Por si últimamente no hubiese ya bastantes noticias negativas relativas a Java en el escritorio por temas de seguridad, desde hace tiempo Oracle está empaquetando la toolbar de Ask en el JRE. Es decir, el JRE instala por defecto instala crapware en tu equipo.

Y encima lo hacen de un modo bastante pernicioso: una vez que el JRE se ha instalado, todavía no se ha instalado la toolbar de Ask, sino que se ha quedado un proceso a la espera que aguardará 10 minutos antes de instalar la toolbar de Ask. El propósito de esto parece ser que si un usuario hace clic en "Next" sin pensarlo dos veces pero después se da cuenta que no quiere la toolbar de Ask, y nada más terminar la instalación del JRE trata de desinstalarla, no la va a encontrar en ningún sitio y pensará que no la instaló.

Click to read more ...

OpenShift es una solución de cloud computing completamente opensource que ofrece una plataforma completa (y no sólo la infraestructura hardware) en la nube. La plataforma está orientada aplicaciones Java EE y está basada en JBoss.

La semana pasada Red Hat anunció varias actualizaciones en su servicio, entre ellas la posibilidad de desplegar nuestras aplicaciones sobre Tomcat 7 y JBoss EAP 6.0.1, mecanismos de redundancia que hacen que nuestra aplicación corra en múltiples nodos de tal modo que si uno de ellos falla la aplicación  siga disponible, mejoras para la interfaz de comandos de línea y soporte para Sokets de Unix.

Click to read more ...

En esta noticia haremos nuestro resumen de contenido publicado en las distintas secciones de javaHispano, excluyendo la portada en la última semana. Aprovechamos esta ocasión también para recordarnos que podéis estar al tanto de estos contenidos empleando los diversos Feeds del Portal.

Android

En esta sección se han publicadon las siguientes noticias:

• Cifras de Android en 2012
• Tutorial: Entendiendo las relaciones de ADA framework (II parte)

Click to read more ...

Esta noticia no tiene que ver directamente con Java, pero es importante para cualquiera que tenga un router en su empresa (o en su casa). Debido a lo critico de la vulnerabilidad en cuestión, y al hecho de que no se está cubriendo demasiado, he decidido escribir un artículo aquí sobre ella.

UPnP (Universal Plug and Play) es un protocolo que permite que un dispositivo que esté "del lado de la LAN" de un router abra puertos automáticamente en el router. Por ejemplo, Skype, los clientes de bittorrent, o cualquier video consola hace esto para permitir que lleguen conexiones desde el exterior. Esta funcionalidad no suele requerir ningún tipo de autenticación, y se supone no es problemática porque en teoría sólo está disponible del lado de la LAN (donde se supone que todos los dispositivos son fiables, y donde probablemente hace falta un password para conectarse a la red inalámbrica).

En un estudio realizado por Rapid7 donde se han dedicado durante meses escanear todo el espacio de direcciones IP v4 de Internet han encontrado un total de 81 millones de routers que exponen el protocolo UPnP "del lado de la WAN", es decir, que lo exponen abiertamente a todo Internet. Esto es un agujero de seguridad como un túnel de autopista en sí mismo. Encima, de estos 81 millones, al menos 50 millones de estos dispositivos son vulnerables a ataques conocidos que pueden realizarse desde cualquier punto de Internet y que pueden permitir abrir puertos en nuestro router. Además, estos ataques pueden realizarse de modo completamente anónimo porque

Click to read more ...

Este fin de semana Oracle ha publicado Java 7 SE Update 13, actualización que es denominada como "crítica" por la compañía. La principal novedad de esta versión, y el motivo por el cual ha sido publicada fuera del ciclo normal de actualizaciones (al igual que viene siendo habitual en las últimas Updates) fue, en palabras del propio Oracle:

…decided to accelerate the release of this Critical Patch Update because active exploitation “in the wild” of one of the vulnerabilities affecting the Java Runtime Environment… 

Esta versión también incorpora algunas correcciones relativas a franjas horarias. Por algún motivo, se han soltado la "Java 7 SE Update 12", de la cual nunca se ha liberado una versión estable a pesar de haberse desarrollado; el motivo quizá sea que han tenido que incorporar nuevos parches de seguridad no contemplados en la Update 12 antes de que ésta estuviese lista para liberarse al público.

De un modo simultáneo, también han publicado Java SE 6 Update 39.

CAST research labs ha publicado un informe titulado "CAST Report on Application Software Health" donde analiza la seguridad de aplicaciones empresariales. En el análisis se han incluido 496 aplicaciones que en total suponen 152 millones de líneas de código. Las aplicaciones pertenecían a 88 organizaciones diferentes.

Una de las conclusiones de este informe es que desde el punto de vista de la seguridad los framework open source de Java son un riesgo y pueden hacer que nuestros datos no estén seguros. Según este análisis, la calidad de los diferentes frameworks opensource presenta una variabilidad bastante alta. Por ejemplo, Hibernate según su análisis ha demostrado ser excelente en cuanto a temas de seguridad. Pero Struts ha resultado ser nefasto.

Click to read more ...

Brian Oliver, co-lider del JCache (JSR 107) ha anunciado que esta especificación se va a caer de Java EE 7 ya que "por motivos tanto personales como organizacionales" ha habido varios milestones que en estas fechas se debían haber superado, pero que no han sido capaces de alcanzar, por lo que el nivel de desarrollo de la especificación e implementación de referencia impide en estos momentos terminar la especificación a tiempo para incluirla en Java EE 7.

A pesar de esto, se seguirá trabajando en JCache y es de esperar que en el futuro se incluya en Java EE.

Codename One es una empresa creada por varios exempleados de Sun Microsystems que promete ser el Santo grial del desarrollo para dispositivos móviles: uno escribe una única aplicación que después se podrá ejecutar en iOS, Blackberry, Windows Phone y Android como aplicaciones nativas. La aplicación se escribe en Java (no empleando HTML5 como PhoneGap) y después se compila en los servidores de la empresa Codename One (no nos podemos bajar "el ingrediente mágico") a binarios nativos para cada plataforma.

Tras un período de más de seis meses donde sus herramientas han estado en "beta", durante el cual han tenido más de 100,000 descargas de su kit de desarrollo, esta semana la startup israelí ha anunciado la primera versión estable de su producto.

Las herramientas de desarrollo son gratuitas, aunque para compilar a las plataformas nativas es imprescindible emplear los servidores de la empresa y, salvo que seamos clientes de pago, tenemos limitado el número de builds de aplicaciones nativas que podemos realizar al mes, especialmente para la plataforma iOS (ya que según ellos requiere muchos más recursos crear el ejecutable nativo para esa plataforma). Si queremos, podemos comprar más builds: por sólo 9...

Click to read more ...

Adobe ha anunciado PhoneGap 2.3.0, con soporte para Windows Phone 8. Además esta versión tiene una "InAppBrowser API" que permite visualizar archivos en modo de pantalla completa, así como funcionalidad para borrar archivos cuya transferencia ha sido incompleta, soporte para SVG y soporte para emplear gestos para lanzar determinadas acciones en el terminal (algo que necesitaban para soportar Windows Phone 8 ). Además, se incluyen varias correcciones de bugs como el lanzamiento de una excepción cuando se buscaba un determinado e-mail en los contactos.