Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Deux nouvelles failles pour Java : une qualité de code « inquiétante »

Les semaines se suivent et se ressemblent

Deux nouvelles failles pour Java : une qualité de code « inquiétante »

Le 21 janvier 2013 à 08h34

Une semaine après la correction par Oracle d’une faille de sécurité critique dans Java, ce dernier est à nouveau victime de deux brèches. Une accumulation telle de problèmes que la société à l’origine de ces découvertes, Security Explorations, se demande s’il n’y a pas un sérieux problème dans la qualité du code de Java 7.

java

 

Il y a une semaine, nous rapportions dans nos colonnes qu’une nouvelle faille Java avait été détectée. Présentée dans les versions Update 9 et 10 de Java 7, elle permettait à une page web spécialement conçue de faire exécuter un code arbitraire grâce à une escalade de privilèges en utilisant le Security Manager. Oracle avait corrigé la faille, mais la société Security Explorations avait par la suite précisé que le correctif n’était justement pas complet.

 

La même entreprise a publié vendredi sur le site Seclists.org un nouveau bulletin. C’est le PDG Adam Gowdiak qui prend à nouveau la parole pour expliquer que la faille qu’Oracle a corrigée seulement en partie ouvrait d’autres pistes d’exploration. Deux nouvelles failles ont été trouvées, et Gowdiak ajoute qu’Oracle a été averti dans la foulée, via notamment un Proof of Concept fonctionnel.

 

Interrogé par PC World, le PDG de Security Explorations a indiqué qu’il y avait « clairement quelque chose d’inquiétant dans la qualité du code de Java SE 7 », avant d’ajouter que le problème venait probablement d’une absence de Secure Development Lifecycle (ensemble de règles visant le développement sécurité d’un projet), ou peut-être d’un problème interne chez Oracle.

 

Notez que les nouvelles failles n’ont pas de rapport avec les anciennes. Gowdiak a de plus signalé que la dernière mise à jour 11 pour Java 7 avait introduit une barrière supplémentaire. Les applets Java ne peuvent en effet plus être lancés sans que l’utilisateur les ait acceptés via une boîte de dialogue. Il s’agit clairement pour lui d’un pas dans la bonne direction.

 

Enfin, on rappellera que l’intégration de Java dans le navigateur peut être coupée directement depuis le panneau de gestion correspondant. On trouve ce dernier dans le panneau de configuration sous Windows, ou encore dans Paramètres sous OS X. Cette intégration ne coupe pas Java, ce qui permettra par exemple aux joueurs de Minecraft de laisser l’environnement installé tout en ne courant pas le risque de voir une faille exploitée durant la navigation.

Commentaires (100)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Java.. même le site officiel parait douteux..

votre avatar

Oracle quoi… Des fois je me demande si ils ont pas acheté sun surtout pour les royalties….

votre avatar

C’est pas la fete a Broadway… <img data-src=" />

votre avatar







rsegismont a écrit :



Oracle quoi… Des fois je me demande si ils ont pas acheté sun surtout pour les royalties….







Ou alors pour le portefeuille de brevets de SUN pour attaquer Google et Android…


votre avatar

Mouaip, Oracle est en train de ruiner l’apport de Sun au monde du software, bande de <img data-src=" />

votre avatar







Anikam a écrit :



Cette news tombe à point, je suis en train de faire le tour de mes machines physiques et virtuelles pour virer tout ce qui vient d’Oracle (sauf Virtualbox).



Cependant une chose m’embête : Libreoffice a besoin de Java…











La news a écrit :



Enfin, on rappellera que l’intégration de Java dans le navigateur peut être coupée directement depuis le panneau de gestion correspondant. On trouve ce dernier dans le panneau de configuration sous Windows, ou encore dans Paramètres sous OS X. Cette intégration ne coupe pas Java, ce qui permettra par exemple aux joueurs de Minecraft de laisser l’environnement installé tout en ne courant pas le risque de voir une faille exploitée durant la navigation.



votre avatar







ulhgard a écrit :



C’est vrai que ça craint tout de même. Quand je vois le nombre de machines qui sont infectées par tout un tas de merde et sur lesquelles java est installé, voir pas à jour, je me dis qu’il va falloir bannir ce programme des PC lorsqu’il n’est pas absolument nécessaire.







Déjà fait, java est un tel nid d’emmerde je l’ai desinstallé chez moi et tanpis pour les programmes qui en ont besoin. C’est dommage java à la base c’est bien, utilisable partout, vaut mieux que ca se cantonne à l’embarqué et aux serveurs web, pas assez bien entretenu pour du grand public.


votre avatar

Et voilà, mon premier commentaire supprimé, tout ça parce que j’ai pris du Ricard ! <img data-src=" /><img data-src=" />

(je veux pas balancer mais il y en a un qui a échappé au massacre… Restes discret et tout se passera bien <img data-src=" />).

votre avatar







maxxyme a écrit :



ah ah… v’là l’article bien trollesque de début de semaine !!! <img data-src=" />





:oui2:


votre avatar







Dacoco974 a écrit :









Certes c’est une solution<img data-src=" />



Et apparemment, Libreoffice peut tourner sans Java ! Good news<img data-src=" />


votre avatar







Ricard a écrit :



Y a pas une version sans Java ?<img data-src=" />





Eh non à ma connaissance, tu as un kit d’installation sans java (pour ceux qui ont déjà Java installé, inutile de l’embarquer dans le .exe), mais il faut un environnement Java sur le système malgré tout.

