Java-Lücke: Die nächste, bitte

Supernature

Supernature

Und jetzt?
Teammitglied
Kaum ist eine Java-Lücke gestopft, taucht schon die nächste auf. Der polnische Sicherheitsexperte Adam Gowdiak hat eine neue Schwachstelle in Java entdeckt, über die ein Angreifer aus der Sandbox ausbrechen kann, berichtet heise. Ein entsprechendes Java-Programm kann somit all das tun, was der angemeldete Benutzer auch tun könnte - und das ist je nach System und gewählten Sicherheitseinstellungen eine ganze Menge.
Die neue Schwachstelle steckt nicht nur im aktuellen Java 7, sondern auch in den Versionen 5 und 6.
Wie geht Ihr eigentlich damit um? Bisher habe ich immer, wenn ich mein System neu aufgesetzt habe, auch ganz automatisch immer die neueste Java-Version installiert. Nachdem die letzte Sicherheitslücke aufgetaucht ist, habe ich mich allerdings gefragt: "Warum mache ich das eigentlich?"
Und dann habe ich Java einfach mal deinstalliert. Das ist gut zwei Wochen her, und ich habe es noch nicht vermisst.
Die Online-Frankierung von DHL werde ich jetzt nicht mehr nutzen können, das ist jedoch deren Problem und nicht meins. Gehen die Pakete halt zu Hermes. Aber das ist ein anderes Thema...
 
Ich halte von Java auch nicht viel, ich mag andere Laufzeitumgebungen wie .NET generell nicht.
Aber ohne Java geht bei mir halt nicht, weil Minecraft das bedauerlicherweise vorraussetzt (n):(

Aber ich nutze Java nur für das genannte Indie-Game, im Browser ist es deaktiviert, aber Upates kommen trotzdem regelmäßig auf die Platte.

ot:
Kommen Hermes-Pakete denn mitlerweile genauso schnell an wie die von DHL?

Gruß,
bastla
 
ot:


Bastla, den Vorteil von Laufzeitumgebungen muss ich dir wohl noch ein paar mal erklären :p

Klar gibts auch Nachteile, aber die gibts sowieso immer ^^



Aber Java mag ich auch nicht. Weder die Laufzeitumgebung noch die Sprache.
Java ist mir zu langsam (was man an Minecraft ja gut sehen kann) und in C# ist es einfach viel angenehmer zu arbeiten.
Aber das ist auch ein anderes Thema ^^



Was mich aber mal interessieren würde, ist, wie eine Sandbox funktioniert und wie man daraus ausbrechen kann.
Natürlich nur aus reiner Neugierde und Wissensdurst :D
 
Ich entwickle hauptsächlich in Java. Darauf zu verzichten geht leider nicht. Daher stellt sich die Frage, ob ich es deinstalliere, nicht.
 
Java habe ich zwar installiert, jedoch die entsprechenden Plugins in den Browsern deaktiviert.
Bei Bedarf kann ich die vorübergehend mit einem Klick wieder aktivieren, was aber tatsächlich nur sehr selten und wenigen Webseiten nötig ist.
 
Palladin007 schrieb:
ot:
Bastla, den Vorteil von Laufzeitumgebungen muss ich dir wohl noch ein paar mal erklären :p

Klar gibts auch Nachteile, aber die gibts sowieso immer ^^
Zum Vergrößern anklicken....

Darüber haben wir ja schonmal eine lange Diskussion geführt :D. Aber ich finde es einfach blöd, und teilweise auch unverschämt, dass einige Programme bestimmte Laufzeitumgebungen vorraussetzen. Meistens besitzen die, wie bei Java ans Licht kommt, Schwachstellen, mit der der Angreifer wie in einem Kinderspiel in den Rechner eindringen kann.

Und wenn ich schon höre, dass ich für dieses und jenes Tool noch eine 500 MB große Laufzeitumgebung installieren muss, bevor ich es nutzen kann, rollen sich mir schon beim Denken daran die Fußnägel hoch.

Jaja, Vorteile gibt es überall. Und ob Programme mit Laufzeitumgebung wirklich schneller laufen, ist auch so eine Sache. Wenn das Programm vernünftig programmiert ist, dann ist es mindestens genauso schnell wie eines mit Laufzeitumgebung.
Und zuzätzlich lädt die Laufzeitumgebung vermutlich noch massenweise nicht benötigte Code-Schnispel in den RAM.

Und desweiteren kann man .NET-Programme nur unter Windows nutzen. Da machen Java, Python und Co. Microsoft ziemlich was vor.
Und komm mir nicht mit Potierungsprojekten wie Mono & Co., die sind fast alle noch im Alpha-Stadium, bieten einen Bruchteil der Funktionen ihrer Vorbilder und zusätzlich muss dafür noch ein Abbild der Executable erzeugt werden und bla bla bla - viel zu umständlich.

Nimm plattformunabhängige Sprachen wie Pascal und du schreibst einen Code einmal und hast direkt für Windows, Linux, Mac, Android, Nintendo etc stand-alone Executables ;).

