The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Oracle прекратил действие цифровых подписей, используемых некоторыми открытыми проектами

22.09.2011 18:56

В конце августа, компания Oracle заявила об изъятии из обращения лицензии, позволяющей распространять бинарные сборки JDK в составе дистрибутивов Linux. На днях пользователи некоторых открытых Java-приложений столкнулись с новой проблемой - перестали действовать выданные открытым проектам сертификаты, на базе которых были сформированы цифровые подписи для контроля подлинности jar-файлов при их запуске при помощи технологии Java Webstart или как апплетов. В частности, попытка запуска через Webstart таких продуктов как Java3D и JAI (Java Advanced Imaging) теперь завершается ошибкой.

Представители Oracle пояснили, что с download.java.net были удалены старые сертификаты Sun, так как было выявлено, что их использование для цифровой подписи бинарных файлов сопряжено с риском появления потенциальных проблем безопасности. JAR-файлы не были удалены с download.java.net и могут быть использованы. Для этого они должны быть подписаны собственным сертификатом разработчика (допускается использование self-signing), который хочет запускать приложения Java 3D как апплеты или как приложения Java Webstart.

  1. Главная ссылка к новости (http://developers.slashdot.org...)
  2. OpenNews: Компания Oracle анонсировала выход Java SE 7
  3. OpenNews: Oracle отозвала лицензию на поставку Oracle JDK в дистрибутивах Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/31829-oracle
Ключевые слова: oracle, java, sign, webstart
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, oi (?), 19:17, 22/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    прелесно, теперь будем ждать криов пользователей о неработающих приложениях :)
     
  • 1.4, koloboid (ok), 19:36, 22/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    ну, крикуны о "свободной" java, что скажете?
     
     
  • 2.9, Andrew Kolchoogin (?), 20:36, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пожмём плечами и попросим проанализировать с точки зрения синтаксиса языка Java тот бинарный трэш, который находится в сертификатах.

    После чего рассказать нам, как он вообще с Java связан. ;)

     
  • 2.12, Zenitur (ok), 21:08, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чуть-чуть подправят код программ, либо код самой открытой явы, чтобы она на этот сайт не лазила, можно например подправить исходники и сделать так, чтобы обращение было не к download.sun.com, а к vasya.narod.ru. А первый сейчас или редиректит на download.oracle.com, или некоторое время назад исходники уже меняли одновременно со сменой логотипов.
     
     
  • 3.16, anonymous (??), 21:34, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Наши ученые чуть чуть подправят ось земли, Буш, не лезь в Ирак!"
     
     
  • 4.42, zoolooz (?), 15:10, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Айрак - так, китaи - вот реальнaя им проблемa!
     
  • 2.24, AdVv (ok), 01:05, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А что, есть смысл разводить с тобой тут дискуссию ? Тратить время на неадекватного, которому заведомо плевать на любые аргументы, только бы потроллить и развести флейм постов на на 100 ? Уволь, люби себя сам до изнеможения.
     
  • 2.37, Щекн Итрч (ok), 07:21, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> ну, крикуны о "свободной" java, что скажете?

    Первое, что можно сказать: покупать нужно сертификаты, чтобы приложение не ругалось на «самоподписанные». Аксиома, как бы?

     
     
  • 3.45, Аноним (-), 20:54, 24/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Первое, что можно сказать: покупать нужно сертификаты, чтобы приложение не ругалось на
    > «самоподписанные». Аксиома, как бы?

    Comodo hacker смотрит на вас как на г-но :)). И правильно делает, вероятно.

     
  • 2.38, Анониматика (?), 08:42, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >ну, крикуны о "свободной" java, что скажете?

    Крикун тут только один, причем он не видит разницы в сроках действия сертификатов удостоверяющих центров и открытого кода кроссплатформенной среды.

     
  • 2.40, Tav (ok), 12:32, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы вообще о чем? Свободная Java — это OpenJDK, в этой новости вообще не упоминается. Запрет на распространение Oracle JDK в дистрибутивах также к OpenJDK никакого отношения не имеет.
     

  • 1.6, iZEN (ok), 19:47, 22/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Инфраструктура PKI в Java в действии. И я рад, что она работает именно так, как задумывалась.

    Если разработчики приложений решили использовать цифровые подписи и сертификаты, то будьте добры следовать правилам Центра Сертификации и Авторизации (CA). Отозванные сертификаты с публичными ключами — не вчера такое придумано, и нужно понимать, что у каждого цифрового сертификата есть не только определённый срок действия, но и владелец (который может скоропостижно скончаться и немогущий более сопровождать свои цифровые подписи, публичные ключи и сертификаты).

