelle Box " ist zwar im Ansatz richtig aber leider sehr global gehalten. Ich möchte wirklich eine Auskunft darüber was möglich wäre und wo ich als Nutzer Probleme bekommen könnte.

#6

Zitat

Crafter postete
war ja klar, das es wieder ein Windows Suckt Thread wird ^^

Ich weiß beim besten Willen nicht wo du das rausließt, sorry. Da steht extra noch das die Anzahl von Patches/Lücken nicht direkt auf (Un)Sicherheit schließen lässt.

Zitat

Sagt mir doch einfach mal, was mit meinen System passieren könnte wenn ich eine aktuelle Java Version installiere und davon dann eventuell mal später Sicherheitsproblem bekannt werden.

Was bei einer nicht gepatchten Software passieren kann kommt natürlich immer auf die Sicherheitslücke an. Nehmen wir mal ein beliebiges älteres Beispiel:
http://www.heise.de/newsticker/Unerlaubter-Dateizugriff-durch-Java-Luecken--/meldung/69356

"Durch mehrere Sicherheitslücken in den Entwicklungs- und Laufzeitumgebungen von Suns Java-Implementierung können sich nicht vertrauenswürdige Applets über ihre Zugriffsrestriktionen hinwegsetzen und vollen Zugang zum Dateisystem mit den Rechten des ausführenden Nutzers erlangen."
Das heißt wenn du auf eine Webseite gehst, die ein normalerweise nicht vertrauenswürdiges Java Applet enthält, kann dieses aus den Beschränkungen seiner Sandbox teilweise ausbrechen und Dateien schreiben und lesen. Das kann vom destruktiven Löschen irgendwelche Daten bis zum installieren weiterer Schadsoftware gehen. Ebenso kann man sensible Daten auslesen und das gleiche kann natürlich auch passieren wenn man eine Java Anwendung herunterlädt und startet. Im Prinzip ist das schon das schlimmste was passieren kann, weil weitere Schadsoftware natürlich beliebige Ausmaße annehmen kann.

Man muss also (wie auch sonst) darauf achten nicht beliebige Software aus unseriösen Quellen auszuführen. Wenn man das beachtet kann man auch eine uralte Java Version haben, das spielt dann keine Rolle. Besser ist es natürlich zusätzlich die installierte Software steht's aktuell zu halten. Weiterführendes zur Sicherheit von Java gibt es u. a. hier:
http://www.heise.de/security/Sicherheit-der-Java-Plattform--/artikel/104934/2
http://www.heise.de/security/Sicherheit-der-Java-Plattform--/artikel/104934/3
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#7 ja das liest sich doch schon besser .

> Das heißt wenn du auf eine Webseite gehst, die ein normalerweise nicht vertrauenswürdiges Java Applet enthält, kann dieses aus den Beschränkungen seiner Sandbox teilweise ausbrechen und Dateien schreiben und lesen.

das würde doch nur passieren wenn ich das Java Plugin im Browser habe nicht wahr ?
die Standard Java Plattform sollte doch nur laden wenn ich eine Anwendung auf meinen System lokal starte. Ist das soweit richtig ?

Java habe Standardmäßig im FF und im IE ( verwende den eigentlich nur zum patchen) deaktiviert und blocke im FF Scripte über NoScript. Somit sollte ich doch von Webseiten die diese Art der Kompromittierung nutzen verschont bleiben.

Somit würde doch nur, das von dir genante Problem greifen, wenn ich mir Anwendungen von dubiosen Seiten herunter lade und lokal starte.

Java läuft doch nicht pernament im Hintergrund oder !!??! doch nur beim starten der dazugehörigen Anwendung !?
Ist das bezogen auf Java soweit richtig ?

#8

Zitat

Crafter postete
Somit würde doch nur, das von dir genante Problem greifen, wenn ich mir Anwendungen von dubiosen Seiten herunter lade und lokal starte.

Jup und ob das dubiose Programm dann eine Java Anwendung ist oder nicht ist ziemlich egal. Ein lokal gestartetes Programm darf prinzipiell erstmal alles was du als User auch darfst. Java Programm sind da eher noch ungefährlicher.

Zitat

Java läuft doch nicht pernament im Hintergrund oder !!??! doch nur beim starten der dazugehörigen Anwendung !? Ist das bezogen auf Java soweit richtig ?

"Java" "läuft" nicht. Java bezeichnet erstmal nur eine Technologie bei der Anwendungen innerhalb einer Laufzeitumgebung (Java Runtime Environment) ausgeführt werden. Eine Laufzeitumgebung, egal ob das Java, .NET, VB6 etc. ist, kann allein nichts bewerkstelligen außer vielleicht im Speicher aktiv zu sein. Erst wenn eine konkrete Anwendung die Laufzeitumgebung nutzt passiert irgendetwas aktives.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#9

Zitat

asdrubael postete
Eine Laufzeitumgebung, egal ob das Java, .NET, VB6 etc. ist, kann allein nichts bewerkstelligen außer vielleicht im Speicher aktiv zu sein.

das heißt die " Laufzeitumgebung " ist bei jedem Start von Windows aktiv ?
beeinflusst sie dann stark den Speicher oder wie verhält sie sich dann ?

#10 Du solltest dich evtl. mal mit den prinzipien von LaufZeitUmgebungen vertraut machen... Der Begriff bedeutet soviel wie "wenn du ein Programm startest was in Java geschrieben wurde startet die entsprechende Laufzeitumgebung, in diesem Falle die JRE, mit und führt das Programm aus". Solange du das also nicht machst wird da auch nichts starten, ausser du stellst das so über deinen Autostart-Ordner ein.

Noch was zum Thema Windows-bashing: Scheinst ja recht viel in texte hineinzuinterpretieren, was da gar nicht steht. Evtl. solltest du mal ein bisschen weniger fabulieren, dafür aber genauer lesen, nur mal so als rat...
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...