À moins que tu puisses tout de même le lancer et “seulement” perdre des fonctionnalités… No idea.

EDIT grilled par le com d’au-dessus <img data-src=" /> C’est une bonne nouvelle.





pti_pingu a écrit :



Mouaip, Oracle est en train de ruiner l’apport de Sun au monde du software, bande de <img data-src=" />





En même temps, ça on le sait depuis le rachat hein… <img data-src=" />


votre avatar







Adam Gowdiak a écrit :



Commentaire supprimé : Troll ou incitation au troll





<img data-src=" />


votre avatar







rsegismont a écrit :



Oracle quoi… Des fois je me demande si ils ont pas acheté sun surtout pour les royalties….







Tu n’aurais jamais dû en douter. ;-)


votre avatar







Blakbear a écrit :



Ou alors pour le portefeuille de brevets de SUN pour attaquer Google et Android…







C’est ce que je voulais dire, mais j’ai du faire une phrase trop courte ( les royalties issues des brevets)


votre avatar







Citan666 a écrit :



EDIT grilled par le com d’au-dessus <img data-src=" /> C’est une bonne nouvelle.





Je me base simplement sur cette question et sa réponse (pas vérifié personnellement)<img data-src=" />


votre avatar







Anikam a écrit :



Cependant une chose m’embête : Libreoffice a besoin de Java…





Tu peux utiliser LibreOffice sans Java. Ça te privera de certaines extensions, de quelques wizards (ils sont peu à peu convertis en Python) et du module Base.


votre avatar

Quand Oracle a acheté Java. Les ingénieurs se sont barrés avec toute le connaissance du code (dont les faiblesses et les trous de sécurités). <img data-src=" />

De 2 choses l’une :




  • Pas étonnant que les failles se soient divulguées lors des soirées de grandes discussions.. <img data-src=" />

    Et puis, pour les nouveaux ingénieurs qui doivent bosser dessus, c’est un cauchemard de faire évoluer une usine à gaz et surtout colmater les failles. <img data-src=" />

votre avatar







Groumfy a écrit :



Si ça peut pousser les gens à migrer vers une autre implémentation : openjdk.java.net







Le souci, c’est que je ne fais pas confiance à cette implémentation pour le dev de back-end conséquent. Bon tu me diras, la j’ai moins confiance pour l’implémentation d’app front-end avec Java (type Applet). Mais comme je déteste les Applets et trouve que c’est une ignominie et que j’ai toujours fais appel à un dev web standard (et avec l’arrive d’HTML5 et tout le toutim ça va encore plus facilement) <img data-src=" /> …


votre avatar







Citan666 a écrit :



Eh non à ma connaissance, tu as un kit d’installation sans java (pour ceux qui ont déjà Java installé, inutile de l’embarquer dans le .exe), mais il faut un environnement Java sur le système malgré tout.

À moins que tu puisses tout de même le lancer et “seulement” perdre des fonctionnalités… No idea.

EDIT grilled par le com d’au-dessus <img data-src=" /> C’est une bonne nouvelle.



En même temps, ça on le sait depuis le rachat hein… <img data-src=" />







J’ai quand même eu de l’espoir durant … euh non en fait, ça m’avait bien défrisé ce rachat dès les premières discussions rendues publiques <img data-src=" />


votre avatar

C’esttttttttt la javaaa niaiiiiseeeeeeeeeeuhhhhhhhhhh






votre avatar







pti_pingu a écrit :



Le souci, c’est que je ne fais pas confiance à cette implémentation pour le dev de back-end conséquent.







OpenJDK est pourtant l’implémentation de référence, du moins pour Java7.


votre avatar

Ils feraient mieux de changer le nom de Java dans les navigateurs. Comme ça on ne fera plus l’amalgame entre Java le langage et Java les applets qui sont probablement bien criblées de failles.



C’est vrai que ça laisse supposer que Java le langage est aussi buggué, mais bon. Quand on dit qu’une nouvelle faille a été découverte dans Java, ceux qui s’y connaissent peu risquent de penser que tous les programmes Java risquent d’être impactés, comme par exemple sur Android ou BlackBerry.

votre avatar







Anikam a écrit :



Cette news tombe à point, je suis en train de faire le tour de mes machines physiques et virtuelles pour virer tout ce qui vient d’Oracle (sauf Virtualbox).