Man könnte sogar soweit gehen und sagen, dass C# nichts anderes als eine erweiterte Skriptsprache ist, die den Interpreter .NET vorraussetzt.


Und übrigens: Wer mit dem Visual Studio in C++ programmieren will, braucht sogar noch die Microsoft Visual C++ Redistributabel Laufzeitumgebung, damit sie läuft :eek:
Lächerlich sowas! Damit setzt man eine beeindruckensvolle und mächtige Sprache nichts weniger als einem Script gleich!

Dann doch lieber das gute, alte Pascal - bewährt, sicher, mächtig und Laufzeitumgebungs-frei!


Schönes Wochenende und Gruß,
bastla :)
 
ot:
bastla schrieb:
Wer mit dem Visual Studio in C++ programmieren will, braucht sogar noch die Microsoft Visual C++ Redistributabel Laufzeitumgebung, damit sie läuft :eek:
Zum Vergrößern anklicken....
Installiere ich zufällig gerade (die Express-Version), da ich es für die Ressourcen-Programmierung (.rc, .res) brauche.
Download läuft... 408 MB nur für die MSDN Express Library!!! :eek:
Ganz zu schweigen vom DotNET Framework, das ich aber schon drauf habe.
 
Sag ich ja: Laufzeitumgebungen sind so überflüssig wie als wenn man Wasser in einem Sieb transportieren würde ;)
Und 408 MB für eine Express-Library :eek:

Pascal kommt ohne Laufzeitumgebung aus und Anwendungen mit Lazarus sind im Durchschnitt 1,6 MB groß!
 
ot:
bastla schrieb:
Pascal kommt ohne Laufzeitumgebung aus und Anwendungen mit Lazarus sind im Durchschnitt 1,6 MB groß!
Zum Vergrößern anklicken....
Das kenne ich sogar noch aus DOS-Zeiten:
Während Micosofts Quick Basic immer die gesamte Laufzeitbibliothek mit in die .exe hineinkompiliert hatte, hat Pascal (Borland) nur die benötigten Routinen herausgepickt und in das ausführbare Stand-alone Programm gepackt. Der Unterschied eines primitiven "Hello World"-Programms -> Über 200 KB in Quick Basic und knapp 2 KB in Pascal. Und noch besser: waren im Hauptprogramm von Pascal Prozeduren und Funktionen (Methoden) definiert, die nie aufgerufen wurden, sind diese vom Compiler ebenfalls ignoriert und nicht mit kompiliert worden.
 
ot:


Es gibt bei Microsoft keine Extress-Library, nur ein und die selbe Library. Und die ist auch nur knapp 50mb groß.
Zusätzlich gibts noch Dinge, wie z.B. den Garbage-Collector, der die Performance des Programmes verbessert und die Speicher-Verwaltung regelt.

Außerdem ist ein Programm aus C# nur dann unnötig groß, wenn man Debuggen lässt und entsprechende Informationen mit rein schreibt. Das kann man unterdrücken. Die Library wird nicht mit geschrieben, die bleibt in der Laufzeitumgebung.

Was ich allerdings tatsächlich bescheuert finde, ist, dass Microsoft keine Library für andere Betriebs-Systeme veröffentlicht, allerdings liegt das ja an Microsoft und nicht an dem System selber.


Natürlich hat es auch Vorteile, ohne Laufzeitumgebung zu arbeiten, allerdings erleichtert das dem Programmierer nicht gerade die Arbeit, da man die doch sehr umfangreichen und praktischen Klassen vom .Net-Framework nicht nutzen kann.


Aber eines muss man Microsoft gut sprechen:
Sie haben mit C++ eine Sprache geschaffen, die ebenfalls nur das kompiliert, was benötigt wird, aber dennoch die umfangreiche Library nutzen kann.
Zusätzlich sind die exe-Dateien von Natur aus sehr klein, da sie direkt in den Maschienen-Code geschrieben werden und sehr schnell sind sie ja auch.

bastla schrieb:
Und übrigens: Wer mit dem Visual Studio in C++ programmieren will, braucht sogar noch die Microsoft Visual C++ Redistributabel Laufzeitumgebung, damit sie läuft :eek:
Zum Vergrößern anklicken....

Soweit ich weiß, ist das keine Pflicht, nur dann, wenn der Programmierer es nutzt.
Das, was C++ braucht, ist, so wie ich gelesen habe (Quelle leider nicht mehr in Reichweite), ist auf praktisch jedem System vorhanden. Unter anderem Windows, Linux, Mac, Handys, Nintendo, etc. weil C++ sofort in den Maschienen-Code geschrieben wird und nicht irgendwo dazwischen.
Das, was sie braucht, das enthält bloß elementare Grund-Funktionen.
 
Palladin007 schrieb:
Es gibt bei Microsoft keine Extress-Library, nur ein und die selbe Library. Und die ist auch nur knapp 50mb groß.
Zum Vergrößern anklicken....
Norbert schrieb:
408 MB nur für die MSDN Express Library!!!
Zum Vergrößern anklicken....
Ich habe es doch gerade erst vorhin installiert und glaub mir, das Ding heißt so (hab's direkt aus dem Setup- und Download-Fenster abgeschrieben) und ist auch so groß.

