Trotz des erst k\u00fcrzlich von Oracle ver\u00f6ffentlichten Patches f\u00fcr das Java-Plug-In, mit dem bekannte Schwachstellen eigentlich geschlossen werden sollten, klafft bereits die n\u00e4chste Sicherheitsl\u00fccke in der Browser-Erweiterung, denn die von Oracle im Zuge des Java-Updates eingef\u00fchrte Erh\u00f6hung der Sicherheitseinstellungen f\u00fcr im Browser ausgef\u00fchrte Applets kann offenbar umgangen werden. Zum optimalen Schutz bleibt Internet Nutzern bis zum n\u00e4chsten Update nur die M\u00f6glichkeit das Plug-In in ihren Browsern zu deaktivieren.<\/p>\n
Aus Sicht von Anwendungsentwicklern sind die aktuellen sowie die vergangenen Nachrichten rund um die Sicherheitsl\u00fccken in Java und die umstrittene Update-Politik von Oracle wenig erfreulich. „Die j\u00fcngsten Entwicklungen in diesem Bereich werden das Vertrauen von Nutzern in Java-Applets weiter ersch\u00fcttern. Damit gewinnt zugleich das Code Signing<\/a> immer mehr an Bedeutung, denn auch Oracle \u2013 und das zeigt das j\u00fcngste Update \u2013 will die Ausf\u00fchrung von Applets ohne Zustimmung des Nutzers nur noch gestatten, wenn diese die digitale Unterschrift ihrer Entwickler tragen“, erkl\u00e4rt Christian Heutger. Unsignierte Applets sollen k\u00fcnftig nur noch nach Best\u00e4tigung des Nutzers vom Browser ausgef\u00fchrt werden k\u00f6nnen.<\/p>\n Da die Vertrauensw\u00fcrdigkeit bei der Ausf\u00fchrung von aus dem Internet heruntergeladenen Anwendungen wie Java-Applets angesichts der zunehmenden Gefahren im Web immer wichtiger wird, empfehlen wir den\u00a0 Entwicklern bereits seit geraumer Zeit den Einsatz von Code Signing Zertifikaten. Durch die Kombination aus digitaler Signatur und der unabh\u00e4ngigen Zertifizierung des Herausgebers durch eine dritte vertrauensw\u00fcrdige Instanz, best\u00e4tigen diese Zertifikate, dass der ver\u00f6ffentlichte und entsprechend signierte Code des jeweils zertifizierten Java-Applets nicht manipuliert wurde. Sie visualisieren dem Nutzer zudem den Ursprung der Anwendung.<\/p>\n Die Code Signing Zertifikate, die wir gemeinsam mit namhaften Zertifizierungsstellen \u2013 darunter COMODO, Thawte, GlobalSign und Symantec \u2013 anbieten, fungieren quasi als Unterschrift f\u00fcr den Code des jeweiligen Java-Applets. Sie sind damit ein Ausweis f\u00fcr Authentizit\u00e4t und Integrit\u00e4t und st\u00e4rken das Vertrauen der Internet Nutzer in die Anwendung.\u00a0 Auch vor dem Hintergrund der neuen Java-Sicherheitsstrategie von Oracle sei der Einsatz von Code Signing Zertifikaten besonders attraktiv, so der Experte. Immerhin ist die Laufzeitumgebung „Java Runtime Environment“ (JRE) mittlerweile auf \u00fcber 850 Millionen Rechnern weltweit installiert.<\/p>\n Weitere Informationen unter www.psw.net<\/p>\n