Cependant une chose m’embête : Libreoffice a besoin de Java…





Certaines fonctions uniquement, et encore …


votre avatar

Ça vous ferait mal à un moment de préciser “applets” devant Java dans le titre ?

La critique va à tous vos confrères d’ailleurs.

votre avatar







styX-Xyts a écrit :



Oracle pwned, que cette société commence à dev au lieu de fait du patent troll.







Va regarder ce que c’est qu’un patent troll, on verra après.


votre avatar

Bon, en ayant des alertes de failles Java plusieurs fois par semaines… En plus des bugs à l’utilisation…



Pourquoi ne pas le stopper définitivement et passer aux alternatives ?<img data-src=" />

votre avatar

Il n’y a pas que les applets qui ont été touchés par les failles de sécurité dernièrement.

Une vulnérabilité a été découverte récemment sur le framework Spring, qui n’est pas du ressort d’Oracle, mais cela contribue à entacher la réputation de Java.

votre avatar







goodwhitegod a écrit :



Bon, en ayant des alertes de failles Java plusieurs fois par semaines… En plus des bugs à l’utilisation…



Pourquoi ne pas le stopper définitivement et passer aux alternatives ?<img data-src=" />







Comme?



C/C++? et la gestion des template merdique? le temps de dev multiplié par 3 ou 4 ?

C# (que j’adore) mais utilisable que sous windows?

… ?



Tu mélange Java le langage et Java les applets…


votre avatar







Resman a écrit :



OpenJDK est pourtant l’implémentation de référence, du moins pour Java7.







Oui, mais ce que je veux dire, c’est que c’est un projet parallèle et non la branche historique. Et je préfère, au vue de mes expériences, me baser sur la branche historique qu’une alternative. J’ai recours à des techniques qui sont nouvelles ou pointues et même si je suis les log et tout, mon approche est plus axé sur ce que je connais à la base. Voilou <img data-src=" />


votre avatar







Ewil a écrit :



Comme?



C/C++? et la gestion des template merdique? le temps de dev multiplié par 3 ou 4 ?

C# (que j’adore) mais utilisable que sous windows?

… ?



Tu mélange Java le langage et Java les applets…







C#, uniquement sous Windows? Ce n’est pas accessible via Mono justement?


votre avatar







Blastm a écrit :



en même temps, on n’a peut être aussi affaire qu’a une société de consulting qui essaye de se faire de la pub sur le dos d’un acteur connu :o



<img data-src=" /> Les failles sont réelles puisqu’il y a eu des corrections,

mais ça fait quand même un peu bashing.



A moins que ce soit dans l’optique de ne pas mettre une pression monstre d’un coup à Oracle.


votre avatar







ActionFighter a écrit :



Il n’y a pas que les applets qui ont été touchés par les failles de sécurité dernièrement.

Une vulnérabilité a été découverte récemment sur le framework Spring, qui n’est pas du ressort d’Oracle, mais cela contribue à entacher la réputation de Java.







Et quand on trouve une faille dans Firefox, c’est la faute au compilateur C++ ?


votre avatar







Ewil a écrit :



C/C++? et la gestion des template merdique? le temps de dev multiplié par 3 ou 4 ?





Question de point de vue. Surtout avec la nouvelle norme qui ajoute des fonctionnalités.







Resman a écrit :



Et quand on trouve une faille dans Firefox, c’est la faute au compilateur C++ ?





Non.



Ce que je voulais dire, c’est que dans ce contexte de failles qui s’accumulent, en avoir une sur un framework très populaire n’arrange pas la réputation du langage.


votre avatar







daroou a écrit :



Va regarder ce que c’est qu’un patent troll, on verra après.







Je sais ce qu’est un patent troll merci. Ce que je veux dire, et d’autres l’ont dit dans ce fil de discussion, c’est qu’Oracle ne s’intéresse pas assez aux logiciels libres, ne s’implique pas dans le développement, mais ne s’intéresse qu’à l’argent, le rachat de Sun était principalement le rachat de son portefeuille de brevet. Pour s’en convaincre, il suffit de suivre l’affaire OpenOffice/LibreOffice, Oracle voulait faire du payant, avant de se désengager et de refiler ça à la communauté Apache (au lieu de la communauté LibreOffice d’ailleurs).


votre avatar







Resman a écrit :



Le problème ne vient pas de Java, mais de l’idée d’exécuter un bloc de code binaire venu d’Internet dans un navigateur, même si c’est dans une machine virtuelle c’est une tâche trop compliquée de sécuriser un langage générique à 100%. Microsoft a déjà essayé avec ActiveX, ça ne lui a pas trop réussi.



Il est temps d’abandonner l’idée avant que la réputation de Java soit complètement ruinée car tout le monde fait l’amalgame entre le plugin Java et le langage Java qui en soi n’est pas moins sécurisé que par exemple C++.







Marrant venant de quelqu’un qui fait l’amalgame avec ActiveX.



ActiveX n’est rien d’autre qu’une API pour faire des plugins scriptables pour IE.

C’est l’exact équivalent de la NPAPI de Firefox.

NPAPI que Google a entièrement réutilisée dans Chrome.



Le problème est qu’à l’époque (2000-2001), énormément de plugins ActiveX ont été développés, et à l’époque l’aspect “sécurité” des plugins était largement sous-estimé. Les plugins ActiveX étaient donc des nids à failles.



Les plugins ActiveX existent toujours (contrairement à ce que tu as écrit), on y trouve notamment Flash, Adobe Reader, Foxit Reader. Les mêmes plugins Flash, Adobe Reader, et Foxit Reader qui existent pour Firefox sous forme de plugins NPAPI.



Et donc en cas de faille dans un de ces plugins, peu importe qu’ils soient exécutés sous Firefox, Chrome, ou IE : les conséquences seront les mêmes.


votre avatar







Resman a écrit :



Je n’ai écrit nulle part que les plugins ActiveX n’existaient plus, j’ai écrit que ça n’avait pas trop réussi à Microsoft, ce qui est vrai car étant un nid à failles de sécurités ça a contribué à la mauvaise réputation d’IE.







Ce qu’il voulait dire c’est que ActiveX est la techno utilisée par les plugin.



Ca n’a pas trop de sens de dire qu’un ActiveX Microsoft est plus/moins sécurisé que le plugin Java, car le plugin Java (jp2ssv.dll) est un ActiveX.


votre avatar







anonyme a écrit :



J’ai constaté un truc hier, en faisant la MAJ (désinstallation et réinstallation après nettoyage des version 64 et 32) :

La version installation hors-ligne ne propose pas ASK :)



Edit :http://www.java.com/fr/download/manual.jsp pour toutes les versions.





C’est bon à savoir, merci ! ;)


votre avatar

Avec un peu de bol le livetiming de la F1 pour la saison 2013 ne sera pas en JAVA … histoire de ne pas avoir à réinstaller ça.

votre avatar







127.0.0.1 a écrit :



Ce qu’il voulait dire c’est que ActiveX est la techno utilisée par les plugin.



Ca n’a pas trop de sens de dire qu’un ActiveX Microsoft est plus/moins sécurisé que le plugin Java, car le plugin Java (jp2ssv.dll) est un ActiveX.







Je dirais même plus : ActiveX, c’est LA techno des plugins de MS. Ca n’est pas limité à Internet Explorer, et à la bonne vieille époque des MFC, c’était grosso modo utilisé comme bibliothèque quand il fallait qu’elle contienne une interface graphique.



Du coup, un ActiveX a par défaut les droits de l’application qui l’utilise. Cela fait donc beaucoup de droit, mais en soit, ce n’est pas une faille de sécurité.



Le souci d’ActiveX, c’est qu’à une époque, des web-designers ont cru que ça pouvait être un élément d’une page web comme un autre, ce qui revenait donc à télécharger un plugin pour un site spécifique.


votre avatar







Ewil a écrit :



C/C++? et la gestion des template merdique? le temps de dev multiplié par 3 ou 4 ?







Ca doit faire un moment que tu n’as pas programmé en C++ …

Déjà avant, avec boost tu avais énormément d’ajout qui te simplifiait la vie et maintenant avec le C++11, il y a vraiment plus rien à envier à Java.

Et je ne vois pas où est la gestion merdique des templates…


votre avatar

Franchement ça craint, il y a des fonctionnalités Java ou un stagiaire n’aurait pas fait pire, je pense notamment à la gestion des types génériques qui est super mal géré en JAVA comparé à .Net.

Un langage que j’ai beaucoup apprécié dans son temps mais que je fuis maintenant

votre avatar







Ewil a écrit :



Bof bof, impossible de faire un gros projet avec Mono.





<img data-src=" /> Ben Sony sort des jeux sur PS3, il y a un simulateur de vol aussi dont j’ai oublié le nom, et SecondLife aussi, on peut pas dire que ce soit des petits projets.


votre avatar







Ewil a écrit :



Comme?



C/C++? et la gestion des template merdique? le temps de dev multiplié par 3 ou 4 ?

C# (que j’adore) mais utilisable que sous windows?

… ?



Tu mélange Java le langage et Java les applets…





Je ne sais pas, je ne connais pas assez ce domaine précis…



Il faut une alternative plus fiable/viable selon ce que j’en déduit.



Au fait, cette histoire d’HTML5 avec d’énormes possibilités… Non ?


votre avatar







Naneday a écrit :



Java.. même le site officiel parait douteux..





ah ! toi aussi tu trouves …

la 1ere fois, j’ai eu un doute, je suis revenu sur ma page de résultats google <img data-src=" />


votre avatar







Ricard a écrit :



<img data-src=" /> Ben Sony sort des jeux sur PS3, il y a un simulateur de vol aussi dont j’ai oublié le nom, et SecondLife aussi, on peut pas dire que ce soit des petits projets.







Apparemment, le souci de Mono c’est qu’il est toujours en retard d’une version sur .NET. Ca n’empêche pas de faire de gros projet comme des jeux qui n’utilisent pas (ou peu) le framework, mais pour une application bureautique, c’est plus frustrant pour les développeurs.


votre avatar







Dyblast a écrit :



Ca doit faire un moment que tu n’as pas programmé en C++ …

Déjà avant, avec boost tu avais énormément d’ajout qui te simplifiait la vie et maintenant avec le C++11, il y a vraiment plus rien à envier à Java.

Et je ne vois pas où est la gestion merdique des templates…







Par exemple, le code C++ est “dupliqué” a la compilation en fonction des utilisations. Le java lui, reste générique qu’a l’exécution…



Le de java est par exemple super pratique et je n’ai pas trouvé la meme chose en C++.



Attention, je ne dis pas que java c’est cool et le C++ c’est merdique… Le fais du C++ pour mes drivers par exemple… chacun a son domaine :)


votre avatar







Ewil a écrit :



Le de java est par exemple super pratique et je n’ai pas trouvé la meme chose en C++.







Le ?


votre avatar







Dyblast a écrit :



Le ?







parser de M….



le de java … fuck

google.fr Google


votre avatar







Ewil a écrit :



parser de M….



le de java … fuck

google.fr Google







Les jokers?

Il y a pas exactement d’équivalent car il y a des trucs plus puissant.

Ca existe depuis un moment dans boost, et ca été ajouté dans c++11


votre avatar







Ewil a écrit :



parser de M….



le de java … fuck

google.fr Google







Il y a pas d’équivalent mais il y a un truc plus puissant.

Ca existe depuis un moment dans boost et maintenant dans c++11.

C’est beaucoup plus verbeux (rien t’empeche de faire un typename typedef), mais tu peux être beaucoup plus precis (type iterable, implementant une certaine fonction, …)


votre avatar

Oracle a embauché des anciens de chez Microsoft ou quoi ?<img data-src=" />

votre avatar







AlphaBeta a écrit :



Mais ils sont restés sur cette image effarente de leur pub.. indestructible ou un truc comme ca.





Incassable <img data-src=" />



Sinon Java n’est pas près de disparaître, il y a dans les entreprises une myriade d’applications J2EE.


votre avatar







Olipla a écrit :



Incassable <img data-src=" />



Sinon Java n’est pas près de disparaître, il y a dans les entreprises une myriade d’applications J2EE.







Ce n’est pas le fait qu’il y ait des myriades d’app dans les entreprises (regarde VB dans les année 2000 <img data-src=" />), mais surtout le fait que c’est comme Linux, on veut troller facile en faisant le comparo poste utilisateur Win et en fait, c’est partout pareil, la tasse de café à fait comme le pingouin, des petits “caca” partout (pour les aigris, c’est entre guillemet car c’est de la blague facile hein <img data-src=" />)


votre avatar

Oracle, une boite que jaimerai bien voir couler connaissant leurs méthodes..

.. Cool son PDG fera sur un bateau de peche plutot que sur son voilier bling beurk.. <img data-src=" />

votre avatar







AlphaBeta a écrit :



Pas sur d’avoir saisi ? On parle bien d’Oracle, pas de Linux.

Donc Oracle serait un bon produit parce qu’il tourne sous Linux ? Le message est pour le moins douteux



Heureusement d’ailleurs que Linux n’est pas développé dans les labos d’Oracle?







Je n’ai pas mis de commentaires volontairement, et je reprenais ton commentaire sur le mythe “indestructible” d’Oracle.



Quand tu vas sur la page d’Oracle Linux, tu vois qu’ils reprennent le mythe à leur sauce. Il rajoutent un petit caractère copyright sur un OS opensource.



En gros, le marketing Oracle Linux c’est du sérieux.



votre avatar







Groumfy a écrit :



Je n’ai pas mis de commentaires volontairement, et je reprenais ton commentaire sur le mythe “indestructible” d’Oracle.



Quand tu vas sur la page d’Oracle Linux, tu vois qu’ils reprennent le mythe à leur sauce. Il rajoutent un petit caractère copyright sur un OS opensource.



En gros, le marketing Oracle Linux c’est du sérieux.







Il me semble qu’il y a bien un dépôt du nom de Linux, qui n’appartient bien sur pas à Oracle.


votre avatar

Les deux nouvelles failles concernent toujours les applets exécutées via les navigateurs ou non ?

votre avatar

(Doublon)

votre avatar

en même temps, on n’a peut être aussi affaire qu’a une société de consulting qui essaye de se faire de la pub sur le dos d’un acteur connu :o

votre avatar

C’est vrai que ça craint tout de même. Quand je vois le nombre de machines qui sont infectées par tout un tas de merde et sur lesquelles java est installé, voir pas à jour, je me dis qu’il va falloir bannir ce programme des PC lorsqu’il n’est pas absolument nécessaire.

votre avatar
votre avatar

Le problème ne vient pas de Java, mais de l’idée d’exécuter un bloc de code binaire venu d’Internet dans un navigateur, même si c’est dans une machine virtuelle c’est une tâche trop compliquée de sécuriser un langage générique à 100%. Microsoft a déjà essayé avec ActiveX, ça ne lui a pas trop réussi.



Il est temps d’abandonner l’idée avant que la réputation de Java soit complètement ruinée car tout le monde fait l’amalgame entre le plugin Java et le langage Java qui en soi n’est pas moins sécurisé que par exemple C++.

votre avatar







Blastm a écrit :



en même temps, on n’a peut être aussi affaire qu’a une société de consulting qui essaye de se faire de la pub sur le dos d’un acteur connu :o





L’acteur connu est la risé de la sécurité informatique depuis plus de 10ans.

Même adobe avec le flash a fait de gros effort de sécurité a coté.



La seul force de java çà a été de bien se vendre et donc d’être obligatoire a certaines sites.



Et quand on voit le nombre de Malware qui débarquent par un fichier jar dans les temporaires d’internet la faille ne se discute même plus.



votre avatar

Cette news tombe à point, je suis en train de faire le tour de mes machines physiques et virtuelles pour virer tout ce qui vient d’Oracle (sauf Virtualbox).



Cependant une chose m’embête : Libreoffice a besoin de Java…

votre avatar

Oracle pwned, que cette société commence à dev au lieu de fait du patent troll.

votre avatar







jb18v a écrit :



http://www.macbidouille.com/news/2013/01/21/il-faudrait-2-ans-a-oracle-pour-secu… <img data-src=" />





ah ah… v’là l’article bien trollesque de début de semaine !!! <img data-src=" />


votre avatar







Anikam a écrit :



Cette news tombe à point, je suis en train de faire le tour de mes machines physiques et virtuelles pour virer tout ce qui vient d’Oracle (sauf Virtualbox).



Cependant une chose m’embête : Libreoffice a besoin de Java…





Y a pas une version sans Java ?<img data-src=" />


votre avatar

Si ça peut pousser les gens à migrer vers une autre implémentation : openjdk.java.net


votre avatar

Le truc chiant c’est à chaque mise à jour de java/itunes/chrome ça réinstalle les plugins dans tout les navigateurs et il faut tout décocher à la main <img data-src=" />

votre avatar







styX-Xyts a écrit :



Je sais ce qu’est un patent troll merci. Ce que je veux dire, et d’autres l’ont dit dans ce fil de discussion, c’est qu’Oracle ne s’intéresse pas assez aux logiciels libres, ne s’implique pas dans le développement, mais ne s’intéresse qu’à l’argent, le rachat de Sun était principalement le rachat de son portefeuille de brevet. Pour s’en convaincre, il suffit de suivre l’affaire OpenOffice/LibreOffice, Oracle voulait faire du payant, avant de se désengager et de refiler ça à la communauté Apache (au lieu de la communauté LibreOffice d’ailleurs).





Clair, ils ont juste foutu la merde, le temps de se rendre compte que précisément les licences libres étaient conçues pour éviter que des chacals dans leur genre se fasse des cou* en or sur le travail des autres… <img data-src=" /> (On peut citer aussi Open Solaris au rang des martyrs si je me souviens bien0).


votre avatar







Freud a écrit :



Les plugins ActiveX existent toujours (contrairement à ce que tu as écrit)







Je n’ai écrit nulle part que les plugins ActiveX n’existaient plus, j’ai écrit que ça n’avait pas trop réussi à Microsoft, ce qui est vrai car étant un nid à failles de sécurités ça a contribué à la mauvaise réputation d’IE.


votre avatar







pti_pingu a écrit :



C#, uniquement sous Windows? Ce n’est pas accessible via Mono justement?





Ben, si.<img data-src=" />


votre avatar

Et dire que je suis obligé de maintenir Java au boulot car pas mal d’outils l’utilisent …

votre avatar







Ricard a écrit :



Ben, si.<img data-src=" />







Bon ben alors, il raconte quoi le monsieur???? <img data-src=" />


votre avatar







Gericoz a écrit :



Et dire que je suis obligé de maintenir Java au boulot car pas mal d’outils l’utilisent …







Roooh allé, tu es payé pour, ne fais pas ta forte tête <img data-src=" />


votre avatar







pti_pingu a écrit :



C#, uniquement sous Windows? Ce n’est pas accessible via Mono justement?







Bof bof, impossible de faire un gros projet avec Mono, il manque beaucoup de fonctionnalité qui fait le charme du c#





Question de point de vue. Surtout avec la nouvelle norme qui ajoute des fonctionnalités.



