Loading ...
Sorry, an error occurred while loading the content.

Re: [riojug] Reportagem do G1

Expand Messages
  • Felipe Lauksas
    Aí é que está, o A prova de usuária depende muito da interface, e a interface no caso é o browser. Mesmo assim o mecanismo a prova de usuário existe
    Message 1 of 15 , Aug 22 9:27 AM
    • 0 Attachment
      Aí é que está, o A prova de usuária depende muito da interface, e a interface no caso é o browser. Mesmo assim o mecanismo "a prova de usuário" existe como ferramenta auxiliar. Imagine fazer como o ActiveX, ter que ter assinatura digital, como ficariam os applets que fazemos? teríamos que homologar todas as aplicações pela Oracle? (like apple). E outra, sem permissão administrativa, o máximo que um vírus pode fazer através de java é deletar arquivos do próprio usuário que pediu para rodar o applet, sendo que os outros ele nõa teria acesso. E outra coisa, caso o virus tenha que acessar rede, o que seria necessário para roubo de dados, teria que passar pelo firewall... e aí vai. A medida é para ajudar, desde que nõa existe sistema seguro.

      E concordo com vc, poderia se melhor, mas não é obrigação da oracle isso.

      2011/8/22 Javier Far Coll <riojug@...>
       

      Felipe,


      Mesmo que você tenha entendido que concordei com o texto, não concordei com 100% do conteúdo. A parte em que concordei com ele é relativa a questão "a prova de usuário".

      Se o usuário ignora o aviso de segurança, na minha opinião é por um de dois motivos: ou o usuário é irresponsável OU ele não entendeu a mensagem.

      Isto independe de SO, permissões administrativas, software de segurança, etc e tal.


      Em 21 de agosto de 2011 11:28, Felipe Lauksas <lauksas@...> escreveu:


      Javier, mesmo que você tenha entendido isso, acho que a partir do momento que ele disse "desinstale o Java e fique mais seguro" está errado. Os Applets são programas como qualquer outro, ele mesmo disse, se o caso o anúncio de que este programa pode ser maléfico, (como qualquer outro de qualquer outra linguagem ou plug-in também pode ser) ele deveria dar a dica de segurança para os usuários terem mais atenção ao aceitar a instalação, e como saber se ela é segura. O aviso existe, quem ignora é o usuário.
      Sabe-se, e não é de hoje, que procedimento padrão de segurança digital é usuário que não tenha experiência não tenha acesso administrador do ambiente, seja ele qual for. E por este motivo o Linux ganha muito em segurança, não que esta seja perfeita, mas sabe-se que é melhor.
      Acho que a Oracle como detentora atual da tecnologia Java deveria tomar as medidas cabíveis e justificar as medida de segurança.
      A questão da permissão administrativa para verificação de atualização seria um ponto de melhoria, porém caímos em um embate, para atualizar tem que ser administrador, então para que um usuário não administrador iria querer verificar atualizações...???
      Outra, Java roda em máquina virtual, não tem interface direta com hardware ou S.O., no máximo para isso deveria chamar outro software. Vejo como tecnologia mais segura nos dias de hoje.
      E mais uma coisa, a responsabilidade de manter um PC seguro, são dos softwares de segurança, e não de outros softwares, ou seja, era papel do anti-vírus, firewall, browser e outros reconhecerem software maliciosos e os bloquearem.

      É o que eu acho...


      2011/8/18 Javier Far Coll <riojug@...>
       

      Pessoal,


      Pelo que entendi, o texto do Altieres Rohr não indica que os applets são inseguros - e sim que a interface com o usuário não é tão amigável para:
      - indicar e confirmar os riscos de instalar/executar código não confiável (não assinado ou assinado com um certificado não reconhecido);
      - atualização e configuração do plugin;

      Na comparação que ele faz entre o ActiveX (inclusive menciona a evolução do procedimento de confirmação) e os applets Java, deixa claro que é por permissão concedida pelo usuário que as brechas são abertas (devido a facilidade de aceitar a execução).

      E que as vulnerabilidades exploradas em função de bugs, no caso de Java, possuem uma janela maior de exposição devido as configurações default do intervalo para pesquisa automática de atualizações.

      Para nós, desenvolvedores, não vejo problemas; mas para a maioria dos usuários é uma grande dor de cabeça em potencial.

