Wydarzenia ostatniego czasu pokazały, że Java jest bardzo podatna na ataki, a luki w bezpieczeństwie potrafią być krytyczne. Pomimo, że Oracle oficjalnie załatało wszystkie błędy i wydało aktualizację zabezpieczeń, to eksperci twierdzą, że to wciąż za mało.
Pisaliśmy niedawno o wydaniu aktualizacji bezpieczeństwa Javy przez firmę Oracle w wyniku znalezienia poważnej luki w bezpieczeństwie. Pomimo dość szybkiej i sprawnej reakcji Oracle na zaistniałą sytuację, krytycy wciąż krzyczą, że Java nie jest dość bezpieczna, a wydane uaktualnienie jest prowizoryczną łatką, bowiem zdaniem ekspertów twórcy mają przed sobą jeszcze długą drogę do załatania wszystkich dziur w bezpieczeństwie. Niektórzy twierdzą, że pomimo nowej wersji Javy, użytkownicy nadal powinni pozostawić ją wyłączoną w opcjach przeglądarki, żeby niepotrzebnie nie narażać się na potencjalne ataki.
Andrew Storms, kierownik działu bezpieczeństwa w firmie nCircle Securty, napisał w mailu, że „Oracle powinno zebrać to, co zostało najlepsze w Javie, a następnie ją całkowicie przebudować zanim wszyscy kompletnie stracą do niej zaufanie.”. Dodał również, że obawy dotyczące bezpieczeństwa przeniosą się z czasem na inne produkty ze stajni Oracle.
Nie mniej krytycznie do sprawy odnosi się Adam Gowdiak, założyciel i prezes zarządu Security Explorations. Gowdiak w swojej karierze wielokrotnie donosił o podatności Javy na ataki, jako pierwszy również wskazał luki w ostatniej aktualizacji, która rzekoma miała usprawniać bezpieczeństwo produktu, a nie dodawać nowe furtki dla hakerów. Zdaniem prezesa Security Explorations, Oracle powinno pójść tą samą drogą, którą poszła firma Microsoft prawie 10 lat temu, czyli po prostu ustalić bardziej rygorystyczny plan aktualizacji, wprowadzania poprawek i dbania o bezpieczeństwo. Gowdiak stwierdził dość krótko, że obecny cykl aktualizacji ograniczający się do trzech poprawek w roku nie jest w stanie ochronić prywatności użytkowników oraz zapewnić im wystarczającego poziomu bezpieczeństwa.
Storms również nie szczędził słów i dał jasno do zrozumienia, że „Oracle powinno się wreszcie obudzić i nauczyć jak projektować aplikacje z myślą o bezpieczeństwie”.
Podobnego zdania są również inni eksperci – wszyscy zgadzają się, że Oracle musi wprowadzić nowy system aktualizacji, skupić się na wprowadzaniu łatek bezpieczeństwa i przebudować dość mocno Javę tak, aby mogła sprostać wszystkim wymaganiom. Nie będzie to łatwe, ale wydaje się niestety konieczne.
