加入收藏 | 设为首页 | 会员中心 | 我要投稿 源码网 (https://www.900php.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 教程 > 正文

Java安全改进:有望解决多版本管理问题

发布时间:2017-01-18 09:25:11 所属栏目:教程 来源:核子可乐编译
导读:【评论】甲骨文旗下的古董级编程语言Java已经成为企业用户心中的安全噩梦、黑客眼里的理想跳板,理由很简单早期版本中总是充斥着大量安全漏洞,即使打上最新的修复补丁也于事无补。总而言之,目前Java仍是最受恶意人士的攻击目标。 为什么不直接选择Java新

        【 评论】甲骨文旗下的古董级编程语言Java已经成为企业用户心中的安全噩梦、黑客眼里的理想跳板,理由很简单——早期版本中总是充斥着大量安全漏洞,即使打上最新的修复补丁也于事无补。总而言之,目前Java仍是最受恶意人士的攻击目标。

  为什么不直接选择Java新版本?问题在于某些在企业运营活动中起着关键性作用的应用程序可能无法与新版本顺利协作。为了扭转局面,甲骨文公司在本周推出了Java 7新版本,尝试解决这一挑战。

Java安全改进:有望解决多版本管理问题

  在最近发布的Java Update 40当中,甲骨文实现了自己在今年早些时候所承诺的变化。其中包括允许网络管理员创建DRS(即部署规则集合),旨在定义某款应用程序应该采用哪个Java版本。这类定义机制允许关键性内部应用使用旧版本Java,同时强制要求外部应用——那些可能已经被感染并专门针对旧版本安全缺陷的应用——使用最新Java版本。

  在公司的博客中,Java平台集团产品经理Erik Costlow解释称,Java的最新版本旨在帮助桌面管理员获取管理用户、控制版本兼容性以及特定企业程序默认对话框时所需要的全部功能。新版本还包含有服务于Java及Web应用开发者的内容,这类开发者需要了解用户桌面系统中所采取的角色部署规则集合。

  尽管甲骨文希望通过DRS实现的效果值得赞赏,但从具体实施角度看却仍然有待商榷。“对于任何技术老鸟来说,这样的实施过程都不能算简单,”Rapid 7公司安全工程部门高级经理Ross Barrett在一次采访中表示。“对于目前的进展,我们只能用聊胜于无来形容。原先我们一无所有,如今我们面对的则是一堆非常复杂且难于管理的方案。”

  “这只是第一步,”他解释道。“希望甲骨文方面会进一步完善设计思路。”

  甲骨文公司并没有回应我们提出的评论请求。

  DRS的作用在于尝试为管理员提供针对企业员工桌面应用的控制权。这个目标可能比较模糊。“这确实是个不错的主意,但由此带来的管理成本太高,”NSS(即网络安全系统)研究部主任Chris Morales在采访中表示。

  他解释称,要让DRS机制顺利起效,企业需要了解员工们在桌面系统中使用哪些应用程序、这些应用又各自对应哪些Java版本。此外,每套桌面系统都需要根据上述信息加以配置与维护。

  “一切问题都成为阻碍应用程序控制机制在动态环境下正常起效的负面因素,”Morales指出。

  虽然DRS中包含大量安全关注,但我们应该更多地将其视为部署工具而非安全工具。“如果大家认真审视部署流程中的必要配置,就会发现它实际上只针对那些需要在基础设施内维护应用程序环境高度一致性的大型企业,”Websense公司安全研究主管Alex Watson在采访中解释称。

  “甲骨文确实通过Java版本选择机制为特定应用带来了比较出色的安全效果,”他补充称。“但从安全事务的全局观点来看,我认为这还不足以将安全性推向新的层面。”

  此外,DRS能够通过允许企业以更安全的方式使用存在漏洞的旧版本Java来强化保护机制薄弱的网络环境。“它的出现帮助企业免于利用投资对关键性应用加以更新、从而支持新版本Java,”Watson表示。

  甲骨文认为其最新版本Java将通过增加对应用程序来源的识别效果改善安全表现。“在了解应用的出品公司或者签名者的前提下,用户可以避免运行来自不明源头的代码,”产品经理Costlow在博文中写道。

  不过安全专家仍对甲骨文的声明表示怀疑。“我担心这只是另一堆最终会被甲骨文彻底遗忘的空话,”F-Secure公司高级研究员Timo Hirvonen在采访中指出。“如果有人打赌说这项机制足以拯救安全世界,我可不敢跟着下注。”

  在过去几个月中,甲骨文一直在尝试利用弹出窗口及警告信息向用户传达内容。“我们的想法是,大家在访问网站时如果遇到弹出窗口,那么提示内容多少会影响您的访问决定,”Qualys公司CTO Wolfgang Kandek在一次采访中表示。

  “这套新机制的实际效果还有待观察,”他补充称。“大部分用户恐怕无法理解弹窗信息的意义、很可能直接点击忽略并继续进行自己原本的操作计划。”

(编辑:源码网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读