Schwerwiegende Sicherheitslücke in Java 7
 

Mal sehen, ob die reakieren, oder wirklich bis zum 16. Okt. warten werden um die Sicherheitslücke zu schliessen.

Mfg

Hier kann man ganz leicht prüfen, ob Java im Browser aktiviert ist:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Also dank HTML5 und Javas*****, sollte es schon möglich sein, auf Java komplett zu verzichten. Die Verwendung wird als genau so elegant empfunden, wie die Verwendung von Flash oder Silverlight. Es kann schon möglich sein dass es Dinge gibt, die mit Java (und/oder andere bereits genannten Dingen) "leichter" zu realisieren sind, aber es sollte nicht zwingend notwendig sein.

Der Sicherheitsgewinn des Zweitbrowser soll darin bestehen, dass man diesen nur auf Seiten verwendet, welche (warum auch immer ...) Java unbedingt voraussetzen UND (wesentlich wichtiger!) auf Seiten denen man vertraut (die "sicher" sind ...). Somit sollte der Zweitbrowser so gut wie nie eingesetzt werden, außer es geht halt einfach wirklich nicht anders ... für alles andere verwendet man den "normalen" Browser (wo Java deaktiviert ist).
So kann man die Chance verringern, dass man mal vergisst Java wieder zu deaktivieren und sich auf einer "unsicheren" Seite per Drive-By zu infizieren.

Das ganze hat also so ca. den selben Sinn wie die Trennung von User und Admin/Root. Eines wo man ohne viel nachdenken seine täglichen Dinge erledigen kann und das andere wo man einfach höllisch aufpassen muss und lieber tausendmal nachdenkt ob man das wirklich tun sollte.

xDD Sorry, aber du sprichst von "sauberer Lösung" und "ohne Plugins" und von "Java" ... das kann doch nur ein Witz sein xD Schon mal versucht Java ohne Plugin im Browser zu verwenden? Gibt es noch Browser die Java direkt im Browser drin haben?

Aber jetzt mal wieder etwas ernster (noch mal sorry für den Lacher). Wir Sprechen hier doch von Java Applets (denn diese sind ja des Problem der aktuellen Sicherheitslücke in den Webbrowsern). Java Appletes waren zu der Anfangszeit von Dynamischen Webseiten noch bitter notwendig, da es eben keine andere Lösung gab. Aber Javas***** hat Java immer mehr den Rang abgelaufen. Jetzt mit HTML5 sieht die Lage noch viel schlimmer aus für Java.

Java lebt noch, weil Firmen einfach nie mit der zeit gehen. Es wäre ja auch verschwendetes Geld und Zeit, würde man jetzt plötzlich sagen ... "Hey Leute, jetzt gibt es was "besseres", lasst uns das verwenden" ... Zudem gilt das alte Motto der IT - "Es funktioniert, warum sollten wir also etwas ändern". Aber Java wird langsam aber sicher (zumindest wenn da nichts neues mehr kommt) auch aus dem Business-Bereich verschwinden. Sieh dir z.B. an welche Web-Anwendungen Google (und auch noch viele andere) aus dem Boden stampft (ohne Java).

Wozu soll HTML5 ein E2EE bereitstellen? HTML5 ist eine Auszeichnungssprache und ist beschreiben der Darstellung da. Auch Javas***** muss so was nicht können. Javas***** ist für das DOM-S*****ing zuständig, also für das Dynamische ändern der Darstellung. Wenn du E2EE haben willst, dann frag doch bitte bei Übertragungsprotokollen nach. Da bietet sich z.B. HTTPS (also HTTP + SSL/TLS) an.

Authentifizieren ist wie auch schon oben erklärt wieder nicht Aufgabe von HTML oder Javas*****. Auch da muss sich wieder um das Übertragungsprotokoll darum kümmern. Auch dazu hat HTTP seit 1996 im RFC 1945 eine geeignete Methode entwickelt. Das ganze nennt sich dann [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...].

Wie kommst du auf diese Theorie?
Im Businessbereich ist Java berechtigterweise eine Macht.

HTML5 ist für Webdesigner ja ne schöne Puppenkiste, aber nichts für reine Businessanwendungen.
Das ist so als würdest du einen getunten Opel Corsa mit einem Benz vergleichen, und den Corsa als Gewinner dastehen lassen, weil er cool aussieht.

Javas***** als Grundlagen für komplexe Projekte ist auch ziemlich unsinnig. Schau dir mal die Anforderungen bei sehr grossen Unternehmen an: Java, C#

Und das hat nichts damit zu tun, dass man dort nur Schlipsträger findet, die HTML5 nicht "fancy" finden.
SSL ist eben keine EndToEnd-Verschlüsselung sondern nur für den Tunnel. Das kann bei Banktransaktionen nicht ausreichend sein!

Wo und als was bist du denn im IT-Bereich tätig? Webdesigner?

Wenn ihr Tunnel und "mehr Sicherheit" wollte, dann verwendet halt VPN (mit IPSec oder SSL (halt, das mögt ihr ja nicht ... ;) ) oder ...). Jedoch hat das dann nichts mehr mit Java oder HTML oder was weiß ich für ein Ding auf dem Layer 7 zu tun ... Ihr vergesst wohl, dass wir vom Browser sprechen und nicht von Server, Desktop Anwendungen, ...

Erklärt mir mal was Java zum verschlüsseln verwendet? Glaubt ihr das fällt vom Himmel? Bei Java mit Sicherheit argumentieren, wo gerade solch ein großes Problem bekannt ist, hat schon etwas von Ironie ;)

Zudem ist es ja echt toll, wenn man Java dann mal von zeit zu zeit nicht verwenden kann, weil mal wieder eine gröbere Sicherheitslücke klafft, wo man sich auf das ach so gütige Team von Oracle verlassen kann, dass sie es bald Fixen ... Was bringt denn bitte eine Sandbox die nicht Funktioniert?

Aber lassen wir das, Java ist echt toll, ihr habt gewonnen -.-

Slahn... Du argumentierst so kindisch, dass mir die Haare zu Berge stehen.

Kryptographie ist anscheinend ein Gebiet, wo du dich nicht auskennst. Kein Grund patzig zu werden (so zeigt es doch auf welchem geistigen Niveau du dich befindest).

Sicherheitslücken findet man in Betriebssystemen, Browser und und und...sollen Betriebssysteme also dann solange nicht mehr verwendet werden bis ein Patch draussen ist?

Und du differenzierst ja selbst zwischen Browser und Desktopapplikation. Ein Eingeständnis, dass man also nicht alles ohne Plugin im Browser machen kann!

Bevor du das nächste mal riesige Antworten schreibst, solltest du dich also besser informieren. Kann mich da nur meinem Vorredner anschliessen. Es ist schon ein wenig unverständlich viel über ein Thema zu schreiben, in welchem man sich absolut nicht auskennt, slahn. Wenn man dann noch patzig und argumentationslos ist, dann wird man sogar als peinlich und kindisch empfunden...