Oui, mais regarde par exemple les différences entre template et generics :)


votre avatar







Ewil a écrit :



Bof bof, impossible de faire un gros projet avec Mono, il manque beaucoup de fonctionnalité qui fait le charme du c#





Oui, mais regarde par exemple les différences entre template et generics :)







Il y a une différence avec impossible <img data-src=" />, mais je comprend très bien (déjà que moi je préfère le JDK Sun oups Oracle à OpenJDK <img data-src=" />)


votre avatar

De toute façon, un soft qui essaye d’installer ASK par défaut ne peux pas ne peut pas être aussi clean qu’on le voudrait.

votre avatar

<img data-src=" />



C’est la java bleue

La java la plus belle

Celle qui ensorcelle







Qui fait tourner les têtes

Qui fait chavirer les cœurs







On pourra pas dire qu’on ne nous avait pas prévenu.



Un grand merci à notre fournisseur de matériel qui l’installe par défaut sur tous les postes.

votre avatar







Anikam a écrit :



Cette news tombe à point, je suis en train de faire le tour de mes machines physiques et virtuelles pour virer tout ce qui vient d’Oracle (sauf Virtualbox).



Cependant une chose m’embête : Libreoffice a besoin de Java…





<img data-src=" /> Me semblait que justement les devs de LO avaient dégagé tous les morceaux de codes faisant appel de JAVA…


votre avatar







brichmarsa a écrit :



De toute façon, un soft qui essaye d’installer ASK par défaut ne peux pas ne peut pas être aussi clean qu’on le voudrait.





J’ai constaté un truc hier, en faisant la MAJ (désinstallation et réinstallation après nettoyage des version 64 et 32) :

La version installation hors-ligne ne propose pas ASK :)



Edit :http://www.java.com/fr/download/manual.jsp pour toutes les versions.


votre avatar







linkin623 a écrit :



<img data-src=" /> Me semblait que justement les devs de LO avaient dégagé tous les morceaux de codes faisant appel de JAVA…





Oui, visiblement il est utilisable sans Java. Je l’ignorais jusqu’ici, mea maxima culpa.<img data-src=" />


votre avatar







Anikam a écrit :



Oui, visiblement il est utilisable sans Java. Je l’ignorais jusqu’ici, mea maxima culpa.<img data-src=" />



Reste Minecraft <img data-src=" />


votre avatar







anonyme a écrit :



Reste Minecraft <img data-src=" />







http://minetest.net/ <img data-src=" />


votre avatar

Oui, Oracle n’a pas fait sa revolution culturelle sur la qualité des developpements comme l’a fait Microsoft à une epoque.

Oracle en est la où Microsoft en etait il y a 10 ans…

Mais ils sont restés sur cette image effarente de leur pub.. indestructible ou un truc comme cA. et le mythe est resté !

Pourtant Oracle le SGBD est rempli mais alors rempli de bugs et de failles

votre avatar







rsegismont a écrit :



Oracle quoi… Des fois je me demande si ils ont pas acheté sun surtout pour les royalties….



t’en doutes encore? <img data-src=" />


votre avatar







AlphaBeta a écrit :



Mais ils sont restés sur cette image effarente de leur pub.. indestructible ou un truc comme cA. et le mythe est resté !







Oracle Linux ©


votre avatar







Le-Glod a écrit :



C’est pas la fete a Broadway… <img data-src=" />



<img data-src=" /> C’est très bête et j’ai très ri <img data-src=" />

Merci Michel


votre avatar

la grande question il y a une truc qui est pas buggé dans java 7 ?

votre avatar







befa508 a écrit :



Franchement ça craint, il y a des fonctionnalités Java ou un stagiaire n’aurait pas fait pire, je pense notamment à la gestion des types génériques qui est super mal géré en JAVA comparé à .Net.

Un langage que j’ai beaucoup apprécié dans son temps mais que je fuis maintenant





Tu peux développer ?


votre avatar







Groumfy a écrit :



Oracle Linux ©







Pas sur d’avoir saisi ? On parle bien d’Oracle, pas de Linux.

Donc Oracle serait un bon produit parce qu’il tourne sous Linux ? Le message est pour le moins douteux



Heureusement d’ailleurs que Linux n’est pas développé dans les labos d’Oracle?


votre avatar







Choub a écrit :



Tu peux développer ?







En Java la gestion des génériques est juste du sucre syntaxique. En interne, c’est remplacé par un type “Object” et des cast.



Ce qui fait que, par exemple, c’est très dur de récupérer le type du générique par introspection. Les API te renvoient systématiquement “Object”.


votre avatar

On ne vous a pas dit ? Ce sont les stagiaires qui codent Java !

votre avatar







Choub a écrit :



Tu peux développer ?







oula tu m’en demande beaucoup et il faut être développeur pour comprendre.



En gros, tu crée une classe Toto et tu veux gérer une List of Toto. En C# et Java la syntaxe est List pour déclarer ta liste sachant que List est une structure générique et tu peux faire List comme List.



En Java, le bytecode gère en réalité un List et s’amuse à caster/uncaster (boxing/unboxing) quand tu accède à un élément de ta liste, côté perf ça se dégrade très vite.

En .Net, c’est nettement mieux géré car le MSIL gère vraiment une List ou T est ta classe et il n’y a aucune dégradation de perf car la liste est typé.



En gros, les génériques (Template en C++ je crois) sont recommandé en .Net, on peut les utiliser sans soucis. Par contre en JAVA, c’est assez crade même si ça se voit pas à la lecture du code, c’est le RUNTIME java qui gère tellement mal la chose qu’il vaut mieux l’éviter.


votre avatar

merde, tout les &gt; on disparu

votre avatar

artff il me vire les lower than et greater than du coup c’est pas trop lisible.



Pour faire simple, en JAVA les génériques n’existent pas vraiment, ils ont fait une surcouche syntaxique mais derrière le générique T est considéré comme un Object(classe mère de toute les classes) et non comme un type T définie par le développeur.

votre avatar



le PDG de Security Explorations a indiqué qu’il y avait « clairement quelque chose d’inquiétant dans la qualité du code de Java SE 7 »



Trois failles, et on balance le bébé avec l’eau du bain.



Moi je trouve plutôt inquiétant ce genre de déclaration ‘choc’ dudit PDG.

votre avatar

J’ai l’impression que j’ai fait une bonne opération en délaissant Java pour .NET.



A ce rythme, Java risque de devenir minoritaire. Déja dans plusieurs boîtes de consulting, Java passe derrière .NET et PHP !



Depuis qu’Oracle a repris les rênes, je trouve justement que Java va mal.

J’ai l’impression qu’ils ont mis les sous, mais pas le savoir faire qui va avec.

Enfin c’est souvent le cas chez les grosses boîtes, qui s’intéressent plus à l’argent qu’à la qualité.

Ca pose des questions quand à la qualité de code d’Oracle.



C’est dangereux à la fois pour les clients mais également pour le marché, qui risque de délaisser Java et mettre pleins de gens au chômage (sans compter les écoles qui devront changer leur programmes/enseignants). Les développeurs .NET y gagneront par contre (migrations massives d’applications d’entreprises).

votre avatar







KuroTenshi a écrit :



J’ai l’impression que j’ai fait une bonne opération en délaissant Java pour .NET.



A ce rythme, Java risque de devenir minoritaire. Déja dans plusieurs boîtes de consulting, Java passe derrière .NET et PHP !



Depuis qu’Oracle a repris les rênes, je trouve justement que Java va mal.

J’ai l’impression qu’ils ont mis les sous, mais pas le savoir faire qui va avec.

Enfin c’est souvent le cas chez les grosses boîtes, qui s’intéressent plus à l’argent qu’à la qualité.

Ca pose des questions quand à la qualité de code d’Oracle.



C’est dangereux à la fois pour les clients mais également pour le marché, qui risque de délaisser Java et mettre pleins de gens au chômage (sans compter les écoles qui devront changer leur programmes/enseignants). Les développeurs .NET y gagneront par contre (migrations massives d’applications d’entreprises).







Teuteuteu, je ne serais pas si pessimiste. Autant un environnement de dév pur bureautique (enfin entendons-nous, programme poste utilisateur pour les banques et assurance, .Net rentre bien dans les moeurs), autant pour les dev du type appli n-tiers spécifique, java reste bien ancrée (je pense aux systèmes pour les bourses et salles de marché, par ex, mais aussi des dev plus spécifiques comme ArcGIS ou autres). Et ce, sans compter qu’avec Google et Android, le Java n’est pas près de dégager. Que ce soit un mauvais choix pour faire des appli cliente exécuté au travers d’un browser, là entièrement d’accord, je suis le premier à gueuler contre cela, d’autant plus que les technos pour l’interaction utilisateur full-web sont très mature (bon html5, js ou autre etc). Donc, Oracle font les cons, et si çà continue de toute façon, comme dis précédemment par un INpactien, Openjdk prendra le pas (comme on l’a déjà vu dans d’autres technos, ou c’est l’implémentation libre qui devient la règle). Ne soyons pas pessimiste à outrance <img data-src=" />


votre avatar

Oui restons optimistes. Enfin, pour .NET, je commence vraiment à le voir partout. Que ce soit sur les applis critiques de la SNCF (celles qui permettent aux trains de rouler, en gros), des sites e-commerce, les applis de TNS Sofres (énormément de flux de données), la FNAC, TF1, France TV, Orange, SeLoger.com, Casino, Itron,… je trouve que ça commence vraiment à s’imposer pour qui a les moyens.



Ce serait pas plus mal qu’OpenJDK prenne le pas sur Java, pour revenir aux fondamentaux de java, avec une communauté investie et passionnée.



Car forcément, ça donne des doutes sur les serveurs d’applications faits en Java. Ou sur toute appli java qui accède à internet. Voire même sur la qualité général des développements d’Oracle.

Deux nouvelles failles pour Java : une qualité de code « inquiétante »

Fermer