Technologie

Der allmonatliche Java-Wahnsinn. Und tschüss!

Das Java-Maskottchen Duke
Das Java-Maskottchen Duke. Winkt schonmal.
geschrieben von Michael Müller

Java läuft auf Milliarden Geräten. Was ein Glück. Leider aber auch auf Millionen vernetzten und somit angreifbaren Heimrechnern. So ein Pech. Es ist an der Zeit, den eigenen PC von der immer wieder durch Sicherheitslücken auffälligen Programmierschnittstelle zu befreien – jedenfalls dann, wenn sich keine unverzichtbare Java-Software auf dem eigenen Rechner befindet. Es empfiehlt sich ein Blick in die eigene Software-Bibliothek.

Das Java-Maskottchen Duke

Das Java-Maskottchen Duke. Winkt schonmal.

Die Sache mit den Sicherheitslücken

Irgendwie ist es ein wenig ironisch, dass Java Runtime Environment (JRE) von einer Firma mit dem Namen Oracle entwickelt wird. Als schon vor Monaten ein schweres Sicherheitsleck in der Java-Schnittstelle für PCs bekannt wurde, orakelte es hier und da, man solle die Software komplett deinstallieren, solange der schwerwiegende Missstand nicht behoben sei. Es dauerte ein wenig, bis ein Bugfix veröffentlicht wurde. Schon bei Bekanntwerden dieser schweren Lücke dachte ich mir: eigentlich ist es wahr – wozu etwas derart Unsicheres dulden, wenn doch kein Java-Programm installiert ist, auf das ich nicht auch verzichten kann?

Durch die schwer greifbare Problematik unsicherer Software rückte das gefährliche Java-Hintertürchen schnell in mein gedankliches Abseits. Und Java durfte bleiben. Heute dann die Mitteilung, es sei endlich ein Update für eine neue Sicherheitslücke verfügbar. Prompt war die Frage, die ich mir schon damals stellte, aktueller denn je. Und bewegte mich zum Handeln: ich prüfte die lokal installierte Software, fand auf den ersten Blick kein unverzichtbares Java-Programm und schmiss folglich JRE endgültig von meinem Rechner. Durchatmen. Gutes Gefühl.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Die Einschätzungen von zahlreichen Fachleuten unterstreichen mein Vorgehen. So sagte beispielsweise ein polnischer Sicherheitsexperte gegenüber der Nachrichtenagentur Reuters, dass weiterhin „zahlreiche kritische Sicherheitsmängel“ in Java enthalten seien: „Wir wagen nicht zu behaupten, es ist sicher Java wieder zu aktivieren“. Um nur Einen zu zitieren.

Nachschauen, bitte!

Ich empfehle jedem, genau diese Nachforschungen nun anzustellen. Die schweren Sicherheitslücken der letzten Monate sollten Grund genug dafür sein, diese paar Minuten zu investieren. Für Windows-Nutzer genügt ein Blick in die „Programme und Funktionen“, die über die Systemsteuerung zu erreichen sind. Als erstes sollte nach „Java 7 Update 11“ geschaut werden. Erscheint eine niedrigere Versionskennzahl als „Update 11“ gibt es zwei Möglichkeiten: die installierte, veraltete Version deinstallieren. Oder Update 11 manuell aufspielen. Die Installationsdatei findet sich auf der Java-Website.

Da der JRE allerdings in letzter Zeit immer öfter Negativschlagzeilen machte, sollte sich jeder Gedanken darüber machen, nicht einen finalen Schlussstrich unter die Java-Installation zu setzen. Eine testweise Deinstallation schadet nicht. Da Programme, die auf JRE aufsetzen schwer als solche zu identifizieren sind, verhindert die Deinstallation von JRE einzig den Start dieser Anwendungen. Sollten sich solcherlei unverzichtbare Applikationen auftun, einfach Update 11 installieren. Ist dem nicht so und alles Wichtige läuft wie gewohnt, ist der persönliche Java-Lebenszyklus wohl für beendet erklärt und ein großes Plus an Sicherheit verbucht.

Wer auf Java nicht verzichten kann, der sollte wenigstens das Browser-Plugin standardmäßig deaktivieren und nur dann hinzu schalten, wenn eine vertrauenswürdige Website mit Java-Inhalten bestückt ist. Eine Anleitung dazu findet sich auf den Java-Hilfeseiten und ist nach Installation von Update 11 sehr viel einfacher, als noch in jüngeren Versionen.

Java oder kein Java? Orakel fragen. Oder handeln.

Schlussendlich muss jeder selbst entscheiden, ob JRE bleiben darf oder nicht. Einerseits ist das eigene Sicherheitsempfinden ein erster Indikator dafür, ob ja oder nein. Hinzu kommt das individuelle Softwareportfolio, das auf Entbehrlichkeit zu prüfen ist. Durch das Deaktivieren von Java im Browser ist immerhin ein erster Schritt zur Abstinenz getan. Und so mancher wird sich schnell wundern, wie wenig sich durch das Deaktivieren der Schnittstelle verändert. Alle anderen müssen auf die Zuverlässigkeit des Update-Orakels vertrauen. Zu blöd, wenn man nicht an Übersinnliches glaubt. Dann ist kurz- bis mittelfristig nur eine Schlussfolgerung richtig: Runter damit!

Bild: (c) Sun Microsystems Inc.

Über den Autor

Michael Müller

Michael tritt seit 2012 in über 140 Beiträgen den Beweis an, trotz seines Allerweltnamens real existent zu sein. Nach Abschluss seines Wirtschaftsstudiums arbeitete er einige Jahre als PR-Berater, bevor er 2016 als Tech-Kommunikator bei einem deutschen Spezialglas-Hersteller einstieg.

32 Kommentare

  • Danke für den Artikel. Als Java-Entwickler stimmt mich die Headline natürlich ein wenig traurig. So richtig widersprechen kann ich den Argumenten aber nicht.

    Das Java-Plugin für den Browser halte ich allerdings schlichtweg für nutzlos. Mir fällt spontan eine einzige Webseite ein, die ich benutze, die ein Applet integriert hat. An sonsten ist Flash, Javascript und meinetwegen Silverlight sowieso viel häufiger anzutreffen.

    Was die JRE an sich angeht, so hängt das wohl tatsächlich von der verwendeten Software ab. Als kleine Eselsbrücke zum erkennen von Java-Software kann ich übrigens folgendes empfehlen: Ist die Oberfläche grau und hässlich, ist es zu 99% Java.

  • Ja, das Browser-Plugin ist tatsächlich in den allermeisten Fällen nutzlos. Allerdings ist Flash ja bekanntlich leider auch keine Vorzeigeschnittstelle, was die Sicherheit angeht.

    Die Eselsbrücke ist gut 🙂 Wobei moderne Java-Software wie jDownloader oder Vuze nicht wirklich unter dieses Raster fallen. Müssen wohl zu dem einen übrigen Prozent gehören 😉

  • Ja, JDownloader und JAnrufmonitor sind die einzigen beiden Programme, weswegen ich Java installiert habe, dafür habe ich auch noch keinen adäquaten Ersatz gefunden.
    Ja, es gibt Webseiten mit sinnvollen Java-Anwendungen: http://www.pdfscissors.com/ Aber das kann man notfalls auch mal in ner VM starten, das braucht man nicht so oft 🙂

  • Das klingt jetzt vielleicht etwas paradox, aber ich kann auf Java nicht verzichten, weil ich es wegen Onlinebanking brauche. 😉

    StarMoney Web setzt bei der verschlüsselten Kommunikation mit der Bank auf Java. Muss es, alles andere würde heißen, dass nicht der Client selbst, sondern der StarMoney-Server für den Kunden die Verbindung zur Bank aufbaut. Und das dürfen sie zu recht nicht.
    Nur Java lässt den Client verschlüsselt direkt mit der Bank kommunizieren, eine Alternative ist imho nicht in Sicht.

  • Java zu deinstallieren ist in meinem Umfeld leider keine Alternative. In allen Arztpraxen in DE muss Java laufen, da die von der Kassenärztlichen Bundesvereinigung herausgegebenen Prüf- und Kryptomodule Java vorraussetzen. Und diese sind einzusetzen.

  • Mann sollte auch ruhig einmal die „Kirche im Dorf“ lassen , ein Windows oder IE hatte auch schon öfters über Monate Riesige Sicherkeitslücken und wohl niemand sagte gleich so Polemisch wie hier: „…Windows-Wahnsinn. Und tschüss!“.
    Warum da immer auf kleinere Plattformen?
    Ein Fix wird sicher kommen, bis dahin kann man es ja Deaktivieren…

  • Kommt das dabei raus, wenn ein Bwl’er über die Tragweite und Entwicklung einer Programmiersprache fachsimpelt ?

  • Am Ende entscheidet jeder selbst, deshalb zeige ich auch alternative Wege als den mit der Brechstange, den ich selbst eingeschlagen habe. Es geht auch weniger darum, Java zum Teufel zu jagen. Vielmehr geht es mir um die Sensibilisierung für solcherlei Sicherheitslöcher, die von vielen gar nicht als so schwerwiegend wahrgenommen werden. Sieht man bspw. an der Verbreitung von Uralt-IE-Versionen.

    Generell sollte sich jeder Nutzer im Klaren darüber sein, welche Software er installiert – und welche er davon tatsächlich nutzt.

    Ich für meinen Teil habe das nun so gelöst, auf den Nischenbrowser Opera zu setzen, Java zu deinstallieren und Flash so aktuell halten wie möglich. Flash ist mir ein letzter Dorn im Auge, allerdings nehme ich hier die Sicherheitsproblematik auf Grund fehlender Alternativen / zu großer Verbreitung in Kauf und hoffe weiter darauf, dass sich HTML5 in der Fläche durchsetzt.

    Deshalb hinkt auch dein Windows-Vergleich, denn ums Verteufeln von unsicherer Software geht es mir in dem Text nicht. Es geht mir vielmehr darum die Leser dazu anzuregen, ob Java für sie entbehrlich ist – wenn ja, runter damit. Windows und Flash sind für die breite Masse hingegen ja nicht wegzudenken.

  • Das größte Problem ist eigentlich Eclipse.

    Ich würde wetten, dass es die meißt genutzte IDE der Welt ist, und sie basiert auf Java. Wen man das mal weiter spinnt, könnte ein großer Teil der Software betroffen sein.

    Oder kennt jemand einen adäquaten Eclipseersatz?

  • > Oder kennt jemand einen adäquaten Eclipseersatz?
    IntelliJ?! Nur leider ist das eben eine zT. kommerzielle Alternative, weswegen sie für manche/viele Privatpersonen nicht in Betracht kommt.

    Ich bin selber Entwickler auch für Java, daher schließe ich mich weitestgehend dem erster Kommentar an. Man sollte aber tatsächlich auseinander halten, dass Sicherheitsprobleme vom Java-Browser-Plugin (bzw. der Sandbox) nicht automatisch auf die allgemeine JRE zurückzuführen sind. Ja, das BSI hat die Warnung etwas übertrieben. Wenngleich eine detaillierte Variante wahrscheinlich (noch) weniger verstanden hätten.

    Das Browser-Plugin braucht man heutzutage viel weniger (als im Vergleich Flash), manche vielleicht sogar nie. Es hätte allerdings etwa auch ausgereicht (ohne Sicherheitsbedenken), wenn man das Browser-Plugin bis gestern Abend deaktiviert oder sicher geblockt hätte (die eigentliche JRE war ja nicht betroffen).
    Nichtsdestotrotz sollte man Software, die man nicht braucht, auch hin und wieder auf den Prüfstand stellen — und entfernen, wenn sie nicht gebraucht wird.

  • @fruchtiger Netbeans bringt hier wenig, verhält sich ähnlich wie Eclipse ohne Java-Installation (netbeans ist auch in Java geschrieben)

    Ich bin ebenfalls Java-Entwickler und werde wohl weiterhin mit diesem Risiko leben müssen. Aber sein wir ehrlich, hier tummeln sich Fachkundige Surver. Würde ich jemanden aus meinem Freundeskreis das erzählen oder Informations-Material bereitstellen würde das nichts bringen. Diese Warnungen, werden nach meiner Erfahrung, höchstens von vll. 10% wahrgenommen und erstmal verstanden.
    Auch vermute ich mal, von den Leuten die nicht genau wissen wie ihr Rechner funktioniert (da kenne ich sehr viele) wird es keiner schaffen Java zu deaktivieren.
    Viele könnten zwar via Google eine Anleitung suchen und finden, aber ich denke den meisten ist die Tragweiter eine solchen Wahrnung nicht bewusst und ihre Zeit für soetwas zu schade…

    oder liege ich da etwa falsch?

  • Mit der Sensibilität für Sicherheit hast du sowas von Recht. Ich denke da auch an Vista, was zwar seine Fehler hatte, aber auch großteils abgelehnt wurde, weil „es ständig einen irgendwas fragt“. Da sieht man, dass die meisten Menschen bereit sind ihre Sicherheit zugunsten der Usability aufzugeben. In diesem Kontext hat man auch Glück, wenn jemand überhaupt weiß was Java ist, beziehungsweise die Tragweite der Lücke erkennt. Man muss aber dahingehend die Menschen ein wenig erziehen. Man ist ja meistens schon zu faul, sich mal die Einstellungen bei Facebook anzuschauen. Das Internet heute ist eben einganz anderes als noch ’98, als jeder noch ohne Virenschutz/Firewall im Netz unterwegs war. Ich würde mich sogar bei der Regierung einsetzen, Internetsicherheit als eigenes Schulfach anzubieten.

    Mfg

  • Ganz meine Meinung. Deshalb sollten unerfahrene und/oder schlicht naive Nutzer ihren PC mit so wenig anfälliger Software bestücken, wie möglich. Das gepaart mit einem selbst-aktualisierenden, modernen Browser und einem unauffälligen Virenschutz ist in meinen Augen in solchen Fällen die beste Lösung.

  • Ja allerdings. Und wenn alle wissen würden was Java ist und es auch deaktivieren/deinstallieren könnten, fällt mein Blick auf tausende Rechner ohne Virenschutz oder auf Rechner mit gleich drei verschiedene Virenscanner-Installationen die alle samt veraltet sind. (Da bringt das deaktivren auch kaum etwas)

    Uhja was die eigene Sicherheit auf den vernetzten Endgeräten angeht sind die meisten sehr Interessant unterwegs. Bei den meisten ist das surfen vergleichbar mit einer Autobahnfahrt als Geisterfahrer auf der A3 Freitag Nachmittag mit 220 KMH.
    Aber unser eins hat ja gut reden und beschäftigt sich Tag ein Tag aus mit diesen Themen als Informatiker.

    Daher sollte man stets versuchen seine Freunde für solche Themen zu sensibilisieren und bei Fragen mit Rat und Tat zur Seite stehen. Manche muss man ab und wann zu Ihrem Surf-Glück zwingen.

  • … oder sie auf die Nase fallen lassen. Nach dem ersten Daten-GAU wird jedem klar, welch hohen Stellenwert die Sicherheit der eigenen Daten doch hat. Nun gut, freundliche Hinweise sind in jedem Falle die bessere, freundschaftlichere Lösung 😉

  • Naja aber der Daten-GAU kann auch für den befreundeten Informtiker mehr Arbeit bedeuten. Und wir Informatiker sind ja „faule Menschen“ (im Übertragenensinne – don’t repeat yourself etc.).
    Aber manchmal ist es dann schon krass, welches Unwissen einem entgegen schlägt. Vorkurzem habe ich meinen eigenen URL-Shortner gebastelt (http://getshort.org) und musste erfahren, dass rund 80% meiner Freunde gar nicht wussten wie das funktioniert. Das ist ja noch nicht mal das krasseste, bei dem man merkt, dass die Leute zwar oft meinen sie sind mit dem Internet aufgewachsen, aber im Grunde gar nichts darüber wissen.

    Aber daher gehört es ja auch zu den Aufgaben eines Informatikers aufklärungsarbeit zuleisten.

  • Mann sollte aber Bedenken das durch durch dieses Aussieben von angeblich verzichtbaren „Alternativen“ erst die großen „Software Monolandschaften“ entstehen welche für Angreifer viel Interessannter und Anfälliger sind , hier drängt sich der Natur Vergleich vom „Fichtenwald“ zu gesunden Mischwald auf.

    „….ohne Virenschutz/Firewall im Netz unterwegs war. Ich würde mich sogar bei der Regierung einsetzen, Internetsicherheit als eigenes Schulfach anzubieten.“

    Virenschutz/Firewall sind wohl mit Sicherheit größtenteils kostenpflichtige Placebo zur „Beruhigung“ der Masse als sie wirklich etwas Nützen, sonnst wären solch Sicherheitslücken ja kein Problem mehr, denn sie Erkennen im Prinzip nur Schädlinge welche bereits Bekannt sind und jeder Hacker welcher etwas auf sich hält überprüft sein Tool hat damit.
    Wie will man Internetsicherheit lehren wenn selbst Firmen und Regierungen damit Probleme haben?
    Bei kommerzieller „Closed Source“ Software ist das Lehren dieser kaum möglich außer auf die „Ausführungs EXE“ zu Klicken und die vorgegebene Bedienung zu erklären.
    Für die Sicherheit müsste man aber schon „unter die Motorhaube“ schauen können.
    Wenn man zukünftig ein Schulfach anzubieten möchte sollte dies wohl „Programmierung“ sein.

  • trololol.
    ich bin java entwickler mit eclipse, klar werde ich mein jre deinstallieren xD
    meine kunden benutzen mein java programm, klar werden die ihr jre deinstallieren um dann nicht mehr arbeiten zu können xD

    dazu kann ich mich nur mika b. anschliessen firewall/antivir sind kostenpflichtige placebos.
    wer will kommt immer rein. ottonormalverbraucher mit grips fängt sich auch so schnell nichts.

    im ganzen bleibt, früher war das internet besser, da musste man nicht so rücksicht auf die dummen nehmen :))

  • Kurze Frage am Rande: Warum soll man gleich das ganze JRE wegwerfen und nicht nur die Browser-Plugins? Dass Java im Browser ein Sicherheitsrisiko und meist unnötig ist, bestreite ich nicht. Weg mit den Plugins.

    Aber was kann das JRE dafür? Das ist auch für Programme zuständig, die ich ganz klassisch auf dem PC installiert habe und die laufen natürlich mit Anwenderrechten. Im Gegensatz zur Web-Geschichte gibt es da keine Sandbox, die ein Angreifer überwinden muss. Normale Java-Programme sind genau so unsicher wie .exe-Dateien, aber sie sollen ja auch nicht sicherer sein. Sie sollen nur nicht ungefragt aus dem Netz gestartet werden können. Das verhindern die Plugins aber nicht zuverlässig.

  • Nach dem Studium der Kommentare weiß ich wirklich nicht mehr, was der Artikel soll. „Naive Nutzer für Sicherheitslücken sensibilisieren“? Wie viele „naive Nutzer“ lesen denn das Branchenmag basicthinking? Das Argument wird ausserdem durch die Einlassung über Flash torpediert. Unsichere Software ist ok wenn sie unentbehrlich ist? Ich hab ein iPad und vermisse Flash nicht. Ist die erste Software, die man runterschmeissen sollte. Java hat zwar Lücken, aber lässt sich in allen Browsern ausser dem InternetExplorer richtig deaktivieren. Also sollte auch der IE fliegen.
    Es gibt einige orginäre Argumente gegen Java. Aber wenn man es wirksam im browser deaktivieren kann frage ich mich warum java gelöscht werden sollte aber flash und ie nicht. Zahlt gerade irgendeine Lobbygruppe dafür Java runter zu schreiben?

  • Wegen der Sicherheitsprobleme des Java-Plugins gleich die ganze Programmiersprache zu verteufeln finde ich auch ziemlich kurzsichtig – dann müssten auch C++ und Konsorten wegen bereits genannter Programme/Plugins verbannt werden…

    Ich benutze die Applet-Technologie seit über 10 Jahren und finde es deswegen jedesmal schade, wie Sun/Oracle/Apple durch Sicherheitslücken das Java-Plugin in Verruf bringen – das Konzept einer Sandbox für eine höhere Progammiersprache im Browser find ich nach wie vor gut. Oder kennt ihr Projekte, die reines Javascript schreiben, was über 100.000 Zeilen Code besitzt? Vielleicht bringt die Zukunft, dass unser Java-Code einfach über eine andere Technik interpretiert wird (Stichwort: GWT). Der Umstieg dahin ist zwar mühselig aber machbar.

  • Habe selbst in Java programmiert, als es (und ich!) noch jung und aufstrebend war 1995-1998; ohne eclipse oder swing. Der Ansatz der Portabilität war prima. Mit der Zeit wurde das System, welches sich nur noch mit aufwändigen IDEs verwalten ließ, so dermaßen unüberschaubar, dass man sich auf Programme verlassen musste, die selbst Programme schreiben bzw. generieren. Bugs, Fremdeingriffe oder gar Lücken konnte man noch mit einer lahmen Karre als Rechner „erahnen“. Brisante Fehler, die mit Holzhammertechniken, wie try – catch abgefangen werden sollten haben dank deren Effektivität dazu geführt, dass die unglaublich komplizierten und nahe an der Teilchenphysik modellierten Steuerprogrammen von Spülmaschinen einen Reset-Schalter haben. Dank Multikern und GHz ist das aber kein Problem mehr – so, wie der Klammergriff unter DOS nach dem Motto „wenne nixe mehrr tut, dann boot!“. Dann ist das halt so! Eine „virtuelle Kompatibilität“, die „deprecated functions“ anprangert, zeigt mir, wo der Hase bei Java hinläuft. Java-Programme sollten einmal geschrieben werden und dann auf jedem Zielsystem laufen. Da entwickle ich doch mal auf meiner zSeries z9 S08 ein Programm für mein Samsung-Handy zur Auswertung von astronomischen Radiowellendaten von Quasaren (grunz). Spätestens nach der Übernahme durch Orcale hat Java an Glaubwürdigkeit und Sinn deutlich eingebüßt, denn ökonomische Interessen sind dort – wie in Remond – der Taktgeber. Mit Sicherheit ist der Tag nicht mehr fern, an dem dann das SDK und die JRE erst in der Leistung begrenzt und dann gegen Mietgebühren oder Softwarelizenzverträge freigegeben wird. Da ja dann ohnehin alles vernetzt ist, meldet sich dann der Trial-Native-Code-Compiler erst im Netz bei Orcale an, übermittelt die Signatur ( Raumschiff Enterprise läßt grüßen!) und wenn die Lizenz gültig ist, darf erst gestartet werden. Das aber auch durch Java richtig Leistung verballert wird, weil es nicht in der orginären Systemumgebung läuft, sollte mal Umweltschützern hinsichtlich der unnötigen Energieverschwendung zu denken geben – und das nicht nur auf dem Rechner sondern besonders auf jedem der – wie heißt es doch so schön während der Installationsroutine von Java? – 150 million ( billion?) gadgets running Java.
    Ich brauch’s nicht.
    Gottlob!
    Mein aufrichtiges Mitgefühl aber an alle, die dazu verdammt sind Java zu nutzen.

  • Tja, das ist das Problem mit der Bereichtserstattung. Es heißt immer nur „Java hat eine Lücke“. Grob betrachtet stimmt das auch. Schaut man allerdings genauer hin stellt sich heraus, dass das Java-Plugin in den Browsern das eigentliche Problem darstellen. Statt die Anwender aufzuklären wird nur zu gerne Panik verbreitet.

    Die allermeisten Standalone-Programme auf Java-Basis (und davon gibt es nicht all zu viele) sowie die allermeisten Server-Applikationen dürften von den zahlreichen Sicherheitslöchern, die in den vergangenen Monaten durch die Presse gegangen sind nicht betroffen sein. Lediglich Applikationen, die durch Plugins oder Module von Dritten auf irgendeine Art und Weise erweitert werden können sind gefährdet. Für alle anderen Java-Applikationen (außerhalb eines Browsers) gilt: Der Angreifer muss erst einmal in den Rechner eindringen, eine manipulierte jar-Datei platzieren um dann wieder aus der Java-Sandbox über einer der zahlreichen Sicherheitslücken ausbrechen zu können. Und dies macht aus meiner Sicht keinen Sinn, denn wer bereits Zugriff auf den Rechner hat (um die jar-Datei zu platzieren), muss nicht noch erst wieder aus einer Java-Sandbox ausbrechen …

    Generell geb ich den Autor aber Recht: Anwendungen, die man selber nicht (mehr) benötigt sollten ruhig auch mal deinstalliert werden. Ordnung ist das halbe Leben!

  • Ja es gibt immer wieder Sicherheitslücken in Java, aber mehr als in Programmen anderer Sprachen? Ich glaube nicht.
    Es gibt haufenweise Sicherheitslücken für C Programme die du massenweise auf deinem PC hast 😀

    Wer einen Computer nutzen will, der muss damit leben das es IMMER Sicherheitslücken geben wird, in regelmäßigen Abständen, es geht nicht anders.
    Ist quasi ein Naturgesetz, fressen und gefressen werden. Es wird niemals absolute Sicherheit geben.

    C/C++ Programme sind bekannt für ihre ewigen Sicherheitsprobleme mit Buffer-Overflows.

    Ist aber natürlich deine Entscheidung, wenn du sowieso nicht auf Java Programme angewiesen bist, kannst du an der Stelle das Risiko für dich minimieren. Man kann das aber nicht verallgemeinern.