      Abraços,
      Javier Far

      Em 18 de agosto de 2011 13:32, Eldio Santos Jr. <eldiosantos@...> escreveu:



      Alex, concordo com você que o G1 não é confiável e foi exatamente por isso que resolvi perguntar aqui no grupo se alguém saberia me responder sobre isso...
      E Timothy, a questão dos "Applets terem problemas de segurança" (afinal se os plugins dos quais eles dependem têm problemas, podemos considerar que há problema na execução) já é antiga (desde 2005/2006, quando comecei a estudar Java, já rolavam algumas reclamações sobre isso vindo de quem trabalhava com eles), porém nunca ouvi falar de problemas para o SO, eu sempre ouvi falarem de problemas para a própria aplicação... A questão é basicamente se o "barulho" que ele gerou era realmente necessário (se o problema é tão grave assim) ou se o pessoal da Globo esta apenas se utilizando de táticas de guerrilha, o chamado "fogo em movimento", afinal primeiro foi o PHP (que a comunidade se mobilizou e eles foram obrigados a se retratar) e agora o Java...


      ________________
      Eldio Santos Junior
      Tel.: (21) 8884-3757
      Skype: eldiojr
      Twitter: @eldius


      Em 18 de agosto de 2011 12:51, Timothy High <timothy.high@...> escreveu:

       

      Pelo que entendi do artigo, o problema não é como Java e nem com a especificação para Applets, mas sim com a implementação dos plugins para os browsers. É que nem acessar um site que aproveite dos vulnerabilidades do IE, por exemplo. A diferença é que o usuário precisa aceitar a instalação do Applet para ser infectado. O artigo aponta 2 problemas que tornam o problema mais sério:


      1. Com o ActiveX, precisa ter certificação da M$ para instalar o componente. Complica muito a vida dos desenvolvedores, mas tb dos hackers querendo infectar seu sistema.
      2. Não existe forma automática de instalar atualizações de segurança para os plugins do Java. Tem que instalar a p***** da Java toda para receber a nova atualização.
      Não entendi se as vulnerabilidades são as mesmas para todos os browsers, ou se mudar de browser pode ajudar. Já que todos os plugins são feitos pela Oracle ( :'( ) , acho que depende da vulnerabilidade. De qq forma, se vc tomar cuidado e só instalar applets conhecidos, o risco é mínimo.

      Abs,
      Tim.

      2011/8/18 Eldio Santos Jr. <eldiosantos@...>

       

      Pessoal, depois do alarde que vi ontem à noite no Twitter, fui pesquisar hoje a fonte e descobri isso aqui:


      Sempre soube que os Applets eram problemáticos, mas alguém saberia me dizer se realmente chega ao ponto que o pessoal do G1 esta propagandeando? Nunca trabalhei com Applets (e acredito que nunca precisarei), mas ainda assim acho que seria interessante ter mais informações sobre o assunto.


      ________________
      Eldio Santos Junior
      Tel.: (21) 8884-3757
      Skype: eldiojr
      Twitter: @eldius









      --
      --
      Felipe Lauksas
      e-mail: lauksas@...








      --
      --
      Felipe Lauksas
      e-mail: lauksas@...


    • Timothy High
      Concordo. E acho que é válido lembrar de que estamos falando da web aberta. Vai sempre existir vulnerabilidades nos browsers e suas tecnologias. Faltando
      Message 2 of 15 , Aug 22 9:43 AM
      • 0 Attachment
        Concordo. E acho que é válido lembrar de que estamos falando da web aberta. Vai sempre existir vulnerabilidades nos browsers e suas tecnologias. Faltando isso, sempre tem quem baixa e instala software desconhecido, e nesse caso, não tem o que fazer (não vou tocar na questão de permissionamento do usuário). Pra mim, o único problema relevante aqui é a dificuldade em atualizar o plugin Java.

        2011/8/22 Felipe Lauksas <lauksas@...>
         

        Aí é que está, o A prova de usuária depende muito da interface, e a interface no caso é o browser. Mesmo assim o mecanismo "a prova de usuário" existe como ferramenta auxiliar. Imagine fazer como o ActiveX, ter que ter assinatura digital, como ficariam os applets que fazemos? teríamos que homologar todas as aplicações pela Oracle? (like apple). E outra, sem permissão administrativa, o máximo que um vírus pode fazer através de java é deletar arquivos do próprio usuário que pediu para rodar o applet, sendo que os outros ele nõa teria acesso. E outra coisa, caso o virus tenha que acessar rede, o que seria necessário para roubo de dados, teria que passar pelo firewall... e aí vai. A medida é para ajudar, desde que nõa existe sistema seguro.


