IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Java Discussion :

Faille de sécurité critique dans Java 7 activement exploitée


Sujet :

Java

  1. #41
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par Uther Voir le message
    Mono comme Wine sont des projets colossaux réalisé très sérieusement mais qui ne pourront jamais être considérés sérieusement car ils sont condamnés a courir derrière Microsoft qui reste seul maitre de ses API et continue de les faire évoluer.
    De la même manière que Apache Harmony court derrière Oracle?

  2. #42
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    En théorie ça n'aurait pas du être une obligation étant donné que l'évolution de Java est gérée par les JCP et ne dépend plus entièrement de la volonté de Sun.

    Mais en pratique, c'est en effet le cas vu que Oracle garde une bonne partie du leadership sur Java et garde le contrôle du fameux TCK qui a tué Harmony.

  3. #43
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juillet 2009
    Messages
    1 030
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 030
    Points : 4 205
    Points
    4 205
    Par défaut
    Je suis quasiment entièrement d'accord avec toi tchize_.

    C'est sûr que quand on développe pour une cible plus réduite comme un SI d'une entreprise, si celui-ci est entièrement linux ou mac, la portabilité devient très importante, et .NET (via Mono) devient alors le dernier choix. J'avoue que je refuserais toujours ce genre de projet.

    Après pour Mono, de ce que j'en ai vu récemment, il fait tout ce dont j'ai besoin. Du C# 5.0, avec Linq, ADO, Entity Framework, WCF, ASP.NET et Windows Forms.
    Après ce qui peut me manquer, c'est WPF. Il n'y a que Silverlight qui est géré.
    Après évidemment, tout dépend de la qualité d'implémentation de ces technos, qui peut être potentiellement handicapante pour les gros projets.

    Comme dit plus haut, ce n'est qu'un portage de .NET, qui sera toujours en retard sur l'original, et ne bénéficiant pas forcément du même savoir faire.

    La licence peut faire débat en effet, mais quand on vise du Microsoft, c'est dûr de penser que c'est "libre" ^^. Pour les entreprises qui utilisent Linux plus pour ses fonctionnalités que par philosophie du libre, je pense que ce n'est pas forcément LE problème.

  4. #44
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par LSMetag Voir le message
    La licence peut faire débat en effet, mais quand on vise du Microsoft, c'est dûr de penser que c'est "libre" ^^. Pour les entreprises qui utilisent Linux plus pour ses fonctionnalités que par philosophie du libre, je pense que ce n'est pas forcément LE problème.
    Non, mais si tu développe une application en mono ou c# compatible mono, que 20 à 30% de tes clients vont le faire tourner sur du mono, tu doit inévitablement t'assurer que tu n'aura pas des emmerdes de licence dans 2 ans. Sinon tu pourrais perdre 20 à 30% de tes clients d'un coup. Ca fait mal au portefeuille et aux HR ce genre de choses.

    C'est pas une question de liberté, c'est une question de t'assurer que tout ce que tu investit aujourd'hui en temps de dev, tu l'aura pas dans le cul dans 2 ans à cause d'une licence qui était pas très claire.

    Sans compter le plaisir avec lequel te regardent les client quand tu leur dit qu'il va falloir installer l'armada mono sur leur serveur Au moins, java, tout peux s'installer un 30 secondes dans un espace utilisateur

    La seule expérience que j'ai eu en mono, j'avais acheté un bouquin sur le C#, il y a trois ans voir plus, et je me souviens déjà que je ne suis pas arrivé à la fin du premier chapitre, la moitié des notations n'étaient pas disponibles dans mono. Mais bon, ça date. Mono 2 etait seulement dispo en beta

  5. #45
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par Uther Voir le message
    Mais en pratique, c'est en effet le cas vu que Oracle garde une bonne partie du leadership sur Java et garde le contrôle du fameux TCK qui a tué Harmony.
    Mouais , c'est surtout le retrait de IBM de Harmony pour travailler sur OpenJDK qui a tué le projet. Après le départ d'IBM, le code n'a presque plus bougé

  6. #46
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    Le retrait d'IBM étant principalement la conséquence du fait que Harmony ne puisse obtenir la certification.

  7. #47
    Membre chevronné Avatar de bernard59139
    Profil pro
    Retired
    Inscrit en
    Octobre 2006
    Messages
    959
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Retired

    Informations forums :
    Inscription : Octobre 2006
    Messages : 959
    Points : 2 077
    Points
    2 077
    Par défaut
    Je suis un simple utilisateur du web.
    Et le seul malware que j'ai chopé, c'est à cause de Java.sa description.
    Et pourtant, toutes les maj étaient activées Java & windows...

