Bezpieczeństwo nade wszystko? Coraz trudniej korzystać z Javy na Makach

O całej sprawie autor tej notki dowiedział się bezpośrednio odwieloletniego użytkownika komputerów Apple'a. Rozmawialiśmy ozastosowaniu w jego serwisie internetowym wyszukiwarki. Padłasugestia, by sięgnąć po ApacheSolr/Lucene, wraz z wyjaśnieniami, że wymaga to uruchomieniadodatkowego serwera ze stosem Javy. Użytkownik sprzętu Apple'a, gdytylko usłyszał słówko „Java”, ze smutkiem stwierdził, że tonie wchodzi w grę, bo Java już na Makach nie działa. Kilkanaście minut zajęło wyjaśnianie, że ta Java ma działaćna serwerze i nie ma nic wspólnego z tym, co otrzyma internauta wprzeglądarce, a przy okazji wyszło, że faktycznie – dla typowegoużytkownika Maka desktopowa Java (a przynajmniej webowe aplety Javy)od kilku tygodni przestały istnieć. Co się stało? O problemach Oracle'a z właściwym zabezpieczeniem Javy wiemy nieod dzisiaj. Nie ma praktycznie miesiąca, by nie pojawiała sięjakaś luka w bezpieczeństwie tego środowiska uruchamianiaprzenośnego kodu. Co prawda Oracle obiecuje, że to się zmieni.Przygotowywany na połowę lutego ogromnyzestaw poprawek, eliminujący 50 podatności na atak (w tym 26podatności ocenionych na najwyższym poziomie CVSS – 10.0), zostałwydany poza harmonogramem. Być może to na razie wystarczy, aleApple dobrze pamięta, jak właśnie wskutekluki w Javie prysł wiele lat utrzymywany mit o „wrodzonym”bezpieczeństwie komputerów z Jabłuszkiem.Tym razem w Cupertino zdecydowano się dmuchać na zimne: gdytylko w styczniu pojawiły się doniesienia o kolejnej podatności wJavie, Apple zdalnie wyłączyło ją użytkownikom Maków.Wykorzystano do tego narzędzie XProtect (File Quarantine),wprowadzone do systemu OS X wraz z pierwszymi wersjami beta SnowLeoparda (OS X 10.6). [img=javaskull]Bezpieczeństwo rzecz ważna, ale najwyraźniej Java wprzeglądarce wciąż dla wielu ludzi jest ważnym elementem ichcyfrowego życia. Na forach dyskusyjnych zrobiłosię głośno. Przypominano, że liczne aplikacje biznesowe inaukowe zostały napisane właśnie w Javie. Wyłączenie tegośrodowiska uruchomieniowego, tylko dlatego, że gdzieś tamzgłoszono podatność na atak (ale bez gotowego exploitu), wieluuznało za grubą przesadę. Nieliczni jedynie próbowali bronićApple'a, sugerując, że w naszych czasach trzeba sobie znaleźćinne sposoby realizacji swoich zadań,porównując np. wykorzystywanie wtyczki Javy w serwisach bankowościonline do zamykania sejfu za pomocą staromodnego klucza.Wygląda na to, że XProtectbędzie blokował Javę na Makach przynajmniej do następnejaktualizacji od Oracle'a. Dotknięci decyzją Apple'a użytkownicymogą (na własną odpowiedzialność) skasować plik konfiguracyjnytego narzędzia, a potem wyłączyć automatyczną aktualizację jegolisty. Można też ręcznie przeedytować plik/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist,zmieniając w nim numery dopuszczonych wersji Javy, zgodnie z opisemdostępnym tutaj.Cóż, jednego jesteśmy pewni:gdyby coś takiego zrobił Microsoft, blogosfera nie zostawiłaby naRedmond suchej nitki. Apple ma w tym świecie jakoś łatwiej.