        E concordo com vc, poderia se melhor, mas não é obrigação da oracle isso.


        2011/8/22 Javier Far Coll <riojug@...>
         

        Felipe,


        Mesmo que você tenha entendido que concordei com o texto, não concordei com 100% do conteúdo. A parte em que concordei com ele é relativa a questão "a prova de usuário".

        Se o usuário ignora o aviso de segurança, na minha opinião é por um de dois motivos: ou o usuário é irresponsável OU ele não entendeu a mensagem.

        Isto independe de SO, permissões administrativas, software de segurança, etc e tal.


        Em 21 de agosto de 2011 11:28, Felipe Lauksas <lauksas@...> escreveu:


        Javier, mesmo que você tenha entendido isso, acho que a partir do momento que ele disse "desinstale o Java e fique mais seguro" está errado. Os Applets são programas como qualquer outro, ele mesmo disse, se o caso o anúncio de que este programa pode ser maléfico, (como qualquer outro de qualquer outra linguagem ou plug-in também pode ser) ele deveria dar a dica de segurança para os usuários terem mais atenção ao aceitar a instalação, e como saber se ela é segura. O aviso existe, quem ignora é o usuário.
        Sabe-se, e não é de hoje, que procedimento padrão de segurança digital é usuário que não tenha experiência não tenha acesso administrador do ambiente, seja ele qual for. E por este motivo o Linux ganha muito em segurança, não que esta seja perfeita, mas sabe-se que é melhor.
        Acho que a Oracle como detentora atual da tecnologia Java deveria tomar as medidas cabíveis e justificar as medida de segurança.
        A questão da permissão administrativa para verificação de atualização seria um ponto de melhoria, porém caímos em um embate, para atualizar tem que ser administrador, então para que um usuário não administrador iria querer verificar atualizações...???
        Outra, Java roda em máquina virtual, não tem interface direta com hardware ou S.O., no máximo para isso deveria chamar outro software. Vejo como tecnologia mais segura nos dias de hoje.
        E mais uma coisa, a responsabilidade de manter um PC seguro, são dos softwares de segurança, e não de outros softwares, ou seja, era papel do anti-vírus, firewall, browser e outros reconhecerem software maliciosos e os bloquearem.

        É o que eu acho...


        2011/8/18 Javier Far Coll <riojug@...>
         

        Pessoal,


        Pelo que entendi, o texto do Altieres Rohr não indica que os applets são inseguros - e sim que a interface com o usuário não é tão amigável para:
        - indicar e confirmar os riscos de instalar/executar código não confiável (não assinado ou assinado com um certificado não reconhecido);
        - atualização e configuração do plugin;

        Na comparação que ele faz entre o ActiveX (inclusive menciona a evolução do procedimento de confirmação) e os applets Java, deixa claro que é por permissão concedida pelo usuário que as brechas são abertas (devido a facilidade de aceitar a execução).

        E que as vulnerabilidades exploradas em função de bugs, no caso de Java, possuem uma janela maior de exposição devido as configurações default do intervalo para pesquisa automática de atualizações.

        Para nós, desenvolvedores, não vejo problemas; mas para a maioria dos usuários é uma grande dor de cabeça em potencial.

        Abraços,
        Javier Far

        Em 18 de agosto de 2011 13:32, Eldio Santos Jr. <eldiosantos@...> escreveu:



        Alex, concordo com você que o G1 não é confiável e foi exatamente por isso que resolvi perguntar aqui no grupo se alguém saberia me responder sobre isso...
        E Timothy, a questão dos "Applets terem problemas de segurança" (afinal se os plugins dos quais eles dependem têm problemas, podemos considerar que há problema na execução) já é antiga (desde 2005/2006, quando comecei a estudar Java, já rolavam algumas reclamações sobre isso vindo de quem trabalhava com eles), porém nunca ouvi falar de problemas para o SO, eu sempre ouvi falarem de problemas para a própria aplicação... A questão é basicamente se o "barulho" que ele gerou era realmente necessário (se o problema é tão grave assim) ou se o pessoal da Globo esta apenas se utilizando de táticas de guerrilha, o chamado "fogo em movimento", afinal primeiro foi o PHP (que a comunidade se mobilizou e eles foram obrigados a se retratar) e agora o Java...


        ________________
        Eldio Santos Junior
        Tel.: (21) 8884-3757
        Skype: eldiojr
        Twitter: @eldius


        Em 18 de agosto de 2011 12:51, Timothy High <timothy.high@...> escreveu:

         

        Pelo que entendi do artigo, o problema não é como Java e nem com a especificação para Applets, mas sim com a implementação dos plugins para os browsers. É que nem acessar um site que aproveite dos vulnerabilidades do IE, por exemplo. A diferença é que o usuário precisa aceitar a instalação do Applet para ser infectado. O artigo aponta 2 problemas que tornam o problema mais sério:


        1. Com o ActiveX, precisa ter certificação da M$ para instalar o componente. Complica muito a vida dos desenvolvedores, mas tb dos hackers querendo infectar seu sistema.
        2. Não existe forma automática de instalar atualizações de segurança para os plugins do Java. Tem que instalar a p***** da Java toda para receber a nova atualização.
        Não entendi se as vulnerabilidades são as mesmas para todos os browsers, ou se mudar de browser pode ajudar. Já que todos os plugins são feitos pela Oracle ( :'( ) , acho que depende da vulnerabilidade. De qq forma, se vc tomar cuidado e só instalar applets conhecidos, o risco é mínimo.

        Abs,
        Tim.

        2011/8/18 Eldio Santos Jr. <eldiosantos@...>

         

        Pessoal, depois do alarde que vi ontem à noite no Twitter, fui pesquisar hoje a fonte e descobri isso aqui:


        Sempre soube que os Applets eram problemáticos, mas alguém saberia me dizer se realmente chega ao ponto que o pessoal do G1 esta propagandeando? Nunca trabalhei com Applets (e acredito que nunca precisarei), mas ainda assim acho que seria interessante ter mais informações sobre o assunto.


        ________________
        Eldio Santos Junior
        Tel.: (21) 8884-3757
        Skype: eldiojr
        Twitter: @eldius









        --
        --
        Felipe Lauksas
        e-mail: lauksas@...








        --
        --
        Felipe Lauksas
        e-mail: lauksas@...



      • Felipe Lauksas
        Mesmo assim, as atualizações não são tão frequentes em questão de seguraça, mais de melhoria na JVM em questão de performace e outras... 2011/8/22
        Message 3 of 15 , Aug 22 9:47 AM
        • 0 Attachment
          Mesmo assim, as atualizações não são tão frequentes em questão de seguraça, mais de melhoria na JVM em questão de performace e outras...

          2011/8/22 Timothy High <timothy.high@...>
           

          Concordo. E acho que é válido lembrar de que estamos falando da web aberta. Vai sempre existir vulnerabilidades nos browsers e suas tecnologias. Faltando isso, sempre tem quem baixa e instala software desconhecido, e nesse caso, não tem o que fazer (não vou tocar na questão de permissionamento do usuário). Pra mim, o único problema relevante aqui é a dificuldade em atualizar o plugin Java.



          2011/8/22 Felipe Lauksas <lauksas@...>
           

          Aí é que está, o A prova de usuária depende muito da interface, e a interface no caso é o browser. Mesmo assim o mecanismo "a prova de usuário" existe como ferramenta auxiliar. Imagine fazer como o ActiveX, ter que ter assinatura digital, como ficariam os applets que fazemos? teríamos que homologar todas as aplicações pela Oracle? (like apple). E outra, sem permissão administrativa, o máximo que um vírus pode fazer através de java é deletar arquivos do próprio usuário que pediu para rodar o applet, sendo que os outros ele nõa teria acesso. E outra coisa, caso o virus tenha que acessar rede, o que seria necessário para roubo de dados, teria que passar pelo firewall... e aí vai. A medida é para ajudar, desde que nõa existe sistema seguro.


          E concordo com vc, poderia se melhor, mas não é obrigação da oracle isso.


          2011/8/22 Javier Far Coll <riojug@...>
           

          Felipe,


          Mesmo que você tenha entendido que concordei com o texto, não concordei com 100% do conteúdo. A parte em que concordei com ele é relativa a questão "a prova de usuário".

