Java安详改造:有望办理多版本打点题目
|
【 评述】甲骨文旗下的骨董级编程说话Java已经成为企业用户心中的安详恶梦、黑客眼里的抱负跳板,来由很简朴——早期版本中老是充斥着大量安详裂痕,纵然打上最新的修复补丁也于事无补。总而言之,今朝Java还是最受恶意人士的进攻方针。 为什么不直接选择Java新版本?题目在于某些在企业运营勾当中起着要害性浸染的应用措施也许无法与新版本顺遂协作。为了扭转排场,甲骨文公司在本周推出了Java 7新版本,实行办理这一挑衅。
在最近宣布的Java Update 40傍边,甲骨文实现了本身在本年早些时辰所理睬的变革。个中包罗应承收集打点员建设DRS(即陈想法则荟萃),旨在界说某款应用措施应该回收哪个Java版本。这类界说机制应承要害性内部应用行使旧版本Java,同时逼迫要求外部应用——那些也许已经被传染并专门针对旧版本安详缺陷的应用——行使最新Java版本。 在公司的博客中,Java平台团体产物司理Erik Costlow表明称,Java的最新版本旨在辅佐桌面打点员获取打点用户、节制版本兼容性以及特定企业措施默认对话框时所必要的所有成果。新版本还包括有处事于Java及Web应用开拓者的内容,这类开拓者必要相识用户桌面体系中所采纳的脚色陈想法则荟萃。 尽量甲骨文但愿通过DRS实现的结果值得赞赏,但从详细实验角度看却如故有待商讨。“对付任何技能老鸟来说,这样的实验进程都不能算简朴,”Rapid 7公司安详工程部分高级司理Ross Barrett在一次采访中暗示。“对付今朝的盼望,我们只能用聊胜于无来形容。原先我们一无全部,现在我们面临的则是一堆很是伟大且难于打点的方案。” “这只是第一步,”他表明道。“但愿甲骨文方面会进一步完美计划思绪。” 甲骨文公司并没有回应我们提出的评述哀求。 DRS的浸染在于实举动打点员提供针对企业员工桌面应用的节制权。这个方针也许较量恍惚。“这确实是个不错的主意,但由此带来的打点本钱太高,”NSS(即收集安详体系)研究部主任Chris Morales在采访中暗示。 他表明称,要让DRS机制顺遂起效,企业必要相识员工们在桌面体系中行使哪些应用措施、这些应用又各自对应哪些Java版本。另外,每套桌面体系都必要按照上述信息加以设置与维护。 “统统题目都成为阻碍应用措施节制机制在动态情形下正常起效的负面身分,”Morales指出。 固然DRS中包括大量安详存眷,但我们应该更多地将其视为陈设器材而非安详器材。“假如各人当真审阅陈设流程中的须要设置,就会发明它现实上只针对那些必要在基本办法内维护应用措施情形高度同等性的大型企业,”Websense公司安详研究主管Alex Watson在采访中表明称。 “甲骨文确实通过Java版本选择机制为特定应用带来了较量精彩的安详结果,”他增补称。“但从安详事宜的全局概念来看,我以为这还不敷以将安详性推向新的层面。” 另外,DRS可以或许通过应承企业以更安详的方法行使存在裂痕的旧版本Java来强化掩护机制单薄的收集情形。“它的呈现辅佐企业免于操作投资对要害性应用加以更新、从而支持新版本Java,”Watson暗示。 甲骨文以为其最新版本Java将通过增进对应用措施来历的辨认结果改进安详示意。“在相识应用的出品公司可能署名者的条件下,用户可以停止运行来自不明源头的代码,”产物司理Costlow在博文中写道。 不外安详专家仍对甲骨文的声明暗示猜疑。“我担忧这只是另一堆最终会被甲骨文彻底忘记的废话,”F-Secure公司高级研究员Timo Hirvonen在采访中指出。“假若有人赌博嗣魅这项机制足以挽救安详天下,我可不敢随着下注。” 在已往几个月中,甲骨文一向在实行操作弹出窗口及告诫信息向用户通报内容。“我们的设法是,各人在会见网站时假如碰着弹出窗口,那么提醒内容几多会影响您的会见抉择,”Qualys公司CTO Wolfgang Kandek在一次采访中暗示。 “这套新机制的现实结果尚有待调查,”他增补称。“大部门用户生怕无法领略弹窗信息的意义、很也许直接点击忽略并继承举办本身本来的操纵打算。” (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
