طرح Oracle برای بهبود امنیت Java

به گزارش روابط عمومی شرکت مهندسی شبکه گستر به نقل از سایت خبری Computer World، شرکت Oracle در نظر دارد تا تغییراتی را به منظور افزایش امنیت Java ایجاد کند. نحوه کنترل گواهی های دیجیتالی منقضی شده، جلوگیری از اجرای خودکار برنامه های Java که فاقد گواهی هستند و همچنین اضافه کردن قابلیت تعریف “فهرست سفید” (White-Listing) با امکانات مدیریت متمرکز برای شبکه های سازمانی، از جمله تغییراتی است که قرار است در Java ایجاد شود.

یکی از مدیران شرکت Oracle در بیاینه ای که منتشر شده گفت: ” این تغییرات به همراه سایر اقدامات امنیتی به منظور کاهش احتمال و تاثیرات سوء استفاده از نقاط ضعف Java در محیط های Desktop ایجاد خواهد شد و همچنین امنیت بیشتری برای Java بر روی سرورها فراهم خواهد کرد.”

در این بیانیه، “اعتبار امنیتی Java” مطرح شده و به طور ضمنی به برخی انتقادات درباره نقاط ضعف اصلاح نشده در افزایه های Java یا Java Plug-Ins در انواع مرورگرها اشاره شده است.

شرکت Oracle تصمیم دارد تا از مهرماه امسال، سرعت انتشار اصلاحیه های امنیتی برای Java را افزایش دهد و زمان انتشار آنها را هماهنگ با دیگر محصولات این شرکت کند. همچنین اقداماتی برای بازنگری امنیت نرم افزار Java در نظر گرفته شده است. 

گروه تولید نرم افزار Java بکارگیری از ابزارهای خودکار برای آزمون امنیت این نرم افزار را افزایش داده اند. با استفاده از این ابزارها، کارشناسان Oracle قادر هستند که در زمان کوتاه تری، بطور مستمر برنامه Java را کنترل و مرور کنند. همچنین ابزارهای تجزیه و تحلیل نرم افزار بر اساس روش معروف Fuzzing طراحی و بکار گرفته شده اند تا بدین ترتیب، برخی نقاط ضعف خاص به راحتی و به سرعت کشف و شناسایی شوند.

عدم بررسی امنیتی و ضعف کنترل کیفیت برنامه Java 7 که منجر به کشف و شناسایی نقاط ضعف متعددی در این نرم افزار گردید، همواره مورد انتقاد کارشناسان امنیتی بوده است. البته در مراحل بعدی، شرکت Oracle قابلیت های امنیتی جدیدی به نسخه های Java Update 7 و Java Update 21 برای کنترل و مهار نرم افزارهای Java تحت وب، اضافه کرد.

براساس این قابلیت های امنیتی جدید، نرم افزارهای Java تحت وب که اصطلاحاً به آنها Applet گفته می شوند، فقط زمانی قادر به اجرا خواهند بود که دارای گواهی معتبر دیجیتالی باشند. در حال حاضر، تقریباً تمام Appletها فاقد گواهی هستند ولی به تدریج شاهد استفاده از گواهی برای اینگونه نرم افزارها توسط سازندگان آنها هستیم. فعلا از دو روش می توان برای کنترل اعتبار گواهی Appletها استفاده کرد. ولی هر دو روش بطور پیش فرض غیرفعال هستند. در حال حاضر، فعال ساختن این روش های کنترلی می تواند تاثیر سوء و منفی در کارکرد عادی کاربران داشته باشد.

Oracle همچنین در صدد است تا قابلیت کنترل از طریق “فهرست سفید” (White-Listing) با یک مدیریت متمرکز را به Java اضافه کند. این قابلیت به شرکت ها و سازمانها کمک می کند که بتوانند سایت های مجاز به اجرای نرم افزارهای Java را تعریف کنند. برخلاف کاربران خانگی، بسیاری از شرکت ها نمی توانند افزایه های Java را در مرورگرها غیرفعال کنند زیرا این شرکت ها نیاز به دسترسی به برخی از نرم افزارهای های کاربردی تحت Java دارند.

گرچه اغلب نقاط ضعف کشف شده در نرم افزار Java مربوط به افزایه های Java در مرورگرها بوده است، ولی تاثیر اخبار منفی درباره این کشفیات در رسانه های عمومی، باعث نگرانی سازمان هایی که از نرم افزار Java بر روی سرورهای خود استفاده می کنند نیز شده است. به همین منظور شرکت Oracle جداسازی نسخه های Java Client را از Java Server شروع کرده و نسخه  Server JRE برای Java 7 Update 21 فاقد افزونه های مرورگر هست.