mboost-dp1
Sun
bare ærgeligt at deres lorte-update program ikke selv kan opdatere folks computere, men at folk SELV skal ind og trykke 3 GANGE!!! for at opdatere, hvilket gør at MILLIARDER af mennesker ikke får opdateret før om en måned...
Virkede fint på min computer, men har været rundt på 4-5 maskiner her til morgen og lave en manuel opdatering, forbi folk ikke kunne finde ud af det selv.
Opdateringen lukker ikke for sikkerhedsbristen. Den ændre blot på nogle standard indstilligner i JAVA, som sikre, at kode ikke blive afviklet uden brugerens godkendelse først.
Jeg synes, at det er pinligt af Oracle. Jeg havde forventet en opdatering der lukkede sikkerhedshullet.
Jeg synes, at det er pinligt af Oracle. Jeg havde forventet en opdatering der lukkede sikkerhedshullet.
Taxisky (4) skrev:Er der nogen der har problmer med java og windows 8 når det kommet til Nem-id? kan ikke komme ind da man bare får behandler oplysninger bla bla bal ikonet og kommer ikke videre til at give sit id nummer fra kortet.
Fungerer fint på de 2 Win8 computere jeg her...
Installerede fint på min win8x64 installation.
Og det er heldigvis en tilfredsstillende løsning for mig som privatperson der ved hvad jeg laver ved en computer. Hvis jeg styrrede en masse computere ville jeg være mindre tilfreds.
Når du tænker på størrelsen og kompleksiteten i noget som java så er det naturligt at det ikke bliver løst så hurtigt. De skulle jo nødigt lave nye sikkerhedshuller i deres midlertidige fiks. Dette er nok det bedste de kunne gøre uden af risikere at ødelægge noget andet.
Hvis du kigger på gennemsnitstiden for at rette et 0day sikkerhedshul, så er det slet ikke pinligt endnu.
Det eneste der måske kunne være pinlig er mængden af sikkerhedshuller, men der ved jeg ikke hvor slem java er i forhold til alternativerne.
Og det er heldigvis en tilfredsstillende løsning for mig som privatperson der ved hvad jeg laver ved en computer. Hvis jeg styrrede en masse computere ville jeg være mindre tilfreds.
Ravensholt (8) skrev:Opdateringen lukker ikke for sikkerhedsbristen. Den ændre blot på nogle standard indstilligner i JAVA, som sikre, at kode ikke blive afviklet uden brugerens godkendelse først.
Jeg synes, at det er pinligt af Oracle. Jeg havde forventet en opdatering der lukkede sikkerhedshullet.
Når du tænker på størrelsen og kompleksiteten i noget som java så er det naturligt at det ikke bliver løst så hurtigt. De skulle jo nødigt lave nye sikkerhedshuller i deres midlertidige fiks. Dette er nok det bedste de kunne gøre uden af risikere at ødelægge noget andet.
Hvis du kigger på gennemsnitstiden for at rette et 0day sikkerhedshul, så er det slet ikke pinligt endnu.
Det eneste der måske kunne være pinlig er mængden af sikkerhedshuller, men der ved jeg ikke hvor slem java er i forhold til alternativerne.
Taxisky (4) skrev:Er der nogen der har problmer med java og windows 8 når det kommet til Nem-id? kan ikke komme ind da man bare får behandler oplysninger bla bla bal ikonet og kommer ikke videre til at give sit id nummer fra kortet.
Umiddelbart kunne det lyde som om du mangler at "godkende" at appletten kører. Er selv nogen gange ude for at dialogen med "vil du stole på appletter fra DanID" får røget "bag ved" så den ikke er til at få frem før man har genstartet browseren....
Og ja, jeg slår med vilje "stol altid på DanID" fluebenet fra - for det gør jeg ikke!
carbonic (11) skrev:Når du tænker på størrelsen og kompleksiteten i noget som java så er det naturligt at det ikke bliver løst så hurtigt. De skulle jo nødigt lave nye sikkerhedshuller i deres midlertidige fiks. Dette er nok det bedste de kunne gøre uden af risikere at ødelægge noget andet.
Hvis du kigger på gennemsnitstiden for at rette et 0day sikkerhedshul, så er det slet ikke pinligt endnu.
Det eneste der måske kunne være pinlig er mængden af sikkerhedshuller, men der ved jeg ikke hvor slem java er i forhold til alternativerne.
Oracle har kendt til den bagvedliggende bug siden august 2012 og deres fix heraf har været utilstrækkelig.
http://thenextweb.com/apps/2013/01/14/oracle-ships-java-7-update-11-with-vulnerability-fixes-increased-security-level-for-java-applets/ skrev:On Friday [11. januar 2013, red], we learned the 0-day code would not have worked if Oracle had properly addressed an old vulnerability, according to Security Explorations, the security firm responsible for identifying most of the latest Java vulnerabilities. Back in late August 2012, the company informed Oracle about the insecure implementation of the Reflection API, and Oracle released a patch for it in October 2012, but the fix wasn’t a complete one.
Det er skidt hvis ikke de kommer med en ordentlig patch. Jeg kan fx ikke slå Java fra på ungernes computer da de jo spiller Minecraft. Så lige nu er det deaktiveret som plug-in i browseren, men ifølge flere hjemmesider er det ikke ensbetydende med at Java ikke kan kaldes med classId fra en web side...Vi har behov for en rigtig patch.
Montago (1) skrev:bare ærgeligt at deres lorte-update program ikke selv kan opdatere folks computere, men at folk SELV skal ind og trykke 3 GANGE!!! for at opdatere, hvilket gør at MILLIARDER af mennesker ikke får opdateret før om en måned...
jusched skulle starte processen.
Hvis folk svarer nej til at opdatere så ...
Man kunne sagtens argumentere for en silent upgrade, men der er altså osgå ulemper ved dette.
Ravensholt (8) skrev:Opdateringen lukker ikke for sikkerhedsbristen. Den ændre blot på nogle standard indstilligner i JAVA, som sikre, at kode ikke blive afviklet uden brugerens godkendelse først.
Nogen kilde til dette?
Det fremgår nemlig ikke af Oracle's release notes.
Disse siger:
This Security Alert addresses security issues CVE-2013-0422 (US-CERT Alert TA13-010A - Oracle Java 7 Security Manager Bypass Vulnerability) and another vulnerability affecting Java running in web browsers.
...
The fixes in this Alert include a change to the default Java Security Level setting from "Medium" to "High". With the "High" setting, the user is always prompted before any unsigned Java applet or Java Web Start application is run.
"include" læser jeg som at den indeholder mere.
ITemplate (14) skrev:Jeg kan fx ikke slå Java fra på ungernes computer da de jo spiller Minecraft. Så lige nu er det deaktiveret som plug-in i browseren, men ifølge flere hjemmesider er det ikke ensbetydende med at Java ikke kan kaldes med classId fra en web side...
Og man kan stole på alt som man læser på internettet?
Hvis Java kan køre så er Java ikke deaktiveret.
el_barto (9) skrev:Det største problem er ikke at der er sikkerhedshuller i Java, men at lortet står til at installere Ask-toolbaren som standard.
Jeg glæder mig til NemID får kureret den her afhængighed af 3. parts skrammel.
Helt enig. Første tegn på at et populært program har nået sit peak er, at der begynder at komme features ingen har bedt om, eller adware under installationen.
WinAMP, Nero Burning Rom etc. I'm looking at you!
#19
glem ikke uTorrent som er et klasse-eksempel
hvis man har slået "check for updates automatically" til, checker java 1 gang om måneden... og hvis man har 4 computere, så slår man lortet fra fordi det bliver en pestilens uden lige.
Chrome og langt om længe Flash, kan opdatere sig selv uden at være en pestilens for brugeren.
vil dog medgive at det kan være frustrerende at Chrome opdatere sig selv når Google kan finde på at udgive opdateringer som har breaking changes....
men Java, som er et framework/vm i samme stil som .NET, skal sku bare sørge for at opdatere sig selv - så længe ASK.com ikke bliver installeret kan jeg ikke se noget problem med det.
glem ikke uTorrent som er et klasse-eksempel
arne_v (15) skrev:jusched skulle starte processen.
Hvis folk svarer nej til at opdatere så ...
Man kunne sagtens argumentere for en silent upgrade, men der er altså osgå ulemper ved dette.
hvis man har slået "check for updates automatically" til, checker java 1 gang om måneden... og hvis man har 4 computere, så slår man lortet fra fordi det bliver en pestilens uden lige.
Chrome og langt om længe Flash, kan opdatere sig selv uden at være en pestilens for brugeren.
vil dog medgive at det kan være frustrerende at Chrome opdatere sig selv når Google kan finde på at udgive opdateringer som har breaking changes....
men Java, som er et framework/vm i samme stil som .NET, skal sku bare sørge for at opdatere sig selv - så længe ASK.com ikke bliver installeret kan jeg ikke se noget problem med det.
#2
Og om 2 uger er der fundet et nyt sikkerhedshul, hvorefter din computer igen vil være sårbar i 4-8 uger før det er lukket. Igen og igen.
Forstår seriøst ikke at folk med respekt for sig selv har Java aktiveret på deres personlige computer.
Brug dog VirtualBox til Java og flash-tjenester (dvs. NemID og porno).
Kunne aldrig nogensinde finde på at aktivere Java eller flash på min personlige computer. Det er lig med opgivelse af alt privatliv.
#9
Det gør de ikke. Java er et helt bevidst valg, da PET skal kunne have fuld adgang til folks computere. Enhedslisten har flere gange spurgt Justitsministeren om PET må bruge denne indgang til folks personlige computere... Det nægter justitsministeren at svare på. På politiker-sprog betyder det ja.
Og folk der siger de er ligeglad, fordi de alligevel ikke har noget at skjule... Åbn røvhullet, hvis I alligevel ikke har noget at skjule.
Virkede nu fint her skrev:
Og om 2 uger er der fundet et nyt sikkerhedshul, hvorefter din computer igen vil være sårbar i 4-8 uger før det er lukket. Igen og igen.
Forstår seriøst ikke at folk med respekt for sig selv har Java aktiveret på deres personlige computer.
Brug dog VirtualBox til Java og flash-tjenester (dvs. NemID og porno).
Kunne aldrig nogensinde finde på at aktivere Java eller flash på min personlige computer. Det er lig med opgivelse af alt privatliv.
#9
Jeg glæder mig til NemID får kureret den her afhængighed af 3. parts skrammel. skrev:
Det gør de ikke. Java er et helt bevidst valg, da PET skal kunne have fuld adgang til folks computere. Enhedslisten har flere gange spurgt Justitsministeren om PET må bruge denne indgang til folks personlige computere... Det nægter justitsministeren at svare på. På politiker-sprog betyder det ja.
Og folk der siger de er ligeglad, fordi de alligevel ikke har noget at skjule... Åbn røvhullet, hvis I alligevel ikke har noget at skjule.
#16
Fra release notes:
"in addition"
Fra release notes:
Bug Fixes
This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2013-0422.
In addition, the following change has been made:
Area: deploy
Synopsis: Default Security Level Setting Changed to High
"in addition"
Dijkstra (22) skrev:#21 VirtualBox lyder fint. Køber du så en ekstra Windows licens alene til det? Eller hvordan? Får det er den største anke jeg kan se.
En anden kunne være RAM - men det er nok mest et problem på ældre maskiner.
Der kan man jo så passende bruge en letvægts Linux installation så det også kører hurtigt uden at beslaglække for mange af dine systemressourcer.
Dijkstra (22) skrev:#21 VirtualBox lyder fint. Køber du så en ekstra Windows licens alene til det? Eller hvordan? Får det er den største anke jeg kan se.
En anden kunne være RAM - men det er nok mest et problem på ældre maskiner.
Du må gerne bruge din windows licens på en virtuel maskine. Den skal dog ligge på den samme fysiske maskine.
arne_v (17) skrev:Og man kan stole på alt som man læser på internettet?
Et spøjst svar/spørgsmål. Antyder du at det ikke kan lade sig gøre at afvikle Java via en browser hvis java-plugin er deaktiveret?
arne_v (17) skrev:Hvis Java kan køre så er Java ikke deaktiveret.
Hvordan relaterer det postulat til mit indlæg?
--
ITemplate (27) skrev:Antyder du at det ikke kan lade sig gøre at afvikle Java via en browser hvis java-plugin er deaktiveret?
Ja.
Java enablet i browser = man kan køre Java applets
Java disablet i browser = man kan IKKE køre Java applets
ITemplate (27) skrev:Hvordan relaterer det postulat til mit indlæg?
Burde være ret åbenlyst.
arne_v (31) skrev:Ja.
Java enablet i browser = man kan køre Java applets
Java disablet i browser = man kan IKKE køre Java applets
Ok jeg havde bare indtryk af at der var andre muligheder for at køre Java fx hvis folk har SDK installeret og den slags. Desuden antyden denne side at det ikke er helt ligetil i fx IE.
arne_v (31) skrev:Burde være ret åbenlyst.
Vi lader den bare ligge der så...
--
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund