NeVeS a écrit :



Et concrètement, ça sert à quoi Java dans un navigateur, pour un utilisateur normal ? A rien, on ne trouve quasiment plus d’applets Java (et c’est tant mieux) sur des sites Web.

Il est totalement irresponsable de garder Java dans le navigateur Web de quelqu’un qui n’en a aucune utilité, à part à augmenter la surface d’attaque possible.



Je recommande plutôt aux gens de désactiver Java dans leur navigateur Web.





Les personnes qui n’ont pas besoin de Java peuvent le désactiver et c’est vrai pour n’importe quel plugin. Ce que je dis, ce n’est pas du “blablabla” et vous me donnez raison, vous laissez entendre que Java se limite aux applets. Beaucoup d’applications bancaires et de sites d’administration s’en servent discrètement, pas mal de jeux vidéo aussi (Minecraft, ça vous dit quelque chose?).

adrieng a écrit :



Faudrait pas prendre tous les critiqueurs pour des cons non plus. On peut avoir des arguments tout à fait raisonnable contre java dans un navigateur web il me semble.





J’ai dit “souvent”, pas “toujours”, nuance. De plus, je n’ai employé aucun terme injurieux, j’ai dit “celles et ceux qui pestent”. Merci de ne pas me faire dire ce que je n’ai pas dit. La langue française est suffisamment riche pour que je n’ai pas besoin d’en arriver là pour m’exprimer.

NeVeS a écrit :



C’est pour ça qu’on (la news, moi) parle de désactiver Java dans le navigateur Web, ce qui n’affectera ni les applications lourdes ni les jeux vidéos.





Justement, il est possible de lancer des applications lourdes sous forme d’applets depuis Java 1.6 update 10 donc ce que vous venez de dire n’est pas tout à fait vrai. De plus, il existe aussi des jeux vidéo en Java sous forme d’applets, la version de démo de Minecraft en fait partie. Cet article propose de désactiver Java dans le navigateur sans préciser que Java 1.6 n’est pas concerné et pire en montrant dans la capture … Java 1.6. Comme si ce n’était pas suffisant, PCInpact ne met pas à jour son plugin donc il ne dispose pas des derniers correctifs de sécurité, regardez bien c’est l’update 17, pas l’update 34.







NeVeS a écrit :



Tu peux me tutoyer.





Désolé, ce n’est pas un réflexe chez moi mais contrairement à Laurent Joffrin, je ne vous en voudrai pas si vous me tutoyez.

NeVeS a écrit :



Il est possible, oui, mais il est aussi possible de lancer ces applications lourdes sans passer par une applet.





Oui il est possible de lancer des applications lourdes sans passer par une applet, c’est tout l’intérêt de passer par Java Web Start.







NeVeS a écrit :



le très très faible intérêt à avoir Java dans son navigateur Web





C’est subjectif.







Droooom a écrit :



Merci, j’étais justement en train de me demander si l’OpenJDK était concerné (Il serait sans doute utile d’ailleurs de le noter dans la news ?)… C’est inquiétant en tout cas, j’espère que ça sera vite corrigé.





De rien.



Cet article est approximatif sur plusieurs points techniques, il devrait surtout mentionner que Java 1.6 n’est pas concerné. Je suis sous Mageia Linux 2, je me sers d’OpenJDK 1.6 update 33 avec Icedtea 1.2, je ne suis pas concerné par cette faille.

NeVeS a écrit :



un programme inutilisé





C’est votre opinion, ce n’est pas un fait.







2show7 a écrit :



Sources ?





référence



Bug Fixes



This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2012-4681.



Voilà, les trolleurs peuvent retourner se coucher jusqu’à la prochaine faille.

NeVeS a écrit :



hahaha … En attendant, c’est un fait qu’il y a des milliers de machines infectées grace au plugin Java.





C’est un fait qu’il y a des machines infectées à cause de plein de vecteurs dont Java.







NeVeS a écrit :



Dans un débat, quand on en arrive à traiter ses opposants de trolleurs, c’est qu’on n’a aucun réel argument à opposer.





Vous présentez péremptoirement vos opinions comme des faits sans vous appuyer sur la moindre statistique, c’est vous même qui portez atteinte à votre propre crédibilité donc ne m’en voulez pas de vous le faire remarquer, parfois en utilisant simplement le terme “troll”. Je ne “traite” personne et quand je fournis des explications élaborées, on m’accuse de sortir du blabla. En attendant, je fais du Java depuis 2002, il ne m’a pas fallu longtemps pour remarquer que l’auteur de cet article dispose d’une version de Java pas du tout à jour et j’en serais resté au C si Java était aussi lent et lourd que beaucoup le prétendent, je ne suis pas sadomaso.

NeVeS a écrit :



Il te faut des statistiques pour comprendre quelque chose d’aussi simple et logique qu’on n’impose pas l’installation d’un plugin dans le programme le plus exposé sur un ordinateur (le navigateur Web, l’accès privilégié des malwares) par défaut s’il ne sert pas ? Tout ce que je dis depuis le début c’est que ce plugin ne devrait pas être activé (voire installé) quand on installe Java, pourquoi ça te semble si difficile à comprendre ? C’est si dur que ça de faire une case à cocher (décochée par défaut) pour l’installation du plugin à l’installation de Java ? Java oui, plugin Java non, pas par défaut.





Vous dites que Java est un “programme” inutilisé alors que Java n’est pas un programme (ce terme désigne à la fois le langage, la plateforme, …) et que vous ne vous appuyez sur aucune statistique.







NeVeS a écrit :



Et si, je t’en veux de m’accuser de troll, alors que c’est mon travail de faire de la veille en sécurité et de prévenir les gens quand il y a quelque chose qui ne va pas. Je n’apprécie pas qu’on résume mon travail à du troll.





J’utilise Java tous les jours. Votre travail ne consiste pas à avancer des informations vagues non étayées.







NeVeS a écrit :



Ton “blabla” (quelle accusation " />) n’est pas une explication élaborée, désolé, je vais la reprendre :



Tu commences par dire que PCI recommande de désactiver Java, alors qu’au contraire PCI ne parle que du plugin.





PCInpact devrait commencer par avoir une version à jour de Java avant de donner des leçons de sécurité surtout que la faille ne concernait pas la version 1.6.







NeVeS a écrit :



Tu continues ensuite en disant que la version sur la capture d’écran n’est pas à jour : Hors sujet, PCI indique une méthode pour désactiver le plugin, c’est générique pour n’importe quelle version. D’ailleurs tous les plugins sur cette capture d’écran sont complètement obsolètes (et pleeeeein de vulnérabilités).





J’estime que ce n’est pas hors sujet surtout que cela peut induire l’utilisateur en erreur justement car la version qui apparait sur la capture n’est pas concernée par la faille.







NeVeS a écrit :



Tu sais ce que je pense de ta recommandation qui suit, concernant le fait de laisser le plugin mais en version 6…





La version 1.6 update 34 n’était pas concernée par cette faille.







NeVeS a écrit :



Pas grand chose à dire sur ton discours sur HTML5, sauf que le fait qu’il y ait des failles dans HTML5, Silverlight et Flash ne dédouane pas Java pour autant. Dans la sécurité on ne dit pas “Ha ouais y’a des vulns dans mon soft, mais c’est pas grave le concurrent aussi”.





Je n’ai jamais dit que cela dédouanait Java, vous extrapolez. Néanmoins, le premier commentaire laisse entendre que Java devrait être remplacé par HTML5, comme s’il était exempt de failles.







NeVeS a écrit :



Le paragraphe suivant concernant OpenJDK est faux puisqu’OpenJDK 7 était vulnérable aussi (coup de bol pour PCI, j’avoue). Je suis d’accord avec la dernière phrase de ce paragraphe.





Vous extrapolez là encore. Au début, j’ai dit qu’on n’en était pas sûr, puis qu’il fallait que je vérifie et j’ai même posté un lien vers une référence montrant qu’OpenJDK 1.7 était lui aussi concerné malheureusement.







NeVeS a écrit :



Je passe sur le paragraphe sur le troll puisqu’il ne sert à rien du tout. Surtout que contrairement à ta prédiction, Oracle a sorti un correctif (pas de chance pour ton argumentation, j’avoue, j’aurais pas parié dessus).





Je peux me tromper mais il est arrivé qu’Oracle attende la sortie de la prochaine mise à jour pour y inclure plusieurs correctifs d’un coup.







NeVeS a écrit :



Et je répondrais au dernier paragraphe en reprenant ta formulation : Le vrai Web Libre n’a pas à être soumis au bon vouloir des organisations qui imposent leur technologie à travers l’installation systématique de plugins dans les navigateurs, augmentant considérablement la surface d’attaque qu’expose un utilisateur lambda sur Internet, favorisant ainsi la création de botnet et par conséquent les attaques DDOS et le spam, fléaux du réseau des réseaux.

J’en ai déjà marre de devoir désactiver les plugins Java, Silverlight, VLC, totem et autre pack multimédia à chaque fois que j’installe un des programmes en question. Y’a déjà assez de faille dans mon navigateur Web, merci de ne pas en rajouter.





En implémentant des fonctionnalités à l’intérieur même du navigateur alors qu’elles étaient auparavant dans des plugins, on déplace le problème et on augmente aussi la surface d’attaque dans une certaine mesure surtout que là, il n’y a plus rien à installer. Je suis favorable à HTML5 mais je ne veux y aller ni à marche forcée ni aveuglement en faisant comme si les performances étaient toujours au rendez-vous (j’ai déjà parlé de ça dans un de mes articles, il faudra que je le mette à jour comme j’ai appris des choses sur l’implémentation de WebGL). Je n’utilise pas Java juste pour embêter les braves gens, je l’utilise parce que j’en ai besoin. Si Java était resté une technologie complètement fermée, j’aurais lâché l’affaire.







NeVeS a écrit :



Et pour conclure, puisque je ne reviendrais pas ici et je te laisserais sans doute le dernier mot, Je n’ai rien contre Java, je ne vois même pas pourquoi tu parles du language, de sa prétendu lenteur ou lourdeur, puisqu’on ne parle ici que du plugin Java.





Vous avez prétendu que c’est un “programme inutilisé”. Quelqu’un d’autre a prétendu qu’il alourdit le navigateur.



Aucune technologie est infaillible. Cela ne signifie pas que tout se vaut et je suis content qu’Oracle ait réagi. En revanche, j’en ai plus qu’assez de l’extrême complaisance des médias au sujet d’HTML5. Si nous voulons vraiment que ce soit une réussite, il ne faut pas se voiler la face. HTML5 a déjà des failles, il en aura encore à l’avenir et il n’y a rien à installer dans son navigateur pour être exposé. Quand on trouve une faille dans Java, c’est la panique mais quand on trouve des failles dans HTML5, c’est moins grave? Je ne demande pas à avoir le mot de la fin. Les développeurs d’OpenJDK et d’Icedtea font ce qu’ils peuvent. Je suis responsable du support des moteurs au sein de la fondation JogAmp et mon “supérieur” a profité des événements de ces derniers jours pour lancer un audit sur tout notre code. Je me soucie de la sécurité.







dfzefsfsrg a écrit :



J’ai pas poussé plus loin l’expérimentation et recherché la version 1.6 update 34 " />





S’il vous plait, prenez l’update 35, elle est disponible ici.