  8. #48
    Membre éprouvé

    Homme Profil pro
    Architecte technique
    Inscrit en
    Juin 2005
    Messages
    588
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juin 2005
    Messages : 588
    Points : 1 230
    Points
    1 230
    Par défaut
    Citation Envoyé par Uther Voir le message
    Le retrait d'IBM étant principalement la conséquence du fait que Harmony ne puisse obtenir la certification.
    Pas sûr... Avaient-ils seulement besoin de cette certification ? IBM J9 continue sa vie sur WebSphere...
    Cordialement,
    Philippe

  9. #49
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    Justement J9 a été certifié, pas Harmony.

  10. #50
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par Philippe Bastiani Voir le message
    Pas sûr... Avaient-ils seulement besoin de cette certification ?
    En gros, pas de certification, pas le droit d'arborer la trademark java, aucune chance d'être pris au sérieux.

  11. #51
    Rédacteur
    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut
    Failles Java : Oracle s’engage à corriger Java
    et à intensifier la communication autour du langage

    L’écosystème Java a été bousculé ces derniers jours par une recrudescence des failles de sécurité pouvant entrainer l’exécution de code arbitraire par un pirate distant sur un ordinateur affecté.

    Les experts en sécurité, y compris le département américain de la sécurité intérieure, ont préconisé à l’unanimité, la désactivation du plugin Java dans le navigateur, ou la suppression de l’application pour ceux qui ne l’utilisent pas.

    La fréquence de découvertes des vulnérabilités dans la plateforme de développement a même poussé les chercheurs en sécurité à remettre en cause la qualité du code de Java et les capacités d’Oracle à corriger ces failles.




    Adam Gowdiak, PDG de Security Exploration (firme ayant découvert plusieurs failles Java), estime, par exemple, qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », ceci étant la conséquence du manque d’un cycle de développement axé sur la sécurité. HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

    Quoi qu'il en soit, Oracle doit réagir et tenter de rassurer les utilisateurs de Java. C’est ce que vient de faire Milton Smith, responsable de la sécurité Java chez Oracle, lors d'une conférence téléphonique qui s'est tenue la semaine dernière avec les représentants des groupes d'utilisateurs du langage.

    Oracle s’est engagé à corriger Java et à mieux communiquer sur le langage. « Le plan de sécurité de Java est très simple », a déclaré Smith. « Dans un premier temps, corriger Java, et ensuite mieux communiquer sur nos efforts pour soutenir le langage. L'un ne va pas sans l'autre. Aucun discours ou effort d'apaisement ne peut satisfaire personne. Nous devons corriger Java ».

    Cette initiative passe par exemple par une communication plus étendue sur le langage. « Un de nos objectifs est de s’assurer qu’Oracle atteint tous les publics, aussi bien les utilisateurs, les professionnels IT que les ingénieurs », a déclaré Smith.

    Le responsable de la sécurité Java chez Oracle n’a pas révélé comment Oracle compte intensifier la communication sur Java. Par ailleurs, il a déclaré qu’une piste serait la publication des mises à jour de sécurité directement aux représentants des groupes utilisateurs, qui pourraient ensuite relayer les informations aux membres.

    Pour l’instant, Java 7u11, la dernière mise à jour de sécurité d’Oracle est encore vulnérable aux attaques. Le prochain correctif d’Oracle est toujours attendu.


    Source : Conférence téléphonique de Milton Smith

  12. #52
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    Citation Envoyé par Philippe Bastiani Voir le message
    Pas sûr... Avaient-ils seulement besoin de cette certification ? IBM J9 continue sa vie sur WebSphere...
    Cordialement,
    Philippe
    Au niveau de la fondation Apache, le problème a été tellement pris au sérieux que Harmony a été mis en sommeil...

  13. #53
    Rédacteur
    Avatar de eclesia
    Profil pro
    Inscrit en
    Décembre 2006
    Messages
    2 108
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2006
    Messages : 2 108
    Points : 3 203
    Points
    3 203
    Par défaut
    En parlant d'Harmony, j'avais lancé l'idée sur leur mailing-list (il y a un peu plus d'un an) qu'ils passent le projet dans le domaine public.

    Plutot que de le voir mourir comme c'est le cas aujourd'hui, il aurait pu servir de 'terreau' pour d'autres projets voir des forks de Java/JSE, et maintenue par une communauté, ca aurait fait hérisser le poil a oracle.
    Et on aurait surement un jolie fork de la JRE, comme c'est le cas avec Jenkins(ex-Hudson), MariaDB (ex-MySQL), LibreOffice (ex-OpenOffice), Illuminos (ex-OpenSolaris).

    C'est assez clair quoi qu'on dise qu'oracle est loin ... loin ... tres loin derriere Sun quand il s'agit de véhiculer une image Open-Source. Et n'y arrivera jamais a mon avis.


    Bref pour ceux que ca interessent d'avoir une librairie commune a la JVM, Android, GCJ, Parrot et de mettre fin a toutes ses betises de licenses. j'accumule (et je code) cette librairie : UN project

    J'avous je n'aurais pas commencé ce projet si harmony était passé dans le domaine public, mais c'est pas le cas alors reste a tout refaire

  14. #54
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    En même temps Harmony est sous licence Apache, donc il n'y a pas de problème légal pour n'importe qui pour le reprendre. Le vrai souci, c'est surtout de trouver une équipe assez nombreuse, compétente et motivée pour ça.

