Криптографы IACR не хотят использовать Java
Криптографы международной криптологической ассоциации (IACR) боятся использовать JAVA.
Использование Java было признано самым серьёзным возражением против внедрения системы электронных голосований Helios, предназначенной для внутренних целей IACR.
В документе IACR по внедрению Helios опубликованы самые доставляющие комментарии:
For example, one member wrote:
Requiring Java seems like a non-starter for me. There's been a bunch of security vulnerabilities in the Java runtime that had remained unpatched for too long, and I have explicitly and consciously decided to uninstall it. To ask me to make the trade-off between the convenience of electronic voting and the risk of enabling Java is probably not a great idea: I'm going to say that the risks of using Java is not worth it.
Another member had the following comment in the same vein:
I don't have Java for a reason [...] When I talk about trusting Sun, I'm not talking about trusting Sun with my vote. I'm talking about trusting Sun, and the code produced by Sun, with all the information on my computer, which is more valuable than my vote in an IACR election.
Given this feedback, it seems clear that if we adopt Helios we must offer members an additional Java-free solution. <...> Разрабатываются версии отдельно от браузера и на Python <...>
Некоторые вообще боятся загружать код:
Beyond Java-specific issues, some members pointed out a "deeper" problem with using downloaded code. One member wrote:
Once I started the voting system, I had no clue whether the applet running in my browser was actual ly the Helios voting application or some other application trying to mimic the Helios voting system. [...]
Another member added:
More generally, the use of downloaded code, whether Java, Javascript, Flash, .NET, or any other language, is unacceptable. Because the code is downloaded every time anew from the server, the user has no assurance that the code that has undergone a security review is the code that is currently running in the browser.
Так, что по уровню паранойи участники нашего сайта приближаются к ведущим мировым криптографам, но ещё не дотягивают. Есть к чему стремиться. Все кто ещё не успел — дружно удалили Java, Flash и отключили Javascript :)
комментариев: 11558 документов: 1036 редакций: 4118
Ролики с того же ютуба и некоторых других сайтов можно скачивать уймой различных утилит и сервисов.
А безопасен ли браузер?
К сожалению, я часто смотрю потоковое видео, так что без flash никуда. На подозрительные сайты я захожу файрфоксом, в котором всё что можно отключено.
Полагаю, что безопасен в рамках разумного.
Кстати, всем заложникам Adobe привет. http://secunia.com/advisories/40026
комментариев: 1060 документов: 16 редакций: 32
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1060 документов: 16 редакций: 32
Видимо, в недоверии к поставщику вообще, а не в опасении подмены. Проблема заключается именно в определённой сложности создания изолированной среды для запуска этого кода.
комментариев: 9796 документов: 488 редакций: 5664
Полагаю, что верно почти для всех занятых людей кроме криптографов. Чем меньше у них секретов, тем яростнее они их защищают, культивируя паранойю как нечто вроде моральных ценностей. Отчасти это носит характер самоиронии с их стороны и справедливо конечно для меньшинства.
Проблема в том, что не нашли наверное ответственную команду разработчиков. К примеру torbutton известен как часть проекта, включен в дистры, за него люди ручаются репутацией. А кто будет присматривать за постоянно меняющимся кодом, который используется в малом проекте?
И каков сейчас статус Java? Она полностью контролируется свободным сообществом? Туда могут вносить секьюрити-фиксы не дожидаясь разрешения Sun и отключать и выбрасывать потенциально вредные фичи? Фирма Sun отказалась от любых исключительных прав?
Проблема аналогична той, что установка потенциально недоверяемых программ "банк-клиент" не согласуется с принципами свободного ПО, даже если код открыт, но он не свободен, не общепринят, не стандартизирован, у каждого банка свой и "зачем мне вообще ставить какую-то хрень не из дистрибутива?"
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Точно, протупил. Но я только
разместил объявупривёл цитаты от некоторых членов IACR, допущенных к голосованию, доставляющие тем, что похожи на обычный Java-троллинг. Там про Sun ещё тоже кто-то тормозит.Количество Java-программистов которые используют Linux на своих компьютерах составило 33% процента. Из них 58% используют дистрибутив Ubuntu. В опросе приняли участия 2000 разработчиков.
26.9% – Java-разработчиков создают приложения для web.
21% – приложений для домашних компьютеров.
26.9% – приложений для серверных нужд.
58.3% разработчиков используют централизованную систему управления версиями Subversion, а 12.6% используют CVS.
69% разработчиков используют классический Sun/Oracle Java, a OpenJDK всего 21%.
69.5% разработчиков используют Eclipse для программирования на языке Java
41% разработчиков признались, что используют открытый исходной код из других проектов, и не возвращают свои улучшения! За один год таких разработчиков удвоилось(в прошлом году их было 27%).