Java gør Mac OSX usikker

Så skete det. Hackere udnytter Java-sårbarheder til at angribe Mac-computere. OSX har gennem tiden været langt mindre udsat for malware end Windows. Styresystemet i sig selv er da også meget sikkert, men usikre browser-plugins gør Mac’en sårbar. Det drejer sig om Java, Flash og Silverlight. Derudover er PDF-læseren Adobe Reader kendt for at have sikkerhedsproblemer.

Hvordan kan man sikre sig?

Hvis du kan undvære Java, Flash og Silverlight på din Mac, så slå det fra eller afinstaller det. De fleste websites fungerer uden Flash, da Flash ikke findes på iPad og iPhone. Silverlight bruges primært til web-tv, f.eks. Waoo og YouSee. Man bør kun have Silverlight installeret, hvis man ikke kan undvære at se TV på sin Mac. Har du en iPhone eller iPad, bør du overveje at benytte denne til TV i stedet. OSX-programmet “Billedfremviser” kan benyttes til at læse PDF’er i stedet for Adobe Reader. Java er nødvendig for at kunne logge ind vha. NemID på f.eks. netbank og mange offentligt tjenester. Java er således den sværeste af de tre at undvære.

Jeg har valgt at sikre mig på følgende måde:

  • Har ikke installeret Flash eller Adobe Reader.
  • Benytter Firefox med Java og Silverlight slået fra som primær browser.
  • Benytter Chrome hvis jeg har behov for Flash- eller Silverlight-indhold. Chrome kører sin egen Flash i en “sandbox” og er derfor mere sikker til Flash end andre browsere.
  • Benytter Safari til netbank og andet med NemID login. Safari har den fordel ift. Java at den fortæller, hvis der er kommet nyere Java-opdateringer. Det gør de andre browsere ikke.

Det kan virke noget besværligt at skulle skifte mellem flere browsere. I praksis kan man dog benytte Firefox uden plugins til langt det meste og skifte til Safari, når man skal på sin netbank eller andet, der kræver Java.

Læs mere her.

Er Java et døende fænomen?

Den 14. januar udtalte den danske IT-blogger og FreeBSD-guru Poul-Henning Kamp i Radio 24syv at “Java er et døende fænomen”. Baggrunden var sikkerhedshuller i Java benyttet til indlejrede programmer i hjemmesider. Disse sikkerhedshuller er særligt problematiske, da f.eks. NemID er afhængig af Java. Derfor kan man ikke bare vælge Java fra. I så fald bliver man afskåret fra at benytte netbank og mange offentlige tjenester.

Jeg tror han har helt ret i, at Java som sprog til indlejrede programmer på hjemmesider hører fortiden til. Man kan bygge al funktionalitet med JavaScript (der trods navnet ikke har meget med Java at gøre). Om Java er døende som sådan er en anden sag. På den ene side findes Java utroligt mange steder. F.eks. er apps til Google’s Android-styresystem til mobiltelefoner (Samsung, Sony, mv.) skrevet i Java og mange store virksomheder skriver deres programmel i Java. På den anden side er Java kontrolleret af en enkelt virksomhed, Oracle, der ikke har den store interesse i det. Oracle har overtaget Java fra Sun, der udviklede sproget og støttede det entusiastisk – men uden at kunne skabe tilstrækkelig indtjening. Læs mere om Javas situation her (to år gammel, men stadig relevant artikel).

Som udvikler har man på de fleste platforme en række gode alternativer:

  • Systemnære programmer og programmer med høje ydelsekrav: C, C++, Objective-C
  • Scriptsprog – systemer med moderate ydelseskrav, men krav til hurtig og fleksibel udvikling: Python, Ruby, PHP
  • Indlejrede browserprogrammer, apps, GUI: Javascript

Alle de nævnte sprog er uafhængige af enkelt-leverandører og er derfor langt mere “fremtidssikrede” valg end Java. Såvel udviklere som købere af IT-systemer bør være meget påpasselige med at binde sig til en teknologi, der ejes og styres af en enkelt leverandør.