  15. #55
    Rédacteur
    Avatar de eclesia
    Profil pro
    Inscrit en
    Décembre 2006
    Messages
    2 108
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2006
    Messages : 2 108
    Points : 3 203
    Points
    3 203
    Par défaut
    Citation Envoyé par Uther Voir le message
    En même temps Harmony est sous licence Apache, donc il n'y a pas de problème légal pour n'importe qui pour le reprendre. Le vrai souci, c'est surtout de trouver une équipe assez nombreuse, compétente et motivée pour ça.
    C'est en pensant comme ca qu'on n'arrive a rien.

    "I am always doing things I can't do, that's how I get to do them."
    Pablo Picasso

  16. #56
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par eclesia Voir le message
    En parlant d'Harmony, j'avais lancé l'idée sur leur mailing-list (il y a un peu plus d'un an) qu'ils passent le projet dans le domaine public.
    Pour quiconque a déjà travaillé sur un gros projet impliquant de nombreux commiters, ceci est relève presque de l'impossibilité. Pour changer la license, il faut aller voir toutes les personnes qui on contribués, tous les bout de codes qu'ellest ont importé et voir si il sont compatibles avec la nouvelles licence ou demande si l'auteur est d'accord. Il suffit d'une ligne qui bloque et c'est terminé.

  17. #57
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    Citation Envoyé par tchize_ Voir le message
    Pour quiconque a déjà travaillé sur un gros projet impliquant de nombreux commiters, ceci est relève presque de l'impossibilité. Pour changer la license, il faut aller voir toutes les personnes qui on contribués, tous les bout de codes qu'ellest ont importé et voir si il sont compatibles avec la nouvelles licence ou demande si l'auteur est d'accord. Il suffit d'une ligne qui bloque et c'est terminé.
    Ça dépend de comment est géré la propriété intellectuelle du code. Je ne sais pas si c'est le cas de Harmony, mais sur pas mal de projets open-source, la fondation/société qui manage le projet demande à ce que la propriété du code lui soit co-attribué, justement pour permettre de changer de licence.
    Enfin si c'est juste quelques lignes de code, on peut les remplacer, mais c'est sur que la difficulté est de déterminer qui a fait quoi.

  18. #58
    Rédacteur
    Avatar de eclesia
    Profil pro
    Inscrit en
    Décembre 2006
    Messages
    2 108
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2006
    Messages : 2 108
    Points : 3 203
    Points
    3 203
    Par défaut
    Citation Envoyé par tchize_ Voir le message
    Pour quiconque a déjà travaillé sur un gros projet impliquant de nombreux commiters, ceci est relève presque de l'impossibilité. Pour changer la license, il faut aller voir toutes les personnes qui on contribués, tous les bout de codes qu'ellest ont importé et voir si il sont compatibles avec la nouvelles licence ou demande si l'auteur est d'accord. Il suffit d'une ligne qui bloque et c'est terminé.
    Meme sur les gros projets, il n'y a en general qu'une poignée de developpeurs continue et une large majorité de contributeur ponctuel.

    Un exemple plus flagrant de changement de license serait OpenSolaris.

  19. #59
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    Heu j'ai loupé quelquechose?

    Il me semble bien que OpenSoloris a toujours été sous CDDL. Il a été forké en OpenIndianna lors de son abandon par Sun mais la licence n'a pas changé, c'est toujours du CDDL.

  20. #60
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par eclesia Voir le message
    une large majorité de contributeur ponctuel.
    Que, si tu a mal géré, tu ne peux pas retrouver pour avoir leur accord.

    Le problème, selon moi, c'est qu'il faut du temps et des ressources pour savoir si on ne fait pas une bétise ene changeant la license. Même avec la réattribution de code, reste le problème des codes tiers récupérés car "compatibles avec la license". C'est courant sur des projet open source d'aller récupérer une librairie à gauche ou à droite.

    Il est vrai que la fondation apache st rigoureuse à ce sujet et tout contributeur doit signer des documents, ce qui doit probablement leur faciliter le travail. Mais il faudra quand même des ressources pour l'opération et, je ne suis pas convaincu qu'il leur en restait il y a un an

Discussions similaires

  1. Faille de sécurité critique dans Java 7 Update 6
    Par Hinault Romaric dans le forum Général Java
    Réponses: 89
    Dernier message: 11/01/2013, 13h24
  2. Découverte d’une faille de sécurité critique dans iOS
    Par Hinault Romaric dans le forum Apple
    Réponses: 3
    Dernier message: 16/11/2011, 19h17
  3. Faille de sécurité critique dans le navigateur Opera
    Par Hinault Romaric dans le forum Opera
    Réponses: 6
    Dernier message: 21/10/2011, 14h52
  4. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo