El 42% de los usuarios de este portal no tiene su JVM actualizada
AbrahamRecientemente hemos hecho una encuesta en la que os preguntábamos si en vuestro equipo teníais Java actualizado a la última versión o no, cosa que podíais comprobar fácilmente visitando esta página. Pues bien, el resultado es un tanto desalentador; a pesar de ser éste un portal de javeros el 42% de los usuarios de este portal no tenía su JVM actualizada, lo cual es un agujero de seguridad bastante considerable ya que como hemos cubierto en varias ocasiones en este portal, Java es actualmente el principal vector de ataque contra equipos Windows, y probablemente también contra Mac.
Si en un portal como éste hay tanta gente si la JVM actualizada, entre la gente en general la proporción seguro que es considerablemente superior, lo cual explica que sea la forma preferida de los hackers para infectar equipos.
Los que habéis respondido no a la encuesta ¿Por qué no la teníais actualizada? ¿Miedo a que la actualización rompa algo o simple pereza?
|
|
|
||||||||
Reader Comments (17)
Ni lo uno ni lo otro: Para trabajar uso Java6, me gusta tener exactamente la misma JVM que los servidores de producción.
Pero tú puedes tener Java 6 y tener la máquina virtual actualizada a la última revisión, la que tiene aplicada a todos los parches de seguridad.
Como ya he dicho en alguna ocasión, al tiempo en que se exigen mejoras en el lenguaje, como si fuese a desaparecer si no se aplican "ya mismo", no es que luego se tarden años en usarlas, una vez que están disponibles, sino que ni siquiera se aplican las actualizaciones, a medida que se van produciendo.
Y no es solamente una cuestión de seguridad. Cada actualización incorpora soluciones a bugs detectados, aparte de mejoras en las implementaciones. Pero como no modifican, ni añaden nada al API público, parece que no se "hace nada".
Es cierto que resulta preocupante el porcentaje de desarrolladores, que todavía usan versiones obsoletas. No tan obsoletas en relación al API en sí, sino en cuanto a las mejoras y soluciones a errores.
Y no vale le excusa habitual de: ¿Y si se rompe algo?. ¡Para eso están los tests!
@Abraham: No entiendo. Mis servidores (los de la empresa) tiene Java Version 6 Update 27. ¿Cómo puedo tener exactamente la misma versión pero con los parches aplicados? ¿Existe algo como J6U27+parches?
Y al en teoría se llama Java SE 6 Update 32 ;), pero entiendo lo que dices. Yo pensaba que al no usar tu Java 7 decías que ya no tenías la máquina virtual actualizada. Pero ahora te entiendo.
Yo soy de los que no lo tiene actualizado y mi motivo es que tengo linux y en los repositorios no está la última versión y el proceso de instalar a mano cada nueva versión es pesado.
Tampoco es que tenga una versión de hace mil años, tengo una 1.7.0_03-b04.
Mi caso es sencillo. Tengo que desarrollar applets para jre 1.4.2_07 y ya me ha pasado que el applet se quedaba colgado en producción por bugs que están arreglados en versiones posteriores, pero en esa no. Y dile tu a un gran banco que tiene que cambiar la versión de java a los millones de ordenadores que tiene por ahí, posiblemente rompiendo aplicaciones con las que llevan trabajando más de diez años y que son absolutamente indispensables.
¿y el banco es consciente de que como esos ordenadores tengan acceso a Internet son un criadero de virus impresionante?
Si el tal banco carece de un completo "code test coverage", mediante el que verificar que las aplicaciones funcionan correctamente, según las especificaciones, sus sistemas en producción son tan inseguros, o más, que las consecuencias de cualquier actualización.
Me hace gracia ese miedo a que una actualización "rompa algo indispensable", al mismo tiempo que los sistemas "funcionan por la cuenta de la vieja".
Porque si existiese la indispensable batería de tests, una actualización es el menor de los problemas.
Como el diseño del JDK es monolito y tiene que bajar 70Mb muchos personas no van a bajar cada revision cuando sale. Sencillo. Y quien tiene la culpa de eso? los diseñadores del JDK
Extendiéndome sobre por que uso j6u27: Alguna vez me pasó que un software desarrollado con un update mas nuevo no funcionaba correctamente con un update mas viejo....eran tiempos de java 1.4 o 5, no recuerdo bien. La verdad es que no creo que pase ahora, pero me quedó el reflejo de tratar de que mi entorno de desarrollo sea lo mas parecido posible a producción.
@choces "¡Para eso están los tests!", "la indispensable batería de tests".... ¿dónde trabajan ustedes? En el mundo que yo conozco las aplicaciones importantes suelen haber sido programadas hace muchos años, mucho antes de que el TDD nos ganara el corazón, y nunca hay ni habrá tiempo de hacer los tests correspondientes, dado que no añaden valor al negocio, según la gente de arriba. Además, los problemas producto de upgrades suelen no estar validados en los tests...suelen ser problemas de permisos raros, cosas así. Y en el mismo server corren varias aplicaciones, muchas de las cuales fueron programadas en javas prehistóricas, 1.3 o cosas así, que nadie se anima a tocar, dado que no hay ni especificaciones ni documentos ni empleados que las conozcan...y ese es el estado en todas las empresas que yo conozco, (mayormente financieras, son muy conservadoras).
Ah, que me encantaría pasar todo a J7, usar inyección de dependencias, TDD, tener full coverage, seguro. Pero nadie va a financiar eso.
@Abraham, esas computadoras tienen acceso a internet, yo casi que espero que un virus agarre a alguna así podemos presionar para una actualización...pero eso no ha pasado nunca.
@Pablo
Lo que cuentas no me extraña nada, tratándose de uno de los sectores que, aparte de su conservadurismo tradicional, ha demostrado un grado de irresponsabilidad difícil de digerir.
He trabajado muchos años en Generación de Energía Eléctrica (centrales térmicas y nucleares), y en Electromedicina (diágnostico por imagen RX), donde el riesgo físico para las personas es más evidente de lo que se suele imaginar. He tenido la desgracia de estar presente en accidentes con resultado de muerte. Sin embargo, las actitudes con respecto a los sistemas es bastante diferente, por no decir contradictorio.
Todo sistema en producción se verifica constantemente, dentro de los programas de mantenimiento preventivo y predictivo, para asegurar su idoneidad en relación a las especificaciones. Y toda innovación, sea de mejora o de añadido de funcionalidades nuevas, se prueba exhaustivamente antes de su implantación. La decisión se basa en los resultados de esas pruebas, una vez que su idoneidad está reconocida, al menos teóricamente.
En resumen, las decisiones son consecuencia de la aplicación de principios elementales de ingeniería y economía. Pero esta última no se hace a expensas de la primera, como parece que sucede en el banco que mencionas. Ninguna decisión económica se toma a expensas de la seguridad de los sistemas, ni de la de las personas involucradas, directa o indirectamente. Es evidente que en ocasiones se comenten errores de bulto en la industria; pero no es la actitud habitual.
Si consideran que la inversión en mantenimiento de sistemas es un "gasto prescindible", y que la inversión en mejoras es "un gasto evitable", ambos de manera sistemática, habrá que deducir que los métodos de la ingeniería son, para ellos, una "molestia inevitable y reducible a su mínima expresión", en términos contables. Todo ello demuestra la irresponsabilidad de sus gestores, y su ignorancia impresentable.
@ don nadie
Para actualizarse basta con descargar el JRE, que son apenas 20 MB.
Si a un desarrollador, que son quienes necesitan el JDK, le molesta descargar 70MB una vez cada varios meses... no me atrevo a pensar que otras cosas le "molestarán", y le recomendaría que se dedicase a otra actividad profesional "menos exigente".
@choces
En donde trabajo (un banco) hace unos meses pasamos a java 5.....
El problema es que cada cambio impacta en montones de sistemas escritos en montones de lenguajes diferentes. Por eso se tiende a ser conservador y a hacer UN cambio y ver si pasa como debería. En particular cuando cambiamos a java 5 tuvimos que cambiar el contenedor y también el ESB (era un jcaps que mejor ni te doy detalles......)
En fin, que en mi pc tengo java4, 5 y 6
Saludos
En mi oficina el caso es curioso, en producción tenemos java 7 pero en desarrollo usamos el 6 y es que ya una vez tuvimos problemas con el maven2 y el java 7 y ya quedamos curados.
yo tengo la ultima actualización de java y nunca vi esa encuesta. donde la hicieron?
@choces, ¿bateria de test? Tu no trabajas en españa ¿no? Comentaselo a cualquier jefe de proyecto/jefe y se te descojona en todo el careto.