Java sur Mac se traine des failles depuis six mois

Moonwalker [20/05/2009 00:37] (effacer) (editer)

Effectivement, pas très sérieux...

desertea [20/05/2009 00:47] (effacer) (editer)

Ca tombe bien je n'utilise pas Safari !!!


Il bugge sur pleins de sites, les accros diront qu'il fait un super score à ACID !!
Pas de plug'in
Et en plus c'est une passoire !!!

misterbrown [20/05/2009 00:53] (effacer) (editer)

MOuais.. ca fait frémir dans les chaumières.

shenmue [20/05/2009 01:15] (effacer) (editer)

@Desertea:"Il bugge sur pleins de sites"

Ben j'ai du bol alors...aucun problèmes...
Mais bon, légende urbaine tousssaaaaa...

Sinon quand on voit le nombre REEL d'attaques contre les macs, c'est sûr que c'est pas très sérieux de la part d'Apple mais OSEF quoi...

Moonwalker [20/05/2009 01:19] (effacer) (editer)

@desertea : et ton cerveau, tu l'utilises parfois ? Désactive déjà le mode Troll.

Avant de sortir ton tissu d'ânerie sur Safari tu aurais mieux fait d'aller expérimenter le proof of concept.

Ça n'a rien à voir avec le navigateur, c'est Java sur Mac OS X qui est en cause. Tout navigateur utilisant Java est concerné.

Mais bon, chez toi on est pas près de combler la faille béante entre tes deux oreilles.

lol51 [20/05/2009 01:19] (effacer) (editer)

desertea > Pas le troll, pas mal.

lol51 [20/05/2009 01:23] (effacer) (editer)

Euh.. pour les septiques, la faille est quand même gravissime là..

Kalki [20/05/2009 01:28] (effacer) (editer)

Légende urbaine ?

Bah testez donc la preuve de concept...
-1 pour Apple pour ce coup ci...

moitoi [20/05/2009 02:47] (effacer) (editer)

Au lieu de débourser quelque dollar dans une pub Get a Mac, ils auraient pu l'utiliser dans la correction de cette faille.

Là, c'est la contre pub de Microsoft qui marque un point !

supersim0n [20/05/2009 03:27] (effacer) (editer)

Faut-il seulement désactiver java ou il faut aussi le faire pour javascript et les plugins?

merci

p.s. Je songe à ne pas acheter un mac la prochaine fois. j'ai le goût d'être un utilisateur libéré par kubuntu dans un Acer! :P

imonamac [20/05/2009 04:51] (effacer) (editer)

Java et Javascript ca n'a rien a voir du tout.
Java fonctionne avec une machine virtuelle.

sache [20/05/2009 07:39] (effacer) (editer)

c'est dangereux on est obligé d'enlever Java? parce pour moi c'est n outils quotidien

pilou83 [20/05/2009 08:56] (effacer) (editer)

@ Moonwalker. Pourrais-tu employer un ton un peu moins méprisant ? On se demande pour qui tu te prends pour traiter aussi gratuitement les gens de crétins !!! Un adolescent boutonneux et gâté, qui croit connaître l'anglais, ou un TROLL, un vrai de vrai, payé par Apple ?
Parce que là, franchement, niveau sécurité, ça craint...

LaurentR [20/05/2009 09:09] (effacer) (editer)

Une chose que je ne comprend pas : si c'est si flagrant et que c'est là depuis si longtemps comment se fait-il qu'il n'y ait pas eu de problèmes déclarés avant Landon Fuller ? Il n'y a peut-être pas que lui à l'avoir découvert ?

codeX [20/05/2009 09:20] (effacer) (editer)

@pilou83. Moonwalker n'a pas tord même si le ton peut déplaire. Quand on a aussi peu de connaissances et/ou compétences sur l'architecture ou la manière dont fonctionne un OS on évite de ramener sa science.

vintz72 [20/05/2009 09:23] (effacer) (editer)

Il serait bon que soit Apple change un peu sa vision de Java sur sa plateforme et se sorte les doigts du c... pour proposer des JVM à jour, régulièrement et avec moins de 6 à 12 mois de retard sur les versions de Sun, soit qu'il laisse faire Sun !

Pour rappel, il n'est pas possible d'avoir une JVM 1.6 pour Tiger sans jouer les geeks, par exemple... Ce problème de sécurité n'apporte sûrement pas d'eau au moulin.

ShowMeHowToLive [20/05/2009 09:25] (effacer) (editer)

Mouais, Java y'a bien longtemps que je ne l'ai plus vu sur un site mais c'est vrai qu'Apple l'a totalement délaissé.

Proudhon [20/05/2009 09:36] (effacer) (editer)

Peut-être que Christophe Laporte aurait du lire TOUT l'article :
je cite :


mais il y a pire : imaginez un bug datant de 2001 qui provoquerait une faille importante dans Macos X server…sauf qu'il ne s'agit pas de Macos X server :
http://blogs.zdnet.com/security/?p=3424


Il faut savoir relativiser…

Bilbo [20/05/2009 09:52] (effacer) (editer)

@Proudhon

Peut-être que tu aurais du lire TOUTE la dépêche. En suivant les liens tu serais arrivé là :
http://landonf.bikemonkey.org/static/moab-tests/CVE-2008-5353/hello.html

Si un site permet de faire causer ton mac sans que tu le lui permettes, je te laisse imaginer ce qu'un fâcheux aurait pu faire.

Apple n'assure pas du tout sur ce coup là.

À+

Gl0ubI [20/05/2009 10:13] (effacer) (editer)

Pour info et en attendant le correctif de Apple...

Je suis allé sur le site pour tester la vulnérabilité, et rien. Normal en fait j'ai activé Java SE 6 (64bits).

Donc pour ceux qu'il l'ont il suffit de l'activer à la place du J2SE 5.0 (bon d'accord il faut un mac avec une puce intel)

CocoaPower [20/05/2009 10:33] (effacer) (editer)

Rien de nouveau. Apple fait n'importe quoi avec Java.
Essayez d'avoir du support sur Java-Cocoa, on vous dira de laisser tomber Java.
Comparez les performances de la JVM de Sun et celle d'Apple, Apple est loin loin derrière.

Psylo [20/05/2009 10:42] (effacer) (editer)

OSX ultra secure, sans virus, pas la même merde que winprout, meilleur système au monde blablabla...
Bien la preuve que malgré ses qualités, chaque OS possède ses lacunes et ses faiblesses.
Là c'est quand même une belle boulette, excusez du peu.
Mais je suis sûr qu'un hardcore fanboy (shenmue, couché...) va nous prouver par A+B que it's not a bug, it's a feature, ou que javasaynulsapu.

BeePotato [20/05/2009 10:53] (effacer) (editer)

@ CocoaPower : « Rien de nouveau. Apple fait n'importe quoi avec Java. »

En effet.

« Essayez d'avoir du support sur Java-Cocoa, on vous dira de laisser tomber Java. »

Non.
On vous dira de laisser tomber Java *pour faire du Cocoa*. Pas de laisser tomber Java tout court.
Et c'est normal, vu que Cocoa-Java est officiellement abandonné depuis des années (depuis la sortie de Tiger), ce qui d'ailleurs n'est pas une mauvaise chose (trop de travail pour maintenir ce pont pourtant très peu utilisé et qui n'était pas une si bonne idée que ça de toute façon).

John Paris [20/05/2009 10:55] (effacer) (editer)

Très mauvais point pour Apple.
(Je vais considérer les publicités Apple sous une autre forme. Juste avec ce fait , on ne peux plus dire qu'ils faisait de l'humoir: Ils sont ARROGANT !)

BeePotato [20/05/2009 10:57] (effacer) (editer)

@ Psylo : « Bien la preuve que malgré ses qualités, chaque OS possède ses lacunes et ses faiblesses. »

C'est tout à fait vrai.

Mais ça ne contredit en rien le fait que Mac OS X est, en effet, plutôt bien sécurisé, qu'il est en effet bien moins pourri que Windows (là, je ne parle pas de sécurité, mais de l'ensemble de l'OS) et qu'il est en effet le meilleur système du monde à l'heure actuelle. ;-P

Tout en ayant ses propres lacunes et faiblesses. Ce n'est en rien incompatible.

lukasmars [20/05/2009 11:03] (effacer) (editer)

Mauvais point pour Apple .
En matiére de correctifs de securité , ils sont toujours les plus longs à fournir des patchs.
J'ai toujours entendu que la célérité, c'etait ce qui differenciais les bon et mauvais éditeurs.
Ils nous avaient fait le coup avec Bind en mettant 24 jours a corriger la faille et c'est repartit avec java ...Là le probleme dure depuis 6 mois ... une paille quoi .

tfoth [20/05/2009 11:31] (effacer) (editer)

Apple n'a simplement aucune politique de sécurité, surtout comparé à Microsoft, qui est très actif en la matière. Mais le système d'Apple reste plus sûr de par sa base Unix, et sa conception récente, avec la remise à plat par rapport au System9 . De son côté, Windows se traîne des failles "conceptuelles" depuis Win95, et ne peut les corriger sans remettre en question tout ce qui est compatibilité avec les systèmes précédents, et du coup doit accumuler les rustines. Ce qui fait que même en portant plus d'attention à la sécurité, Windows est moins sûr que OS X. Lui-même très en retrait comparé à un Unix sérieux, bien sûr.

CocoaPower [20/05/2009 11:39] (effacer) (editer)

@BeePotato

Tu as raisons sur la forme, mais la réponse que j'ai eu est plutôt: "vous pouvez faire du Java, mais ça ne sera pas intégré au Mac et ça pue". Ce que je traduit par: "ne faite pas de java" ;)

vonjos [20/05/2009 12:23] (effacer) (editer)

"@ShowMeHowToLive [20/05/2009 09:25]

Mouais, Java y'a bien longtemps que je ne l'ai plus vu sur un site mais c'est vrai qu'Apple l'a totalement délaissé."

Apple se fout de JAVA c'est sûr, mais il y a plein de sites professionnels qui utilisent cette techno qui est justement cross-plate-forme (son intérêt à la base). Il y a aussi des serveurs d'autorisations ou des petits applets pour uploader/controler des trucs en ligne par exemple. Un applet java se charge souvent sans informer son utilisateur.
Parfois le même type de contrôle effectué sur le serveur central est exécuté via un applet JAVA directement sur une page web.

C'est une techno du début des années 2000 certes mais encore beaucoup utilisée dans le monde professionnel qui peut ainsi réutiliser du code existant (réalisé par des équipes qui n'existent plus).
Par exemple Logmein (l'outil d'accès à distance) la version java fonctionne mieux que la version mac native qui est encore en qwerty.
C'est surtout grâce à JAVA qu'on a vu des sites de + en + compatibles mac au début et puis ils ont été remplacés petit à petit par d'autres technos.
Mais ce que je trouve bizarre c'est la non utilisation de cette faille par des pirates alors qu'elle est là depuis 6 mois. En plus java fait partie des langages qu'on apprend à les écoles informatiques, donc tous les petits "boutonneux" auraient pu s'essayer ... A croire que ce n'est pas si simple.

divoli [20/05/2009 12:47] (effacer) (editer)

Ce n'est pas nouveau; Apple met souvent un temps fou pour proposer des correctifs liés à la sécurité. Apple a déjà de nombreuses fois été pointée du doigt pour cela. Mais là c'est le pompon.

Perso, je trouve que c'est inadmissible; c'est non seulement un manque de respect flagrant pour le développeur en question, mais également un manque de respect pour l'utilisateur qui paye un saladier pour pouvoir utiliser OS X.

Et le fait que Windows soit plus "attaqué" n'excuse en rien l'attitude d'Apple, pas la peine d'essayer de noyer le poisson.

davi18 [20/05/2009 13:06] (effacer) (editer)

Je ne comprends pas pourquoi Apple ne laisse pas Sun s'occuper de Java pour Mac OS X ?

BeePotato [20/05/2009 13:48] (effacer) (editer)

@ CocoaPower : « Tu as raisons sur la forme, mais la réponse que j'ai eu est plutôt: "vous pouvez faire du Java, mais ça ne sera pas intégré au Mac et ça pue". Ce que je traduit par: "ne faite pas de java" ;) »

Et bien c'est une mauvaise traduction.
C'est juste un rappel que, depuis l'arrêt du support de Cocoa-Java, il n'y a plus de solution pour faire du développement pour Mac en Java, puisqu'il n'y a plus d'accès aux API de Mac OS pour Java. Le développement en Java se limite donc à l'utilisation d'autres bibliothèques, comme Swing. Ce qui donne soit des applications qui n'ont rien d'applications Mac (dans la plupart des cas), soit des applications pour lesquelles il a fallu faire beaucoup d'efforts pour qu'elles arrivent à ressembler à peu près à des applis Mac (dans de rares cas).

Donc la bonne traduction du message, c'est : « Vous pouvez bien faire du Java si vous voulez, mais ce sera pour faire des applis pour une plateforme différente, pas de vraies applis pour Mac, donc ne cherchez pas ensuite à vendre vos applis comme des applis Mac. Et si vous voulez au contraire développer des applis Mac, laissez tomber Java, ce n'est pas adapté. »

Bref, Apple ne décourage pas l'usage de Java en soi, juste l'usage de Java pour faire du développement spécifique au Mac.

CocoaPower [20/05/2009 14:37] (effacer) (editer)

@BeePotato

Tu as tout à fait raison. Je me situais plus dans un contexte d'application commerciale.
C'est vrai que rien n'empêche de faire des petits programmes Java sur Mac, tant que les performances ne sont pas nécessaire.

poco [20/05/2009 15:55] (effacer) (editer)

"Gl0ubI [20/05/2009 10:13]

Donc pour ceux qu'il l'ont il suffit de l'activer à la place du J2SE 5.0 (bon d'accord il faut un mac avec une puce intel)"

Comment tu fais çà?

Merci par avance

CocoaPower [20/05/2009 16:27] (effacer) (editer)

@poco:

Applications>Java>Java preferences

Mais contrairement à ce que dit Gl0ubI, la faille est bien dans le "Java SE 6" de Apple (reproduit ici sur 10.5.7).

La version sans faille c'est la version Open-source: OpenJDK6: http://openjdk.java.net/

poco [20/05/2009 16:58] (effacer) (editer)

@ CocoaPower

"La version sans faille c'est la version Open-source: OpenJDK6: http://openjdk.java.net/"

Merci pour l'info, mais peut-on l'installer sur OS X?

CocoaPower [20/05/2009 17:24] (effacer) (editer)

@poco

Le port BSD fonctionne sur Mac. Il est d'ailleurs beaucoup plus rapide que la version d'Apple.

Par contre faut tout compiler à la main, je te ne le conseille que si tu es programmeur Java.

banane pourrie [20/05/2009 18:10] (effacer) (editer)

Citation du Petit Robert:

malicieux, ieuse [malisjø, jøz] adjectif
étym. milieu XIIe ◊ latin malitiosus « méchant »
Famille étymologique ð mal
v

■ Qui a de la malice.
1 Vx. mauvais, méchant.
2 (1690) Mod. Qui s'amuse, rit volontiers aux dépens d'autrui. è coquin, espiègle, farceur, malin, moqueur, railleur, taquin. Enfant malicieux. Avoir un esprit vif et malicieux.
▫ Par ext. Œil, regard, rire, sourire malicieux. è narquois. Réflexion, réponse malicieuse. 1. piquant.
v

■ contraires : 1. Bon, candide. 1. Naïf, niais.

banane pourrie [20/05/2009 18:12] (effacer) (editer)

Citation du Robert & Collins:

malicious
1 adjective
person méchant
talk, rumour, attack, phone call malveillant
smile mauvais
malicious gossip : médisances fpl
with malicious intent : avec l'intention de nuire
2 compounds
malicious falsehood noun Law : diffamation f
malicious wounding noun Law : » coups mpl et blessures fpl volontaires

malicieux means `mischievous', not malicious.

banane pourrie [20/05/2009 18:16] (effacer) (editer)

Pour être clair: si vous pouviez utiliser une traduction valide de 'malicious', qui se traduit en français par 'malveillant' (et à moins que vous insistiez pour utiliser une acception moyenâgeuse du terme 'malicieux'), ça ne rendrait MacGénération que meilleur. À bon entendeur...

Claude Pelletier [20/05/2009 18:23] (effacer) (editer)

@ LOL51

www.retourneaucm1.com/index.php?2005/11/16/43-vous-etes-sceptiques-sur -l-orthographe-de-septique - 31k -

Faille septique !
Fosse septique !
mais
Réaction sceptique !

bertol65 [20/05/2009 20:46] (effacer) (editer)

Questions d'un non connaisseur : ça sert à quoi exactement Java ?
Si je le désactive il se passe quoi ?

CocoaPower [20/05/2009 22:01] (effacer) (editer)

@bertol65

Java est un langage de programmation et une platforme pour faire fonctionner des applications.
Si tu le désactives dans Firefox/Safari, il y a peu de chance que tu voies la différence car Java est de plus en plus rare sur le net.

(À ne pas confondre avec Javascript, pour lequel tu verras la différence si tu le désactive)

poco [20/05/2009 23:43] (effacer) (editer)

@ CocoaPower

Merci, mais je ne suis pas programmeur Java, loin s'en faut. Je vais désactiver donc en attendant.

Question : Quel est le lien entre Javascript et Java? Y-a-t-il des fondations communes? L'un utilise-t-il l'autre pour tourner?

CocoaPower [21/05/2009 01:08] (effacer) (editer)



En gros il n'y a aucun lien entre les deux. Netscape (le créateur de Javascript) à utilisé le nom pour profiter de la popularité de Java (Sun(le créateur de Java) et Netscape étant partenaire sur ce coup là).

Si on prend le code lui même, les deux languages se ressemble un petit peu car la syntaxe est similaire. Mais concrètement les modèles de programmations sont très différents, et on ne travaille pas de la même façon avec les deux.

Tu entendras beaucoup plus parler de Javascript que de Java à cause du Web. Javascript est le seul language de programmation utilisable par un site web pour exécuter du code dans le navigateur.

passante [21/05/2009 09:47] (effacer) (editer)

Sous Firefox 3.0.10, j'ai bien désactivé Java mais je ne trouve pas une mention similaire à Safari pour désactiver l'option "Ouvrir automatiquement les fichiers fiables".

Merci pour vos lumières

marctiger [21/05/2009 11:04] (effacer) (editer)

Non rien... erreur. ;-)