     
     
  • 2.8, AHAHAC (ok), 20:34, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > с публичными крючами

    Крючи - по Фрейду, не?! :)

     
  • 2.10, Аноним (-), 21:02, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Инфраструктура PKI в Java в действии. И я рад, что она работает именно так, как задумывалась.

    А, то-есть факап разработчиков и юзеров - это "just as planned"? oO
    Тогда тебе должен также очень понравиться UEFI из соседней новости. Ведь если комп откажется загружать твою фрибзду как не секурную - это же будет правильно, так? :)

     
     
  • 3.17, iZEN (ok), 21:35, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Инфраструктура PKI в Java в действии. И я рад, что она работает именно так, как задумывалась.
    > А, то-есть факап разработчиков и юзеров - это "just as planned"? oO

    Ну, после известных событий с компрометацией CA, пользователи уже перескачивали браузеры с обновлённым списком сертификатов, не так ли?
    http://www.opennet.me/opennews/art.shtml?num=30010
    Почему это не должно касаться других сертифицированных программ?

    > Тогда тебе должен также очень понравиться UEFI из соседней новости.
    > Ведь если комп откажется загружать твою фрибзду как не секурную - это же будет правильно, так? :)

    С точки зрения технологии это правильно, а с точки зрения субъективного восприятия — несовсем. Я на такое пока не подписывался и мне решать, перепрограммировать мою микросхему BIOS или нет. Если кучке компаний выгодно продвигать какое-то огороженное ото всех решение и нет никакого способа легально обеспечить доступ к этой технологии другим независимым от них производителям, то это называется "сговор" и ведёт к судебным разбирательствам. Как в случае с "переводом" проводного интернета только для пользователей продуктов Microsoft, а беспроводного интернета только для пользователей продукции Apple, надеюсь, прогрессивное мировое сообщество не отринет тот факт, что ОС должна быть отделена от железа и не представлять законченное программно-аппаратное нечто, как бы этого ни хотелось Apple.

     
     
  • 4.22, ананим (?), 00:11, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >С точки зрения технологии это правильно, а с точки зрения субъективного восприятия — несовсем.

    угу.
    Только когда речь про мс с виндой, то айзен - за бзд.
    Когда об оракл с жабой - за жабу.

    решение вроде для безопасности, а две новости с безопасностью не связанные.
    Зато связанные с темой - прав тот, у кого больше прав.
    И похрен, покупал ты прогу или нет, сдохла компания или нет, а решит кто-то третий.

     
  • 4.29, Аноним (-), 02:59, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Более того - MS вообще аж обновление ОС выпустил по этому поводу Наверное потом... большой текст свёрнут, показать
     
     
  • 5.39, iZEN (ok), 11:02, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Можно забабахать отличное DRM и годную цензуру. Соблазн велик, ему сложно сопротивляться.

    Так, DRM — это есть расширение инфраструктуры PKI в сторону более гибкого управления цифровыми правами и доверием к выполняемым программам.
    Что плохого в DRM? А ничего! Его бояться те, кто не знает как оно работает.

     
     
  • 6.41, Andrey Mitrofanov (?), 13:49, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Можно забабахать отличное DRM и годную цензуру. Соблазн велик, ему сложно сопротивляться.
    > Так, DRM — это есть расширение инфраструктуры PKI в сторону более гибкого
    > управления цифровыми правами и доверием к выполняемым программам.

    Не "расширение", а применение. Не "более гибкого", а "всем строем, как сказал вооон тот дядя".

    > Что плохого в DRM? А ничего! Его бояться те, кто не знает как оно работает.

    Зонд поправь?

    Когда "цифровыми правами и доверием к выполняемым" _мною програмами управляю _я - ничего плохого.

    Когда разрешение на исполнение собранного или скачанного мною бинарника выдаёт какая-то левая коммерческая контора - ощущения совсем другие. Полный диапазон "радостных" -- от "а не прикроют ли Майкрософты биосы и загрузку не-УинДоузов на моей следующей мат-плате?" до "куда уплывут мои [вполне реальные] денежки, когда ""доверием"" торгуют всякие дижинотары с комодами?"

    Но, мы видим, ты не беспокоишься -- здоровье бережёшь.
    Только про "ничего страшного" и "бояться не надо" рассказывай в другом месте, кому другому.

     
  • 6.46, Аноним (-), 21:08, 24/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Так, DRM — это есть расширение инфраструктуры PKI в сторону более гибкого
    > управления цифровыми правами и доверием к выполняемым программам.

    Я бы сказал, управление ОТЪЕМОМ прав у пользователя и управление НЕдоверием к пользователю. Точнее отразит суть.

    > Что плохого в DRM? А ничего! Его бояться те, кто не знает как оно работает.

    А я его не боюсь. Я его просто ненавижу. А за что любить средство одебиливания, отъема свободы, нае...лова и превращения клиента в быдло? Вот тут: http://lurkmore.ru/Trusted_Computing  довольно жизненно и колоритно обрисовано что к чему. Даже долб...бы с лурка в состоянии понять когда их держат за лохов :)

    Root cause нелюбви к DRM лежит в
    1) Абузивном использовании фичи против пользователя купившего девайс (кто же любит оказываться в дураках за свои деньги?).
    2) Возможность тотального контроля и диктатуры.
    3) Обыдление пользователей.
    4) Лохоразвод.

     
  • 3.19, umbr (ok), 21:43, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Любой факап связанный с цифровыми сертификатами - "just as planned".
    К.О.
     
     
  • 4.32, Аноним (-), 03:08, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Любой факап связанный с цифровыми сертификатами - "just as planned".

    Ну да, цифровой лохотрон в действии.


     
  • 2.13, Аноним (-), 21:14, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. нужно понимать что сторонние лица в любой момент могут сломать ПО которое ты используешь.
     
     
  • 3.14, iZEN (ok), 21:24, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Т.е. нужно понимать что сторонние лица в любой момент могут сломать ПО
    > которое ты используешь.

    Не сторонние, а чётко определённые в ТВОЁМ сертификате, подписанном ИМИ.

    Если разработчик сертифицировал своё ПО подписью центра сертификации (а CA может по чётко определённым причинам отозвать свою подпись и аннулировать свои сертификаты), то он сам себе разработчик, который знал, на что шёл.


     
     
  • 4.15, Аноним (-), 21:31, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не сторонние, а чётко определённые в ТВОЁМ сертификате, подписанном ИМИ.

    Добро пожаловать в мир смуты и страха. В мир UNTRUSTED computing. Где вас в любой момент могут НАГНУТЬ. Просто по желанию левой пятки какого-то больного на голову манагера. Ведь EPIC FAIL - наш друг и товарищ!

     
     
  • 5.18, iZEN (ok), 21:40, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не сторонние, а чётко определённые в ТВОЁМ сертификате, подписанном ИМИ.
    > Добро пожаловать в мир смуты и страха. В мир UNTRUSTED computing. Где
    > вас в любой момент могут НАГНУТЬ. Просто по желанию левой пятки
    > какого-то больного на голову манагера. Ведь EPIC FAIL - наш друг
    > и товарищ!

    В мире существет около 2000 независимых CA. Разработчику в любой момент можно воспользоваться услугами одного из них, которому доверяет пользователь его приложений.
    Ну, или использовать self-signed сертификат. :))

     
     
  • 6.20, Аноним (-), 21:54, 22/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Независимых? Мужик, вылазь из криокамеры. О независимости CA тебе расскажут ДЕРЕВЬЯ ДОВЕРИЯ.

    Валяй, убеди современный хром и сидящего за ним красноглаза, что твой самоподписняк - доверяемый. Ну, или фуррифокс - без разницы. И что его надо в хранилище корневых CA браузера положить. Валяй, убеди. А мне потом расскажешь - был у меня как-то веб-сервачок четыре года с самоподписным сертификатом. Не понаслышке знаю.

     
     
  • 7.25, AdVv (ok), 01:25, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Независимых? Мужик, вылазь из криокамеры. О независимости CA тебе расскажут ДЕРЕВЬЯ ДОВЕРИЯ.
    > Валяй, убеди современный хром и сидящего за ним красноглаза, что твой самоподписняк
    > - доверяемый. Ну, или фуррифокс - без разницы. И что его
    > надо в хранилище корневых CA браузера положить. Валяй, убеди. А мне
    > потом расскажешь - был у меня как-то веб-сервачок четыре года с
    > самоподписным сертификатом. Не понаслышке знаю.

    Приветствую тебя, цирковой артист, использующий приемы гротеска и буффонады. Что-то я не пойму твоего потока сознания. Тебе не нравится, что первый встречный не может попасть в список доверенных корневых сертификатов браузера ? Не многовато ли чести ? Может ты и паспорт себе фломастером на тетрадном листе нарисовать желаешь ?
    Рядовому разработчику ПО за глаза хватит обычного code signing сертификата, для получения которого нужно выполнить нехитрые требования http://www.ssl.ru/ru/info/instruction/ и заплатить 7000 руб за год.

     
     
  • 8.30, Аноним (-), 03:02, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За воздух Осталось еще смс с текстом не лох оправить на короткий номер... текст свёрнут, показать
     
     
  • 9.43, AdVv (ok), 15:22, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Аааа, так ты хочешь чтоб за тебя кто-то бесплатно работал Ну так иди убеди люб... текст свёрнут, показать
     
     
  • 10.47, Аноним (-), 21:16, 24/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    О, генерация ключа это такая зверская работа И совсем не оплата за воздух А чо... текст свёрнут, показать
     
     
  • 11.48, AdVv (ok), 12:07, 26/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Угу делает Запись в книге, подпись и печать Трудоемко Вменяемых http www ... текст свёрнут, показать
     
     
  • 12.49, Аноним (-), 17:43, 26/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Более трудоемко чем сгенерить компом подпись, и стоит в разы дешевле тем не мене... большой текст свёрнут, показать
     
  • 6.33, Аноним (-), 03:12, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > В мире существет около 2000 независимых CA. Разработчику в любой момент можно
    > воспользоваться услугами одного из них, которому доверяет пользователь его приложений.

    Угу, а сколько из них уже доверяют comodo hacker-у? Этот тип недавно понтанулся что может уже делать и валидные шиндошс-апдейты. Вот будет лулзов если он вгрузит всем хомякам сразу что-нибудь смешное.

    > Ну, или использовать self-signed сертификат. :))

    Ага, рассказывая каждому пользователю как инсталлировать новый корневой серт CA. Не, конечно вебмани так и делают, но вообще это довольно геморно. Катит только с теми кому действительно надо.

     
  • 2.21, ананим (?), 00:06, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Инфраструктура PKI в Java в действии. И я рад, что она работает именно так, как задумывалась.

    отваливая валидные программы?
    Или может планировалось - хозяин всегда может отвалить валидные программы у не_хазяев?
    >Отозванные сертификаты с публичными ключами — не вчера такое придумано, и нужно понимать, что у каждого цифрового сертификата есть не только определённый срок действия, но и владелец

    или кто-то большой может решить выкинуть парочку не_просроченных сертификатов, потому что так решил?

     
     
  • 3.23, Andrew Kolchoogin (?), 00:52, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, именно так.

    Вообще говоря, выбирая CA для выпуска себе сертификатов, нужно тщательно ознакомиться с её P&PG.

     
     
  • 4.26, ананим (?), 02:47, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И сразу два тезиса:
    1. Ну и нафиг такое счатье управляемая из пентагона?
    2. Ну если санки (и их правоприемник - оракл) не надёжны!...
     
     
  • 5.34, Аноним (-), 03:13, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 2. Ну если санки (и их правоприемник - оракл) не надёжны!...

    Тогда, поскольку CA - о доверии, то вероятно оракл ну никак нельзя считать доверяемой ауторити, не так ли? :)

     
     
  • 6.36, ананим (?), 05:09, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а какая разница? См. п.1

    зыж
    вы когда-нибудь подписывали jar'ы на своём сайте?
    >Представители Oracle пояснили, что с download.java.net были удалены старые сертификаты Sun, так как было выявлено, что их использование для цифровой подписи бинарных файлов сопряжено с риском появления потенциальных проблем безопасности. JAR-файлы не были удалены с download.java.net и могут быть использованы.

    определённо для download.java.net оракл самый CА из всех СА. он владелец.
    и поскольку старые сертификаты сановские, то теперь они и оракловые - следовательно раз удалили, то как минимум новыми должны были переподписать.
    вместо этого - удалили сертификаты молчком и эпитесь как хотите.

     
  • 4.27, Аноним (-), 02:52, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >нужно тщательно ознакомиться с её P&PG.

    Pen & Paper Games?

    Короче - переведи.

     
     
  • 5.35, Аноним (-), 03:15, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Pen & Paper Games?

    Похоже что оракл в последнее время как-то так и управляет своими ассетами :)))

     
  • 4.28, Avator (ok), 02:52, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    P&PG? это вы о чем? :-)
     
  • 4.31, Аноним (-), 03:04, 23/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще говоря, выбирая CA для выпуска себе сертификатов, нужно тщательно ознакомиться с её P&PG.

    А ничего что на момент выбора это вообще скорее всего сани были а не оракл? Вот вам и "доверие" - продали как стеклотару и нае...ли.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру