Hallo, ich möchte den KGS-Go-Server nutzen, um online Go spielen zu können. Dazu benötigt man CGoban 3 und nach Möglichkeit die neuste Java-Version, wie ich es verstehe. Habe also wie hier beschrieben http://www.gokgs.com/download.jsp Java runtergeladen/installiert. Modzilla Firefox gibt das Plugin allerdings nicht automatisch frei, weil das Java7-Add-on laut Modzilla dafür bekannt sein soll, Sicherheitslücken zu haben. Frage: In wie weit ist die Benutzung von Java7 auf einem WinXP-Rechner (bis jetzt immer die neusten WinUpdates installiert) wirklich ein Sicherheitsrisiko? Gibt es möglicherweise Alternativen für mein Vorhaben?
HaraldDräger schrieb: > In wie weit ist die Benutzung von Java7 auf einem WinXP-Rechner > (bis jetzt immer die neusten WinUpdates installiert) wirklich ein > Sicherheitsrisiko? Java ist regelmäßig eine der übelsten Sicherheitslücken überhaupt. Kaum hat man das neueste Update installiert, kursiert für diese Version schon wieder ein Exploit. Jeder Webseiten- oder sonstige Programmierer, der noch auf Java aufsetzt, gehört ans Kreuz geschlagen. > Gibt es möglicherweise Alternativen für mein Vorhaben? Ein anderes Spiel suchen, das kein Java benötigt.
Solange der Browser verhindert, dass das Plugin auf jeder Seite automatisch geladen wird, gehst du kein großes Risiko ein.
:
Bearbeitet durch Admin
Andreas Schwarz schrieb: > Solange der Browser verhindert, dass das Plugin auf jeder Seite > automatisch geladen wird, gehst du kein großes Risiko ein. Im Moment ist es so eingestellt, dass ich es jedes mal extra für die genannte Seite freigebe. Icke ®. schrieb: >> Gibt es möglicherweise Alternativen für mein Vorhaben? > > Ein anderes Spiel suchen, das kein Java benötigt. Dann ist es keine Alternative, KGS ist international der meistbesuchte Server fürs Go-Spielen.
HaraldDräger schrieb: > ... wirklich ein > Sicherheitsrisiko? ... Java macht es nicht nur dem Entwickler leichter seine Anwendung zu entwickeln. Nein, es macht es auch noch dem Hacker leichter zugriff auf das System zu bekommen.
Icke ®. schrieb: > Jeder Webseiten- oder sonstige Programmierer, der > noch auf Java aufsetzt, gehört ans Kreuz geschlagen. Falsch. Die Problematik besteht nahezu ausschließlich in Zusammenhang mit Web-Applikationen. Java Applets machen aber nur einen kleinen Teil aller in Java geschriebener Software aus. Wer hier nicht in der Lage ist zu differenzieren, sollte zu dem Thema am besten gar nichts schreiben, weil er schlicht und ergreifend keine Ahnung hat.
Danke für die Info! Mark Brandis schrieb: > Wer hier nicht in der Lage ist zu differenzieren, sollte zu dem Thema am > besten gar nichts schreiben, weil er schlicht und ergreifend keine > Ahnung hat. Easy, dafür ist das Forum doch da, dass wir alle unser Wissen vergrößern können!
Mark Brandis schrieb: > Java Applets machen aber nur einen kleinen Teil > aller in Java geschriebener Software aus. Um die zu nutzen, muß die Runtime trotzdem installiert werden. Die in der neuen Version eingebaute Sicherheitsfunktion, Webseiten explizit freigeben zu müssen, wird auch nur solange schützen, bis jemand einen Exploit schreibt, der auch diese Krücke umgeht.
Icke ®. schrieb: > Die in der neuen Version eingebaute Sicherheitsfunktion, Webseiten > explizit freigeben zu müssen Das ist ein Feature des Browsers.
Icke ®. schrieb: > Mark Brandis schrieb: >> Java Applets machen aber nur einen kleinen Teil >> aller in Java geschriebener Software aus. > > Um die zu nutzen, muß die Runtime trotzdem installiert werden. Die in > der neuen Version eingebaute Sicherheitsfunktion, Webseiten explizit > freigeben zu müssen, wird auch nur solange schützen, bis jemand einen > Exploit schreibt, der auch diese Krücke umgeht. So gesehen darfst Du eigentlich gar nicht mehr ins Internet - es gibt immer irgendwo irgendwelche Sicherheitslücken auch dort wo man sie nicht vermutet. Haste eine Fritzbox? Schon geupdated? ;-)
Heute schon ein Flash-Video angesehen? Eine 18jährige Geschichte von Sicherheitslücken im Flash-Player. Heute schon ein PDF angesehen? Eine 21jährige Geschichte von Sicherheitslücken im Reader. Heute schon auf Windows eingeloggt? Eine 29jährige Geschichte von Sicherheitslücken, sich nahtlos an DOS-Sicherheitslücken anschließend. Und ihr scheißt euch wegen des praktisch irrelevanten Java-Applet Plugin ins Hemd?
Andreas Schwarz schrieb: > Das ist ein Feature des Browsers. Ab der 51er muß man die vertrauenswürdigen Seiten direkt im Java Controlpanel eintragen: https://blogs.oracle.com/java-platform-group/entry/upcoming_exception_site_list_in
Grendel schrieb: > So gesehen darfst Du eigentlich gar nicht mehr ins Internet - es gibt > immer irgendwo irgendwelche Sicherheitslücken auch dort wo man sie nicht > vermutet. Richtig, es nervt. Und deswegen installiere nicht auch noch bekannt anfällige Software. > Haste eine Fritzbox? Nein, ich verwende keinen Consumerschrott.
Icke ®. schrieb: > Andreas Schwarz schrieb: >> Das ist ein Feature des Browsers. > > Ab der 51er muß man die vertrauenswürdigen Seiten direkt im Java > Controlpanel eintragen: > > https://blogs.oracle.com/java-platform-group/entry/upcoming_exception_site_list_in Blöd gefragt, warum?
HaraldDräger schrieb: > Blöd gefragt, warum? Weil das Applet sonst nicht ausgeführt wird bzw. ständig eine Sicherheitsnachfrage erfolgt.
M, nicht Q schrieb: > Heute schon ein Flash-Video angesehen? Eine 18jährige Geschichte von > Sicherheitslücken im Flash-Player. > > Heute schon ein PDF angesehen? Eine 21jährige Geschichte von > Sicherheitslücken im Reader. > > Heute schon auf Windows eingeloggt? Eine 29jährige Geschichte von > Sicherheitslücken, sich nahtlos an DOS-Sicherheitslücken anschließend. > > Und ihr scheißt euch wegen des praktisch irrelevanten Java-Applet Plugin > ins Hemd? ich muss das mal full quoten weil es einfach wahr ist. hier hintergrundwissen bezüglich flash: http://fixyt.com/watch?v=2OSs4fCkIYc ganz generell sollte jedem klar sein das jede eingabe in ein komplexes system fehler verursachen kann - wer sicher sein will darf einen rechner nicht einschalten. auf einer einzigen software herumzuhacken nur weil die auch sicherheitslücken hat ist ziemlich dämlich.
Icke ®. schrieb: > Java ist regelmäßig eine der übelsten Sicherheitslücken überhaupt. Kannst du das belegen? Mir ist jetzt spontan nur eine wirklich "üble" Sicherheitslücke bekannt, und die wurde dadurch populär das ein bekannter Hersteller mit Obstlogo es nicht schafft Zeitnah (< 6 Monate) kritische Updates an seine Kunden auszuliefern. HaraldDräger schrieb: > Gibt es möglicherweise Alternativen für mein Vorhaben? Du kannst dir das JAR File auch direkt runterladen: http://files.gokgs.com/javaBin/cgoban.jar dann reicht bei installiertem Java (ggf. ohne Plugin wenn du Bedenken hast) ein Doppelklick um das ganze zu starten. Bedenke aber, das du dann nicht über automatische Updates benachrichtigt wirst, also ggf. wenn eine neue Version rauskommt die Prozedur wiederholen musst. N.B.: Das ganze ist kein klassisches Applet sondern eine Java-Webstartanwendung.
Läubi .. schrieb: > Kannst du das belegen? Gib mal Java als Suchbegriff auf heisec.de ein, das spricht schon Bände. Darüberhinaus war Java in meinem eigenen Erfahrungsbereich bisher die einzige Lücke, die es geschafft hat, den Rechner infolge einer simplen Googlesuche per driveby-Download zu infizieren, noch bevor der User überhaupt einen der Links angeklickt hatte. Ich wollte das zunächst auch nicht glauben, der Praktikant sagte aus, er hätte einen Suchbegriff eingegeben ("katze unendliche energie") und danach erschien sofort der berüchtigte BKA/Ukash-Trojanerbildschirm. Die Auswertung der Logfiles und anschließender Test in einer VM gaben ihm jedoch Recht. Es reichte in der Tat aus, per Google nach dem Begriff zu suchen, OHNE eines der Ergebnisse zu klicken und schon war die Malware drauf. Als Quelle stellte sich eine kanadische Homepage für RC-Modellbau heraus, die über die Suche gefunden wurde. Ohne Java bzw. mit einer damals aktuellen Version konnte ich das Verhalten nicht nachvollziehen. c.m. schrieb: > auf einer einzigen software herumzuhacken nur weil die auch > sicherheitslücken hat ist ziemlich dämlich. Selbstverständlich existieren noch andere Lücken, aber hier wurde explizit nach Java gefragt. Und Java ist im Gegensatz zu bspw. Flash mittlerweile ein verzichtbares Plugin, da es nur noch wenige Webseiten erfordern. Selbst die Finanzdirektion hat nachgezogen und stellt für Elsteronline javafreien Zugang bereit.
:
Bearbeitet durch User
Icke ®. schrieb: > Gib mal Java als Suchbegriff auf heisec.de ein, das spricht schon Bände. Lass ich nicht gelten, das gleiche gilt für jedes andere Programm... siehe oben. Nachplappern kann jeder. Du hast die Behauptung aufgestellt, also gehe ich davon aus das du das auch konkret mit Links auf z.B. Bug-Reports/Sicherheitsankündigungen belegen kannst und nicht nur vom Hörensagen aus dritter, vierter Hand oder nebulösen "such mal nach"... Icke ®. schrieb: > Ohne Java bzw. mit einer damals aktuellen Version konnte ich das > Verhalten nicht nachvollziehen. Also war offensichtlich eine veraltete (aka unsichere) Software-Version der Auslöser, oder der Trojaner kam schon vorher auf den Rechner, oder über einen Mailanhang, "verlorenen" USB-Stick oder ... Und vorallem würde mich mal interessieren wie das gehen soll, da Google ja überhaupt gar kein Java einbettet. Also muss Google wenn ja schadhaften oder potentziell unsicheren Code ungeprüft 1:1 in seine Suchergebnisse einbetten, d.h. jede beliebiege Sicherheitslücke (Browser, Flash, JS,...) wäre geeigent, also auch wieder nicht Java Spezifisch. Icke ®. schrieb: > Und Java ist im Gegensatz zu bspw. Flash mittlerweile ein verzichtbares > Plugin, da es nur noch wenige Webseiten erfordern. Java Plugin != Java, wie ich oben schrieb kann man die "Website" (eigentlich nur ein Link auf ein Webstart) ganz ohne "das gefährliche Java" nutzen, nur leider scheint das einige "Sicherheitsexperten" zu überfordern zu differenzieren zwischen Java, einer konkreten Implementierung von Java (die einen Bug enthält) und einem Browserplugin welches Java für Websites bereitstellt zu unterscheiden. Wäre aber ja auch langweilig... "Windows/Java/E-Mail/... unsicher" ist ja auch viel griffiger als mit Fakten zu langweilen.
Läubi .. schrieb: > nur leider scheint das einige "Sicherheitsexperten" zu > überfordern zu differenzieren zwischen Java, einer konkreten > Implementierung von Java (die einen Bug enthält) und einem Browserplugin > welches Java für Websites bereitstellt zu unterscheiden. Genau das ist ja das Problem bei der ganzen Diskussion. Ich habe es oben gesagt und ich sage es nochmal: Wer ohne weitere Differenzierung behauptet, Java sei generell unsicher, der hat von der ganzen Thematik so wenig Ahnung, dass sich für ihn die Teilnahme an einer Diskussion darüber automatisch verbietet.
Icke ®. schrieb: > Java ist im Gegensatz zu bspw. Flash > mittlerweile ein verzichtbares Plugin, da es nur noch wenige Webseiten > erfordern. flash ist genauso verzichtbar. ich habs seit dem 26c3 nicht mehr installiert und lebe immer noch (und kann p0rnos/youtube schauen). apropos youtube - man lernt nie aus… gestern habe ich bemerkt das man youtube videos per drag&drop vom browser auf vlc schauen kann. da brauche ich die dinger garnicht erst vorher downloaden :)
Läubi .. schrieb: > Lass ich nicht gelten, das gleiche gilt für jedes andere Programm... Wie oben schon gesagt, es geht hier konkret um Java und nicht um andere Programme. Die Anfälligkeit von Java verringert sich in keinster Weise, nur weil auch Flash, Windows und sonstwer oder was Lücken aufweisen. > Hörensagen aus dritter, vierter Hand Heise Security ist nicht irgendeine Verschwörungsseite, aber bitteschön, vielleicht hast du mehr Vertrauen zu Cisco: http://www.eweek.com/security/java-primary-cause-of-91-percent-of-attacks-cisco.html > Also war offensichtlich eine veraltete (aka unsichere) Software-Version > der Auslöser Ja, das war in der Tat eine ältere Version, wie sie auf vielen Rechnern zu finden ist. Wie ich ebenfalls schrieb, konnte ich mit der seinerzeit aktuellen Version (oder ganz ohne Java) das Verhalten nicht provozieren. > Und vorallem würde mich mal interessieren wie das gehen soll, da Google > ja überhaupt gar kein Java einbettet. Berechtigte Frage. Fakt ist, daß ich die Sachlage in einer virtuellen Maschine exakt so nachvollziehen konnte, wie vom User beschrieben. Java ließ sich als Verursacher deswegen eindeutig identifizieren, weil eben ohne Java oder mit der gepatchten Version nix passierte. Ich habe eigentlich nur deswegen getestet, weil mir das ebenso unverständlich erschien. > Java Plugin != Java, wie ich oben schrieb kann man die "Website" > (eigentlich nur ein Link auf ein Webstart) ganz ohne "das gefährliche > Java" nutzen, nur leider scheint das einige "Sicherheitsexperten" zu > überfordern zu differenzieren zwischen Java, einer konkreten > Implementierung von Java (die einen Bug enthält) und einem Browserplugin > welches Java für Websites bereitstellt zu unterscheiden. Erzähl das doch bitte den Usern. Was tut ein normaler User, der in irgendeiner Form Java benötigt? Richtig, er lädt sich die Runtime runter und installiert sie. Die Browser-Plugins werden dabei ganz automatisch mit installiert. Daß die Plugins neuerdings per Default blockiert werden, ist den Browserherstellern zu verdanken, die das ganz bestimmt nicht ohne Grund tun.
