在 Nandini Ramani的博文中讨论了关于“Java的安全信誉”问题,间接的解决了一些Java安全研究人员批评和关注的问题,例如今年被爆出黑客利用Java浏览器插件漏洞侵入用户电脑事件(浏览器开发商Mozilla为此禁用了Java插件,美国国土安全部还建议卸载Java。甲骨文因为未能及时发布补丁而受到了批评)。
Ramani表示,Oracle公司计划从今年10月份开始,将加速Java补丁的时间表,同时,Oracle正在努力做好关于Java安全代码审查的相关工作。据了解,Java开发团队正在大规模的使用自动化的安全测试工具,该测试工具可以定期帮助开发团队自动覆盖大部分的Java平台代码。在Java环境中,Ramani的团队和甲骨文主要源代码分析服务提供商正在让自动化的工具更加的有效,同时,他们还开发出了“模糊化”的分析工具,用来检测某些类型的漏洞。
一直以来,缺乏适当的代码安全审查及Java 7的质量测试,导致了安全研究人员在Java平台上发现了大量的安全漏洞,也为Oracle带来了众多批评的声音。
Ramani还透露了关于本次改进计划的其他信息,“新的安全级别以及用于Java小程序的警告—基于Web的Java应用程序,将分别在 Java 7 Update 10和Java 7 Update 21中被引入。”这些变化是为了阻止未签名或自签名的Applet自动执行,在不久的将来,在默认情况下,Java将不再允许自签名或无符号的代码执行。
从安全角度考虑,其实Oracle这种做法是有道理的,因为大多数的Java漏洞都是利用未签名的Java applets实现的。Java客户端能否实时检查数字证书的有效性——Java支持通过证书撤销列表(CRL)和在线证书状态协议(OCSP)进行吊销检查,但此功能在默认情况下是禁用的。
“之所以在默认情况下不启用此功能,是因为它可能会影响应用性能。”Ramani表示,“目前,Oracle正在做相关的改进,在未来的Java版本中,此功能将会自动开启。”同时,在加入集中管理白名单功能后,企业将可以控制哪些网站可以在他们的计算机上运行浏览器内的Java applets。
不过,许多企业并不能像家庭用户那样禁用Java浏览器插件,因为他们需要Java applets来访问那些基于Java创建的Web关键业务应用。
本地安全策略功能也将很快被引入到Java中,系统管理员因此可以获得更多的安全策略设置,比如,系统管理员可以限制特定主机上(例如合作伙伴的服务器等)的Java applets的执行,从而减少访问未经授权的恶意软件所带来的风险。
虽然Java的安全性问题一般只会影响运行在浏览器内的Java插件,但由于媒体的公开报道,这一度影响了很多企业在服务器上使用Java。“未来,Oracle将探索更多的安全措施,以减少由于Java引起的安全问题。”Ramani表示。
原文链接:http://tech.it168.com/a2013/0603/1491/000001491341.shtml
