アカウント名:
パスワード:
実質はOpenJDKと同様に脆弱性は3つで、CVSS 3.1ベーススコアの最大値は5.3。これくらいなら他の言語ランタイムでもよくある話では?
Java全体の安全性は長年メンテされてて確実に良くなってます。
2010年代途中だとまだ平気でCVSSv3で9.1が何個も見つかってたとかありましたが、ここんとこはスコア低いのばかりですね。Log4ShellはLog4j/Apacheの実装側の問題だったし。
ここのところでスコアが高いのって多くは、形式上はJavaの脆弱性にカウントされてはいますがGraalVMのPythonとかNode.jsとかの脆弱性です。要するにpython/nodejsの方がヤバい脆弱性が多くてGraalVMはそれに巻き込まれた形。
JavaがセキュリティリスクだったのはブラウザでApplet使うときのSandboxが実装が大変だっただけで、もうWindowsを除いてAppletクラス自体がありませんし、WindowsだってIEが止まってしまったから基本的には気にしなくて良いんです。
要するにJavaは危険と騒いでる人たちは脳みそのアップデートが追いついてない可哀想な人たちなんです。
Javaが危険って言われていたのは概ね一貫してアプレットとしてのJavaで、ローカルで動くアプリの開発言語・実行環境としては最初から大して危険でもなんでもないというか、ローカルアプリで動いてる時点でJREと同等のユーザ権限で動いてるから昇格もクソもない。標準ライブラリのバグやバグを作りやすい言語仕様とかは存在し得るが、概ねアプリ側でカバーすべき領域だし、その意味で言えばデファクトなC/C++が直球で致命的不具合を作れる言語だから別に問題にはならない。
問題なのはアプレットの脆弱性が騒がれてる中、アプレットの古いバージョンを強制しちゃう連中が居た事。言語の利用者のリテラシーがヤバすぎた。その意味ではPHPも似たところがあるね。そういう状況だとよく使われるライブラリに脆弱性があったり見逃されたりしがち。
んで、python/nodejsをディスっているけどそこはこの2つもおんなじだったりしない?
いやまあ、disってるつもりはないというか、スコアの高い脆弱性がGraalVM経由でJavaのrisk matrixに入っちゃってるのを誤解/曲解する人はいるだろうから、そこは言っておかないとっていう意図でした。攻撃的に読めたらスマヌ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
ITmedia記事はひどい (スコア:0)
実質はOpenJDKと同様に脆弱性は3つで、CVSS 3.1ベーススコアの最大値は5.3。
これくらいなら他の言語ランタイムでもよくある話では?
Re: (スコア:0)
Java全体の安全性は長年メンテされてて確実に良くなってます。
2010年代途中だとまだ平気でCVSSv3で9.1が何個も見つかってたとかありましたが、ここんとこはスコア低いのばかりですね。Log4ShellはLog4j/Apacheの実装側の問題だったし。
ここのところでスコアが高いのって多くは、形式上はJavaの脆弱性にカウントされてはいますがGraalVMのPythonとかNode.jsとかの脆弱性です。要するにpython/nodejsの方がヤバい脆弱性が多くてGraalVMはそれに巻き込まれた形。
JavaがセキュリティリスクだったのはブラウザでApplet使うときのSandboxが実装が大変だっただけで、もうWindowsを除いてAppletクラス自体がありませんし、WindowsだってIEが止まってしまったから基本的には気にしなくて良いんです。
要するにJavaは危険と騒いでる人たちは脳みそのアップデートが追いついてない可哀想な人たちなんです。
Re: (スコア:0)
Javaが危険って言われていたのは概ね一貫してアプレットとしてのJavaで、
ローカルで動くアプリの開発言語・実行環境としては最初から大して危険でもなんでもないというか、
ローカルアプリで動いてる時点でJREと同等のユーザ権限で動いてるから昇格もクソもない。
標準ライブラリのバグやバグを作りやすい言語仕様とかは存在し得るが、概ねアプリ側でカバーすべき領域だし、
その意味で言えばデファクトなC/C++が直球で致命的不具合を作れる言語だから別に問題にはならない。
問題なのはアプレットの脆弱性が騒がれてる中、アプレットの古いバージョンを強制しちゃう連中が居た事。
言語の利用者のリテラシーがヤバすぎた。その意味ではPHPも似たところがあるね。
そういう状況だとよく使われるライブラリに脆弱性があったり見逃されたりしがち。
んで、python/nodejsをディスっているけどそこはこの2つもおんなじだったりしない?
Re: (スコア:0)
いやまあ、disってるつもりはないというか、
スコアの高い脆弱性がGraalVM経由でJavaのrisk matrixに入っちゃってるのを
誤解/曲解する人はいるだろうから、
そこは言っておかないとっていう意図でした。攻撃的に読めたらスマヌ。