feb
Eén van de meest controversiële onderwerpen bij het beheer van desktops is de installatie van Java. Hoewel Oracle (en voorheen SUN) aanraadt om altijd de meest recente versie van Java als de standaard versie voor browsers te installeren wordt dit advies door de meeste organisaties in de wind geslagen, en worden vaak zeer oude versies gebruikt.
Sinds Java 8 is het mogelijk om ervoor te zorgen dat specifieke websites of webapplicaties wel een oudere versie van Java kunnen gebruiken, zonder dat deze versie beschikbaar is voor andere sites. Voorwaarde is dat dus Java 8 als de primaire Javaversie voor de browser beschikbaar is, en de eventueel benodigde oudere versie wel geïnstalleerd is, maar niet standaard beschikbaar is gemaakt voor de browser. Dit kan door een zogenaamde Deployment Rule Set (DRS) aan te maken. Hierin wordt beschreven welke sites Java mogen gebruiken, en ook eventueel welke versie van Java. Zo’n Rule Set wordt van een digitale handtekening voorzien en verspreid over alle PC’s.
Het maken van een DRS is eenvoudig, en kan zonder verdere kosten door kleine organisaties geïmplementeerd worden.
Voor het beheer van zo’n DRS in een grote organisatie heeft Oracle speciale tooling gemaakt die beschikbaar is wanneer men een Java SE Advanced of Java SE Desktop licentie aanschaft. Met deze tooling kan bovendien de uitrol van nieuwe Java versies naar PC’s geautomatiseerd worden. Ook bevat het software om het gebruik van Java op PC’s te monitoren.
Kortom, eindelijk heeft uw organisatie de mogelijkheid om schoon schip te maken met Java op de PC’s, en het grootste beveiligingslek te dichten terwijl wel uw oude applicaties blijven werken.
Wilt u advies over deze tooling, en hulp bij het implementeren van Deployment Rule sets of de tooling bij Java SE Advanced of Desktop, neem dan contact op met Transfer Solutions: info@transfer-solutions.com
Het gevolg van het gebruik van oudere versies is dat een onverantwoord groot lek ontstaat in de bedrijfsnetwerken die alle overige inspanningen op gebied van beveiliging te niet doet. Onnodig, want sinds versie 8 kan op een veilige en gecontroleerde manier Java op alle werkstations up-to-date gehouden worden, terwijl oudere applicaties die een oude versie van Java vereisen toch nog kunnen blijven werken.
Hoewel Java veelal de motor is achter applicatieservers en cloudoplossingen, is Java bij de meeste mensen vooral bekend van websites en webapplicaties die gebruik maken van Java in de webbrowser, wanneer het bekende koffiekopje verschijnt voordat de pagina geladen is. Negatieve berichten in het nieuws over lekken hebben niet zo zeer te maken met Java zelf als wel met deze zogenaamde browser plug-in. Die zorgt er namelijk voor dat een Javaprogramma via de browser op de PC geïnstalleerd kan worden zonder tussenkomst van de gebruiker, of met een simpele vraag of u deze site vertrouwt (hetgeen de argeloze gebruiker meestal met “ja” beantwoordt ook al kan het zo maar een malafide site zijn). Althans tot versie 7. Vanaf hogere updates van Java 7 is het aanzienlijk moeilijker geworden om de gebruiker te overtuigen om het risico te nemen, en alleen sites van geregistreerde organisaties met een officieel digitaal certificaat kunnen nog Java toepassingen aanbieden, anderen worden automatisch geblokkeerd.
Om veilig met Java te kunnen werken is het verstandig om de meest recente versie van Java te gebruiken. Op privé PC’s zal dit vaak het geval zijn omdat standaard de automatische update feature van Java aan staat. Op PC’s in bedrijfsnetwerken wordt echter meestal de auto-update functie uitgeschakeld, en bepaalt de desktopbeheerder welke versie van Java geïnstalleerd wordt. En dat is dus juist vaak een oude versie. Indien dit Java 6 of een vroege Java 7 versie is dan wordt het bedrijfsnetwerk aan een onacceptabel groot risico blootgesteld. Nog oudere versies (inclusief de Java kloon JInitiator die Oracle ooit uitbracht) zijn nog riskanter, en dienen op geen enkel werkstation meer aanwezig te zijn.
Het argument om oude Javaversies te gebruiken is dat software gebruikt wordt die zo’n oude versie vereisen. Bovendien wordt het regelmatig installeren van security updates gezien als een kostenpost (vreemd genoeg worden de veel zwaardere updates van het Windows Operating Systeem wel toegepast door de meeste beheerders).
Beide argumenten zijn echter niet meer relevant.
12 november 2024 • Fabio Vrolijk
20 februari 2024 • Fabio Vrolijk
12 januari 2024 • Phil Lowe Press Officer at Soudal Quick-Step