Android 台灣中文網

標題: 甲骨文公佈Java資安改善計劃 [打印本頁]

作者: 游幃翔 時間: 2013-6-3 17:50
標題: 甲骨文公佈Java資安改善計劃
甲骨文決定從今年十月開始，Java將遵循甲骨文的修補更新計劃，與公司其他產品一樣每季釋出一次。但甲骨文仍會視情況釋出緊急修補程式。甲骨文並揭露了下一版Java更新在資安上的可能修改。

甲骨文（Oracle）負責Java平台系統開發的工程副總裁Eric P. Maurice表示將加強改進Java的安全性，並宣布將改變applet的簽署與執行方式、改變擴充軟體的安全屬性設定，以及數位憑證的驗證。

Eric P. Maurice指出，近期Java的資安問題主要集中在瀏覽器環境中，甲骨文在定期維護與多次釋出的緊急修復程式中，主要修復大量自1997年累積至今的Java漏洞。甲骨文決定從今年十月開始，Java將遵循甲骨文的修補更新計劃，與公司其他產品一樣每季釋出一次。但甲骨文仍會視情況釋出緊急修補程式。

甲骨文還準備提升Java開發相關的軟體安全政策與處理方式，讓Java從程式碼底層預防漏洞的產生，包含增加自動安全檢查工具、定期大範圍檢測程式碼，還利用先進的工具如模糊測試工具程式，來檢測某些類型的漏洞。

未來隨著JDK 7 Update 21釋出之後，Java將有三項重大修正：首先是修改已簽署applet的執行方式。過去簽署applet一定要提高應用的權限，該版更新之後只需建立簽署者的身份，不需再增加任何的權限，因此，現在並不一定要到沙箱之外才能夠執行已簽署的applets。而且使用者可以禁止未簽署的applet執行。

其次是改變擴充軟體的安全屬性設定，阻止自我簽署或未簽署的applet執行。由於這可能會影響到大部份的使用者，因此甲骨文強烈建議企業組織，如果網站內含未簽署的Java applets，務必要根據說明文件簽署這些applets。

第三，甲骨文承諾修改憑證檢驗的方法，除了目前修正為主動更新JAR檔案與憑證的黑名單之外，未來會預設開啟憑證撤除列表（CRL）與線上憑證狀態協定（OCSP）為開啓。

另外甲骨文也發現有漏洞會影響到Java伺服器，因此決定在JDK 7 Update 21新增Server JRE發行模式，把釋放給伺服器使用的程式跟一般用戶的作為區分。

近年來Java的安全性出過不少狀況，Java 7推出後更是狀況連連，甚至讓蘋果、Facebook等企業也遭波及，今年初還被美國國土安全部（Department of Homeland Security）旗下的美國電腦緊急應變小組（US-CERT）建議關閉棄用。甲骨文雖然多次釋出緊急修補程式，但新的漏洞仍持續被發現，密集修補漏洞造成Java開發團隊人力短缺，導致Java 8延期推出。（編譯/沈經）
來源 .ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您\*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入群組內的 "韓流瘋"及" 爆爆遊樂園",
韓流瘋及爆爆遊樂園不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享福利帖】
(第133波大放送) : 人人回帖有獎勵
(第132波大放送) : 人人回帖有獎勵
(第131波大放送) : 人人回帖有獎勵
(第130波大放送) : 人人回帖有獎勵
(第129波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>

**以上報告完畢**
如果可以的話,幫我評個分數或是送一多花給我^^
您的評分與鮮花,是我下次再發帖的原動力
謝謝~
====================================================
2013/06/03 By 游幃翔

歡迎光臨 Android 台灣中文網 (https://apk.tw/)