Salut Nal !
Aujourd'hui, je commence par la fin :
Il n'est pas surprenant que ce soit Java qui soit utilisé : la plateforme a plein de trous de sécurité et est répandue sur toutes les plateformes.
Sans entrer dans les détails, le virus est une applet java qui, une fois installée avec une belle erreur de signature, détecte votre système d'exploitation et installe le malware ad-hoc.
(De là à dire qu'on a été vraiment chercher les ennuis avec l'applet java de vote par Internet lors des législatives pour les étrangers --> [ ])
Plus d'infos sur Zdnet, et sûrement ailleurs.
# Applet java
Posté par CrEv (site web personnel) . Évalué à 10.
Y'a encore des gens qui utilisent des applets java ?
Pour de vrai ?
[^] # Re: Applet java
Posté par inico (site web personnel) . Évalué à 4.
Oui, il y a encore pas mal d'applets Java utiles surtout pour les {net|sys}admin: ikvm, gui de gestion switch, routeur, onduleur, multiprise, etc.
[^] # Re: Applet java
Posté par mickabouille . Évalué à 4.
OK, mais chaque fois qu'il y a une applet java, il y a un vrai programme java derrière. Les applets c'est juste un moyen de les télécharger et des les exécuter.
On peut se passer de la machinerie applet, il suffit d'accepter que ça va pas se lancer tout seul en cliquant dans une page web.
[^] # Re: Applet java
Posté par inico (site web personnel) . Évalué à 6.
Les serveurs peuvent fournir des paramètres (une id de session par exemple) aux applets.
Si tu vire le mécanisme applet, tu aura un certain nombre d'applications écrites dans ce style qui ne marcheront plus.
[^] # Re: Applet java
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Java Web Start?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Applet java
Posté par rakoo (site web personnel) . Évalué à 2.
D'ailleurs, ya pas moyen de faire ca directement dans le code javascript de la page ? Vu que de toutes facons personne ne le lit, ca changera pas grand chose.
[^] # Re: Applet java
Posté par mickabouille . Évalué à 5.
Non, vu qu'il faut exécuter une commande externe : java -jar machintruc
Javascript est aussi sandboxé et ne permet pas ce genre de truc, heureusement (sauf bien sûr faille).
[^] # Re: Applet java
Posté par Adrien . Évalué à 2.
Il me semble que des trucs comme la déclaration de la PAC se fait par une applet Java…
[^] # Re: Applet java
Posté par mickabouille . Évalué à 3.
Oui, j'ai dû aider quelqu'un pour qu'il puisse la remplir.
[^] # Re: Applet java
Posté par Anthony F. . Évalué à 2. Dernière modification le 11 juillet 2012 à 13:39.
Il reste même des gens qui utilisent des ActiveX pour leurs caméras de vidéosurveillance !
Avec un peu de chance, une prochaine mise à jour utilisera du Flash…
[^] # Re: Applet java
Posté par gouttegd (site web personnel) . Évalué à 5. Dernière modification le 11 juillet 2012 à 15:11.
Euh, oui, moi. J’ai utilisé JMol, une applet de visualisation de molécules, pour faire un support pédagogique pour un TD de biochimie. C’est assez pratique, ça s’intégre très facilement dans une page HTML et les étudiants peuvent s’en servir immédiatement, ils n’ont besoin que d’un navigateur supportant Java.
Je ne prétends pas qu’une applet Java soit le meilleur choix, mais ça représente déjà à mon goût un grand bond en avant par rapport à la version précédente du support de ce TD, qui reposait sur un plugin très spécifique (donc installé par défaut nulle part), plus développé depuis huit ans et qui n’était disponible que pour Internet Explorer 6…
J’imagine que l’approche « moderne » serait de faire ça en HTML5 + Javascript, mais je ne suis pas convaincu… Il existe des projets pour ça, comme CanvasMol, mais franchement les performances sont lamentables par rapport à JMol.
[^] # Re: Applet java
Posté par mickabouille . Évalué à 2.
Je pense que ça fonctionne aussi en programme java ordinaire, sans webstart. Donc pas besoin du plugin navigateur.
[^] # Re: Applet java
Posté par inico (site web personnel) . Évalué à 5.
Donc tu propose de remplacer un contexte d'execution java sandboxé par un contexte d'execution ayant tous les droits de l'utilisateur ?
[^] # Re: Applet java
Posté par rakoo (site web personnel) . Évalué à 0.
Ce sandboxing, il est possible que dans le navigateur ?
[^] # Re: Applet java
Posté par barmic . Évalué à 4.
Non c'est juste qu'en principe tu ne sandbox pas toutes tes applications Java. Donc il faudrait un mécanisme pour demander à l'utilisateur s'il veut sandboxer ou pas l'appli. Restera plus qu'à expliquer aux utilisateurs ce qu'est le sandboxing.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Applet java
Posté par ckyl . Évalué à 4.
Ce qui est rigolo en Java c'est que dès qu'un applet est signé et que tu acceptes la signature, il tourne sans sandbox. C'est très rigolo le sentiment de sécurité que ca donne alors que c'est exactement l'inverse !
Si ce genre d'utilisation de Java retrouve de l'importance je compterais pas trop sur le sandboxing aussi. Y'a déjà eu pas mal de proof of concept de bypass du security manager en exploitant des faiblesses du système de typage.
[^] # Re: Applet java
Posté par barmic . Évalué à 3.
Pour moi c'est plus un problème de certificat qu'autre chose. Je vois pas pourquoi on ferrait confiance en quelques autorités de certifications qui sont censées savoir pour nous qui sont les gentils.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Applet java
Posté par ckyl . Évalué à 1.
Non le problème c'est que dès qu'un mec signe son appli la sandbox dégage. Y'a aucune raison que les deux features soient liées.
Dans le même genre de connerie débile y'a le fait d'avoir un security manager qui empeche d'appeler des fonctions Java depuis un XSLT depuis JAXP 1.4. Mais au moins la ca fait juste chier les devs.
[^] # Re: Applet java
Posté par zebra3 . Évalué à 2.
Un certificat ne protège que des applications frauduleuses, pas des potentielles failles découvertes après signature des applications légitimes.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Applet java
Posté par barmic . Évalué à 4.
Oui mais justement, ce que je voulais dire c'est juste qu'aujourd'hui, pas uniquement dans le monde Java. On se sens protégé quand quelque chose est certifié alors qu'il n'est là que pour assurer (ou non) de la confiance.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Applet java
Posté par Buf (Mastodon) . Évalué à 1.
Java Web Start est sandboxé par défaut. C'est pareil que pour une applet, il faut que le code soit signé pour pouvoir supprimer les limitations de la sandbox (et l'utilisateur doit l'accepter, bien sûr)
[^] # Re: Applet java
Posté par mickabouille . Évalué à 1.
Non, je propose de faire disparaitre définitivement ce plugin qui n'a absolument pas besoin d'être installé dans les navigateurs de tout le monde, sans perdre la capacité d'exécuter aucun des programmes.
Le plugin java n'offre absolument aucune protection contre les malwares. Une applet signée, je t'en fais quand tu veux, et de toute façon, les gens sont dressés à valider tout ce que leur demande leur navigateur (par les alertes de sécurité firefox, mais aussi windows etc.).
On remplacer une exécution automatique de tout et n'importe quoi par une action volontaire. Ben oui, faut le lancer le programme.
Donc effectivement, hors de la sandbox, le programme a tous les droits (du moins ceux de son utilisateur), mais c'est le cas pour tout autre programme qu'il a récupéré dans une chaine de mail ou sur warez.com. D'ailleurs une applet java sort de la sandbox dès qu'elle est signée…
[^] # Re: Applet java
Posté par Zylabon . Évalué à 2.
Bonne idée, adoptée ! Ça fait un bonne année maintenant que j'ai viré flash. Je me souviens qu'a l'époque c'était régulièrement qu'un page merdait parce que "you need to install adobe flash player©". Un an plus tard, c'est devenu très rare. Même pour les vidéos, 60% du temps, ça ne pose pas de problème. Puis si ça vaut vraiment le coup, clive permet de DL le truc.
Bref. Pour un internet civilisé !
Please do not feed the trolls
[^] # Re: Applet java
Posté par gouttegd (site web personnel) . Évalué à 2.
Ce n’est pas tant la seule présence de Flash ou d’applets Java qui pose problème, c’est le fait que des sites exigent Flash ou Java sans rien prévoir pour le cas où Flash ou Java ne seraient pas disponibles.
Je n’aime pas particulièrement qu’un site utilise Flash, mais je ne trouve rien à y redire si le principe de graceful degradation est respecté.
Le site dont je parlais plus haut, qui sert de support pédagogique à un TD de biochimie, nécessite Java et Javascript pour manipuler des structures chimiques, mais si Java n’est pas disponible ou si l’exécution de Javascript est désactivé, l’utilisateur a la possibilité de télécharger les fichiers de structure sur son ordinateur et d’utiliser le programme de visualisation de son choix (comme la version standalone de JMol, par exemple) pour les ouvrir en local. Même un utilisateur de Lynx pourrait utiliser ce site sans rien rater de son contenu.
[^] # Re: Applet java
Posté par Frank-N-Furter . Évalué à 4.
Pour ce genre de problèmes, le viagra fait de merveilles. À ce qu’il paraît, bien sûr.
Depending on the time of day, the French go either way.
# Applet
Posté par mickabouille . Évalué à 5.
Le truc commence par un message "Pour installer ce virus, cliquez sur OK". Enfin pas tout à fait, mais presque, il doit (j'imagine) afficher un message d'erreur de certificat, l'utilisateur doit passer outre pour continuer (le plugin java n'autorise pas les opérations hors sandbox si l'applet n'est pas signée).
Bref, de toute façon, le plugin java ne devrait plus être installé par défaut, c'était à la mode il y a 5-10 ans, il n'y a quasiment plus rien qui l'utilise encore. A mon avis, c'est pareil pour flash, mais je suis bien obligé de le reconnaitre, certains trucs utiles en font usage (mais pas pour moi).
Reste effectivement cette histoire de déclaration d'impôts et autres choses de ce genre. De mon côté, je déclare mes impôts sur papier…
PS : c'est pas "grâce à Java" mais grâce à jnlp, le truc qui permet d'exécuter de façon transparente des programmes. On peut écrire des virus multiplateformes dans n'importe quel langage multiplateforme, c'est juste compliqué de les faire exécuter par la cible.
[^] # Re: Applet
Posté par Christophe Turbout . Évalué à 3.
pour la déclaration d'impôts, il n'y a plus besoin de certificats et il n'y a pas d'applet java non plus. Ils se sont vite rendus compte que la gestion d'une PKI pour un système ouvert, c'est juste la galère !
[^] # Re: Applet
Posté par Larry Cow . Évalué à 4.
Faut voir, je connais des logiciels pro (relativement incontournables) à destination du secteur public qui l'utilisent encore. Et qui s'offrent le luxe d'exiger une version précise (et obsolète).
[^] # Re: Applet
Posté par mickabouille . Évalué à 1.
Ça c'est parce que le format jnlp permet trop facilement de définir une dépendance sur une version de java (tag j2se, attribut version, toutes les docs et tous les tutos doivent le montrer) et que le stagiaire qui a écrit le programme a pas pensé à virer la ligne qu'il a copié-collée. Ou à mettre un + à la fin (pour dire "supérieur à").
Bon c'est vrai qu'on peut pas tester toutes les versions et que ça aide pas qu'on puisse pas définir un intervalle de versions ou un truc du genre 1.6.*.
Et par défaut, le plugin (au moins pour firefox) refuse de se lancer si la version du JRE est trop ancienne.
[^] # Re: Applet
Posté par lgmdmdlsr . Évalué à 5.
"Bref, de toute façon, le plugin java ne devrait plus être installé par défaut, c'était à la mode il y a 5-10 ans, il n'y a quasiment plus rien qui l'utilise encore."
http://www.walter-fendt.de/ph14f/
Ce n'est plus "à la mode", donc ça doit dégager … Utiliser son cerveau correctement est-il toujours "à la mode" ?
# Extrapolations
Posté par weonbin . Évalué à 7.
Ou tu vois que le trojan exploite une faille de securite de java ? L'article ne dit pas ca en tout cas.
Apparemment java est juste utilise pour detecter la plateforme.
L'article manque cruellement de precisions mais si c'est juste ca, ca pourrait etre fait avec un bout de javascript qui telecharge le .exe / .bin et demande a l'utilisateur de bien vouloir le lancer.
# Quelle horreur
Posté par MTux . Évalué à -10.
Installer 150Mo de machine virtuelle java pour faire tourner une application de 500KO qui va bouffer 250Mo de mémoire, ce sont les joies de java. Et avec les failles de sécurité en prime, car faire tourner un logiciel dans un navigateur web c'est une hérésie. Je dirais même que c'est un "a-plaie java". Je croyais que ça avait été banni du web car cela fait des années que je n'utilise plus le plugin.
[^] # Re: Quelle horreur
Posté par claudex . Évalué à 10.
Je ne vois pas bien la différence¹ avec les grosses applications en JavaScript.
¹ : je parle du principe de faire tourner un logiciel dans un navigateur web, sinon, je la vois bien la différence.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Multiplateforme ?
Posté par 2PetitsVerres . Évalué à 3.
J'ai plutôt l'impression que ça ne tourne que sous Java, soit une seule plateforme.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.