Sicherheit
Montag, 16.3.98, 0:14
Neue Sicherheitskonzepte in JDK 1.2
Laut c|net plant SUN neue Sicherheitskonzepte mit dem JDK 1.2 einzuführen. Nachdem in der Version 1.0 Applets lediglich innerhalb der "Sandbox" residieren durften und demnach vielen Einschränkungen unterworfen waren, kann man beim JDK 1.1 signierten und damit vertrauenswürdigen Applets den Austritt aus der "Sandbox" erlauben - allerdings nur komplett. Mit dem JDK 1.2 sollen nun verschiedene Freigabe-Abstufungen möglich werden
c|net ... (Christoph Bergmann)
Dienstag, 6.1.98, 14:58
Digitale Unterschriften mit Java
Die renommierte KC Multimedia Group veröffentlicht mit JDSS eine Applikation in Java, die es gestattet, sämtliche Dokumente mit digitalen Unterschriften zu versehen. Die Software verfügt über eine eigene Schlüsselverwaltung für Sender und Empfänger.
In Deutschland sind bereits Anfänge mit dem Signaturgesetz getätigt.
KC Multimedia Group ... (Marco Weber)
Dienstag, 5.8.97, 19:45
SSL-Verschlüsselung in Java
Eigentlich sind die Netscape Browser und Server ja von Hause aus mit einer leistungsfähigen Verschlüsselung ausgestattet, der "Secure Socket Layer"-Verschlüsselung, kurz SSL. Aufgrund des durchaus diskussionswürdigen Exportverbot von Verschlüsselungstechniken der USA, darf Netscape seine Programme nur mit der relativ schwachen Schlüssellänge von 40 Bit exportieren.
Das schafft Raum für Nischenprodukte: JCP, eine englische Computerfirma hat nun SSL komplett in Java nachprogrammiert...
JCP
Mittwoch, 25.6.97, 17:19
Fehler in der Implementierung des JDK 1.1.2
Die Forscher an der Washingtoner Universität haben einen Fehler in der Implementation der Java VM des JDK 1.1.2 gefunden, der es einem bösartigen Applet erlaubt, den Adressbereich eines Browsers abzusuchen und damit Daten, die eigentlich nicht zugänglich sein sollten, auszuspähen.
Allerdings tritt der Fehler nur in der neuesten Version des JDK auf und bisher nur im "HotJava"-Browser von SUN selbst. Die Browser von Netscape oder Microsoft sind nicht betroffen.
SUN
Mittwoch, 11.6.97, 19:36
Netscape und VeriSign schliessen Abkommen zum sicheren Download von Java Applets
Netscape und VeriSign haben ein Abkommen geschlossen um das Download von Java Applets sicherer zu machen. Mithilfe VeriSign's Digital ID Technologie kann überprüft werden, von wem das Java Applet stammt und ob es während des Transports verändert wurde. Netscape's neuer Communicator zeigt dies dem Benutzer dann, mitsamt den Möglichkeiten die das Applet gerne hätte, an. Dieser kann dann über das Ausführen entscheiden.
Infoworld
Dienstag, 20.5.97, 17:25
Fehler in der "Java Byte Code Prüfung" entdeckt
Ein Team von Computerwissenschaftlern an der "University of Washington" hat einen Fehler in dem Teil der "Java virtuellen Maschine" entdeckt, der den Byte Code überprüft. Beim Füttern des "Byte Code Verifiers" mit zufällig gewählten Bytefolgen kann es zu einem Stack-Überlauf und damit zum Absturz der JVM führen. Ein Sicherheitsrisiko stellt das zwar erstmal nicht dar, nichtsdestotrotz hat SUN natürlich einen Bug-Fix entwickelt.
JavaSoft
Dienstag, 29.4.97, 17:42
Sicherheitslücke im JDK 1.1 entdeckt!
Die Forscher an der Princeton Universität waren mal wieder die schnellsten: Sie haben einen schwerwiegenden Fehler im JDK 1.1.1 aufgedeckt!
Ansatzpunkt ist das Signieren von Applets - in der neuen JDK-Version ist es möglich Applets als "vertrauenswürdig" zu kennzeichnen. Diese dürfen dann mehr als gewöhnliche Applets. Durch die Sicherheitslücke kann jedoch auch ein nicht vertrauenswürdiges Applet in diesen Status gelangen. Dies sogar relativ einfach, indem es sich die Liste aller vertrauenswürdigen Applets holt und sich selbst dann umbenennt.
Auch im HotJava-Browser von SUN wirkt dieser Fehler, andere aktuelle Browser, wie der Netscape Communicator, sind aber nicht betroffen, da sie z.Zt. noch keine Signierung unterstützen.
Laut SUN ist der Fehler in der nächsten JDK-Version 1.1.2 behoben.
Princeton University
Sonntag, 27.4.97, 0:54
RSA entwickelt Sicherheitsprogramme in Java
RSA, allgemein anerkannte Experten für Verschlüsselungstechniken, wird sein bestehendes "BSafe Toolkit" in Java umsetzen. "JSafe", so der Name der Java-Version, erweitert damit Java um eine Reihe wichtiger Sicherheitskonzepte, z.B. Verschlüsselung mit öffentlichen oder privaten Schlüsseln oder Erzeugung digitaler Signaturen.
Die Verfügbarkeit dieser Sicherheitstechniken wird als wichtige Grundlage für kommerzielle Anwendungen, wie z.B. der direkten Bezahlung über das Internet, eingeschätzt. JavaSoft arbeitet an einer API, die in Zukunft den Zugriff auf solche Verschlüsselungsprogramme ermöglicht.
PC Week Online
Mittwoch, 13.11.96, 1:09
Fehler in Java VM bei hoher Last?
Bei der Entwicklung einer richtig grossen Datenbank für Pacific Bell, das unter anderem deren Firmentelefon-Verzeichnis enthält, sind Programmierer der Firma Presence Information Design angeblich auf zwei Fehler in Java's virtueller Maschine (VM) gestossen. Diese Fehler, der eine in der Thread-, der andere in der Speicher-Verwaltung, wurden erst jetzt entdeckt, da sie nur unter extrem hohen Anforderungen auftreten.
JavaSoft hat diese Fehler in der nächsten Java-VM-Version 1.1 bereits korrigiert. Presence hat den Fehler mit einem Patch umgangen und ist mit der Datenbank inzwischen online gegangen...
TechWire
Dienstag, 27.8.96, 3:50
Java-Decompiler "Mocha" beunruhigt Java-Software-Entwickler...
Hanpeter van Vliet hat "Mocha", den ersten Java-Decompiler entwickelt, mit dem man compilierte und damit relativ gesch¸tzte Java-Programme und -Applets in Quellcode r¸ck¸bersetzen kann. Ein Tool, das es f¸r nahezu alle anderen Programmiersprachen gibt, beunruhigt nun den entstehenden Java-Software-Markt. Schliesslich k–nne man mit "Mocha" einfach fremde Programme benutzen. Zumindest f¸r gr–ssere Projekte ist das kaum m–glich, da jegliche Kommentarzeilen fehlen und sich somit wahrscheinlich der eigentliche Programmautor kaum darin zurechtfinden d¸rfte. F¸r Applets sieht die Gefahr schon gr–sser aus.
Aus diesem Grund hat van Vliet das Download von "Mocha" erst einmal gesperrt!
van Vliet
Dienstag, 30.7.96, 4:33
"Anti-Virus" f¸r Java-Applets entwickelt
Die israelische Firma "Finjan Software" hat eine Art "Anti-Virus" f¸r Java-Applets entwickelt. Ÿhnlich einer Anti-Virus-Software enth”lt das Programm namens "SurFinBoard" eine Datenbank, die verd”chtige Applets enth”lt.
PCWeek
Freitag, 26.7.96, 11:05
Digitale Zertifizierung f¸r Java
SUN plant ein Upgrade des Java Entwicklungssystems, das u.a. die Kennzeichnung und Pr¸fung von Java Applets auf Authenzit”t erlaubt.
Damit kann sichergestellt werden, dass es sich bei einem Applet auch wirklich um das angegebene handelt und nicht etwa um eine Art "trojanisches Pferd" - also um ein Programm, das vorgibt etwas anderes (N¸tzliches) zu sein.
Damit setzt SUN noch eine Sicherheitsstufe auf die schon bestehenden drauf...
c|net
Freitag, 26.7.96, 10:36
Firewall-System entwickelt, das Java-Applets sperrt
"Trusted Information Systems" hat eine Firewall-Software entwickelt, die Usern innerhalb eines -durch den Firewall gesch¸tzten- Netzes den Zugriff auf Applets ausserhalb verbietet.
TIS antwortet damit auf Sicherheits-Ÿngste bei deren Kunden.
c|net
Dienstag, 18.6.96, 21:43
Neueste Java-Sicherheitsl¸cke geschlossen
Die von David Hopwood gefundene Sicherheitsl¸cke ist, laut Sun, geschlossen worden.
Um die Sicherheit von Java zu erh–hen hat Sun weiterhin zwei Teams, bestehend aus Sicherheitsexperten, gebildet.
JavaSoft
Dienstag, 11.6.96, 18:16
Neue Java-Sicherheitsl¸cke
David Hopwood, ein Forscher an der Oxford Universit”t hat eine neue M–glichkeit gefunden, Java auszutricksen. Durch das Laden zweier Applets von verschiedenen Servern, kann man die Java-Typenpr¸fung umgehen und damit auf private Variablen und anderes zugreifen. Sun arbeitet an einer L–sung des Problems und Netscape will ein Update seines Browsers innerhalb der n”chsten Wochen rausbringen.
David Hopwood