ออราเคิลออกนโยบายความปลอดภัยแก้ปัญหา Java รั่ว, ออก Server JRE รุ่นไร้ปลั๊กอิน

By: mk

on 1 June 2013 - 12:08 Tags:

Topics:

Java

Security

Oracle

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

แยกรุ่นของ JRE เป็น Server JRE โดยไม่มี Java Plug-in ที่เป็นปัญหาโดนเจาะมาตลอด เพื่อให้ปัญหาช่องโหว่ไม่กระทบงานด้านเซิร์ฟเวอร์ (เริ่มใช้ตั้งแต่ Java 7u21 เป็นต้นไป)
แยกกระบวนการออกแพตช์ความปลอดภัยเป็น 2 ประเภท คือ Critical Patch Update รุ่นมาตรฐานออกปีละ 4 ครั้งตามรอบซอฟต์แวร์ตัวอื่นของบริษัท และ Security Alert สำหรับแก้ปัญหาเฉพาะหน้าเป็นจุดๆ ไปเมื่อค้นพบช่องโหว่สำคัญ
เปลี่ยนเงื่อนไขการรัน Java applet โดย applet ที่ถูก sign จะไม่จำเป็นต้องได้สิทธิรันนอก sandbox อัตโนมัติเหมือนก่อน และตัวปลั๊กอินจะตั้งค่าห้ามไม่ให้รัน applet ที่ไม่ถูก sign ตามกระบวนการของออราเคิลแล้ว
ในอนาคต Java applet ที่ไม่ได้ sign ตามกระบวนการที่ถูกต้อง จะรันไม่ได้เลย
จากปัญหา Java ไม่เช็คใบรับรองดิจิทัลที่ถูกเพิกถอนแล้ว ออราเคิลจะปรับปรุงวิธีการตรวจสอบใบรับรองดิจิทัลใหม่ในอนาคต แต่ในระยะสั้นจะปิดฟีเจอร์ด้านการตรวจสอบนี้ทิ้งไปก่อนด้วยเหตุผลด้านประสิทธิภาพ

ที่มา - The Oracle Software Security Assurance Blog

Hiring! บริษัทที่น่าสนใจ

Bighead Creative Co.,ltd.

เราเป็นบริษัท Software House ที่เชี่ยวชาญด้านการพัฒนา Web Based Application และ Mobile Application

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

AltoTech Global Co. Ltd.

Alto CERO: AIoT Energy Management Platform for Hotels, Buildings, and Industrials

Comments

By: mementototem

on 1 June 2013 - 12:22 #580921

Oracle สู้ ๆ ใครไม่เชียร์ผมเชียร์... เผลอแป๊บเดียว java ในเครื่องก็ตกรุ่นไปแล้ว

Jusci - Google Plus - Twitter

By: nextman13

on 1 June 2013 - 13:01 #580935

java นี่อาชีพผมเลยนะ ขาดเธอไปฉันคงแย่เป็นเวลานาน

By: doanga2007

on 1 June 2013 - 13:50 #580947 Reply to:580935

ฟังข่าวนี้ คอ java แต่ไม่อยากพรุนได้เฮ เพราะมี java ในแบบ dalvik ให้ใช้แล้วครับ

By: dlkl1

on 1 June 2013 - 18:46 #581002

ค่อยมีความอยากใช้ขึ้นมาหน่อย

By: kenshero

on 1 June 2013 - 23:04 #581045

อธิบายให้ผมฟังทีครับ sign java คืออะไร พอดีผมกำลังเขียน Applet แล้ว ผมทดลอง รันบน Web Brower ไม่ได้ ขึ้น Security อย่างเดียวเลย ไม่รู้เกี่ยวกับ sign เปล่า ผมยังงงว่าโค้ดผิดหรืออะไร แต่ไม่น่าจะผิด เพราะแค่ลองทดสอบเขียนบรรทัดเดียวเลย กลับมาอ่านข่าวนี้ไม่รู้เกี่ยวกันไหม เพราะผมทดลองรันบนเครื่องผม

By: BLiNDiNG

on 2 June 2013 - 03:11 #581081 Reply to:581045

ใช่ครับ เพราะเรื่อง sign นี่ล่ะ

Sign ก็คล้ายๆกับลงชื่อแสดงความเป็นเจ้าของ

อธิบายคร่าวๆก็เหมือนการลง cert ในเวบ ให้ browser เช็คความเป็นเจ้าของ เวลาเข้าแบบ https ได้

สำหรับการเทสต์เองก็ให้หาหัวข้อ self-signed ดูนะครับ

By: kenshero

on 2 June 2013 - 23:36 #581313 Reply to:581081

ช่วยบอกวิธีทำ self-signed ทีครับ ดูเท่าไหร่ก็ไม่เข้าใจ

Main menu