Det sorte får i Java-familien har gennem flere år været de browser-plugins, der gør det muligt at køre små browser-programmer i form af applets, som eksempelvis den applet, der gør det muligt at logge på med NemID.
Ligesom andre plugins som Adobes Flash Player, så har Java-plugin’et været plaget af sikkerhedshuller, som er blevet udnyttet af kriminelle til at sprede ondsindede programmer til brugernes pc’er via browseren.
»Det er ikke noget, der er unikt for Java, men 98 procent af problemerne har været begrænset til browser-plugin’et, og det var problemer, der havde ligget i platformen i meget lang tid,« siger Nandini Ramani, underdirektør med ansvar for udviklingen af Java-platformen, til Version2.
Oracle har efter overtagelsen af Java-platformen fra Sun Microsystems overført Java til samme faste opdateringscyklus som de øvrige Oracle-produkter. Det betyder, at der kommer sikkerhedsopdateringer til Java én gang i kvartalet.
Samtidig har Oracle gennem det seneste halvandet år arbejdet på at rydde op i de gamle sikkerhedshuller i browser-plugin’et. Alligevel har flere sikkerhedsfirmaer udpeget Java-plugins til at være den største synder, når det gælder om at finde en vej ind på brugernes pc.
Oracle har dog ingen planer om at slippe af med hovedpinen ved at pensionere plugin’et, selvom udviklingen af applets ligger langt fra det primære fokus for Java-platformen.
»En af styrkerne i Java er bagudkompatibiliteten. Vi lader ingen i stikken. Så vi vil stadig have applets som en applikationsmodel for dem, der ønsker at bruge det. Der er stadig store virksomheder, som anvender applets, så vi vil stadig arbejde på at gøre dem mere sikre,« siger Nandini Ramani.
Applets gør det muligt at distribuere en platformuafhængig desktopapplikation via browseren, og selvom det stort set ikke bruges af websteder, så anvendes det stadig i blandt andet finanssektoren.
Oracle anbefaler dog ligesom flere sikkerhedseksperter, at man ikke installerer et plugin, hvis man ikke har brug for det. Danskerne må dog vente lidt endnu, før NemID-Java-appletten forsvinder. I øjeblikket arbejder Nets DanID på en Javascript-baseret afløser, men formelt udløber supporten for appletten først i 2017.
Leave a Reply