Het einde van onveilig Java in zicht?

Java is al jaren het grootste veiligheidsrisico voor online software. Terwijl operating systems, browsers, webservers en firewalls steeds veiliger zijn geworden, blijkt keer op keer dat gebruikers en systemen kwetsbaar zijn door de gaten in Java.

De voor- en nadelen van Java
Op dit moment draaien 3 miljard apparaten een versie van Java. Java is ooit ontwikkeld als een platform waarop efficient ‘portable code’ kan worden ontwikkeld: programmatuur die direct op verschillende hardware kan draaien. De voordelen hiervan zijn vooral minder ontwikkeltijd en minder afhankelijkheid van de onderliggende hard- en software. Het nadeel hierbij is dat de Java-code eerst naar de gebruiker moet worden gedownload, om vervolgens uitgevoerd kunnen te worden.

Een ander groot nadeel is dat Java als extra onderdeel op de PC moet worden geinstalleerd, en continu moet worden bijgewerkt. Juist hier zit een risico: in de praktijk zien we dat veel gebruikers met verouderde versies werken, waarvoor exploits beschikbaar zijn in diverse hacking toolkits. In organisaties die verouderde software gebruiken die alleen werkt met een specifieke (oudere) Java versie, kunnen zakelijke gebruikers vaak zelfs niet upgraden naar een veiligere versie.

Java is dan ook een geliefd startpunt voor aanvallers die toegang zoeken tot waardevolle persoonlijke of bedrijfsinformatie.

Gebruik Java liever niet in de browser
Steeds meer leveranciers van internet browsers blokkeren Java nadat eerder deze maand opnieuw grote beveiligingsgaten werden ontdekt. Oracle probeerde eerst dit beveiligingsprobleem te bagatelliseren, maar heeft vervolgens toch haastig een patch moeten uitbrengen. Apple blokkeert met Xprotect inmiddels oudere versies van Java, terwijl Mozilla gebruikers eerst expliciet de Java-code toestemming moeten geven via ‘Click to play’. Sinds Java 7 Update 10 is het mogelijk om Java in web browsers uit te schakelen via het Java control panel applet. Meerdere organisaties adviseren al om Java uit veiligeheidsoverwegingen uit te schakelen, waaronder US-CERT in zijn laatste Vulnerability Note VU#625617.

Java steeds minder populair onder ontwikkelaars
De problemen met veiligheid rond Java is ook bij gebruikers en ontwikkelaars doorgedrongen. Steeds meer organisaties en gebruikers verwijderen standaard Java uit voorzorg tegen beveiligingsproblemen. Ook kijken ontwikkelaars steeds vaker naar alternatieve platformen om hun (portable) code op te kunnen ontwikkelen. Met de komst van moderne technieken zoals HTML5 en de beschikbaarheid van voldoende bandbreedte begint Java zijn glans te verliezen. Onderzoek laat zien dat ontwikkeling in Java veelal plaats heeft gemaakt voor C/C++ en webgebaseerde oplossingen. De enige uitzondering hierop is de Google-variant van Java op het Android platform voor mobiele apparaten.

Helaas blijkt keer op keer dat Java serieuze beveiligingslekken bevat, veel vaker dan andere programmatuur. Door de groeiende security awareness onder gebruikers en ontwikkelaars, begint de populariteit van Java langzaam af te nemen. Browser leveranciers lijken ook liever afscheid te nemen van het platform vanwege de vele lekken en incidenten. Door het enorme aantal Java apparaten zal het nog wel jaren duren voordat Java plaats heeft gemaakt voor veiligere alternatieven. Deze trend lijkt nu echter wel definitief te zijn ingezet, een ontwikkeling die vanuit beveiligingsperspectief niet snel genoeg kan gaan.


Om social media te kunnen gebruiken zijn cookies nodig, schakel deze in om de knoppen te activeren.

Tags: , , , , , , ,

Close