          Se o usuário ignora o aviso de segurança, na minha opinião é por um de dois motivos: ou o usuário é irresponsável OU ele não entendeu a mensagem.

          Isto independe de SO, permissões administrativas, software de segurança, etc e tal.


          Em 21 de agosto de 2011 11:28, Felipe Lauksas <lauksas@...> escreveu:


          Javier, mesmo que você tenha entendido isso, acho que a partir do momento que ele disse "desinstale o Java e fique mais seguro" está errado. Os Applets são programas como qualquer outro, ele mesmo disse, se o caso o anúncio de que este programa pode ser maléfico, (como qualquer outro de qualquer outra linguagem ou plug-in também pode ser) ele deveria dar a dica de segurança para os usuários terem mais atenção ao aceitar a instalação, e como saber se ela é segura. O aviso existe, quem ignora é o usuário.
          Sabe-se, e não é de hoje, que procedimento padrão de segurança digital é usuário que não tenha experiência não tenha acesso administrador do ambiente, seja ele qual for. E por este motivo o Linux ganha muito em segurança, não que esta seja perfeita, mas sabe-se que é melhor.
          Acho que a Oracle como detentora atual da tecnologia Java deveria tomar as medidas cabíveis e justificar as medida de segurança.
          A questão da permissão administrativa para verificação de atualização seria um ponto de melhoria, porém caímos em um embate, para atualizar tem que ser administrador, então para que um usuário não administrador iria querer verificar atualizações...???
          Outra, Java roda em máquina virtual, não tem interface direta com hardware ou S.O., no máximo para isso deveria chamar outro software. Vejo como tecnologia mais segura nos dias de hoje.
          E mais uma coisa, a responsabilidade de manter um PC seguro, são dos softwares de segurança, e não de outros softwares, ou seja, era papel do anti-vírus, firewall, browser e outros reconhecerem software maliciosos e os bloquearem.

          É o que eu acho...


          2011/8/18 Javier Far Coll <riojug@...>
           

          Pessoal,


          Pelo que entendi, o texto do Altieres Rohr não indica que os applets são inseguros - e sim que a interface com o usuário não é tão amigável para:
          - indicar e confirmar os riscos de instalar/executar código não confiável (não assinado ou assinado com um certificado não reconhecido);
          - atualização e configuração do plugin;

          Na comparação que ele faz entre o ActiveX (inclusive menciona a evolução do procedimento de confirmação) e os applets Java, deixa claro que é por permissão concedida pelo usuário que as brechas são abertas (devido a facilidade de aceitar a execução).

          E que as vulnerabilidades exploradas em função de bugs, no caso de Java, possuem uma janela maior de exposição devido as configurações default do intervalo para pesquisa automática de atualizações.

          Para nós, desenvolvedores, não vejo problemas; mas para a maioria dos usuários é uma grande dor de cabeça em potencial.

          Abraços,
          Javier Far

          Em 18 de agosto de 2011 13:32, Eldio Santos Jr. <eldiosantos@...> escreveu:



          Alex, concordo com você que o G1 não é confiável e foi exatamente por isso que resolvi perguntar aqui no grupo se alguém saberia me responder sobre isso...
          E Timothy, a questão dos "Applets terem problemas de segurança" (afinal se os plugins dos quais eles dependem têm problemas, podemos considerar que há problema na execução) já é antiga (desde 2005/2006, quando comecei a estudar Java, já rolavam algumas reclamações sobre isso vindo de quem trabalhava com eles), porém nunca ouvi falar de problemas para o SO, eu sempre ouvi falarem de problemas para a própria aplicação... A questão é basicamente se o "barulho" que ele gerou era realmente necessário (se o problema é tão grave assim) ou se o pessoal da Globo esta apenas se utilizando de táticas de guerrilha, o chamado "fogo em movimento", afinal primeiro foi o PHP (que a comunidade se mobilizou e eles foram obrigados a se retratar) e agora o Java...


