Angesichts neuer Java-Sicherheitslücken: Code Signing wird für Entwickler immer wichtiger

Trotz des erst kürzlich von Oracle veröffentlichten Patches für das Java-Plug-In, mit dem bekannte Schwachstellen eigentlich geschlossen werden sollten, klafft bereits die nächste Sicherheitslücke in der Browser-Erweiterung, denn die von Oracle im Zuge des Java-Updates eingeführte Erhöhung der Sicherheitseinstellungen für im Browser ausgeführte Applets kann offenbar umgangen werden. Zum optimalen Schutz bleibt Internet Nutzern bis zum nächsten Update nur die Möglichkeit das Plug-In in ihren Browsern zu deaktivieren.

Aus Sicht von Anwendungsentwicklern sind die aktuellen sowie die vergangenen Nachrichten rund um die Sicherheitslücken in Java und die umstrittene Update-Politik von Oracle wenig erfreulich. „Die jüngsten Entwicklungen in diesem Bereich werden das Vertrauen von Nutzern in Java-Applets weiter erschüttern. Damit gewinnt zugleich das Code Signing immer mehr an Bedeutung, denn auch Oracle – und das zeigt das jüngste Update – will die Ausführung von Applets ohne Zustimmung des Nutzers nur noch gestatten, wenn diese die digitale Unterschrift ihrer Entwickler tragen“, erklärt Christian Heutger. Unsignierte Applets sollen künftig nur noch nach Bestätigung des Nutzers vom Browser ausgeführt werden können.

Da die Vertrauenswürdigkeit bei der Ausführung von aus dem Internet heruntergeladenen Anwendungen wie Java-Applets angesichts der zunehmenden Gefahren im Web immer wichtiger wird, empfehlen wir den  Entwicklern bereits seit geraumer Zeit den Einsatz von Code Signing Zertifikaten. Durch die Kombination aus digitaler Signatur und der unabhängigen Zertifizierung des Herausgebers durch eine dritte vertrauenswürdige Instanz, bestätigen diese Zertifikate, dass der veröffentlichte und entsprechend signierte Code des jeweils zertifizierten Java-Applets nicht manipuliert wurde. Sie visualisieren dem Nutzer zudem den Ursprung der Anwendung.

Die Code Signing Zertifikate, die wir gemeinsam mit namhaften Zertifizierungsstellen – darunter COMODO, Thawte, GlobalSign und Symantec – anbieten, fungieren quasi als Unterschrift für den Code des jeweiligen Java-Applets. Sie sind damit ein Ausweis für Authentizität und Integrität und stärken das Vertrauen der Internet Nutzer in die Anwendung.  Auch vor dem Hintergrund der neuen Java-Sicherheitsstrategie von Oracle sei der Einsatz von Code Signing Zertifikaten besonders attraktiv, so der Experte. Immerhin ist die Laufzeitumgebung „Java Runtime Environment“ (JRE) mittlerweile auf über 850 Millionen Rechnern weltweit installiert.

Weitere Informationen unter www.psw.net