c.m. schrieb: > apropos youtube - man lernt nie aus… gestern habe ich bemerkt das man > youtube videos per drag&drop vom browser auf vlc schauen kann. da > brauche ich die dinger garnicht erst vorher downloaden :) Aha, und wie kann VLC die Videos abspielen ohne sie herunterzuladen? ;-)
ich brauche sie vorher nicht als dateien im dateisystem zu speichern, sondern kann die youtube url als media uri angeben - jahaaaa die datei wird downgeloadet, aber…
Icke ®. schrieb: > Wie oben schon gesagt, es geht hier konkret um Java Es geht vorallem darum, dass du behauptest Java sei Icke ®. schrieb: > regelmäßig eine der übelsten Sicherheitslücken überhaupt und das ist in der Allgemeinheit einfach falsch, es gibt eine Vielzahl anderer möglicher Sicherheitsrisiken. Icke ®. schrieb: > vielleicht hast du mehr Vertrauen zu Cisco Es geht hier nicht um Vertrauen oder Glauben (außer eben bei Sicherheitsexperten, Antivierenherstellern, Banken und Versicherungen...). Der Cisco Artikel schafft es auch mal wieder Java+Javascript in einen Topf zu werfen. Du hast gesagt das Icke ®. schrieb: > kaum hat man das neueste Update installiert, kursiert für > diese Version schon wieder ein Exploit Und nur das hätte ich gerne aus erster Hand belegt. Keine ominösen Statistiken, keine Artikel aus zweiter/dritten Hand, sondern harte Fakten: Java Update -> Kritischer Exploit in dieser Version Sollte sich ja Anhand des Changelogs einfach belegen lassen. Icke ®. schrieb: > Erzähl das doch bitte den Usern. Mach ich auch wenn man mich fragt. Da ich differenzierte Information dem unqualifiziertem Rundumschlag vorziehe.
:
Bearbeitet durch User
Läubi .. (laeubi) (Moderator) schrieb: > Icke ®. schrieb: >> Gib mal Java als Suchbegriff auf heisec.de ein, das spricht schon Bände. > Lass ich nicht gelten, das gleiche gilt für jedes andere Programm... > siehe oben. Nachplappern kann jeder. Du hast die Behauptung aufgestellt, > also gehe ich davon aus das du das auch konkret mit Links auf z.B. > Bug-Reports/Sicherheitsankündigungen belegen kannst und nicht nur vom > Hörensagen aus dritter, vierter Hand oder nebulösen "such mal nach"... "Plappern" die etwa auch nur nach? http://www.heise.de/security/meldung/BSI-warnt-vor-hochkritischer-Java-Luecke-1677249.html "Java 7 Update 21 stopft Sicherheitslücken und beschränkt Applets" http://www.heise.de/security/meldung/Java-7-Update-21-stopft-Sicherheitsluecken-und-beschraenkt-Applets-1843271.html Welcher Dummkopf ignoriert denn solche Meldungen hier? Man muss bei Java nicht lange suchen um KONKRETE Hinweise auf Sicherheitslegs zu finden.
Läubi .. schrieb: > es gibt eine Vielzahl anderer möglicher Sicherheitsrisiken. Nochmal, das bestreite ich nicht. Im oben verlinkten Artikel steht allerdings: Zitat: "The Cisco 2014 Annual Security Report found that Java represented 91 percent of all Indicators of Compromise (IOCs) in 2013." Kann man bei einem Anteil von 91% davon sprechen, daß Java EINE der übelsten Sicherheitslücken ist, ja oder nein? > Der Cisco Artikel schafft es auch mal wieder > Java+Javascript in einen Topf zu werfen. Das ist nur deine Interpretation. Javascript wird lediglich als eines der der Kettenglieder genannt, die letztlich den User zum Exploit hinführen. Mit den 91% hat das nichts zu tun. >> kaum hat man das neueste Update installiert, kursiert für >> diese Version schon wieder ein Exploit > Und nur das hätte ich gerne aus erster Hand belegt > ... > Java Update -> Kritischer Exploit in dieser Version Du bist schon in der Lage, Metaphern zu erkennen, oder? Gemeint ist selbstverständlich eine verhältnismäßig kurze Zeitspanne zwischen dem Release einer gefixten Version und dem Bekanntwerden einer neuen Lücke bzw. der Herausgabe wiederum gefixter Versionen. Zum Beispiel: (Quelle: http://en.wikipedia.org/wiki/Java_version_history#Java_7_updates) Java SE 7 Update 11 2013-01-13 Java SE 7 Update 13 2013-02-01 (50 security fixes) Java SE 7 Update 15 2013-02-19 (5 security fixes) Java SE 7 Update 17 2013-03-04 (2 security fixes) Java SE 7 Update 21 2013-04-16 (42 security fixes) Vier Updates zum Update in 3 Monaten mit 99 geflickten Löchern...
Hallo zusammen, wie überall geht es doch darum was mit Java "erledigt" werden soll und was nicht. Für den Firefox bietet sich z.B. das Plugin "NoScript" an, damit lassen sich für bestimmte Websites ganz gezielt die Skripte freigeben, die benötigt werden um eine Seite zu besuchen und aktiv oder dynamisch Inhalte zu liefern. Wenn ich schon sehe welche Skripte von Twitter, Facebook oder anderen Datensammlern wie adcash.com, doubleclick.net usw ausgeführt werden, wenn ich so manche Seite im Netz aufrufe, dann frage ich mich was ich ohne Facebook- und ohne Twitter-Account denen eigentlich meine Daten zur Verfügung stellen muss. Denke da an die ehemalige Verbraucherschutzministerin Frau Aigner, deren Aufgabe es gewesen wäre diese automatisierten Datensammlungen abzustellen und nicht indem die User aufgefordert werden den Facebook-Account zu kündigen. Java an sich ist nicht das Hauptproblem, sondern es sind die Java-Plugins der Browser, die als Einfallstore für Viren benutzt werden. Außerdem gehört nach wie vor zu jedem Virenbefall des Rechners auch immer ein User der auf alles klickt (Sexy.jpg usw).
Detlev E. schrieb: > Hallo zusammen, kann es sein das du java, javascript und das "ausblenden bekannter erweiterungen" von windows wild und zusammenhanglos durcheinanderwürfelst? > Java an sich ist nicht das Hauptproblem, sondern es sind die > Java-Plugins der Browser, die als Einfallstore für Viren benutzt werden. näh. es sind sämtliche dateneingaben in einen rechner die als einfallstore für schadsoftware benutzt werden.
Vielleicht sollte man mal differenzieren: Browser-Plugins sind in der Regel immer gefährlich. So wie auch Browser gefährlich sind. Weil beide nunmal allen möglichen und unmöglichen Angriffen aus dem Internet ausgesetzt sind. Meist sind die Plugins in C/C++ programmiert und da muss man sehr aufpassen was man tut. Da das in der Regel vom normalen Programmierer nicht geleistet werden kann. Ich zitiere hier mal frei nach Andy Bogk "Es gibt etwa 3-4 C-Gurus auf der Welt die dauerhaft sicheren C-Code schreiben können und ihr gehört mit Sicherheit alle nicht dazu". So ist das auch mit dem Java-Plugin, der ist nämlich auch nicht in Java geschrieben sondern in C++. Und deshalb enthält es auch sehr viele Fehler. Nicht ganz so schwere und üble Fehler wie "ActiveX" die Microsoft-Variante dazu, aber doch auch schon sehr viele. Letzten Endes ist die Java-Runtime auch wiederum in C/C++ geschrieben, was es also auch nicht unsicherer machen kann als C/C++. Die ganzen Fehler die da in der Runtime und den Plugins gepatcht werden sind also eigentlich C++-Fehler. Wie auch immer, derzeit gibt es leider keine Programmiersprachen die alles hergeben. Mein Rat wäre: Finger weg von Browser-Plugins. Java-Applikationen als solches sind sicher und auch im Enterprise-Umfeld deshalb die führende Lösung. Genauso können auch C/C++ Applikationen sicher programmiert werden, nur bekommt das halt kaum ein Mensch hin.
garst schrieb: > > Mein Rat wäre: Finger weg von Browser-Plugins. weiter oben wurde vorgeschlagen der TO solle doch das .jar file downloaden und lokal ausführen. nuja, so ein programm wird dann natürlich nicht über ein browser plugin, dessen sandbox-restriktionen man möglicherweise umgehen könnte, gestartet, das ist schon richtig - aber das programm kann dann halt auch, wie jedes andere programm, ungehindert aufs dateisystem zugreifen und tcp-verbindungen aufmachen. wie gesagt, unsicher ist alles. und "finger weg von browser plugins"… da muss ich echt lachen. so ziemlich alles was "browsen" heute ausmacht sind plugins - die sind z.t. schon so fester bestandteil das man sie gar nicht mehr als solche wahrnimmt - "bilder in einer html-seite anzeigen" z.b. und nicht lachen, es gab auch schon bugs in renderengines von bildern http://technet.microsoft.com/en-us/security/bulletin/ms04-028 > Impact of Vulnerability: Remote Code Execution > Maximum Severity Rating: Critical
c.m. schrieb: > garst schrieb: >> >> Mein Rat wäre: Finger weg von Browser-Plugins. > > wie gesagt, unsicher ist alles. und "finger weg von browser plugins"… da > muss ich echt lachen. so ziemlich alles was "browsen" heute ausmacht > sind plugins - die sind z.t. schon so fester bestandteil das man sie gar > nicht mehr als solche wahrnimmt - "bilder in einer html-seite anzeigen" Genau deswegen brauchst Du doch nicht noch mehr Programmcode der wieder Fehler enthält oder? Gut, man kann der Meinung sein dass es darauf nicht mehr ankommt, aber es hat schon Gründe warum die Dinger meist per Default deaktiviert oder mit Warnhinweisen versehen werden. Wenn man die Historie von ActiveX und Adobe (Reader / Flash) oder Java kennt, dann traut man generell keinen aktiven Browserplugins mehr. Noch dazu traue ich keinem Plugin der nicht im Quellcode zur Verfügung steht. Meine Plugin-Liste ist jedenfalls sehr kurz und bisher kann ich noch alles anschauen / öffnen. Gut ich mach die Dokumente dann halt lieber lokal nach dem Download auf als sie direkt im Browser integriert zu sehen. Das gilt auch für Videos :) Wie auch immer, bevor wir hier off-topic gehen... Ich wollte nur gesagt haben, dass ich kein Problem darin sehe sich eine Java7-Anwendung herunterzuladen, da diese das gleiche Risiko brigt wie jede andere Anwendung. Ich aber definitiv ein Problem darin sehe Java im Browser auszuführen.
garst schrieb: > c.m. schrieb im Beitrag #3542109 >> wie gesagt, unsicher ist alles. > > Genau deswegen brauchst Du doch nicht noch mehr Programmcode der wieder > Fehler enthält oder? ja richtig, völlige zustimmung. aber auf java herumzuhacken während "jeder" flash benutzt (und keiner sich das oben gepostete video darüber anschaut:) finde ich realitätsfremd. gut, das ist wahrscheinlich dem umstand geschuldet das man flash mehr benutzt und java eher garnicht. ich persönlich halte es so wie du sagtest: alles raus aus dem browser was nicht drin sein muss, und schließt neben java auch flash ein. p0rnos kann ich natürlich trotzdem schauen (wo ein wille ist da ist auch ein weg!). zurück zum TO: könntest du den krempel evtl in einer vm laufen lassen?
HaraldDräger schrieb: > Frage: In wie weit ist die Benutzung von Java7 auf einem WinXP-Rechner > (bis jetzt immer die neusten WinUpdates installiert) wirklich ein > Sicherheitsrisiko? Windows XP wird da immer mehr zur Schwachstelle werden. Besonders ab April. Schon an ein Upgrade gedacht?
Läubi .. schrieb: > Und vorallem würde mich mal interessieren wie das gehen soll, da Google > ja überhaupt gar kein Java einbettet. Möglicherweise war ein prefetch der verseuchten site die Ursache. Allerdings weiß ich nicht genau, ob dadurch tatsächlich Java-Code ausgeführt werden kann - selbst bei JS scheint es, mangels Standardisierung, von der jeweiligen Browserimplementierung abzuhängen. http://stackoverflow.com/questions/10603489/rel-prerender-prefetch-does-it-execute-js
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.