Das C (in fast allen Versionen, auch ohne ++) ebenso gut den Code optimiert wie Pascal, stimmt allerdings, ganz im Gegensatz zu Microsofts Basic-Versionen (Borlands Turbo-Basic konnte das auch, hatte sich aber damals nicht durchsetzen können).
 
Hier ein Download-Link (bei heise, da dort etwas einfacher und übersichtlicher erklärt als bei M$).
Es geht um die MSDN Express Library 2008 von Visual Studio, was wohl missverständlich (zugegebenermaßen auch zunächst von mir :angel) als Laufzeitumgebung interpretiert wurde.
heise.de schrieb:
Zum Nachschlagen etwa in der API-Referenz des .NET Framework kontaktiert der Document Explorer Microsofts Webserver, der allerdings manchmal recht träge zu Werke geht. Wer diese Online-Zugriffe vermeiden will, installiert sich zusätzlich die MSDN Express Library 2008.
Zum Vergrößern anklicken....
So, das habe ich jetzt hoffentlich geklärt und genug für mich mit dem Off-Topic, schließlich geht es hier ja um Java. :D
 
ot:


Klar, Visual Studio ist deutlich größer, aber das braucht man nicht zum ausführen einer Anwendung ^^


Und ok, ich hör jetzt auch damit auf, obwohl ich nicht glaube, dass bastla das auch tut :p
Aber du hast Recht, es geht hier um Java, obwohl man darüber schon von vorne herein nicht reden brauch :D
 
ot:
Ich will hier ja niemandem zu nahe nahe treten, aber der ein oder andere solle mal genau nachschauen, was die Begrife so bedeuten die er benutzt, damit er überhaupt weiß, was er schreibt. Mal ganz zu schweigen von dem sehr gefährlichen Halbwissen (oder Unwissen), das hier verbreitet wird. Darüber hinaus sollte man Programmier-Sprachen nicht beurteilen, wenn man kaum Programmieren kann. Wenn ich lese, auf welcher Basis hier (nicht nur in diesem Thread) Programmiersprachen beurteilt werden, krieg' ich jedes mal von neuem die Krise. Ich halte es langsam echt nicht mehr aus. Wenn man keine Ahnung hat einfach mal... Na, ihr wisst schon.

Ich glaube für Programmierer wirkt das SNF ja mal echt abschreckend. Glücklicherweise zeigen sich das Forum und die User in allen anderen Bereichen von ihrer Schokoladenseite :)

Ich bin jetzt besser auch mal ruhig, sonst weint nachher jemand und hasst mich abgrundtiefen. Gute Nacht.
 
ot:
Also ich denke, C# kann ich schon in gewisser Weise, ich hab nur ewig nix mehr darüber geschrieben, daher bleiben alte Dinge von mir stehen. Und das mit der langen Erfahrung passt nicht so ganz. ^^
Was Java angeht, kann ich aber nur auf das Bisschen aus der Schule zurück greifen und C++ ist da auch nicht mehr. C dagegen kann ich mir nur zusammen reimen und vom Rest hab ich gar keine Ahnung.

Von daher hast du irgendwo schon Recht und ich bin jetzt still, auch wenn ich das schon nach der letzten Nachricht sein wollte :D



Ach und ein Forum kann nicht perfekt sein. :D
Für Programmierer gibt es Foren, die sich auf das jeweilige Thema spezialisiert haben, hier kann man umfangreiches Wissen sowie gute Hilfe zu fast jedem Thema aus der Informatik, finden, so hab ich zumindest das Gefühl. Nur eben nicht Softwareentwicklung.
Und ich finde, das reicht völlig aus ^^
 
ot:
Ich glaub, mit dem Halbwissen bin ich angesprochen :D
Aber meine Meinung steht: Laufzeitumgebungen sind einfach unnötig!

@Norbert: Dieses "Herrauspicken" von Prozeduren, die wirklich nur benötigt werden, heißt bei Lazarus "Smart-Linking" ;)
LazarusWiki schrieb:
Das Grundprinzip des Smartlinkings ist leicht einzusehen: Es wird nur genau der Code in die Binärdatei gelinkt, der auch vom Programm gebraucht wird. Dies beeinflusst die Größe der Datei außerordentlich positiv.
Zum Vergrößern anklicken....
 
ot:
Ich bin gerade ein Bisschen irritiert, weil ich mich nicht daran erinnern kann, dies Info auch im Dr.Windows-Forum gesehen zu haben. Hätte diese Nachricht nicht auch dort - und gerade dort - ihre Berechtigung gehabt? Aber ..... vielleicht habe ich sie dort ja auch einfach übersehen. :rolleyes:

LG
Nobby-H :)
 
ot:
Wenigstens ein bisschen müssen wir uns ja von der Konkurrenz aus dem eigenen Hause auch abheben. :ROFLMAO:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben