Viren, Spyware, Datenschutz 11.012 Themen, 90.994 Beiträge

News: Elster verlangt Java

Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern

Michael Nickles / 62 Antworten / Baumansicht Nickles

Die Pannenserie bei Oracles Java reißt nicht ab. Erst vor rund einer Woche wurde die Version 7 Update 15 ausgeliefert, die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

Tatsache ist leider, dass sich auch diese neue Version längst als Griff ins Klo entpuppt hat. Das Sicherheitsunternehmen Security Explorations hat in der aktuellen Version zwei Sicherheitslücken entdeckt und diese Oracle mitgeteilt und "Beweiscode" geliefert. Oracle untersucht die Sache derzeit.

Michael Nickles meint:

Es ist nicht mehr lustig, was sich da abspielt. Oracle scheint dieses Java einfach nicht in den Griff zu kriegen. Und das hat ist leider kein Gimmick, weil diese permanenten Java-Sicherheitslücken zunehmend ausgenutzt werden, bevor Oracle sie stopfen kann.

Unter anderem Zdnet hat berichtet, dass Java-Schwachstellen jüngst für die Cyberattacken auf Apple, Facebook und Microsoft genutzt wurden. Aktuell hat man eigentlich nur eine einzige Chance sich von dem Java-Wahnsinn zu befreien: es im Browser explizit ausschalten.

Das geht bei jedem Browser leider unterschiedlich, ist bei den "Plug-In/Addon"-Einstellungen verbuddelt. Laien haben da eigentlich verloren - aber die kriegen die Existenz solcher Sicherheitsbomben in ihrem Rechner sowieso gar nicht mit.

Noch schlimmer: viele sind sogar dazu gezwungen Java zu verwenden, können es gar nicht abschalten. Seit 2005 sind beispielsweise alle steuerpflichtigen Arbeitgeber und Unternehmer gesetzlich dazu verpflichtet, Lohnsteuer-, Umsatzsteuer- und Lohnbescheinigungsmeldungen über das Elster-Meldeverfahren durchzuführen:

Auf der Elsteronline-Webseite werden die Anforderungen für den Betrieb der Software aufgelistet. An erster Stelle steht "Java".

 

Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden, die nur auf einer extrem sicherheitsanfälligen Umgebung läuft. Das macht nachdenklich. Zwar gibt es alternative Elster-Software, aber auch die braucht für die Übermittlung das Java-Zeugs. Elster ohne Java geht also nicht, wie auch hier im Elsterforum erklärt.

Es ist schon eine saublöde Situation. Auch Mittelstandswiki hat Anfang Januar berichtet, dass der Elster-Zwang für Unternehmen zunehmend ein Fall für die IT-Abteilungen werde. Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

bei Antwort benachrichtigen
Slartibartfas Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

Noch schlimmer: das Finanzamt verlangt Version 6.0, das läuft nur damit. Man kann gar nicht updaten. Letztendlich bleibt nur, für den Finanzkram eine eigene VM einzurichten, in der nur das gemacht wird ...

Das Leben ist zu kurz für schlechtes Werkzeug
bei Antwort benachrichtigen
winnigorny1 Slartibartfas

„Noch schlimmer: das Finanzamt verlangt Version 6.0, das ...“

Optionen
Noch schlimmer: das Finanzamt verlangt Version 6.0, das läuft nur damit.

Jo, das hatte ich auch schon mal in einem Thread geschrieben und beim Finanzamt bemängelt; wollte deshalb nur schriftlich abgeben. - Da hatte ich dann 3 Monate Bedenkzeit; dann haben die mich gezwungen, das mit Elster abzugeben! - Denen doch wurscht, wenn ein Rechner abgeschossen wird, den Deppen!

Pervers: auch das staatliche Bundesamt für Sicherheit in der Informationstechnik warnt längst ausdrücklich vor der Java-Laufzeitumgebung.

Pervers ist viel zu Milde für so eine staatliche Dummheit und Willkür!
Grüße aus Hamburg, Winni - https://www.das-bumerang-projekt.de
bei Antwort benachrichtigen
IRON67 winnigorny1

„Jo, das hatte ich auch schon mal in einem Thread ...“

Optionen

Die passende Überschrift für Mikes Artikel hätte lauten müssen:

Staat als Handlanger der Malware-Mafia entlarvt

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Michael Nickles IRON67

„Die passende Überschrift für Mikes Artikel hätte lauten ...“

Optionen

Coole Überschrift! :-)

bei Antwort benachrichtigen
cacare winnigorny1

„Jo, das hatte ich auch schon mal in einem Thread ...“

Optionen

Das finde ich auch.
Zu gefährlich java auszuführen...
Eigentlich komisch das Oracle das Problem nicht in den Griff bekommt. Die haben doch sehr gute IT- Spezialisten.

bei Antwort benachrichtigen
IRON67 Slartibartfas

„Noch schlimmer: das Finanzamt verlangt Version 6.0, das ...“

Optionen
Noch schlimmer: das Finanzamt verlangt Version 6.0, das läuft nur damit.

Dann ist doch aber die Aussage des "Konfigurationsassistenten" falsch oder zumindest irreführend.


Die könnten sich zwar damit herausreden, dass im alten 6er-Zweig 6 u41 aktuell ist, aber andererseits hat Oracle für die 6er-Reihe das END OF LIFE erklärt, d.h. Sicherheitsupdates wird es nur noch für zahlende Kunden geben, nicht aber für die Besucher der Webseite und Nutzer von Elster-Online.

https://blogs.oracle.com/henrik/entry/java_6_eol_h_h

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
mawe2 IRON67

„Dann ist doch aber die Aussage des ...“

Optionen
Dann ist doch aber die Aussage des "Konfigurationsassistenten" falsch oder zumindest irreführend.

Ich denke nein. Laut https://www.elsteronline.de/eportal/Anforderungen.tax kann JRE sowohl in Version 6 als auch in Version 7 benutzt werden.

Gruß, mawe2
"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
IRON67 mawe2

„Ich denke nein. Laut ...“

Optionen

Dann hat sich Slartibartfas wohl vertan. Angesichts des neuen Exploits auch für den 6er Zweig, der heute gemeldet wurde, ist das ja nun hochaktuell.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
mi~we Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

Also Firefox,Google Chrome und Opera haben ja mittlerweile eine 'Click-to-Play' Funktion. Da werden dann Plugins wie Java oder Flash nicht mehr automatisch ausgeführt, sondern erst, wenn der Anwender das mit einem Mausklick auslöst!

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
XAR61 Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

Ja, Micha, mit diesem Thema hast Du wirklich einen wunden Punkt getroffen. Mal abgesehen von Java, Die Elster ist im Grunde genommen eine Schrottlösung wenn das was man tut nicht in das raster passt betifft den Privaten wie auch den gewerblichen Bereich, Zum Glück sind die Finanzbeamten trotz des Mehraufwandes sehr entgegen kommend. Meine Erfahrung mit Elster ist nicht die beste, gibt es eigendlich eine online alternative zu dieser engstirnigen Software ? 
Offenbar versucht hier jemand mit Gewalt in die Systeme einzudringen zu dürfen, in dem man dem anderen zwingt zum "Ja" für weniger IT-Sicherheit.

bei Antwort benachrichtigen
BastetFurry Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

Java im Browser? NoScript! Ist zwar am Anfang nervig, aber mit der Zeit wird das.
Dann noch ABP hinterher, nicht vergessen nickles.de zu Whitelisten ;) , und schon ist man auch gegen Affiliatenetworks gefeit die ihre Werbung nicht kontrollieren. Die wollen es ja alle nicht anders.

bei Antwort benachrichtigen
IRON67 BastetFurry

„Java im Browser? NoScript! Ist zwar am Anfang nervig, aber ...“

Optionen
Java im Browser? NoScript!

Man kann zwar Java auch mit NoScript eindämmen, ober ich hoffe sehr, dass nicht auch DU das jetzt mit JavaScript vermengst.

Um JAVA zu entschärfen, kann man entweder das Plugin vorübergehend bei den Plugins im Add-on Manager deaktivieren (was mit einem Add-on wie Quickjava bequemer geht) oder man wirft es komplett über das Java control Panel in der Systemsteuerung raus. Ein weiterer Hemmschuh weniger drastischer Art wäre Click-to-Play, also über about:config die Einstellung plugins.click_to_play auf true ändern.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
BastetFurry IRON67

„Man kann zwar Java auch mit NoScript eindämmen, ober ich ...“

Optionen
Man kann zwar Java auch mit NoScript eindämmen, ober ich hoffe sehr, dass nicht auch DU das jetzt mit JavaScript vermengst.
Tue ich sicherlich nicht. :)

Um JAVA zu entschärfen, kann man entweder das Plugin vorübergehend bei den Plugins im Add-on Manager deaktivieren (was mit einem Add-on wie Quickjava bequemer geht) oder man wirft es komplett über das Java control Panel in der Systemsteuerung raus.
Nö, dafür kann man auch bequem den Seiten dennen man nicht vertraut mit NoScript das Recht irgendwelche Dinge auszuführen entziehen.
bei Antwort benachrichtigen
IRON67 BastetFurry

„Tue ich sicherlich nicht. :) Nö, dafür kann man auch ...“

Optionen
mit NoScript das Recht irgendwelche Dinge auszuführen entziehen.

Und was ist mit denen, denen man vertraut? NoScript ist zwar zweifelsohne das wichtigste Sicherheitsadd-on, aber es ist kein Rundumschutz. Wärst du mit dieser Einstellung Ende letzten Monats auf PC-Welt gelandet, hättest du dir einen Trojaner fangen können.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
BastetFurry IRON67

„Und was ist mit denen, denen man vertraut? NoScript ist ...“

Optionen

Das glaube ich kaum:

bastetfurry@katzenrechner:~$ java -version
java version "1.6.0_27"
OpenJDK Runtime Environment (IcedTea6 1.12.3) (6b27-1.12.3-0ubuntu1~12.04)
OpenJDK 64-Bit Server VM (build 20.0-b12, mixed mode)

;)

EDIT: Der Browser nutzt exakt die selbe VM, logischerweise.

bei Antwort benachrichtigen
IRON67 BastetFurry

„Das glaube ich kaum:bastetfurry@katzenrechner:~$ java ...“

Optionen

Ja, die Linuxer werden auch immer schlampiger. Erwischt sie keine Windows-Malware, dann eben eine andere. Auch bei Linux ist 6 u41 aktuell und nicht 6 u27.

Apropos Linux:

http://heise.de/-1810516

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
BastetFurry IRON67

„Ja, die Linuxer werden auch immer schlampiger. Erwischt sie ...“

Optionen
Auch bei Linux ist 6 u41 aktuell und nicht 6 u27.
Kann ich nix dafür wenns nicht im Rep von Canonical ist. *shrug*
Apropos Linux:http://heise.de/-1810516
Haben wir immer mal wieder, kommt immer mal wieder rein.
Im Gegensatz zu Windows ist diese Lücke aber erst ausgenutzt worden nachdem der Kernel schon gefixt wurde. =]
bei Antwort benachrichtigen
IRON67 BastetFurry

„Kann ich nix dafür wenns nicht im Rep von Canonical ist. ...“

Optionen
nachdem der Kernel schon gefixt wurde.

Bei weltweit allen Usern? Glaubsch jetzt aber nicht ;)
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
fakiauso IRON67

„Ja, die Linuxer werden auch immer schlampiger. Erwischt sie ...“

Optionen

Hi

Ja, die Linuxer werden auch immer schlampiger.

Nö, weil BastetFurry OpenJDK hat, nicht Oracles JDK. Und da ist Version 6b27 Stand der Dinge, sonst Version 7:

http://hg.openjdk.java.net/jdk6/jdk6/hotspot

http://hg.openjdk.java.net/jdk7u/jdk7u/

Oracles Java darf wegen patentrechtlicher Probleme nicht mehr über die Paketverwaltungen verteilt werden und ist deshalb von Hand einzupflegen, da ist Version 41 korrekt:

http://wiki.ubuntuusers.de/Java/Installation/Oracle_Java?redirect=no

http://www.oracle.com/technetwork/java/javase/downloads/index.html

Immerhin sind die Kernelprogrammierer beim Fixen fixer;-)
Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
IRON67 fakiauso

„Hi Nö, weil BastetFurry OpenJDK hat, nicht Oracles JDK. Und ...“

Optionen

Ahso. Na da darf man ja gespannt sein, welche Lücken da noch schlummern...

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
fakiauso IRON67

„Ahso. Na da darf man ja gespannt sein, welche Lücken da ...“

Optionen

Hallo

Ahso. Na da darf man ja gespannt sein, welche Lücken da noch schlummern...

Die Versionsbezeichnung kannst Du jetzt nicht 1:1 übernehmen, da OpenJDK und das normale JDK von Oracle zwei Paar Schuhe sind. Gleiche Version bedeutet also in diesem Fall nicht automatisch gleicher Entwicklungsstand, Updates gibt es für das OpenJDK trotzdem, auch wenn sich die Versionsnummer nicht ändert (ein Auszug aus der letzten Systemaktualisierung bei mir):

Vorbereiten zum Ersetzen von openjdk-6-jdk 6b27-1.12.1-2ubuntu0.10.04.2 (durch .../openjdk-6-jdk_6b27-1.12.3-0ubuntu1~10.04_i386.deb)

OpenJava empfiehlt grundsätzlich die Version 7, die 6 wird wohl aus Kompatibilitätsgründen parallel dazu noch weitergepflegt.

http://openjdk.java.net/projects/jdk6/

Zitat daraus:

"Since then, all three trains, 6 update, OpenJDK 7, and OpenJDK 6, have continued evolving, with certain fixes being applied to or ported between the releases. Security fixes are applied to all release trains."

Da einige Lücken in Oracles Java sehr wahrscheinlich im proprietären Teil des Codes liegen dürften, ist das OpenJDK in diesem Fall gar nicht betroffen davon, denn dort wurde dieser Code ja zwangsweise entfernt.

fakiauso
Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
BastetFurry fakiauso

„Hallo Die Versionsbezeichnung kannst Du jetzt nicht 1:1 ...“

Optionen
Da einige Lücken in Oracles Java sehr wahrscheinlich im proprietären Teil des Codes liegen dürften, ist das OpenJDK in diesem Fall gar nicht betroffen davon, denn dort wurde dieser Code ja zwangsweise entfernt.
Und trotzdem läuft alles paletti.
Okay, das einzige was hier großartig unter Java läuft ist Minecraft und der dazugehörige Server, aber sonst ist hier kein Java.
bei Antwort benachrichtigen
IRON67 fakiauso

„Hallo Die Versionsbezeichnung kannst Du jetzt nicht 1:1 ...“

Optionen

ist das OpenJDK in diesem Fall gar nicht betroffen davon

Naja...aber wirklich wissen kann man es als Endanwender nicht, oder? Mir wäre das suspekt.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
fakiauso IRON67

„Naja...aber wirklich wissen kann man es als Endanwender ...“

Optionen

Hi

Naja...aber wirklich wissen kann man es als Endanwender nicht, oder

Das trifft ja in erster Linie Linuxanwender, denn unter den anderen Systemen wird wohl vorrangig Oracle laufen, da gilt halt weiterhin ständig updaten und Plugin abschalten. In den aktuellen Distris läuft sowieso die JDK 7, aber der Stand der Sicherheitsupdates ist bei JDK 6 und 7 identisch. Das macht dann eben die kleine Versionsnummer am Ende des Paketes, wenn es über die Paketverwaltung installiert wird. Sicherheitsupdates werden von den Distributoren zügig eingearbeitet, das liegt zwischen Stunden und wenigen Tagen, aktualisieren muß der User natürlich trotzdem selber.
So gesehen ist jede noch so aktuelle Software weiterhin "unsicher", wobei ich da unabhängig von der Versionsbezeichnung behaupte, dass OpenJDK eben weil es Open Source ist, bei Patches schneller reagiert.
Unter Oracle ist dann das Problem, das aus meiner Sicht bei Problemen im proprietären Code erst der entsprechende Inhaber verständigt werden muß, dieser paßt den Code an oder läßt anpassen, je nachdem, wie das mit Oracle vereinbart ist, der wird dann eingebaut uswusf. Das Ergebnis ist bekannt.

@BastetFurry

Und trotzdem läuft alles paletti.

Leider nicht immer. Wir nutzen für unseren Fortbildungsunterricht eine auf Java basierende Anwendung, erst von CD und inzwischen online. Bei ersterer war das praktisch nur zu nutzen, wenn es auf Platte kopiert wurde, sonst hat sich das Ding in schöner Regelmäßigkeit aufgehängt.

Bei der jetzigen Version funktioniert es wie bei Elster bislang nur mit Oracles Java, die Laufzeitanwendung per Webstart mit IcedTea geht entweder gleich in´s Nirvana oder produziert eine Fehlermeldung. Die habe ich auch bereits an die Entwicklungs-Hotline gesendet und versucht, selbst durch eine speziell angepaßte Runtime hinzubiegen, aber bei meinen eher bescheidenen Programmierkenntnissen erfolglos (ein chinesischer Reiseführer ist da genauso zielführend;-).
Bei den Programmierern scheint der Sicherheitsaspekt nicht zu interessieren und die Hotline-Mitarbeiter leiten es auch nur weiter. Wenn sich da ein Windows-Nutzer über diesen Zimt eine Drive-by-Infektion kassiert, weil er eben mit veraltetem Plugin unterwegs ist - Pech gehabt:-( Der Knüller ist dann noch, dass die Anwendung nicht einmal zertifiziert ist und deshalb noch ein Untrust-Dialog abgenickt werden muß, zumindest komisch ist das für mich schon, aber wie gesagt, eine Reaktion habe ich bis jetzt noch nicht erhalten.

Bei Elster werden wir daher solange es geht, fein bei der Version mit Papier und Abgabe auf dem Finanzamt bleiben, wenn es nicht wie bei der Gesundheitskarte, dem biometrischen Ausweis usw. irgendwann erzwungen wird.

fakiauso
Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
IRON67 fakiauso

„Hi Das trifft ja in erster Linie Linuxanwender, denn unter ...“

Optionen
Das trifft ja in erster Linie Linuxanwender

Die meinte ich mit Endanwender in diesem Fall. Zwinkernd

aktualisieren muß der User natürlich trotzdem selber.

Eben. Und vertrauen muss er dabei den Entwicklern/Programmierern,...

Bei den Programmierern scheint der Sicherheitsaspekt nicht zu interessieren

Tadaaaa!
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
fakiauso IRON67

„Die meinte ich mit Endanwender in diesem Fall. Eben. Und ...“

Optionen

Hi

Da vermehrst Du jetzt etwas:

OpenJDK wird über die Paketverwaltung installiert und aktualisiert, das hier:

aktualisieren muß der User natürlich trotzdem selber.

ist dann lediglich das Anstoßen der Aktualisierung, aber die Meldung über Updates erfolgt bei jeder gängigen Distri, die ich so kenne, voreingestellt automatisch, unter Windows muß das noch neben den Updates extra für Java gemacht werden, von daher ist also der Pinuin pflegeleichter.
Den Programmierern muß der Endanwender wohl oder übel bei jedem Stück Software vertrauen, dass auf den Rechner kommt und das dürften die meisten sein, sowohl User als auch Programme;-)
Wer weiß jetzt schon, was in jedem Programm an Macken steckt, die nur noch nicht entdeckt wurden. Wer das nicht in Kauf nehmen will, ist faktisch gezwungen, den Stecker zu ziehen, keine CD, keinen Stick oder was auch immer an den PC anzuschließen, denn da wo etwas rein geht, geht auch etwas raus und umgekehrt. Bei dieser Denke wird der PC als solches aber auch irgendwie sinnlos.

Da aber bei Openjava sowohl der Quellcode zum Download steht als auch Mailing-Listen für Bugreports existieren, gehe ich davon aus, dass dort Fehler, egal welcher Art, wesentlich schneller gefunden und behoben werden, wie im Closed-Source von Oracles Java.
Falls Du die Seite nicht schon kennst, kannst Du Dich hier noch etwas einlesen, ist zwar für Ubuntu, aber die Versionsproblematik trifft im Grunde auf alle Distris zu, insbesondere der Absatz OpenJDK:

http://wiki.ubuntuusers.de/Java/Installation


Mit den scheinbar desinteressierten Programmierern meinte ich jetzt speziell jene unserer Anwendung, die es nicht einmal fertig bringen oder für nötig halten, das Programm auf anderen JRE lauffähig zu machen außer der von Oracle oder gleich eine andere Lösung zu finden, halt die Einzige, für die ich überhaupt noch Java im Web benötige.

fakiauso
Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
IRON67 fakiauso

„Hi Da vermehrst Du jetzt etwas: OpenJDK wird über die ...“

Optionen
Da vermehrst Du jetzt etwas:

Hö? Du meinst wohl "vermengst". Und nein, tue ich nicht. Ich hab dich schon verstanden. Und mir ist auch klar, dass die Paketverwaltung von Linux sinnvoller ist als das Stückwerk bei Windows. Darum gehts nicht. Es geht darum, dass das Updaten letztlich immer in der Verantwortung des Users liegt und man bei Linux ebenso schlampen kann wie bei Windows. Mit weniger drastischen Auswirkungen vielleicht, aber es geht sehr wohl.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
fakiauso IRON67

„Hö? Du meinst wohl "vermengst". Und nein, tue ich nicht. ...“

Optionen

Hi

Auch wenn es jetzt wirklich OT wird:

Da vermehrst Du jetzt etwas:

Da bin ich in´s "Dialektische" abgeglittenZwinkernd

Und da kann ein Erzgebirger durchaus etwas verwurschteln oder vermehren (sogar ohne das es mehr wird) oder aber auch einfach nur herum mähren...

fakiauso
Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
IRON67 fakiauso

„Hi Auch wenn es jetzt wirklich OT wird: Da bin ich in s ...“

Optionen

Jaja, die Bergbewohner Zunge raus....

Wie heißts bei euch? Arzgebirg, wie bist du schie...

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Alter68er fakiauso

„Hi Auch wenn es jetzt wirklich OT wird: Da bin ich in s ...“

Optionen
vermehrst Du jetzt etwas:
Sollte es dann nicht "verm ä hrst" geschrieben werden?
bei Antwort benachrichtigen
fakiauso Alter68er

„Sollte es dann nicht "verm ä hrst" geschrieben werden?“

Optionen
Sollte es dann nicht "verm ä hrst" geschrieben werden?

Das kommt auf die Stimmung an;-)
Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Buddy1 Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen
die auf der Download-Seite  www.java.com/de/download auch weiterhin angeboten wird - ohne besondere Hinweise auf Risiken.

... es geht auch noch besser.

Ich habe in den Browsern Java abgeschaltet, aber bis heute Morgen noch die SW installiert.
Und zwar Version 7 Update 13.
Gestern läuft mal wieder die Autoupdatefunktion und die war glatt der Meinung ich hätte die aktuellste Version.
Der Ansatz Java ist eigentlich eine feine Sache gewesen, aber nun ...

... Schluss, Aus, Ende .. der Mist ist von dem "Produktivsystem" für alle Zeiten verbannt.

Ein "Elster-Rechner" ist in Arbeit. Ohne lokale Netzwerkzugriffe.

@SLARTIBARFAS:
Ist Version 7... nicht abwärtskompatibel? Das sollte doch nichts ausmachen
bei Antwort benachrichtigen
Hassashin Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

> Deutsche Unternehmer sind also staatlich dazu verpflichtet eine Software zu verwenden,
> die nur auf einer extrem sicherheitsanfälligen Umgebung läuft.

Nicht nur die: die AusweisApp für den ePerso funktioniert auch nur mit Java (und ebenfalls nur mit Java 6), einige Module der A2LL-Software der ArGen laufen unter Java (Java 6, was sonst) genauso wie einige interne Module der A'agentur-Software.

Nicht nur das, manche verlangen explizit ältere Versionen (z.B. JRE6U29) und blocken aktuelle mit der Meldung "Sie benutzen eine veraltete Version." Na Klasse.

Gruß
Hassashin

--
Farcebook ist die Pest des Internet und gehört ausgerottet.

Gruß Hassashin -- Farcebook ist die Pest des Internet und gehört ausgerottet.
bei Antwort benachrichtigen
winnigorny1 Hassashin

„> Deutsche Unternehmer sind also staatlich dazu verpflichtet ...“

Optionen
Farcebook ist die Pest des Internet und gehört ausgerottet.

Farcebook ist ne wirklich nette Wortschöpfung! Lachend

Aber: Das Internet gehört ausgerottet? - Wieso postest du hier eigentlich irgendwas? So weit ich weiß, brauchts dafür das Internet! Zunge raus
Grüße aus Hamburg, Winni - https://www.das-bumerang-projekt.de
bei Antwort benachrichtigen
IRON67 winnigorny1

„Farcebook ist ne wirklich nette Wortschöpfung! Aber: Das ...“

Optionen
Aber: Das Internet gehört ausgerottet?

Lies langsamer! Er schrieb Farcebook ist die Pest des Internets und gehört ausgerottet.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
winnigorny1 IRON67

„Lies langsamer! Er schrieb Farcebook ist die Pest des ...“

Optionen
Farcebook ist die Pest des Internets und gehört ausgerottet

aaah - ich werde alt! Danke für den Hinweis! Überrascht
Grüße aus Hamburg, Winni - https://www.das-bumerang-projekt.de
bei Antwort benachrichtigen
reader Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

Und was wird an hochschulen gelehrt? Java!
Welche entwickelr werden egsucht? Java!
Was scheint super hip zu sein? Java!

"Why da fuq?" wenn ich es fragen darf!

 Warum wird überall Java gelernt, javaentwickler werden wie heiße semmeln behandelt - und dann wiederum: ich habe mit Java nur in form von sciherheitsmeldungen bei diversen seiten zu tun. ja - installiert, aber deaktiviert. geht bestens - wo passiert die ganze java-geschichte?

bei Antwort benachrichtigen
BastetFurry reader

„Und was wird an hochschulen gelehrt? Java! Welche entwickelr ...“

Optionen
wo passiert die ganze java-geschichte?
In deinem Auto, wo sich die CPU 200ms Bedenkzeit einräumt ob sie jetzt das Bremslicht einschaltet oder nicht wenn du auf die Bremse latscht. xD
bei Antwort benachrichtigen
Borlander BastetFurry

„In deinem Auto, wo sich die CPU 200ms Bedenkzeit einräumt ...“

Optionen

Es gibt Java-Implementierungen die harte Echtzeitbedingungen erfüllen…

bei Antwort benachrichtigen
Borlander reader

„Und was wird an hochschulen gelehrt? Java! Welche entwickelr ...“

Optionen
Und was wird an hochschulen gelehrt? Java!

Als eine von mehreren Sprachen…

Was scheint super hip zu sein? Java!

Java ist eine ganze Menge, aber als "hip" gilt es wohl eher nicht.

wo passiert die ganze java-geschichte?

An vielen Stellen an denen gearbeitet wird im Hintergrund. Ohne das es jemand merkt. Java bringt von Haus aus eine ganze Menge an Dingen mit die sinnvoll sind bei größeren Projekten, viele fertige Lösungen für häufige Probleme, ist portabel und es gibt sehr gute Entwicklungsumgebungen (ohne vernünftige Entwicklungsumgebung ist die beste Programmiersprache einen Scheissdreck wert). Im Fall von Eclipse wurden kürzlich sogar 50 Jahre Support zugesagt. Insgesamt hat man mit Java eine (voraussichtlich) langfristig stabile Plattform…

bei Antwort benachrichtigen
mawe2 Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

Ich habe vor ein paar Wochen den Betreibern von Elster die Frage gestellt, warum ausgerechnet steuerliche Daten mit einer so katastrophalen Software wie Java übermittelt werden müssen. Nach ein paar Tagen habe ich folgende plausible (wenn auch nicht befriedigende) Antwort bekommen:

Zitat: "Java-Applets waren zum Zeitpunkt der Entwicklung des ElsterOnline-Portals als einzige Technologie plattformübergreifend und unter den gängigen Browser lauffähig . Daneben ermöglichen sie einen Zugriff auf die PersonalSecurity-Environments (SoftPSE, Sicherheitssticks, Kartenleser bei ELSTER-Plus). Die Personal-Security-Environments werden zur authentifizierten Abgabe von Steuerdaten mittels Zertifikaten (Signaturerstellung) benötigt. Die Probleme mit Oracle konnten damals (2005) nicht vorhergesehen werden. Wir beobachten jedoch ständig die Marktlage und sollte es eine alternative Technologie geben, die unsere Anforderungen erfüllt, prüfen wir sie gerne!"

Nun kann man den Betreibern natürlich jede Menge Vorwürfe machen...

Man muss aber auch die Frage beantworten: Welche andere Technologie erfüllt denn alle die Voraussetzungen, die hier gebraucht werden?

Wie man sieht: Sichere Alternativen sind willkommen!

Gruß, mawe2

"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
Ventox Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

Irgendwie verstehe ich das nicht.
Ich habe gerade eben mit Elster meine Steuererklärung gemacht, obwohl ich nicht Java installiert habe.
Auf der Seite https://www.java.com/de/download/testjava.jsp wird mir nämlich für den Firefox 19.0 und dem Internet Explorer 10 "Auf Ihrem System wurde keine funktionsfähige Java-Version ermittelt" angezeigt.
Also hätte doch Elster nicht funktionieren können, oder?
Hat es aber.
Liegt es vielleicht daran, dass ich kein Zertifikat habe und deshalb neben der Datenübertragung ans Finanzamt noch die unterschriebene Kurzfassung der Steuererklärung per Briefpost ans Finanzamt schicke?
Das also dafür kein Java nötig ist?

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
IRON67 Ventox

„Irgendwie verstehe ich das nicht. Ich habe gerade eben mit ...“

Optionen
obwohl ich nicht Java installiert habe. ...wird mir nämlich für den Firefox 19.0 und dem Internet Explorer 10 "Auf Ihrem System wurde keine funktionsfähige Java-Version ermittelt" angezeigt.

Wenn du kein Java installiert hast, dann MUSS diese Meldung kommen. Soweit ist das ja normal.
Wenn du sowieso weißt, dass du kein Java hast, ist der Aufruf der Testseite doch überflüssig. Selbst ein blockiertes Script oder die Click-to-Play-Funktion von Firefox kann dieses Verhalten auslösen.

Und wie es der Zufall will, blockiert Mozilla mit dieser Funktion derzeit halbherzig Java wegen der neuen Sicherheitslücken standardmäßig.

Wenn du wirklich wissen willst, ob die Java Laufzeitumgebung (JRE) installiert ist, dann schau doch in die Systemsteuerung in die Liste installierter Programme bzw. sieh nach, ob dort das Java Control Panel existiert.

Der Rest ist allerdings interessant. Aufklärung wäre nützlich.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Ventox IRON67

„Wenn du kein Java installiert hast, dann MUSS diese Meldung ...“

Optionen

Ich hatte vor kurzem wegen der Sicherheitslücken alle installierten Java Versionen deinstalliert.
Habe trotzdem noch mal nachgeschaut, und in der Systemsteuerung unter Programme steht nichts von Java oder Oracle drin.
Da jedoch Elster bei mir heute funktioniert hat, habe ich die angegebene Seite kontrollieren lassen,
ob tatsächlich Java nicht mehr installiert ist.
Habe mal die Registrierung nach Java durchsuchen lassen, und siehe da, es gibt einen Eintrag.
An der angegebenen Stelle ist aber nichts zu finden.
Auch nicht, wenn ich alles anzeigen lasse.
Sehr merkwürdig.
Ich werde mal Java installieren und dann deinstallieren.
Wenn dann nichts mehr in der Registrierung gefunden wird, teste ich, ob Elster noch funktioniert.
Erst mal ist aber Mittagessen angesagt. ;-)

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
IRON67 Ventox

„Ich hatte vor kurzem wegen der Sicherheitslücken alle ...“

Optionen
Habe mal die Registrierung nach Java durchsuchen lassen, und siehe da, es gibt einen Eintrag.

Na das ist doch nicht verwunderlich. Verwaiste Reg-Einträge gibts doch immer wieder mal. Zum rückstandslosen Entfernen alter Java-Versionen wäre JavaRa zu empfehlen.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Ventox IRON67

„Na das ist doch nicht verwunderlich. Verwaiste ...“

Optionen
Zum rückstandslosen Entfernen alter Java-Versionen wäre JavaRa zu empfehlen.

Daran hatte ich auch schon gedacht.
Allerdings entfernt es nur die alten (installierten) Versionen.
Die aktuellste Version bleibt unangetastet.
Wie schon geschrieben taucht Java nicht unter Programme in der Systemsteuerung auf.
Mit Microsoft Fix it, dem Nachfolger von Install Clean up, wurde mir jedoch eine installierte Java 7 Version angezeigt, welche ich angeblich dann deinstallieren konnte.
Auch den Java Updater habe ich auf diesem Wege gleich mit deinstalliert.
Trotzdem kann ich Elster immer noch starten.
Wann gibt den Elster eine Fehlermeldung raus, dass Java fehlt?
Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
IRON67 Ventox

„Daran hatte ich auch schon gedacht. Allerdings entfernt es ...“

Optionen
Trotzdem kann ich Elster immer noch starten.

Das ist aber alles sehr seltsam bei dir. Ist Elster-Online bei dir nun die einzige Seite, die eine vermeintlich funktionierende Java-Version findet oder klappt das auch auf anderen Seiten?

Hier mal eine Seite, die ein Applet verwendet:

http://www.astroviewer.de/interaktive-sternenkarte.php

Wann gibt den Elster eine Fehlermeldung raus, dass Java fehlt?

Wenn du damit die Webseite meinst:
  1. Wenn du Click-to-Play aktiviert hast.
  2. Wenn du im Add-on Manager des Browsers das Java-Plugin deaktiviert hast.
  3. Wenn du über das Java Control Panel das Java-Plugin systemweit in allen Browsern deaktiviert hast.
  4. Wenn keine JRE installiert ist.

Übrigens (grad getestet) bekommt man im FF derzeit das hier zu sehen, wenn man Java leichtsinnigerweise verwendet.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Ventox IRON67

„Das ist aber alles sehr seltsam bei dir. Ist Elster-Online ...“

Optionen
Ist Elster-Online bei dir
Ich habe die Elster Software installiert.
Habe aber mal Elster-Online mit dem Firefox aufgerufen.
Dort werde ich darauf hingewiesen, dass Java fehlt.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
IRON67 Ventox

„Ich habe die Elster Software installiert. Habe aber mal ...“

Optionen

Also gehts bei dir ausschließlich um die separat installierte Elster-Software. Da muss ich passen, erlaube mir aber mal eine Vermutung:

Entweder nutzt die Software zur Datenübertragung grundsätzlich andere Wege (HTTPS oder was auch immer) oder sie bringt ihre eigene Java mit, die nur von dieser Software verwendet wird.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Ventox IRON67

„Also gehts bei dir ausschließlich um die separat ...“

Optionen

Ich mache die Steuererklärung seit Jahren per Elster.
Und das immer mit der installierten Software, welche dann immer aktualisiert wird.
Deswegen wusste ich nicht, dass man Elster auch auf anderem Wege nutzen kann.
Möglicherweise ist ja die installierte Variante besser als Elster Online.
Sofern man Windows oder Mac nutzt.
https://www.elster.de/untplat_nw.php

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
mawe2 Ventox

„Ich hatte vor kurzem wegen der Sicherheitslücken alle ...“

Optionen
teste ich, ob Elster noch funktioniert.

Wenn Du über Elster das Java-Applet aufrufst, erscheint doch diese Java-typische Animation. Wenn Du die siehst, ist Java verfügbar. Außerdem muss ja im Browser auch das Java-Plugin verewigt sein. Auch dort siehst Du, ob Du Java hast oder nicht.

Nach Auskunft der Elster-Hotline funktioniert Elster-Online definitiv nur bei installiertem Java. Es kann also nicht sein, dass Du ohne Java Deine Steuererklärung abgeben konntest.

(Obwohl: Wenn ich's mir recht überlege, kann man das natürlich auch ohne Java machen. Nur eben nicht beim Finanzamt sondern bei irgendeiner nachgeahmten Fake-Seite. Es ist also kein Trost, wenn es ohne Java geklappt hat...)

Gruß, mawe2
"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
IRON67 mawe2

„Wenn Du über Elster das Java-Applet aufrufst, erscheint ...“

Optionen
Nur eben nicht beim Finanzamt sondern bei irgendeiner nachgeahmten Fake-Seite.

Das wär ein Knaller. Weia. Überrascht
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Ventox mawe2

„Wenn Du über Elster das Java-Applet aufrufst, erscheint ...“

Optionen
Wenn Du über Elster das Java-Applet aufrufst
Ich kann diese Funktion in der Elster Software nicht finden.
Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
Ventox

Nachtrag zu: „Ich kann diese Funktion in der Elster Software nicht finden.“

Optionen

Hat sich erledigt.
In der Elster Version zum Installieren gibt es diese Funktion nicht.
Kein Wunder, das ich sie nicht finde.

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
maxzwo1 Ventox

„Irgendwie verstehe ich das nicht. Ich habe gerade eben mit ...“

Optionen

Hallo Ventox! Was ist ein Sekundärvegetarier? Hört sich lustig an, ich kann mir allerdings nichts drunter vorstellen. Isst Du lieber Pferde als Löwen, oder willst Du nicht von Krokodilen gefressen werden? Gehört nicht zum Problem, aber wenn Du es drunterschreibst kann man doch fragen! Gruß maxzwo1

Bis jetzt ist es gut gegangen, hat der Dachdecker gesagt, wie er am 1. Stock vorbeigefallen ist.
bei Antwort benachrichtigen
IRON67 maxzwo1

„Hallo Ventox! Was ist ein Sekundärvegetarier? Hört sich ...“

Optionen
Was ist ein Sekundärvegetarier?

Das ist jemand, der Tiere isst, die Pflanzen gefressen haben. Er ernährt sich also nicht primär sondern sekundär von Pflanzen über den Umweg des Tierfleisches.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
maxzwo1 IRON67

„Das ist jemand, der Tiere isst, die Pflanzen gefressen ...“

Optionen

Na, das nenne ich aber eine schnelle und aufschlussreiche Antwort! Danke!
Wenn es nur bei MS genauso gut gehen würde.
maxzwo1

Bis jetzt ist es gut gegangen, hat der Dachdecker gesagt, wie er am 1. Stock vorbeigefallen ist.
bei Antwort benachrichtigen
aldebuedel maxzwo1

„Na, das nenne ich aber eine schnelle und aufschlussreiche ...“

Optionen
Wenn es nur bei MS genauso gut gehen würde.

Das wäre lustig aber auch sehr beunruhigend.

bei Antwort benachrichtigen
Ventox maxzwo1

„Hallo Ventox! Was ist ein Sekundärvegetarier? Hört sich ...“

Optionen

Ich esse nur Tiere, die sich vegetarisch ernähren. ;-)

Es gibt nichts Gutes, außer man tut es.
bei Antwort benachrichtigen
InvisibleBot Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

Naja, man muss aber schon mal sagen dass das Finanzamt da nicht wirklich etwas dafür kann. Die haben ihre Software (vor vielen Jahren schon) eben für Java schreiben lassen, vermutlich damit sie auf möglichst vielen Plattformen läuft. 

Dass es Oracle nicht auf die Reihe bekommt eine sichere Java-Version zu entwickeln, konnte ja keiner wissen. Die daraus resultierende Situation ist fürs Finanzamt genauso blöd wie für jeden Benutzer der Elster-Software, lässt sich aber auch nicht kurzfristig ändern.

Von daher finde ich die Überschrift des Artikels unpassend, weil sie am eigentlichen Thema vorbeigeht.

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
IRON67 InvisibleBot

„Naja, man muss aber schon mal sagen dass das Finanzamt da ...“

Optionen
Dass es Oracle nicht auf die Reihe bekommt eine sichere Java-Version zu entwickeln, konnte ja keiner wissen.

Nein. Aber als die Probleme unübersehbar groß wurden, konnte man die Konsequenzen ziehen. Läuft bei Banken ja auch nicht anders. Nicht, dass ich die Banken über den grünen Klee loben will, aber die haben auch mal mit Java und ActiveX angefangen.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
mi~we Michael Nickles

„Finanzamt zwingt zu kritischen Sicherheitslücken in Rechnern“

Optionen

Anscheinend noch mehr Lücken in Java, die Kriminelle auch schon versuchen auszunutzen:
http://heise.de/-1814512
Wird ja immer gruseliger.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen