Fragen? Antworten! Siehe auch: Alternativlos
Und im Übrigen führen wir jetzt Code Signing ein. Ihr wisst schon, das was schon bei Microsoft nicht funktioniert hat. Das machen wir jetzt, nachdem die Kryptokalypse jedes Restvertrauen in CAs weggefegt hat. Post Diginotar. Money Quote:
Rizvi noted that the signing requirement will improve the security of Java users in a number of ways. For one, it will create some sense of accountability with Java code developers.
Öh, … sense of accountability? BWAHAHAHAHA! Wartet, wird noch besser!"Malicious attackers will be required to purchase a code-signing certificate," he said. "Note that before issuing a code-signing certificate, certificate authorities generally perform certain checks to ensure the identity of the person applying for the certificates."
Oho, aha, soso. Im Allgemeinen würde man denken, dass CAs Dinge prüfen, sagt er. Na dann ist ja alles gut. Immerhin ist Oracle da mehr als zurückhaltend und lässt nicht einfach jeden signen. Nur die CAs, die bei Java als vertrauenswürdig mitgeliefert sind. (Also in der Praxis… alle)Und haben sie auch Revocation Checking? Klar! *hust* Wenn der User es manuell angeschaltet hat!1!! Aber das wird dann im Juni Default. Warum erst im Juni? Äh, guck mal da hinten, ein dreiköpfiger Affe!
Aber das Hammer-Zitat überhaupt ist das hier:
"At Oracle, 'every developer is a security rifleman' and additional security expertise is also found with security-focused developers, architects and managers for the purpose of enforcing security policies and dealing with security-sensitive components," Rizvi said.
Soso, "security riflemen". Na dann. m( (Danke, Aaron)