詐欺ソフトの王と呼ばれたJava の現状
かつて素敵な言語だともてはやされた Java ですが、現在は3つの大きな問題を抱えており、ユーザーからも見放されようとしています。
1. セキュリティホールと情報漏えいの根源になってしまったJava
サーバーでは、 Java Webアプリケーションフレームワーク であるApache Struts が有名でしょう。
大きなセキュリティホールが数か月に一度明らかになっており、更新を怠ったサイトが、数百万人単位での情報漏えいを引き起こしてニュースになったりしています。
Windows などの ウィルス感染の第1位が Javaの脆弱性放置となっており、OSに依存しない Javaは もはや ハッカーの格好の攻撃の的になっています。
こちらも数か月単位で深刻な脆弱性が発表されていますが、Windows Update のように毎月更新していればこんなことにならなかったはずです。
どうしてこうなったのでしょう?
2. Oracle は Java の 詐欺ソフトをバンドルすることで利益を上げた。一方ユーザーが Update を信頼しなくなった
Java のアップデータには Mcafee セキュリティスキャンや Ask Toolbar がバンドルされています。
Mcafee のスキャンソフトはまだしも、 Ask Toolbar はフォイストウェアと呼ばれる詐欺ソフトの類です。
アップデート: Ed Bott氏がJavaを新しい「フォイストウェア」の王に任命
このサイトが一番詳しいと思います。
これが意図せずインストールされたものならば、すぐにコントロールパネルを開いて削除しようとする。ところが、コントロールパネルを開いても、Askツールバーは見つからない。しかし、Askツールバー(のインストーラー)は10分経ってから実行されるので、プログラム一覧に現れるのは10分後だ。この動作について私が唯一考えられる説明は、このプログラムをユーザがアンインストールするのを難しくしようとしているということだ
Javaのアップデートの度に、追加のソフトウェアのインストールをオプトアウトしなければなりません。もしあなたが忙しいか、気が散っていたか、Javaの「推奨」を信じるほどあまり経験のない人だったならば、自分のPCに不要なソフトウェアをインストールすることになるでしょう。 Ask.comのサーチページの検索結果はあまり良くありません。誤解を与え、違法となるかもしれない技術を使い、本質的な検索結果の代わりに、ページを訪れた人をだまして、有料の広告をクリックするようにします |
Java のアップデートしてバンドルされている検索ツールバーを使うと、偽セキュリティソフトなどのマルウェアのリンクが表示されて感染しようとする。素敵仕様です。
何のためのセキュリティアップデートでしょうか?
これでは、ユーザーはアップデートしたくなくなります。
サーバー管理者も、クライアントPCにJavaを強制的にアップデートさせるように設定したいところですが、アップデートを自動化するとマルウェアまで導入されてしまう…これは、致命的問題です!
3. セキュリティを重視しない Oracle
Java のセキュリティが見つかっても、スケジュールを重視し、なかなか緊急の更新は行わない Oracle。
他企業からの指摘があっても、修正する技術がないのか、放置したままのセキュリティホールもありました。
Sun から Oracle になって、 バージョンが上がるたびに Java のセキュリティホールは増える傾向にあります。
新しいセキュリティコンポーネントにセキュリティ上の実装脆弱性が見つかったり、Javaの信頼性が危うい事態になっています。
オラクルの企業体質がこうしてるようにしか見えないのですが、こんなJavaに未来はあるのでしょうか?
オラクルに、セキュリティという概念はあるのかと・・・。
オラクルに、セキュリティという概念はあるのかと・・・。
Javaで開発するのに嫌気さしているんですが、代わりになるような言語が登場してないのが…(x_x)
Javaで開発するのに嫌気さしているんですが、代わりになるような言語が登場してないのが…(x_x)
>>アップデートを自動化するとマルウェアまで導入
もうね、アホかと、バカかと。
>>アップデートを自動化するとマルウェアまで導入
もうね、アホかと、バカかと。
脆弱性はわざと入れているのは
某国の諜報機関からの要請という噂。
脆弱性はわざと入れているのは
某国の諜報機関からの要請という噂。