          ________________
          Eldio Santos Junior
          Tel.: (21) 8884-3757
          Skype: eldiojr
          Twitter: @eldius


          Em 18 de agosto de 2011 12:51, Timothy High <timothy.high@...> escreveu:

           

          Pelo que entendi do artigo, o problema não é como Java e nem com a especificação para Applets, mas sim com a implementação dos plugins para os browsers. É que nem acessar um site que aproveite dos vulnerabilidades do IE, por exemplo. A diferença é que o usuário precisa aceitar a instalação do Applet para ser infectado. O artigo aponta 2 problemas que tornam o problema mais sério:


          1. Com o ActiveX, precisa ter certificação da M$ para instalar o componente. Complica muito a vida dos desenvolvedores, mas tb dos hackers querendo infectar seu sistema.
          2. Não existe forma automática de instalar atualizações de segurança para os plugins do Java. Tem que instalar a p***** da Java toda para receber a nova atualização.
          Não entendi se as vulnerabilidades são as mesmas para todos os browsers, ou se mudar de browser pode ajudar. Já que todos os plugins são feitos pela Oracle ( :'( ) , acho que depende da vulnerabilidade. De qq forma, se vc tomar cuidado e só instalar applets conhecidos, o risco é mínimo.

          Abs,
          Tim.

          2011/8/18 Eldio Santos Jr. <eldiosantos@...>

           

          Pessoal, depois do alarde que vi ontem à noite no Twitter, fui pesquisar hoje a fonte e descobri isso aqui:


          Sempre soube que os Applets eram problemáticos, mas alguém saberia me dizer se realmente chega ao ponto que o pessoal do G1 esta propagandeando? Nunca trabalhei com Applets (e acredito que nunca precisarei), mas ainda assim acho que seria interessante ter mais informações sobre o assunto.


          ________________
          Eldio Santos Junior
          Tel.: (21) 8884-3757
          Skype: eldiojr
          Twitter: @eldius









          --
          --
          Felipe Lauksas
          e-mail: lauksas@...








          --
          --
          Felipe Lauksas
          e-mail: lauksas@...






          --
          --
          Felipe Lauksas
          e-mail: lauksas@...


        • Javier Far Coll
          Felipe, Concordo contigo, não é obrigação da Oracle e, na verdade, não é obrigação de ninguém; implementa as melhorias quem achar necessário. Já que
          Message 4 of 15 , Aug 22 10:24 AM
          • 0 Attachment
            Felipe,

            Concordo contigo, não é obrigação da Oracle e, na verdade, não é obrigação de ninguém; implementa as melhorias quem achar necessário.

            Já que "alguém" pede permissão de execução, pelo menos seria uma boa prática do desenvolvedor a implementação de mensagens que qualquer usuário possa entender seu significado. Ninguém deve ter a obrigação de adquirir softwares de terceiros para pedir permissão (ou tomar a decisão) de execução.

            Quanto a assinatura digital, no "Mundo Java" não existe a obrigação de homologação da aplicação nem a restrição de usar certificados "homologados" por ela. É possível até assinar com certificados autoassinados (gerados em casa, sem custo) e orientar seus usuários a confiar neles e como verificar sua autenticidade. Se for incômodo orientar os usuários, você pode adquirir um certificado em uma autoridade certificadora comercial de sua escolha, sem restrições de assinatura cruzada.

            E, nem todas as mensagens apresentadas sobre permissionamento de execução de applets são emitidas pelo browser. Um exemplo é o aviso de segurança caso a assinatura seja inválida ou não reconhecida, que pergunta se deseja confiar no emissor.


            Em 22 de agosto de 2011 13:27, Felipe Lauksas <lauksas@...> escreveu:


            Aí é que está, o A prova de usuária depende muito da interface, e a interface no caso é o browser. Mesmo assim o mecanismo "a prova de usuário" existe como ferramenta auxiliar. Imagine fazer como o ActiveX, ter que ter assinatura digital, como ficariam os applets que fazemos? teríamos que homologar todas as aplicações pela Oracle? (like apple). E outra, sem permissão administrativa, o máximo que um vírus pode fazer através de java é deletar arquivos do próprio usuário que pediu para rodar o applet, sendo que os outros ele nõa teria acesso. E outra coisa, caso o virus tenha que acessar rede, o que seria necessário para roubo de dados, teria que passar pelo firewall... e aí vai. A medida é para ajudar, desde que nõa existe sistema seguro.

            E concordo com vc, poderia se melhor, mas não é obrigação da oracle isso.


            2011/8/22 Javier Far Coll <riojug@...>
             

            Felipe,


            Mesmo que você tenha entendido que concordei com o texto, não concordei com 100% do conteúdo. A parte em que concordei com ele é relativa a questão "a prova de usuário".

            Se o usuário ignora o aviso de segurança, na minha opinião é por um de dois motivos: ou o usuário é irresponsável OU ele não entendeu a mensagem.

            Isto independe de SO, permissões administrativas, software de segurança, etc e tal.


            Em 21 de agosto de 2011 11:28, Felipe Lauksas <lauksas@...> escreveu:


            Javier, mesmo que você tenha entendido isso, acho que a partir do momento que ele disse "desinstale o Java e fique mais seguro" está errado. Os Applets são programas como qualquer outro, ele mesmo disse, se o caso o anúncio de que este programa pode ser maléfico, (como qualquer outro de qualquer outra linguagem ou plug-in também pode ser) ele deveria dar a dica de segurança para os usuários terem mais atenção ao aceitar a instalação, e como saber se ela é segura. O aviso existe, quem ignora é o usuário.
            Sabe-se, e não é de hoje, que procedimento padrão de segurança digital é usuário que não tenha experiência não tenha acesso administrador do ambiente, seja ele qual for. E por este motivo o Linux ganha muito em segurança, não que esta seja perfeita, mas sabe-se que é melhor.
            Acho que a Oracle como detentora atual da tecnologia Java deveria tomar as medidas cabíveis e justificar as medida de segurança.
            A questão da permissão administrativa para verificação de atualização seria um ponto de melhoria, porém caímos em um embate, para atualizar tem que ser administrador, então para que um usuário não administrador iria querer verificar atualizações...???
            Outra, Java roda em máquina virtual, não tem interface direta com hardware ou S.O., no máximo para isso deveria chamar outro software. Vejo como tecnologia mais segura nos dias de hoje.
            E mais uma coisa, a responsabilidade de manter um PC seguro, são dos softwares de segurança, e não de outros softwares, ou seja, era papel do anti-vírus, firewall, browser e outros reconhecerem software maliciosos e os bloquearem.

            É o que eu acho...


            2011/8/18 Javier Far Coll <riojug@...>
             

            Pessoal,


            Pelo que entendi, o texto do Altieres Rohr não indica que os applets são inseguros - e sim que a interface com o usuário não é tão amigável para:
            - indicar e confirmar os riscos de instalar/executar código não confiável (não assinado ou assinado com um certificado não reconhecido);
            - atualização e configuração do plugin;

            Na comparação que ele faz entre o ActiveX (inclusive menciona a evolução do procedimento de confirmação) e os applets Java, deixa claro que é por permissão concedida pelo usuário que as brechas são abertas (devido a facilidade de aceitar a execução).

            E que as vulnerabilidades exploradas em função de bugs, no caso de Java, possuem uma janela maior de exposição devido as configurações default do intervalo para pesquisa automática de atualizações.

            Para nós, desenvolvedores, não vejo problemas; mas para a maioria dos usuários é uma grande dor de cabeça em potencial.

            Abraços,
            Javier Far

            Em 18 de agosto de 2011 13:32, Eldio Santos Jr. <eldiosantos@...> escreveu:



            Alex, concordo com você que o G1 não é confiável e foi exatamente por isso que resolvi perguntar aqui no grupo se alguém saberia me responder sobre isso...
            E Timothy, a questão dos "Applets terem problemas de segurança" (afinal se os plugins dos quais eles dependem têm problemas, podemos considerar que há problema na execução) já é antiga (desde 2005/2006, quando comecei a estudar Java, já rolavam algumas reclamações sobre isso vindo de quem trabalhava com eles), porém nunca ouvi falar de problemas para o SO, eu sempre ouvi falarem de problemas para a própria aplicação... A questão é basicamente se o "barulho" que ele gerou era realmente necessário (se o problema é tão grave assim) ou se o pessoal da Globo esta apenas se utilizando de táticas de guerrilha, o chamado "fogo em movimento", afinal primeiro foi o PHP (que a comunidade se mobilizou e eles foram obrigados a se retratar) e agora o Java...


            ________________
            Eldio Santos Junior
            Tel.: (21) 8884-3757
            Skype: eldiojr
            Twitter: @eldius


            Em 18 de agosto de 2011 12:51, Timothy High <timothy.high@...> escreveu:

             

            Pelo que entendi do artigo, o problema não é como Java e nem com a especificação para Applets, mas sim com a implementação dos plugins para os browsers. É que nem acessar um site que aproveite dos vulnerabilidades do IE, por exemplo. A diferença é que o usuário precisa aceitar a instalação do Applet para ser infectado. O artigo aponta 2 problemas que tornam o problema mais sério:


            1. Com o ActiveX, precisa ter certificação da M$ para instalar o componente. Complica muito a vida dos desenvolvedores, mas tb dos hackers querendo infectar seu sistema.
            2. Não existe forma automática de instalar atualizações de segurança para os plugins do Java. Tem que instalar a p***** da Java toda para receber a nova atualização.
            Não entendi se as vulnerabilidades são as mesmas para todos os browsers, ou se mudar de browser pode ajudar. Já que todos os plugins são feitos pela Oracle ( :'( ) , acho que depende da vulnerabilidade. De qq forma, se vc tomar cuidado e só instalar applets conhecidos, o risco é mínimo.

            Abs,
            Tim.

            2011/8/18 Eldio Santos Jr. <eldiosantos@...>

             

            Pessoal, depois do alarde que vi ontem à noite no Twitter, fui pesquisar hoje a fonte e descobri isso aqui:


            Sempre soube que os Applets eram problemáticos, mas alguém saberia me dizer se realmente chega ao ponto que o pessoal do G1 esta propagandeando? Nunca trabalhei com Applets (e acredito que nunca precisarei), mas ainda assim acho que seria interessante ter mais informações sobre o assunto.


            ________________
            Eldio Santos Junior
            Tel.: (21) 8884-3757
            Skype: eldiojr
            Twitter: @eldius









            --
            --
            Felipe Lauksas
            e-mail: lauksas@...








            --
            --
            Felipe Lauksas
            e-mail: lauksas@...





          • Paulo Sobreira
            Quando li (por cima) essa reportagem ri muito. Esse cara é uma mistura de micreiro e jornalista inrresponsavel. Ja bati boca com ele no twitter e vi que ele
            Message 5 of 15 , Sep 13, 2011
            • 0 Attachment
              Quando li (por cima) essa reportagem ri muito. Esse cara é uma mistura de micreiro e jornalista inrresponsavel. Ja bati boca com ele no twitter e vi que ele não passa de um troll, so quer causar polemica pra fazer nome.
               
              Audaces Fortuna Juvat

              De: Alex Silva <alrsilva@...>
              Para: riojug@yahoogroups.com
              Enviadas: Quinta-feira, 18 de Agosto de 2011 12:48
              Assunto: Re: [riojug] Reportagem do G1

               
              Eldio,
              Os teclados virtuais dos bancos são applets, o ERP da Oracle é todo baseado em Applets, antes mesmo da Sun ser comprada.
              Existe sim problemas em você ter java no seu windows.
              O cara que colocou o post deveria ter feito o seguinte comentário:
              Faça o seguinte, desinstale o Windows e coloque o Linux. Acabou o problema.
              As falhas que a pessoa fala que o Java deixa passar, deveriam ser barradas pelo SO, correto?
              A própria Globo já lançou uma notícia que toda página php tinha vírus e depois desmentiu.
              Se pesquisar o "Altieres Rohr " provavelmente vai ver que ele deve ter umas 50 certificações Windows.

              Abraços,

              Em 18 de agosto de 2011 12:12, Eldio Santos Jr. <eldiosantos@...> escreveu:
               
              Pessoal, depois do alarde que vi ontem à noite no Twitter, fui pesquisar hoje a fonte e descobri isso aqui:

              Sempre soube que os Applets eram problemáticos, mas alguém saberia me dizer se realmente chega ao ponto que o pessoal do G1 esta propagandeando? Nunca trabalhei com Applets (e acredito que nunca precisarei), mas ainda assim acho que seria interessante ter mais informações sobre o assunto.


              ________________
              Eldio Santos Junior
              Tel.: (21) 8884-3757
              Skype: eldiojr
              Twitter: @eldius



              --
              Alex Rodrigues da Silva

              Desenvolvedor J2EE / Oracle SOA Suite / Oracle EBS
              alrsilva@...
              @alexsilva_rj
              +55 21 8825.1967




            Your message has been successfully submitted and would be delivered to recipients shortly.