PDF bearbeiten oder ähnliches

Ich wußte gar nicht das es das noch gibt.Also Java das letze mal habe Ich das vor mehr als 10 Jahren gesehen da waren noch die ganzen Chats darauf basiert.Seitdem habe ich das nie wieder benutzt.

Java ist quicklebendig! Das ist eine der meistgenutzten und populärsten Programmiersprachen der Welt. Aber seit die Browser-Plugins weg sind und das JRE meist mit ausgeliefert wird bzw. bei Linux auch teils als Dependency vom Paketmanager mit installiert wird (aber auch da wird es teils gebundelt), hat man da als reiner Nutzer nur noch wenig bewusst mit zu tun. Die JVM wird auch von anderen Sprachen verwendet, wie Kotlin z.B. Ach ja: Auch App-Entwicklung erfolgt u.a. in Java.

Zitat von Sybok

Meinst Du da nicht eher das Java-Browser-Plugin? Im Browser ein Framework anzubinden, mit dem man beliebigen Code ausführen und auch auf das Dateisystem und die Programme des Systems zugreifen kann, war noch nie eine gute Idee. Glücklicherweise ist das Thema ja so ziemlich erledigt. Damit hat ein lokal installiertes JRE aber erstmal nichts zu tun. Lücken, die zur Kompromittierung eines Client-Systems mit installiertem JRE geeignet sind (das selbst nicht direkt Java-Dienste im Internet bereitstellt oder per Browser-Plugin kompromittiert werden kann), sind jetzt nicht wirklich häufiger anzutreffen als bei anderen Frameworks. Selbst bei der recht delikaten Log4j-Schwachstelle hätte man es ja erstmal schaffen müssen, das Logging einer lokal installierten Anwendung irgendwie zu beeinflussen - schwierig, wenn diese Anwendung nicht mit der Außenwelt kommuniziert, bzw. nur so, dass man diese Kommunikation nicht ohne Weiteres beeinflussen oder verändern kann. Aber genau das geht im Normalfall nicht einfach so von außerhalb, also braucht man schon mal ein zusätzliches Einfallstor. Wenn es sich natürlich beispielsweise um eine Java-basierte Chatanwendung handelt, über die Nutzer miteinander kommunizieren und man weiß, wie man einen Log-Eintrag provozieren kann, sieht das schon anders aus.

Das JDK wird aber auch in vielen Unternehmenssoftwares eingesetzt, ist Bestandteil vieler Web- und Cloud-Stacks und generell aus dem Internet praktisch nicht wegzudenken. Klar wird das ständig angegriffen und es wird auch immer wieder Lücken geben (schon allein auf Grund der schieren Größe des Ökosystems), aber generell würde ich nicht sagen, dass Java per se unsicher ist.

^Nur meine Sicht dazu! Ich will Dich nicht zu Java bekehren, ich mag es ja selbst nicht (aber aus anderen, technischen Gründen).

Nein, kein Browser-Plugin - wirklich die reine lokale Installation der JRE.

Bei uns im Unternehmen wird mittlerweile konsequent versucht auf jegliche JREs zu verzichten (zumal es ja da dann auch immer noch das Problem bzgl. "nur noch mit bestimmter Version lauffähig" gab). Meines Wissens nach gab es da ja auch mal eine Änderung und für kommerzielle Unternehmen ist der Einsatz mittlerweile kostenpflichtig (zumindest habe ich mal etwas in der Art gelesen).

Der Tenor zu den JREs und Macromedia bzw. später dann Adobe Flash war in allen damaligen Foren, die sich mit diesem Thema beschäftigt hatten, dass man wenn es nur geht auf die lokalen Installationen dieser Pakete verzichten sollte.

Bei mir (und etlichen anderen auch) kam damals die Malware-Infektion in einem großen Forum durch ein veraltetes (eine Version zurück) JRE zustande - ausgelöst durch einen Drive-by-download per Banner-Rotation beim Laden einer "malicious site".

Ja, Oracle Java SE ist nicht mehr gratis weil es nicht-freie Komponenten enthält, sodass man besser auf OpenJDK ausweicht.

OK, Drive-by-downloads sind natürlich fies, aber da war das JRE sicher nur Mittel zum Zweck für die weitere Codeausführung, oder? Den Drive-by-download selbst dürfte es ja nicht verursacht haben, solange im Browser keine Java-Komponente lief. Wenn dann natürlich im JRE eine Rechteausweitungslücke war, kommt eins zum anderen und der Angreifer hat das System in der Hand.

Java? Ich dachte immer das sind die kleinen Vicher mit einer Mönchskutte und Leuchtaugen?

Zitat von Sybok

Ja, Oracle Java SE ist nicht mehr gratis weil es nicht-freie Komponenten enthält, sodass man besser auf OpenJDK ausweicht.

OK, Drive-by-downloads sind natürlich fies, aber da war das JRE sicher nur Mittel zum Zweck für die weitere Codeausführung, oder? Den Drive-by-download selbst dürfte es ja nicht verursacht haben, solange im Browser keine Java-Komponente lief. Wenn dann natürlich im JRE eine Rechteausweitungslücke war, kommt eins zum anderen und der Angreifer hat das System in der Hand.

Jup, genau so war das. Leider eine ziemlich üble Sache gewesen und der Angriff hätte nicht geklappt, wenn der JRE-Exploit nachgelagert nicht hätte ausgführt werden können. Seither bin ich im privaten Umfeld "Java-los".

Eines macht Java jedenfalls immer... Appetit auf eine ordentliche Tasse Kaffee !!!