Discussion :

[tchize_]

Mono a des limitations nottament un sacré retard (enfin la dernière fois que j'ai regardé) par rapport à la version microsoft, et une licence pas claire (encore une fois, la dernière fois que j'y ai jeté un oeil).

Je partage grandement ton avis sur les applis desktop, surtout quand elles deviennent complexe. Le problème de la portabilité n'est pas vraiment un problème quand tu developpe des applications desktop. Comme tu le dis, une minorité d'utilisateurs, et ça ne vaut pas le coup. Y a pas mal d'app à succès sur mac os x écrites en objective C, pourtant c'est pas non plus une majorité du marché, chacun sa cible, chacun son choix et il vaut mieux se centrer sur un truc intégré à l'OS que d'être général et disons le, mal intégré. Et il y a pas mal de trucs, comme QT qui s'intègrent mieux et assurent une portabilité pour les applis desktop.

Le problème est tout autre quand tu développe des applications d'entreprise. On ne parle plus de 10 ou 15% d'utilisateurs là. Même si les desktop sont souvent du windows, les serveurs sont plus souvent dans la famille linux / unix.

Et si tu vends des applis serveur, la portabilité de java, ça deviens un bel atout Au même titre que la portabilité de python ou php par exemple. Quand t'es face à une grappe de machine avec au choix du HP-UX (beurk), du redhat ou d'autres distros sur des serveurs virtuels, le .Net n'est plus une option.

Pour ce qui est de skypers, je n'ai qu'une seul chose à dire
http://www.youtube.com/watch?v=1orMXD_Ijbs

[Uther]

Pour continuer dans le hors-sujet, après je file : ne pas oubliez Mono ! L'air de rien, il continue à faire son chemin et fait tourner certaines applications assez populaires dans leurs domaines...

Mono comme Wine sont des projets colossaux réalisé très sérieusement mais qui ne pourront jamais être considérés sérieusement car ils sont condamnés a courir derrière Microsoft qui reste seul maitre de ses API et continue de les faire évoluer.

[Hinault Romaric]

Failles Java : Oracle s’engage à corriger Java
et à intensifier la communication autour du langage

L’écosystème Java a été bousculé ces derniers jours par une recrudescence des failles de sécurité pouvant entrainer l’exécution de code arbitraire par un pirate distant sur un ordinateur affecté.

Les experts en sécurité, y compris le département américain de la sécurité intérieure, ont préconisé à l’unanimité, la désactivation du plugin Java dans le navigateur, ou la suppression de l’application pour ceux qui ne l’utilisent pas.

La fréquence de découvertes des vulnérabilités dans la plateforme de développement a même poussé les chercheurs en sécurité à remettre en cause la qualité du code de Java et les capacités d’Oracle à corriger ces failles.

Adam Gowdiak, PDG de Security Exploration (firme ayant découvert plusieurs failles Java), estime, par exemple, qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », ceci étant la conséquence du manque d’un cycle de développement axé sur la sécurité. HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

Quoi qu'il en soit, Oracle doit réagir et tenter de rassurer les utilisateurs de Java. C’est ce que vient de faire Milton Smith, responsable de la sécurité Java chez Oracle, lors d'une conférence téléphonique qui s'est tenue la semaine dernière avec les représentants des groupes d'utilisateurs du langage.

Oracle s’est engagé à corriger Java et à mieux communiquer sur le langage. « Le plan de sécurité de Java est très simple », a déclaré Smith. « Dans un premier temps, corriger Java, et ensuite mieux communiquer sur nos efforts pour soutenir le langage. L'un ne va pas sans l'autre. Aucun discours ou effort d'apaisement ne peut satisfaire personne. Nous devons corriger Java ».

Cette initiative passe par exemple par une communication plus étendue sur le langage. « Un de nos objectifs est de s’assurer qu’Oracle atteint tous les publics, aussi bien les utilisateurs, les professionnels IT que les ingénieurs », a déclaré Smith.

Le responsable de la sécurité Java chez Oracle n’a pas révélé comment Oracle compte intensifier la communication sur Java. Par ailleurs, il a déclaré qu’une piste serait la publication des mises à jour de sécurité directement aux représentants des groupes utilisateurs, qui pourraient ensuite relayer les informations aux membres.

Pour l’instant, Java 7u11, la dernière mise à jour de sécurité d’Oracle est encore vulnérable aux attaques. Le prochain correctif d’Oracle est toujours attendu.


Source : Conférence téléphonique de Milton Smith

[bouye]

Apparemment, selon ce site neo-zélandais (dont mon boss m'a fait parvenir l’adresse en urgence hier), Apple aurait pris des mesures draconiennes, à savoir bloquer l'exécution de la JVM 6 (la leur) et 7 (celle d'Oracle) via une maj sournoise des Mac connectés au net. Contrairement au blocage précédent qui ne concernait que les navigateur, ici il s'agit également de bloquer l’exécution d'applications.

Ce qui a semble-t-il provoqué des problèmes chez l'agence de presse The Associated Press. L'article est sensé être une copie de leur communiqué de presse et on peut désormais la trouver telle qu'elle un peu partout sur le net y compris Yahoo News, etc., cependant je ne la trouve pas sur leur site web.

Et je n'ai pas mon Mac Book Pro sous la main pour tester (il est resté au boulot ><).

[Gugelhupf]

D'après un ami qui fait du Java et qui a un mac, c'est juste censé bloquer le plugin Java des navigateurs. Donc un système anti-applet je suppose.

[Hinault Romaric]

Oracle sort Java 7u13
un correctif d’urgence pour 50 failles de sécurité, dont 26 critiques

Mise à jour du 05/02/2013

Oracle s’était engagé il y a quelques jours à corriger Java et à mieux communiquer sur la plateforme de développement.

Alliant l’acte à la parole, l’éditeur vient de publier un correctif d’urgence pour les failles de sécurité qui ont secoué l’écosystème Java ces derniers mois.

Java 7 update 13 apporte des patchs pour environ une cinquantaine de vulnérabilités, dont 26 sont classées critiques. Elles peuvent être exploitées pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

Le correctif était initialement prévu pour le 19 février, mais Oracle a dû rompre avec son cycle de mise à jour habituel parce que l’une des failles était activement exploitée.

Quarante-quatre des failles sont exploitables via des applets Java ou des applications Java Web Start s’exécutant dans le navigateur. Une vulnérabilité affecte le processus de déploiement du client Java. Trois failles touchent à la fois Java côté client et serveur.

Oracle recommande l’application immédiate de cette mise à jour importante. Il est conseillé aux personnes n’utilisant pas le plug-in Java dans le navigateur de le maintenir désactivé.

Télécharger Java 7u13


Source : Oracle

[tchize_]

Trois failles touchent à la fois Java côté client et serveur.

Quelqu'un a des détails là dessus, j'ai besoin de savoir si il est nécessaire d'upgrader nos serveurs ou si les vecteurs en question ne nous concernent pas.

[bouye]

Concernant le blocage par Apple, pourtant plusieurs sources indiquent bien que c’était aussi les applications desktop qui étaient bloquées.
M'est donc plus avis que c’était surtout les applications Web Start, y compris celles tournant hors du navigateur en plus des Applets.

A noter le gros troll a la fin de l'article :

Sydney security expert Chris Gatford, of HackLabs, said Java was a "dying technology" and that from a security perspective it had been used by malware writers for quite some time to exploit computer systems.

He said it was a "highly recommended practice" to turn it off.

"So given that it's been around for a while and it has been used as a mechanism to exploit systems, I think it's good that [Apple] are thinking about turning things off that aren't needed," Mr Gatford said.

"This is a little bit of pain for perhaps a better security environment for the average home user because it's probably going to affect them most. It's going to be difficult, there's going to be pain. But ultimately it's better in the long term. But I imagine there's going to be some short term pain and a lot of people squealing.

[LSMetag]

Bien, au moins l'intention est là. Oracle va finir par regagner la confiance de ses utilisateurs en poursuivant de la sorte.

[ticNFA]

Quid de Java 6 ?
Les premières failles montrant qu'il était aussi concerné (ainsi que Java 5 ?).

[bouye]

A moins de participer à un programme de support payant auprès d'Oracle, ça m'étonnerai que des maj de sécurité supplémentaires majeures soient publiées pour Java 6 vu qu'on est déjà arrivé dans le mois après lequel le support gratuit arrive à son terme (février 2013). Donc si rien ne sort dans les 3 semaines à venir, c'est qu'il est peut-être temps de changer de version de la JVM.

Le support commercial lui va jusqu'en décembre 2016.

[benoit123456]

Bonjour,

J'utilise un site de bourse en ligne et je n'ai plus les flux en temps réel depuis ce problème.
Que puis je faire ?Pouvez vous m'aider ?

Cdt,

[bouye]

OS ? Navigateur ? version de Java ?

A part mettre a jours vers 1.7.0_u13 et contacter l’éditeur du soft, du navigateur et/ou de l'OS, pas beaucoup d’idée.

[bouye]

La mise a jour du 19 février contiendra les autres correctifs de sécurité qui n'ont pas pu être intégrés dans la maj du 1er février compte tenu de l'urgence et de la précipitation dans lesquelles elle a été publiée.

Updates to February 2013 Critical Patch Update for Java SE

[bouye]

Sortie de la maj de sécurité de mi-février avec :

• Java SE 7 Update 15 (Release Notes)
• Java SE 6 Update 41 (Release Notes)

Attention pour les utilisateurs de Java 6 :

Auto-update and Manual Update of JRE 6 will Replace JRE 6 with JRE 7

Since JRE 6 has reached its End of Public Updates, Oracle is taking steps to protect consumer desktops. Oracle will not leave a version of Java installed for which Oracle no longer provide security updates.

In order to do so, when updating from JRE 6, the update mechanism will not only install the latest version of JRE 7 but will also remove the highest version of JRE 6 on the system. This change will happen when the system is updated via the auto-update mechanism or by checking for updates directly from the Java Control Panel. For more information, read the Java SE 7 Update 15 Release Notes.

[tchize_]

Hohoho J-1 avant de voir les forums à nouveau envahis de "je déteste oracle qui désinstalle java sans prévenir"

[Stéphane le calme]

Java : Oracle publie des correctifs d'urgence
Pour colmater les failles de sécurité critiques de la plateforme

Après la découverte de deux failles de sécurité dans l’environnement Java exploitables via les plugins des navigateurs, la réponse d’Oracle ne s’est pas longtemps fait attendre. Oracle publie, encore une fois, un correctif d’urgence pour pallier le problème.

Les deux vulnérabilités affectent le composant 2D de Java SE. Elles ne s’appliquent pas cependant aux serveurs Java, aux applications de bureau Java ou aux applications embarquées Java. Elles n’affectent pas non plus le serveur Oracle.

Les failles sont utilisées en particulier pour injecter des « ransomware », des codes malveillants qui se propagent typiquement de la même manière que les vers informatiques. Les documents de l’utilisateur sont alors verrouillés et une demande de paiement est exigée en échange de la clé permettant de les déverrouiller.

La compagnie a prévu d’inclure un stabilisateur pour la faille de référence CVE-2013-1493 le 16 avril 2013 et recommande toutefois de garder les paramètres de sécurité de Java au plus haut niveau.

Java 7 Update 17 et Java 6 Update 43 sont disponibles en téléchargement ou peuvent être installés via les mises à jour automatiques.

Télécharger Java 7 Update 17 et Java 6 Update 43.


Source : Blog Oracle


Et vous ?

Pensez-vous que ce patch sera suffisant cette fois pour colmater les failles dans la sécurité de Java ?

[Traroth2]

Pensez-vous que ce patch sera suffisant cette fois pour colmater les failles dans la sécurité de Java ?

Je ne joue pas aux devinettes.

[wax78]

[herve4]

La notion d' "urgence" pour le correctif java est une notion plutôt relative, je trouve. La détection du problème ne date pas d'hier...

J' espère que ce correctif sera suffisant pour la suite des evenements...